 |
 |
|
| Afsendt: | 18-12-2002 15:23:04 |
| Afsender: | Peter Mogensen |
| Email: | apm-at-mutex-dot-dk@nospam.no |
| Emne: | Svar. |
| Tekst: | Hej Hans-Henning, Tak for dit engagement :) Jeg vil prøve at besvare dine spørgsmål såforståeligt som muligt. Det er ganske rigtigt at en kopi af dine konto-informationer er flyttet til din PC og kan ses på din skærm. Først prøver jeg lige at forklare forskellen på det og så "kopibeskyttelse", derefter svarer jeg på dine to spørgsmål. Der er 2 ting en "fjende" kunne tænke sig at gøre med dine bank-data. Den ene er at bruge den information på en skummel måde uden iøvrigt at kunne manipulere med din saldo. Den anden er at han måske kunne tænke sig at faktisk ændre på din saldo og måske stjæle pengene. For at forhindre disse 2 ting har banken gjort 2 ting: 1) krypteret alt information fra dem til dig, så det ikke er tilgængeligt for 3-part. 2) Forsøgt at sikre sig at du faktisk er dig og ikke en fremmed. Punkt 1) gøres ved almindelig kryptering (specifikt SSL). Formålet er ikke at forhindre folk i at "kopiere", men i _overhovedet_ at få ADGANG til data. Punkt 2 gøres (i jyske banks tilfælde) ved at give DIG mulighed for at dokumentere at du faktisk er dig. Det foregår ved at du skal indtaste: CPR-nummer, nøglekortsnummer, Et hemmeligt passeword OG et engangs-password fra dit nøglekort. Man skal altså have fat i alle ting for at kunne udgive sig for at være dig. D.v.s slå dig ned og aftving dig følgende: - Dit CPR-nummer (nogenlunde nemt) - Dit Nøglekort (det skal du passe på) - Dit hemmelige password (det har du forhåbentlig kun i hovedet - d.v.s. her skal ligefrem tortur til) Engangs-password'ene på nøglekortet er til for at forhindre at nogen skulle installere en "sniffer" i dit keyboard eller lign. Disse passwords kan altså kun bruges en gang. Sikkerheden i JyskeNetbank er høj. Det er samtidig nemt at bruge og lavet på en platform-uafhængig Java. Det gør det faktisk til et godt stykke "kram". Men tilbage til problemet. Banken antager altså at DU bruger de midler de har givet dig til at sikre dig at kun DU opretter forbindelse til banken. Når det sker er forbindelsen krypteret så den blotte ADGANG for 3. part er forhindret. Man kan altså ikke aflytte dine data (well.. hvis man installere en "sniffer" i dit grafik-kort, men det begynder at blive james-bond-agtigt). Endelig kan man SLET ikke ændre på din konto, da alle ændringer kræver brug af et engangs-password fra dit nøglekort, som du - forhåbentligt - holder for dig selv. Din transaktion med banken er derfor noget DU bestemmer hvem der skal have adgang til. "DU" har nøglerne og andre har ikke ADGANG. Til forskel, så er man jo med digital musik jo ikke interesseret i ikke at give brugeren ADGANG til musikken. Han skal jo kunne høre den. D.v.s. man bliver nød til på et eller andet tidspunkt at slippe "informationen" ud til brugeren. I meridian-anlæget foregår det først i højtaleren, men der er konsekvensen så også at anlæget ikke kan arbejde sammen med et åbent system som en PC. Skal du kunne afspille musik på en PC skal den ubeskyttede digitalt data på et eller andet tidspunkt behandles af operativsystemet. og med mindre du forbyder folk selv at programmere deres computer, så vil brugeren her have adgang til den digitale data. Når først han har det, så vil han kunne gøre hvad som helst med den. Alle "kopisikringer" vi ser idag er i virkeligheden forsøg på at forhindre ADGANG til data, men de fejler alle fordi man - i samspillet med en PC - altid bliver nød til at lave et lille hul for at det overhovedet kan afspilles. Det er man ikke nød til i forbindelse med din netbank. Der er man SLET ikke interesseret i at give NOGEN adgang til data - udover dig. Der vil altid være det hul at der under afspilning vil være ubeskyttet data til stede. Med DVD-film anså man ikke det problem for så stort da en rå film-data fyldte meget på datidens (1997) computere. Det er ikke tilfældet mere. Men et andet problem var også at man blev nød til at give brugerens computer nøglerne til at dekryptere indholdet - ellers ville brugeren jo ikke have adgang til filmen overhovedet. Netbanken giver ikke nogen andre end dig nøglerne til din konto. Hvorfor skulle de? De er jo ikke interesseret i at give nogen adgang. Det var man derimod med DVD/CSS ... brugeren skulle have adgang for at kunne se filmen, og det blev årsagen til at det ikke virkede. Tilsvarende er "CD-kopibeskyttelse" ikke en "kopispærring", men en "adgangsspærring". Man forsøger ikke at forhindre kopiering. Man forsøger at forhindre ADGANG på bestemte typer CD-drev. Problemet er bare at det erret tilfældigt hvilke drev man faktisk forhindrer adgang på, da man gør det ved at afvige fra CD-standarden ved at introducere fejl med vilje. For at illustrere at det er en "adgangspærring", så prøv at læg mærke til at du ikke findet ET ENESTE CD-drev hvor du kan afspille en "kopibeskyttet" CD, men ikke kopiere den. (well.. bortset fra dem uden digital-udgang). Svar på dine spørgsmål: - undervejs fra jb til mig? V.h.a. SSL-kryptering, der forhindre ADGANG og ikke kopiering - når de er i min pc? Banken stoler på dig. Og iøvrigt nytter det ikke noget at kunne læse dine data på din PC. For at kunne ændre på din konto skal man have dit nøgle-kort. Jeg håber at du kan se at problemstillingen ikke er den samme? Som du selv siger kan man ikke forhindre folk i at kopiere det digitale data på deres PC, hvis de overhovedet skal have adgang til det. Det man derimod kan gøre - som jeg tror er lidt det du har i tankerne - er at kryptere musikken specifikt til den enkelte bruger så kun han (d.v.s. hans nøgle) kan få adgang til den. Det drejer sig så om at gøre nøglen til noget brugeren ikke har lyst til at sprede (ala dit nøglekort). F.eks. i form at et borger-kort/digitalt sygesikringsbevis. Du kan godtnok ikke forhindre at man tager kopier af den ubeskyttede musik, mens den bliver afspillet, men du kan med steganografi (digitale vandmærker) spore hvor sådanne kopier kommer fra og dermed gøre det ret risikabelt at sprde musikken uautoriseret. Det er så her håndvævelsen igen kommer ind. Kazaa bliver ikke slået ihjel af dette. Det aktioner ala APG gøre. Tilgengæld vil det kunne blive meget nemmere at afgøre HVEM, der tog den første uautoriserede kopi af et stykke musik. Ja. §75c er den ang. "tekniske foranstaltninger". Hmm.. på en linie. Må jeg bruge en URL? :-) Den er ivejen for Open Source software af mange grunde. 1) Den fordrejer konkurrence og forstærker monopoler (Microsoft bl.a.) 2) Den forhindre Open Source udviklere i at dokumentere deres arbejde for hinanden. 3) Open Source er kraftigt afhængig af åbne standarder. §75c er i princippet et automatisk mini-patent til alle "kopisbeskyttelsesteknologier", der gør dem proprietære. (*) 4) Det her er en glidebane henimod et internet styret af f.eks. TCPA, hvilket effektivt vil betyde døden for Open Source. (*) Læg iøvrigt mærke til at alt JyskeNetbanks teknologi er baseret på åbne standarder. D.v.s. man kan sagtens lave kryptografisk sikre systemer med åbne standarder. Det er ikke det, der er problemet. Problemer er at det fundamentalt er umuligt at sikre noget digitalt imod kopiering som man alligevel gerne vil have brugeren skal have adgang til i et eller andet led. Navnlig på et åbent system som en PC. Jeg vil iøvrigt opfordre dig til at læse nogen af de links Erik og jeg har henvist dig til. Specielt "Den nødvendige digitale kopi" og IDFR's høringssvar ang. Open Source: http://www.kulturnet.dk/kulturnyt/nyhed_434.html http://www.digitalforbruger.dk/Members/apm/1038411511210208392/document_view m.v.h. Peter Mogensen |