Re: [SIGNATUR] Fornyelse af signatur

[Carsten Raskgaard <sslug@sslug>]

Hej Egon,

On Sat, 2006-10-07 at 08:30 +0200, Egon Andersen wrote:
> Det vil forhåbentligt blive rettet. Og så bliver det vel også muligt at 
> man kan få lov at eksportere direkte i pkcs#12 format uden alt muligt 
> andet skrammel.
> Jeg ønsker jo at det skal være så browser-uafhængigt som muligt, 
> specielt da jeg ønsker at bruge certifikatet i andre værktøjer også.
Det er et udemærket argument du har. Problemet med direkte eksport til
en pkcs#12 er dog, at man relativt nemt kan komme til at importere
certifikatet og nøgle uden password-beskyttelse på en Windows maskine.
Det var hovedårsagen til at funktionaliteten blev fjernet.

Man kan godt forestille sig, at appletten der startes af html-filen på
et tidspunkt vil tilbyde at gemme en pkcs#12 fil direkte (som en ekstra
option, hvor appletten i dag automatisk gør noget mere "intelligent"),
men indtil videre er det min personlige holdning - det er ikke en
funktionalitet som det er besluttet, at der skal tilbydes.

> Vil det sige, at html-filen blot er en simpel base64 encoded pkcs#12 fil 
> uden noget som helst andet?
Næsten - Html-filen indeholder også andre elementer, såsom
rodcertifikatet og brugerens certifikat i x509 format, og så indeholder
den jo javascript nok til at starte en applet.

> > Bemærk også, at når man eksporterer sin digitale signatur som beskrevet
> > her, vil man ikke længere blive vejledt omkring password beskyttelse af
> > den digitale signatur.
> Nej, men du kan vel heller ikke styre hvilket masterpassword jeg 
> anvender i Mozilla-familien? Så det er vel egentligt kun cma fra TDC's side?
Det kan man sige, men derudover har TDC en åbenlys interesse i, at der
er tillid til OCES-infrastrukturen, så derfor er det vel ok, at der
gøres opmærksom på det, når man skal være ekstra påpasselig mht password
beskyttelse.

-- 
Carsten Raskgaard