Apple var også sent ude i forhold til at ophæve tilliden til alle certifikater udstedt af det malaysiske underordnede nøglecenter (CA) DigiCert Sdn. Bhd, som sikkerhedsanalytikere sidste år fandt ud af, havde udstedt 22 certifikater med svage 512 bit-nøgler samt certifikater uden korrekte anvendelsesudvidelser eller tilbagekaldelsesoplysninger.

Microsoft og Mozilla ophævede tilliden til alle certifikater fra dette underordnede nøglecenter for tre måneder siden.

Det er altså ikke en decideret sikkerheds opdatering Apple her kommer med. Det er blot en ‘justering’ af rod certifikaterne i SSL træet.

Det der undrer mig, er at den slags opdateringer burde slet ikke være nødvendige. Så vidt jeg ved, kan man sagtens signere et givent certifikat, og dermed også et rod certifikat flere gange, af andre certifikater. Hvorfor har Apple ikke bare lavet deres ‘eget’ rodcertifikat, og signeret de udbydere, som de stoler på. Så kunne blot have lagt den malaysiske udbyder i deres CRL liste, hvorefter hans certifikater er tilbagekaldt, enkelt, hurtigt og sikkert.

Måske er løsningen at bruge DNSSEC til at opbevare offentlige nøgler i, så man helt undgår certifikat udbyderne. Ulempen er at det blot sikrer at vedkommende der har kontrollen over DNS, også har kontrollen over den givne server. Det sikrer imod Man In the Middle, men hjælper ikke meget, imod at folk logger på deres netbank på domænet www.n0rdeabank.dk.com. Den sikkerhed er der heller ikke meget af i dag, da det er de færreste ikke IT kyndige, der forstår sig på SSL certifikater og udvidede parametre. De kigger blot efter hængelåsen, for det er det vi andre har prædiket i årevis.

Egentlig burde vi slet ikke bruge SSL på den måde vi gør i dag. I SSL er sikkerhed alt eller intet. Mange af de oplysninger vi overfører, er jo ikke ‘hemmelige’, men vi vil blot have sikkerhed for at de er autentiske. Det klarer IPSec egentlig meget bedre, ved at have to forskellige lag af sikkerhed. AH, Authentication header, sikrer at der ikke er ændret i indholdet undervejs. ESP, Encapsulating Security Payloads, sikrer at det overførte holdes hemmeligt, så udenforstående ikke kan se indholdet. På den måde kan man overføre selve HTML siden, billeder og javascripts fra en netbank ukrypteret, men på en måde, så indholdet stadig kan verificeres. De data burde ikke indeholde nogle informationer, der er hemmelige, og kan på den måde caches af både slut browseren, men også af eventuelle proxies, som sparer båndbredde på vejen mellem banken og kunden. De hemmelige data, det vil sige en XML fil med kontonumre og saldoer, adgangskoder, eventuelle kontoudskrifter i PDF og andre hemmelige data, vil så kunne overføres fuldt fortroligt, ved hjælp af ESP. Hvis alt var bygget op om IPSec algoritmerne, ville vi være fri for at skulle kryptere store dele af vores data, men ville samtidig have fuldt tillid til de data vi overfører over et åbent Internet.

Hjemme har jeg en Apple Airport Extreme som router. Den har et lidt for fancy GUI værktøj til konfigurationen, men er i bund og grund en robust router, med features jeg bliver ved med at opdage. Jeg ville tjekke dens IPv6 implementation, og sad og rodede rundt med det. IPv6 siden i GUI værktøjet var ret simpel, og tunnel opsætningen var sat til ‘localhost only’. Jeg fandt ud af at man kunne sætte IP op manuelt, eller lave en tunnel ud. Under tunnel mode var der endnu en dropdown til ‘manuel eller automatic’ opsætning. Automatic? Gad vide hvordan det virker….

Og det gør det altså bare. Jeg har nu IPv6 adresser sat op i DNS til de enkelte maskiner hjemme i privaten (dem der understøtter det anyway), og det var mere eller mindre plug and play at få dem til at spille. Min MacBook Pro, min router og min Debian Linux server kørte out of the box. Jeg havde ikke tid til at teste de mere tricky ting, så som tv, playstation, nas box og så videre, men jeg går stærkt ud fra at iphone og ipad virker out of the box.
Jeg har ingen ide om, hvem der udbyder min tunnel, om jeg har en fast tunnel eller om jeg skal ændre ip’er om et halvt år. På den anden side, så giver det vel ikke mening at ændre min ip range?

Lige nu sidder jeg så i toget. Jeg har net via både Arriva’s gratisdanmark løsning og via min egen iphone. Ingen af dem ser ud til at understøtte IPv6…
Der er lidt vej endnu…

Oh well: /wp-login.php eller /wp-admin/ virkede

Nå, men jeg må hellere få opdateret ønskelisten til jul.

Det er ikke helt dag 1, men i går, lørdag, kom vi så sent frem, at det næsten ikke tæller med.
Vi fik installeret os, fundet et sted at sove og lidt plads til vores hær af laptops.

I dag er dagen så gået med et par forskellige foredrag, afslapning og lidt nørderier der har stået på min samvittighed i længere tid.

Jeg har fået oprettet mig en profil på CACert.org, og oprettet certifikater til både min email og min webserver.
Fremover vil både webmailen og admin panelet køre krypteret, det kræver dog at i lige installerer rod certifikatet fra CACert, hvis i ikke vil have en advarsel om at certifikatet ikke er gyldigt

Apopros webmail, så har den i et stykke tid kørt med den webmail, der hedder SquirrelMail. Jeg har installeret RoundCube på serveren igen, dog ikke med noget fancy design, så den ligner nok ikke det i kender. Det er dog den gamle webmail der er tilbage. Jeres domæner er blevet rettet til, så i kan finde webmailen på enten http://webmail.domæne.dk/ eller http://domæne.dk/webmail/

Derudover har jeg nået en anden af de ting jeg havde liggende, nemlig at indlæse og konvertere filmene jeg optog til Sct. Hans i år. De ligger i skrivende stund som H.264 filer på min harddisk, men fordi internettet her på TheCamp er temmeligt begrænset (6mbit/768kbit til 47 deltagere), så kommer det først på YouTube når jeg kommer hjem

Derudover har jeg lige opdaget at den danske udgave af WordPress er blevet opdateret til version 3.0. Derfor er jeg igang med at opdatere jeres hjemmesider igen-igen

Ellers står den på hygge og afslapning. Det er nice at holde ferie sammen med en masse interessante mennesker, med masser af mulighed for at spørge og diskutere, om alle de ting jeg ellers ikke ville have nået derhjemme..

/BT out

Jeg har lige fået ny digital signatur. Den gamle udløber her til den første, så den skulle jo opdateres. Det var nu nemt nok. Jeg bruger Chrome på en XP maskine, og bortset fra at jeg måtte prøve to gange, fordi PKCS11 modulet ikke lige blev installeret korrekt første gang, så fik jeg en ny signatur uden de store problemer.

I den forbindelse besluttede jeg mig for at bruge en anden kode på den nye signatur. Jeg har lige som mange andre IT folk, rigeligt med koder at huske til dagligt. Derfor er mine personlige koder opdelt i et system, alt efter hvor meget der kan gå galt hvis en af dem bliver brudt. Alle mine personlige ting, der har noget med mine personlige penge at gøre, har den samme kode som min signatur. Det er måske ikke så sikkert som at have forskellige koder, men i det mindste skriver jeg ikke koden ned nogen steder.

Nu når jeg alligevel skifter kode, så ville jeg dog lave en liste over hvor koden bliver brugt. Det er en smart måde at sikre at man får skiftet alle steder også i fremtiden. Jeg fik ændret de fleste sider uden at det var specielt besværligt, dog forstår jeg stadig ikke at HK kalder min kode for en PIN-kode, når nu de kræver bogstaver.

En af de steder jeg har brugt den gamle kode, var på Skat’s tast-selv sider. Da jeg forsøgte at skifte denne kode, gik stort set alt hvad der havde med sikkerhed at gøre galt. For det første husker min browser mit login navn, som er mit CPR nummer. Vel at mærke hele CPR nummeret. Det er ret usmart at Skat ikke har sat den lille attribut, der gør at browseren ikke gemmer feltet. Derudover kunne jeg ikke finde noget sted at skifte koden. Jeg har brugt en halv times tid på at lede efter det, men jeg kan ikke finde noget sted, hvor man kan ændre eller slette sin tast-selv kode. Jeg ville egentlig gerne bare bruge digital signatur i stedet, og så bare slette koden helt.

Dog fandt jeg til sidst ud af, at jeg kan bestille en ny kode. Denne kode bliver så sendt til mig per email, da jeg har tastet en email ind, som kontaktoplysning. Det undrer mig lidt at jeg kan modtage koden, i en ukrypteret email. Det vil sige at folk der på en eller anden måde, får opsnappet mit CPR, nemt kan logge på tast-selv, og alle andre sider der bruger tast-selv login. En af de sider er for eksempel E-boks, hvor alle mine forsikrings papirer, lønsedler og andre ret personlige ting bliver opbevaret for mig.

Skat burde dele CPR feltet ved login op i 2 felter, ligesom HK har gjort det. De sidste 4 cifre er at betragte som et password. Derudover burde de få indført en side, hvor man kan skifte tast-selv kode, samt helt slette den, såfremt man ønsker kun at bruge Digital signatur.

Med hensyn til oprettelsen af digital signatur, forstår jeg heller ikke at det kan lade sig gøre, uden at man møder op hos borgerservice. For nogle certifikat typer er det krævet at man møder op personligt. Det vil altså sige at DanID har erkendt, at der er forskel på sikkerheds niveau’et. Hvis jeg vil oprette et certifikat i en anden persons navn, skal jeg blot kende hans adresse og CPR nummer. Jeg skal så godt nok bryde ind i hans postkasse, den dag han modtager sit kodebrev fra DanID, eller være heldig at møde posten og lade som om jeg bor der.

Så vidt jeg har forstået, arbejder DanID på at skifte alle signaturer ud med nøglekort. Fordelen ved dette er at der altid er en fysisk lap papir, som man skal stjæle for at kunne bruge min identitet. Jeg forstår ikke, at man ikke ændrer reglerne, så alle der skal have et digitalt signatur, møder op hos borger service, der så kan vejlede en i oprettelse og eventuelt installation af certifikatet. Hvis borgerservice har tjekket ID, og eventuelt fotograferet vedkommende der afhenter den digitale signatur første gang, er jeg i hvert fald tilfreds med, at de har gjort hvad der måtte forventes, for at beskytte min identitet. Det kræver måske lidt ekstra mandetimer hos borgerservice, men eftersom mange allerede har digitale signaturer, bliver det en løbende process, da de udløber fordelt over hele året.

Problemet i dag er at man er ansvarlig for sin egen identitet. Det er for nemt at kopiere en identitet, og det kræver ikke de store summer penge at rette op på problemet. Sikkerheden er simpelt hen for vigtig til at jeg syntes man kan undlade at rette op på det.

Jeg foreslår følgende 3 ændringer til Skat og DanID. 1: Ændre feltet ved login med tast-selv kode til 2 felter, de sidste 4 cifre beskyttes som et password felt. 2: Opret en underside under tast-selv, der giver mulighed for at skifte og slette tast-selv kode. 3: Ved overgang til de nye nøglekort, skal alle afhente det første nøglekort hos Borgerservice, så vi er sikre på at signaturen er udleveret til en fysisk person, der er kontrolleret ID og eventuelt gemt billede af.

Godt nok er der kun 6 installationer på den her server, men jeg overvejer alligevel at lave et script der automatisk kan søge alle undermapper til mit webdir igennem og opgradere de WordPress installationer den kan finde. Det burde være handy

Anyway, jeg har geninstalleret serveren og opgraderet til Debian 5.0. Håber det virker lidt bedre for fremtiden

Mike nævnte her til aften at han overvejer at tage til HAR2009.
Det er sådan en hacker konference der holdes ude på en mark, lidt ligesom den der rock konference de holder en gang om året i Roskilde Når alt kommer til alt, så minder det jo lidt om vores gode gamle Fujang Camp
Jeg er fuldt ud med på idéen og er allerede begyndt at overveje hvordan jeg kan komme med derned Det tog ikke andet end 10 minutter at ringe til de gamle og fixe en campingvogn, så vi slipper da for at sove i telt Nu er mit største problem efterhånden at Mike har tænkt sig at tage coupéen derned, hvilket jeg godt forstår.
Men indtil videre er vi 3 der har snakket om turen, så hvis den fordeling holder så er jeg alene om at slæbe en campingvogn derned her fra Skive af. Jeg ved ikke om de sædvanlige læsere på min side er interesseret i turen, men spred endelig rygtet, det kunne jo være der var andre der ville med

View Larger Map