Kapitel 1. Baggrund

Baggrunden for udarbejdelsen af denne bog er at indførelsen af digitale signaturer og certifikater i Danmark er hastigt undervejs. I fremtiden må vi forvente at det i en vis udstrækning vil være nødvendigt at have et digitalt certifikat hvis man som borger vil anvende det offentliges digitale tilbud.

Dette er egentlig ganske udemærket, men hvis man i øjeblikket gerne vil erhverve og anvende et digitalt certifikat under Linux, vil man opleve at de fleste udstedere forventer at man anvender Microsoft Windows. Deres procedurer og vejledninger er derfor målrettet imod denne platform.

Derfor denne bog – hensigten er at forklare hvad der skal til for at erhverve og anvende digitale certifikater under Linux. På sigt er det meningen at bogen skal dække alle certifikatudstedere af betydning i Danmark, men foreløbig er kun Kommunedata (KMD-CA) dækket. Andre udstedere er TeleDK og EuroTrust. I dette kapitel præsenteres digitale certifikater og signaturer kort, og derefter bliver KMD-CA kort præsenteret.

1.1. Digitale certifikater og signaturer

Hvis man ikke er bekendt med kryptografi teknologi, kan det være lidt vanskeligt at forstå hvad digitale certifikater og signaturer er for nogen størrelser. Jeg vil her give en meget simplificeret fremstilling.

En digital (eller elektronisk) signatur er en slags underskrift, der giver mening i "det digitale rum". Normalt – i den virkelige verden – signerer vi os som regel med noget der minder om bogstaver i en bestemt kombination, eventuelt med en række krummelyrer og andre streger. En sådan signatur, som antages at være personlig, anses for værende juridisk bindende i en række situationer, men faktisk accepteres den ikke alene i mange sammenhænge. Hvis man vil være virkelig sikker, skal ens navn som regel også angives og jævnligt vil det være nødvendigt at vidner skriver under (f.eks. ved indgåelse af ægteskab) på at man er den man udgiver sig for at være.

I den digitale verden er der mange problemer med at kopiere ovenstående procedure. Dels er der ikke noget fysisk at manipulere (som f.eks. et stykke papir) dels er det ekstremt nemt at kopiere en underskrift, såfremt den "stod alene", altså f.eks. var et billede af ens virkelige signatur.

Problemet med en digital signatur kan løses ved hjælp af kryptografi. Kryptografi er mildt sagt temmeligt indviklet og jeg vil ikke komme ind på det her. Men, man kan som sagt udvikle metoder så man kan sætte sin signatur på f.eks. et elektronisk dokument, sådan at det kan afgøres entydigt at man har skrevet under. Imidlertid forudsætter dette at andre kan finde ud af hvem man er. Det klares typisk ved – og det er det denne bog handler om – at man bliver enige om at stole på en tredjepart, en såkaldt "Certificate Authority" når man skal afgøre hvem der er hvem. Man erhverver sig et digitalt certifikat fra denne tredjepart og dette certifikat kan bruge til at signere f.eks. dokumenter med, og bruge til at dokumentere at man er den man er. En del af erhvervelsen består i at man identificerer sig entydigt overfor autoriteten. (I Danmark gøres dette som regel ved hjælp af et pas – Danmark har ikke nogen mere sikker måde at entydigt identificere sig på. Dette har ført til mindst et tilfælde at identitetstyveri i den virkelige verden! Den elektroniske sikkerhed for at en person er den han udgiver sig for, kan altså aldrig blive større end den sikkerhed man har i den virkelige verden, og må generelt antages at være mindre.)

Når du vil identificere dig elektronisk overfor en anden person eller myndighed, kan du således give vedkommende dit certifikat. Modtageren kan derefter få bekræftet dit certifikats gyldighed hos autoriteten (f.eks. KMD-CA). Typisk vil vedkommende gøre dette ved at installere et såkaldt rodcertifikat fra autoriteten på sin lokale computer, som kan anvendes til at afgøre om dit certifikat er gyldigt.

Når modtageren er overbevist om at dit certifikat er gyldigt, kan du bruge din private nøgle – som du vil have fået konstrueret som en del af processen med at erhverve dig dit certifikat – til at kommunikere sikkert med vedkommende.

Hvis du f.eks. sender en email, kan du signere din mail med din private nøgle. Når modtageren modtager din mail, kan han afkode din signatur med det certifikat du allerede har givet ham, og være sikker på at mailen rent faktisk er fra dig.

Du kan også kryptere din mail. Det gøres igen ved hjælp af din private nøgle, samt modtagerens certifikat. Når modtageren modtager din mail, kan han først læse den, når han har afkodet den med dit certifikat og sin egen private nøgle. (For at gøre dette, skal du altså have modtagerens certifikat og være sikker på at det er hans.)

Det lyder umiddelbart ret kompliceret, men når først du har fået dit certifikat, er det meningen at du bare skal installere det på din computer sammen med din private nøgle og så fungerer resten rimeligt automatisk. Du skal måske nogen gange sørge for at folk har adgang til dit certifikat og at du har certifikater fra folk du vil kommunikere krypteret med. Men, det er lidt ligesom at udveksle adresser – og man kan forestille sig at der endda vil være steder hvor man kan hente folks certifikater – at de f.eks. har dem på deres hjemmeside. Så vidt jeg har forstået er det planen at f.eks. KMD-CA vil tilbyde en sådan service.