|
| TDC Digital signatur : installation af rod~ Fra : Jesper Stocholm |
Dato : 01-05-03 16:34 |
|
Jeg har fået en fin digital signatur (OCES-certifikat), men jeg har
opdaget, at folk jeg sender signerede emails til får en advarsel om at
signaturen ikke er "godkendt". Det skyldes ganske enkelt, at modtagerne
ikke har TDC OCES CA-certifikatet på deres PC'er.
Men ... er der nogen af jer, der sidder inde med information om, hvorfor
TDC ikke har anvendt det certifikat, som GlobalSign har underskrevet for
dem (eller fået dem til at underskrive OCES-certifikatat) ? På den måde
ville det være transperant for brugere af IE+NN at verificere signaturen
.... uden eksplicit at downloade TDCs certifikat fra deres hjemmeside.
Lidt af idéen med den digitale signatur går lidt fløjten, når Hr. og Fru
Pedersen får en fejl ved modtagelse af emails, som de ikke forstår.
--
Jesper Stocholm - www.stocholm.dk - www.asp-faq.dk
** De andre siger, at han er 16 **
Svar venligst til gruppen og ikke til mig privat !
Skriv under det du svarer på - www.usenet.dk/netikette/citatteknik.html
| |
Klaus Ellegaard (01-05-2003)
| Kommentar Fra : Klaus Ellegaard |
Dato : 01-05-03 17:05 |
|
Jesper Stocholm <jespers@stocholm.invalid> writes:
>Men ... er der nogen af jer, der sidder inde med information om, hvorfor
>TDC ikke har anvendt det certifikat, som GlobalSign har underskrevet for
>dem (eller fået dem til at underskrive OCES-certifikatat) ? På den måde
>ville det være transperant for brugere af IE+NN at verificere signaturen
>... uden eksplicit at downloade TDCs certifikat fra deres hjemmeside.
Spørgsmålet er, om "standard-rødderne" og deres betingelser er
forenelige med de vilkår og betingelser, TDC kræver og udbyder?
Mvh.
Klaus.
| |
Jesper Stocholm (01-05-2003)
| Kommentar Fra : Jesper Stocholm |
Dato : 01-05-03 17:15 |
|
Klaus Ellegaard wrote :
> Jesper Stocholm <jespers@stocholm.invalid> writes:
>
>>Men ... er der nogen af jer, der sidder inde med information om,
>>hvorfor TDC ikke har anvendt det certifikat, som GlobalSign har
>>underskrevet for dem (eller fået dem til at underskrive
>>OCES-certifikatat) ? På den måde ville det være transperant for
>>brugere af IE+NN at verificere signaturen ... uden eksplicit at
>>downloade TDCs certifikat fra deres hjemmeside.
>
> Spørgsmålet er, om "standard-rødderne" og deres betingelser er
> forenelige med de vilkår og betingelser, TDC kræver og udbyder?
ok ... det kan der selvfølgelig være en pointe i. Jeg har modtaget nogle
flere "klager" fra venner og bekendte, og jeg er begyndt at få mistanke
om, hvorvidt min OutlookXP signerer korrekt. Er der et sted, hvor man
kan sende en signeret mail og få struktur/data verificeret - altså lidt
som når man sender til dk.test, hvor headerlinier valideres.
--
Jesper Stocholm - http://stocholm.dk
www.asp-faq.dk : FAQ for dk.edb.internet.webdesign.serverside.asp
www.usenet.dk/netikette/citatteknik.html : Skriv under det du svarer på
Svar til gruppen og ikke til mig privat !
| |
Peter Larsen (01-05-2003)
| Kommentar Fra : Peter Larsen |
Dato : 01-05-03 21:11 |
|
Jesper Stocholm wrote:
> mistanke om, hvorvidt min OutlookXP signerer korrekt. Er der et sted,
> hvor man kan sende en signeret mail og få struktur/data verificeret -
> altså lidt som når man sender til dk.test, hvor headerlinier
> valideres.
overvejet at sende til dig selv?
--
regards, Peter Larsen
| |
Jesper Stocholm (02-05-2003)
| Kommentar Fra : Jesper Stocholm |
Dato : 02-05-03 09:29 |
|
Peter Larsen wrote :
> Jesper Stocholm wrote:
>
>> mistanke om, hvorvidt min OutlookXP signerer korrekt. Er der et sted,
>> hvor man kan sende en signeret mail og få struktur/data verificeret -
>> altså lidt som når man sender til dk.test, hvor headerlinier
>> valideres.
>
> overvejet at sende til dig selv?
ja ... og det har jeg også gjort, men jeg forsøger jo at verificere en del
af mit eget system, og derfor giver det måske ikke så meget mening at jeg
sender den til mig selv. Jeg har dog sendt en signeret email til min
kæreste, og her brokkede den sig "kun" over, at den ikke kunne genkende TDC
OCES CA som root CA.
--
Jesper Stocholm - http://stocholm.dk - http://asp-faq.dk
Skriv venligst under det du svarer på og skær det overflødige væk.
Se evt hvorfor på http://www.usenet.dk/netikette/citatteknik.html
Svar venligt til gruppen og ikke til mig privat !
| |
Kent Friis (01-05-2003)
| Kommentar Fra : Kent Friis |
Dato : 01-05-03 18:16 |
|
Den Thu, 1 May 2003 15:34:03 +0000 (UTC) skrev Jesper Stocholm:
>Jeg har fået en fin digital signatur (OCES-certifikat), men jeg har
>opdaget, at folk jeg sender signerede emails til får en advarsel om at
>signaturen ikke er "godkendt". Det skyldes ganske enkelt, at modtagerne
>ikke har TDC OCES CA-certifikatet på deres PC'er.
>
>Men ... er der nogen af jer, der sidder inde med information om, hvorfor
>TDC ikke har anvendt det certifikat, som GlobalSign har underskrevet for
>dem (eller fået dem til at underskrive OCES-certifikatat) ? På den måde
>ville det være transperant for brugere af IE+NN at verificere signaturen
>... uden eksplicit at downloade TDCs certifikat fra deres hjemmeside.
Måske fordi det går imod hele princippet i certifikater?
Certifikater går ud på at nogen man stoler på har "skrevet under på" at
de stoler på at nogen andre er dem de udgiver sig for.
Men hvorfor skulle man stole på GlobalSign? Hvad har de gjort der skulle
gøre at jeg har nogen grund til at stole på dem?
TDC ved jeg i det mindste hvem er, det kan godt være jeg ikke stoler på
dem, men jeg har *mere* grund til at stole på dem, end jeg har til at
stole på GlobalSign.
Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"
| |
Andrew Engels Rump (~ (02-05-2003)
| Kommentar Fra : Andrew Engels Rump (~ |
Dato : 02-05-03 10:08 |
|
After drinking 3 Pan Galactic Gargle Blasters, leeloo@phreaker.net (Kent
Friis) mumbled in news:b8rkni$nb2$2@sunsite.dk:
> Den Thu, 1 May 2003 15:34:03 +0000 (UTC) skrev Jesper Stocholm:
>> Jeg har fået en fin digital signatur (OCES-certifikat), men jeg
>> har opdaget, at folk jeg sender signerede emails til får en
>> advarsel om at signaturen ikke er "godkendt". Det skyldes ganske
>> enkelt, at modtagerne ikke har TDC OCES CA-certifikatet på deres
>> PC'er.
>> Men ... er der nogen af jer, der sidder inde med information om,
>> hvorfor TDC ikke har anvendt det certifikat, som GlobalSign har
>> underskrevet for dem (eller fået dem til at underskrive OCES-
>> certifikatat) ? På den måde ville det være transperant for
>> brugere af IE+NN at verificere signaturen ... uden eksplicit at
>> downloade TDCs certifikat fra deres hjemmeside.
> Måske fordi det går imod hele princippet i certifikater?
> Certifikater går ud på at nogen man stoler på har "skrevet under
> på" at de stoler på at nogen andre er dem de udgiver sig for.
> Men hvorfor skulle man stole på GlobalSign? Hvad har de gjort
> der skulle gøre at jeg har nogen grund til at stole på dem?
> TDC ved jeg i det mindste hvem er, det kan godt være jeg ikke
> stoler på dem, men jeg har *mere* grund til at stole på dem, end
> jeg har til at stole på GlobalSign.
Det er MEGET langhåret det her, så tænk jer rigtig grundigt om
inden I svarer! Jeg falder stadig i når jeg forsøger at diskutere
med en af sikkerhedsguruerne - så jeg håber også at jeg kan svare
rigtigt på ovenstående!
Fidusen med GlobalSign er at deres certifikat allerede findes i
browseren og derved kan den direkte kontrollere om det modtagne
certifikat er underskrevet af en kendt sikker part som står inde
for at certifikatet er gyldigt.
Mange brugere forstår slet ikke det her med certifikater, så når
de selv skal hente TDC's certifikat og installere det er der alle
mulige fejlkilder og muligheder for at hackere vildleder folk, så
de faktisk får installeret et forkert certifikat med dertilhørende
problemer, når hackerne folks certifikater!!!
Andrew
--
*** The opinions expressed are not necessarily those of my employer. ***
* Software Engineer Andrew Engels Rump * BLIK og ROERarbejderforbundet *
* Immerkaer 42, 2650 Hvidovre * Tlf: +45 3638 3638, Fax: +45 3638 3639 *
Home: N55°41'38.9" E12°29'08.6" (WGS 84) Work: N55°39'50.9" E12°27'47.4"
E-mail: mailto:newandrew@rump.dk WWW http://www.rump.dk/homepage/andrew/
| |
Jesper Stocholm (02-05-2003)
| Kommentar Fra : Jesper Stocholm |
Dato : 02-05-03 10:24 |
|
Andrew Engels Rump (formerly Leif Andrew Rump) wrote :
> After drinking 3 Pan Galactic Gargle Blasters, leeloo@phreaker.net
> (Kent Friis) mumbled in news:b8rkni$nb2$2@sunsite.dk:
>> Den Thu, 1 May 2003 15:34:03 +0000 (UTC) skrev Jesper Stocholm:
>>> Jeg har fået en fin digital signatur (OCES-certifikat), men jeg
>>> har opdaget, at folk jeg sender signerede emails til får en
>>> advarsel om at signaturen ikke er "godkendt". Det skyldes ganske
>>> enkelt, at modtagerne ikke har TDC OCES CA-certifikatet på deres
>>> PC'er.
>>> Men ... er der nogen af jer, der sidder inde med information om,
>>> hvorfor TDC ikke har anvendt det certifikat, som GlobalSign har
>>> underskrevet for dem (eller fået dem til at underskrive OCES-
>>> certifikatat) ? På den måde ville det være transperant for
>>> brugere af IE+NN at verificere signaturen ... uden eksplicit at
>>> downloade TDCs certifikat fra deres hjemmeside.
>> Måske fordi det går imod hele princippet i certifikater?
>> Certifikater går ud på at nogen man stoler på har "skrevet under
>> på" at de stoler på at nogen andre er dem de udgiver sig for.
>> Men hvorfor skulle man stole på GlobalSign? Hvad har de gjort
>> der skulle gøre at jeg har nogen grund til at stole på dem?
>> TDC ved jeg i det mindste hvem er, det kan godt være jeg ikke
>> stoler på dem, men jeg har *mere* grund til at stole på dem, end
>> jeg har til at stole på GlobalSign.
>
> Det er MEGET langhåret det her, så tænk jer rigtig grundigt om
> inden I svarer! Jeg falder stadig i når jeg forsøger at diskutere
> med en af sikkerhedsguruerne - så jeg håber også at jeg kan svare
> rigtigt på ovenstående!
tja ... det er jo ikke raketvidenskab, men helt simpelt er jo nu heller
ikke.
> Fidusen med GlobalSign er at deres certifikat allerede findes i
> browseren og derved kan den direkte kontrollere om det modtagne
> certifikat er underskrevet af en kendt sikker part som står inde
> for at certifikatet er gyldigt.
Jeps ... og det er netop min pointe.
> Mange brugere forstår slet ikke det her med certifikater, så når
> de selv skal hente TDC's certifikat og installere det er der alle
> mulige fejlkilder og muligheder for at hackere vildleder folk, så
> de faktisk får installeret et forkert certifikat med dertilhørende
> problemer, når hackerne folks certifikater!!!
Dette synes jeg nu trods alt er en smule langt ude ... og ikke envidere
sandsynligt. Det er korrekt, at der er nogle problemer med selve
udrulningen af certifikaterne ... og jeg kan fx ikke finde ud af at få
min Outlook til at kryptere en email til mig selv ... men jeg finder det
ikke sandsynligt, at lige netop installation af TDCs signatur er vejen
ind på en brugers computer - det er der masser af andre - nemmere -
måder at gøre på.
--
Jesper Stocholm - http://stocholm.dk - http://asp-faq.dk
Skriv venligst under det du svarer på og skær det overflødige væk.
Se evt hvorfor på http://www.usenet.dk/netikette/citatteknik.html
Svar venligt til gruppen og ikke til mig privat !
| |
Kent Friis (02-05-2003)
| Kommentar Fra : Kent Friis |
Dato : 02-05-03 16:45 |
|
Den Fri, 2 May 2003 09:08:29 +0000 (UTC) skrev Andrew Engels Rump (formerly Leif Andrew Rump):
>After drinking 3 Pan Galactic Gargle Blasters, leeloo@phreaker.net (Kent
>Friis) mumbled in news:b8rkni$nb2$2@sunsite.dk:
>> Den Thu, 1 May 2003 15:34:03 +0000 (UTC) skrev Jesper Stocholm:
>>> Jeg har fået en fin digital signatur (OCES-certifikat), men jeg
>>> har opdaget, at folk jeg sender signerede emails til får en
>>> advarsel om at signaturen ikke er "godkendt". Det skyldes ganske
>>> enkelt, at modtagerne ikke har TDC OCES CA-certifikatet på deres
>>> PC'er.
>>> Men ... er der nogen af jer, der sidder inde med information om,
>>> hvorfor TDC ikke har anvendt det certifikat, som GlobalSign har
>>> underskrevet for dem (eller fået dem til at underskrive OCES-
>>> certifikatat) ? På den måde ville det være transperant for
>>> brugere af IE+NN at verificere signaturen ... uden eksplicit at
>>> downloade TDCs certifikat fra deres hjemmeside.
>> Måske fordi det går imod hele princippet i certifikater?
>> Certifikater går ud på at nogen man stoler på har "skrevet under
>> på" at de stoler på at nogen andre er dem de udgiver sig for.
>> Men hvorfor skulle man stole på GlobalSign? Hvad har de gjort
>> der skulle gøre at jeg har nogen grund til at stole på dem?
>> TDC ved jeg i det mindste hvem er, det kan godt være jeg ikke
>> stoler på dem, men jeg har *mere* grund til at stole på dem, end
>> jeg har til at stole på GlobalSign.
>
>Det er MEGET langhåret det her, så tænk jer rigtig grundigt om
>inden I svarer! Jeg falder stadig i når jeg forsøger at diskutere
>med en af sikkerhedsguruerne - så jeg håber også at jeg kan svare
>rigtigt på ovenstående!
>
>Fidusen med GlobalSign er at deres certifikat allerede findes i
>browseren og derved kan den direkte kontrollere om det modtagne
>certifikat er underskrevet af en kendt sikker part som står inde
>for at certifikatet er gyldigt.
Det er jo netop det der gør certifikater ubrugelige. Browseren ok'er
certifikater når de er udstedt af en part jeg ingen grund har til at
stole på, men advarer når det er et almindeligt kendt firma som TDC
der har udstedt dem.
Hvorfor overhovedet bekymre sig om certifikater når browseren bare
accepterer at de at de er udstedt af et tilfældigt udenlandsk firma?
>Mange brugere forstår slet ikke det her med certifikater, så når
>de selv skal hente TDC's certifikat og installere det er der alle
>mulige fejlkilder og muligheder for at hackere vildleder folk, så
>de faktisk får installeret et forkert certifikat med dertilhørende
>problemer, når hackerne folks certifikater!!!
Så vi har valget mellem certifikater der giver problemer for ukyndige,
og certifikater der giver den modsatte effekt af hele ideen med
certifikater (web of thrust giver ingen mening når udgangspunktet ikke
er pålideligt). Brugervenlighed versus sikkerhed endnu en gang?
Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"
| |
Jesper Stocholm (02-05-2003)
| Kommentar Fra : Jesper Stocholm |
Dato : 02-05-03 10:20 |
|
Kent Friis wrote :
> Den Thu, 1 May 2003 15:34:03 +0000 (UTC) skrev Jesper Stocholm:
>>Men ... er der nogen af jer, der sidder inde med information om,
>>hvorfor TDC ikke har anvendt det certifikat, som GlobalSign har
>>underskrevet for dem (eller fået dem til at underskrive
>>OCES-certifikatat) ? På den måde ville det være transperant for
>>brugere af IE+NN at verificere signaturen ... uden eksplicit at
>>downloade TDCs certifikat fra deres hjemmeside.
>
> Måske fordi det går imod hele princippet i certifikater?
>
> Certifikater går ud på at nogen man stoler på har "skrevet under på"
> at de stoler på at nogen andre er dem de udgiver sig for.
>
> Men hvorfor skulle man stole på GlobalSign? Hvad har de gjort der
> skulle gøre at jeg har nogen grund til at stole på dem?
>
> TDC ved jeg i det mindste hvem er, det kan godt være jeg ikke stoler
> på dem, men jeg har *mere* grund til at stole på dem, end jeg har til
> at stole på GlobalSign.
Jeg synes du vender trust-modellen på hovedet ... eller også har jeg ikke
været helt præcis i mit indlæg. Jeg taler ikke om, at GlobalSign skal
underskrive mit certifikat, men at GlobalSign underskriver TDCs
certifikat. På den måde ville mit certifikat blive godkendt uden videre
af størstedelen af internetbrugernes browsere. Måske du kan forklare mig,
hvordan tillliden til TDCs underskrift på mit certifikat formindskes ved
at GlobalSign siger, at de stoler på TDC ?
Den digitale signatur - som den er sat op nu - giver mere bøvl end
nødvendigt er, da TDCs rodcertifikat ikke findes i de browsere, der
bruges på internettet [1]. Derfor bliver brugerne advaret om, at min
signatur er invalid - hvilket den principielt ikke er. Brugerens system
genkender blot ikke TDC OCES som CA. Det synes jeg faktisk er et relativt
stort problem ... måske ikke for brugerne af denne grupppe, men for de
andre 99,999% af danskerne, der ikke er teknisk velfunderede i
certifikater etc. Selvfølgelig kan man sige, at der er et pædagogisk
aspekt i at folk "tvinges" til at overveje, hvad deres system siger til
dem, men jeg tvivler i den grad på, at "almindelige" mennesker forstår,
hvad "Rod-certifikatet for TDC OCES CA genkendes ikke" betyder.
[1] Jeg er ikke klar over, om den allerede er kommet med i opdateringer i
fx NN/Mozilla etc.
--
Jesper Stocholm - http://stocholm.dk - http://asp-faq.dk
Skriv venligst under det du svarer på og skær det overflødige væk.
Se evt hvorfor på http://www.usenet.dk/netikette/citatteknik.html
Svar venligt til gruppen og ikke til mig privat !
| |
Kent Friis (02-05-2003)
| Kommentar Fra : Kent Friis |
Dato : 02-05-03 16:52 |
|
Den Fri, 2 May 2003 09:20:05 +0000 (UTC) skrev Jesper Stocholm:
>Kent Friis wrote :
>
>> Den Thu, 1 May 2003 15:34:03 +0000 (UTC) skrev Jesper Stocholm:
>
>>>Men ... er der nogen af jer, der sidder inde med information om,
>>>hvorfor TDC ikke har anvendt det certifikat, som GlobalSign har
>>>underskrevet for dem (eller fået dem til at underskrive
>>>OCES-certifikatat) ? På den måde ville det være transperant for
>>>brugere af IE+NN at verificere signaturen ... uden eksplicit at
>>>downloade TDCs certifikat fra deres hjemmeside.
>>
>> Måske fordi det går imod hele princippet i certifikater?
>>
>> Certifikater går ud på at nogen man stoler på har "skrevet under på"
>> at de stoler på at nogen andre er dem de udgiver sig for.
>>
>> Men hvorfor skulle man stole på GlobalSign? Hvad har de gjort der
>> skulle gøre at jeg har nogen grund til at stole på dem?
>>
>> TDC ved jeg i det mindste hvem er, det kan godt være jeg ikke stoler
>> på dem, men jeg har *mere* grund til at stole på dem, end jeg har til
>> at stole på GlobalSign.
>
>Jeg synes du vender trust-modellen på hovedet ... eller også har jeg ikke
>været helt præcis i mit indlæg. Jeg taler ikke om, at GlobalSign skal
>underskrive mit certifikat, men at GlobalSign underskriver TDCs
>certifikat. På den måde ville mit certifikat blive godkendt uden videre
>af størstedelen af internetbrugernes browsere. Måske du kan forklare mig,
>hvordan tillliden til TDCs underskrift på mit certifikat formindskes ved
>at GlobalSign siger, at de stoler på TDC ?
Det har du selvfølgelig ret i, TDC er lige pålidelige uanset... Og dog,
for hvorfor skulle TDC have besværet med at udnytte GlobalSigns
"backdoor" i de fleste browsere, hvis ikke det netop er fordi der
foregår noget lusk?
Jeg mener godt at man kan kalde det en "backdoor", når man netop har
et certifikat-system der er baseret på at nogen man stoler på siger god
for nogen andre, og nogen man ikke stoler på (fx GlobalSign) så har fået
listet et certifikat ind i browseren, så de bliver godkendt uanset at
man ikke stoler på dem.
>Den digitale signatur - som den er sat op nu - giver mere bøvl end
>nødvendigt er, da TDCs rodcertifikat ikke findes i de browsere, der
>bruges på internettet [1]. Derfor bliver brugerne advaret om, at min
>signatur er invalid - hvilket den principielt ikke er.
Nej, de bliver advaret om at den er signeret med et ukendt certifikat,
og man bliver spurgt om man vil fortsætte - medmindre det er lavet om
sidst jeg var inde på en sådan side.
Hvis certifikat-systemet virkede, ville browseren altid spørge om det
er nogen man stoler på, hvis den ikke ved det i forvejen.
Løsningen med at lade visse firmaer's (fx GlobalSign) certifikater være
med i browseren som default ødelægger hele sikkerhedsmodellen i
certifikater, og reducerer SSL til en krypteret protokol uden nogen
garanti for hvem der er i den anden ende.
Mvh
Kent
--
The frozen north will hatch a flightless bird,
who will spread his wings and dominate the earth
And cause an empire by the sea to fall
To the astonishment, and delight of all.
| |
Peter Lind Damkjær (02-05-2003)
| Kommentar Fra : Peter Lind Damkjær |
Dato : 02-05-03 19:01 |
|
"Jesper Stocholm" <jespers@stocholm.invalid> skrev i en meddelelse
news:Xns936EB2A03E1D6spamstocholmdk@130.226.1.34...
> Jeg har fået en fin digital signatur (OCES-certifikat), men jeg har
> opdaget, at folk jeg sender signerede emails til får en advarsel om at
> signaturen ikke er "godkendt". Det skyldes ganske enkelt, at modtagerne
> ikke har TDC OCES CA-certifikatet på deres PC'er.
>
> Men ... er der nogen af jer, der sidder inde med information om, hvorfor
> TDC ikke har anvendt det certifikat, som GlobalSign har underskrevet for
> dem (eller fået dem til at underskrive OCES-certifikatat) ? På den måde
> ville det være transperant for brugere af IE+NN at verificere signaturen
> ... uden eksplicit at downloade TDCs certifikat fra deres hjemmeside.
>
Jvf. OCES certifikatpolitik:
"En OCES CA er øverst i tillidshierarkiet. Derfor vil OCES certifikater være
signeret med en signeringsnøgle som er selvsigneret, det vil sige rodnøglen
i dette tillidshierarki."
Ovenstående er citat fra IT- og Telestyrelsens OCES certifikatpolitik for
personcertifikater afsnit 4.1. Denne kan findes på
http://www.signatursekretariatet.dk. på samme site findes i øvrigt en masse
god dokumentation vedr. OCES.
Venlig hilsen
Peter Lind Damkjær
(Ansat i TDC´s certificeringscenter, men skriver i denne sammenhæng som
privatperson)
| |
|
|