Jonas Smedegaard wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On 23-03-2005 09:35, Morten Bartvig wrote:
Men det er nemmere at misbruge et CPR-nummer end en offentlig n�gle. Man
kan bruge et CPR-nummer til at f� et "nyt" pas, hvis man g�r ned p�
politikontoret. H�jst sandsynligt vil de ikke sp�rge om andet end dit
CPR-nummer, og n�r f�rst man har et pas med billede, s� er der mange
muligheder.
Hvad jeg skrev var at CPR-numre ikke er nemme at manipulere med. Det du taler om er manipulation med pas vha. ikke-verificeret CPR-nummer - og det er netop min pointe: Lissom det burde v�re en selvf�lge at sikkerhedssoftware verificerer digitale signaturer s� burde det v�re en selvf�lge at politiet verificerer en persons identitet ved udstedelsen af et pas.
Jeg glemte engang mit pas hjemme p� skrivebordet da jeg skulle blaffe til �steuropa. Jeg troede det var mistet og fik overtalt Kolding Politi til at ekspedere et nyt pas p� f� timer fremfor en uge. Men de fraveg ikke bl.a. f� en kirketjener hvor jeg er d�bt til telefonisk at verificere ordlyden af min d�bsattest.
Hvis politiet idag er lemf�ldige med vereificering af danske
statsborgeres identitet s� l�ses problemet hos politiet, ikke ved at g�
stille med d�rene med CPR-numre: L�ger har tavshedspligt men ikke
bibliotekarer, s� det er nemt at fremskaffe.
Alle har vel "tavshedspligt", n�r det g�lder personf�lsomme oplysninger, som CPR-nummeret i princippet skulle v�re.
PIN-koder fremsendes i separat kuvert med tryksv�rte-st�j omkring, s� det ikke er muligt at gennemlyse kuverten og opsnappe nummeret den vej. S�dan h�ndteres personnumre ikke, s� enhver med adgang til din (forseglede) post har ogs� nem adgang til dit CPR-nummer.
Det er ogs� relativt nemt at imitere en underskrift. Det g�r ikke underskrifter til hemmeligheder - eller i s� fald een jeg deler med mange mange taxachauff�rer og mindre butikker.
Er det dit rigtige CPR-nummer, du har st�ende p� din info-side? Hvad er
ideen i det?
Ja, det er mit rigtige CPR-nummer.
Har du onde hensigter er det nemt at skaffe nummeret uanset (fordi det aldrig har v�ret hensigten at hemmeligholde det!). S� hvad jeg prim�rt opn�r ved at hemmeligholde nummeret er at hj�lpe til at bevare illusionen om at nummeret er en hemmelighed.
PIN-koder er hemmelige lissom adgangskoder.
CPR-numre er personlige lissom dit mellemnavn og din alder.
Du _b�r_ holde hemmelige ting hemmelige fordi ellers kollapser den struktur de er en del af.
Du kan _v�lge_ at holde personlige ting hemmelige, f.eks. fordi du ikke �nsker dem anvendt til at tegne et billede af dig uden din aktive medvirken.
Ideen med at l�gge mit CPR-nummer p� nettet er at jeg ikke har noget at
skjule i nummeret. Og at jeg gerne vil fremprovokere denne snak om
misforst�et hemmelighedskr�mmeri.
Jeg kan godt se, hvad du mener. Hvis man vil, s� kan man. Men ikke desto mindre skal man i mange situationer bare kunne n�vne sit CPR-nummer, s� klarer de resten. Og det er immerv�k mere besv�rligt at misbruge andres CPR-numre, hvis man skal rode deres post igennem frem for at l�se det p� deres hjemmeside :) Det er lidt ligesom exploits og script-kiddies. Hvis de ikke kunne f� s� nemt fat i exploits, der ikke kr�ver s�rlig meget forst�else, ville der ikke v�re s� mange hackede sider...
S� tak fordi du spurgte :-D
You are so very welcome :)
- Jonas
- -- * Jonas Smedegaard - idealist og Internet-arkitekt * Tlf.: +45 40843136 Website: http://dr.jones.dk/
- Enden er n�r: http://www.shibumi.org/eoti.htm -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFCQTmAn7DbMsAkQLgRAmiiAJ41eKNZngZaS++PWvS3rd426I8xzQCdEd1I +VzS2uEtk5FYAbVpddCGavE= =hfxp -----END PGP SIGNATURE-----
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
