---

Til brug for underskrift, kryptering og dekryptering af meddelelser i
et FreeBSD OpenSSL S/MIME miljø er det nødvendigt, at have den
private nøgle og certifikatet fra TDC i et filformat, eksempelvis PEM
eller DER.

TDC bekræftede forleden overfor mig, at TDC har valgt, at udvikle en
oprettelsesproces, der ikke alene kun kan gennemføres i et Windows
miljø, men som også er udarbejder sådan, at det ikke er klart, hvor
den private nøgle gemmes i filsystemet.

Jeg kan i dag endvidere konstatere, at TDC har valgt, at bemande deres
kundetjeneste med personale, der ikke har viden om herom.

Er der nogen, der ved, hvor den private nøgle kan findes?

---

Michael H. wrote:

> Til brug for underskrift, kryptering og dekryptering af meddelelser i
> et FreeBSD OpenSSL S/MIME miljø er det nødvendigt, at have den
> private nøgle og certifikatet fra TDC i et filformat, eksempelvis PEM
> eller DER.
>
> TDC bekræftede forleden overfor mig, at TDC har valgt, at udvikle en
> oprettelsesproces, der ikke alene kun kan gennemføres i et Windows
> miljø, men som også er udarbejder sådan, at det ikke er klart, hvor
> den private nøgle gemmes i filsystemet.
>
> Jeg kan i dag endvidere konstatere, at TDC har valgt, at bemande deres
> kundetjeneste med personale, der ikke har viden om herom.
>
> Er der nogen, der ved, hvor den private nøgle kan findes?

Den er begravet dybt i Windows' krypterede storage. Hvis du allerede har
fået den udleveret til en windows-maskine, burde det være muligt at
eksportere den enten v.h.a Internet Explorers certifikatsystem, eller
v.h.a "Tag sikkerhedskopi" i TDC-menuen under start-menuen.

Det er i hvert fald lykkedes for mig, selvom jeg ikke længere kan huske
præcis hvordan. Jeg mener det involvere at vælge en anden udleveringsmetode
under oprettelsen. Er den virkelig ændret til en MS-only?

--
| Christian Iversen | I want more niblies than this! |
| chrivers@iversen-net.dk | |

---

Christian Iversen skrev:
> under oprettelsen. Er den virkelig ændret til en MS-only?

Ja, TDC's rolle som CA er udformet som MS-only.

Jeg har netop her til eftermiddag fra TDC Hotline på 80 80 15 81
modtaget erklæring om, at produktet er udarbejdet således, at det kun
virker i et Windows miljø - og, at det ikke kan eksporteres til et
FreeBSD miljø eller andre lignende miljøer.

Uden den private nøgle er certifikatet meningsløst.

TDC oplyser endvidere, at udlæsning af den private nøgle kunne havde
været gjort mulig ved at åbne muligheden for eksport af den private
nøgle fra certifikat-funktionen i Internet Explorer. Men TDC oplyser i
dag, at denne mulighed bevidst er lukket, hvilket umuliggør eksport af
den private nøgle - og dermed gør produktet virkningsløst i andre
miljøer end Windows.

TDC oplyser, at årsagen hertil ligger i ønsket om optimal sikkerhed.

På mit spørgsmål om, hvorvidt TDC er af den opfattelse, at Windows i
så fald er det rette system, at udvikle til, er svaret en kort tavshed
efterfulgt af et smil.

Årsagen ændres nu til, at sikkerheden er nedprioriteret til fordel
for brugerimødekommenhed.

På mit spørgsmål om, hvorfor TDC i så fald ikke ved siden af dette
imødekommende produkt tilbyder kort og enkel fremsendelse af
certifikat og privat nøgle til standard brugere, så alle systemer
understøttes, eksempelvis som KMD CA tidligere har gjort, er svaret
blot tavshed.

Jeg undlader, at udtrykke min holdning overfor udviklere, der virkelig
er af den middelalderlige opfattelse, at det handler om, at
understøtte et lukket system - og ikke en standard, som alle kan bruge.

---

Michael H. <mic@lostinlove.dk> skrev 2006-07-11:
> Christian Iversen skrev:
>> under oprettelsen. Er den virkelig ændret til en MS-only?
>
> Ja, TDC's rolle som CA er udformet som MS-only.

Bestiller man en standard flex nøgle virker det fint under foreksempel linux.

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel/Aethra routere.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

---

"Michael H." <mic@lostinlove.dk> wrote:

>TDC oplyser endvidere, at udlæsning af den private nøgle kunne havde
>været gjort mulig ved at åbne muligheden for eksport af den private
>nøgle fra certifikat-funktionen i Internet Explorer. Men TDC oplyser i
>dag, at denne mulighed bevidst er lukket, hvilket umuliggør eksport af
>den private nøgle - og dermed gør produktet virkningsløst i andre
>miljøer end Windows.

Jeg mener kun TDC bruger en særlig CSP til Windows/IE kombinationen.
De supporterer andre OS'er og browsere og certifikater kan f.eks.
hentes med OpenCert. Det står i øvirigt også på deres hjemmesider om
emnet.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Michael H. wrote:

> TDC oplyser endvidere, at udlæsning af den private nøgle kunne havde
> været gjort mulig ved at åbne muligheden for eksport af den private
> nøgle fra certifikat-funktionen i Internet Explorer. Men TDC oplyser i
> dag, at denne mulighed bevidst er lukket, hvilket umuliggør eksport af
> den private nøgle - og dermed gør produktet virkningsløst i andre
> miljøer end Windows.

Har de gjort det muligt at flytte nøglen til fra en Windows-installation
til en anden, eller hænger man på samme Windows-maskine resten af livet?

--
Allan Olesen

---

Allan Olesen <usenet.02.2006.allan@spamcheck.dk> crashed Echelon writing
news:44b3cf21$0$179$edfadb0f@dread11.news.tele.dk:

> Har de gjort det muligt at flytte nøglen til fra en Windows-installation
> til en anden, eller hænger man på samme Windows-maskine resten af livet?

De reklamerede i sin tid med at Flex signaturen kunne eksporteres

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

Bjarke Andersen wrote:
> Allan Olesen <usenet.02.2006.allan@spamcheck.dk> crashed Echelon writing
> news:44b3cf21$0$179$edfadb0f@dread11.news.tele.dk:
>
>> Har de gjort det muligt at flytte nøglen til fra en Windows-installation
>> til en anden, eller hænger man på samme Windows-maskine resten af livet?
>
> De reklamerede i sin tid med at Flex signaturen kunne eksporteres
>

http://erhverv.tdc.dk/artikel.php?dogtag=tdc_e_digi_sup_sik_os_eks

HUSK AT MAN SKAL SIKRE SIG, AT PASSWORDBESKYTTELSEN BEVARES, NÅR MAN
FLYTTER RUNDT MED DEN DIGITALE SIGNATUR JF. VILKÅR OG CERTIFIKATPOLITIK.

Peter Lind Damkjær
(Der her skriver som privatperson)

---

On Wed, 12 Jul 2006 06:57:56 +0200, Peter Lind Damkjær
<peter@lind-damkjaer.dk> wrote:

>> De reklamerede i sin tid med at Flex signaturen kunne eksporteres

> http://erhverv.tdc.dk/artikel.php?dogtag=tdc_e_digi_sup_sik_os_eks

Når det bliver gemt i normalt PFX-format (PKCS12), kan man jo skille
det ad med OpenSSL og bruge det i andre sammenhænge. Så burde der ikke
være nogen problemer.

-A

---

Peter Lind Damkjær wrote:
> http://erhverv.tdc.dk/artikel.php?dogtag=tdc_e_digi_sup_sik_os_eks

Fantastisk. Et link til TDC, som ikke er dødt.

Jeg har lige været en tur inde på www.digitalsignatur.dk for at læse
lidt om signaturen. Her stødte jeg i deres FAQ på et dødt link til
systemkravene:
> http://privat.tdc.dk/artikel.php?dogtag=tdc_p_digi_pers_krav

Måske nogen hos TDC skulle koordinere links med nogen hos IT- og
Telestyrelsen.

Så besluttede jeg mig for at oprette en digital signatur. Derefter
modtog jeg en mail fra TDC. 2 af 4 links i denne mail var døde:

> Du kan finde vores kontaktoplysninger her:
> http://privat.tdc.dk/artikel.php?dogtag=tdc_p_digi_help
>
> Ønsker du at gemme installationsvejledningen på din pc,
> kan du downloade den her:
> http://privat.tdc.dk/artikel.php?dogtag=tdc_p_digi_support_inst_flex

Måske nogen hos TDC skulle koordinere links med nogen hos TDC.


--
Allan Olesen

---

Allan Olesen wrote:
> Så besluttede jeg mig for at oprette en digital signatur. Derefter
> modtog jeg en mail fra TDC. 2 af 4 links i denne mail var døde:
>
>> Du kan finde vores kontaktoplysninger her:
>> http://privat.tdc.dk/artikel.php?dogtag=tdc_p_digi_help
>>
>> Ønsker du at gemme installationsvejledningen på din pc,
> > kan du downloade den her:
> > http://privat.tdc.dk/artikel.php?dogtag=tdc_p_digi_support_inst_flex
>
> Måske nogen hos TDC skulle koordinere links med nogen hos TDC.

Sikkert, men I en virksomhed med tusinder af ansatte, kan det til tider
være en udfordring.

De to links virker nu.


(( Flemming ))
--
Som repræsenterer sig selv, og ikke TDC
http://netfactory.dk/card/

---

Martin Schultz skrev:

> Bestiller man en standard flex nøgle virker det fint under foreksempel linux.

Det er ikke korrekt, jf. følgende.

I denne tråd handler det om, at få udlæst den private nøgle til en
PEM eller en DER fil, så det kan benyttes med OpenSSL S/MIME.

Hvis du kan udlæse den private nøgle fra ved bestilling af standard
flex nøgle, så vil både TDC og jeg gerne høre nærmere om den
procedure, du anvender.

TDC Hotline har her kl. 15.30 meddelt, at de vil holde internt samråd
om problemstillingen.

---

Michael H. <mic@lostinlove.dk> skrev 2006-07-11:
> Martin Schultz skrev:
>
>> Bestiller man en standard flex nøgle virker det fint under foreksempel linux.
>
> Det er ikke korrekt, jf. følgende.
>
> I denne tråd handler det om, at få udlæst den private nøgle til en
> PEM eller en DER fil, så det kan benyttes med OpenSSL S/MIME.

Sorry, jeg tror ikke jeg fik læst hele tråden godt nok.

Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel/Aethra routere.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

---

Lars Kim Lund skrev:

> Jeg mener kun TDC bruger en særlig CSP til Windows/IE kombinationen.
> De supporterer andre OS'er og browsere og certifikater kan f.eks.
> hentes med OpenCert. Det står i øvirigt også på deres hjemmesider om
> emnet.

Ja, jeg har bemærket, at TDC i baggrunden udvikler på projektet
OpenCert.

Jeg kan se, at de tilbyder, at du kan nedhente kode i Java, herunder
til brug for certifikatanmodning. Det er da værd, at undersøge.

Desværre er dokumentationen for OpenCert kun på 1 linje på
hjemmesiden.

http://www.openoces.org/opencert/

"This page will soon contain information on OpenCert java program"

---

Michael H. wrote:

> Lars Kim Lund skrev:
>
>> Jeg mener kun TDC bruger en særlig CSP til Windows/IE kombinationen.
>> De supporterer andre OS'er og browsere og certifikater kan f.eks.
>> hentes med OpenCert. Det står i øvirigt også på deres hjemmesider om
>> emnet.
>
> Ja, jeg har bemærket, at TDC i baggrunden udvikler på projektet
> OpenCert.
>
> Jeg kan se, at de tilbyder, at du kan nedhente kode i Java, herunder
> til brug for certifikatanmodning. Det er da værd, at undersøge.

Nu kan jeg huske det! Det var dét jeg brugte. Og ja, det virker. Man kan
exportere nøglen til en privat nøglefil. Jeg har haft dem begge (firma og
privat) liggende i nogle år nu.

--
| Christian Iversen | Hitler killed people next door. oooh, |
| chrivers@iversen-net.dk | stupid man! After a couple of years, we |
| | won't stand for that, will we? |

---

Michael H. skrev:

> Desværre er dokumentationen for OpenCert kun på 1 linje på
> hjemmesiden.
>
> http://www.openoces.org/opencert/
>
> "This page will soon contain information on OpenCert java program"

Til det skulle jeg måske lige tilføje, at sidste opdatering af
projektet, herunder i både java-kode og på hjemmesiden, var i 2002, i
følge udviklernes dateringer.

Det ligner desværre et fralagt projekt.

---

"Michael H." <mic@lostinlove.dk> wrote:

>> Desværre er dokumentationen for OpenCert kun på 1 linje på
>> hjemmesiden.
>>
>> http://www.openoces.org/opencert/
>>
>> "This page will soon contain information on OpenCert java program"
>
>Til det skulle jeg måske lige tilføje, at sidste opdatering af
>projektet, herunder i både java-kode og på hjemmesiden, var i 2002, i
>følge udviklernes dateringer.
>
>Det ligner desværre et fralagt projekt.

Jeg kender ikke projektet. Men jeg ved at TDC bruger det endnu.

https://www.certifikat.dk/developer/kildekode/opencert/CertificateGetter.java
https://udstedelse.certifikat.tdc.dk/java/opencert.zip

--
Lars Kim Lund
http://www.net-faq.dk/

---

On 2006-07-11, Michael H. <mic@lostinlove.dk> wrote:
> Til brug for underskrift, kryptering og dekryptering af meddelelser i
> et FreeBSD OpenSSL S/MIME miljø er det nødvendigt, at have den
> private nøgle og certifikatet fra TDC i et filformat, eksempelvis PEM
> eller DER.

Jeg ved ikke om du kan hente den ud fra en installeret ting på windows,
men jeg genererede og brugte min nøgle fint på linux for ca 1/2 år siden
eller noget. Den virker stadig.

Der skulle lidt openssl-gymnastik til at få min kmail til at spise den,
men jeg mener at min konqueror tog den uden problemer.

Jeg ved ikke om de har fjernet muligheden eller ej.

/Sune

---

Asbjorn Hojmark skrev:

> Når det bliver gemt i normalt PFX-format (PKCS12), kan man jo skille
> det ad med OpenSSL og bruge det i andre sammenhænge. Så burde der ikke
> være nogen problemer.

Det er desværre ikke korrekt, jf. TDC's valg om, at en eksport fra
Internet Explorer ikke inkluderer den private nøgle. Det er således
ikke muligt, uanset værktøjet, at udlede den private nøgle. Den er
der ikke en del af det eksporterede.

---

Michael H. wrote:

> Asbjorn Hojmark skrev:
>
>> Når det bliver gemt i normalt PFX-format (PKCS12), kan man jo skille
>> det ad med OpenSSL og bruge det i andre sammenhænge. Så burde der ikke
>> være nogen problemer.
>
> Det er desværre ikke korrekt, jf. TDC's valg om, at en eksport fra
> Internet Explorer ikke inkluderer den private nøgle. Det er således
> ikke muligt, uanset værktøjet, at udlede den private nøgle. Den er
> der ikke en del af det eksporterede.

Ikke fra IE, måske. Men jeg sidder her med min private nøgle i en
pkcs12-fil, så det /kan/ lade sig gøre.

--
| Christian Iversen | Aaah, vhy not a paer of ziiis? |
| chrivers@iversen-net.dk | |

---

Michael H. wrote:
> Asbjorn Hojmark skrev:
>
>> Når det bliver gemt i normalt PFX-format (PKCS12), kan man jo skille
>> det ad med OpenSSL og bruge det i andre sammenhænge. Så burde der ikke
>> være nogen problemer.
>
> Det er desværre ikke korrekt, jf. TDC's valg om, at en eksport fra
> Internet Explorer ikke inkluderer den private nøgle. Det er således
> ikke muligt, uanset værktøjet, at udlede den private nøgle. Den er
> der ikke en del af det eksporterede.
>

Det er korrekt at TDC fokuserer mere på HTML-backup formatet end på
PKCS#12-formatet, men det betyder ikke, at det ikke er muligt at få
certifikat og den private nøgle ud i PKCS#12.

Det link jeg gav i et tidligere indlæg peget på en vejledning der
resulterer i en PKCS#12-fil med begge dele.

Endelig er scriptet i HTML-filen skruet sådan sammen, at det tilbyder at
gemme en pkcs#12-fil, hvis den åbnes i en "ukendt" konstallation af
browser/OS. I nedenstående screenshots er vist hvordan det ser ud i
Opera (kræver Java).

http://www.lind-damkjaer.dk/images/DSHtml1.JPG

Når jeg trykker på 'Gem Digital Signatur':

http://www.lind-damkjaer.dk/images/DSHtml2.JPG

Hvis det ikke virker i din konstallation, vil jeg opfordre dig til at
skrive til support@tdc.dk, med information om OS + Browser +
Java-version (og evt. output fra java-consol loggen). Så kan det være at
fejlen bliver rettet til alles bedste.

Og endelig mantraet:
HUSK IGEN AT FILER MED DEN PRIVATE NØGLE SKAL VÆRE KRYPTERET MED
ANVENDELSE AF EN PASSENDE PASSWORD!!!


Venlig hilsen

Peter Lind Damkjær
(Der her skriver som privatperson)

---

On Wed, 12 Jul 2006 21:36:06 +0200, Peter Lind Damkjær
<peter@lind-damkjaer.dk> wrote:

> Det link jeg gav i et tidligere indlæg peget på en vejledning der
> resulterer i en PKCS#12-fil med begge dele.

Tange mak for den uddybende forklaring.

-A
--
http://www.hojmark.org/

---

Sune Vuorela skrev:

> Jeg ved ikke om du kan hente den ud fra en installeret ting på windows,
> men jeg genererede og brugte min nøgle fint på linux for ca 1/2 år siden
> eller noget. Den virker stadig.

Kan du huske, hvad det præcis var, du brugte?

Var det eksempelvis Java-programmet OpenCert, jf. eventuelt indlæg om
dette i denne tråd?

---

On 2006-07-12, Michael H. <mic@lostinlove.dk> wrote:
> Sune Vuorela skrev:
>
>> Jeg ved ikke om du kan hente den ud fra en installeret ting på windows,
>> men jeg genererede og brugte min nøgle fint på linux for ca 1/2 år siden
>> eller noget. Den virker stadig.
>
> Kan du huske, hvad det præcis var, du brugte?

Det var noget fra den hjemmeside og den vejledning der fulgte med.

/Sune

---

Bjarke Andersen skrev:

> De reklamerede i sin tid med at Flex signaturen kunne eksporteres

TDC Hotline oplyste til mig i går, at eksport, desværre, alene er
muligt Windows-miljøer i mellem.

---

Christian Iversen skrev:

> Nu kan jeg huske det! Det var dét jeg brugte. Og ja, det virker. Man kan
> exportere nøglen til en privat nøglefil. Jeg har haft dem begge (firma og
> privat) liggende i nogle år nu.

Udmærket!

Så er dette indlæg da det mest lovende indtil videre.

Jeg er sikker på, at den ansvarlige for TDC Hotline vil være kontant
taknemmelig for denne viden, så TDC Hotline med denne viden kan finde
en løsning på problemstillingen.

Det er jo i den grad en forstyrrelse af samfundet når så inkompetente
udviklere kan gennemføre en så middelalderlig implementation, hvorom
det gælder, at der er fokus på et lukket system fremfor en åben
standard, som alle kan bruge, jf. eventuelt cBrain, der har en
udmærket artikel om denne forskel på deres hjemmeside.

---

Michael H. wrote:
> Det er jo i den grad en forstyrrelse af samfundet når så inkompetente
> udviklere kan gennemføre en så middelalderlig implementation, hvorom
> det gælder, at der er fokus på et lukket system fremfor en åben
> standard, som alle kan bruge, jf. eventuelt cBrain, der har en
> udmærket artikel om denne forskel på deres hjemmeside.
>

Jeg er helt uenig med dig.

Den digitale signatur er i modsætning til en række andre løsninger i
såvel indland som udland baseret på åbne standarder i brugermiljøet,
hvoraf X.509v3 naturligvis er den vigtigste.

- Man KAN gemme sin digitale signatur i PKCS#12
- Interfacet til directory'et er LDAP
- Løsningen understøtter OCSP
- etc.
- etc.

Det har hele tiden været vigtigt for TDC at den basale teknologi skulle
kunne fungere med størst mulig uafhængighed af operativsystem og
applikation.

At noget af teknikken såsom PKCS#12-filformater er gemt lidt væk for en
gængs bruger, er en helt anden sag. Dette skyldes primært et ønske om
bedre usability for folk, der ikke interesserer sig for mere avancerede
løsninger som eksempelvis at anvende signaturen i OpenSSL. Dvs. at lave
en løsning, "som alle kan bruge".

At du er blevet informeret af TDC's kundesupport om at PKCS#12 ikke
understøttes længere er naturligvis en helt anden sag og temmelig
uheldigt, når nu det ER tilfældet.


Venlig hilsen

Peter Lind Damkjær
(der her skriver som privatperson)

---

Michael H. skrev:

> TDC Hotline oplyste til mig i går, at eksport, desværre, alene er
> muligt Windows-miljøer i mellem.

Jeg måske lige gøre det klart, at TDC har deaktiveret den almindelige
eksport-mulighed og erstattet denne med et særligt program, der
installeres på din Windows-maskine, tilgængeligt fra Start-knappen.
Det hedder Sikkerhedskopi. Det er dette program, TDC har i tankerne,
når de taler om eksportering. Desværre gør programmet blot det, at
det laver en HTML-fil, der på den nye maskine åbnes og påbegynder en
ny Java-baseret kommunikation med www.certifikat.dk, hvilket ikke
virker med andet end Windows, oplyser TDC Hotline i går.

---

Michael H. skrev:
>
> Jeg måske lige gøre det klart, at TDC har deaktiveret den almindelige
> eksport-mulighed og erstattet denne med et særligt program, der
> installeres på din Windows-maskine, tilgængeligt fra Start-knappen.

Jeg har ikke installeret deres sikkerhedsopdatering og kan således
eksportere. Der er to muligheder, med og uden privat nøgle. Hvad kan
certifikatet/filen _uden_ privat nøgle bruges til?

--
gil

---

gil wrote:

> Michael H. skrev:
>>
>> Jeg måske lige gøre det klart, at TDC har deaktiveret den almindelige
>> eksport-mulighed og erstattet denne med et særligt program, der
>> installeres på din Windows-maskine, tilgængeligt fra Start-knappen.
>
> Jeg har ikke installeret deres sikkerhedsopdatering og kan således
> eksportere. Der er to muligheder, med og uden privat nøgle. Hvad kan
> certifikatet/filen _uden_ privat nøgle bruges til?

Den offentlige nøgle kan verificere en udstedt signatur.

--
| Christian Iversen | Come on, let's make a horse out of clay |
| chrivers@iversen-net.dk | |

---

Lars Kim Lund skrev:

> Jeg kender ikke projektet. Men jeg ved at TDC bruger det endnu.
>
> https://www.certifikat.dk/developer/kildekode/opencert/CertificateGetter.java
> https://udstedelse.certifikat.tdc.dk/java/opencert.zip

Tak. Det skal prøves.

---

Peter Lind Damkjær skrev:

> Endelig er scriptet i HTML-filen skruet sådan sammen, at det tilbyder at
> gemme en pkcs#12-fil, hvis den åbnes i en "ukendt" konstallation af
> browser/OS. I nedenstående screenshots er vist hvordan det ser ud i
> Opera (kræver Java).

Hvis det virker, så er det en ekstrem værdifuld viden, der burde
være vist på forsiden af www.certifikat.dk. Jeg kan dog allerede
oplyse, at et umiddelbart forsøg i Firefox på FreeBSD blot resulterer
i en blank side. Der er ingen tilbud om, at gemme i PKCS#12. Jeg vil
afprøve det i Opera på Windows.

Tak for et godt indlæg med faktuel information.