[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

[SIGNATUR] Re: Bruteforce-cracking af PID (was: Certifikat til Anders And)



Jeg beklager at jeg først kommer ind i diskussionen nu!

Jeg arbejder for TDC Internet, Certifikat.dk og er tidligere kollega til
Jørn Guldberg, så det følgende er facts (givet KMD ikke har ændret deres PID
implementering siden jeg var ansat):

Hverken TDC Internets eller KMD's PID implementering er baseret på en simple
matematisk sammenhæng mellem CPR og PID. PID er tilfældigt valgt modulo et
checksum ciffer. Og dermed har Arne ret i sin antagelse at man skal have
adgang til CPR/PID databasen for at bestemme CPR-nummeret for et givet PID.

Faktisk har ideen med en envejs-funktion været oppe at vende på et tidligt
tidspunkt, men blev skudt ned netop med Anna's argumenter.

Hvem har adgang til CPR/PID?
Som også Arne nævner ville systemet være mindre nyttigt, hvis ikke der var
andre end CA, der havde adgang til disse tabeller. 

Derfor i grove træk:
Så længe det er inden for persondatalovens rammer, kan det offentlige få
adgang til at lave opslag i databaserne.

Faktisk kan private organisationer indgå en aftale med udbyderne således at
disse også kan lave et sådant opslag. Et sådant opslag kræver dog først
brugerens eksplicitte accept hos certifikatudstederen (TDC eller KMD) og GUI
vil typisk ligne login-sekvensen i E-boks (til de der måtte kende denne).

Alternativt kan brugeren selv oplyse sit CPR via en sikker kanal (med
anvendelse af brugeren certifikat) og organisationen kan herefter verificere
sammenhængen mellem PID i certifikater og CPR. Og JA der er taget
forholdsregler mod brute-force!

De private organisationer der forventes at ville anvende en sådan tjeneste
vil typisk være banker, realkreditinsstitutter, fagforeninger e.lign. der
kender brugeren under CPR.

Alt dette er beskrevet i et dokument, der er undervejs til at blive dansk
standard.

>> Altså _hvis_ en CA beslutter sig for at lade PID afhænge af CPR, så
>> er der intet der kan forbyde dem det. Det eneste der kan overbevise
>> dem om at lade være med det, er diskussioner som den vi har haft
>> her. ;)

Uden at jeg skal udråbe mig til juridisk ekspert (for det er jeg ikke) vil
jeg mene at en sådan sammenhæng er i strid med persondataloven, givet at
certifikaterne og dermed PID er offentliggjort. Desuden er der ingen CA'er
der ville have gavn af en sådan løsning der kunne give en del miskredit.


Venlig hilsen

Peter Lind Damkjær
Certifikat.dk
TDC Internet


 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:33 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *