[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Digitale Signatur

To: debate@fitug.de
Subject: Re: [FYI] Digitale Signatur
From: Florian Weimer <fw@deneb.enyo.de>
Date: 07 May 2001 23:05:56 +0200
Comment: This message comes from the debate mailing list.
In-Reply-To: <25AADB1778E0D3119963009027D6F61C4EE880@jena00.intershop.de> (Christian Kahlo's message of "Sun, 6 May 2001 17:09:55 +0200")
References: <25AADB1778E0D3119963009027D6F61C4EE880@jena00.intershop.de>
Sender: owner-debate@fitug.de
User-Agent: Gnus/5.090004 (Oort Gnus v0.04) Emacs/20.7

Christian Kahlo <C.Kahlo@intershop.de> writes:

> Die PIN wird im @home-Betrieb auf der Tastatur eines Kartenlesers
> eingetragen, der diese dann zur Karte sendet ohne den PC zu
> involvieren. Du koenntest Dir natuerlich auch den Common Name
> des Signaturverlangenden auf dem 2x16 Display des Lesers anzeigen
> lassen, ist aber soweit ich weiss noch nicht implementiert.

Was interessiert mich der CN? Ich möchte bitteschön sehen, *was*
ich sehe, und das auf einem System, was gegen jegliche Manipulation
geschützt ist.

> Die SigG-Karte signiert _immer_getrennt_ vom Hostsystem.

Das hilft nur gegen das Abgreifen des geheimen Schlüssels oder
vielleicht auch noch gegen das verdeckte Signieren eines weiteren
Dokumentes (korrekte Implementation vorausgesetzt), aber wenn ich,
aufgrund einer Manipulation des Systemes, welches ich gewöhnlich zur
Dokumentenerstellung verwende (und welches garantiert nicht irgendwie
zertifiziert ist, ein bißchen Komfort will ich schließlich noch
haben), ohne mein Wissen ein Dokument signiere, welches nicht den mir
angezeigten Inhalt hat, habe ich ein Problem.

> Doch. Da die Signatur haeufig in Form von PKCS #7 (www.rsasecurity.com)
> vorliegt kannst Du durch Verifikation der Key-Chain feststellen ob
> derjenige unterschrieben hat oder nicht.

Ob ein bestimmtes mathematisches Verfahren korrekt durchgeführt wurde.
Das ist ein bißchen was anderes. Für eine Unterschrift hat man ja noch
Graphologen, aber wenn man sich nicht völlig blöd anstellt, ist eine
(dank Systemschwäche) erfolgreich gefälschte Unterschrift von einer
echten nicht zu unterscheiden.

> Und damit diese Signatur ueberhaupt einmal irgendwann erzeugt werden
> konnte war die Eingabe der PIN notwendig. Diese muss sogar vom Nutzer
> frei gewaehlt werden. Damit war sie nur dem Nutzer bekannt und niemand
> anderem. Also kann es nur "Dietz" gewesen sein.

"Dietz" hat vielleicht das Knöpfchen zum Signieren gedrückt (eine
SigG-konforme Umgebung stellt dies wohl tatsächlich sicher), aber er
weiß womöglich gar nicht, was der da unterzeichnet.

> nur im B2B Umfeld [...] machbar.

Vermutlich. Diese Leute sollten auch in der Lage sein, Rechnersysteme
soweit vom Alltagsbetrieb abzuschotten, daß diese relativ gefahrlos
zum Signieren verwendet werden können.

Follow-Ups:
- Re: [FYI] Digitale Signatur
  - From: Rigo Wenning <rigo@fitug.de>

References:
- RE: [FYI] Digitale Signatur
  - From: Christian Kahlo <C.Kahlo@intershop.de>
- RE: [FYI] Digitale Signatur
  - From: Christian Kahlo <C.Kahlo@intershop.de>

Prev by Date: Re: [FYI] Digitale Signatur
Next by Date: [FYI]) [SIUG-announce] Newsletter Mai 2001
Prev by thread: RE: [FYI] Digitale Signatur
Next by thread: Re: [FYI] Digitale Signatur
Index(es):
- Date
- Thread