Re: Gehacked ????????
Rainer Ellinger (rainer@ellinger.de) wrote 22 lines:
> Wolfgang Weisselberg schrieb:
> > Die "Class 3" Zertifizierung ist vollkommen irrelevant, wenn du
> > nicht garantieren kannst, dass der Absender mit dem Inhaber des
> > 'Zertifikates' uebereinstimmt.
> Die Garantie braucht niemand.
Ich stelle mir gerade vor:
- der Sysadmin installiert ein neues qmail. Die Files sind
von einem DJB korrekt signiert.
- das "qmail" enthaelt einen Trojaner. Viele wichtige und
geheime Interna der Firma dringen nach aussen. Die Firma geht
deshalb pleite.
> Zumindest nicht in unserem Gesellschafts-
> system und der daraus folgenden Rechtstradition.
- Vor Gericht sagt der Sysadmin: "Ich hab' die digitale
Unterschrift von Bernstein unter den Quellen, er ist schuld."
- DJB kommt als Zeuge, es stellt sich raus, dass es gar nicht
seine Unterschrift ist, sondern dass jemand einen Schluessel
mit dem Namen DJB generiert hat. Egal, wie 'korrekt' die
Unterschrift ist.
> Eine korrekt signierte
> Sache *ist* vom ausgewiesenen Inhaber signiert worden.
=> Es nuetzt dir nichts, wenn die Unterschrift korrekt ist. Die
Unterschrift muss auch von der korrekten Person kommen.
(Du unterschreibst einen Schuldschein in meinem Namen. Muss
ich ihn zahlen, bloss weil mein Name da steht?)
> In Bezug auf
> Konsequenzen halte ich mich also immer an den ausgewiesenen Inhaber und
> verlange auch von diesem ggf. Schadensersatz.
Aber du weisst gar nicht, ob der ausgewiesene Inhaber
ueberhaupt die Person ist! Was ist mit dem Diebstahl eines
privaten Schluessels? (Keylogger + ein kleiner Einbruch ==
ein Mafia-Boss mit jetzt entschluesselbaren Daten.)
Abgesehen davon ist der Schaden ja bereits entstanden -- Ziel ist
es doch, eben keine schaedlichen Pakete zu installieren, oder?
> War er nicht selbst
> verantwortlich, muss er selbst schauen, dass er den eigentlichen
> Verursacher dingfest macht und sich mit seinem Schaden an diesen hält.
Ich glaube nicht ganz, dass du Recht hast, aber IANAL. Wenn
mein Auto platzende Reifen hat (Fabrikationsfehler), ist auch
nicht mein Auto-Einzelhaendler, nicht der Auto-Spediteur, nicht
der Auto-Grosshaendler und wohl auch nicht der Autohersteller,
sondern der Reifenfabrikant heranzuziehen.
Ich glaube nicht, dass du den Einzelhaendler verklagen kannst,
der sich das dann von Spediteur wiederholen muss, der sich das
dann ... ... ... wiederholen muss.
-Wolfgang
Reply to: