[TYPO3-UG Denmark] EXT:auth_certificate og Digital Signatur?

Thu Dec 7 14:52:22 CET 2006

Nej, jeg kan godt se begrænsningerne - hvis man ikke kan omsætte id'et 
til et CPR-nr.

Alligevel må DS være brugbart i forskellige situationer.
Hvis vi går udfra at en person kun kan have et privat DS certifikat, så 
kan man bruge det til at blackliste med hvis en person laver noget uønsket.
Man kan evt. også bruge det hvis man på forhånd ved hvem der skal kunne 
logge ind og har mulighed for at få brugeren verificeret på anden måde.

/Stig

Troels Kjær Rasmussen skrev:
> Nu er det ikke testet, men f.eks noget a la organizational unit eller 
> andre oplysninger om brugeren - som f.eks cpr, der reelt identificerer 
> ham som værende den person han udgiver sig for - Et navn og en 
> serielkode betyder ikke nødvendigvis at det er den "rigtige" bruger vi 
> har fat i - hvad er f.eks forskellen mellem user:John Jensen/serial:1A 
> og user:John Jensen/serial:2A ? med serielkoden kan man som offentlig 
> instans eller virksomhed tjekke serielkoden mod cpr-databasen, men andre 
> kan ikke. Til almindeligt logon funktionalitet er det sikkert helt fint, 
> men til verificering af en person er det ikke nok. John jensen-1A kan 
> sagtens logge ind i et miljø og i miljøet udgive sig for at være john 
> Jensen 2A.
> Så hvis man skal arbejde med e.g. dokumentsikkerhed og reel "signing" i 
> webmiljøet skal man have nogle yderligere faktorer om brugeren ind der 
> verificerer hans identitet.
> 
> Jeg mener faktisk at huske at der er noget organizational unit info i 
> OCES certifikatet, så måske kunne dette  bruges til en spejling af 
> brugere op imod allerede oprettede usergroups a la LDAP - men så igen - 
> organizational units i certifikatet ville sikkert kunne manipuleres.
> 
> Men til "ikke 100% sikker" logon funktionalitet er noget a la standard 
> x509 parsning 
> (http://dk2.php.net/manual/en/function.openssl-x509-parse.php) sikkert 
> helt ok...
> 
> Ved fil: $usercertificate_file = file_get_contents('test.crt');
> Ved ssl header: $usercertificate_file = $_SERVER['SSL_CLIENT_CERT'];
> $usercertificate = openssl_x509_parse($usercertificate_file);
> $username = $usercertificate['subject']['SN'];
> $pass = md5(time());
> $name = $usercertificate['subject']['CN'];
> 
> * ikke testet - kun teoretisk eksempel.
> 
> 
> mvh Troels
> 
> 
> 
> 
> 
> Stig Nørgaard Færch skrev:
>> Igen med min begrænsede viden...
>>
>> Hvad mener du som er vigtigt at man kan trække ud af certifikatet?
>> På https://ter.dk har Peter Brodersen lavet en lille DS test. Her 
>> trækker den navnet og en serielkode ud. Hvilke informationer ville 
>> udover dette være ønskeligt?
>>
>> /Stig
>>
>> Ps. Der er et par gode indlæg om DS og ter.dk her:
>> http://groups.google.com/groups?q=ter.dk%20%22digital%20signatur%22
>> Troels Kjær Rasmussen skrev:
>>> Hej Stig.
>>>
>>> Jeg researchede lidt i det for et stykke tid siden. Dansk digital 
>>> signatur er ganske vist baseret på x509, men de (TDC) har pillet så 
>>> meget ved standarden, at du ikke kan få nogen former for brugbare 
>>> oplysninger ud af certifikatet, kun om den bruger der logger ind 
>>> signer rigtigt eller ej. OpenOCES kunne være en vej frem, men der er, 
>>> så vidt jeg husker, kun skrevet eksempler i JAVA og .NET. Man kunne 
>>> selvfølgeligt lave en php-javabridge, men i mine øjne ender det med 
>>> at blive noget fedteri. Derudover er OCES indrettet sådan, at det i 
>>> den offentligt tilgængelige udgave (openOCES) kun er muligt at trække 
>>> begrænsede oplysninger ud af certifikatet, og det er kun offentlige 
>>> myndigheder der kan trække en key ud, der via kald til CPR kan 
>>> rteturnere oplysninger på brugeren.
>>>
>>> TDC tog sig, da de fik opgaven at udvikle DS, den frihed at gøre 
>>> tingene så komplicerede at de med openOCES giver ordet "commercial 
>>> open source" en helt ny betydning.
>>>
>>> mvh
>>> Troels Kjær Rasmussen
>>>
>>> Stig Nørgaard Færch skrev:
>>>> Har nogen af jer prøvet udvidelsen auth_certificate i forbindelse 
>>>> med Digital Signatur?
>>>>
>>>> Med det lidt forstand jeg har på Digital Signatur - burde denne 
>>>> udvidelse så ikke kunne bruges i denne forbindelse?
>>>>
>>>> På forhånd tak!
>>>>
>>>> Med venlig hilsen
>>>> Stig