Mäklarfirma inför krav om bank-ID på budgivare

[Troberg]

Eller så är det som en fysikprofessor säger till Ny Teknik:[länk]
På den tiden hinner det utvecklas system för kvantkryptering också, för lite fler än Kinas distribution av kvantnycklar och dt ID Quantic säljer.

Det spelar väl ingen roll om de är var mans egendom? Det räcker att en person/organisation har dem, så är tekniken osäker. Kan någon hacka den så är den hackningsbar. Är något tekniskt möjligt så är det bara en tidsfråga innan det görs på bred front.

Sedan, det finns system för kvantsäker kryptering, men de är inte public key, och kan inte vara public key. Private key, som tex XOR, är opraktiska.

Ja att en oändligt lång nyckel och XOR är oknäckbart är ju känt sedan evigheter. Dock är det mest intressant teoretiskt eftersom det är helt omöjligt praktiskt.

Det är inte omöjligt, och det behövs inte en oändligt lång nyckel. Nyckeln behöver bara vara lika lång som det krypterade datat.

Vi saknar fortfarande information om vilka ID-system som är hackade.

Eftersom du inte klarar det själv: https://sv.lmgtfy.com/?q=digital+signature+hacking&pp=1

 

[BirgitS]

Det spelar väl ingen roll om de är var mans egendom? Det räcker att en person/organisation har dem, så är tekniken osäker.

Jo, det gör det. Om bara ett fåtal utrustningar finns är det rätt lätt att komma fram till vem som utför brottet.

Eftersom du inte klarar det själv: [länk]

Det blir ju rätt ointressanta svar på det, hackade PDF-filer och liknande, inget som ens är i närheten av Bank-ID. Lägger jag till ordet bank-id så får jag i stället upp information om e-legitimationer och inget om hackat Bank-id.

 

[Alfredo]

Om bara ett fåtal utrustningar finns är det rätt lätt att komma fram till vem som utför brottet.

Nu är vi OT så det skriker men måste ändå undra hur kunskap om förövaren hjälper mig om någon lyckats "hacka" Bank-ID och därigenom gjort mig utfattig?

Vare sig förövaren är målvaktskalle på gatan, staten Nordkorea eller hackerorganisationen "kapitalbefriarna", torde det vara tämligen svårt att få igen pengar från dom.

Anser däremot "banken"/domstolarna att jag ska hållas skadeslös, kvittar det väl om jag vet vem som är "boven".

 

[BirgitS]

Risken för att åka fast blir ju mycket högre om det endast är ett fåtal personer som finns att välja på och det är ju avskräckande för kriminella. Troberg skrev ju om breda attacker och det drar till sig polisresurser och liknande.

 

[Fairlane]

Det är inte omöjligt, och det behövs inte en oändligt lång nyckel. Nyckeln behöver bara vara lika lång som det krypterade datat.

Självklart, det är ju uppenbart när vi talar om XOR. Det är bara det att vi ändå måste kunna tänka oss att skicka väldigt många meddelanden som är väldigt långa till väldigt många olika mottagare så det är ändå rätt ointressant för praktiskt bruk. Nyckeldistributionen blir helt enkelt omöjlig.

Eftersom du inte klarar det själv: [länk]

Jodå jag kan googla, men det var för det första inte det du skrev. Du skrev inte hackning av digitala signaturer utan du skrev "Alla de stora systemen för elektroniskt ID är hackade." En digital signatur är inte samma sak som ett elektroniskt ID. Det vore ju som att påstå att en namnteckning är samma sak som en fysisk legitimation.
Sen pratar du om hotellnycklar, SMS-kod till bussen, ZIP-filer och PDF. Inget av detta är något med elektroniskt ID att göra och ingen seriöst säkerhetsintresserad person har någonsin påstått att ovan nämnda är säkra, utan på sin höjd duger baserat på ändamål.

Du har för övrigt också påstått:

Lägg till det att EU-regler gör att man inte kan neka en giltig e-legitimiering, samtidigt som det inte finns några kvalitetskrav. Så, om jag tex skulle skapa en e-legitimeringsstjänst som går ut på att du kommer till en websida och där måste klicka "ja" på frågan "Lovar du att du verkligen är X?", så är det tveksamt som man kan vägra det som en giltig legitimering.

Vilket vi motbevisat
och

RSA har flera säkerhetsproblem, och jag tror att de flesta kritiska system övergett den idag. Andra, tex PGP är mycket starkare

PGP som använder sig av RSA är alltså starkare än RSA. Kedjan blev helt plötsligt mycket startare än svagaste länken? PGP och RSA är inte konkurrenterer, så PGP inte är en krypteringsalgoritm.

Jag har redan tidigare skrivit att BankID på fil har brister, men det är för att hanteringen av den privata nyckeln inte är säker, inte att BankID i sig är osäkert. Ligger nyckeln på ett kort blir det annorlunda. På samma sätt så finns det forskningsresultat på hur man kan kan snabba upp beräkningen av den privata nyckeln. Dessa kan dock delas upp i matematiska attacker och attacker mot mjukvaran som utför operationerna.
De kända matematiska attackerna räcker inte för att knäcka RSA på långa vägar och attacker mot mjukvaran kräver att man har åtkomst till enheten som utför operationerna och då finns det enklare vägar.

En text från Wikipedia (ok, du kanske inte gillar källan, men det som står är korrekt)

As of 2010, the largest factored RSA number was 768 bits long (232 decimal digits, see RSA-768). Its factorization, by a state-of-the-art distributed implementation, took around fifteen hundred CPU years (two years of real time, on many hundreds of computers). No larger RSA key is known publicly to have been factored

Ok, säg att datorerna blivit 1000 ggr snabbare sen dess. Det skulle då räcka med att öka nyckellängden till 778 bitar för att nå samma resultat (2^10=1024). Säg att angriparen har 1000 ggr fler CPUer, ja då behövs ytterligare 10 bitar. Dvs hackbart, men det tar cirka 2 år. Vill va bryta en nyckel på 1024 bitar på 2 år så behövs det att antalet CPUer ökar, att hastigheten ökar och att de matematiska metoderna gör att det går snabbare. Ökningen måste vara 2^256, vilket är ett riktigt stort tal, ungefär i paritet med antalet atomer i universum. allt detta för att bryta 1 nyckel....

 

[Troberg]

Risken för att åka fast blir ju mycket högre om det endast är ett fåtal personer som finns att välja på och det är ju avskräckande för kriminella. Troberg skrev ju om breda attacker och det drar till sig polisresurser och liknande.

Problemet är att de breda attackerna tenderar att komma från länder som inte bryr sig ett skit, eller som ligger bakom attacken.

Nyckeldistributionen blir helt enkelt omöjlig.

Instämmer, vilket är anledningen till att kvantdatorerna är ett jätteproblem.

En digital signatur är inte samma sak som ett elektroniskt ID. Det vore ju som att påstå att en namnteckning är samma sak som en fysisk legitimation.

Samma teknologi i botten.

Sen pratar du om hotellnycklar, SMS-kod till bussen, ZIP-filer och PDF. Inget av detta är något med elektroniskt ID att göra och ingen seriöst säkerhetsintresserad person har någonsin påstått att ovan nämnda är säkra, utan på sin höjd duger baserat på ändamål.

Det var exempel för att på ett begripligt sätt förklara hur en svag algoritm, som tex elektroniskt ID har, kan exploateras, så att även en icke-teknisk person förstår.

Vilket vi motbevisat

Nej. Du har bara påstått att det inte är så. Men, sure, hittar du en kvalitetsspec från EU så säg till.

PGP som använder sig av RSA är alltså starkare än RSA. Kedjan blev helt plötsligt mycket startare än svagaste länken? PGP och RSA är inte konkurrenterer, så PGP inte är en krypteringsalgoritm.

PHP är en starkare algoritm, även om den i ett steg i kedjan använder RSA. PGP lägger på några lager till.

Sedan fattar jag inte hur du tänker om du inte ser PGP som en kryptering.

Jag har redan tidigare skrivit att BankID på fil har brister, men det är för att hanteringen av den privata nyckeln inte är säker, inte att BankID i sig är osäkert.

Jag skulle säga att inget datorsystem är säkert. Feck, till och med Linux har haft säkerhetsluckor. Desstum, mänskliga faktorn finns i all utveckling, så hur vet du att ingen lagt in en bakdörr, speciellt när man av någon anledning valt att göra implementationen closed source?

En text från Wikipedia (ok, du kanske inte gillar källan, men det som står är korrekt)

Så, den kan knäckas. What's your point? Det handlar bara om att applicera datorkraft. Lägg till det att kvantdatorerna är extremt mycket effektivare på sådant som att faktorisera stora tal.

Desstuom, det är lätt att vara kaxig. Ta tex MD5, som ansågs vara säker mot reverse engineering, men som senare visade sig ha stora brister, vilket gjort att den inte längre räknas som kryptografikt säker och att många system idag är sårbara. Hittar man en bug/sårbarhet i algoritmen, då åker all säkerhet ut genom fönstret.

Vi har dessutom problemet att inget som körs i en dator kan betraktas som säkert längre. Med exploits som Rowhammer, Meltdown, Spectre och Intel ME så är det nästa bara att ge upp.

 

[lars_stefan_axelsson]

Ur åtminstone en aspekt gör det faktiskt det!

Om någon använder ett falskt ID-kort för att utföra handlingar i mitt namn har jag ofta en rimlig möjlighet att bevisa att det inte var jag. Jag kanske kan bevisa att jag var på annan plats, kanske kan övertyga rätten om att det inte kan vara jag på filmen, kanske kan få en analys från SKL/NFC att det troligen inte är min namnteckning och så vidare.

Påstår däremot en "teknisk expert" i rätten att det måste ha varit jag som använt mitt Bank-ID är man nog i praktiken ganska rättslös.

Njae, jag kan lugna dig med att det redan har hänt i UK på nittiotalet. Och de åtalade friades. (Fast de hade fällts i lägre rätt). Så domstolarna är inte helt ovana vid problemet.

Nu har vi fortfarande problem med ojämnhet i de utlåtanden som fälls i domstolar av förmenta "experter". Men det är också något som vi är (och blir) alltmer medvetna om. (Här måste jag göra reklam för ett examensarbete från vår forskargrupp jag examinerade nu i år:

Fallacies when Evaluating Digital Evidence Among Prosecutors in the Norwegian Police Service, Erlandsen, Tom Erik

Nu är ju resultatet i den att det finns möjligheter för förbättringar (minst sagt!), men att forskningen görs, och att frågan väcks, är det man skall se positivt på. (Tom Erik är dessutom chef för en stor digital-forensik-avdelning i Norge, så initiativet att se närmare på frågan väcktes inom polisen. Det skall man inte glömma).

Men, om det är för abstrakt och du inte vill behöva citera den i rätten själv, så låt mig lugna dig ytterligare då. Om det händer dig, så hör av dig till mig. Jag lovar att vittna gratis om du har ett case! (Det har jag gjort hittills iaf... Jag kanske skulle börja ta betalt? )

 

[Fairlane]

Nej. Du har bara påstått att det inte är så. Men, sure, hittar du en kvalitetsspec från EU så säg till.

Jag har iallafall en hänvisning till en officiell sida, du har bara din egenskrivna text. Så vi kan väl vända på det? Du kanske kan hitta en specifikation som stödjer din tes?

Sedan fattar jag inte hur du tänker om du inte ser PGP som en kryptering.

PGP är inget krypteringsalgoritm.
PGP använder sig av olika krypteringsalgoritmer. SSL/TLS är inte heller en krypteringsalgoritm utan ett (flera) protokoll som använder krypteringsalgoritmer.

Jag skulle säga att inget datorsystem är säkert.

Håller iofs ned om det, men om datorn är smartcardet så är det lite klurigare att installera malware.

 

[cpalm]

Kan vi återgå till ämnet?

 

[lars_stefan_axelsson]

Kan vi återgå till ämnet?

Nej. Går inte. Jag har glömt det...

 

[Marlen Eskilsson]

Mäklarfirman Norban beslutar sig att gå i bräschen och ställa krav på bank-ID för de som budar på en bostad.

Du kan läsa artikeln här: Mäklarfirma inför krav om bank-ID på budgivare

 

[claym]

Mäklarfirman Norban beslutar sig att gå i bräschen och ställa krav på bank-ID för de som budar på en bostad.

Du kan läsa artikeln här: Mäklarfirma inför krav om bank-ID på budgivare

Hmm men finns det inte en risk med säkerhet, integritet etc? Fast det kanske finns någon tråd här på forumet som behandlar det

 

[AndersPS]

Jag håller med dig, en meningslös åtgärd. Ja, samordningsnummer kan räcka i många fall, men inte för BankID. Nu var det några år sedan jag tittade på detta sist, men då gav kommunerna ut samordningsnummer utan att samordna, dvs fler personer kunde ha samma nummer! Brilliant!

det är Skatteverket som delar ut samordningsnummer, inte kommunerna.

 

[Fairlane]

det är Skatteverket som delar ut samordningsnummer, inte kommunerna.

Det var ett antal år sedan vi fick problem med att kommunerna delade ut egna nummer till asylsökande, vilket gjorde att en person i en kommun kunde få samma nummer som en person i en annan kommun. 2016 tror jag det var som man kan ett förslag på att Skatteverket skulle dela ut samordningsnummer till asylsökande.

 

[AndersPS]

Det var ett antal år sedan vi fick problem med att kommunerna delade ut egna nummer till asylsökande, vilket gjorde att en person i en kommun kunde få samma nummer som en person i en annan kommun. 2016 tror jag det var som man kan ett förslag på att Skatteverket skulle dela ut samordningsnummer till asylsökande.

Det verkar administreras av Skatteverket, Helsingborg stad har inte ens möjligheten att ansöka om samordningsnummer.

För övrigt är det ganska många mer än asylsökande som behöver samordningsnummer.