---

Ved nogle af jer om det er muligt og i givet fald hvordan, at benytte den
digitale signatur som alle danskere kan få via TDC, som logon til en privat
internet tjeneste?

Links og konkret viden er meget velkomne.


--
:: J.K.Arning :: http://arning.dk ::

---

J.K.Arning wrote:
> Ved nogle af jer om det er muligt og i givet fald hvordan, at benytte den
> digitale signatur som alle danskere kan få via TDC, som logon til en privat
> internet tjeneste?

Du kan jo altid selv bakse noget sammen.
F.eks. lade din server sende en tilfældig challenge, lade klienten
signere den og identificere sig. Så kan du bagefter verificere at den er
signeret med en nøgle svarede til det certifikat, den påstod at være.

Men der er ikke rigtig nogen grund til at misbruge den digitale signatur
til alle mulige for-sjov formål. Det kan kun resultere i at hr og fru
Jensen mister respekten for hvornår de anvender den.

Peter

---

Quoth Peter Mogensen:
> Men der er ikke rigtig nogen grund til at misbruge den digitale signatur
> til alle mulige for-sjov formål. Det kan kun resultere i at hr og fru
> Jensen mister respekten for hvornår de anvender den.

Skriver de også under på en anden måde når de signerer officielle
dokumenter end når de skriver postkort?

\\kristian
--
"Power is only given to the man who dare stoop to pick it up. Nothing
more is needed, except courage. From the moment this truth had dawned
upon me - a truth as clear as the light of the sun - I longed to dare,
and I committed murder."

---

Kristian Thy skrev:

> Skriver de også under på en anden måde når de signerer officielle
> dokumenter end når de skriver postkort?

Jeg gør. Jeg skriver "Bertel", "Far" eller "Morfar" på postkort
lidt afhængig af hvem jeg skriver til. Jeg underskriver mig
"Bertel Lund Hansen" på officielle dokumenter.

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

On Fri, 2006-04-28 at 16:27 +0200, J.K.Arning wrote:
> Ved nogle af jer om det er muligt og i givet fald hvordan, at benytte den

Ja, selvfølgelig er det muligt.

> digitale signatur som alle danskere kan få via TDC, som logon til en privat
> internet tjeneste?

cd /tmp

openssl genrsa -out server.key 1024

openssl req -new -key server.key -out server.csr

openssl x509 -req -days 365 -in server.csr -signkey server.key \
-out server.crt

wget http://www.certifikat.dk/repository/ocesca.crt

openssl s_server -www -cert server.crt -key server.key \
-CAfile ocesca.crt -Verify ocesca.crt


Nu har du startet en simpel webserver, der kun lader folk med digital
signatur, fra certifikat.dk, ind.

På en apache kan du følgene,
http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html.en#accesscontrol

Med stunnel kan du kikke på,
http://www.stunnel.org/examples/client_cert.html

> Links og konkret viden er meget velkomne.

man openssl

http://www.openssl.org/docs/apps/openssl.htm

---

On Fri, 28 Apr 2006 16:27:01 +0200, "J.K.Arning" <spam@arning.dk>
wrote:

>Ved nogle af jer om det er muligt og i givet fald hvordan, at benytte den
>digitale signatur som alle danskere kan få via TDC, som logon til en privat
>internet tjeneste?

Jeg har lavet et yderst simpelt eksempel på https://ter.dk/ hvor man
kan logge ind med sin digitale signatur. Det er sat op "uden videre".
(mit SSL-certifikat er udløbet - jeg bruger det udelukkende til
testformål)

Jeg har skrevet et par ustrukturerede fodnoter på
http://stock.ter.dk/ssl_howto.txt for Apache og OpenSSL, men i grove
træk:

1. Skaf et SSL-certifikat (eller lav ét selv). Det er som led i
SSL-protokollen at klienten bliver bedt om den digitale signatur.

2. I SSL-opsætningen i Apache tilføjer du, at klienten skal valideres,
samt hvilken CA, det skal valideres op imod:

SSLVerifyClient require
SSLCACertificateFile ocesca.crt

"ocesca.crt" er TDCs OCES rodcartifikat, og filen kan hentes fra
http://www.certifikat.dk/rootcert.html (Rodcertifikat TDC OCES CA)

3. I din applikation opsamler du så informationer om certifikatet. Du
kan for eksempel sætte sætte en option, så certifikat-dataen bliver
eksporteret:

SSLOptions +ExportCertData

Derefter bliver bl.a. SSL_CLIENT_CERT eksporteret som en
servervariabel, som din webapplikation så kan opsamle. For PHP kan det
fx gøres på denne måde:

<?php
header("Content-Type: text/plain");
$cert = openssl_x509_parse($_SERVER['SSL_CLIENT_CERT']);
var_dump($cert);
?>

... og presto, så er du kørende! Brug serienummeret som unik
identifikator på klientcertifikatet, idet flere folk naturligvis kan
hedde det samme.


Et par yderligere betragtninger:


Dokumentation til de fleste OpenSSL-kommandoer finder du fx på:
http://www.modssl.org/docs/2.8/ssl_reference.html#ToC17
For gamle OpenSSLer kunne man kun overordnet sætte for SSL-opsætningen
om man krævede at brugeren var logget ind eller ej. Nu kan man gøre
det på .htaccess-niveau (fx mappeniveau eller filniveau). Jeg har fx
valgt kun at gøre det for en enkelt mappe.



I det hele taget er det så let at implementere, at jeg er overrasket
over at det ikke benyttes flere steder. Problemet er nok bl.a., at
selv om der er tale om et unikt og godkendt certifikat, så står man
ikke tilbage med yderligere information ud over personens navn, og et
unikt serienummer, som man ikke nødvendigvis kan holde op imod noget
andet. Så identifikationen kan godt være begrænset til sig selv, men
det kan på sigt også være relevant nok.

Men auktionssites og deslige kunne snildt benytte det for i det
mindste at have fået én bekræftelse på brugerens navn. Det er også
billigere end at skulle hive navnet ud fra kreditkort-validering, men
sikkert ikke så udbredt endnu.


I og med at alle kan implementere det, kan det dog også tænkes, at det
måske vil bruges i forbindelse med svindel. Lige nu betragtes digital
signatur stadigvæk som noget, man bruger op imod myndigheder, men der
er som sådan ikke nogen begrænsning her. Så det at man kan bruge
diigtal signatur kan måske få en del folk til at tillægge sitet en
sikkerhed, der ikke er grundlag for (men derimod netop fortælle ens
eget navn til websitet).


Jeg ved ikke om Mozilla/Firefox endelig har forbedret deres
certifikat-politik, men jeg mener (sikkert i modsætning til øvrige
nørder) at al den snak og kritik, der var om sikkerheden med
certifikater i Firefox var berettiget. Firefox' "master
password"-system er så belastende og uhensigtsmæssigt, at det vil være
en daglig hindring at benytte det, plus at man (da jeg installerede
certifikatet) ikke blev opfordret til at benytte et master password.
Det er også knudret, at dette master password skal være fælles for
alle ens koder (både vilkårlige passwords til vilkårlige logins, og så
til ens digitale signatur) og at man ikke blot kan bruge signaturens
eget kodeord.

Det betyder, at der sikkert er mange Firefox-brugere, for hvem man
uden videre kan se navnet på. Så meget for anonymitet. En detaljeret
beskrivelse af problemstillingen sendt via bugzilla, markeret som
sikkerhedsrelateret, sendt for præcis 11 måneder siden, er stadigvæk
"UNCONFIRMED" uden at nogen er assigned til den. Jeg forstår ikke
hvorfor folks browsertillid kan være så høj?

--
- Peter Brodersen
Ugens værktøj - sammensæt og opdel PDF-filer: http://pdf.ter.dk/

---

Den Sat, 29 Apr 2006 05:01:13 +0200 skrev Peter Brodersen:
>
> Jeg har lavet et yderst simpelt eksempel på https://ter.dk/ hvor man
> kan logge ind med sin digitale signatur. Det er sat op "uden videre".
> (mit SSL-certifikat er udløbet - jeg bruger det udelukkende til
> testformål)

Er det meningen at for os der ikke er hoppet på TDC-signaturen skal
linket slet ikke virke?
>
> I det hele taget er det så let at implementere, at jeg er overrasket
> over at det ikke benyttes flere steder.

Måske fordi at der endnu er så få der har det? Det er frivilligt om
man vil have det, så fx et auktionssite kan ikke bare kræve at kunderne
har det, i hvert fald ikke uden kraftigt at reducere antallet af
potentielle kunder.

> plus at man (da jeg installerede
> certifikatet) ikke blev opfordret til at benytte et master password.

Det kan du jo kun bebrejde TDC, det må være i deres vejledning det
bør stå.

> Det betyder, at der sikkert er mange Firefox-brugere, for hvem man
> uden videre kan se navnet på. Så meget for anonymitet. En detaljeret
> beskrivelse af problemstillingen sendt via bugzilla, markeret som
> sikkerhedsrelateret, sendt for præcis 11 måneder siden, er stadigvæk
> "UNCONFIRMED" uden at nogen er assigned til den. Jeg forstår ikke
> hvorfor folks browsertillid kan være så høj?

Hvad er vores alternativ? At lade være med at sure - nej, problemet
opstår jo kun med certifikater. At lade helt være med at have et
certifikat er en nem og effektiv løsning på problemet.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On 29 Apr 2006 07:33:37 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>> Jeg har lavet et yderst simpelt eksempel på https://ter.dk/ hvor man
>> kan logge ind med sin digitale signatur. Det er sat op "uden videre".
>> (mit SSL-certifikat er udløbet - jeg bruger det udelukkende til
>> testformål)
>Er det meningen at for os der ikke er hoppet på TDC-signaturen skal
>linket slet ikke virke?

Jeg er lige prøvet at ssh'e ud i verden og gå ind på adressen, og her
går det fint. Det kan være, du har sat din browser op til ikke at gide
forbinde til servere med forældede certifikater, hvilket er helt fint.
Forsiden på https://ter.dk/ kræver ikke digital signatur, det er som
nævnt begrænset til en enkelt mappe.

>> I det hele taget er det så let at implementere, at jeg er overrasket
>> over at det ikke benyttes flere steder.
>Måske fordi at der endnu er så få der har det? Det er frivilligt om
>man vil have det, så fx et auktionssite kan ikke bare kræve at kunderne
>har det, i hvert fald ikke uden kraftigt at reducere antallet af
>potentielle kunder.

Det var naturligvis ikke som et krav, men som endnu et tilbud om en
valideringsmekanisme. Som nævnt er der en del sites (bl.a. Amazon),
hvor ens navn kan blive lagt ind på baggrund af det kreditkort, man
bruger. Jeg vil finde det relevant information, hvis en person, jeg
eventuelt skal lave en handel med, kan validere sig på det niveau.

Jeg siger ikke, at det er en gylden løsning på alt, men for prisen af
et SSL-certifikat og en lille mængde kode, så kan det være en fin
løsning.

>Hvad er vores alternativ? At lade være med at sure - nej, problemet
>opstår jo kun med certifikater. At lade helt være med at have et
>certifikat er en nem og effektiv løsning på problemet.

Det er et problem, hvis software bliver unødigt omstændige, når der
tilføjes sikkerhed.

--
- Peter Brodersen
Ugens værktøj - sammensæt og opdel PDF-filer: http://pdf.ter.dk/

---

Den Sat, 29 Apr 2006 10:35:18 +0200 skrev Peter Brodersen:
> On 29 Apr 2006 07:33:37 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Jeg har lavet et yderst simpelt eksempel på https://ter.dk/ hvor man
>>> kan logge ind med sin digitale signatur. Det er sat op "uden videre".
>>> (mit SSL-certifikat er udløbet - jeg bruger det udelukkende til
>>> testformål)
>>Er det meningen at for os der ikke er hoppet på TDC-signaturen skal
>>linket slet ikke virke?
>
> Jeg er lige prøvet at ssh'e ud i verden og gå ind på adressen, og her
> går det fint. Det kan være, du har sat din browser op til ikke at gide
> forbinde til servere med forældede certifikater, hvilket er helt fint.
> Forsiden på https://ter.dk/ kræver ikke digital signatur, det er som
> nævnt begrænset til en enkelt mappe.

Det er mig der er upræcis, forsiden virker fint (incl. advarsel),
men linket "Digital signature login" virker ikke, det bliver bare
stående på forsiden, hvor jeg havde forventet en besked om at jeg
ikke har nogen digital signatur.

Og så er jeg naturligvis interesseret i om det er med vilje (doven?),
eller en mangel i digital signatur systemet.

>>> I det hele taget er det så let at implementere, at jeg er overrasket
>>> over at det ikke benyttes flere steder.
>>Måske fordi at der endnu er så få der har det? Det er frivilligt om
>>man vil have det, så fx et auktionssite kan ikke bare kræve at kunderne
>>har det, i hvert fald ikke uden kraftigt at reducere antallet af
>>potentielle kunder.
>
> Det var naturligvis ikke som et krav, men som endnu et tilbud om en
> valideringsmekanisme.

Men er kundegruppen stor nok til at det kan betale sig? Hvis fx
alternativet er kreditkort, hvor mange har så en digital signatur
som ikke har et kreditkort?

> Jeg siger ikke, at det er en gylden løsning på alt, men for prisen af
> et SSL-certifikat og en lille mængde kode, så kan det være en fin
> løsning.
>
>>Hvad er vores alternativ? At lade være med at sure - nej, problemet
>>opstår jo kun med certifikater. At lade helt være med at have et
>>certifikat er en nem og effektiv løsning på problemet.
>
> Det er et problem, hvis software bliver unødigt omstændige, når der
> tilføjes sikkerhed.

Korrekt, men det var det med at stole på browseren (eller hvad ordvalget
var) jeg kommenterede.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

On 29 Apr 2006 08:44:13 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Det er mig der er upræcis, forsiden virker fint (incl. advarsel),
>men linket "Digital signature login" virker ikke, det bliver bare
>stående på forsiden, hvor jeg havde forventet en besked om at jeg
>ikke har nogen digital signatur.

Hvem ved, det afhænger sandsynligvis af din klient, hvordan den
opfører sig. Man kunne godt forestille sig, at hvis man ikke havde
noget certifikat installeret, ville den ikke sige noget til brugeren.
IE indikerer vist, at man bliver promptet om brugercertifikat. Jeg har
lige testet en Bon Echo uden noget certifikat, og den giver rigtigt
nok ikke lyd fra sig. Selv hvis man vælger at den skal spørge, nævner
den ikke noget om hvad, der sker. Jeg er ikke imponeret.

>Og så er jeg naturligvis interesseret i om det er med vilje (doven?),
>eller en mangel i digital signatur systemet.

Det lader til at være dårligt brugerinterface for Firefox. Opera
kommer trods alt med en fejlmeddelelse, men den er alt andet end
specifik. Opera påstår: "Secure connection: fatal error (40) from
server". Fejlkoden er rigtig, men den kunne godt nævne, hvad det
dækkede over (handshake failure), samt hvad den havde forsøgt i den
forbindelse.

Men i det hele taget er der jo tale om en fuldt ud standardiseret
løsning. Der er intet specielt ved digital signatur, men brugen som
klient-certifikat følger gennemtestede, licensfri og teknologineutrale
branchestandarder. Noget, der egentligt overrasker mig positivt, at
man rent faktisk når frem til denne løsning, i stedet for noget
hjemmebikset program-magi

>> Det var naturligvis ikke som et krav, men som endnu et tilbud om en
>> valideringsmekanisme.
>Men er kundegruppen stor nok til at det kan betale sig? Hvis fx
>alternativet er kreditkort, hvor mange har så en digital signatur
>som ikke har et kreditkort?

Aner det ikke. Jeg ved faktisk heller ikke om det er muligt for danske
websites at lave et navnetjek på den måde op imod PBS. Men jeg ville
være mere tryg ved at benytte min digitale signatur for at
identificere mig ved navn på et tilfældigt website, end at bruge
kreditkort. Man kunne også forestille sig debatfora og den slags, hvor
man var træt af for mange Lord34-brugere.

--
- Peter Brodersen
Ugens værktøj - sammensæt og opdel PDF-filer: http://pdf.ter.dk/

---

On Sat, 29 Apr 2006 11:25:40 +0200, Peter Brodersen wrote:

>
> Det lader til at være dårligt brugerinterface for Firefox. Opera
> kommer trods alt med en fejlmeddelelse, men den er alt andet end
> specifik. Opera påstår: "Secure connection: fatal error (40) from
> server". Fejlkoden er rigtig, men den kunne godt nævne, hvad det
> dækkede over (handshake failure), samt hvad den havde forsøgt i den
> forbindelse.
>

Konqueror: An error occurred while loading https://ter.dk/login/:
Connection to host ter.dk is broken.

Lynx: SSL-fejl: Kan ikke finde fælles navn i certifikat

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

On Sat, 29 Apr 2006 11:38:50 +0200, Michael Rasmussen <mir@miras.org>
wrote:

>Konqueror: An error occurred while loading https://ter.dk/login/:
>Connection to host ter.dk is broken.

Endnu én på listen... Jeg troede virkelig ikke, at det så så skidt
ud. På den anden side bekræfter det mine fordomme i at alle browsere
sutter.

Internet Explorer har en prompt med "The Web site you want to view
requests identification. Please choose a certificate." (og så en blank
liste, hvis man ikke har installeret noget certifikat):
http://stock.ter.dk/iecertificate.png

Det er stadigvæk uhensigtsmæssigt at man bliver bedt om at vælge
noget, når der ikke er nogen muligheder. Til gengæld er det klart,
hvad der foregår på det tidspunkt.

Suk, nu kan hele weekenden gå med at submitte bugreports/feature
requests...

>Lynx: SSL-fejl: Kan ikke finde fælles navn i certifikat

Det er en prompt - du kan stadigvæk trykke "y" herfra.

Den fejl får jeg egentligt i lynx, uanset hvilken HTTPS-url, jeg
prøver at tilgå.
--
- Peter Brodersen
Ugens værktøj - sammensæt og opdel PDF-filer: http://pdf.ter.dk/

---

Peter Brodersen wrote in <news:e2vd8p$8or$1@news.klen.dk>:

>>Konqueror: An error occurred while loading https://ter.dk/login/:
>>Connection to host ter.dk is broken.
>
> Endnu én på listen... Jeg troede virkelig ikke, at det så så
> skidt ud. På den anden side bekræfter det mine fordomme i at alle
> browsere sutter.

Opera 8.54 (win32):

| Secure connection: fatal error (40) from server
| https://ter.dk/login/
| Failed to connect to server. The reason may be that the encryption
| methods supported by the server are not enabled in the security
| preferences.

I'm not kidding. Den /siger/ fejl 40. Og som det fremgår, så sutter
dens fejlbeskrivelser også mås.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

Don't buy D-Link. Thanks!

---

Peter Brodersen skrev:

> Jeg er lige prøvet at ssh'e ud i verden og gå ind på adressen, og her
> går det fint.

Det er vist en overdrivelse. Jeg får en Opera-advarsel om at et
certfikat er udløbet. Den kan jeg ignorere. Når jeg derefter
klikker på "Digital signature login", får jeg en fejl:

========
Kunne ikke fuldføre sikker transaktion

[Standardgæt på hvad fejlen er]

Sikker forbindelse: fatal fejl (40) fra serveren

https://ter.dk/login/

Kunne ikke forbinde til serveren. Dette kan skyldes, at de
krypteringsmetoder, der understøttes af serveren, ikke er
aktiveret under sikkerheds-indstillingerne.
========

--
Bertel
http://bertel.lundhansen.dk/      http://fiduso.dk/

---

On Sat, 2006-04-29 at 11:56 +0200, Peter Brodersen wrote:
> On Sat, 29 Apr 2006 11:38:50 +0200, Michael Rasmussen <mir@miras.org>
> wrote:
>
> >Konqueror: An error occurred while loading https://ter.dk/login/:
> >Connection to host ter.dk is broken.
>
> Endnu én på listen... Jeg troede virkelig ikke, at det så så skidt
> ud.

Jo, da.

> På den anden side bekræfter det mine fordomme i at alle browsere
> sutter.

http://www.modssl.org/docs/2.8/ssl_faq.html#io-ie

---

Peter Brodersen <usenet2006@ter.dk> wrote:

> On Fri, 28 Apr 2006 16:27:01 +0200, "J.K.Arning" <spam@arning.dk>
> wrote:
>
> >Ved nogle af jer om det er muligt og i givet fald hvordan, at benytte den
> >digitale signatur som alle danskere kan få via TDC, som logon til en privat
> >internet tjeneste?
>
> Jeg har lavet et yderst simpelt eksempel på https://ter.dk/ hvor man
> kan logge ind med sin digitale signatur. Det er sat op "uden videre".
> (mit SSL-certifikat er udløbet - jeg bruger det udelukkende til
> testformål)

Dit site virker med mit OCES certifikat i Safari 1.3.2 (v312.6) og Mac
OS X 10.3.9. Og jeg får ganske rigtigt en advarsel om at dit certifikat
er udløbet, men når jeg vælger at forsætte virker alt tilsyneladende.

---

On Fri, 28 Apr 2006 16:27:01 +0200, J.K.Arning wrote:

> Ved nogle af jer om det er muligt og i givet fald hvordan, at benytte den
> digitale signatur som alle danskere kan få via TDC, som logon til en privat
> internet tjeneste?
>
> Links og konkret viden er meget velkomne.

Tak for alle svarene der er noget at gå igang med at læse.

Jeg vender tilbage hvis der kommer flere spørgsmål.


--
:: J.K.Arning :: http://arning.dk ::