Petter Reinholdtsen

Entries from June 2017.

«Rapporten ser ikke på informasjonssikkerhet knyttet til personlig integritet»
27th June 2017

Jeg kom over teksten «Killing car privacy by federal mandate» av Leonid Reyzin på Freedom to Tinker i dag, og det gleder meg å se en god gjennomgang om hvorfor det er et urimelig inngrep i privatsfæren å la alle biler kringkaste sin posisjon og bevegelse via radio. Det omtalte forslaget basert på Dedicated Short Range Communication (DSRC) kalles Basic Safety Message (BSM) i USA og Cooperative Awareness Message (CAM) i Europa, og det norske Vegvesenet er en av de som ser ut til å kunne tenke seg å pålegge alle biler å fjerne nok en bit av innbyggernes privatsfære. Anbefaler alle å lese det som står der.

Mens jeg tittet litt på DSRC på biler i Norge kom jeg over et sitat jeg synes er illustrativt for hvordan det offentlige Norge håndterer problemstillinger rundt innbyggernes privatsfære i SINTEF-rapporten «Informasjonssikkerhet i AutoPASS-brikker» av Trond Foss:

«Rapporten ser ikke på informasjonssikkerhet knyttet til personlig integritet.»

Så enkelt kan det tydeligvis gjøres når en vurderer informasjonssikkerheten. Det holder vel at folkene på toppen kan si at «Personvernet er ivaretatt», som jo er den populære intetsigende frasen som gjør at mange tror enkeltindividers integritet tas vare på. Sitatet fikk meg til å undres på hvor ofte samme tilnærming, å bare se bort fra behovet for personlig itegritet, blir valgt når en velger å legge til rette for nok et inngrep i privatsfæren til personer i Norge. Det er jo sjelden det får reaksjoner. Historien om reaksjonene på Helse Sør-Østs tjenesteutsetting er jo sørgelig nok et unntak og toppen av isfjellet, desverre. Tror jeg fortsatt takker nei til både AutoPASS og holder meg så langt unna det norske helsevesenet som jeg kan, inntil de har demonstrert og dokumentert at de verdsetter individets privatsfære og personlige integritet høyere enn kortsiktig gevist og samfunnsnytte.

Tags: norsk, personvern, sikkerhet.
Updated sales number for my Free Culture paper editions
12th June 2017

It is pleasing to see that the work we put down in publishing new editions of the classic Free Culture book by the founder of the Creative Commons movement, Lawrence Lessig, is still being appreciated. I had a look at the latest sales numbers for the paper edition today. Not too impressive, but happy to see some buyers still exist. All the revenue from the books is sent to the Creative Commons Corporation, and they receive the largest cut if you buy directly from Lulu. Most books are sold via Amazon, with Ingram second and only a small fraction directly from Lulu. The ebook edition is available for free from Github.

Title / languageQuantity
2016 jan-jun2016 jul-dec2017 jan-may
Culture Libre / French 3 6 15
Fri kultur / Norwegian 7 1 0
Free Culture / English 14 27 16
Total 24 34 31

A bit sad to see the low sales number on the Norwegian edition, and a bit surprising the English edition still selling so well.

If you would like to translate and publish the book in your native language, I would be happy to help make it happen. Please get in touch.

Tags: docbook, english, freeculture.
Release 0.1.1 of free software archive system Nikita announced
10th June 2017

I am very happy to report that the Nikita Noark 5 core project tagged its second release today. The free software solution is an implementation of the Norwegian archive standard Noark 5 used by government offices in Norway. These were the changes in version 0.1.1 since version 0.1.0 (from NEWS.md):

If this sound interesting to you, please contact us on IRC (#nikita on irc.freenode.net) or email (nikita-noark mailing list).

Tags: english, noark5, nuug, offentlig innsyn, standard.
Idea for storing trusted timestamps in a Noark 5 archive
7th June 2017

This is a copy of an email I posted to the nikita-noark mailing list. Please follow up there if you would like to discuss this topic. The background is that we are making a free software archive system based on the Norwegian Noark 5 standard for government archives.

I've been wondering a bit lately how trusted timestamps could be stored in Noark 5. Trusted timestamps can be used to verify that some information (document/file/checksum/metadata) have not been changed since a specific time in the past. This is useful to verify the integrity of the documents in the archive.

Then it occured to me, perhaps the trusted timestamps could be stored as dokument variants (ie dokumentobjekt referered to from dokumentbeskrivelse) with the filename set to the hash it is stamping?

Given a "dokumentbeskrivelse" with an associated "dokumentobjekt", a new dokumentobjekt is associated with "dokumentbeskrivelse" with the same attributes as the stamped dokumentobjekt except these attributes:

This assume a service following IETF RFC 3161 is used, which specifiy the given MIME type for replies and the .tsr file ending for the content of such trusted timestamp. As far as I can tell from the Noark 5 specifications, it is OK to have several variants/renderings of a dokument attached to a given dokumentbeskrivelse objekt. It might be stretching it a bit to make some of these variants represent crypto-signatures useful for verifying the document integrity instead of representing the dokument itself.

Using the source of the service in formatDetaljer allow several timestamping services to be used. This is useful to spread the risk of key compromise over several organisations. It would only be a problem to trust the timestamps if all of the organisations are compromised.

The following oneliner on Linux can be used to generate the tsr file. $input is the path to the file to checksum, and $sha256 is the SHA-256 checksum of the file (ie the ".tsr" value mentioned above).

openssl ts -query -data "$inputfile" -cert -sha256 -no_nonce \
  | curl -s -H "Content-Type: application/timestamp-query" \
      --data-binary "@-" http://zeitstempel.dfn.de > $sha256.tsr

To verify the timestamp, you first need to download the public key of the trusted timestamp service, for example using this command:

wget -O ca-cert.txt \
  https://pki.pca.dfn.de/global-services-ca/pub/cacert/chain.txt

Note, the public key should be stored alongside the timestamps in the archive to make sure it is also available 100 years from now. It is probably a good idea to standardise how and were to store such public keys, to make it easier to find for those trying to verify documents 100 or 1000 years from now. :)

The verification itself is a simple openssl command:

openssl ts -verify -data $inputfile -in $sha256.tsr \
  -CAfile ca-cert.txt -text

Is there any reason this approach would not work? Is it somehow against the Noark 5 specification?

Tags: english, noark5, offentlig innsyn, standard.
Når nynorskoversettelsen svikter til eksamen...
3rd June 2017

Aftenposten melder i dag om feil i eksamensoppgavene for eksamen i politikk og menneskerettigheter, der teksten i bokmåls og nynorskutgaven ikke var like. Oppgaveteksten er gjengitt i artikkelen, og jeg ble nysgjerring på om den fri oversetterløsningen Apertium ville gjort en bedre jobb enn Utdanningsdirektoratet. Det kan se slik ut.

Her er bokmålsoppgaven fra eksamenen:

Drøft utfordringene knyttet til nasjonalstatenes og andre aktørers rolle og muligheter til å håndtere internasjonale utfordringer, som for eksempel flykningekrisen.

Vedlegge er eksempler på tekster som kan gi relevante perspektiver på temaet:

  1. Flykningeregnskapet 2016, UNHCR og IDMC
  2. «Grenseløst Europa for fall» A-Magasinet, 26. november 2015

Dette oversetter Apertium slik:

Drøft utfordringane knytte til nasjonalstatane sine og rolla til andre aktørar og høve til å handtera internasjonale utfordringar, som til dømes *flykningekrisen.

Vedleggja er døme på tekster som kan gje relevante perspektiv på temaet:

  1. *Flykningeregnskapet 2016, *UNHCR og *IDMC
  2. «*Grenseløst Europa for fall» A-Magasinet, 26. november 2015

Ord som ikke ble forstått er markert med stjerne (*), og trenger ekstra språksjekk. Men ingen ord er forsvunnet, slik det var i oppgaven elevene fikk presentert på eksamen. Jeg mistenker dog at "andre aktørers rolle og muligheter til ..." burde vært oversatt til "rolla til andre aktørar og deira høve til ..." eller noe slikt, men det er kanskje flisespikking. Det understreker vel bare at det alltid trengs korrekturlesning etter automatisk oversettelse.

Tags: debian, norsk, stavekontroll.

RSS Feed

Created by Chronicle v4.6