En digital signatur er et system som består af en privat nøgle og en offentlig nøgle. Et vilkårligt program som kan danne sådan et nøgle par, kan bruges til at lave en digital ID.
PGP (Pretty Good Privacy) er sådan et program som kan danne sådan et nøgle par.
For at lave sådan et nøgle par, så skal du og den anden begge benytte PGP programmet til at danne nøgle par.
Derefter skal du sende din offentlige nøgle til den anden og du skal have den andens offentlige nøgle.
Når du vil sende en krypteret besked til den anden person, så benyter du hans offentlige nøgle til at pakke beskeden ind i. For meddelelsen kan kun pakkes ud igen ved den anden person bruger sin private nøgle.
Når du vil sende en underskrevet besked, så bruger du din private nøgle, for den vil kun kunne pakkes ud med din offentlige nøgle.
Nu kan det være lidt besværligt at udveksle alle de offentlige nøgler. Du kan jo ikke have alverdens offentlige nøgler liggende på din egen pc. Og hvordan kan du være sikker på at den offentlige nøgle ikke er blevet beskadiget eller hijacket undervejs.
erfor benyttes som regel et system som hedder X.509. Dette system benytter også nøgle par, men mellem tre parter.
Dig og en anden, samt en ID server.
Microsoft har forhåndsgodkendt en håndfuld ID servere. Jeg er sikker på at disse ID servere har betalt Microsoft en god håndfuld penge for at få denne forhåndsgodkendelse med i IE.
Da jeg undersøgte (og installerede en ID server) for et par år siden, så var det samme tilfældet for Netscape. Netscape browsere kommer også med en håndfuld ID servere som er forhåndsgodkendt.
Når man vil oprette en sikker forbindelse, så sender min webserver min offentlige nøgle til dig. Min offentlige nøgle er imidlertid pakket ind i en sikker pakke af en ID server.
Det betyder at din ID browser derefter kan kontrollere om ID serveren er enig med min web server om at det du har modtaget reelt ER min offentlige nøgle.
Kommunikationen med ID serveren er ganteret sikker, fordi ID serverens offenlige nøgle blev installeret samtidigt med at din web browser (IE eller Netscape) blev installeret.
For at jeg kan få indpakket min offentlige nøgle hos ID serveren, så skal jeg selvfølgelig først have haft sendt den til den til ID serveren, som har undersøgt sammenhængen om ejerskab mellem den webserver som skal garanteres, samt de ejere som er registreret at eje den web server.
Den kontrol er ret kostbar at udføre for ID serverens ejer. Så jeg skal betale en del kr. for at få den oprettet, samt et årligt gebyr for at bevare servicen fra ID serveren.
Hvis du er interesseret så kan jeg godt fortælle lidt om den process som man med en web server skal igennem for at få sin web server godkent i sikkerheds systemet.
Der findes endvidere 4-5 niveauer af garanti for at den web server er den som den udgiver sig for at være. Og af de personer som siger de ejer den web server reelt er eksisternde perosner og kendte personer i det land som de selv siger de bor i.
Ddet højeste niveu af sikerhed består i at en alle de metoder som benyttes til niveau 1,2,3 og fire også benyttes. derudover så sendes en detektiv til det land hvor webservere findes. Og han identificere personligt ejerne, web serveren, landet, landets dokumenter etc. Det er MEGET kostbart at få sådan en højt garanteret ID.
Den metode som den danske ID er bygget op på , det er at du bestiller en ID via et web interface. I den forbindelse bliver der dannet en offentlig og en privat nøgle på din PC, som bla. tilknyttes dit navn og dit CPR nummer.
Derudover så sender TDC et brev til den folkeregister adresse som er knyttet til dit CPR nummer. I det brev er der en aktivereings nøgle.
Du skal siden indtaste den aktiveringsnøgle før din private og offentlige nøgle bliver endeligt aktiveret.
Her bygger man altså sikkerheden på at hvis man sender et brev med dit navn og adresse på, en adresse som man har fået af folkeregisteret, så er det sikkerhed nok for at vide, at du rent faktisk er den som du giver dig ud for at være.
Når du har fået en digital signatur, så skal du beskytte den fil på din pc som indeholder din private nøgle. Har man den nøgle, samt det password som du har beskyttet den nøgle med, så svarer det til at man kan benytte din underskrift.
Fik jeg sagt, at hver gang en privat nøgle på din egen pc skal benyttes, så skal du først indtaste et password, som beskytter din private nøgle.
Windows er designet til at kunne opbevare digitale nøgle par, og ethvert program kan benytte windows' API til at benytte det (de) nøgle par som måtte lige på en given pc.
www.verisign.com som er ejet af VeriSign Group er en meget stor ID server. VeriSign Group har for et par år siden også købt et andet stort firma som som har ID servere, det er
www.thawte.com.
Thawte har et system hvor private gratis kan få en personlig digital ID. De reklamere ikke ret meget om det på forsiden af deres web side, de vil jo egentligt hellere have at du betaler for deres service, især da ejerne VeriSign kun sælger deres peroslige ID. Men det var tydeligtvis en del af aftalen da VeriSign købte Thawte, at Thawte fik lov til at fortsætte deres system med gratis ID.
På
www.thawte.com 's forside skal du lede efter "Products" og "email certificate" eller blot bruge denne direkte adresse
http://www.thawte.com/html/COMMUNITY/personal/index.html
Systemet indebærer at to eller flere personer, skal se at der er overensstemmelse mellem dit CPR nummer og dit billede i to officielle dokumenter, det kan fx. være pas og kørekort.
Man kan vælge at det er to personer, din advokat, din revisor eller din banks afdelingsbestyrer.
Eller man kan vælge at gå til tre til fire personer som allerede ER identificerede i systemet, og de fire personer skal gå ind på Thawte's system og godkende at de har kontrolleret sammenhængen mellem to billed identifikations papirer og dit CPR nummer.
Det er også muligt for dig at opsætte din egen ID server, men det er en anden historie, som du naturligvis gerne må få hvis du ønsker at installere sådan en ID server. Den følger standard med sammen med Microsoft Advanced Server, og kaldes en certifikat server.
Fik du fat i hvordan der findes en række forskellige metoder hvor du kan lave dine egne digitale ID?
mvh. Per