---

Hej
Hvis jeg vil have mit OCES certifikat i min signatur på emails og news, er
det så certifikatets serienummer eller fingerprint, (eller andet) man kan
oplyse for at vise hvem man er og at folk kan sende sikker email til en ?

---

SlashDot <slashdot@nospam.invalid> wrote:

> Hej
> Hvis jeg vil have mit OCES certifikat i min signatur på emails og news, er
> det så certifikatets serienummer eller fingerprint, (eller andet) man kan
> oplyse for at vise hvem man er og at folk kan sende sikker email til en ?

Nu har jeg ikke prøvet det med mine OCES certifikater (brugte det med
PGP) men det er som regel den tilhørende fingerprint man bruger.

---

On Fri, 21 Sep 2007 20:43:29 +0200, Axel Hammerschmidt wrote:

> Nu har jeg ikke prøvet det med mine OCES certifikater (brugte det med
> PGP) men det er som regel den tilhørende fingerprint man bruger.

Ok
Men jeg er faktisk ret irriteret over det tumpesystem som TDC og
Tietoenator kører. Deres certifikatserver er rent makværk og vidner om
inkompetence. OCES er heller ikke sikkert til andet end kontakt med
myndigheder, da TDC uden tvivl har sniffet både den private nøgle samt
passwordet. Ved nøglegenereringen kunne man kun anvende IE med java og
active scripting enablet, og det siger jo alt

Hvad er mon årsagen til at magthaverne ikke ville bruge PGP eller gnuPG som
er OCES klart overlegent på alle måder ?

---

SlashDot skrev:
> On Fri, 21 Sep 2007 20:43:29 +0200, Axel Hammerschmidt wrote:
>
>> Nu har jeg ikke prøvet det med mine OCES certifikater (brugte det med
>> PGP) men det er som regel den tilhørende fingerprint man bruger.
>
> Ok
> Men jeg er faktisk ret irriteret over det tumpesystem som TDC og
> Tietoenator kører. Deres certifikatserver er rent makværk og vidner om
> inkompetence. OCES er heller ikke sikkert til andet end kontakt med
> myndigheder, da TDC uden tvivl har sniffet både den private nøgle samt
> passwordet. Ved nøglegenereringen kunne man kun anvende IE med java og
> active scripting enablet, og det siger jo alt
>

TietoEnator???? Ja, de (blandt andre leverandører) sælger en
OCES-enabled email-løsning, men hvad har det lige med sagen at gøre??

Mht. til private nøgler er ikke korrekt! Læs evt. certifikatpolitikkerne
for OCES certifikater, der er administreret af IT- og Telestyrelsen:
http://www.signatursekretariatet.dk

> Hvad er mon årsagen til at magthaverne ikke ville bruge PGP eller gnuPG som
> er OCES klart overlegent på alle måder ?
>
>

OCES er en X.509v3 infrastruktur og gnuPG/PGP er et program og et
format, så det er lidt at sammenligne æbler og bananer. Det ville give
mere mening, hvis du sammenligende med S/MIME.

Men det er rigtigt at OCES' trust-model (X.509) er hierarisk i
modsætning til Phil Zimmermanns oprindelig web-trust-trust idé.
Web-of-trust er efter min overbevisning fin nok i mindre lukkede
miljøer, men skalere OVERHOVEDET ikke til nationale infrastrukturer,
hvor den hierariske model har vist sig overlegen på alle måder. Det
gælder både juridisk og praktisk set.

Venlig hilsen
Peter
(der i denne sammenhæng skriver som privatperson)

---

Den Sat, 22 Sep 2007 12:32:44 +0200 skrev Peter Lind Damkjær:
>
> Men det er rigtigt at OCES' trust-model (X.509) er hierarisk i
> modsætning til Phil Zimmermanns oprindelig web-trust-trust idé.
> Web-of-trust er efter min overbevisning fin nok i mindre lukkede
> miljøer, men skalere OVERHOVEDET ikke til nationale infrastrukturer,

Hvorimod en hierakisk løsning kun løser problemet når alle har
tillid til toppen af hierakiet.

Nævn bare en person eller virksomhed som alle har tillid til.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis skrev:
> Den Sat, 22 Sep 2007 12:32:44 +0200 skrev Peter Lind Damkjær:
>> Men det er rigtigt at OCES' trust-model (X.509) er hierarisk i
>> modsætning til Phil Zimmermanns oprindelig web-trust-trust idé.
>> Web-of-trust er efter min overbevisning fin nok i mindre lukkede
>> miljøer, men skalere OVERHOVEDET ikke til nationale infrastrukturer,
>
> Hvorimod en hierakisk løsning kun løser problemet når alle har
> tillid til toppen af hierakiet.
>

Jeps, det er korrekt. Det forsøges håndteret ved at opbygge åbne
reglesæt, certifikatpolitik, der definerer roller og ansvar. Regelsæt
der typisk auditeres af en uafhængig ekstern part. I OCES
infrastrukturen er IT- og Telestyrelsen tilsynsmyndighed og udbydere af
OCES certifikater er underlagt revision fra en ekstern revisor.

Men det står naturligvis enhver frit for om man har tillid til systemet.

Men det ændrer ikke på, at det kan være betydeligt mere vanskeligt, at
placere et ansvar, hvis noget går galt i en transitiv web-of-trust
model. Det kan i visse tilfælde håndteres ved at indfører et
"reputation"-begreb, så brugere kan give hinanden karaktere og herefter
lave en implicit risikoanalyse, når de agerer.

/Peter

---

Den Sat, 22 Sep 2007 13:53:37 +0200 skrev Peter Lind Damkjær:
> Kent Friis skrev:
>> Den Sat, 22 Sep 2007 12:32:44 +0200 skrev Peter Lind Damkjær:
>>> Men det er rigtigt at OCES' trust-model (X.509) er hierarisk i
>>> modsætning til Phil Zimmermanns oprindelig web-trust-trust idé.
>>> Web-of-trust er efter min overbevisning fin nok i mindre lukkede
>>> miljøer, men skalere OVERHOVEDET ikke til nationale infrastrukturer,
>>
>> Hvorimod en hierakisk løsning kun løser problemet når alle har
>> tillid til toppen af hierakiet.
>>
>
> Jeps, det er korrekt. Det forsøges håndteret ved at opbygge åbne
> reglesæt, certifikatpolitik, der definerer roller og ansvar. Regelsæt
> der typisk auditeres af en uafhængig ekstern part. I OCES
> infrastrukturen er IT- og Telestyrelsen tilsynsmyndighed og udbydere af
> OCES certifikater er underlagt revision fra en ekstern revisor.
>
> Men det står naturligvis enhver frit for om man har tillid til systemet.
>
> Men det ændrer ikke på, at det kan være betydeligt mere vanskeligt, at
> placere et ansvar, hvis noget går galt i en transitiv web-of-trust
> model. Det kan i visse tilfælde håndteres ved at indfører et
> "reputation"-begreb, så brugere kan give hinanden karaktere og herefter
> lave en implicit risikoanalyse, når de agerer.

Hvad hjælper det at placere et ansvar, hvis problemet findes i toppen
af hierakiet? Fx hvis en aflytnings-gal politiker finder på at
kryptering er en dårlig ide, for så kan hendes folk ikke lytte med,
og derfor får TDC til at lave systemet så *de* genererer den private
nøgle - og dermed må antages at have en kopi af den. TDC ville
naturligvis undskylde sig med at det er for at gøre det brugervenligt,
fordi Hr. og Fru Jensen ikke kan finde ud af at downloade OpenSSL og
generere deres egne private nøgle, og kun sende den offentlige til TDC
til signering...

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 22 Sep 2007 12:06:24 GMT, Kent Friis wrote:


> Fx hvis en aflytnings-gal politiker finder på at
> kryptering er en dårlig ide, for så kan hendes folk ikke lytte med,
> og derfor får TDC til at lave systemet så *de* genererer den private
> nøgle - og dermed må antages at have en kopi af den. TDC ville
> naturligvis undskylde sig med at det er for at gøre det brugervenligt,
> fordi Hr. og Fru Jensen ikke kan finde ud af at downloade OpenSSL og
> generere deres egne private nøgle, og kun sende den offentlige til TDC
> til signering...

Du er en af de meget få som har forstået problemet

OCES sucks og TDC er fuldkommen uduelige til at køre certifikatserver.
Ikke overraskende at Danmark kun er på en 14´plads i IT brug hvor borgerne
kan betjene sig selv.

Det er den absolutte regel, at kommuner og andre myndigheder ikke kan finde
ud af, at modtage breve pr email med attached PDF filer, hvor hele emailen
er OCES krypteret. Enten kan de tumper ikke finde ud af at åbne filen eller
også har de fejlkonverteret PDF filerne med Tietoenators fejlbehæftede
scripts til autodecryptering af OCES emails, så PDF filen er ødelagt fordi
CR og LF er fejlkonverteret. Men intet fatter de tumper.

I absolut ingen tilfælde, vil man få et svar på myndighedens brevpapir i
PDF format, og returneret som attachment, og OCES krypteret.
God bedring til de idioter. Fatter ikke at sådanne tumper skal sætte et så
lavt niveau for IT i Danmark.

til Jer her. Tror det er det eneste sted i Danmark at nogen fatter en
brik af noget med OCES og certifikater

---

On Fri, 21 Sep 2007 23:17:18 +0200, SlashDot <slashdot@nospam.invalid>
wrote:

>Hvad er mon årsagen til at magthaverne ikke ville bruge PGP eller gnuPG som
>er OCES klart overlegent på alle måder ?

Brugere kommer bare til at gøre indholdet af deres harddiske defekte
på den måde? :)

--
- Peter Brodersen
Kendt fra Internet

---

SlashDot skrev:
> Hej
> Hvis jeg vil have mit OCES certifikat i min signatur på emails og news, er
> det så certifikatets serienummer eller fingerprint, (eller andet) man kan
> oplyse for at vise hvem man er og at folk kan sende sikker email til en ?

Du kan evt. bruge vcard-formatet:

Fremsøg dig selv på www.certifikat.dk -> "Søg efter certifikat"
Tryk på den lille gule konvolut og download *.vcf filen (det er dit vcard)

Hvis du er ferm, kan du tilrette dit vcard med din foretrukne tekst-editor.

Du kan se mere om vcards og formatet på disse på:
http://en.wikipedia.org/wiki/VCard

/Peter

---

Peter Lind Damkjær skrev:
> SlashDot skrev:
>> Hej
>> Hvis jeg vil have mit OCES certifikat i min signatur på emails og
>> news, er
>> det så certifikatets serienummer eller fingerprint, (eller andet) man kan
>> oplyse for at vise hvem man er og at folk kan sende sikker email til en ?
>
> Du kan evt. bruge vcard-formatet:
>
> Fremsøg dig selv på www.certifikat.dk -> "Søg efter certifikat"
> Tryk på den lille gule konvolut og download *.vcf filen (det er dit vcard)
>
> Hvis du er ferm, kan du tilrette dit vcard med din foretrukne tekst-editor.
>
> Du kan se mere om vcards og formatet på disse på:
> http://en.wikipedia.org/wiki/VCard
>
> /Peter

Jeg glemte lige at sige:

Husk at forny dit vcard, når du fornyer dit certifikat!

/Peter

---

On Fri, 21 Sep 2007 22:15:34 +0200, Peter Lind Damkjær wrote:

> Du kan evt. bruge vcard-formatet:

Jo jeg kender det ganske godt, men det er kun egnet til attachments og
altså IKKE som footer i text emails, i headers på brevpapir, i signaturer
på usenet, osv.

---

---

Bo Simonsen skrev:
> On Fri, 21 Sep 2007, Peter Lind Damkjær wrote:
>
>> SlashDot skrev:
>>> Hej
>>> Hvis jeg vil have mit OCES certifikat i min signatur på emails og
>>> news, er
>>> det så certifikatets serienummer eller fingerprint, (eller andet) man
>>> kan
>>> oplyse for at vise hvem man er og at folk kan sende sikker email til
>>> en ?
>>
>> Du kan evt. bruge vcard-formatet:
>>
>> Fremsøg dig selv på www.certifikat.dk -> "Søg efter certifikat"
>> Tryk på den lille gule konvolut og download *.vcf filen (det er dit
>> vcard)
>>
>> Hvis du er ferm, kan du tilrette dit vcard med din foretrukne
>> tekst-editor.
>>
>> Du kan se mere om vcards og formatet på disse på:
>> http://en.wikipedia.org/wiki/VCard
>
> Man kan alternativt også bruge LDAP:
>
> http://www.sslug.dk/emailarkiv/signatur/2004_05/msg00068.html
>
> Bo Simonsen | http://bo.geekworld.dk
> Datamatiker, B.Sc, stud.scient | bo@geekworld.dk

Jeps, jeg har lavet en vejledning til Thunderbird, som MozillaDanmark
har HTML'ificeret på:

http://mozilladanmark.dk/wiki/Thunderbird/TDC_Digital_signatur#Ops.C3.A6tning_af_adgang_til_TDC.27s_.22certifikat-telefonbog.22

Hvis man ved at modtageren er en MSIE/MSOE-bruger kan man anvende RFC2255:
http://www.lind-damkjaer.dk/moreDS/#afs1.2.2


/Peter

---

On Sat, 2007-09-22 at 12:32 +0200, Peter Lind Damkjær wrote:
> Mht. til private nøgler er ikke korrekt! Læs evt. certifikatpolitikkerne

Hvad er ikke rigtigt i forbindelse med de private nøgler ... at TDC har
adgang til dem?

---

On Sat, 2007-09-22 at 15:17 +0200, Peter Lind Damkjær wrote:
> Hvis man er ked af at have have en "Standard MS"-pakke, skal man
> kontakte TDC Digital Signatur supporten og bede om at blive NEDLAGT
> (ikke kun spærret) i systemet. Herefter bestiller man atter et
> certifikat som vil være af Flex-typen.

Mine oplevelser med Windows og Ubuntu, er at "Standard MS" pakken er den
nemmeste at bruge .... dvs. at man får et certfikat.

Jeg har desværre oplevet for mange problemer med Flex-typen.


Desværre skal man under windows logge ud som en almindelig bruger og
logge ind som Administrator for at kunne importere certifikatet.
Derefter kan man exportere det til en USB ... først derefter kan man
logge på som sig selv og importere certifikatet man lige har exporteret.

På Ubuntu, tænder jeg normalt for en Windows maskine og går ovestående
igennem indtil man har certifikatet på USB. Derefter importeres den på
Ubuntu maskinen.