KLID wiki - Brugerbidrag [da]

Vejledning til private brugere

2015-12-10T19:45:44Z

FlikFlak:

Der er vejledninger til at beskytte sig bl.a. på følgende sider

* [http://www.cryptoguide.dk/ Cryptoguide DK] primært til Journalister, men alle kan være med. Man kan købe en bog med godt råd og vejledninger - eller booked intro-kurser til foreninger og virksomheder.
* Der arrangeres også såkaldt Cryptoparties rundt omkring i Danmark. Se nærmere på webstedet [https://cryptoparty.dk/ Cryptoparty DK]. Der er også en vejledning i, hvordan man selv kan arrangere et crypto-party.
* [http://digital-identitet.dk/guide-til-digitalt-selvforsvar-1/?lang=da Guide til digitalt selvforsvar] fra bloggeren Pernille Tranberg
* [http://ing.dk/blog/hvordan-holder-man-noget-hemmeligt-161711 Hvordan holder man noget hemmeligt ?] Bloggeren Poul-Henning Kamps bud på forholdsregler
* [http://prism-break.org/ En række værktøjer til at undgå overvågning] prism-break - På engelsk!
* [http://www.privacytools.io/ værktøjer til beskyttelse af privatliv] Vejledninger på engelsk
* [http://politiken.dk/forbrugogliv/digitalt/ECE2768562/dagbog-5-jeg-fandt-ud-af-at-jeg-ville-skjules/ Politiken guide til begrænsning af overvågning]

En idé er at prøve disse forslag igennem og se hvad der kan virke for almindelige brugere

Det er svært at få en fuldstændig rådgivning til private brugere, vi er ikke klar endnu med noget der er en hel vejledning. men elementer er:

* Man skal væk fra Microsoft og Apple. Disse firmaer har indgået aftaler med myndigheder i USA om at indbygge bagdøre i deres produkter. Dvs. de amerikanske myndigheder har direkte adgang til dit system. Har man stationære eller bærbare computere med MS Windows eller Apple Mac OS X, kan man påbegynde et skift væk ved at installere Linux som et system ved siden af Windows eller Mac OS, en såkaldt "dual boot" løsning. Dvs. du kan køre med dit vante system, når du har brug for det, og du kan køre med Linux når du ikke har brug for dine gamle programmer. Der er en række open source programmer som kan bruges som erstatning for programmer til Windows, her er en [http://www.klid.dk/windows-linux.html oversigt]

* Der er en mængde Linux-distributioner, foreløbigt anbefaler vi Linux Mint. som er meget udbredt og ganske brugervenlig. En Linux-distribution, som har særligt fokus på IT-sikkerhed er Tails - https://tails.boum.org/

* Det er ikke kun staten der overvåger dig. Mange store firmaer som Google og Facebook gør det samme, for simpelthen at sælge annoncer. De sporer din identitet via cookies, små filer med tekst der kan identificere dig ganske præcist. Også dine indstillinger efterlader unik information til at vise hvem du er. Brug evt. https://panopticlick.eff.org/ for at se hvor unikke dine indstillinger er.

Erfaring med NemID Sikker mail

2015-08-02T09:04:28Z

FlikFlak: /* Opdatering 2015-07-27 */

== Sikker mail ==

I følge Nets-DanID er det muligt at skrive sikker mail, dvs. krypteret og signeret mail, med NemID under visse betingelser.

* Du har NemID med offentlig adgang (OCESII).
* Du har registreret en email-adresse i dit certifikat.
* Du bruger Mozilla Thunderbird, Microsoft emailprogrammer eller Novell GroupWise. (webmailsider som gmail og hotmail dur ikke!)

Og så måske den vigtigste:

* Modtager skal være indstillet på at modtage sikker mail.

Man kan ikke regne med at offentlige myndigheder har mulighed og politisk har man vedtaget at al kommunikation med det offentlige sker med e-boks, som ikke understøtter sikker mail.

Nets-DanID beskriver sikker mail med NemID [https://www.nemid.nu/dk-da/support/brug_nemid/send_og_modtag_sikker_e-mail/ her].

Bemærk at det IKKE er et krav, at have Java installeret!

== Erfaringer med Linux-installation ==

Jeg har prøvet at skrive en krypteret og signeret e-mail til Frederiksberg/Bispebjerg hospital på en Fedora 20 Linux 32-bit distribution. NemID understøtter [https://www.nemid.nu/dk-da/support/brug_nemid/send_og_modtag_sikker_e-mail/installation_paa_linux/ officielt kun Ubuntu]. Men der var ingen problemer med at hente og udpakke NemID configurations-filen og køre den og hente certifikatet.

Mit "certifikat" er en standard NemID bruger med nøglekort. Der blev ikke spurgt om nøglekortskode ved installation af certifikat.

Derefter fortsatte jeg til installation i Thunderbird. Vejledningen er for Ubuntu med Thunderbird 12 og den afviger noget visuelt fra Fedora med Thunderbird over version 20. Men de trin er de samme, som der står.

== Afsendelse af sikker mail ==

Her bliver det lidt kompliceret i mit tilfælde, for det viste sig at være svært at finde og installere det korrekte modtager certifikat.

Der er 3 måder.

Enten har modtager (som i tilfældet med hospitalet) deres offentlige certifikat liggende på hjemmesiden (under Kontakt), man kan bruge automatisk opslag via LDAP (som beskrives i vejledningen) eller man kan hente certifikatet på NemIDs hjemmeside. Kun det sidste fungerede for mig og kun ved at hente certifikatet direkte. Vcard-formatet fungerede ikke.

Søgning efter certifikat findes [https://www.medarbejdersignatur.dk/produkter/nemid_medarbejdersignatur/information_om_nemid/sikker_e-mail/soeg_certifikat/ her]. (Det skifter af og til)

I vejledningen står der, at man skal bruge kodeord og nøglekode når man sender mail - men det står ikke at det også sker hver gang e-mail gemmes - eller man efterfølgende kigger i udbakken. Derfor bør man nok komponere indholdet i sin mail "offline" først og så kopiere det ind i Thunderbird lige inden man sender.

Af samme årsag bør man ikke have NemID sikker mail slået til hele tiden, men kun når man har brug for at sende en mail.

Jeg fik svar på min henvendelse til Frederiksberg/Bispebjerg hospital efter 5 dage.

Leif Andersen.

== Opdatering 2015-07-27 ==
Jeg har netop foretaget en nyinstallation af NemID til Thunderbird - dennegang på to forskellige systemer. Der er kommet en ny udgave af NemId programmerne siden ovennævnte blev skrevet. Der er afprøvet to-vejs signeret/krypteret kommunikation mellem to NemID OCES II certifikater mens vi venter på en lovet sikker mail.

Anvendte systemer:

* Linux (Fedora 22 64-bit) / Thunderbird 38.1.0
* Mac OS X 10.10 / Thunderbird 31.7.0

NemID udvidelsesprogram hentet 2015-07-27 for begge systemer.

== Hent Modtager Certificat ==
(2015-08-01) Det viste sig, at der var de samme problemer med at indlæse modtagers certifikat fra NemID som for et år siden for Thunderbird/Linux. Hverken den anbefalede metode via opsætning af LDAP eller download af VCard virkede.

Den manuelle med at hente et certifikat ved download i cer-format virkede. Dog måtte man først omdøbe den hentede certificatfil fra certifikatfil.cer til certifikatfil.pem før den kan importeres til Thunderbird.

Leif

Erfaring med NemID Sikker mail

2015-08-02T09:03:41Z

FlikFlak: /* Afsendelse af sikker mail */

== Sikker mail ==

I følge Nets-DanID er det muligt at skrive sikker mail, dvs. krypteret og signeret mail, med NemID under visse betingelser.

* Du har NemID med offentlig adgang (OCESII).
* Du har registreret en email-adresse i dit certifikat.
* Du bruger Mozilla Thunderbird, Microsoft emailprogrammer eller Novell GroupWise. (webmailsider som gmail og hotmail dur ikke!)

Og så måske den vigtigste:

* Modtager skal være indstillet på at modtage sikker mail.

Man kan ikke regne med at offentlige myndigheder har mulighed og politisk har man vedtaget at al kommunikation med det offentlige sker med e-boks, som ikke understøtter sikker mail.

Nets-DanID beskriver sikker mail med NemID [https://www.nemid.nu/dk-da/support/brug_nemid/send_og_modtag_sikker_e-mail/ her].

Bemærk at det IKKE er et krav, at have Java installeret!

== Erfaringer med Linux-installation ==

Jeg har prøvet at skrive en krypteret og signeret e-mail til Frederiksberg/Bispebjerg hospital på en Fedora 20 Linux 32-bit distribution. NemID understøtter [https://www.nemid.nu/dk-da/support/brug_nemid/send_og_modtag_sikker_e-mail/installation_paa_linux/ officielt kun Ubuntu]. Men der var ingen problemer med at hente og udpakke NemID configurations-filen og køre den og hente certifikatet.

Mit "certifikat" er en standard NemID bruger med nøglekort. Der blev ikke spurgt om nøglekortskode ved installation af certifikat.

Derefter fortsatte jeg til installation i Thunderbird. Vejledningen er for Ubuntu med Thunderbird 12 og den afviger noget visuelt fra Fedora med Thunderbird over version 20. Men de trin er de samme, som der står.

== Afsendelse af sikker mail ==

Her bliver det lidt kompliceret i mit tilfælde, for det viste sig at være svært at finde og installere det korrekte modtager certifikat.

Der er 3 måder.

Enten har modtager (som i tilfældet med hospitalet) deres offentlige certifikat liggende på hjemmesiden (under Kontakt), man kan bruge automatisk opslag via LDAP (som beskrives i vejledningen) eller man kan hente certifikatet på NemIDs hjemmeside. Kun det sidste fungerede for mig og kun ved at hente certifikatet direkte. Vcard-formatet fungerede ikke.

Søgning efter certifikat findes [https://www.medarbejdersignatur.dk/produkter/nemid_medarbejdersignatur/information_om_nemid/sikker_e-mail/soeg_certifikat/ her]. (Det skifter af og til)

I vejledningen står der, at man skal bruge kodeord og nøglekode når man sender mail - men det står ikke at det også sker hver gang e-mail gemmes - eller man efterfølgende kigger i udbakken. Derfor bør man nok komponere indholdet i sin mail "offline" først og så kopiere det ind i Thunderbird lige inden man sender.

Af samme årsag bør man ikke have NemID sikker mail slået til hele tiden, men kun når man har brug for at sende en mail.

Jeg fik svar på min henvendelse til Frederiksberg/Bispebjerg hospital efter 5 dage.

Leif Andersen.

== Opdatering 2015-07-27 ==
Jeg har netop foretaget en nyinstallation af NemID til thunderbird - dennegang på to forskellige systemer. Der er kommet en ny udgave af NemId programmerne siden ovennævnte blev skrevet. Der er afprøvet to-vejs signeret/krypteret kommunikation mellem to NemID OCES II certifikater mens vi venter på en lovet sikker mail.

Anvendte systemer:

* Linux (Fedora 22 64-bit) / Thunderbird 38.1.0
* Mac OS X 10.10 / Thunderbird 31.7.0

NemID udvidelsesprogram hentet 2015-07-27 for begge systemer.

== Hent Modtager Certificat ==
(2015-08-01) Det viste sig, at der var de samme problemer med at indlæse modtagers certifikat fra NemID som for et år siden for Thunderbird/Linux. Hverken den anbefalede metode via opsætning af LDAP eller download af VCard virkede.

Den manuelle med at hente et certifikat ved download i cer-format virkede. Dog måtte man først omdøbe den hentede certificatfil fra certifikatfil.cer til certifikatfil.pem før den kan importeres til Thunderbird.

Leif

Erfaring med NemID Sikker mail

2015-08-02T08:55:12Z

FlikFlak: /* Opdatering 2015-07-27 */

== Sikker mail ==

I følge Nets-DanID er det muligt at skrive sikker mail, dvs. krypteret og signeret mail, med NemID under visse betingelser.

* Du har NemID med offentlig adgang (OCESII).
* Du har registreret en email-adresse i dit certifikat.
* Du bruger Mozilla Thunderbird, Microsoft emailprogrammer eller Novell GroupWise. (webmailsider som gmail og hotmail dur ikke!)

Og så måske den vigtigste:

* Modtager skal være indstillet på at modtage sikker mail.

Man kan ikke regne med at offentlige myndigheder har mulighed og politisk har man vedtaget at al kommunikation med det offentlige sker med e-boks, som ikke understøtter sikker mail.

Nets-DanID beskriver sikker mail med NemID [https://www.nemid.nu/dk-da/support/brug_nemid/send_og_modtag_sikker_e-mail/ her].

Bemærk at det IKKE er et krav, at have Java installeret!

== Erfaringer med Linux-installation ==

Jeg har prøvet at skrive en krypteret og signeret e-mail til Frederiksberg/Bispebjerg hospital på en Fedora 20 Linux 32-bit distribution. NemID understøtter [https://www.nemid.nu/dk-da/support/brug_nemid/send_og_modtag_sikker_e-mail/installation_paa_linux/ officielt kun Ubuntu]. Men der var ingen problemer med at hente og udpakke NemID configurations-filen og køre den og hente certifikatet.

Mit "certifikat" er en standard NemID bruger med nøglekort. Der blev ikke spurgt om nøglekortskode ved installation af certifikat.

Derefter fortsatte jeg til installation i Thunderbird. Vejledningen er for Ubuntu med Thunderbird 12 og den afviger noget visuelt fra Fedora med Thunderbird over version 20. Men de trin er de samme, som der står.

== Afsendelse af sikker mail ==

Her bliver det lidt kompliceret i mit tilfælde, for det viste sig at være svært at finde og installere det korrekte modtager certifikat.

Der er 3 måder.

Enten har modtager (som i tilfældet med hospitalet) deres offentlige certifikat liggende på hjemmesiden (under Kontakt), man kan bruge automatisk opslag via LDAP (som beskrives i vejledningen) eller man kan hente certifikatet på NemIDs hjemmeside. Kun det sidste fungerede for mig og kun ved at hente certifikatet direkte. Vcard-formatet fungerede ikke.

Søgning efter certifikat findes[https://www.nets-danid.dk/produkter/nemid_medarbejdersignatur/information_om_nemid/sikker_e-mail/soeg_certifikat/ her].

I vejledningen står der, at man skal bruge kodeord og nøglekode når man sender mail - men det står ikke at det også sker hver gang e-mail gemmes - eller man efterfølgende kigger i udbakken. Derfor bør man nok komponere indholdet i sin mail "offline" først og så kopiere det ind i Thunderbird lige inden man sender.

Af samme årsag bør man ikke have NemID sikker mail slået til hele tiden, men kun når man har brug for at sende en mail.

Jeg fik svar på min henvendelse til Frederiksberg/Bispebjerg hospital efter 5 dage.

Leif Andersen.

== Opdatering 2015-07-27 ==
Jeg har netop foretaget en nyinstallation af NemID til thunderbird - dennegang på to forskellige systemer. Der er kommet en ny udgave af NemId programmerne siden ovennævnte blev skrevet. Der er afprøvet to-vejs signeret/krypteret kommunikation mellem to NemID OCES II certifikater mens vi venter på en lovet sikker mail.

Anvendte systemer:

* Linux (Fedora 22 64-bit) / Thunderbird 38.1.0
* Mac OS X 10.10 / Thunderbird 31.7.0

NemID udvidelsesprogram hentet 2015-07-27 for begge systemer.

== Hent Modtager Certificat ==
(2015-08-01) Det viste sig, at der var de samme problemer med at indlæse modtagers certifikat fra NemID som for et år siden for Thunderbird/Linux. Hverken den anbefalede metode via opsætning af LDAP eller download af VCard virkede.

Den manuelle med at hente et certifikat ved download i cer-format virkede. Dog måtte man først omdøbe den hentede certificatfil fra certifikatfil.cer til certifikatfil.pem før den kan importeres til Thunderbird.

Leif

Erfaring med NemID Sikker mail

2015-07-27T10:21:10Z

FlikFlak:

== Sikker mail ==

I følge Nets-DanID er det muligt at skrive sikker mail, dvs. krypteret og signeret mail, med NemID under visse betingelser.

* Du har NemID med offentlig adgang (OCESII).
* Du har registreret en email-adresse i dit certifikat.
* Du bruger Mozilla Thunderbird, Microsoft emailprogrammer eller Novell GroupWise. (webmailsider som gmail og hotmail dur ikke!)

Og så måske den vigtigste:

* Modtager skal være indstillet på at modtage sikker mail.

Man kan ikke regne med at offentlige myndigheder har mulighed og politisk har man vedtaget at al kommunikation med det offentlige sker med e-boks, som ikke understøtter sikker mail.

Nets-DanID beskriver sikker mail med NemID [https://www.nemid.nu/dk-da/support/brug_nemid/send_og_modtag_sikker_e-mail/ her].

Bemærk at det IKKE er et krav, at have Java installeret!

== Erfaringer med Linux-installation ==

Jeg har prøvet at skrive en krypteret og signeret e-mail til Frederiksberg/Bispebjerg hospital på en Fedora 20 Linux 32-bit distribution. NemID understøtter [https://www.nemid.nu/dk-da/support/brug_nemid/send_og_modtag_sikker_e-mail/installation_paa_linux/ officielt kun Ubuntu]. Men der var ingen problemer med at hente og udpakke NemID configurations-filen og køre den og hente certifikatet.

Mit "certifikat" er en standard NemID bruger med nøglekort. Der blev ikke spurgt om nøglekortskode ved installation af certifikat.

Derefter fortsatte jeg til installation i Thunderbird. Vejledningen er for Ubuntu med Thunderbird 12 og den afviger noget visuelt fra Fedora med Thunderbird over version 20. Men de trin er de samme, som der står.

== Afsendelse af sikker mail ==

Her bliver det lidt kompliceret i mit tilfælde, for det viste sig at være svært at finde og installere det korrekte modtager certifikat.

Der er 3 måder.

Enten har modtager (som i tilfældet med hospitalet) deres offentlige certifikat liggende på hjemmesiden (under Kontakt), man kan bruge automatisk opslag via LDAP (som beskrives i vejledningen) eller man kan hente certifikatet på NemIDs hjemmeside. Kun det sidste fungerede for mig og kun ved at hente certifikatet direkte. Vcard-formatet fungerede ikke.

Søgning efter certifikat findes[https://www.nets-danid.dk/produkter/nemid_medarbejdersignatur/information_om_nemid/sikker_e-mail/soeg_certifikat/ her].

I vejledningen står der, at man skal bruge kodeord og nøglekode når man sender mail - men det står ikke at det også sker hver gang e-mail gemmes - eller man efterfølgende kigger i udbakken. Derfor bør man nok komponere indholdet i sin mail "offline" først og så kopiere det ind i Thunderbird lige inden man sender.

Af samme årsag bør man ikke have NemID sikker mail slået til hele tiden, men kun når man har brug for at sende en mail.

Jeg fik svar på min henvendelse til Frederiksberg/Bispebjerg hospital efter 5 dage.

Leif Andersen.

== Opdatering 2015-07-27 ==
Jeg har netop foretaget en nyinstallation af NemID til thunderbird - dennegang på to forskellige systemer. Der er kommet en ny udgave af NemId programmerne siden ovennævnte blev skrevet. Der er afprøvet to-vejs signeret/krypteret kommunikation mellem to NemID OCES II certifikater mens vi venter på en lovet sikker mail.

Anvendte systemer:

* Linux (Fedora 22 64-bit) / Thunderbird 38.1.0
* Mac OS X 10.10 / Thunderbird 31.7.0

NemID udvidelsesprogram hentet 2015-07-27 for begge systemer.

Leif

Et stærkt værn mod terror

2015-04-27T06:58:43Z

FlikFlak:

Regeringens såkaldte "Terror-pakke" fra februar 2015 kan ændre balancen mellem hensyn til statens sikkerhed og hensyn til borgerrettigheder og virksomheders forretningshemmeligheder. Denne side indeholder henvisninger til relevante dokumenter, artikler og debatter om pakken.

* [http://www.justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2015/Et%20st%C3%A6rkt%20v%C3%A6rn%20mod%20terror.pdf Justitsministeriets pressemeddelelse (direkte henvisning til PDF)] udsendt 2015-02-19.
* [http://www.version2.dk/artikel/terrorpakke-nye-it-systemer-til-politiet-og-fe-skal-kunne-knaekke-kryptering-80465 Artikel fra Version2] Dateret 2015-02-19 13:15 - med debatindlæg. Artiklen lægger vægt på at Regeringen definerer kryptering som en trussel, der skal bekæmpes med en ganske stor bevilling.
* [http://www.version2.dk/blog/fingrene-vaek-fra-kryptering-80506 Fingrene væk fra kryptering] - Blogindlæg 2015-02-19 14:11 af Kurt West Nielsen.
* DR Nyheders's [http://www.dr.dk/Nyheder/Politik/2015/02/19/132018.htm OVERBLIK: Her er regeringens 12 terrortiltag] - 2015-02-19 13:22 forbigår dog kampen mod kryptering.
* Udkast til lovforslag "[http://www.fmn.dk/nyheder/Documents/Udkast-til-forslag-til-lov-om-net%20og-informationssikkerhed.pdf Forslag til Lov om net - og informationssikkerhed]" (PDF - H/T Poul-Henning Kamp) offentliggjort 21. april og sendt i høring. [http://www.hoeringsportalen.dk/Hearing/Details/51503 Høringsfrist 4. maj 2015]. Nogle af de mere vidtgående beføjelser, som Terror-pakken lagde op til i forholdet mellem Forsvaret og private virksomheder er svækket. Se mere i artikl"[http://www.version2.dk/artikel/omstridt-lovforslag-om-oegede-befoejelser-til-center-cybersikkerhed-i-hoering-152473 Omstridt lovforslag om øgede beføjelser til Center for Cybersikkerhed i høring i ny udgave]" (Version2.dk, 2015-04-23) med link til andre artikler, blog-indlæg og debatindlæg.

== Hvad siger pakken om kryptering ==

Under "Bedre redskaber til FE’s indsats over for terror rettet mod Danmark" ([http://www.justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2015/Et%20st%C3%A6rkt%20v%C3%A6rn%20mod%20terror.pdf 6. Tiltag, 2. afsnit.])

''For det første skal FE’s elektroniske indhentning af oplysninger styrkes. Terrorister er i dag langt mere sikkerhedsbevidste end tidligere.De krypterer i stigende grad deres kommunikation.De anvender desuden langt flere forskellige former for kommunikation. Og hovedparten af den terrorrelaterede kommunikation foregår på fremmedsprog. En styrkelse af FE’s indhentning på terrorområdet kræver derfor en udvidelse af de nuværende kapaciteter til at indhente terroristers kommunikation samt investering i og udvikling af ny teknologi, f.eks. til indhentning mod satellitkommunikation og computernetværk. Hertil kommer øget kapacitet til dekryptering og oversættelser.''

== Hvorfor er det principielt vigtig? ==
I et af svarene under i Kurt Westh Nilsens [http://www.version2.dk/blog/fingrene-vaek-fra-kryptering-80506 blogindlæg] skriver Keld Simonsen [http://www.version2.dk/blog/fingrene-vaek-fra-kryptering-80506#comment-300744 følgende]:

''IETF har som politik at alle internet protokoller skal være krypterede, se rfc7258. At forbyde kryptering er derfor det samme som at forbyde internettet. Vil man virkelig dette? Internettet er verdensomspændende og nærmest grundlaget for al kommunikation i Verden. Hvis man forbyder internettet sætter man sig virkelig uden for Verdenssamfundet.''

== Men hvad med retsikkerheden? ==
[http://justitia-int.org/author/jacob/ Jacob Mchangama], direktør i Tænketanken [http://justitia-int.org/ JUSTITIA] og [http://jura.ku.dk/ansatte/forskningsomraadet/?pure=da/persons/112083 Anders Henriksen, lektor i folkeret, Københavns Universitet] har lavet en rapport som blev fremlagt for Folketingets Retsudvalg ved et lukket møde 2015-02-25.

I indledningen skriver de bl.a.:

''I sin nuværende form indeholder FE-forslaget en alt for bred og upræcis adgang til at foretage indgreb i danske borgeres fortrolige kommunikation uden nævneværdige retssikkerhedsgarantier eller ekstern kontrol. Forslaget vil ikke alene give FE mere vidtgående beføjelser end dets amerikanske og britiske søstertjenester (herunder NSA og GCHQ), men også kunne komme i konflikt med den Europæiske Menneskerettighedskonvention (EMRK). Da forslaget endvidere lægger op til, at der foretages indgreb i danske borgeres rettigheder udenom domstolene, stemmer det også dårligt overens med grundlæggende principper om magtens tredeling.''

Rapporten giver en række forslag til forbedringer i Terror-pakken.

Et stærkt værn mod terror

2015-02-27T06:50:12Z

FlikFlak:

Regeringens såkaldte "Terror-pakke" fra februar 2015 kan ændre balancen mellem hensyn til statens sikkerhed og hensyn til borgerrettigheder og virksomheders forretningshemmeligheder. Denne side indeholder henvisninger til relevante dokumenter, artikler og debatter om pakken.

* [http://www.justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2015/Et%20st%C3%A6rkt%20v%C3%A6rn%20mod%20terror.pdf Justitsministeriets pressemeddelelse (direkte henvisning til PDF)] udsendt 2015-02-19.
* [http://www.version2.dk/artikel/terrorpakke-nye-it-systemer-til-politiet-og-fe-skal-kunne-knaekke-kryptering-80465 Artikel fra Version2] Dateret 2015-02-19 13:15 - med debatindlæg. Artiklen lægger vægt på at Regeringen definerer kryptering som en trussel, der skal bekæmpes med en ganske stor bevilling.
* [http://www.version2.dk/blog/fingrene-vaek-fra-kryptering-80506 Fingrene væk fra kryptering] - Blogindlæg 2015-02-19 14:11 af Kurt West Nielsen.
* DR Nyheders's [http://www.dr.dk/Nyheder/Politik/2015/02/19/132018.htm OVERBLIK: Her er regeringens 12 terrortiltag] - 2015-02-19 13:22 forbigår dog kampen mod kryptering.

== Hvad siger pakken om kryptering ==

Under "Bedre redskaber til FE’s indsats over for terror rettet mod Danmark" ([http://www.justitsministeriet.dk/sites/default/files/media/Pressemeddelelser/pdf/2015/Et%20st%C3%A6rkt%20v%C3%A6rn%20mod%20terror.pdf 6. Tiltag, 2. afsnit.])

''For det første skal FE’s elektroniske indhentning af oplysninger styrkes. Terrorister er i dag langt mere sikkerhedsbevidste end tidligere.De krypterer i stigende grad deres kommunikation.De anvender desuden langt flere forskellige former for kommunikation. Og hovedparten af den terrorrelaterede kommunikation foregår på fremmedsprog. En styrkelse af FE’s indhentning på terrorområdet kræver derfor en udvidelse af de nuværende kapaciteter til at indhente terroristers kommunikation samt investering i og udvikling af ny teknologi, f.eks. til indhentning mod satellitkommunikation og computernetværk. Hertil kommer øget kapacitet til dekryptering og oversættelser.''

== Hvorfor er det principielt vigtig? ==
I et af svarene under i Kurt Westh Nilsens [http://www.version2.dk/blog/fingrene-vaek-fra-kryptering-80506 blogindlæg] skriver Keld Simonsen [http://www.version2.dk/blog/fingrene-vaek-fra-kryptering-80506#comment-300744 følgende]:

''IETF har som politik at alle internet protokoller skal være krypterede, se rfc7258. At forbyde kryptering er derfor det samme som at forbyde internettet. Vil man virkelig dette? Internettet er verdensomspændende og nærmest grundlaget for al kommunikation i Verden. Hvis man forbyder internettet sætter man sig virkelig uden for Verdenssamfundet.''

== Men hvad med retsikkerheden? ==
[http://justitia-int.org/author/jacob/ Jacob Mchangama], direktør i Tænketanken [http://justitia-int.org/ JUSTITIA] og [http://jura.ku.dk/ansatte/forskningsomraadet/?pure=da/persons/112083 Anders Henriksen, lektor i folkeret, Københavns Universitet] har lavet en rapport som blev fremlagt for Folketingets Retsudvalg ved et lukket møde 2015-02-25.

I indledningen skriver de bl.a.:

''I sin nuværende form indeholder FE-forslaget en alt for bred og upræcis adgang til at foretage indgreb i danske borgeres fortrolige kommunikation uden nævneværdige retssikkerhedsgarantier eller ekstern kontrol. Forslaget vil ikke alene give FE mere vidtgående beføjelser end dets amerikanske og britiske søstertjenester (herunder NSA og GCHQ), men også kunne komme i konflikt med den Europæiske Menneskerettighedskonvention (EMRK). Da forslaget endvidere lægger op til, at der foretages indgreb i danske borgeres rettigheder udenom domstolene, stemmer det også dårligt overens med grundlæggende principper om magtens tredeling.''

Rapporten giver en række forslag til forbedringer i Terror-pakken.

Et stærkt værn mod terror

2015-02-25T07:29:55Z

FlikFlak: /* Hvad siger pakken om kryptering */

Et stærkt værn mod terror

2015-02-25T07:21:10Z

FlikFlak:

Et stærkt værn mod terror

2015-02-25T07:00:13Z

FlikFlak: /* Hvorfor er det principielt vigtig? */

Et stærkt værn mod terror

2015-02-25T06:59:42Z

FlikFlak: Oprettede siden med 'Regeringens såkaldte "Terror-pakke" fra februar 2015 kan ændre balancen mellem hensyn til statens sikkerhed og hensyn til borgerrettigheder og virksomheders forretningshem...'

Sikkerhed og overvågning

2015-02-25T06:39:29Z

FlikFlak:

Med de nye oplysinger om massiv overvågning er der brug for en forstærket indsats omkring netsikkerhed. Vi vil i første omgang arbejde med:

* [[Vejledning til private brugere]]
* [[Vejledning til firmaer og organisationer]]
* [[Arbejde med at gøre kryptering af email mere udbredt]]

== Baggrund ==

Bl.a. USA's PATRIOT act fra 2001 giver store muligheder for overvågning.
[http://www.comon.dk/art/126589/microsoft-usa-adgang-til-cloud-data-er-quot-intet-problem-quot Microsofts danske tidligere direktør Klaus Holse Andersen] har udtalt at Microsoft på linje med andre amerikenske virksomheder er forpligtet til at udlevere data til amerikanske myndigheder. Også [http://www.theregister.co.uk/2009/12/07/schmidt_on_privacy/ Googles bestyrelsesformand og tidligere direktør Eric Schmidt] siger at alle amerikanske firmaer er underlagt PATRIOT ACT, og alle data derfor kan risikere at blive udleveret til de amerikanske myndigheder.

Ifølge en uddybende analyse fra advokatfirmaet Covington & Burling gælder Patriot Act også for [http://www.computerworld.dk/art/204925/patriot-act-rammer-ogsaa-europaeiske-cloud-udbydere europæiske udbydere], hvis de på nogen måde har en
forbindelse til USA.

== Aktuel Dokumentation ==

[[Et stærkt værn mod terror]] - Februar 2015. Den danske vej til "Patriotisk Lovgivning?"

Erfaring med NemID Sikker mail

2014-05-04T16:38:32Z

FlikFlak: Oprettede siden med '== Sikker mail == I følge Nets-DanID er det muligt at skrive sikker mail, dvs. krypteret og signeret mail, med NemID under visse betingelser. * Du har NemID med offentlig...'

== Sikker mail ==

I følge Nets-DanID er det muligt at skrive sikker mail, dvs. krypteret og signeret mail, med NemID under visse betingelser.

* Du har NemID med offentlig adgang (OCESII).
* Du har registreret en email-adresse i dit certifikat.
* Du bruger Mozilla Thunderbird, Microsoft emailprogrammer eller Novell GroupWise. (webmailsider som gmail og hotmail dur ikke!)

Og så måske den vigtigste:

* Modtager skal være indstillet på at modtage sikker mail.

Man kan ikke regne med at offentlige myndigheder har mulighed og politisk har man vedtaget at al kommunikation med det offentlige sker med e-boks, som ikke understøtter sikker mail.

Nets-DanID beskriver sikker mail med NemID [https://www.nemid.nu/dk-da/support/brug_nemid/send_og_modtag_sikker_e-mail/ her].

Bemærk at det IKKE er et krav, at have Java installeret!

== Erfaringer med Linux-installation ==

Jeg har prøvet at skrive en krypteret og signeret e-mail til Frederiksberg/Bispebjerg hospital på en Fedora 20 Linux 32-bit distribution. NemID understøtter [https://www.nemid.nu/dk-da/support/brug_nemid/send_og_modtag_sikker_e-mail/installation_paa_linux/ officielt kun Ubuntu]. Men der var ingen problemer med at hente og udpakke NemID configurations-filen og køre den og hente certifikatet.

Mit "certifikat" er en standard NemID bruger med nøglekort. Der blev ikke spurgt om nøglekortskode ved installation af certifikat.

Derefter fortsatte jeg til installation i Thunderbird. Vejledningen er for Ubuntu med Thunderbird 12 og den afviger noget visuelt fra Fedora med Thunderbird over version 20. Men de trin er de samme, som der står.

== Afsendelse af sikker mail ==

Her bliver det lidt kompliceret i mit tilfælde, for det viste sig at være svært at finde og installere det korrekte modtager certifikat.

Der er 3 måder.

Enten har modtager (som i tilfældet med hospitalet) deres offentlige certifikat liggende på hjemmesiden (under Kontakt), man kan bruge automatisk opslag via LDAP (som beskrives i vejledningen) eller man kan hente certifikatet på NemIDs hjemmeside. Kun det sidste fungerede for mig og kun ved at hente certifikatet direkte. Vcard-formatet fungerede ikke.

Søgning efter certifikat findes[https://www.nets-danid.dk/produkter/nemid_medarbejdersignatur/information_om_nemid/sikker_e-mail/soeg_certifikat/ her].

I vejledningen står der, at man skal bruge kodeord og nøglekode når man sender mail - men det står ikke at det også sker hver gang e-mail gemmes - eller man efterfølgende kigger i udbakken. Derfor bør man nok komponere indholdet i sin mail "offline" først og så kopiere det ind i Thunderbird lige inden man sender.

Af samme årsag bør man ikke have NemID sikker mail slået til hele tiden, men kun når man har brug for at sende en mail.

Jeg fik svar på min henvendelse til Frederiksberg/Bispebjerg hospital efter 5 dage.

Leif Andersen.

Arbejde med at gøre kryptering af email mere udbredt

2014-05-04T15:49:28Z

FlikFlak: Tilføjet link til ny artikel om Sikker mail

En foreløbig konklusion på hvad der er rimeligt sikkert nu om dage, er at god kryptering er meget vanskeligt at bryde.

Men det har vist sig vanskeligt at få almindelige brugere til at benytte krypteret email.

En vej frem kunne være at indbygge kryptering af email automatisk i de brugte email-servere, fx firefox og sendmail. Vi vil kun se på open source mail-servere da det er afsløret, at der er blevet købt bagdøre i kommercielle programmer.

Denne side vil se på hvordan man kan få internettet til i højere grad automatisk at benytte krypteret email.

Mail-protokollerne kan allerede i dag benytte kryptering af email via en facilitet, der hedder STARTTLS.

Der er noget diskussion i forskellige IETF-mailinglister, bl.a. ietf-smtp mailinglisten.

Keld Simonsen har foreslået en opportunistisk TLS løsning, hvis begge MTA-er kan køre TLS, så prøver man dette.

Google har foreslået en ny ESMPT-option som kan sikre at en email bliver sendt frem krypteret.

Keith Moore har foreslået krypteret mail mellem MTA og MUA http://datatracker.ietf.org/doc/draft-moore-email-tls/

Et andet forslag er opportunistisk brug af TLS og med brug af DANE - en rimelig sikker brug af selvunderskrevne certifikater via DNS -
http://datatracker.ietf.org/doc/draft-ietf-dane-smtp-with-dane/

sendmail ser ud til automatisk at kunne sættes op til at bruge TLS - http://www.sendmail.com/sm/open_source/docs/m4/starttls.html

Lidt om [[erfaringer med brug af sendmail med TLS]].

MTA-en exim kan også sættes nemt op med TLS.

[[Erfaring med NemID Sikker mail]] med offentlig virksomhed.

Erfaringer med brug af sendmail med TLS

2014-03-18T12:57:25Z

FlikFlak:

Leif Andersen skriver:

Jeg har i nogen år nu anvendt OCES (de gamle, filbaserede certifikater) til
at signere e-mails og beskytte adgang til min sendmail server via TLS.

'''Bemærk''' Jeg har konstateret, at det ikke længere virker, efter jeg flyttede
til en Fedora 19 server med SELinux aktiveret. Følgende er derfor kun at historisk
historisk interesse. Den "gamle" server kørte Fedora 15.

Som udgangspunkt fulgte jeg vejledningen fra Sendmail her:

http://www.sendmail.com/sm/open_source/docs/m4/starttls.html

Det viser sig så, at at for Fedora (når man har valgt Sendmail som MTA
(eller afinstalleret Postfix, som de påstår er default)) så er de nævnte
stier til certs og pem i m4-filen og skal bare udkommenteres - det samme
gælder resten, der nævnt.

Der er "further reading" ude til højre.

Men jeg skal alligevel have rekonfigureret min sendmail, så jeg skal
lige gennemløbe step igennem igen, så jeg kan lave en sammenfatning på
dansk.

Forudsætningen for dette er naturligvis, at man selv hoster MTA. Det er
ikke uden problemer - jeg bliver blacklisted en gang imellem, fordi min
IP-adresse ligger i et interval, hvor Fullrate eller Telenor påstår, der
ikke er mailservere...

Men når jeg sender fra min e-mail konto xxxxxxxx@blanet.dk (den
seriøse...) ser headeren således ud:

Return-Path: <xxxxxxxx@blanet.dk>
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on sirah.blanet.net
X-Spam-Level:
X-Spam-Status: No, score=-2.9 required=5.0 tests=ALL_TRUSTED,BAYES_00
autolearn=ham version=3.3.2
Received: from uhura.int.blanet.net (uhura.int.blanet.net [192.168.98.47])
(authenticated bits=0)
by sirah.blanet.net (8.14.5/8.14.4) with ESMTP id r9NImaES011636
(version=TLSv1/SSLv3 cipher=DHE-RSA-CAMELLIA256-SHA bits=256
verify=OK)
for <leander@blanet.dk>; Wed, 23 Oct 2013 20:48:37 +0200
Message-ID: <52681ACE.2020806@blanet.dk>
Date: Wed, 23 Oct 2013 20:51:58 +0200
From: Leif Andersen <xxxxxxxx@blanet.dk>
Organization: BLA-net v. Bodil og Leif Andersen
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/20130923
Thunderbird/17.0.9
MIME-Version: 1.0
To: "Leif Andersen (at Janeway)" <leander@blanet.dk>
Subject: En test for at se header info...
Content-Type: multipart/signed; protocol="application/pkcs7-signature";
micalg=sha1; boundary="------------ms030802000600050703080403"

Nå ja - den sidste pkcs7-signature er signal om signatur på selve
mail'en, leveret fra Thunderbird. Jeg bruger mit OCES certifikat (mit
medarbejder-certifikat fra Nemid) til både at signere e-mail og til at
åbne op for TLS i Sendmail for Thunderbird. TLS vises i linien:

Received: from uhura.int.blanet.net (uhura.int.blanet.net [192.168.98.47])
(authenticated bits=0)
by sirah.blanet.net (8.14.5/8.14.4) with ESMTP id r9NImaES011636
(version=TLSv1/SSLv3 cipher=DHE-RSA-CAMELLIA256-SHA bits=256...

'''Note''' Det er mit "gamle" NemID certifikat (OCES I) jeg har brugt. Det udløber først i 2014.

Jeg har endnu ikke afprøvet OCES II! Det vil nok også give problemer, fordi løsningen med nøglefil kræver
speciel hardware.

Vejledning til firmaer og organisationer

2013-11-02T15:28:12Z

FlikFlak: Tilføjet link til PRISM-break.org.

Her vil vi beskrive metoder til virksomheder og organisationer til at forbedre deres sikkerhed omkring overvågning.

* [http://ing.dk/blog/hvordan-holder-man-noget-hemmeligt-161711 Hvordan holder man noget hemmeligt ?] Bloggeren Poul-Henning Kamps bud på forholdsregler
* [https://prism-break.org/#en PRISM-break.org] En liste af eksempler på programmer og services der som udgangspunkt ikke overvåger.

Erfaringer med brug af sendmail med TLS

2013-10-25T18:29:25Z

FlikFlak: Rettet lidt

Leif Andersen skriver:

Jeg fandt hurtigt min vejledning og det ser ud til at jeg simpelthen er
gået direkte til kilden, idet min rod-link er:

http://www.sendmail.com/sm/open_source/docs/m4/starttls.html

Det viser sig så, at at for Fedora (når man har valgt Sendmail som MTA
(eller afinstalleret Postfix, som de påstår er default)) så er de nævnte
stier til certs og pem i m4-filen og skal bare udkommenteres - det samme
gælder resten, der nævnt.

Der er "further reading" ude til højre.

Men jeg skal alligevel have rekonfigureret min sendmail, så jeg skal
lige gennemløbe step igennem igen, så jeg kan lave en sammenfatning på
dansk.

Forudsætningen for dette er naturligvis, at man selv hoster MTA. Det er
ikke uden problemer - jeg bliver blacklisted en gang imellem, fordi min
IP-adresse ligger i et interval, hvor Fullrate eller Telenor påstår, der
ikke er mailservere...

Men når jeg sender fra min e-mail konto xxxxxxxx@blanet.dk (den
seriøse...) ser headeren således ud:

Return-Path: <xxxxxxxx@blanet.dk>
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on sirah.blanet.net
X-Spam-Level:
X-Spam-Status: No, score=-2.9 required=5.0 tests=ALL_TRUSTED,BAYES_00
autolearn=ham version=3.3.2
Received: from uhura.int.blanet.net (uhura.int.blanet.net [192.168.98.47])
(authenticated bits=0)
by sirah.blanet.net (8.14.5/8.14.4) with ESMTP id r9NImaES011636
(version=TLSv1/SSLv3 cipher=DHE-RSA-CAMELLIA256-SHA bits=256
verify=OK)
for <leander@blanet.dk>; Wed, 23 Oct 2013 20:48:37 +0200
Message-ID: <52681ACE.2020806@blanet.dk>
Date: Wed, 23 Oct 2013 20:51:58 +0200
From: Leif Andersen <xxxxxxxx@blanet.dk>
Organization: BLA-net v. Bodil og Leif Andersen
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/20130923
Thunderbird/17.0.9
MIME-Version: 1.0
To: "Leif Andersen (at Janeway)" <leander@blanet.dk>
Subject: En test for at se header info...
Content-Type: multipart/signed; protocol="application/pkcs7-signature";
micalg=sha1; boundary="------------ms030802000600050703080403"

Nå ja - den sidste pkcs7-signature er signal om signatur på selve
mail'en, leveret fra Thunderbird. Jeg bruger mit OCES certifikat (mit
medarbejder-certifikat fra Nemid) til både at signere e-mail og til at
åbne op for TLS i Sendmail for Thunderbird. TLS vises i linien:

Received: from uhura.int.blanet.net (uhura.int.blanet.net [192.168.98.47])
(authenticated bits=0)
by sirah.blanet.net (8.14.5/8.14.4) with ESMTP id r9NImaES011636
(version=TLSv1/SSLv3 cipher=DHE-RSA-CAMELLIA256-SHA bits=256...

'''Note''' Det er mit "gamle" NemID certifikat (OCES I) jeg har brugt. Det udløber først i 2014.

Jeg har endnu ikke afprøvet OCES II!