|
Nyhetsbrevet Emailsynaren Nr 4, 2000-11-17
Nyhetsbrevet får citeras och användas
helt eller delvis, under förutsättning att hänvisning
sker till:
http://hem.fyristorg.com/emailsynaren
Eva.marie.andersson@work.utfors.se
Avanmälan av nyhetsbrevet sker från hemsidan.
Sänd gärna kommentarer eller synpunkter,
som jag kan följa upp i
efterföljande nyhetsbrev.
Innehåll i detta nummer
1. TEMA: Elektroniska signaturer
saknar rättsvärde
2. 10 Risker med PKI
3. Storebror ser dig, digital ängel
4. 13 US-myndigheter registrerar dig
5. 160 CIA anställda chattar
6. Bank publicerade kändisars konton av
misstag
7. Ny databas över Trojaner
8. Tenfour har det besvärligt
9. CIA har blivit stor investerare
10. Stulen Enigma återförd
1. TEMA: Elektroniska signaturer saknar
rättsvärde
Från den 1 januari 2001 har vi i Sverige
en ny lag benämnd "Lag om
kvalificerade elektroniska signaturer". Motsvarande lagstiftning
införs
inom EU och andra EU-länder och har införts eller
kommer införas i
ytterligare många länder.
Lagstiftning är ett typexempel på
vad som händer när tekniker och
lagstiftare går hand i hand utan att tänka på
praktiska tillämpnings-
konsekvenser.
Grundsyftet är att jämställa
en elektronisk signatur med en vanlig
skriftlig signatur ur rättsgiltighetssynpunkt.
Det kan verka kaxigt att skriva att det saknar
rättsvärde, när större
delen av världen just nu håller på att ansluta
sig till det här systemet
och jag skulle nog inte vågat skriva det här temat
om inte nedanstående
varit inne i samma tankegångar som jag själv.
En av världens främsta kryptoexperter
Bruce Schneier skriver i sitt
senaste nyhetsbrev (november 15) "Why digital Signatures
Are Not
Signatures", och påvisar också de totala
bristerna i systemet.
http://www.counterpane.com
Risken är stor att systemet kommer skapa
stor rättsförvirring, och jag
kommer beskriva varför nedan.
1.2 Grundtekniken som används
Den grundteknik som används är PKI
lösning och i allmänhet
RSA-algoritmen. Med denna teknik utfärdas ett certifikat
från betrodd
(T.ex. Posten och Telia), som styrker att viss offentlig nyckel
tillhör
viss person.
Det här certifikatet kan byggas in i
ett ID-kort med exempelvis ett
elektroniskt chips. Förutom den publika nyckeln som alla
kan känna till
som ungefär personnummer, skall certifikatet innehålla
namn,
e-postadress, certifikatsutgivare, serienummer och giltighetstid.
Tillhörig den offentliga nyckeln som
ett par finns en hemlig nyckel som
måste skyddas. Den hemliga nyckeln (eller privat nyckel)
i kombination
med den offentliga utför den elektroniska signaturen.
Matematiskt, om algoritmen och nyckellängden
är säker, och någon
obehörig ej har den hemliga nyckeln, kan bara rätt
person utföra den
elektroniska signaturen.
Den som accepterar den elektroniska signaturen
kontrollerar mot ett
spärrregister hos certifikatsutgivaren innan accept.
Så här långt är det
mesta bra, MEN...
1.3 Dator - människa
Den vanliga namnteckningen skrivs av människan
direkt, ofta tillsammans
med andra människor. Har namnteckningen stort rättsvärde
så styrks
namnteckningen extra på olika sätt, ofta genom
vittnen och
bestyrkningar.
Den elektroniska namnteckningen skrivs av
en dator. Bakom datorn står en
människa som skall motsvaras av rätt person som
gör på rätt sätt.
Människor gör fel, datorer kan manipuleras,
och datorer kan användas
olovligt av andra människor. På detta sätt
har man flyttat säkerheten
från människan till en osäker maskin.
Det som matematiskt verkar tryggt är långt från
verkligheten när datorn
tar över människans inbyggda verifieringsegenskaper.
Mottagaren av din elektroniska signatur, vet
egentligen ingenting, om
den är rätt eller fel.
1.4 Förvar av din identitet
Din namnteckning förvaras i dig och i
dina tankar. Din elektroniska
signatur och med den din identitet förvaras så
att den kan manipuleras,
stjälas, lånas eller kopieras.
Det finns olika system och det kommer utvecklas
olika system, men även
om den elektroniska identiteten skulle opereras in i människor
så skulle
den kunna utnyttjas av obehöriga.
En del kommer klara av förvar av sin
ID på ett bra sätt, andra kommer
inte klara det.
Den som kommit över din elektroniska
identitet, kan utföra alla
rättshandlingar som du själv kan göra.
Du behöver dessutom inte veta om att
någon utnyttjar din identitet.
Betydligt mycket besvärligare i verkligheten för
den som går runt och
skriver din namnteckning falskt.
1.5 Teknisk säkerhet
Teknisk risk är i huvudsak två,
dels utfärdaren och dels matematiskt.
Utfärdaren eller anställd hos utfärdaren;
av det elektroniska
certifikatet kan, om säkerhetsrutinerna brister någonstans,
utnyttja din
identitet.
Matematiskt; vilket många inte tror,
men jag anser går. Det är helt
enkelt någon som beräknar fram din hemliga nyckel
från den offentliga
med det matematiska samband som finns. Nyligen gick det att
läsa om
Svenskar som knäckte krypto (se nyhetsbrev 3), det var
en RSA algoritm
(vanligast för elektroniska signaturer) med relativt
standardbetonade
datorer.
I båda de här risksituationerna
vet inte identitetsägaren att någon har
fått tag i ens identitet och kan använda densamma.
1.6 Bevisvärdering i domstol
På dokument där det vidtagits en
rättshandling och det finns en
namnteckning, anser normalt en domstol att den som skrivit
under
dokumentet har accepterat dokumentets innehåll och villkor.
Bestrids namnteckning, så finns olika
metoder att fastställa om
namnteckningen är från rätt person eller ej.
Hamnar motsvarande elektroniska signatur i
domstol, och det bestrids
att man utfört den elektroniska signaturen, saknas relevanta
möjligheter
till bevisning att rätt person utfört den.
Vad är då värdet av elektronisk
signatur?
2. 10 Risker med PKI
PKI algoritmer som används för exempelvis
elektroniska certifikat och
elektroniska signaturer, skrev Carl Ellisson och Bruce Schneier
en
artikel om för 1 år sedan. Artikeln handlar om
10 risker med PKI.
http://www.counterpane.com/pki-risks.html
Under den här tiden har de fått
en mängd kommentarer på artikeln, bra
kommentarer finns publicerade här.
http://members.nbci.com/aram_perez/ResponseTenRisks.html
3. Storebror ser dig, digital ängel
Här kan man läsa om något
så knepigt som inopererad enhet för att hålla
reda på människor. Företaget bakom verkar
tro på denna idé som
kommersiell, och underligt nog verkar vissa vara intresserade
att
använda den.
http://www.digitalangel.net/
4. 13 US-myndigheter registrerar dig
13 US-myndigheter använder hemlig teknik
för att ta reda på allt om
personer som besöker deras hemsida.
http://abcnews.go.com/sections/tech/DailyNews/tracking001021.html
5. 160 CIA anställda chattar
160 CIA anställda chattar med ett okänt
antal underleverantörer i ett
hemligt chattrum.
Diskussionerna har handlat om säkerhetsklassad
information. Detta visar
som så många gånger förr att den stora
säkerhetsrisken i alla
organisationer är människan.
CIA utreder nu det inträffade.
http://www.nandotimes.com/technology/story/0,1643,500278921-500437402-502793780-0,00.html
6. Bank publicerade kändisars konton
av misstag.
Den Schweiziska storbanken Credit Suisse publicerade
av misstag
kändisars hemlig konton på Internet. Sidan låg
uppe en hel vecka.
Bl.a. kunde man beskåda Roger Moores
hemliga konto.
Källa SVD.
7. Ny databas över Trojaner
Den svenska IT säkerhetsexperten Joakim
von Braun, har byggt upp en
databas över olika trojaner. Databasen uppges vara världens
största inom
ämnet.
http://www.simovits.com/trojans/trojans.html
8. Tenfour har det besvärligt
Det svenska säkerhetsföretaget Tenfour,
som tillförts ca 100 mkr, uppges
ha det synnerligen besvärligt ekonomiskt och har drabbats
av många
personalavhopp.
TFS Secure MessagingT-Server är deras
huvudprodukt.
Tenfours system bygger på viss programvara
i en server där E-post
krypteras och kontrolleras. Systemet har varit svårsålt,
antagligen
p.g.a. för stor och svår integreringsprocess, med
gamla enheter och
osäkerhet om säkerhetsnivån.
9. CIA har blivit stor investerare
CIA har blivit stor investerare inom IT-sektorn.
Något som det under
många år ryktats om. Nu går det ut öppet
att de investerar. Jag tror att
de förmodligen har en öppen och en dold investerarverksamhet.
Syftet är givetvis att skaffa teknikkompetens,
men också säkerligen att
lägga in dolda funktioner i produkter från partner-företag,
som gagnar
CIA´s syften.
Vem vet vi kanske snart har SÄPO INVESTERING
AB, här i Sverige.
CIA Venture fund pressrelease
http://www.in-q-tel.com/3_press1.htm
Ett CIA företag.
http://www.in-q-tel.com/
10. Stulen Enigma återförd
De som är intresserad av kryptering har
hört talas om och fascinerats av
den tyska mekaniska krypteringsmaskinen Enigma. Maskinen är
ett tekniskt
underverk.
Många är de som vill ha en sådan
på hedersplats att beskåda, vissa så
mycket att de stjäl en. En stulen Enigma har varit en
följetong, men nu
har den kommit tillbaka och är till rätta.
http://news.bbc.co.uk/hi/english/uk/newsid_977000/977127.stm
___________________SLUT___________________
|
