Re: [SIGNATUR] Re: Fornyelse af certifikat

[Egon Andersen <sslug@sslug>]

Kristoffer Winther Sørensen wrote:
> Jesper Krogh wrote:
>
>
> > I sslug.signatur, skrev torben:
> >
> > > Så du vil ikke bruge signaturen til at underskrive et 30 årigt lån.
>
>
> Tjo, men jeg ville nok umiddelbart sikre mig at modtageren selv opbevarer de
> certifikater der skal til for at verificere indhold og afsender på et
> senere tidspunkt. Eller få dem til at signere en kopi af aftalen og sende
> til mig (så må jeg jo lave backup af deres certifikat på det tidspunkt).

Når man sender en signeret e-mail, medfølger også den offentlige nøgle, 
så hvis du laver backup/gemmer hele e-mailen, så har du også den 
offentlige nøgle.
Der der så eventuelt kan mangle er rodcertifikatet fra CA i dette 
tilfælde TDC OCES, men den må man absolut kunne skaffe fra TDC.
> Jeg har snakket med TDC hot-line og de forstod problemstillingen men havde
> ikke et svar på hånden. Forespørgslen (hvordan få jeg fat i den offentlige
> del af et spærret eller udløbet certifikat? Skal jeg selv opbevare dette
> for alle som har sendt mig signeret korrespondance?) er sendt videre til
> nogle der kan give et svar og når jeg får det skal jeg nok videregive det
> her. Eventuelt kan Peter måske give os nogle oplysninger? Jeg er
> forholdsvis sikker på at TDC opbevarer tidligere certifikater, men de bør
> være let tilgængelige (men selvfølgelig tydeligt mærket med at de er
> spærret/udløbne og *ikke* må anvendes til at krypterer noget *til*, kun til
> verificering af tidligere signaturer).

Om CA opbavarer de offentlige nøgler/certifikater har ingen betydning 
for om signaturen kan verificeres. Som nævnt ovenfor medfølger den 
offentlige nøgle når du signerer.
Hvis du sender en signeret e-mail til mig, behøver jeg ingen kontakt til 
TDC for at fastslå autencitet (udover det allerede installerede 
rodcertifikat).
Derimod er det noget andet, hvis jeg ønsker at finde afsenders 
identitet. Her er en database med serienumre knyttet til cpr-numre eller 
lignende tilstrækkeligt.

> Hvad angår fornyelse af et certifikat så var svaret at man (på nuværende
> tidspunkt) skal oprette et nyt som andre også har skrevet her. 
Hmmm. Overholder TDC så aftalen med IT- og Telestyrelsen?

> > Det er jo næsten rigtigt.. men hvis nu der går 10 år og den type
> > kryptering der er benyttes bliver anset som vand pga. computerkraften
> > til den tid.. så falder det alligevel..
Det er jo egentligt jura om man anser et digitalt signeret dokument som 
juridisk gyldigt.
> Jeps, hvis du om 10 år kan gætte dig til den private del af certifikatet
> udfra den offentlige del og en meddelelse som du kender indholdet af (fx
> fordi vedkommende har sendt dig en krypteret besked) så vil du kunne lave
> et forfalsket dokument med den rette signatur. Men sådan er det vel i
> princippet også med papir-dokumenter idag - du kan jo relativt let
> forfalske en underskrift ... det hele står og falder vel med at begge
> parter har en *identisk kopi af dokumentet* med gyldig signatur (digital
> eller "analog"). Hvis det ikke er tilfældet opstår problemet.
Ja, forfalskning er jo altid ulovligt, ligegyldigt om det teknisk set er 
nemt eller ej. Det er jo relativt nemt at kopiere vellignende 
pengesedler, men det har altså en høj strafferamme!

Med venlig hilsen
Egon Andersen