Re: Feedback von D-Trust. Wen's interessiert
Thomas Hühn schrieb:
"Martin D." <mndr@snafu.de> writes:
[...]
Kunden mit Wartungsvertrag erhalten auch für diese auf Wunsch die
Herstellererklärung.
So, jetzt wieder eigenes:
(Sollte die nicht grundsätzlich von der Bundesnetzagentur veröffentlicht
werden?)
Der Hersteller erklärt, die Agentur macht einen Stempel drauf.
Die Zertifikate an sich sind x509.
In der Praxis ja, das ist aber nicht gesetzlich festgezurrt. Eine
qualifizierte Signatur auf Basis von OpenPGP oder eines Eigenbaus wäre
denkbar (okay, letzteres würde ncoh schwerer), aber natürlich existiert
für sowas kein Markt.
Hilf mir mal auf die Sprünge:
Wie bekomme ich eine CA-Signatur in meinen PGP-Schlussel?
Mit welcher Software die Signatur vorgenommen wurde ist an der
Signatur nicht zu erkennen.
Ja, genau das ist das, was mich ja immer stört. :-)
Es ist ungeheuerlich :-)
Nach geltendem Recht ist nur die 'qualifizierte Signatur' der
Unterschrift gleichzusetzen. In allen anderen Fällen liegt es im
Zweifelsfall im Ermessen des Richters, die Gültigkeit der Signatur zu
bewerten.
In Anbetracht der Tatsache, dass in der Regel ein Fax (auch ohne
Unterschrift!) reicht, um Verträge zu schließen, ist die
'fortgeschrittene Signatur' (offizielle CA) dazu durchaus geeignet,
sich auszuweisen. Dass müssen nur auch die Vertragspartner erkennen.
:-(
Warum ":-("?
Weil, wenn der auf dem Standpukt ist, 'das ist keine SigG-Konforme
Signatur, also akzeptieren wir das nicht', kannst Du wieder Faxe
schicken. Zum Beispiel via web.de, gmx, einr koreanischen Piratenseite.
DAS wird dann als rechtskonform interprätiert. Man kann es ja abheften.
Bei all diesem Vorschriften-Zeugs bin ich zu der Einsicht gekommen,
dass eine 'qualifizierte' Signatur typisch Behörden-Zeugs ist. Ich
gehe davon aus, das mein PGP-Key oder mei x509-Zertifikat mit einem
geigneten Passwort sicherer und praktikabler ist, als ein
5-Ziffern-Hardware-Dongle-Kartenzertifikat.
Praktikabler für den Heimeinsatz vielleicht. Sicherer? Wohl eher nicht.
Das nimmt sich alles recht wenig.
Wenn ich einen Klasse 2 Reader mit so einer Gumminoppentastatur habe,
ist spätestens nach der 10 zu sehen, aus welchen Ziffern meine PIN (5
Stellen!) besteht. Gut, die PIN hat 6 Ziffern, drei Versuche sind da
nicht viel.
Ich denke auch an die Ergonomie insgesamt. Wieso muss ich mich mit
Kabelkram, Reader, Smartcard, PIN und PUK belasten, wenn ich das auch
einfacher haben kann?
Die Bereitschaft eine Technologie einzusetzen ist umgekehrt proportional
zu deren Komplexität.
Wer also glaubt, durch ein kompliziertes Verfahren eine höhere
Sicherheit zu erzeugen, als durch ein einfacheres, was rein technisch
betrachte meher Angriffsfläche bietet, der irrt.
Dieses komplizierte Verfahren findet keine Akzeptanz, es wird einfach
nicht benutzt.
So far... Martin.
Thomas
Reply to: