/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Digital signatur, er den nu så sikker????
Fra : complex@pc.dk


Dato : 07-02-03 06:39

TDC vandt kampen om den digitale signatur.
Men tør man nu også bruge den ???

I gennem tiderne har alle disse moderne "sikre" ting fået
ændret nogle huller man opdagede senere (og så har de jo ikke været
sikre)

Man naturligvis, sikker signatur findes ikke, se bare sagen med
Thorsen og Trads !!!!!!!

100% Sikker krypetering findes men er så besværlig at anvende at
man normalt ikke gør det!!

F.eks 100% sikker kryptering:
tekst længde 100.000 bytes
krypterings nøgle 100.000 bytes
længde af krypteret tekst 100.000 bytes
kryptering: f.eks simpel xor af de to tekster/nøgle

Forudsætninger/problemer:
1/ nøglen skal være 100% tilfældig og anvende ALLE 256 tegn
2/ den skal mindst være lige så lang som den information der ønskes
krypteret.
3/ den må kun bruges EEN gang

problemet er "kun" at få nøglen frem til modtageren
uden den bliver læst af andre.

så vil et dekrypeteringsforsøg kunne resultere i ALT, f.eks et billed
af din hund, selv om du aldrig har haft en hund.


Med venlig hilsen, Lars
www.complex-data.dk www.pc-doktoren.dk
kompetence koster penge - inkompetence koster MANGE penge.


















 
 
Christian E. Lysel (07-02-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 07-02-03 07:44

complex@pc.dk wrote:
> 1/ nøglen skal være 100% tilfældig og anvende ALLE 256 tegn

Hvordan kan du sætte krav til tilfældigheden?



--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


complex@pc.dk (07-02-2003)
Kommentar
Fra : complex@pc.dk


Dato : 07-02-03 08:00

Her er hvordan jeg selv lave de en tilfældig nøgle på 650 MB

Tog alle mine billeder (tif) og lagde sammen til een file
krypterede med et lille kryptor program
krypterede den igen med et andet program

NU har jeg 650MB tilfældig (næsten) nøgle

Det eneste man ikke må er næsten at bruge et program til den
tilfældige nøgle (det er en videnskab der falder uden for denne gruppe
at lave tilfældige tal)


Med venlig hilsen, Lars
www.complex-data.dk www.pc-doktoren.dk
kompetence koster penge - inkompetence koster MANGE penge.

On Fri, 07 Feb 2003 07:43:33 +0100, "Christian E. Lysel"
<news.sunsite.dk@spindelnet.dk> wrote:

>complex@pc.dk wrote:
>> 1/ nøglen skal være 100% tilfældig og anvende ALLE 256 tegn
>
>Hvordan kan du sætte krav til tilfældigheden?


Klaus Ellegaard (07-02-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 07-02-03 08:31

complex@pc.dk writes:

>Her er hvordan jeg selv lave de en tilfældig nøgle på 650 MB

>Tog alle mine billeder (tif) og lagde sammen til een file

De er jo ikke tilfældige. Hvert billede har jo en header, der går
igen for hver billedstart.

Bevares, der skal sikkert temmelig meget data til at opdage den,
men de er der.

>krypterede med et lille kryptor program
>krypterede den igen med et andet program

Det kan næppe bevises, at entropien stiger, fordi du krypterer i
flere lag.

>NU har jeg 650MB tilfældig (næsten) nøgle

Så langt fra.

Mvh.
   Klaus.

Jens Axel Søgaard (07-02-2003)
Kommentar
Fra : Jens Axel Søgaard


Dato : 07-02-03 14:53

"Klaus Ellegaard" <klaus@ellegaard.dk> skrev i en meddelelse news:b1vnb7$4t3$1@katie.ellegaard.dk...
> complex@pc.dk writes:
>
> >Her er hvordan jeg selv lave de en tilfældig nøgle på 650 MB
....
> >NU har jeg 650MB tilfældig (næsten) nøgle
>
> Så langt fra.

Enig, for det giver ikke megen mening at tale om, at *en* nøgle
er tilfældig.

Hvis man slår med en terning een gang og får 6, kan man ikke vide
om det var tilfældigt, at man fik 6, eller om der er pillet ved terningen,
så man altid får 6. Den eneste måde at undersøge om, terningen giver
tilfældige tal, er ved at kaste samme terning mange gange, og så teste
om følgen af kast med god ret kan siges at opføre sig tilfældigt (hvilket
betyder, at den opfylder diverse statistiske tests).

Det er samme sprogbrug, der anvendes, når man taler om algoritmer, der
fremstiller tilfældige nøgler.

--
Jens Axel Søgaard



Klaus Ellegaard (07-02-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 07-02-03 15:34

"Jens Axel Søgaard" <usenet@soegaard.net> writes:

>> >NU har jeg 650MB tilfældig (næsten) nøgle
>>
>> Så langt fra.

>Enig, for det giver ikke megen mening at tale om, at *en* nøgle
>er tilfældig.

OTP kræver, at tallene er "ægte tilfældige". Det er komplet umuligt
at lave en algoritme, der laver et acceptabelt output til det. Alene
det, at nogen har programmeret algoritmen, betyder jo, at den ikke
kan være tilfældig.

Tallene SKAL komme fra en tilfældig kilde (kosmisk baggrundsstøj er
f.eks. en rimelig god plan).

>Hvis man slår med en terning een gang og får 6, kan man ikke vide
>om det var tilfældigt, at man fik 6, eller om der er pillet ved terningen,

En terning er noget skidt, for en eller anden står og slår med den.
Hans håndbevægelser kan ikke siges at være ægte tilfældige, og dér
er hele konceptet så ødelagt.

Mvh.
   Klaus.

Bjarne Østergård (07-02-2003)
Kommentar
Fra : Bjarne Østergård


Dato : 07-02-03 16:46


"Klaus Ellegaard" <klaus@ellegaard.dk> skrev i en meddelelse
news:b20g4l$hbb$1@katie.ellegaard.dk...
> "Jens Axel Søgaard" <usenet@soegaard.net> writes:

Hm alle tal er vel tilfældige eller også er ingen.
Selv min skatte beregning ser noget tilfældigvis ud når jeg får den fra
væsnet.

Kan et tal med et ciffer eks, være mindre tilfældig en et tal på 1000 cifre
Bare at have en større mængde data gør vel intet ved tilfældigheden.

> >> >NU har jeg 650MB tilfældig (næsten) nøgle
> >>
> >> Så langt fra.
>
> >Enig, for det giver ikke megen mening at tale om, at *en* nøgle
> >er tilfældig.
>
> OTP kræver, at tallene er "ægte tilfældige". Det er komplet umuligt
> at lave en algoritme, der laver et acceptabelt output til det. Alene
> det, at nogen har programmeret algoritmen, betyder jo, at den ikke
> kan være tilfældig.
>
> Tallene SKAL komme fra en tilfældig kilde (kosmisk baggrundsstøj er
> f.eks. en rimelig god plan).
Hvem siger at kosmisk baggrundsstøj er tilfældig.
Og en tilfældig kilde er det da bestemt ikke, kilden er jo nettop kosmisk
baggrundsstøj.

> >Hvis man slår med en terning een gang og får 6, kan man ikke vide
> >om det var tilfældigt, at man fik 6, eller om der er pillet ved
terningen,
>
> En terning er noget skidt, for en eller anden står og slår med den.
> Hans håndbevægelser kan ikke siges at være ægte tilfældige, og dér
> er hele konceptet så ødelagt.

Hvis du ikke med 100% sikkerhed kan forudsige næste kast, er det et
tilfælde, hvis du gætter rigtigt, og dermed er kastet tilfældig.
Du kan jo bare tilføje det nøjagtige tidspunkt til kastet, dermed vil kastet
aldrig kunne gentages, det er da ikke bare tilfældigt, det er også unikt.

MVH
Bjarne






Lasse Reichstein Nie~ (07-02-2003)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 07-02-03 17:28

Bjarne Østergård <boe@ydicon.dk> writes:

> "Klaus Ellegaard" <klaus@ellegaard.dk> skrev i en meddelelse
> news:b20g4l$hbb$1@katie.ellegaard.dk...
> > "Jens Axel Søgaard" <usenet@soegaard.net> writes:
>
> Hm alle tal er vel tilfældige eller også er ingen.
> Selv min skatte beregning ser noget tilfældigvis ud når jeg får den fra
> væsnet.

Korrekt. Enkelte givne tal er ikke tilfældige.
Når man ikke har tallet endnu, så kan det, afhængigt af hvordan man
kommer frem til tallet, siges at være tilfældigt hvilket tal der kommer frem.

> Kan et tal med et ciffer eks, være mindre tilfældig en et tal på 1000 cifre
> Bare at have en større mængde data gør vel intet ved tilfældigheden.

Ikke i sig selv. Tilfældigheden ligger ikke i tallet, men i
sandsynlighedsfordelingen af udfaldsrummet.

Normalt vil man nok sige at noget er (fuldstændig) tilfældigt hvis man
ikke kan forudsige det (i hvert fald ikke med større success end at
gætte i blinde).

> > OTP kræver, at tallene er "ægte tilfældige". Det er komplet umuligt
> > at lave en algoritme, der laver et acceptabelt output til det. Alene
> > det, at nogen har programmeret algoritmen, betyder jo, at den ikke
> > kan være tilfældig.

Det afhænger jo af inputtet. Hvis det også er 650M stort, så kan algoritmen
godt bevare "tilfældigheden" og være lige så tilfældigt som input.

> Hvem siger at kosmisk baggrundsstøj er tilfældig.

Det er vist en hypotese som ser ud til at holde i praksis.

Her er vi ude af matematikken og inde i fysikken, og her gælder den
induktive videnskabs love. Vi har en teori der siger at baggrundsstrålingen
er tilfældig, og vi har ikke været i stand til at modevise det, så det
er en god teori.

> Og en tilfældig kilde er det da bestemt ikke, kilden er jo nettop kosmisk
> baggrundsstøj.

Godt fanget :) Ord er farlige, men kosmisk baggrundsstråling er en
(ikke helt tilfældig) kilde til tilfældighed.

> Hvis du ikke med 100% sikkerhed kan forudsige næste kast, er det et
> tilfælde, hvis du gætter rigtigt, og dermed er kastet tilfældig.

Mindre end 100% sikkerhed er nok til at man kan diskutere om udfaldet
er tilfældigt nok. Hvis jeg kunne forudsige udfaldet af kast med en mønt
med 55% sikkerhed, så var mønten ikke tilfældig nok.

Mere konkret er det et spørgsmål om hvor mange bits usikkerhed vi har på
forsøget. En fair mønt giver en bits information (hvis vi antager at vi
ikke kan snyde med kastet ... vi er ikke tryllekunstnere der kan garantere
14.5 omdrejninger på hvert kast :))

> Du kan jo bare tilføje det nøjagtige tidspunkt til kastet, dermed vil kastet
> aldrig kunne gentages, det er da ikke bare tilfældigt, det er også unikt.

Kilden til tilfældighed i terningen er to ting:
Vi kan ikke beskrive starttilstanden godt nok, og terningens opførsel
afhænger meget af starttilstanden (i det mindste over en vis kraft).

Jo mere kraft, jo mindre forudsigelighed.

Hvis man bare taber en terning fra en højde på 1 cm og med flad bund
på blødt underlag, så lander den nok som man slap den. Der fejler vi
fordi vi kan beskrive starttilstanden godt nok og usikkerheden på
terningens opførsel er lille nok.

En terning med bly i etteren vil fejle anden del fordi vi har for god
mulighed for at forudsige terningens opførsel.

Hvis nogen slog 5000 slag med en terning, og den ikke, statistisk,
viste tegn på at være skæv, så ville jeg ikke have noget problem
med at bruge den som tilfældighedsgenerator.

/L
--
Lasse Reichstein Nielsen - lrn@brics.dk
Ph.D. i datalogi søger stilling som software-udvikler i Øst- eller
Nordjylland. Curriculum Vitae: <URL:http://www.brics.dk/~lrn/cv.html>

Alex Holst (07-02-2003)
Kommentar
Fra : Alex Holst


Dato : 07-02-03 17:25

Bjarne Østergård <boe@ydicon.dk> wrote:
> Hm alle tal er vel tilfældige eller også er ingen.
> Selv min skatte beregning ser noget tilfældigvis ud når jeg får den fra
> væsnet.
>
> Kan et tal med et ciffer eks, være mindre tilfældig en et tal på 1000 cifre
> Bare at have en større mængde data gør vel intet ved tilfældigheden.

Der *er* faktisk regler for den slags, ligesom begreberne "public key
encryption", "XSS" og "SQL injection" og mange andre ogsaa er
velforstaaet uden for din verden, selvom du velholdende paastaar det
modsatte. Du har tydeligvis ikke forstand paa ret meget relateret til
IT, men alligevel bliver du ved med at blande dig. Laes noget literatur
om emnet.

Hvis du har taenkt dig at deltage i gruppen skal du i det mindste vaere
indstillet paa at laere noget, og det har utallige diskussioner vist at
det kan du ikke. Du er provokernde og et betydeligt irritationsmoment
jeg meget gerne ville undvaere herinde.

> Hvem siger at kosmisk baggrundsstøj er tilfældig.
> Og en tilfældig kilde er det da bestemt ikke, kilden er jo nettop kosmisk
> baggrundsstøj.

Med "tilfaeldig kilde" henvises til det som kilden leverer, ikke *hvad*
kilden er. Laes noget literatur om emnet.

> Hvis du ikke med 100% sikkerhed kan forudsige næste kast, er det et
> tilfælde, hvis du gætter rigtigt, og dermed er kastet tilfældig.
> Du kan jo bare tilføje det nøjagtige tidspunkt til kastet, dermed vil kastet
> aldrig kunne gentages, det er da ikke bare tilfældigt, det er også unikt.

Laes for guds skyld noget literatur om emnet. Du ved ikke engang hvad
*tilfaeldig* betyder i denne situation. Den eneste der korrekt kan
beskrive din absolut manglende viden om datasikkerhed er Wolfgang Pauli:

"This isn't right. This isn't even wrong."

Du *tror* du forstaar dig paa IT sikkerhed, og det goer dig til en langt
stoerre risiko end en person der har en korrekt ide om hvad de kan
praestere. Goer dig selv og andre en tjeneste. Lad vaere med at poste
her i gruppen. Det har du lovet at goere flere gange.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Bjarne Østergård (07-02-2003)
Kommentar
Fra : Bjarne Østergård


Dato : 07-02-03 18:06

"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:p83dh-5fc.ln1@miracle.mongers.org...

> Der *er* faktisk regler for den slags, ligesom begreberne "public key
> encryption", "XSS" og "SQL injection" og mange andre ogsaa er
> velforstaaet uden for din verden, selvom du velholdende paastaar det
> modsatte. Du har tydeligvis ikke forstand paa ret meget relateret til
> IT, men alligevel bliver du ved med at blande dig. Laes noget literatur
> om emnet.
Har du drukket??
Eller er du bare sådan i al almindelighed?

> Hvis du har taenkt dig at deltage i gruppen skal du i det mindste vaere
> indstillet paa at laere noget, og det har utallige diskussioner vist at
> det kan du ikke. Du er provokernde og et betydeligt irritationsmoment
> jeg meget gerne ville undvaere herinde.
Hvem intresserer sig for hvad du vil undvære eller ikke, ejer du da denne
gruppe.
Ja det må du jo tro, at du gør, efter de udtalelser.

> > Hvem siger at kosmisk baggrundsstøj er tilfældig.
> > Og en tilfældig kilde er det da bestemt ikke, kilden er jo nettop
kosmisk
> > baggrundsstøj.

> Med "tilfaeldig kilde" henvises til det som kilden leverer, ikke *hvad*
> kilden er. Laes noget literatur om emnet.
Hvorfor så skrive "tilfældig kilde"? når det ikke er det der menes.


> > Hvis du ikke med 100% sikkerhed kan forudsige næste kast, er det et
> > tilfælde, hvis du gætter rigtigt, og dermed er kastet tilfældig.
> > Du kan jo bare tilføje det nøjagtige tidspunkt til kastet, dermed vil
kastet
> > aldrig kunne gentages, det er da ikke bare tilfældigt, det er også
unikt.
>
> Laes for guds skyld noget literatur om emnet. Du ved ikke engang hvad
> *tilfaeldig* betyder i denne situation. Den eneste der korrekt kan
Det er da utroligt, som du går op i hvad jeg skal læse.

> beskrive din absolut manglende viden om datasikkerhed er Wolfgang Pauli:
> "This isn't right. This isn't even wrong."
Ja det skal nok passe.

> Du *tror* du forstaar dig paa IT sikkerhed, og det goer dig til en langt
> stoerre risiko end en person der har en korrekt ide om hvad de kan
> praestere. Goer dig selv og andre en tjeneste. Lad vaere med at poste
> her i gruppen. Det har du lovet at goere flere gange.
Har tilfældigheds begrebet nu også noget med det at gøre.

Bjarne



Kasper Dupont (07-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 07-02-03 18:41

Bjarne Østergård wrote:
>
> "Alex Holst" <a@mongers.org> skrev i en meddelelse
> news:p83dh-5fc.ln1@miracle.mongers.org...
>
> > Der *er* faktisk regler for den slags, ligesom begreberne "public key
> > encryption", "XSS" og "SQL injection" og mange andre ogsaa er
> > velforstaaet uden for din verden, selvom du velholdende paastaar det
> > modsatte. Du har tydeligvis ikke forstand paa ret meget relateret til
> > IT, men alligevel bliver du ved med at blande dig. Laes noget literatur
> > om emnet.
> Har du drukket??
> Eller er du bare sådan i al almindelighed?

Bjarne, det er dig der intet forstår. Alex udtalelser er meget
fornuftige. Men de er måske på et niveau der er for højt til,
at dit intelekt kan nå derop.

>
> > Hvis du har taenkt dig at deltage i gruppen skal du i det mindste vaere
> > indstillet paa at laere noget, og det har utallige diskussioner vist at
> > det kan du ikke. Du er provokernde og et betydeligt irritationsmoment
> > jeg meget gerne ville undvaere herinde.
> Hvem intresserer sig for hvad du vil undvære eller ikke, ejer du da denne
> gruppe.

Jeg er enig med Alex. Bjarne ser du nogen støtte dig? Der er
mange som ganske enkelt ignorerer dig, nogle er endda gået
så vidt til at bruge et program til at ignorere dig, fordi de
ikke engang gider spilde tid på at ignorere dig.

> Ja det må du jo tro, at du gør, efter de udtalelser.

Nej, jeg tror ikke, Alex tror, han ejer gruppen. Men jeg tror,
Alex tror, de fleste her i gruppen er blevet trætte af dig. Og
det tror jeg, Alex har ret i.

>
> > Med "tilfaeldig kilde" henvises til det som kilden leverer, ikke *hvad*
> > kilden er. Laes noget literatur om emnet.
> Hvorfor så skrive "tilfældig kilde"? når det ikke er det der menes.

Det er det, der menes, det er dig, der ikke forstår det. Det
kan du vel nok forstå?

>
> > Laes for guds skyld noget literatur om emnet. Du ved ikke engang hvad
> > *tilfaeldig* betyder i denne situation. Den eneste der korrekt kan
> Det er da utroligt, som du går op i hvad jeg skal læse.

Jeg giver Alex ret, du burde læse noget literatur om emnet.
Men inden du går i gang er du nødt til at acceptere, at du
ikke selv ved alting på forhånd. Så længe du tror, du ved alt,
og alle andre tager fejl, kan du ikke lære noget.

>
> > Du *tror* du forstaar dig paa IT sikkerhed, og det goer dig til en langt
> > stoerre risiko end en person der har en korrekt ide om hvad de kan
> > praestere. Goer dig selv og andre en tjeneste. Lad vaere med at poste
> > her i gruppen. Det har du lovet at goere flere gange.
> Har tilfældigheds begrebet nu også noget med det at gøre.

Det er bare endnu en ting du ikke forstår, og som du ikke har
indset, at du ikke forstår.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Lasse Reichstein Nie~ (07-02-2003)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 07-02-03 20:16

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Bjarne Østergård wrote:
> >
> > "Alex Holst" <a@mongers.org> skrev i en meddelelse
> > news:p83dh-5fc.ln1@miracle.mongers.org...
> >
> > > Der *er* faktisk regler for den slags, ligesom begreberne "public key
> > > encryption", "XSS" og "SQL injection" og mange andre ogsaa er
> > > velforstaaet uden for din verden, selvom du velholdende paastaar det
> > > modsatte. Du har tydeligvis ikke forstand paa ret meget relateret til
> > > IT, men alligevel bliver du ved med at blande dig. Laes noget literatur
> > > om emnet.
> > Har du drukket??
> > Eller er du bare sådan i al almindelighed?
>
> Bjarne, det er dig der intet forstår. Alex udtalelser er meget
> fornuftige. Men de er måske på et niveau der er for højt til,
> at dit intelekt kan nå derop.

Bullshit! Alex er træt af Bjarne og svarer derfor på en måde som kun
hører hjemme i dk.snak.mudderkastning.

Det er ligegyldigt om Bjarne tager fejl, og/eller hvor meget han tager
fejl, det er ikke en undskyldning for at svine ham til. Hans indlæg
der startede det her var ikke værre end så mange andre, og endda holdt
i (som jeg læste det) en lidt lystig tone.

Det er også ligegyldigt om Alex har ret eller ej. Hvis man vil have en
saglig debat, så skal man (sgu!) selv kunne holde sig saglig. Det
gælder begge sider (nej, Bjarnes svar var heller ikke smart, men jeg
forventer mere af Alex end af Bjarne!)

Og Kasper, jeg er også sikker på du kunne formulere dit svar her
mere hensigtsmæssigt. Modsat hvad du måske tror, så er det ikke Bjarne
det giver et dårligt indtryk af.
(Og så er det bare et af de steder man *ikke* skal stave "intellekt"
forkert, det ødelægger lidt pointen :) )

Det er muligt at være uenig og høflig på samme tid!
Det er muligt at holde kritik konkret og saglig!
Det er endda hensigtsmæssigt.

> Nej, jeg tror ikke, Alex tror, han ejer gruppen. Men jeg tror,
> Alex tror, de fleste her i gruppen er blevet trætte af dig. Og
> det tror jeg, Alex har ret i.

Jeg er til tider træt af Bjarne (og af så mange andre, også), men ikke
i nær samme grad som af tonen der bliver holdt. Hvis du (eller andre)
ikke mener at Bjarne kan forstå det i siger hvis det siges pænt, hvad
får dig så til at tro at han forstår det hvis du siger det grimt. Giv
op, eller prøv igen, pænt. Kammertonen, tak.

Det her kræver vist en fut til dk.admin.netikette!

/L
--
Lasse Reichstein Nielsen - lrn@brics.dk
Ph.D. i datalogi søger stilling som software-udvikler i Øst- eller
Nordjylland. Curriculum Vitae: <URL:http://www.brics.dk/~lrn/cv.html>

Bertel Lund Hansen (07-02-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 07-02-03 21:23

Bjarne Østergård skrev:

>Har du drukket??
>Eller er du bare sådan i al almindelighed?

Der er skrevet tykke bøger udelukkende om tilfældige tal. At du
ikke kender dem og ikke aner at de eksisterer, skal ikke lægges
dig til last. At du udtaler dig skråsikkert alligevel og er
ubehøvlet desforuden, er ikke synderligt smart.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Klaus Ellegaard (07-02-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 07-02-03 17:43

=?iso-8859-1?Q?Bjarne_=D8sterg=E5rd?= <boe@ydicon.dk> writes:

>Hm alle tal er vel tilfældige eller også er ingen.
>Selv min skatte beregning ser noget tilfældigvis ud når jeg får den fra
>væsnet.

"Tilfældig" i denne sammenhæng betyder, at ingen kan genskabe de
samme data efterfølgende.

Hvis man bruger random()-funktionen i sin simpleste form, kan en
anden gut genskabe de samme data blot ved at finde ud af hvilket
seed, der er anvendt. Ergo er random() overhovedet ikke tilfældig.

>> Tallene SKAL komme fra en tilfældig kilde (kosmisk baggrundsstøj er
>> f.eks. en rimelig god plan).
>Hvem siger at kosmisk baggrundsstøj er tilfældig.

Hvis den kan genskabes efterfølgende, er den ikke. Kan den det?

>> En terning er noget skidt, for en eller anden står og slår med den.
>> Hans håndbevægelser kan ikke siges at være ægte tilfældige, og dér
>> er hele konceptet så ødelagt.

>Hvis du ikke med 100% sikkerhed kan forudsige næste kast, er det et
>tilfælde, hvis du gætter rigtigt, og dermed er kastet tilfældig.

Men hvis jeg får fem milliarder mennesker til at kaste terninger
i 1000 år, kan jeg så? Hvis jeg kan, er det ikke tilfældigt (nok).

Måske kan jeg også ved at se på talrækkens gentagelser finde ud
af, at terningen er lidt deform, og at det påvirker tilfældigheden.
Bevares, det er et dårligt eksempel, for der er næppe nogen, der
laver 650 millioner terningekast i ét stræk, som udgangspunktet
her handler om...

>Du kan jo bare tilføje det nøjagtige tidspunkt til kastet, dermed vil kastet
>aldrig kunne gentages, det er da ikke bare tilfældigt, det er også unikt.

Hvordan skal man så finde tidsrummet mellem kastene? Det skal jo
så være lige så tilfældigt som udfaldet af kastet...

Mvh.
   Klaus.

Niels Callesøe (08-02-2003)
Kommentar
Fra : Niels Callesøe


Dato : 08-02-03 17:21

Klaus Ellegaard wrote:

> Måske kan jeg også ved at se på talrækkens gentagelser finde ud
> af, at terningen er lidt deform, og at det påvirker tilfældigheden.
> Bevares, det er et dårligt eksempel, for der er næppe nogen, der
> laver 650 millioner terningekast i ét stræk, som udgangspunktet
> her handler om...

Det er faktisk ikke så vigtigt. Man kan sagtens trække brugbar entropi
ud af et kast med en terning der er skæv -- måske ikke helt så meget
per slag som man kunne ud fra en ideel terning, men ikke desto mindre.

For at trække brugbar entropi ud af en antal udfald er det ikke
nødvendigt at sandsynligheden for hvert udfald er den samme. Det
væsentlige er, at de er tilfældige (og altså ikke kan genskabes selvom
forudsætningerne for deres opsamling genskabes).

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Nu med politisk ladet signatur.
--> http://www.digitalforbruger.dk

Kasper Dupont (08-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 08-02-03 17:51

"Niels Callesøe" wrote:
>
> Klaus Ellegaard wrote:
>
> > Måske kan jeg også ved at se på talrækkens gentagelser finde ud
> > af, at terningen er lidt deform, og at det påvirker tilfældigheden.
> > Bevares, det er et dårligt eksempel, for der er næppe nogen, der
> > laver 650 millioner terningekast i ét stræk, som udgangspunktet
> > her handler om...
>
> Det er faktisk ikke så vigtigt. Man kan sagtens trække brugbar entropi
> ud af et kast med en terning der er skæv -- måske ikke helt så meget
> per slag som man kunne ud fra en ideel terning, men ikke desto mindre.

Det er fuldstændig korrekt. Hvis f.eks. slagene er uafhængige og identisk
fordel, men ikke uniforme, så er det faktisk nemt at udlede uniforme og
uafhængige bits. Du behøves ikke engang kende fordelingen af udfaldene.
Hvis slagene er afhængige bliver det straks meget mere besværligt, og det
kræver, at du ved noget om afhængigheden.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Jonathan Stein (07-02-2003)
Kommentar
Fra : Jonathan Stein


Dato : 07-02-03 22:05

Bjarne Østergård wrote:

> Hm alle tal er vel tilfældige eller også er ingen.

Hmm, - stop mig inden jeg kommenterer dette.

Nå, nu du stadig er her i gruppen, kunne du så ikke svare på de ubesvarede
spørgsmål i din forrige tråd?

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Christian E. Lysel (07-02-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 07-02-03 16:44

complex@pc.dk wrote:
> Her er hvordan jeg selv lave de en tilfældig nøgle på 650 MB

Du svarer ikke på mit spørgsmål, men beskriver blot hvordan du selv
producere "tilfældige tal", hvad nu hvis tilfældighedsgeneratoren i det
andet program ikke er tilfældigt?

Mit spørgsmål gik nu mere på hvordan du kan sætte krav til
tilfældigheden, ikke hvordan du producere noget tilfældigt.

Hvordan kan det være tilfældigt hvis du sætter krav?

--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Nicolai (07-02-2003)
Kommentar
Fra : Nicolai


Dato : 07-02-03 08:46

> 100% Sikker krypetering findes men er så besværlig at anvende at
> man normalt ikke gør det!!
Pgp? - Jeg vil gerne se dig bryde den inden for de næste 10 år...
Skal jeg smide en fil op du kan hygge dig med?




Klaus Ellegaard (07-02-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 07-02-03 09:06

"Nicolai" <nifonewsFJERNDETTE@tiscali.dk> writes:

>> 100% Sikker krypetering findes men er så besværlig at anvende at
>> man normalt ikke gør det!!
>Pgp? - Jeg vil gerne se dig bryde den inden for de næste 10 år...
>Skal jeg smide en fil op du kan hygge dig med?

Så snart du siger "10 år" (eller et hvilketsomhelst andet mål), er
den jo ikke 100% sikker.

Mvh.
   Klaus.

Kasper Dupont (07-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 07-02-03 10:39

Klaus Ellegaard wrote:
>
> "Nicolai" <nifonewsFJERNDETTE@tiscali.dk> writes:
>
> >> 100% Sikker krypetering findes men er så besværlig at anvende at
> >> man normalt ikke gør det!!
> >Pgp? - Jeg vil gerne se dig bryde den inden for de næste 10 år...
> >Skal jeg smide en fil op du kan hygge dig med?
>
> Så snart du siger "10 år" (eller et hvilketsomhelst andet mål), er
> den jo ikke 100% sikker.

Havde I nu sagt 100 år, så ville jeg mene det var nok til at kalde
den 100% sikker. Jeg er da ligeglad med, om nogen om 100 år vil være
i stand til at forfalske min signatur.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Klaus Ellegaard (07-02-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 07-02-03 10:41

Kasper Dupont <kasperd@daimi.au.dk> writes:

>Havde I nu sagt 100 år, så ville jeg mene det var nok til at kalde
>den 100% sikker. Jeg er da ligeglad med, om nogen om 100 år vil være
>i stand til at forfalske min signatur.

Jeg tror, der er tale om lidt "thread drift"... den gik meget
hurtigt over i kryptering i stedet for signaturer

Men ja, de færreste signaturer vil nok være aktive i >100 år.

Mvh.
   Klaus.

Lasse Reichstein Nie~ (07-02-2003)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 07-02-03 10:47

Kasper Dupont <kasperd@daimi.au.dk> writes:

> Havde I nu sagt 100 år, så ville jeg mene det var nok til at kalde
> den 100% sikker. Jeg er da ligeglad med, om nogen om 100 år vil være
> i stand til at forfalske min signatur.

Nu repræsenterer du jo heller ikke et firma der håber på at overleve
sine ansatte :)
Havde du sagt 1000 år, så ville jeg give dig ret, men 100 er i
underkanten. Smid 3.3 bits extra på! :)

/L
--
Lasse Reichstein Nielsen - lrn@brics.dk
Ph.D. i datalogi søger stilling som software-udvikler i Øst- eller
Nordjylland. Curriculum Vitae: <URL:http://www.brics.dk/~lrn/cv.html>

Thomas Corell (07-02-2003)
Kommentar
Fra : Thomas Corell


Dato : 07-02-03 11:47

Kasper Dupont wrote:
> Klaus Ellegaard wrote:
>>
>> "Nicolai" <nifonewsFJERNDETTE@tiscali.dk> writes:
>>
>> >> 100% Sikker krypetering findes men er så besværlig at anvende at
>> >> man normalt ikke gør det!!
>> >Pgp? - Jeg vil gerne se dig bryde den inden for de næste 10 år...
>> >Skal jeg smide en fil op du kan hygge dig med?
>>
>> Så snart du siger "10 år" (eller et hvilketsomhelst andet mål), er
>> den jo ikke 100% sikker.
>
> Havde I nu sagt 100 år, så ville jeg mene det var nok til at kalde
> den 100% sikker. Jeg er da ligeglad med, om nogen om 100 år vil være
> i stand til at forfalske min signatur.

Så snart der er en sandsynlighed for at knække den om 100 år, så er der
også en sandsynlighed for at kunne knække den på 24 timer. I.e. er den
ikke 100% sikker.

--
Don't waste space

Kasper Dupont (07-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 07-02-03 12:28

Thomas Corell wrote:
>
> Så snart der er en sandsynlighed for at knække den om 100 år, så er der
> også en sandsynlighed for at kunne knække den på 24 timer. I.e. er den
> ikke 100% sikker.

Hvis der gøres forudsiges en levetid på 100 år, så betyder det en
forventning om at det vil tage 100 år om at lave en computer, der
kan bryde den. Det betyder ikke, at nuværende computere kan løse
den på 100 år.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Klaus Ellegaard (07-02-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 07-02-03 12:35

Kasper Dupont <kasperd@daimi.au.dk> writes:

>Hvis der gøres forudsiges en levetid på 100 år, så betyder det en
>forventning om at det vil tage 100 år om at lave en computer, der
>kan bryde den. Det betyder ikke, at nuværende computere kan løse
>den på 100 år.

Omvendt kan man jo lave et aldeles ukvalificeret gæt, som ved et
ekstremt lykketræf er korrekt. Så kan det godt være, at man rent
teoretisk ikke kan komme i nærheden af den de næste 100 år. Men
i praksis blev den knækket på under 1 sekund.

Mvh.
   Klaus.

Kasper Dupont (07-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 07-02-03 13:34

Klaus Ellegaard wrote:
>
> Omvendt kan man jo lave et aldeles ukvalificeret gæt, som ved et
> ekstremt lykketræf er korrekt. Så kan det godt være, at man rent
> teoretisk ikke kan komme i nærheden af den de næste 100 år. Men
> i praksis blev den knækket på under 1 sekund.

Men den slags er jo så usandsynligt, at risikoen er acceptabel.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Kasper Dupont (07-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 07-02-03 09:17

complex@pc.dk wrote:
>
> TDC vandt kampen om den digitale signatur.

Det er da en glædelig nyhed. Udfra hvad jeg har læst om de to
systemer må jeg konkludere, at det var den bedste, der vandt.

> Men tør man nu også bruge den ???

Ifølge artiklen på Computerworld Online er den basseret på
åben kildekode, så nu vil jeg da gerne vide, hvor jeg kan
finde kildekoden, så jeg kan komme i gang med at læse den.

>
> I gennem tiderne har alle disse moderne "sikre" ting fået
> ændret nogle huller man opdagede senere (og så har de jo ikke været
> sikre)

Lad os nu få tid til at læse koden, så der kan komme styr på
de værste fejl, hvis der da er nogen.

>
> Man naturligvis, sikker signatur findes ikke, se bare sagen med
> Thorsen og Trads !!!!!!!

Det var jo ikke en digital signatur, det var en underskrift
på et stykke papir, der blev forfalsket. At de så muligvis
har anvendt en scanner og en printer til forfalskningen gør
det ikke til en digital signatur. (Det ved enhver med bare
lidt forstand på digital signatur.)

Denne forfalskning kunne aldrig være sket med en digital
signatur, hvis bare Lublin passede nogenlunde på sin nøgle.

>
> 100% Sikker krypetering findes men er så besværlig at anvende at
> man normalt ikke gør det!!

Nu har hele diskutionen drejet sig om signatur. Kryptering
er noget andet. (Det ved enhver med bare lidt forstand på
digital signatur.) Faktisk kan man lave en unconditionally
secure signatur, men unconditional security vil til enhver
tid kræve hemmelige nøgler som kun to personer eller en
mindre gruppe kender til.

>
> F.eks 100% sikker kryptering:
> tekst længde 100.000 bytes
> krypterings nøgle 100.000 bytes
> længde af krypteret tekst 100.000 bytes
> kryptering: f.eks simpel xor af de to tekster/nøgle

Ja, det er beviseligt den eneste kryptering, der er
unconditionally secure, men har du bevist, at uncoditional
security er nødvendig? Det er da muligt, at den anvendte
løsning faktisk er computationally secure.

>
> Forudsætninger/problemer:
> 1/ nøglen skal være 100% tilfældig og anvende ALLE 256 tegn
> 2/ den skal mindst være lige så lang som den information der ønskes
> krypteret.
> 3/ den må kun bruges EEN gang

Du snakker stadig om kryptering. Hvorfor skriver du
digital signatur i subject, når du nu ikke siger et eneste
ord om digital signatur?

>
> problemet er "kun" at få nøglen frem til modtageren
> uden den bliver læst af andre.

Kvante kryptering. Men bevis du lige først, at det er
nødvendigt.

>
> så vil et dekrypeteringsforsøg kunne resultere i ALT, f.eks et billed
> af din hund, selv om du aldrig har haft en hund.
>
> Med venlig hilsen, Lars
> www.complex-data.dk www.pc-doktoren.dk
> kompetence koster penge - inkompetence koster MANGE penge.

Jeg tør væde på, at du har noget inkompetence til salg.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Allan Olesen (07-02-2003)
Kommentar
Fra : Allan Olesen


Dato : 07-02-03 19:01

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>> Man naturligvis, sikker signatur findes ikke, se bare sagen med
>> Thorsen og Trads !!!!!!!
>
>Det var jo ikke en digital signatur

Er det ikke dig, der laeser "digital" ind i mandens udsagn, selv
om ordet ikke staar der?

Jeg tror saamaend bare, at han med eksemplet forsoegte at saette
sikkerhedskravene til en digital signatur i perspektiv til vores
nuvaerende situation.

(Hov, det er anden gang paa faa dage, jeg her i gruppen stoetter
en person, som jeg slet ikke bryder mig om at stoette pga.
vedkommendes spamhistorik.)


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

complex@pc.dk (07-02-2003)
Kommentar
Fra : complex@pc.dk


Dato : 07-02-03 19:39

Du har forstået det med Thorsen og Trads 100% rigtigt.

Bare tænk på et 100% sikkert produkt, der har fået rettet
sikkerhedsfejl !!!!!!!!!!!!!!!!!

100% sikkert er kun at vi dør (må det vare længe!)

Med venlig hilsen, Lars
www.complex-data.dk www.pc-doktoren.dk
kompetence koster penge - inkompetence koster MANGE penge.


On Fri, 07 Feb 2003 19:00:30 +0100, Allan Olesen
<aolesen@post3.tele.dk> wrote:

>Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
>>> Man naturligvis, sikker signatur findes ikke, se bare sagen med
>>> Thorsen og Trads !!!!!!!
>>
>>Det var jo ikke en digital signatur
>
>Er det ikke dig, der laeser "digital" ind i mandens udsagn, selv
>om ordet ikke staar der?
>
>Jeg tror saamaend bare, at han med eksemplet forsoegte at saette
>sikkerhedskravene til en digital signatur i perspektiv til vores
>nuvaerende situation.
>
>(Hov, det er anden gang paa faa dage, jeg her i gruppen stoetter
>en person, som jeg slet ikke bryder mig om at stoette pga.
>vedkommendes spamhistorik.)


Christian Iversen (07-02-2003)
Kommentar
Fra : Christian Iversen


Dato : 07-02-03 22:41

complex@pc.dk wrote:

[...]
> Bare tænk på et 100% sikkert produkt, der har fået rettet
> sikkerhedsfejl !!!!!!!!!!!!!!!!!

At bruge 17 udråbstegn giver, imho, et indlæg en useriøs fremtræden.

Effekten af et(!) er stærkere end 5 eller 10.

> 100% sikkert er kun at vi dør (må det vare længe!)

Som i "langsomt og smertefuldt"? :)

I øvrigt ville det være rart hvis du læste

http://www.usenet.dk/netikette/citatteknik.html

FUT: dk.admin.netikette

--
M.V.H
Christian Iversen

Kasper Dupont (07-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 07-02-03 23:51

Allan Olesen wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
> >> Man naturligvis, sikker signatur findes ikke, se bare sagen med
> >> Thorsen og Trads !!!!!!!
> >
> >Det var jo ikke en digital signatur
>
> Er det ikke dig, der laeser "digital" ind i mandens udsagn, selv
> om ordet ikke staar der?

Når spørgsmålet nu er, om en digital signatur er sikker, så er
det tankevækkende, at eksemplet der trækkes frem er forfalskning
af en signatur på papir. Jeg tror ikke, det vil være så nemt at
forfalske en digital signatur. Den nemeste måde at forfalske en
digital signatur vil nok være at få lavet et falsk certifikat med
lidt social engineering. Men det burde hurtigt blive opdaget, hvis
der bliver udstedet et nyt certifikat i samme navn, mens personen
bliver ved med at bruge det gamle.

>
> Jeg tror saamaend bare, at han med eksemplet forsoegte at saette
> sikkerhedskravene til en digital signatur i perspektiv til vores
> nuvaerende situation.

Sådan kan det selvfølgelig også læses. Jeg så indlæget som en
mistillidserklæring til brugen af digitale signaturer. Hvis
budskabet var et andet synes jeg ikke det fremstod særlig tydligt.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Kjeld Flarup (08-02-2003)
Kommentar
Fra : Kjeld Flarup


Dato : 08-02-03 10:39

complex@pc.dk wrote:
> I gennem tiderne har alle disse moderne "sikre" ting fået
> ændret nogle huller man opdagede senere (og så har de jo ikke været
> sikre)
>
> Man naturligvis, sikker signatur findes ikke, se bare sagen med
> Thorsen og Trads !!!!!!!
>
> 100% Sikker krypetering findes men er så besværlig at anvende at
> man normalt ikke gør det!!

Spørgsmålet ved sikkerheden er ikke om krypteringen kan knækkes når vi taler
signaturer.
Spørgsmålet er om nøglecentret er sikkert, for får en hacker adgang til
nøglecentrets private nøgle, så er der ingen sikkerhed.


--
------------------------- Med Liberalistiske Hilsner --------------------------
Civilingeniør, Kjeld Flarup - Mit sind er mere åbent end min tegnebog
Ådalen 8, Mogenstrup, 7800 Skive, Tlf: 40 29 41 49, Fax: 96 95 74 48
Den ikke akademiske hjemmeside for liberalismen - www.liberalismen.dk


Kasper Dupont (08-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 08-02-03 12:40

Kjeld Flarup wrote:
>
> Spørgsmålet ved sikkerheden er ikke om krypteringen kan knækkes når vi taler
> signaturer.

Det er korrekt.

> Spørgsmålet er om nøglecentret er sikkert, for får en hacker adgang til
> nøglecentrets private nøgle, så er der ingen sikkerhed.

Nøglecenterets private nøgle behøves ikke ligge på en maskine med
netadgang. Men det er naturligvis ikke en garanti for, at den er
i sikkerhed.

Men der er nu andre måder at kompromitere systemet uden at skaffe
sig adgang til den private nøgle. Det drejer sig om metode som
social engineering etc.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

F.Larsen (08-02-2003)
Kommentar
Fra : F.Larsen


Dato : 08-02-03 23:57

Nej, den er nok ikke "sikker nok"... desværre

Ingeniøren, havde i fredags, en længre artikel om TDC løsningen, hvor der
bla står:
"Officiel dansk IT-signatur overholder ikke EU's sikkerhedsnorm. Myndigheder
afviser at give direkte adgang til følsomme data med en ny digital signatur,
som netop er udpeget af Videnskabsministeriet. Sikkerheden er ikke høj nok"
http://www.ing.dk/apps/pbcs.dll/artikkel?SearchID=73125485156372&Avis=IG&Dat
o=20030207&Kategori=IT&Lopenr=102070047&Ref=AR

Ingeniøren har ringet til finske Finansministerium og bad dem om at
kommentere den danske løsning. Dommen var at den danske software løsning,
hvor der ikke bruges smartcards og som ikke kræver personlig fremmøde, ikke
er tilstrækkelig for en sikker digital signatur, mener finnerne
(ingeniøren,nr6.side9).

Børsen i fredag en artikel (side4) om TDC løsning men her er bekymringen
mere om det nye system vinder udbreddelse blandt brugerne. Tilslutning til
TDC's læsning er prisat til 4 kr per bruger ...og her kan bankerne have en
fordel i at benytte deres egen løsning med de 1,5 million brugere som de har
idag.

--
Flemming
http://home.cbkn.dk/Spyware/
http://home.cbkn.dk/Spam/



Kim Ludvigsen (09-02-2003)
Kommentar
Fra : Kim Ludvigsen


Dato : 09-02-03 01:30

F.Larsen wrote:
>
> Nej, den er nok ikke "sikker nok"... desværre
>
> Børsen i fredag en artikel (side4) om TDC løsning men her er bekymringen
> mere om det nye system vinder udbreddelse blandt brugerne.

Man kan jo spørge sig selv, hvor mange der vil besvære sig med at få en
digital signatur, der ikke kan bruges til meget andet, end hvad man i
dag kan med en pinkode-løsning.

Der skal i hvert fald stærkere argumenter på bordet, før jeg vil have
en.

--
Mvh. Kim Ludvigsen

Allan Olesen (09-02-2003)
Kommentar
Fra : Allan Olesen


Dato : 09-02-03 11:54

Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:

>Man kan jo spørge sig selv, hvor mange der vil besvære sig med at få en
>digital signatur, der ikke kan bruges til meget andet, end hvad man i
>dag kan med en pinkode-løsning.

....forudsat, at pinkode-loesningen holdes i live.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Thomas B. Maxe (09-02-2003)
Kommentar
Fra : Thomas B. Maxe


Dato : 09-02-03 20:46

"F.Larsen" skrev:
> Nej, den er nok ikke "sikker nok"... desværre
>

Ikke sikker nok - til hvad?

[KLIP - citat fra Ingeniøren]

Ingeniøren har en pointe: Det er rigtigt nok, at OCES-certifikaterne ikke er
"kvalificerede certifikater", men det var sådan set heller ikke en del af
projektkonkurrencen:
https://www.signatursekretariatet.dk/vejledninger/oces.html

Bemærk dog, at Datatilsynet siger god for OCES'erne:
"Med OCES-certifikatet er der ifølge Datatilsynet skabt den nødvendige
garanti for, at alle almindelige transaktioner mellem myndighed og borgere
kan foregå tilstrækkelig sikkert."
https://www.signatursekretariatet.dk/vejledninger/juridiske.html

Som jeg har forstået det, er OCES'erne primært introduceret, fordi det
sikrer en hurtig udbredelse, fordi det giver en let adgang til kryptering og
signering af e-mails, og fordi det - trods alt - er et godt alternativ til
brugernavn/password-løsninger.

> Børsen i fredag en artikel (side4) om TDC løsning men her er bekymringen
> mere om det nye system vinder udbreddelse blandt brugerne. Tilslutning til
> TDC's læsning er prisat til 4 kr per bruger ...og her kan bankerne have en
> fordel i at benytte deres egen løsning med de 1,5 million brugere som de
har
> idag.
>
Det bliver gratis for slutbrugeren ("borgeren") af få udstedt et
OCES-certifikat fra TDC.

De såkaldte værter (tjensteudbyderne) vil blive afkrævet betaling, som er
afhængig af antallet af brugere. Det nærmere beløb kender jeg ikke.
Betalingen skal dække udgifterne til bl.a. drift og administration af
kontrolfunktionen, som skal sikre, at brugerens certifikat er gyldigt. Jeg
tvivler på, at bankerne ville have tilbudt den service gratis.

Med venlig hilsen

Thomas B. Maxe
(som i debat på Usenet repræsenterer sig selv og ikke TDC)



F.Larsen (09-02-2003)
Kommentar
Fra : F.Larsen


Dato : 09-02-03 22:11

"Thomas B. Maxe" <toxicthomas@nospam.hotmail.com> wrote in message
news:3e46af65$0$216$edfadb0f@dread14.news.tele.dk...
>
> Ikke sikker nok - til hvad?

Artiklen i ingenøren giver flere eksempler, udveksling af elektroniske
patient journaler, skatteoplysninger m.v.:
http://www.ing.dk/apps/pbcs.dll/artikkel?SearchID=73125485156372&Avis=IG&Dat
o=20030207&Kategori=IT&Lopenr=102070047&Ref=AR

Hvis sikkerheden ikke er højre end til at indrapportere skatteoplysninger
o.l. men ikke nok til at få aktindsigt så kan man jo stille spørgsmål ved om
det er 50 millioner værd ?

--
Flemming
http://home.cbkn.dk/Spyware/
http://home.cbkn.dk/Spam/



Thomas B. Maxe (09-02-2003)
Kommentar
Fra : Thomas B. Maxe


Dato : 09-02-03 23:45

"F.Larsen" skrev om OCES:
> >
> Hvis sikkerheden ikke er højre end til at indrapportere skatteoplysninger
> o.l. men ikke nok til at få aktindsigt så kan man jo stille spørgsmål ved
om
> det er 50 millioner værd ?
>

Jeg tror, det er vigtigt at få en hurtig udrulning/udbredelse af digital
signatur, så vi kan vænne os til at bruge det.
Det har formentlig også været tanken bag OCES.

OCES-certifikaterne skulle gerne vænne folk til at bruge kryptering og
digital signatur på e-mails og som login-metode.

Hvor kvalificerede certifikater kræver personligt fremmøde og eksempelvis
forevisning af pas eller kørekort, så vil OCES'erne i det mindste sikre, at
man har fat i én fra husstanden med adgang til at åbne breve stilet til
personen. Det mener jeg er et godt skridt fremad i forhold til
brugernavn/password-løsninger.

Det må være op til Datatilsynet at følge udviklingen. Så kan man jo senere
tage stilling til, om der skal åbnes for flere services, eller om der skal
opgraderes til kvalificerede certifikater. Det vil under alle omstændigheder
være nemmere at få udrullet kvalificerede certifikater, hvis alle først har
vænnet sig til udstedelsesprocedurerne i forbindelse med OCES.

Personligt vil jeg nok skælve lidt, de første gange jeg skal bruge OCES til
at kommunikere "vigtige" data (jeg er stadig for paranoid til at bruge
homebanking), men jeg tror, at jeg vil vænne mig til det.

Dankortet var jo heller ikke pokkers populært, da det blev lanceret for 20
år siden, men i dag bliver der set skævt til butikker, som kun modtager
kontanter - på trods af, at Dankortet langtfra er en sikker løsning.

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC)



Kasper Dupont (10-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 10-02-03 00:02

"Thomas B. Maxe" wrote:
>
> "F.Larsen" skrev om OCES:
> > >
> > Hvis sikkerheden ikke er højre end til at indrapportere skatteoplysninger
> > o.l. men ikke nok til at få aktindsigt så kan man jo stille spørgsmål ved
> om
> > det er 50 millioner værd ?
> >
>
> Jeg tror, det er vigtigt at få en hurtig udrulning/udbredelse af digital
> signatur, så vi kan vænne os til at bruge det.
> Det har formentlig også været tanken bag OCES.
>
> OCES-certifikaterne skulle gerne vænne folk til at bruge kryptering og
> digital signatur på e-mails og som login-metode.

Det lyder rimeligt nok. Om det så er 50 millioner værd kan vi diskutere
i flere år. (Hvis der ellers er nogen, der gidder diskutere det, jeg
gidder nemlig ikke.)

>
> Hvor kvalificerede certifikater kræver personligt fremmøde og eksempelvis
> forevisning af pas eller kørekort, så vil OCES'erne i det mindste sikre, at
> man har fat i én fra husstanden med adgang til at åbne breve stilet til
> personen. Det mener jeg er et godt skridt fremad i forhold til
> brugernavn/password-løsninger.

Muligvis.

>
> Det må være op til Datatilsynet at følge udviklingen. Så kan man jo senere
> tage stilling til, om der skal åbnes for flere services, eller om der skal
> opgraderes til kvalificerede certifikater. Det vil under alle omstændigheder
> være nemmere at få udrullet kvalificerede certifikater, hvis alle først har
> vænnet sig til udstedelsesprocedurerne i forbindelse med OCES.

Det lyder rimeligt nok.

>
> Personligt vil jeg nok skælve lidt, de første gange jeg skal bruge OCES til
> at kommunikere "vigtige" data (jeg er stadig for paranoid til at bruge
> homebanking), men jeg tror, at jeg vil vænne mig til det.

Hvorfor skulle det nu være et problem? Hvis du har passet på din
hemmelige nøgle er der vel ikke noget at være nervøs for, og du har
jo for længst sikret dig at det er din egen nøgle, der er certificeret.
At nogen kan prøve at få udstedt et falsk certifikat i dit navn kan
du jo ikke forhindre ved at at undlade at prøve på at få et certifikat.
Og hvis nogen kan få fat i den hemmelige nøgle har du jo et problem
uanset om du selv vælger at overføre vigtige data, det kan en anden
jo også gøre med din nøgle.

>
> Dankortet var jo heller ikke pokkers populært, da det blev lanceret for 20
> år siden, men i dag bliver der set skævt til butikker, som kun modtager
> kontanter - på trods af, at Dankortet langtfra er en sikker løsning.

Det er jeg enig i. Jeg har hørt et foredrag om hvordan dankort systemet
er indrettet, og jeg måtte tage mig til hovedet flere gange under vejs.
Specielt metoden til at genrere PIN koder og checke korrektheden af
PIN koder synes håbløs.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Allan Olesen (10-02-2003)
Kommentar
Fra : Allan Olesen


Dato : 10-02-03 12:06

"F.Larsen" <n0spam@spamfilter.dk> wrote:

>Hvis sikkerheden ikke er højre end til at indrapportere skatteoplysninger
>o.l. men ikke nok til at få aktindsigt så kan man jo stille spørgsmål ved om
>det er 50 millioner værd ?

Jeg er lidt ked af, at der hele tiden tales om "sikkerheden ved
systemet", og saa angriber man proceduren for noegleudstedelsen.

Hvis det systemet overordet set er sikkert nok bortset fra
noegleudstedelsen, er der vel ikke det store problem at aabne
for, at brugere af sikkert udstedte noegler har adgang til at
bruge dem til mere vidtgaaende ting.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Allan Olesen (10-02-2003)
Kommentar
Fra : Allan Olesen


Dato : 10-02-03 13:36

Allan Olesen <aolesen@post3.tele.dk> wrote:

>Hvis det systemet overordet set

Stavespasser.

Hvis systemet overordnet set...


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Thomas B. Maxe (09-02-2003)
Kommentar
Fra : Thomas B. Maxe


Dato : 09-02-03 20:32

"Kjeld Flarup" skrev:
> Spørgsmålet ved sikkerheden er ikke om krypteringen kan knækkes når vi
taler
> signaturer.
> Spørgsmålet er om nøglecentret er sikkert, for får en hacker adgang til
> nøglecentrets private nøgle, så er der ingen sikkerhed.
>

Jeg er overhovedet ikke bekymret for nøglecentrets sikkerhed i den
forbindelse.
Læs evt. om nøglecentret her:
http://tdcinternet.dk/erhverv/arkiv/artikel.php?id=37039

Problemerne med sikkerheden ved digital signatur ligger primært omkring den
enkelte brugers beskyttelse af den private nøgle, mener jeg.
Jeg tvivler på, at der er ret mange private brugere af certifikater, som har
pc'en installeret i et Faraday-bur, som er uddannet røgdykkere, har
tyverialarm og er underlagt ekstern it-revision, men måske er det bare mig,
der er lidt sløset med min private pc...

Med venlig hilsen

Thomas B. Maxe
(som er ansat hos TDC Erhverv, men som i debat på Usenet repræsenterer sig
selv)



Christian E. Lysel (09-02-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 09-02-03 20:43

Thomas B. Maxe wrote:
> Jeg er overhovedet ikke bekymret for nøglecentrets sikkerhed i den
> forbindelse.
> Læs evt. om nøglecentret her:
> http://tdcinternet.dk/erhverv/arkiv/artikel.php?id=37039

Hvad med udlevering af nøgler til brugerne?

> Problemerne med sikkerheden ved digital signatur ligger primært omkring den
> enkelte brugers beskyttelse af den private nøgle, mener jeg.
> Jeg tvivler på, at der er ret mange private brugere af certifikater, som har
> pc'en installeret i et Faraday-bur, som er uddannet røgdykkere, har
> tyverialarm og er underlagt ekstern it-revision, men måske er det bare mig,
> der er lidt sløset med min private pc...

Hvis det er trivielt at få udleveret en nøgle (offentlig og privat, det
skal jo være "nemt"), er ovenstående ligegyldigt.


--
Christian E. Lysel, http://www.spindelnet.dk/

Kunst? http://www.firewallmonkeys.com/songs/


Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste