---

Hejsa,

Som de fleste nok har læst til morgen har Nykredit "opfundet" en "ny"
måde at lave authentication på. Methoden virker ved at man logger ind med
username+password og får tilsendt et one-time password til ens mobil
telefon. Denne løsning har de luftet for IBM for at få dem til at
markedsføre det.

Denne løsning kiggede jeg også på for ca 1 år siden og kom frem til
følgende:

1. Mobil nettet er ikke krypteret
2. Når nettet var belastet kunne jeg vente på til 9 timer for at få mit
one-time password
3. Logger tele selvsakaberne ikke sms'er ?

Men efterfølgende har jeg kigget på en anden løsning:

Hvis man købte en 16mb USB keyring og lagde et krypteret fil system på.
Så når man skulle authenticate sig over for systemet skulle man indtaste
passwordet til filsystemet og derefter ville alt køre via certifikater
som der skulle være masser af plads til. På denne kunne man så også ligge
sine nøgler til ssh, pgp osv.

Denne løsning ligner lidt etokens (Som etrust har lavet) som også
benytter sig af et USB device (Dog med chip istedet for harddisk) og virker
kun med MS. Desuden er protokollen lukket hvilket gør det svært at lave
en løsning til linux, freebsd eller openbsd.

Denne model ville også virke på andre systemer end MS. Min ide var
faktisk at lave en prototype til Linux først via et kernemodul og PAM.
Men nu har jeg ikke lige kigget på krypterede filsystmer og ved ikke om
de er gode til denne løsning da jeg ikke ønsker mine private keys delt
med andre brugere på maskinen.

Dog kunne jeg lave så kun een bruger kunne logget ind på systemet da det
kun skal bruges til workstations men ..

Nu er mit spørgsmål:

Kan i se nogle fatale fejl i en løsning med en USB keyring eller er det
nogle ting jeg skal tage mig i akt for når jeg har tænkt mig at bruge et
krypteret filsystem ?

Mvh
Kim

---

Kim Nielsen wrote:
> Som de fleste nok har læst til morgen har Nykredit "opfundet" en "ny"
> måde at lave authentication på. Methoden virker ved at man logger ind med
> username+password og får tilsendt et one-time password til ens mobil
> telefon. Denne løsning har de luftet for IBM for at få dem til at
> markedsføre det.

Den type validering har vi selv haft i vores produkt e-mobilizer i over
et år.

Jeg har endvidere set det i andre produkter før, lyder som en kreativ
marketingsafdeling.

> Denne løsning kiggede jeg også på for ca 1 år siden og kom frem til
> følgende:
>
> 1. Mobil nettet er ikke krypteret

?

> 2. Når nettet var belastet kunne jeg vente på til 9 timer for at få mit
> one-time password

Har ikke oplevet dette problem.

> 3. Logger tele selvsakaberne ikke sms'er ?

Det ved jeg ikke, men der et one-time password, dvs. det kan ikke
genbruges, endvidere kender teleselskabet ikke dit statiske brugernavn
og password.

[keyring]
> Nu er mit spørgsmål:
>
> Kan i se nogle fatale fejl i en løsning med en USB keyring eller er det
> nogle ting jeg skal tage mig i akt for når jeg har tænkt mig at bruge et
> krypteret filsystem ?

Er den lokale maskine taget, og du giver adgang til USB keyringen, ved
at taste dit password, har man adgang til indholdet på denne.

---

On Fri, 24 May 2002 08:53:54 +0200, Christian E. Lysel wrote:
[SNIP]
> [keyring]
>> Kan i se nogle fatale fejl i en løsning med en USB keyring eller er det
>> nogle ting jeg skal tage mig i akt for når jeg har tænkt mig at bruge
>> et krypteret filsystem ?
>
> Er den lokale maskine taget, og du giver adgang til USB keyringen, ved
> at taste dit password, har man adgang til indholdet på denne.

Det vil sige at i det jeg taster min kode ind for det krypterede
filsystem er det tilgængeligt for alle brugere ?

Mvh
Kim

---

Kim Nielsen wrote:
> Det vil sige at i det jeg taster min kode ind for det krypterede
> filsystem er det tilgængeligt for alle brugere ?

Det vil regne med.

Hvilken metoder skal forhindre dette og har du set det hos producenterne?

---

On Fri, 24 May 2002 11:52:54 +0200, Christian E. Lysel wrote:

> Kim Nielsen wrote:
>> Det vil sige at i det jeg taster min kode ind for det krypterede
>> filsystem er det tilgængeligt for alle brugere ?
>
> Det vil regne med.
>
> Hvilken metoder skal forhindre dette og har du set det hos
> producenterne?

Nej .. jeg har som sagt ikke fået kigget på krypterede filsystmer men
...jeg kan høre at der skal vist noget andet til :(

/Kim

---

Kim Nielsen wrote:
> Nej .. jeg har som sagt ikke fået kigget på krypterede filsystmer men
> ..jeg kan høre at der skal vist noget andet til :(

Sony har lavet et smartcard med fingeraftryk læser, men intet tyder på
at du i det øjeblik du har givet fingeraftrykket kan få kopieret
certifikatet af fx en troj. Men det kan være jeg har overset noget, jeg
har ikke kikket grundigt på det.

Endvidere betragter jeg fingeraftryk som usikkert, da man sætte det
overalt :)

---

Kim Nielsen <knielsen@REMOVETHISproventum-solutions.net> wrote:
> Nej .. jeg har som sagt ikke fået kigget på krypterede filsystmer men
> ..jeg kan høre at der skal vist noget andet til :(

Ja, ideen med smartcards er jo netop at en PC der er blevet trojaned
ikke kan opsnappe genbrugelige valideringsoplysninger. Smartcardet laver
arbejdet sender et svar paa den givne challenge tilbage gennem PC'ene.

Der er naturligvis andre risiko ved smartcards, blandt andet at man skal
passe paa dem, og at en PC med trojan software maaske stadigt vil have
mulighed for at aendre transaktionen, selvom den ikke kan opsnappe
valideringsoplysninger.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On Fri, 24 May 2002 12:12:35 +0200, Alex Holst wrote:

> Kim Nielsen <knielsen@REMOVETHISproventum-solutions.net> wrote:
>> Nej .. jeg har som sagt ikke fået kigget på krypterede filsystmer men
>> ..jeg kan høre at der skal vist noget andet til :(
>
> Ja, ideen med smartcards er jo netop at en PC der er blevet trojaned
> ikke kan opsnappe genbrugelige valideringsoplysninger. Smartcardet laver
> arbejdet sender et svar paa den givne challenge tilbage gennem PC'ene.
Men virker smartcards ikke pt kun under Windows? .. jeg har kun set smart
læsere til linux men ikke noget software som kunne lave authentication
via kortet.

Jeg ville helst undgå at bruge noget som helt der har MS stemplet over
det hele .. derfor tænkte jeg på at lave det med USB nøgler. Men kan godt
se det falder lidt til jorden hvis man ikke kan have sin private key i
fred.

Findes der nogen anden måde at gemme data på hvor brugeren hvor andre end
brugeren ikke har agang til det. Een måde kunne være kryptering men med
RSA kræver det jo en private key og så skal man have en private key for
at kunne låse sine andre private keys op .. det lyder ikke særlig smart

Mvh
Kim

---

Kim Nielsen wrote:
> Nej .. jeg har som sagt ikke fået kigget på krypterede filsystmer men
> ..jeg kan høre at der skal vist noget andet til :(

Sony har lavet et smartcard med fingeraftryk læser, men intet tyder på
at du kan undgå at få kopieret certifikatet (af fx en troj) i det
øjeblik du har givet fingeraftrykket. Men det kan være jeg har overset
noget, jeg har ikke kikket grundigt på det.

Endvidere betragter jeg fingeraftryk som usikkert, da man sætte det
overalt :)

---

Christian E. Lysel wrote:
> Sony har lavet et smartcard med fingeraftryk læser, men intet tyder på
> at du kan undgå at få kopieret certifikatet (af fx en troj) i det
> øjeblik du har givet fingeraftrykket. Men det kan være jeg har overset
> noget, jeg har ikke kikket grundigt på det.

Jeg har lige læst mere grundigt og trækker ovenstående tilbage, se evt.

http://www.sony.co.jp/en/Products/puppy/contents05.html

og

http://www.sony.co.jp/en/Products/puppy/contents06.html


Men trækker ikke nedestående tilbage :)

> Endvidere betragter jeg fingeraftryk som usikkert, da man sætte det
> overalt :)

---

On Fri, 24 May 2002 12:25:27 +0200, Christian E. Lysel wrote:

[SNIP]
>
> Men trækker ikke nedestående tilbage :)
>
>> Endvidere betragter jeg fingeraftryk som usikkert, da man sætte det
>> overalt :)

Det må jeg give dig ret i .. finger aftryk og iris scanning er vist ikke
helt klart endnu eller også er softwaren bare dårlig

http://www.heise.de/ct/english/02/11/114/

Mvh
Kim

---

Kim Nielsen wrote:
> Det må jeg give dig ret i .. finger aftryk og iris scanning er vist ikke
> helt klart endnu eller også er softwaren bare dårlig

Hvordan kan det gøres bedre, du har en elektronisk scanner med en eller
anden opløsning. Dette kan altid fakes.

Jeg har før udtalt at en fingerscanner med en vagt er "sikkert-nok", men
prøv at kik på,

http://cryptome.org/gummy.htm

---

"Kim Nielsen" <knielsen@REMOVETHISproventum-solutions.net> wrote in message
news:pan.2002.05.24.05.50.14.915394.3655@REMOVETHISproventum-solutions.net...
> 1. Mobil nettet er ikke krypteret
> 2. Når nettet var belastet kunne jeg vente på til 9 timer for at få mit
> one-time password
> 3. Logger tele selvsakaberne ikke sms'er ?

Der kommer snart ESMS, altså krypteret sms'er.
Dette var ikke svar på dine spørgsmål, men jeg ville bare lige oplyse om ESMS

mvh
db

---

Kim Nielsen wrote:

> Kan i se nogle fatale fejl i en løsning med en USB keyring eller er det
> nogle ting jeg skal tage mig i akt for når jeg har tænkt mig at bruge et
> krypteret filsystem ?

Ikke fejl, men et "dumt" datalager bliver ikke sikrere af at ligge på en
USB-enhed. Løsningen er ikke sikrere end f.eks. en fil på harddisken eller en
diskette.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/

---

On Fri, 24 May 2002 13:12:29 +0200, Jonathan Stein wrote:

> Ikke fejl, men et "dumt" datalager bliver ikke sikrere af at ligge på
> en
> USB-enhed. Løsningen er ikke sikrere end f.eks. en fil på harddisken
> eller en diskette.

Det ved jeg godt .. men en USB keyring er nem at tage med sig .. og af
samme grund tænke jeg på krypterede filsystmer men .. det var vist heller
ikke et hit

Mvh
Kim

---

Den Fri, 24 May 2002 14:35:46 +0200 skrev Kim Nielsen:
>On Fri, 24 May 2002 13:12:29 +0200, Jonathan Stein wrote:
>
>> Ikke fejl, men et "dumt" datalager bliver ikke sikrere af at ligge på
>> en
>> USB-enhed. Løsningen er ikke sikrere end f.eks. en fil på harddisken
>> eller en diskette.
>
>Det ved jeg godt .. men en USB keyring er nem at tage med sig .. og af
>samme grund tænke jeg på krypterede filsystmer men .. det var vist heller
>ikke et hit

En diskette kræver ikke at man skal ned og kravle under bordet, omme
bag ved maskinen...

Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped

With XMMS tugging along nicely, playing Vivaldi...

---

"Kent Friis" <leeloo@phreaker.net> wrote:

> En diskette kræver ikke at man skal ned og kravle under bordet, omme
> bag ved maskinen...

Er det ikke også længe siden USB krævede det....


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil

---

Den Sat, 25 May 2002 02:00:14 +0200 skrev Ulrik Lunddahl:
>"Kent Friis" <leeloo@phreaker.net> wrote:
>
>> En diskette kræver ikke at man skal ned og kravle under bordet, omme
>> bag ved maskinen...
>
>Er det ikke også længe siden USB krævede det....

Mig bekendt er USB ikke blevet trådløst, så medmindre man har en
USB-forlængerledning liggende, så skal man da stadig.

Mvh
Kent
--
"Intelligence is the ability to avoid doing work, yet get the work done"
- Linus Torvalds

---

"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:acmkvk$euk$1@sunsite.dk...
> Den Sat, 25 May 2002 02:00:14 +0200 skrev Ulrik Lunddahl:
> >"Kent Friis" <leeloo@phreaker.net> wrote:
> >
> >> En diskette kræver ikke at man skal ned og kravle under bordet, omme
> >> bag ved maskinen...
> >
> >Er det ikke også længe siden USB krævede det....
>
> Mig bekendt er USB ikke blevet trådløst, så medmindre man har en
> USB-forlængerledning liggende, så skal man da stadig.
>
De fleste nyere PC-er har USB-stik monteret på fronten.

Mvh
Lars

---

Den Sat, 25 May 2002 18:37:18 +0200 skrev Lars Mosegård:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:acmkvk$euk$1@sunsite.dk...
>> Den Sat, 25 May 2002 02:00:14 +0200 skrev Ulrik Lunddahl:
>> >"Kent Friis" <leeloo@phreaker.net> wrote:
>> >
>> >> En diskette kræver ikke at man skal ned og kravle under bordet, omme
>> >> bag ved maskinen...
>> >
>> >Er det ikke også længe siden USB krævede det....
>>
>> Mig bekendt er USB ikke blevet trådløst, så medmindre man har en
>> USB-forlængerledning liggende, så skal man da stadig.
>>
>De fleste nyere PC-er har USB-stik monteret på fronten.

Det har jeg kun set på et par enkelte PC'er, og der sad stikkene helt
nede ved gulvet, så man alligevel skal ned og kravle (omend ikke helt
så langt væk). Floppy er stadig nemmere.

Mvh
Kent
--
"A computer is a state machine.
Threads are for people who can't program state machines."
- Alan Cox

---

"Kent Friis" <leeloo@phreaker.net> wrote:

> Det har jeg kun set på et par enkelte PC'er, og der sad stikkene helt
> nede ved gulvet, så man alligevel skal ned og kravle (omend ikke helt
> så langt væk). Floppy er stadig nemmere.

Ingen af mine maskiner har floppy mere, jeg ejer kun en diskette, og hvis
jeg skal bruge det der ligger på den bruger jeg er delt floppy drev på en
anden computer.

Ganske mange bærbare leveres i dag også uden floppy drev, man køber det ved
siden af til er par tusinde.

Men USB har jeg ikke set en bærbar mangle i meget land tid.

--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil

---

Den Sat, 25 May 2002 19:31:29 +0200 skrev Ulrik Lunddahl:
>"Kent Friis" <leeloo@phreaker.net> wrote:
>
>> Det har jeg kun set på et par enkelte PC'er, og der sad stikkene helt
>> nede ved gulvet, så man alligevel skal ned og kravle (omend ikke helt
>> så langt væk). Floppy er stadig nemmere.
>
>Ingen af mine maskiner har floppy mere,

iMac?

For os stakkels PC-brugere, der ikke har OpenBoot, PROM eller noget
andet smart til at redde maskinen, hvis vi skulle få smadret
boot-sektoren, og maskinen ikke kan boote fra bånd, er det nemmere at
lave en boot-diskette til den slags tilfælde, end at skulle få en med
en brænder til at brænde en CD på en par MB.

Mvh
Kent
--
The revolution has just begun.

---

"Kent Friis" <leeloo@phreaker.net> wrote:

> iMac?

Er det den der ligner en lampe ?

> For os stakkels PC-brugere, der ikke har OpenBoot, PROM eller noget
> andet smart til at redde maskinen, hvis vi skulle få smadret
> boot-sektoren, og maskinen ikke kan boote fra bånd, er det nemmere at
> lave en boot-diskette til den slags tilfælde, end at skulle få en med
> en brænder til at brænde en CD på en par MB.

Jeg har kun PC'ere og jeg tror det var Windows NT 4.0 CD'en der var den
første der kunne bootes på, men jeg kan huske forkert, måske Windows 95
CD'en også kunne, 98, ME, 2000 og XP CD'en kan fint boote.

99% af alle PC brugere har eller burde have en Windows CD-ROM de kan boote
på, de sidste bruger nok Linux, og her kan man også boote fra CD'en.

Naturligvis kan man sige at Linux brugerene kunne nøjes med et floppy drev,
og så installere over nettet, men der er trods alt CD-ROM i de fleste
maskiner i dag, og i de sidste par år har man kunne boote fra denne.


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil

---

Den Sun, 26 May 2002 01:40:08 +0200 skrev Ulrik Lunddahl:
>"Kent Friis" <leeloo@phreaker.net> wrote:
>
>> iMac?
>
>Er det den der ligner en lampe ?

Nogen af dem gør.

>> For os stakkels PC-brugere, der ikke har OpenBoot, PROM eller noget
>> andet smart til at redde maskinen, hvis vi skulle få smadret
>> boot-sektoren, og maskinen ikke kan boote fra bånd, er det nemmere at
>> lave en boot-diskette til den slags tilfælde, end at skulle få en med
>> en brænder til at brænde en CD på en par MB.
>
>Jeg har kun PC'ere og jeg tror det var Windows NT 4.0 CD'en der var den
>første der kunne bootes på, men jeg kan huske forkert, måske Windows 95
>CD'en også kunne, 98, ME, 2000 og XP CD'en kan fint boote.
>
>99% af alle PC brugere har eller burde have en Windows CD-ROM de kan boote
>på, de sidste bruger nok Linux, og her kan man også boote fra CD'en.
>
>Naturligvis kan man sige at Linux brugerene kunne nøjes med et floppy drev,
>og så installere over nettet, men der er trods alt CD-ROM i de fleste
>maskiner i dag, og i de sidste par år har man kunne boote fra denne.

Du snakker hele tiden om at installere maskinen... Jeg snakkede om en
rescue-diskette. Et andet eksempel kunne være den maskine jeg har
stående her ved siden af. Ingen harddisk, den booter på en diskette -
der kunne man naturligvis også brænde en ny CD med de par hundrede
kilobytes, hver gang man retter i konfigurationen...

Mvh
Kent
--
Avoid the Gates of Hell. Use Linux
(Unknown source)

---

"Kent Friis" <leeloo@phreaker.net> wrote:

> Mig bekendt er USB ikke blevet trådløst, så medmindre man har en
> USB-forlængerledning liggende, så skal man da stadig.

Jeg har USB stik på fronten af min computer, og der er også 4 på min
monitor, og på arbejdet har jeg et keyboard med USB stik.

Ud over det ligger de færeste bærbare under bordet...


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil

---

Den Sat, 25 May 2002 19:29:13 +0200 skrev Ulrik Lunddahl:
>"Kent Friis" <leeloo@phreaker.net> wrote:
>
>> Mig bekendt er USB ikke blevet trådløst, så medmindre man har en
>> USB-forlængerledning liggende, så skal man da stadig.
>
>Jeg har USB stik på fronten af min computer, og der er også 4 på min
>monitor, og på arbejdet har jeg et keyboard med USB stik.
>
>Ud over det ligger de færeste bærbare under bordet...

Næ, men hvem f*nden har råd til en bærbar?

Mvh
Kent
--
Mails skrevet før 12:00 skal læses med det forbehold, at hjernen først
forventes at være færdig med at boote på det tidspunkt, og indholdet
derfor kan indeholde random data der tilfældigvis lå i den
uinitializerede cache.

---

"Kent Friis" <leeloo@phreaker.net> wrote:

> Næ, men hvem f*nden har råd til en bærbar?

Er det relevant, det er kun et fåtal af gamle maskiner i dag der kun har USB
tilslutning på bagsiden, og bruger man USB til nogen af de 100 vis af andre
ting der kan tilsluttes har man i disse tilfælde måske en USB hub som er nem
at komme til.


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil

---

Den Sun, 26 May 2002 01:42:29 +0200 skrev Ulrik Lunddahl:
>"Kent Friis" <leeloo@phreaker.net> wrote:
>
>> Næ, men hvem f*nden har råd til en bærbar?
>
>Er det relevant, det er kun et fåtal af gamle maskiner i dag der kun har USB
>tilslutning på bagsiden, og bruger man USB til nogen af de 100 vis af andre
>ting der kan tilsluttes har man i disse tilfælde måske en USB hub som er nem
>at komme til.

Begge mine USB-porte sidder bag på maskinen. Jeg bruger kun den ene, til
et digital-kamera, da der ikke er tale om en Mac, med tastatur og mus
på USB.

Bortset lige fra tricket med at bruge en USB-porten som diskettedrev,
kan jeg heller ikke lige se fidusen i at flytte kablerne om foran på
maskinen.

Mvh
Kent
--
What was your username?
<Clicketyclick> - B.O.F.H.

---

"
"Ulrik Lunddahl" <nospam037@lunddahl.dk> writes:

> , det er kun et fåtal af gamle maskiner i dag der kun har USB
> tilslutning på bagsiden, og bruger man USB til nogen af de 100 vis af andre
> ting der kan tilsluttes har man i disse tilfælde måske en USB hub som er nem
> at komme til.

Det er en relativ ny ting at USB sidder foran, jeg kan ikke huske at
have set det for et år siden (ikke at jeg er sikker, men det var der
jeg købte ny maskine). Der er rigtigt mange maskiner derude der er ældre,
og det bliver der ved med at være nogle år endnu.
Det er ikke i f.eks. Nykredits interesse at lave et system der ikke virker
på de fleste af deres potentielle kunders maskiner, hvilket nok udelukker
USB-dimser der skal sættes i og pille ud ved brug, et stykke tid endnu.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgment merely degrades the spirit divine.'