Kære Charlotte Sahl-Madsen:
Jeg ved desværre ikke, hvem jeg skal henvende mig til med dette problem. Jeg har fået et NemID-certifikat for at kunne underskrive mine emails i mine henvendelser til det offentlige. Men selv om DanID har slået på, at alle vil kunne bruge NemID på en hvilken som helst computer, og selv om DanID har bedyret, at man ikke skal installere applikationer på computeren for at bruge NemID, så har jeg fået følgende oplyst af DanID:
1. NemID-certifikatet kan KUN bruges sammen med email-programmet Thunderbird, der ikke er standard email-program i den mest udbredte Linux-distribution, som jeg bruger.
2. For at kunne bruge NemID-certifikatet med Thunderbird, er jeg nødt til at downloade en applikation fra NemIDs hjemmeside og gennemgå en temmelig detaljeret opsætning af programmet. Hvis blot certifikatet kunne modtages i andre formater end DanIDs foretrukne, ville det være yderst nemt at installere certifikatet i andre email-programmer. Standard email-programmet i Ubuntu (Linux) kan således underskrive emails, hvis blot man giver email-programmet certifikatet i det såkaldte PKCS#12-format. DanID vil kun levere det i x.509-format. (Denne email er f.eks. underskrevet med en digital signatur fra CAcert, der ikke har krævet nogen omveje med applikationer og besværlig opsætning.)
Årsagen er øjensynligt, at NemID er skruet sådan sammen, at DanID ejer brugernes private nøgler. Enhver ekspert i IT-sikkerhed kan fortælle, at dette er fundamentalt usikkert (det svarer til, at andre ejer nøglen til ens hus); og fordi DanID har valgt denne løsning, er DanID nødt til at lave fordyrende krumspring med særlige applikationer, der skal installeres, og er nødt til at fastlåse brugeren til specifikke 3-parts applikationer. Allerede brugen af Java til NemID-login gør det også nødvendigt at installere flere applikationer (nemlig Java samt login-applikationen, der kræver Java), og dette kan ikke forventes at være generelt muligt på offentligt tilgængelige computere.
Hvad vil I gøre for at sikre, at NemID virkelig kan bruges på enhver computer, og uden at brugerne skal installere applikationer fra DanID, sådan som det oprindeligt var hensigten?
Med venlig hilsen,
Ole Wolf
(Adresse m.v.)
Jeg ved desværre ikke, hvem jeg skal henvende mig til med dette problem. Jeg har fået et NemID-certifikat for at kunne underskrive mine emails i mine henvendelser til det offentlige. Men selv om DanID har slået på, at alle vil kunne bruge NemID på en hvilken som helst computer, og selv om DanID har bedyret, at man ikke skal installere applikationer på computeren for at bruge NemID, så har jeg fået følgende oplyst af DanID:
1. NemID-certifikatet kan KUN bruges sammen med email-programmet Thunderbird, der ikke er standard email-program i den mest udbredte Linux-distribution, som jeg bruger.
2. For at kunne bruge NemID-certifikatet med Thunderbird, er jeg nødt til at downloade en applikation fra NemIDs hjemmeside og gennemgå en temmelig detaljeret opsætning af programmet. Hvis blot certifikatet kunne modtages i andre formater end DanIDs foretrukne, ville det være yderst nemt at installere certifikatet i andre email-programmer. Standard email-programmet i Ubuntu (Linux) kan således underskrive emails, hvis blot man giver email-programmet certifikatet i det såkaldte PKCS#12-format. DanID vil kun levere det i x.509-format. (Denne email er f.eks. underskrevet med en digital signatur fra CAcert, der ikke har krævet nogen omveje med applikationer og besværlig opsætning.)
Årsagen er øjensynligt, at NemID er skruet sådan sammen, at DanID ejer brugernes private nøgler. Enhver ekspert i IT-sikkerhed kan fortælle, at dette er fundamentalt usikkert (det svarer til, at andre ejer nøglen til ens hus); og fordi DanID har valgt denne løsning, er DanID nødt til at lave fordyrende krumspring med særlige applikationer, der skal installeres, og er nødt til at fastlåse brugeren til specifikke 3-parts applikationer. Allerede brugen af Java til NemID-login gør det også nødvendigt at installere flere applikationer (nemlig Java samt login-applikationen, der kræver Java), og dette kan ikke forventes at være generelt muligt på offentligt tilgængelige computere.
Hvad vil I gøre for at sikre, at NemID virkelig kan bruges på enhver computer, og uden at brugerne skal installere applikationer fra DanID, sådan som det oprindeligt var hensigten?
Med venlig hilsen,
Ole Wolf
(Adresse m.v.)
Det ærlige svar er jo nok: Ingen ting!
DanID vil aldrig opgive vores nøgler. Faktisk *kan* de efter eget udsagn ikke give dig din private nøgle, fordi den ligger på et kryptokort et sted i deres serverrum. Med mindre den længe lovede decentrale løsning en dag skulle dukke op, men så får du brug for en ny nøgle.
Ja og nej. De vil sikkert aldrig opgive vore nøgler, men det er omvendt heller ikke nødvendigt for at levere certifikaterne i et format, der kan bruges mere generelt. Hvis de kan eksportere certifikaterne i x.509-format, kan de også eksportere dem i PCKS#12-format, så de kan bruges langt mere generelt.
... men er hele humlen ved et PKI-system ikke, at man skal bruge den private nøgle til at underskrive dokumenter med?
Hvad enten de bruger den ene eller den anden slags certifikat, er de dermed nødt til at have en eller anden form for plugin eller interface, der kommunikerer med DanId, eftersom nøglen ikke findes lokalt.
... og plejer man ikke forholdsvis problemfrit at kunne konvertere certifikater med openssl? En Google-søgning på netop dette giver en hel del hits. (Og Evolution kan da også bruge X.509-certifikater. Der må være et eller andet helt fishy ved DanIDs certifikater.)
Man ville kunne konvertere et certifikat i X.509-format til PKCS#12-format med følgende kommando (off the top of my head):
Men der er bare lige det med nøglen (nemid.key), der mangler...
Men spørgsmålet er, hvor megen ide der er i at spilde for meget tid på NemID. NemID er dead solution walking. Med alle fejlene i TDCs digitale signatur, så fulgte det da i det mindste standarderne for den slags ...