Hur använda BankID med Linux 64 bitar?

@NodCommander:
Har du något exempel om hur det skulle gå till att göra det enbart som en webbapp? Du behöver ju ha något slags certifikat eller liknande som gör att du inte enbart med lösenord på en ny dator kan komma åt ditt BankID.

Rent tekniskt är den nya BankID-lösningen mycket bättre än den tidigare då man nu slipper plugin i webbläsaren och är webbläsaroberoende. Nackdelen är ju som många påpekat att själva appen inte finns till linux mm. Den nya lösningen har ju dock gjort så att Mobilt BankID fungerar på många fler ställen än tidigare då implementationen för webbplatsen för att hantera de olika sorterna av BankID:n nu är likadan. Att Mobilt BankID inte fungerar överallt nu är enbart ett beslut hos den individuella parten som aktivt valt att inte tillåta dessa.

Håller helt med om att handelsbanken behöver fixa till så att de tillåter andra BankID än deras BankID på kort utgivna av dem själva. Ur säkerhetsperspektiv kan det dock deras beslut motiveras då dom inte har koll på utgivningen av BankID hos andra parter än dom själva. Det kan dock lösas genom att man med sitt BankID på kort godkänner att ens andra BankID:n är korrekt utställda till en själv.

I grunden så är bankid en certifikatsutgivare och deras applikationer certifikathanterare så inte särskilt annorlunda än vilken certleverantör som helst särskilt inte när dom går till standard federatationsprotokoll för kommunikationen

Implementationsmässigt så får man alla sorters BankID:n på samma gång, det är bara konfigurering som skiljer om vilka man vill tillåta. Om det sen finns nån sida som inte stödjer Mobilt BankID så har dom gjort ett aktivt val att inte stödja detta.

Det finns något som heter fribid. https://fribid.se/
Jag minns inte om jag fick det att funka. Bankid i windows verkar stödja 64 bit browsers nu i alla fall.

Sorry men MS-Forum that way http://www.sweclockers.com/forum/22-microsoft-windows för du är i linuxdelen men argumenterar emot linux grundprinciper. Men visst öppna protokoll fungerar inte för hela internet är ju ett under av icke funktion eller?

Hur ska du ha det? Först säger du "nej, det gör att du litar mindre på den" och direkt efter "vem du litar på är totalt irrelevant". Vad gäller?

För det första, banker kör öppen källkod i stor utsträckning. Just eftersom de är säkerhetsmedvetna. För det andra, vad man litar på är i allra högsta grad relevant. Hela idén med ID, digitalt eller inte, och kvalifikationer, underskrifter, legitimerade yrken, krypterade peer-to-peer-kopplingar, certifikat o.dyl är att detta är ett stöd för tilliten. Det är liksom hela poängen. Fundera på varför en certifikatutgivare är en TTP, Trusted Third Party. "Trusted" handlar om tillit och vad man litar på.

Det du talar om har ingenting med öppen eller stängd källkod att göra. Absolut ingenting.

Detta har ingenting med öppen eller stängd kod att göra.

Nej, tvärt om. Mjukvara ö.h.t. kan bara betraktas som säker för dig om du faktiskt vet vad den gör. Detta gäller alla och alla parter, alltid. Det spelar ingen roll om mjukvaran är öppen eller stängd, men öppen mjukvara gör på ett naturligt sätt det enklare för alla parter att faktiskt veta vad mjukvaran gör. Men den största fördelen är att denna princip inte bygger på att alla faktiskt kan/vill läsa koden, utan själva möjligheten ökar förtroendet.

Så, du har vänt uppochner på allting. För stängd mjukvara så *måste* alla inblandade veta hur den fungerar för att lita på den, för öppen mjukvara behövs inte detta, så själva öppenheten i sig förser med detta lager av tillit.

Vad talar du om?

Vad yrar du om? "Därför måste man ha det låst" är en komplett non sequitur.

Allvarligt, jag tror inte du förstår hur detta fungerar på ett principiellt plan. Alls. Vet du ö.h.t. vad ett certifikat är? Varför man har sådana? Förstår du vari säkerheten ligger i dylika system? Säkerheten och tilliten ligger inte i källkoden och det vore fel om någon kryptografisk hemlighet vore inbyggd i källkoden. Det vore ett väldigt, väldigt allvarligt säkerhetshål. Det är därför man litar mer på öppna lösningar och det är därför det finns öppna standarder (som även slutna program använder sig av).

Du pratar i nattmössan. Vad är det för bestämmelser du talar om? Skydd mot EMP? Du vet väl att även hårdvara kan vara öppen (OSHW)? Du vet väl att även hårdvara kan studeras?

Ja, jag vet det nog bättre än du. Allting är inte buggar och säkerhetsinformatik medför tillit. Nu råkar det ju vara så att tilliten till ett öppet system faktiskt är större än till ett stängt. Det vet industrin och bankerna, varvid de kör öppet. Däremot tror de att vi användare inte bryr oss så de bryr sig ej heller när det kommer till gränssnittet mellan bank och kund, aka BankID.

Du förstår väl att projekt som "FreeId" eller vad det nu hette stoppas på implicit juridiska grunder, inte säkerhetsmässiga? För det vore en smal sak att disassemblera e.dyl, koden och protokollen. Men om BankID inte vill släppa sina protokoll så medför det att andra aktörer kan få juridiska problem med att använda dem.

Vilket är märkligt och komiskt. Det råkar ju vara så att protokoll och standarder som alla litar på är öppna och just det, standardiserade, t.ex. PKCS-standardena. Så frågan blir, vad gör BankID som inte tål granskning?

Det finns bara två möjligheter här:
1) BankID kör med helt öppna standarder, men vill ha koden stängd för att utestänga konkurrens. Den oetiska förklaringen.
2) BankID kör med en hemmakokt lösning, fri från peer-review, standardisering och rigorös testning. Den osäkra förklaringen.

I båda fall litar ju den som förstår det minsta av detta mindre på BankID än om det vore öppen källkod. Ingen av förklaringarna har med säkerhet att göra och ingen ändrar vem som tar ansvaret. Det är fullt möjligt att ta/ha ansvaret för förluster och ändå köra med öppen källkod. Bankerna kör så redan idag. Banker har givetvis ett zoo av datorer, operativsystem och programvara av allehanda licenser. Men banker har faktiskt begripit tidigt att öppen mjukvara ökar säkerhet och framförallt tillit. Utan att ansvaret skiftar på något sätt.

Du talar i nattmössan.

Förstår du vad "öppen källkod" i sammanhanget är? Det handlar inte bara om kodrader som du kanske, kanske inte, kan granska. Det handlar om att följa standarder, om att mjukvaran som helhet är dokumenterad och att de som faktiskt kan granska. Ett osäkert program som är öppen källkod blir snabbt exponerat. Inte minst om man kan se att standarder inte följs. Standarder som är öppna.

Ännu en gång nu: det där har ingenting med öppen eller stängd mjukvara att göra. Du talar i nattmössan. Detta handlar om tillit, och den är större till öppna lösningar. Bankerna har ett jätteincitament att ta ansvaret när du blir utsatt för kortbedrägeri eller när ditt konto blir hackat. De har lagen på sig, de har hela tillit-biten på sig. Det är bättre att ta hand om problem i tysthet än att basunera ut att "vi kör med osäkra lösningar". Detta beror inte av öppen eller stängd mjukvara. Återigen, bankerna kör i regel kritiska system med mer eller mindre öppen mjukvara, t.ex. linux eller *BSD som operativsystem.

Dina "garantier" har inte ett smack med mjukvaran att göra.

Men snälla någon! Återigen snackar du om en sak och drar slutsatser kring en helt annan. Det där är lika korkat som att säga "jag ska skjuta någon med min OSHW-pistol och kommer aldrig bli fälld, för pistolen är öppen".

Ett oändligt rant som har nil med BankID att göra? När du inte klarar av att förklara varför öppen källkod på något sätt skulle ändra BankIDs ansvar, så börjar du ranta om att det finns "100-tals linuxdistar"? Vad har det med saken att göra? Ingenting!

Nej, det tror jag inte. Hur så? Hur sa? Det har ingenting med någonting att göra vad jag kan se!

Vilken är punkten? Menar du den punkten där du objektivt har fel eller den punkten som inte har med saken att göra?

Ja, och därför är din position så obegriplig. Nu säger du plötsligt "öppen eller stängd källkod spelar mindre roll". Gott så, du tycks nu ha förstått att distinktionen öppen eller stängd kod inte har med ansvarsbiten att göra.

Dessutom hoppas jag att du förstår att banker (och BankID) "tar ansvar" eftersom de är tvingade till detta av s.k. CYA-säkerhetsskäl, dvs "cover your ass-security". Banker vill *inte* att hackerattacker, kontokortsbedrägerier, ID-stölder osv ska bli offentliga eftersom det är väldigt, väldigt dålig PR.

Säkerhet på riktigt handlar alltid om incitament. Incitamenten kan vara positiva (vinning), negativa (dålig publicitet, böter, etc), juridiska, bra eller dålig, etiska eller oetiska, men det handlar *alltid* om just incitament. Bankerna har traditionellt och kommer även fortsättningsvis ersätta dig för ekonomisk skada så länge det är billigare än att fixa säkerheten. Incitamentet här är vad som är ekonomiskt och publicitetsmässigt gångbart, helt enkelt. Man väljer alltid säkerhetslösningar som man förlorar minst på att använda. Bankernas säkerhet är ej heller din säkerhet, så några större incitament för att skydda dig från skada utifrån ID-stöld är mycket mindre.

Öppen eller stängd källkod har *ingenting* med dessa incitament att göra, förutom att det ligger i *ditt* intresse att lösningar som vänder sig till dig är öppna, oavsett om du förstår dig på koden eller har tid eller inte tid att sätta dig in i den. Öppen källkod har, som jag tidigare förklarade, en högre grad av tillit i själva öppenheten. Jag talar om din tillit till mjukvaran, inte bankens. Och jag talar också om din rationella tillit, inte din tveksamhet eller osäkerhet som bygger på vad du själv tror eller inte tror om produkten. Alltså den tillit du teoretiskt skulle ha med full insyn.

Jepp, och det är precis så det fungerar. Fast det har ju som sagt ingenting med källkodens licens eller följande av standarder att göra, förutom att standarder och öppenhet är en väsentlig del i all säkerhetsarkitektur. Hemligheter förutom nycklar/lösenord, är inte säkerhet. Tvärt om. Så fort någon minsta lilla pyttedel av säkerheten beror av något annat än nycklar/lösenord/token/fingeravtryck (devisen "något du vet, något du har, något du är") så medför det en inbyggd osäkerhet. Enda sättet att garantera att så inte sker är att källkoden är öppen. Det beror INTE på huruvida någon faktiskt läser koden eller inte. Det handlar bara om ett förhållningssätt. Öppen kod och öppna standarder medför att ingen kommer på den felaktiga "idén" att bygga in hemligheter i den biten. Hemligheten ska helt och fullt vara i lösenordet/nyckeln/dongeln/fingeravtrycket/etc.

Det där är mer en lovligt osammanhängande. Det har ingenting med saken att göra. En helt annorlunda sak. Varför har vi konkurrerande banker? Att flera banker samlas kring en gemensam standard och gemensamma protokoll är ju ingenting som kan misstas för järnvägens problem. Vad tusan yrar du om?

Säkerheten är en "commodity", och det spelar ingen roll vem som är leverantören av X är så länge X är standardiserat och öppet. Det är inte jag som försvarar flera parallella system, det är DU som gör det genom att argumentera för att det skulle vara någon poäng i att ha slutna system. Det är alltså DU som i detta läge försvarar järnvägens problem, inte jag. Få koll på dina liknelser tack!

Jupp, det är fel uppfattning. Stängd kod kan bara öka risken att ställa till problem, aldrig minska den. Och nej, det spelar ingen roll om koden är öppen eller stängd, den är precis lika lätt att manipulera ändå. Det handlar bara om ett ytligt skydd. Stängd kod är inte alls "hemlig", den är obskyr och säkerhet genom obskyriteter är ingen säkerhet alls.

Om säkerheten kan minskas genom "manipulering av koden" så betyder det att säkerhetsarkitekturen var fel. Alltså är det mycket bättre att ha koden öppen, varvid sådana problem blir uppenbara. Men chansen att de ö.h.t. byggs in i koden blir minimal med öppen kod eftersom det liksom är självmotsägande att ha hemligheter i öppen kod. Med stängd kod finns alltid lockelsen att "ingen orkar nog ändå debugga detta".

Stängd kod är inte alls som patent. Patent är öppna, det är hela syftet med patent. Du kan ha patentskyddad kod i öppen mjukvara, inga problem. Patent betyder att du berättar för omvärlden precis vad du gör och får juridisk ensamrätt. Alltså att du INTE håller saken hemlig eller stängd.

Vidare, stängd källkod är att betrakta som dålig. Per "default". Stängd källkod förhåller sig till öppen källkod precis som anekdotisk bevisföring förhåller sig till peer-review. Det förra betraktas som pseudovetenskap och det senare är hur vetenskapen fortskrider.

Nej, nej, nej! Vi VILL att "exploiter" ska bli synliga så tidigt som möjligt. Grundantagandet är nämligen att finns det en sårbarhet så känner fienden till det. Kerchoffs princip igen, "the enemy knows the system".

Det är bra mycket bättre att alla känner till ett säkerhetshål än att upptäckandet av sådana kräver olaglig disassemblering varvid bara skurkar tillskansar sig den kunskapen. Det absolut dummaste antagandet man kan göra är att tro att säkerhetshål förblir oupptäckta.

Den svaga länken i public key-infrastruktur (PKI) är "CA" eller "TTP". Detta är nästan aldrig en myndighet och här är det 100% tillit som gäller. Detta har återigen inte ett smack med öppen eller stängd kod att göra, förutom att TTPer bygger upp det förtroende de har genom att följa öppna, granskade och publicerade standarder och gör allt för att inte bygga in hemligheter i implementationerna. Hela säkerhetsarkitekturen, hela grejen kring kryptering med nyckel, RSA, PKI, PKCS, osv bygger på öppenhet, på Kerchoffs princip och nästan alla implementationer är baserade på öppen källkod. Av uppenbara skäl, för sådana som sysslar med sådant här.

Jag förstår inte vad du menar? Litar du mer på stängd kod än på myndigheter som propagerar för öppna standarder? Litar du mer på stängd kod än på öppen kod rakt av? Tror du att öppen källkod är på tvärs med myndigheternas roll? Återigen verkar du blanda ihop saker huller om buller.

Säker kod är öppen kod. Oavsett om någon granskar den eller ej. Detta är lätt att missförstå, men tänk på att kod som är tänk att publiceras och dokumenteras garanterar att ingen får för sig att bygga in hemligheter i den. Vi vet ju att hemligheter inte ska finnas i en implementation, vi VET att hemligheten helt och hållet ska vara i nyckeln. Detta vet ju myndigheterna också, och bankerna. Så jag förstår inte vad du fiskar efter. Dessutom, som jag sade tidigare, att du är skyddad mot ekonomisk skada när du använder BankID beror INTE på BankID-programmens kvalité, utan helt och hållet på incitament. Så länge banken har incitament att skydda dig (rädsla för dålig publicitet) kommer de att så göra. Bekymret är att du "litar" på helt fel sak. Om det vore lönsammare/möjligt för banken att ta publicitetssmällen och låta dig ta den ekonomiska smällen så kommer de gladeligen att så göra. DIN säkerhet ligger alltså slutligen möjligtvis på kvalitén hos BankID, men det som skyddar dig är bankens incitament. Det är farligt att ha en diskrepans i sin säkerhetsuppfattning. Det är alltså skillnad mellan upplevd säkerhet och verklig säkerhet. Bankens incitament borde vara att BankID aldrig får komprometteras, vilket skulle förutsätta att själva säkerhetsarkitekturen vore öppen. Då skulle bankens och dina incitament överensstämma.

Återigen, hindret från en öppen implementation är inte att hemligheter hålls hemliga, för det är naivt att så tro. Hindret är enbart fiktivt juridiskt. Man får helt enkelt inte göra en kopia av BankID. Skulle någon säkerhet bygga på hemligheter i BankID så skulle alltså BARA kriminella faktiskt kunna utnyttja det.

Det finns ingen säkerhet i att hålla källkod stängd. Tvärt om, man bör betrakta stänga program som osäkra. Grundantagandet är att man stänger ett program för att man har något att dölja. Alltså, de allra viktigaste applikationerna att hålla öppna är säkerhetsapplikationer. Krypteringsmjukvara, certifikathanterande mjukvara, mjukvara som hanterar pengar, osv. Och de ska bygga på erkända standarder som AES, RSA och SHA2 och man VILL att säkerhetsbrister ska vara så kända som möjligt.

Posten lämnar inte ut några körkort, de bara transporterar dom som vilka andra spårbara försändelser som helst. Körkort kommer i vanliga rekommenderade brev, som lämnas ut av postombuden enligt samma förfarande som om jag skulle skicka ett rekommenderat brev till dig (visa leg + signera).
Personalen som lämnar ut dom är alltså anställda på t ex ICA eller Coop.

Skickades från m.sweclockers.com

Swish för företag kostar pengar redan idag.

Är du säker på detta? Mig veterligen så stöds inte den gamla lösningen längre så den borde inte fungera.

Är du säker på detta? I Sverige är det väl inte olagligt att disassemblera koden och protokollen? Vilka lagparagrafer reglerar detta?

Är mer troligt att det är för att kunna sälja svart, då det är mycket enklare vid kontantförsäljning.

Finns ingen seriös pizzeria som inte tar kort.

Skickades från m.sweclockers.com

Nej, det är troligtvis inte olagligt. Men på samma sätt som att EULA inte är juridiskt bindande (det ska vad jag förstår aldrig ha prövats i någon domstol och inte ens i USA är det självklart att EULA är något man godkänner genom att klicka "ok") är det juridiskt hämmande. Det räcker alltså med själva misstanken om att någon kan reagera och ta till advokater för att många saker som i princip skulle vara lagliga eller åtminstone oprövade aldrig genomförs. Du får fråga de som skulle utveckla de där "freeID" om varför de inte fullföljde. Det är ju givetvis så att det inte kan bero på att det skulle vara stört omöjligt att ta sig igenom stängda binärer. Så om inte hindret är internt (dvs exempelvis avsaknad av resurser för att disassemblera) så är det juridiskt. Fiktivt eller verkligt. Jämför med att det inte är tillåtet att diskutera piratkopiering här på forumet, för att avlasta moderatorerna så att de inte behöver vara experter på lag för att veta om något är tillåtet eller ej. Enklare då att falla till föga och mer konsekvent förbjuda diskussioner som implicerar innehav.

Alltså, det jag försöker säga är att det troligtvis inte är förbjudet att disassemblera och det skulle förvåna mig om det fanns någon sådan generell lagparagraf. Däremot är det precis som med fallet "EULA" något som effektivt förhindrar sådant och denna effekt är ju också "juridisk". Det räcker ju med att BankID "förbjuder" disassemblering i deras användaravtal. Så, ja, orsaken kan vara juridisk och nej, det finns nog ingen lagparagraf.

Personligen tycker jag att låtsaslagar av detta slag mer eller mindre är till för att brytas, av ren princip.