[TYPO3-UG Denmark] EXT:auth_certificate og Digital Signatur?

[Troels Kjær Rasmussen]

Nu er det ikke testet, men f.eks noget a la organizational unit eller 
andre oplysninger om brugeren - som f.eks cpr, der reelt identificerer 
ham som værende den person han udgiver sig for - Et navn og en 
serielkode betyder ikke nødvendigvis at det er den "rigtige" bruger vi 
har fat i - hvad er f.eks forskellen mellem user:John Jensen/serial:1A 
og user:John Jensen/serial:2A ? med serielkoden kan man som offentlig 
instans eller virksomhed tjekke serielkoden mod cpr-databasen, men andre 
kan ikke. Til almindeligt logon funktionalitet er det sikkert helt fint, 
men til verificering af en person er det ikke nok. John jensen-1A kan 
sagtens logge ind i et miljø og i miljøet udgive sig for at være john 
Jensen 2A.
Så hvis man skal arbejde med e.g. dokumentsikkerhed og reel "signing" i 
webmiljøet skal man have nogle yderligere faktorer om brugeren ind der 
verificerer hans identitet.

Jeg mener faktisk at huske at der er noget organizational unit info i 
OCES certifikatet, så måske kunne dette  bruges til en spejling af 
brugere op imod allerede oprettede usergroups a la LDAP - men så igen - 
organizational units i certifikatet ville sikkert kunne manipuleres.

Men til "ikke 100% sikker" logon funktionalitet er noget a la standard 
x509 parsning 
(http://dk2.php.net/manual/en/function.openssl-x509-parse.php) sikkert 
helt ok...

Ved fil: $usercertificate_file = file_get_contents('test.crt');
Ved ssl header: $usercertificate_file = $_SERVER['SSL_CLIENT_CERT'];
$usercertificate = openssl_x509_parse($usercertificate_file);
$username = $usercertificate['subject']['SN'];
$pass = md5(time());
$name = $usercertificate['subject']['CN'];

* ikke testet - kun teoretisk eksempel.


mvh Troels





Stig Nørgaard Færch skrev:
> Igen med min begrænsede viden...
> 
> Hvad mener du som er vigtigt at man kan trække ud af certifikatet?
> På https://ter.dk har Peter Brodersen lavet en lille DS test. Her 
> trækker den navnet og en serielkode ud. Hvilke informationer ville 
> udover dette være ønskeligt?
> 
> /Stig
> 
> Ps. Der er et par gode indlæg om DS og ter.dk her:
> http://groups.google.com/groups?q=ter.dk%20%22digital%20signatur%22
> Troels Kjær Rasmussen skrev:
>> Hej Stig.
>>
>> Jeg researchede lidt i det for et stykke tid siden. Dansk digital 
>> signatur er ganske vist baseret på x509, men de (TDC) har pillet så 
>> meget ved standarden, at du ikke kan få nogen former for brugbare 
>> oplysninger ud af certifikatet, kun om den bruger der logger ind 
>> signer rigtigt eller ej. OpenOCES kunne være en vej frem, men der er, 
>> så vidt jeg husker, kun skrevet eksempler i JAVA og .NET. Man kunne 
>> selvfølgeligt lave en php-javabridge, men i mine øjne ender det med at 
>> blive noget fedteri. Derudover er OCES indrettet sådan, at det i den 
>> offentligt tilgængelige udgave (openOCES) kun er muligt at trække 
>> begrænsede oplysninger ud af certifikatet, og det er kun offentlige 
>> myndigheder der kan trække en key ud, der via kald til CPR kan 
>> rteturnere oplysninger på brugeren.
>>
>> TDC tog sig, da de fik opgaven at udvikle DS, den frihed at gøre 
>> tingene så komplicerede at de med openOCES giver ordet "commercial 
>> open source" en helt ny betydning.
>>
>> mvh
>> Troels Kjær Rasmussen
>>
>> Stig Nørgaard Færch skrev:
>>> Har nogen af jer prøvet udvidelsen auth_certificate i forbindelse med 
>>> Digital Signatur?
>>>
>>> Med det lidt forstand jeg har på Digital Signatur - burde denne 
>>> udvidelse så ikke kunne bruges i denne forbindelse?
>>>
>>> På forhånd tak!
>>>
>>> Med venlig hilsen
>>> Stig