[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [SIGNATUR] ATP's anvendelse af digital signatur

Som kommentar til diskussionen om hvorvidt brugeren kan få stjålet sin 
private nøgle og kodeord,
vil jeg bemærke, at problematikken er generel for software-baserede 
signaturer.
Dette er iøvrigt samme sikkerhedsniveau, som langt de fleste netbanker 
anvender.

Uanset hvordan man vender og drejer det, vil der i en sådan løsning være 
et stykke software på ens computer,
der får adgang til den private nøgle. Dette kan være ens e-mail program, 
browser,
operativsystem eller som i ATP's tilfælde en kodesigneret Java applet. Om 
man stoler mere på det
ene eller andet program ser jeg som en personlig præference. I tilfældet 
med en kodesigneret applet, er det i yderste
konsekvens underskriveren af koden, man skal stole på (dvs. ATP i dette 
tilfælde). Hertil kommer selvfølgelig også
udstederen af certifikatet. 

Stoler man ikke på ATP, er der nok ikke megen fornuft i at logge ind på 
Folkebørsen.

Hvis man kigger videre end logonsituationen, vil brugerens private nøgle 
sædvanligvis også blive anvendt ved underskrivning
af aftaler / transaktioner. Da der ikke findes nogen universel 
signeringskomponent,
vil man under alle omstændigheder komme ud for, at ens private nøgle 
bliver tilgået af et stykke software,
som tjenesteudbyderen udvikler eller licensierer (f.eks. CBT Sign Applet 
eller OpenSign).

Vil man ud over at skulle stole på nogen form for software til håndtering 
af ens private nøgle,
må man købe en sikker hardwareenhed som et smart card eller USB token. Her 
kommer man iøvrigt heller 
ikke uden om, at at hardwareproducenten kan have indlagt en bagdør.

PS: Vedr. understøttelse af Linux kan jeg nævne, at dette ikke er en 
begrænsning i CBT Logon applet'en
(ej heller Macintosh).  Det må derfor skyldes en anden begrænsning i ATP's 
site.


Venlig hilsen / kind regards,
Thomas Gundel
________________________________________________________
IT Architect, M.Sc.
Crypto Competence Center Copenhagen, IBM Denmark
Phone: +45 4523 8112, Mobile: +45 2880 8112
E-mail: sslug@sslug

 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:34 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *