Har I testet Nem-ID emailkryptering?

[John Erricsson]

Hej
Har nogen af Jer testet sikkerheden ved at benytte Nem-ID til at kryptere
email.

1.
Sker krypteringen ved at sende HELE emailen til nem-id serveren eller er
det kun en HASH som sendes?
I kan f.eks teste det ved at lave en email p� 3mb og s� overv�ge hvormange
mb der sendes fra lokalnettet til nem-id serveren. Hvis der sendes f.eks
ca, 4,5mb ud, s� er det sandsynligt at nem-id stj�ler hele emailen, gemmer
en kopi p� sin server, for s� at kryptere den og sende den til modtageren.

2.
Har i tillid til softwaren fra nem-id som man skal installere lokalt for at
kunne bruge nem-id til emailkryptering?
Programmet man skal downloade fra nemid.nu hedder NemID.exe
Har noget testet dette program for om det sniffer oplysninger, f.eks sender
en sysconfig, sniffer tastaturinput og andre fjendtlige ting?

3.
Undrer det Jer ikke at NemID undlader at vise brugeren en komplet
aktivitetslog p� selvbetjeningen p� nemid.nu
F.eks en log ordnet kronologisk, som viser sorterbare felter med IP,
browserheader, anvendt n�gle, osv
Systemet er egnet til at magthaverne kan tjekke dig ud ved at logge ind p�
borgerne.dk, sundhedsstyrelsen, banker, e-boks, osv og sniffe dine
oplysninger UDEN at efterlade sig synlige spor som du selv kan opdage.
Magthaverne kan endda stj�le dine penge fra banken, s�lge din ejerbolog,
tinglyse/aflyse, melde flytning, osv.

Magthaverne har i Nem-ID et v�rkt�j til ultimative forbrydelser og
justitsmord mod borgerne.

En dommer vil ved en efterf�lgende retssag v�re for dum og borgerfjendtlig
til at forst� hvad der reelt er sket, og du kan ikke l�fte bevisbyrden p�
en m�de s� en it-inkompetent dommer kan forst� begivenhederne.


Hilsen John

[Hvem Ved]

John Erricsson wrote:
> Hej
> Har nogen af Jer testet sikkerheden ved at benytte Nem-ID til at
> kryptere email.
>
> 1.
> Sker krypteringen ved at sende HELE emailen til nem-id serveren eller
> er det kun en HASH som sendes?

> I kan f.eks teste det ved at lave en email på 3mb og så overvåge

> hvormange mb der sendes fra lokalnettet til nem-id serveren. Hvis der

> sendes f.eks ca, 4,5mb ud, så er det sandsynligt at nem-id stjæler
> hele emailen, gemmer en kopi på sin server, for så at kryptere den og

> sende den til modtageren.
>
> 2.
> Har i tillid til softwaren fra nem-id som man skal installere lokalt
> for at kunne bruge nem-id til emailkryptering?
> Programmet man skal downloade fra nemid.nu hedder NemID.exe
> Har noget testet dette program for om det sniffer oplysninger, f.eks
> sender en sysconfig, sniffer tastaturinput og andre fjendtlige ting?
>
> 3.
> Undrer det Jer ikke at NemID undlader at vise brugeren en komplet

> aktivitetslog på selvbetjeningen på nemid.nu

> F.eks en log ordnet kronologisk, som viser sorterbare felter med IP,

> browserheader, anvendt nøgle, osv

> Systemet er egnet til at magthaverne kan tjekke dig ud ved at logge

> ind på borgerne.dk, sundhedsstyrelsen, banker, e-boks, osv og sniffe

> dine oplysninger UDEN at efterlade sig synlige spor som du selv kan

> opdage. Magthaverne kan endda stjæle dine penge fra banken, sælge din

> ejerbolog, tinglyse/aflyse, melde flytning, osv.
>

> Magthaverne har i Nem-ID et værktøj til ultimative forbrydelser og
> justitsmord mod borgerne.
>
> En dommer vil ved en efterfølgende retssag være for dum og
> borgerfjendtlig til at forstå hvad der reelt er sket, og du kan ikke
> løfte bevisbyrden på en måde så en it-inkompetent dommer kan forstå
> begivenhederne.

Er du ikke bare ude på at skabe splid

[Axel Hammerschmidt]

John Erricsson <JohnEr...@hotmail.hot> wrote:

> Hej
> Har nogen af Jer testet sikkerheden ved at benytte Nem-ID til at kryptere
> email.

Nej. Jeg har fravalgt det og nåede lige at få et nyt OCES certifikat
inden de - Nemid - lukkede for muligheden. Mit nye OCES certifikat
udløber først til april 2013. Certifikatet kan hentes fra certifikat.dk

Jeg bruger dog Nemid til netbank.

Nemid til home banking var et skridt tilbage i forhold til Danske Banks
netbankløsning med Active Card. Men man er tvunget til at benytte Nemid
ved home banking. Det kan vel lige gå an :-(

Banken har alligevel overtaget risikoen.


--
Ikke ham på Facebook.

[John Erricsson]

On Tue, 17 Jan 2012 22:15:59 +0100, Axel Hammerschmidt wrote:

> Nej. Jeg har fravalgt det og nåede lige at få et nyt OCES certifikat
> inden de - Nemid - lukkede for muligheden.

Øh lukkede for muligheden? Kan du ikke bare tilføje certifikatet en email
hos Nem-ID og downloade dit nye OCES2 certifikat?

> Mit nye OCES certifikat
> udløber først til april 2013.

Men du får et nyt ved at tilknytte emailkryptering.

> Certifikatet kan hentes fra certifikat.dk

Ja men ikke din privatekey.

> Jeg bruger dog Nemid til netbank.

Ja for du har ikke andre muligheder, fordi magthaverne vil kunne se dine
bankforretninger og formue, og hvis din formue er betydelig vil de forsøge
at stjæle og frarøve dig pengene. Det gør de med falske skatteanklager,
falske straffelovsovertrædelser og falske anklager om terrorfinansiering og
hvidvask.

> Nemid til home banking var et skridt tilbage i forhold til Danske Banks
> netbankløsning med Active Card. Men man er tvunget til at benytte Nemid
> ved home banking. Det kan vel lige gå an :-(

Nææ, jeg synes ikke at det kan gå an, at statskriminelle får adgang til
private oplysninger bag ryggen på folk, uden at IT indbruddet kan ses af
mig som bankbruger.

> Banken har alligevel overtaget risikoen.

Tror du virkeligt det. Læs pengeinstitutklagenævnets afgørelser og du vil
opdage at du er retsløs.
Læs vilkårene for Nem-ID og du bliver chokeret, især over "manglerne" og
sikkerheden.

Jeg kan også godt garantere dig, at de fleste banker allerede HAR sniffet
dit Nem-ID password og allerede har benyttet netbankgateway'en til at
sniffe dine dokumenter i e-boks.

Jeg har oplevet at en bank ved førstegangsbrug af netbanken, havde en falsk
Nem-ID login i et JavaScript som sniffede passwordet. Selvom jeg tastede
det rigtige password, så opstod en fejlmeddelelse og jeg fik nu en ny
mulighed for at taste userid og password - men denne gang det korrekte
loginscript til Nem-ID serveren. På denne måde fik banken lokket mit
password ud af mig. Nu kan de så kreditvurdere mig bedre ved at logge ind
andre banker for at se posteringerne og detaljerne, UDEN brug af nøglekort,
idet alle SDC netbankerne nu giver den mulighed trods flere protester fra
borgere.

Magthaverne har derudover formlen til at generere masternøgler udenom
nøglekortet og bruge dem udenom serverloggen. Hvorfor tror du eller at
Nem-ID serveren opbevarer både privatekey, publickey, userid og password -
SAMTIDIGT. I en sikker konstruktion, ville privatekey alene ligge hos
brugeren.

OG hvorfor tror du at Nem-ID undlader en komplet aktivitslog overfor
brugeren.

Og hvorfor tror du at Nem-ID undlader at give dig mulighed for offline
kryptering af emails.

Hilsen John

[Rune Jensen]

On 17 Jan., 17:00, John Erricsson <JohnErrics...@hotmail.hot> wrote:

> Magthaverne har i Nem-ID et v rkt j til ultimative forbrydelser og
> justitsmord mod borgerne.

Jeg er ikke så bange for "magthaverne", som jeg er for, at autoriseret
personel skal bryde ind.

Tænk på f.eks. Per Stig Møllers spritdom, som _burde_ have været
slettet, men som aldrig blev det. Og det var endda med meget midre
sofistikeret sytem og meget færre data samlet.

At lægge alle oplysninger samme sted, bankinfo, sygehistorie,
økonomisk/skatte-historie osv. det opfordrer endnu mere til den slags.

Det opfordrer også til monopoldannelse, som i sidste ende vil gøre alt
dyrere, og standse alt konkurrerende udvikling, når ét system får
ansvar for samtlige data. Hvem ejer NemID? Er det staten eller
bankerne?

Har ikke selv det lort, og skal aldrig nogensinde have det.

De prøve at prakke mig det på via E-boks, fandeme nej. Ikke engang om
så de torterer folk til det, vil jeg eje det.


MVH
Rune Jensen

[Axel Hammerschmidt]

John Erricsson <JohnEr...@JohnErricsson.hot> wrote:

> On Tue, 17 Jan 2012 22:15:59 +0100, Axel Hammerschmidt wrote:
>
> > Nej. Jeg har fravalgt det og nåede lige at få et nyt OCES certifikat
> > inden de - Nemid - lukkede for muligheden.
>
> Øh lukkede for muligheden? Kan du ikke bare tilføje certifikatet en email
> hos Nem-ID og downloade dit nye OCES2 certifikat?

Den løsning jeg nu har virker på helt samme måde som den gamle løsning
fra TDC - indtil april 2013.

<znip: en masse vrøvl>

> Og hvorfor tror du at Nem-ID undlader at give dig mulighed for offline
> kryptering af emails.

Den mulighed har jeg (stadig) med mit nuværende OCES certifikat. Det
virker som sagt på helt samme måde som den gamle løsning fra TDC. Og min
private nøgle ligger (stadig) her hos mig.

[John Erricsson]

On Wed, 18 Jan 2012 23:46:27 +0100, Axel Hammerschmidt wrote:

> Den mulighed har jeg (stadig) med mit nuværende OCES certifikat. Det
> virker som sagt på helt samme måde som den gamle løsning fra TDC. Og min
> private nøgle ligger (stadig) her hos mig.

Jeg kunne også bedre lide OCES version 1, men man får desværre ikke lov til
at forny certifikatet. Du må have fået det fornyet 2år lige inden der blev
lukket for det.

Men du ved tydeligvis intet om OCES2 som var emnet, så du skal finde en
anden at bodegasnakke med :-D

[John Erricsson]

On Wed, 18 Jan 2012 08:04:44 -0800 (PST), Rune Jensen wrote:

> Hvem ejer NemID?

Det gør PBS og bankerne har en ejerandel.
Bankerne ejer også en del af e-boks og af de to datacentraler SDC og BEC
(som nu er sammenlagt).

Det udgør et alvorligt sikkerhedsproblem, at en privat virksomhed ejer
Nem-ID og e-boks.

Det burde være en selvejendende institution med særlige lovreguleringer.

Hilsen John

[Axel Hammerschmidt]

John Erricsson <JohnEr...@JohnErricsson.hot> wrote:

> On Wed, 18 Jan 2012 23:46:27 +0100, Axel Hammerschmidt wrote:
>
> > Den mulighed har jeg (stadig) med mit nuværende OCES certifikat. Det
> > virker som sagt på helt samme måde som den gamle løsning fra TDC. Og min
> > private nøgle ligger (stadig) her hos mig.
>
> Jeg kunne også bedre lide OCES version 1, men man får desværre ikke lov til
> at forny certifikatet. Du må have fået det fornyet 2år lige inden der blev
> lukket for det.

Næh. Danid lukkede først for nyt OCES i maj 2011. Man kunne ikke forny,
men man kunne oprette et nyt OCES cert.

Først ville Danid ikke lægge mit public OCES på certifikat.dk. De kom
med mange tekniske undskyldninger. Så klagede jeg til IT- og
Telestyrelsen. De var nu heller ikke meget for at handle og kom osse med
en masse udenomssnak - man kunne det ene og det andet. Men til sidst lå
certifikatet da på certifikat.dk :-)

> Men du ved tydeligvis intet om OCES2 som var emnet, så du skal finde en
> anden at bodegasnakke med :-D

Jeg ved man skal holde sig fra kryptering med Nemid og det er osse
derfor min follow-up lyder:

: > Har nogen af Jer testet sikkerheden ved at benytte Nem-ID til at
: > kryptere email.
:
: Nej.

HTH

[John Erricsson]

On Thu, 19 Jan 2012 02:29:39 +0100, Axel Hammerschmidt wrote:

> Næh. Danid lukkede først for nyt OCES i maj 2011. Man kunne ikke forny,
> men man kunne oprette et nyt OCES cert.

Ahaaaa

> Først ville Danid ikke lægge mit public OCES på certifikat.dk. De kom
> med mange tekniske undskyldninger.

Typisk

> Så klagede jeg til IT- og
> Telestyrelsen. De var nu heller ikke meget for at handle og kom osse med
> en masse udenomssnak

Helt normalt. De er ligesom Datatilsynet totalt håbløst IT-inkompetente.

> Jeg ved man skal holde sig fra kryptering med Nemid

Enig

Hilsen John

[John Erricsson]

On 19 Jan 2012 01:13:59 GMT, Jesper Lund wrote:

> Du stiller det forkerte spørgsmål.. Email softwaren er ikke særlig
> interessant, og du installerer faktisk allerede software på XXX.exe
> niveau når du bruger NemID Java appletten, altså uden email kryptering
> (pudsigt eftersom NemID jo blev markedsført på at der ikke skulle
> "installeres" noget, modsat den gamle signatur aka OCES 1).

Nemlig og jeg arbejder også på at sikre mig mod Java appletten. Dels vil
jeg sætte en Ubuntu op som ikke indeholder private datafiler, og så bruge
den til Nem-ID logins.
Dels vil jeg opsætte en virtuel og total strippet Windows i VirtualPC eller
VMware. Så skulle Java app'en ikke kunne stjæle noget af betydning :-)


> Det som giver sig ud for at være en uskyldig (signeret) Java applet er i
> virkeligheden en bootloader, som downloader native code til hhv. Windows,
> MacOS og Linux, og gemmer denne native code i GIF filer (derfor ser du
> ingen .exe filer).

Ja jeg har observeret at der oprettes to foldere i windowsbrugerprofilen
som hedder .oces og .oces2 med Java app´s og zippede konfigurationsfiler.
Samt 2 logfiler "danid.log" og "danid.log1" som ikke indeholder klartekst.

Hvis folderen .oces2 og filen danid.log slettes, vil de blive oprettet igen
når Nem-ID benyttes. Der overføres 6 java app´s til brugeren.

Hvilke andre steder placerer danid filer?
Jeg ser ingen giffer i .oces2 ?


> NemID trojaneren indsamler derefter oplysninger om din
> computer og sender dem til DanID, naturligvis uden dit samtykke.

Vi skal vel også over i de muligheder som Oracles Javaplatform giver
programmørerne.
1. Kan de optage skærmbillederne og sende dem
2. Kan de benytte webcam'en uden aktivitetslyset afslører det
3. Kan de stjæle enhver fil
4. Kan de stjæle alle tastaturinput og dermed brugerens password til Nem-ID


> Læs mere her
> <http://www.version2.dk/artikel/danid-ja-vi-staar-bag-de-fire-skjulte-
> programfiler-i-nemid-32745>
>
> DanID vil ikke fortælle os hvad de indsamler af oplysninger
> <http://www.version2.dk/artikel/frygter-hackere-danid-vil-ikke-loefte-
> sloeret-nemid-checksum-32910>
>
> Disse detaljer kom selvfølgelig *kun* frem fordi DanID blev afsløret med
> bukserne ned. DanID har hele tiden fortalt os at Java appletten skulle
> være signeret for at skrive til danid.log, hvilket er en noget lemfældig
> omgang med sandheden. NemID appletten skal være signeret for at fungere
> som bootloader, og have adgang til at indsamle oplysninger om din
> computer.

Det er udenfor enhver tvivl at Danid er rådne og fyldt med løgn.
Da magthaverne tvinger os til at bruge Nem-ID må vi bare indrette vores
computere således, at de oplysninger som danid´s trojanere stjæler, ikke er
kompromitterende på nogen måde.

Vil Java være mere restriktiv i Ubuntu ?

Hilsen John

[Kent Friis]

Den Thu, 19 Jan 2012 11:03:15 +0100 skrev John Erricsson:
> On 19 Jan 2012 01:13:59 GMT, Jesper Lund wrote:
>
> Vil Java være mere restriktiv i Ubuntu ?

Var det Ubuntu der havde en "opdatering" til Java der afinstallerede
skidtet, da Oracle ændrede licensen så de ikke længere måtte tilbyde
automatisk opdatering?

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

[Kent Friis]

Den 19 Jan 2012 23:30:52 GMT skrev Jesper Lund:

> Kent Friis wrote:
>
>> Var det Ubuntu der havde en "opdatering" til Java der afinstallerede
>> skidtet, da Oracle ændrede licensen så de ikke længere måtte tilbyde
>> automatisk opdatering?
>

> Ja, men det vil ikke gøre nogen forskel at du kører OpenJDK/Icedtea på
> Linux. NemID appletten vil stadig downloade native code (.so maskeret som
> GIF) som afvikles med fulde brugerrettigheder..

Har du forsøgt? Andre påstår at Nem-ID checker Sun-specifikke
funktioner, for at sikre at det er den officielle Java man bruger.