sslug-teknik team mailing list archive

[Egon Andersen <ean@xxxxxxxxxxx>]

Tobias Kjær Tobiasen wrote:
> Egon Andersen wrote:
>
> > Og desuden har jeg noget imod nøgle-fabrikker, hvis det var en nøgle 
> > jeg skulle bruge til noget, da noget i mit baghoved siger mig, at 
> > sikkerheden ikke er højere end tilliden til udstederen.
>
> Det lyder som en sund indstilling til sikkerhed :-)
>
> > (Der er vel ikke noget til hindring for, at udstederen kunne lave en 
> > kopi af nøglen?)
>
> Jo. I hvert fald hvis det er et server certifikat. Her generer man selv 
> den private nøgle. Ud fra den laver man så et "certificate request" og 
> sender til certificering. Dvs. ingen andre end dig kender den private 
> nøgle.

ITU-T X.509 beskriver jo 2 scenarier (faktisk 3, men den tredie er jo et 
specialtilfælde af 2)

1) Brugeren genererer selv nøgle-sættet.
2) Nøglesættet genereres af trediepart.

Hvis 1) skulle være tilfældet, så skal Netscape 7.01 indeholde al 
programmel til at generere nøgler - gør den den?
Hvis 2) tjae, så er det jo et tillids-spørgsmål/problem.

Det irriterer mig dog stadig, at jeg skal kontakte en eller anden 
udbyder for at kunne få et certifikat, som jeg altså ikke bruger, men 
som jeg er nødt til at have, for at kunne få lov at kryptere med en 
andens public-key!
Er der en vej rundt om dette?
Og nej, det du'r ikke at anvende GPG :-(
Findes der en linux-server, som udsteder 'Mickey Mouse certifikater' som 
ikke kun gælder i en 60 dages prøveperiode?

Med venlig hilsen
Egon Andersen