[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [MOEDE] Sikkerhed af digital signatur (was: Chillispotpå WRT54GS)



I sslug.signatur, skrev Arne Jørgensen:
> > Ja, den største risiko er ikke for dig og mig. Men for min mor og far,
> > "Joe Sixpack" og den gruppe som ellers udgør 95% af brugere af den
> > digitale signature og ikke har dybere indsigt i computere. 
> >
> > Deres computere er for en stor dels vedkommende allerede kompromitteret
> > af virus og andet godt. Og problemet opstår fordi de ikke ved at deres
> > nøgle er faldet i fremmede hænder. Det er rimeligt svært at se på en
> > signatur at den er blevet kopieret. Og, ja.. passwordbeskyttelsen.. tja.
> > Et ordbogsangreb vil sikkkert kunne tage en betydelig del af dem. 
> 
>  Det er svært at argumentere mod. Tilgengæld kan vi så afskrive
>  digitale signaturer og gevinsten ved at kunne indgå aftaler mm. over
>  nettet.
> 
> > Herved opstår en periode, hvor den ikke er betragtet som stjålet i
> > systemet men kan misbruges. Bliver der bag din ryg indgået en aftale, så
> > vil du stå utroligt dårligt... du kan faktisk kun sige "Jamen, så må
> > den have været stjålet.". Jeg vil gerne se, hvem der vinder denne tvist,
> > før jeg stoler på den digitale signatur. 
> 
>  Det er op til den almindelige bevisførelse i retten. I betænkningen
>  har de tiltro til at domsstolene kan håndtere den opgave også for de
>  forhold der gør sig gældende ved brug af digital signatur.

Jeg kan bare se denne situation for mig: 

Der er indgået en aftale, signaturen var ikke meldt stjålet, bruger
benægter at have indgået den. 

Hvad er der af beviser:
* En digital signatur

.. med andre ord, en "ord mod ord" situation, hvor udfaldet nærmest vil
være at slå med en terning. 

Jeg mener ikke situationen som beskrevet er utænkelig, heller ikke at
brugeren vitterligt ikke har indgået aftalen. Brugeren kan i sagens
natur ikke fremføre beviser for noget personen aldrig har været en del
af og modtager kan fremføre en valid digital signatur. 

Og tabet er enormt for at give brugeren ret, for hele systemet i den
digitale signatur. Så mit "gæt" på resultatet er at brugeren vil blive
kaldt "uagtsom" og blive taberen. Men det er jo kun at spå om. 

>  Men det er da rigtigt at der endnu ikke foreligger domme der kan give
>  os et praj om restpraksis.

Det bliver spændende. 

> > Man kunne nemt have gjort noget ved det. Garanteret at risikoen for
> > slutbrugeren var max. 5.000,- ved et misbrug. Derved havde man begrænset
> > skadevirkningen for slutbrugeren betragteligt. Hvis man så ønskede at
> > indgå aftaler via den digitale signatur der var større, så skulle der
> > bare sendes et brev frem og tilbage bagefter for at aftalen var endelig. 
> 
>  Men en grænse på 5.000,- er jo en dårligere retsstilling end den du
>  har i dag hvor du ikke hæfter for alle aftaler der er indgået
>  uberettiget.

Som skitseret ovenfor, så er "uberettiget" et meget, meget svært
spørgsmål at afklare for en 3'de part. 

>  Og hvad er værdien af en ansøgning om en studieplads via KOT? Eller en
>  injurierende udtalelse i en (uberettiget) signeret e-mail?
> 
>  Hvem dækker tabet over de 5.000,-? Der behøver ikke nødvendigvis være
>  en "stor" part i en aftale der kan tage tabet på sin kappe. Det kunne
>  være en aftale indgået mellem din signatur og min signatur (hvor den
>  ene er anvendt uretmæssigt).

Det er ca. sådan netbankerne virker idag. Der ser det ud til at virke
fornuftigt. Det har dog også fordelen af at det er en lukket boks, hvor
alle transaktioner blot kan tilbageføres. 

>  Forslaget om at supplere med et fysisk brev vil igen være en alvorlig
>  hæmsko for anvendelse. Der fx ikke mange fordele tilbage ved at
>  indlevere sin selvangivelse eller forskudsopgørelse elektronisk.

Jodda, det offentlige har da sparet næsten alt manuelt arbejde ved den.
Man kunne endda sige at hvis folk ikke protesterede på brevet, så var
det godkendt efter XX-dage, ligesom med selvangivelsen idag. Det ville
give mig en sikkerhed for at min signatur ikke kunne misbruges uden at
jeg ville opdage det. 

>  Og udviklingen arbejder forhåbentlig for os. I fremtiden forventer jeg
>  at vores nøgler bliver hardwarebaseret hvilket kan sikre at vores
>  private nøgle kompromitteres.

Det håber jeg også og det kan godt ærgre mig at man ikke havde påkrævet
dette til systemet fra starten. 

>  Endnu har vi da også til gode at høre om misbrug. Selvfølgelig kommer
>  det, men lur mig om ikke de første tilfælde bliver af "social
>  engineering" karakter?
 
De 10 første bliver sikker noget med at en sur dame har misbrugt hendes
utro mands signatur.. eller lign. 

>  Og her ligger nok den største udfordring: hvordan forklarer vi Maren i
>  kæret om sikkerheden og troværdigheden af den digitale signatur og de
>  elementer den består af så hun forstår det, har tillid til det og kan
>  anvende den korrekt og sikkert?

Det er endnu et kapitel. 

Jesper

-- 
./Jesper Krogh, sslug@sslug, Jabber ID: sslug@sslug



 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:34 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *