Re: Feedback von D-Trust. Wen's interessiert
Am Donnerstag 01 März 2007 08:53 schrieb Thomas Hühn:
> Ich verstehe nicht, was du meinst. Wer baut was nach?
Wenn an der Signatur erkennbar sein muss, welches Programm sie
verbrochen hat, ist das nur sinnvoll, wenn das ein zusätzliches
Vertrauen in die Signatur fördert. Wenn ich diese Kennzeichnung aber
nachbauen kann (wenn also ein nicht zugelassenes Programm behaupten
kann ein anderes Programm zu sein) hilft das nicht mehr.
> Mich stört, daß gesetzlich eine Signatur nur dann qualifiziert ist,
> wenn a), b), c)...
>
> Dummerweise sind diese Voraussetzungen teilweise nicht nachprüfbar.
> Was soll also die Kodifizierung?
Was nicht nachprüfbar ist, ist freilich keine sinnvolle Vorschrift.
> Du kannst bei konventionellen PGP auf dem Hostrechner selbst
> erkennen, welcher Hash zu den Kryptoroutinen geschickt wird? Respekt!
Nein, kann ich nicht (jedenfalls nicht mit weniger Aufwand). Aber mir
wird das Verfahren im Rechner auch nicht als besonders sicher
angepriesen. Ich hätte mich vielleicht sinnvollerweise so ausdrücken
sollen: das Verfahren ist nicht sicherer, heuchelt aber eine nicht
vorhandenen Sicherheit.
> Für den normalen Anwender ist das ebenso intransparent wie im
> Smartcard-Fall.
Ja genau.
> Schlüssellängen sollten kein großes Problem sein. Schon die billige
> OpenPGP-Smartcard macht 1024 Bit.
Das ist IMHO zu wenig.
> Was meine S-Trust macht, weiß ich nicht mehr (ich hatte es vor einem
> Jahr mal nachgeschlagen), aber 2048-Bit-RSA-Karten sind ebenfalls für
> vertretbares Geld im Handel erhältlich.
Dann waren da meine Infos wohl veraltet.
Gruß Chris
--
A: because it distrupts the normal process of thought
Q: why is top posting frowned upon
Reply to: