Re: Feedback von D-Trust. Wen's interessiert
Christian Frommeyer <debian@frommeyer.name> writes:
> Am Mittwoch 28 Februar 2007 22:32 schrieb Thomas Hühn:
>> > Mit welcher Software die Signatur vorgenommen wurde ist an der
>> > Signatur nicht zu erkennen.
>>
>> Ja, genau das ist das, was mich ja immer stört. :-)
>
> Wieso? Das ist völlig unerheblich. Denn eine beliebige "böse" SW könnte
> das nachbauen.
Ich verstehe nicht, was du meinst. Wer baut was nach?
Mich stört, daß gesetzlich eine Signatur nur dann qualifiziert ist, wenn
a), b), c)...
Dummerweise sind diese Voraussetzungen teilweise nicht nachprüfbar. Was
soll also die Kodifizierung?
> Und die Tatsache, dass die Verschlüsselung auf der Karte stattfindet
> ist, solange man nicht direkt am Gerät erkennen kann, was da signiert
> wird, auch eher unsicherer. Da kann man sidechannel weniger sicher
> ausschließen und IIRC ist die Schlüssellänge ob der geringen
> Rechenleistung auch noch geringer als auf einem herkömmlichen PC
> möglich.
Du kannst bei konventionellen PGP auf dem Hostrechner selbst erkennen,
welcher Hash zu den Kryptoroutinen geschickt wird? Respekt!
Für den normalen Anwender ist das ebenso intransparent wie im
Smartcard-Fall.
Schlüssellängen sollten kein großes Problem sein. Schon die billige
OpenPGP-Smartcard macht 1024 Bit.
Was meine S-Trust macht, weiß ich nicht mehr (ich hatte es vor einem
Jahr mal nachgeschlagen), aber 2048-Bit-RSA-Karten sind ebenfalls für
vertretbares Geld im Handel erhältlich.
Und daß die Anbieter nicht zu niedrig gehen, dafür sorgt die
Bundesnetzagentur, die sowohl die Kryptoalgorithmen, als auch deren
Schlüssellängen vorschreibt.
Thomas
Reply to: