20.3.07

OBS: Vista-bøvl med den danske digitale signatur

De, der er gået over på Microsofts nye generation af Windows, Vista, kan ikke bruge den digitale signatur til visse tjenester. Hvor det går galt, ville man - for at kunne bruge den digitale signatur – blive nødt til at slå en sikkerhedsanstaltning i browseren Internet Explorer fra, hvilket absolut må frarådes, da den digitale signatur jo netop handler om sikkerhed. Løsningen er foreløbig at installere Mozilla Firefox-browseren og bruge den, og der er ingen problemer med at have begge browsere på pc’en.

Jeg blev klar over problemet via en kommentar til min blogpost om mølkugle-testen. Afsenderen var Kasper Hyllested, der skrev:
”Ud over de kendte problemer [med TDC’s digitale signatur], så kan jeg tilføje, at det ikke virker i Windows Vista. Hurra for TDC!”

Den digitale signatur
bruges i to sammenhænge. Det er typisk som login til en digital tjeneste (applikation), men også som en underskrift, der beviser, at personen er, hvem han/hun udgiver sig for at være. Signaturen bruges foreløbig af 500 offentlige tjenester, når borgerne/firmaer vil have adgang, og også af visse arbejdspladser internt og eksternt rettet.

Jeg tog kontakt til IT- og Telestyrelsen under Videnskabsministeriet, da det er her, den digitale signatur er forankret. Det viste sig, at der er flere om at dele ansvaret for, at det går galt med den danske signatur.

Microsoft og TDC arbejder med problemet

Fuldmægtig Nikolas Triantafyllidis oplyser, at Microsoft er i gang med at se på problemet sammen med TDC, der jo har det endelige ansvar for den tekniske implementering af den offentlige digitale signatur. TDC vandt opgaven i 2003 efter en udbudsforretning.

Nikolas Triantafyllidis påpeger imidlertid, at det IKKE er alle digitale tjenester, hvor man logger sig ind med den digitale signatur, som er ramt. Forklaringen på, hvorfor der opstår problemer, er kompliceret og teknisk, men hermed mit bud.

1. De tjenester, der bruger en standard SSL-loginprocedure (Secure Socket Layer) har INGEN problemer under Vista.

2. Men en del tjenester bruger ikke SSL-login. De bruger i stedet alternativ måde at lade brugeren logge ind på, og det skyldes ønsket om at gøre det lettere for denne. Har en person for eksempel to forskellig certifikater – et personcertifikat (bundet til cpr-nummeret) og et medarbejdercertifikat (bundet til arbejdsgiverens cvr-nummer) vil den alternative løsning guide brugeren igennem, så det rette certifikat i den givne sammenhæng vælges. Brugeren vil således ikke risikere at bruge medarbejdercertifikatet, hvor det burde være personcertifikatet, og omvendt.

3. Den hjælpe-funktionalitet kræver lidt ekstra arbejde bagved. Der skal kaldes kode ind til håndteringen af dette, men det forhindres af Internet Explorer 7, der jo leveres som del af Vista.

4. Som standard leveres browseren nemlig således, at den arbejder på beskyttet vis – i ”protected mode”. Det betyder, at browseren ikke tillader kald af de bagvedliggende applikationer. Formålet med beskyttelsen er blandt andet at forhindre, at ondsindet kode bliver installeret og køres.

5. De alternative løsninger, der bruges i stedet for SSL-login, er enten skræddersyede i den givne sammenhæng, eller også er der brugt en standardkomponent fra Open Source-verdenen – Open Sign. Komponenten er udviklet i samarbejde med organisation SLLUG (Skåne Sjælland Linux User Group ).

6. Hvis Microsofts og TDC’s drøftelser munder ud i, at det kan blive for kompliceret eller tage for lang tid at rette i Vista, kan der måske blive tale om, at Open Sign ændres. Og det vil også blive nødvendigt for de skræddersyede løsninger.

En tak til Nikolas Triantafyllidis for at guide mig igennem og en undskyldning, hvis forklaringen er blevet for populariseret.

12 kommentarer:

Thomas From sagde ...

Kan man benytte digital signatur i Firefox? Hvordan? Det virker ikke for mig.

Mvh.

Thomas

trolden sagde ...

Til Thomas
Det ser ikke ud til det, jeg har ikke prøvet det selv, se link:

http://erhverv.tdc.dk/publish.php?id=4928

Du bliver nød til at skifte til Mac ell. Linux for at få det til at virke. ;-)

Dorte Toft sagde ...

Jeg har kontaktet fuldmægtig Nikolas Triantafyllidis hos IT- og Telestyrelsen for at få nærmere oplysninger. Så mon ikke det snart kommer...

Nikolas Triantafyllidis sagde ...

Til Thomas
Nu skriver du desværre ikke hvordan du har forsøgt at installere signaturen i FF, men jeg vil prøve at forklare mulighederne:

- Hvis du har en såkaldt sikkerhedskopi (html fil) på pc'en, som du gerne vil importere i FF, skal du blot åbne html filen i FF og følge skærmanvisningerne. Processen indebærer installation af en komponent, der sørger for at lægge certifikatet det rigtige sted i browseren og at passwordbeskyttelse er slået til

- Hvis du har en sikkerhedskopi (i form af en pkcs#12 fil) på din pc, kan du importere filen i FF ved at klikke på "Tools"-->"Options"-->"Advanced"-->
"Encryption"-->"View certificates". Derefter klikker du på "Import". I det næste vindue skal du så pege på pkcs#12 filen (husk at ændre "Filtype" til "All files"). Nu er dit certifikat i FF.

- Hvis du bestiller en signatur forfra skal du blot åbne installationslinket (som du modtager i en e-mailen) i FF, i stedet for IE7 og derefter kører du videre i den første mulighed

TDC anbefaler den første mulighed, der sørger for at alt (næsten) foregår automatisk. Hvis du vælger den anden mulighed er du selv nødt til at slå masterpassword beskyttelse til og sørge for at dit password lever op til kravene i certifikatpolitikken (bl.a. mindst otte tegn, store/små bogstaver og mindst et tal)

Du er selvfølgelig også altid velkommen til at kontakte TDCs supporthotline på nedenstående side:
http://tdc.dk/publish.php?id=4926

Beklager det lidt omfattende svar.

Mvh
/Nikolas

Thomas From sagde ...

Tak for svaret - kun godt at det er uddybende. Det virker jo ganske fint :-)

Har digital signatur altid været kompatibel med FF?

Nikolas Triantafyllidis sagde ...

Til Thomas
Det har været et ufravigeligt krav ifm implementering af digital signatur, at denne understøtter de gængse standarder på området og at den virker platformuafhængigt, dermed også i browseren Firefox. Så ja understøttelse var der fra starten af.

Når det er sagt, så skal man selvfølgelig også lige nævne, at der efterhånden er så mange forskellige versioner af både browsere og operativsystemer, som skal testes ifm understøttelse af digital signatur, at det ikke altid er muligt at garantere understøttelse med det samme.

Mvh
/Nikolas

trolden sagde ...

Til Nikolas
Skulle i så ikke få TDC til at rette deres hjemmeside jeg henviser til i tidligere kommentar? Til at det også gælder for andre browsere end IE? under windows.

mvh

Erik

Thomas From sagde ...

Sidst jeg prøvede at benytte digital signatur var i FF 1,X - nu i 2,0 virker det.

Heldigvis skifter jeg snart til vista - så kan jeg få nogle nye problemer at lege med :-)

Et eller andet sted forventede jeg ikke at digital signatur ville virke i FF - lige som min netbank (BG) ikke virker.

Jeg har nok et billede af, at de offentlige sites, bankerne og andre større sites overser FF - men måske tager jeg fejl?

Dorte Toft sagde ...

Jeg tjekkede lige hos Danske Bank vedr. browser, men blev blot forvirret. Umiddelbart ser det ud til, at på Windows kan Opera bruges som alternativ browser, mens Firefox står nævnt under Linux. Tjekker nærmere hos banken.

Nikolas Triantafyllidis sagde ...

Til Trolden
Nu skal denne liste på TDC's hjemmeside ikke forstås som en udtømende liste, men heller som en slags minimumskrav. FF er blot et eksempel på en browser, der ikke er nævnt under Windows, selvom den er understøttet, men der er en lang række andre, der også skulle stå på listen, hvis man ellers gik efter at lave en opremsning af alle browsere, der er understøttet (Netscape, Opera bare for at nævne nogle eksempler). Det tror jeg ikke har været TDC's hensigt.

Jeg synes det vigtige budskab i hele denne diskussion er, at digital signatur skal virke platformuafhængigt og at den i princippet er understøttet i "alle" browsere, der har en eller anden form for X509 funktionalitet. I praksis kan det naturligvis betyde, at der nogle gange skal foretages nogle justeringer/tilpasninger før man er i stand til at etablere bred understøttelse, men det er simpelthen nødvendigt, når man går efter understøttelse i mange forskellige systemer.

Mvh
/Nikolas

Nikolas Triantafyllidis sagde ...

Til Dorte Toft
Danske Bank bruger såkaldt e-Safekey til at styre deres login på Windows platformen med Internet Explorer. E-Safekey er en ActiveX-komponent, som desværre kun virker i Windows og i Internet Explorer. E-Safekey baserer sig på en adgangskodebeskyttet nøglefil på harddisken. Hvis man skal bruge et hvilket som helst andet OS eller browser er man nødt til at bestille en såkaldt Activcard løsning, som i modsætning til e-Safekey er en OTP (One-Time-Password) løsning i stedet for en nøglefil på HD'en. Så vidt jeg kan se på hjemmesiden, så yder Danske Bank kun support for bestemte OS og de anbefalede browser.

Nordea har til gengæld implementeret en Java applet løsning, som så vidt jeg kan se virker platformuafhængigt.

Mvh
/Nikolas

Dorte Toft sagde ...

Tak for de mange gode bidrag med de opklarende detaljer Nikolas.