Re: Feedback von D-Trust. Wen's interessiert

To: debian-user-german@lists.debian.org
Subject: Re: Feedback von D-Trust. Wen's interessiert
From: Thomas Hühn <newsgroups@thomas-huehn.de>
Date: Thu, 01 Mar 2007 10:10:48 +0100
Message-id: <[🔎] 87wt21xraf.fsf@mid.thomas-huehn.de>
References: <53vrimF1ua7inU1@mid.uni-berlin.de> <54m71pF21e7g5U1@mid.uni-berlin.de> <87r6saq86t.fsf@mid.thomas-huehn.de> <[🔎] 54nh65F21lr1rU1@mid.uni-berlin.de>

"Martin D." <mndr@snafu.de> writes:

>> Kunden mit Wartungsvertrag erhalten auch für diese auf Wunsch die
>> Herstellererklärung.
>>
>> So, jetzt wieder eigenes:
>>
>> (Sollte die nicht grundsätzlich von der Bundesnetzagentur veröffentlicht
>> werden?)
>>
>
> Der Hersteller erklärt, die Agentur macht einen Stempel drauf.

Ja. Ich fand jetzt den Hinweis, daß die Agentur da hinterherhinke.

Aber grundsätzlich müßte die Erklärung für die neue Version schon noch
auftauchen, oder?

>>>Die Zertifikate an sich sind x509.
>>
>>
>> In der Praxis ja, das ist aber nicht gesetzlich festgezurrt. Eine
>> qualifizierte Signatur auf Basis von OpenPGP oder eines Eigenbaus wäre
>> denkbar (okay, letzteres würde ncoh schwerer), aber natürlich existiert
>> für sowas kein Markt.
>
> Hilf mir mal auf die Sprünge:
> Wie bekomme ich eine CA-Signatur in meinen PGP-Schlussel?

So wie es das Deutsche Forschungsnetz oder der Heise-Verlag machen: Sie
generieren einen PGP-Schlüssel für ihre CA.

Die gesetzlichen Rahmenbedingungen sind völlig verfahrensagnostisch.
Bemerkenswert eigentlich.

>>>Nach geltendem Recht ist nur die 'qualifizierte Signatur' der
>>>Unterschrift gleichzusetzen. In allen anderen Fällen liegt es im
>>>Zweifelsfall im Ermessen des Richters, die Gültigkeit der Signatur zu
>>>bewerten.
>>>
>>>In Anbetracht der Tatsache, dass in der Regel ein Fax (auch ohne
>>>Unterschrift!) reicht, um Verträge zu schließen, ist die
>>>'fortgeschrittene Signatur' (offizielle CA) dazu durchaus geeignet,
>>>sich auszuweisen. Dass müssen nur auch die Vertragspartner erkennen.
>>>:-(
>>
>>
>> Warum ":-("?
>
> Weil, wenn der auf dem Standpukt ist, 'das ist keine SigG-Konforme
> Signatur, also akzeptieren wir das nicht', kannst Du wieder Faxe
> schicken. Zum Beispiel via web.de, gmx, einr koreanischen
> Piratenseite. DAS wird dann als rechtskonform interprätiert. Man kann
> es ja abheften.

Du kannst selbstverständlich auf alle Arten Verträge schließen. Und die
Beweiswürdigung obliegt immer dem Richter.

Und dabei ist ein nicht unterschriebenes Fax natürlich "weniger wert"
als ein Stück handsigniertes Papier. Das war schon immer so.

Man hat jetzt aber im elektronischen Geschäftsverkehr das Analogon zur
eigenhändigen Unterschrift eingeführt.

Wo ist das Problem? Du kannst ebenso sagen "auf dem Fax fehlt eine
Unterschrift, das akzeptieren wir nicht".

Ich sehe keinen grundsätzlichen Unterschied zum Offline-Gebrauch.

Man baut da jede Menge Hürden, damit die für den Bürger völlig
ungewohnte elektronische Unterschrift nicht "zu leicht" ist. ;-)

Dem Bürger weiß, daß er nicht irgendjemandem auf der Straße ein leeres
Stück Papier unterschreiben sollte. Das ist seit Jahrhunderten so. Und
er tut es in der Regel auch nicht.

Und jetzt kommt das neue, unbekannte: die elektronische Signatur. Weiß
der Bürger wirklich, daß er nicht wild irgendwelche Signaturen leisten
aollte, die irgendeine obskure Webseite von ihm verlangt? Und selbst
wenn, tut er es wirklich nicht? Auch dann nicht, wenn es ach so leicht
ist, weil auf jegliche Barriere verzichtet wurde?

Das ganze Phishing-Unwesen dürfte uns wohl die Antwort geben...

> Ich denke auch an die Ergonomie insgesamt. Wieso muss ich mich mit
> Kabelkram, Reader, Smartcard, PIN und PUK belasten, wenn ich das auch
> einfacher haben kann?

Warum mußt du dich überhaupt mit einem Computer mit Tastaturkabel,
Mauskabel, dazugehörigen Steckern, Anmeldepaßwort etc. belasten?

Die PUK hast du doch auch bei SIM-Karten? Da stört es auch keinen. Und
du brauchst sie ein einziges Mal. PIN kennt jedes Kind. Kabelkram?
Vielleicht findest du ja was mit Bluetooth. Zumindest PCMCIA-Reader
existieren. Warum Kabel bei Peripheriegeräten jetzt aber so überraschend
und schlimm sein sollten, verstehe ich nicht. Und Smartcard ist genau
wie eine Bank-Karte. Alles nichts Neues. Und nichts übermäßig
Verwirrendes.

> Wer also glaubt, durch ein kompliziertes Verfahren eine höhere
> Sicherheit zu erzeugen, als durch ein einfacheres, was rein technisch
> betrachte meher Angriffsfläche bietet, der irrt.

Ich sehe aber nicht, daß das jemand so glaubt.

Allerdings gilt auch nicht, daß man die Verfahren beliebig verwässern
kann, ohne die Angriffsfläche zu erhöhen.

> Dieses komplizierte Verfahren findet keine Akzeptanz, es wird einfach
> nicht benutzt.

Das liegt nicht an der PIN oder dem Reader oder sonstwas. Sondern an den
Kosten. Wenn die Banken das mal in den Markt gedrückt hätten, wie sie es
eigentlich gesollt hätten, dann wäre das schon verbreitet.

Auf Userseite.

Die Bank-Karte wird doch auch genutzt. Da hast du ebenfalls eine PIN,
eine Extra-Karte, der Unterschied ist nur, daß man zuhause wenig
Verwendung für hat und daher kein Lesegerät anschafft.

Wenn der Staat mal eben Geld übrig hätte, um Mitarbeiter zu schulen und
Amtsstuben auszurüsten, dann wäre das schon geschehen. Und er würde
nicht nur ständig darüber reden.

Hoffentlich bauen die endlich bald eine Signaturfunktion in den
Personalausweis.

Thomas

Reply to:

References:
- Re: Feedback von D-Trust. Wen's interessiert
  - From: "Martin D." <mndr@snafu.de>

Prev by Date: Re: dselect
Next by Date: Re: freezing sarge
Previous by thread: Re: Feedback von D-Trust. Wen's interessiert
Next by thread: Re: Feedback von D-Trust. Wen's interessiert
Index(es):
- Date
- Thread