Re: Feedback von D-Trust. Wen's interessiert

To: debian-user-german@lists.debian.org
Subject: Re: Feedback von D-Trust. Wen's interessiert
From: "Martin D." <mndr@snafu.de>
Date: Thu, 01 Mar 2007 09:28:27 +0100
Message-id: <[🔎] 54nh65F21lr1rU1@mid.uni-berlin.de>
In-reply-to: <7TEGY-6Jy-55@gated-at.bofh.it>
References: <53vrimF1ua7inU1@mid.uni-berlin.de> <54m71pF21e7g5U1@mid.uni-berlin.de> <87r6saq86t.fsf@mid.thomas-huehn.de>

Thomas Hühn schrieb:

"Martin D." <mndr@snafu.de> writes:

[...]


Kunden mit Wartungsvertrag erhalten auch für diese auf Wunsch die
Herstellererklärung.

So, jetzt wieder eigenes:

(Sollte die nicht grundsätzlich von der Bundesnetzagentur veröffentlicht
werden?)


Der Hersteller erklärt, die Agentur macht einen Stempel drauf.

Die Zertifikate an sich sind x509.



In der Praxis ja, das ist aber nicht gesetzlich festgezurrt. Eine
qualifizierte Signatur auf Basis von OpenPGP oder eines Eigenbaus wäre
denkbar (okay, letzteres würde ncoh schwerer), aber natürlich existiert
für sowas kein Markt.


Hilf mir mal auf die Sprünge:
Wie bekomme ich eine CA-Signatur in meinen PGP-Schlussel?

Mit welcher Software die Signatur vorgenommen wurde ist an der
Signatur nicht zu erkennen.



Ja, genau das ist das, was mich ja immer stört. :-)


Es ist ungeheuerlich :-)

Nach geltendem Recht ist nur die 'qualifizierte Signatur' der
Unterschrift gleichzusetzen. In allen anderen Fällen liegt es im
Zweifelsfall im Ermessen des Richters, die Gültigkeit der Signatur zu
bewerten.

In Anbetracht der Tatsache, dass in der Regel ein Fax (auch ohne
Unterschrift!) reicht, um Verträge zu schließen, ist die
'fortgeschrittene Signatur' (offizielle CA) dazu durchaus geeignet,
sich auszuweisen. Dass müssen nur auch die Vertragspartner erkennen.
:-(



Warum ":-("?

Weil, wenn der auf dem Standpukt ist, 'das ist keine SigG-KonformeSignatur, also akzeptieren wir das nicht', kannst Du wieder Faxeschicken. Zum Beispiel via web.de, gmx, einr koreanischen Piratenseite.DAS wird dann als rechtskonform interprätiert. Man kann es ja abheften.

Bei all diesem Vorschriften-Zeugs bin ich zu der Einsicht gekommen,
dass eine 'qualifizierte' Signatur typisch Behörden-Zeugs ist. Ich
gehe davon aus, das mein PGP-Key oder mei x509-Zertifikat mit einem
geigneten Passwort sicherer und praktikabler ist, als ein
5-Ziffern-Hardware-Dongle-Kartenzertifikat.



Praktikabler für den Heimeinsatz vielleicht. Sicherer? Wohl eher nicht.
Das nimmt sich alles recht wenig.

Wenn ich einen Klasse 2 Reader mit so einer Gumminoppentastatur habe,ist spätestens nach der 10 zu sehen, aus welchen Ziffern meine PIN (5Stellen!) besteht. Gut, die PIN hat 6 Ziffern, drei Versuche sind danicht viel.

Ich denke auch an die Ergonomie insgesamt. Wieso muss ich mich mitKabelkram, Reader, Smartcard, PIN und PUK belasten, wenn ich das aucheinfacher haben kann?Die Bereitschaft eine Technologie einzusetzen ist umgekehrt proportionalzu deren Komplexität.Wer also glaubt, durch ein kompliziertes Verfahren eine höhereSicherheit zu erzeugen, als durch ein einfacheres, was rein technischbetrachte meher Angriffsfläche bietet, der irrt.Dieses komplizierte Verfahren findet keine Akzeptanz, es wird einfachnicht benutzt.



So far... Martin.

Thomas

Reply to:

Follow-Ups:
- Re: Feedback von D-Trust. Wen's interessiert
  - From: Christian Frommeyer <debian@frommeyer.name>
- Re: Feedback von D-Trust. Wen's interessiert
  - From: Thomas Hühn <newsgroups@thomas-huehn.de>
- Re: Feedback von D-Trust. Wen's interessiert
  - From: frank paulsen <frank.paulsen@gmx.net>

Prev by Date: Re: Feedback von D-Trust. Wen's interessiert
Next by Date: Re: Feedback von D-Trust. Wen's interessiert
Previous by thread: Re: Feedback von D-Trust. Wen's interessiert
Next by thread: Re: Feedback von D-Trust. Wen's interessiert
Index(es):
- Date
- Thread