Re: [FYI] Digitale Signatur

[Dietz Proepper <dietz@rotfl.franken.de>]

On Sun, May 06, 2001 at 05:09:55PM +0200, Christian Kahlo wrote:

> Genauso ist es. Beim Bau des SigG ging es drunter und drueber.

Wer hätt's gedacht.
  
> > > Der Nutzer muss eine mind. 6-8 stellige PIN eingeben bevor
> > Wo muß er diese eingeben? Auf seinem PC? You loose. Auf einem 
> > speziellen Terminal? Wenn das die zu signierenden Daten nicht
> > anzeigen und getrennt vom Hostsystem signiert? You loose.
> 
> Die PIN wird im @home-Betrieb auf der Tastatur eines Kartenlesers
> eingetragen, der diese dann zur Karte sendet ohne den PC zu
> involvieren. Du koenntest Dir natuerlich auch den Common Name
> des Signaturverlangenden auf dem 2x16 Display des Lesers anzeigen
> lassen, ist aber soweit ich weiss noch nicht implementiert.
[...]
> Oder was meinst Du?

Ein brauchbarer "Kartenleser" müsste imo etwa so aussehen daß
die zu signierenden Daten vom PC vollständig auf den Leser
übertragen werden, dort dem Benutzer angezeigt werden und
dann erst die Signatur (natürlich im Leser bzw. auf der Karte)
erzeugt wird. Zudem müsste der Leser so aufgebaut sein daß
Manipulationen einfach erkennbar sind. Oder die Karte selber
enthält ein "geeignetes" Display.

> > Anderes System? Hab' ich noch keines gesehen. Naja, ist auch 
> > nicht mein Spezialgebiet ;).
> 
> Ich moechte den sehen, dessen Spezialgebiet es ist sich mit
> unschluessigen und teilweise falsch beratenen aber dennoch
> voreiligen Gesetzgebern rumzuschlagen, gleichzeitig versuchend

Politiker? ;)

> die passende Hardware und Software zu finden/zu entwickeln,
> und dabei auch noch auf Standardkonformitaet und Usability
> zu achten. ;)

Naja, Usability ist in dem Kontext für mich ein Reizwort. Die
Usability meines Füllers ist auch eher gering, wie oft hab' ich
mir Finger und Kleidung versaut (lang her), auch die Erlernung
der flüssigen Handhabung hat sich über Jahre hingezogen. Dafür
bin ich in seiner Anwendung so geübt daß ich bisher jedes halb-
verdeckte Formular, jeden abweichenden Durchschlag usw. entdeckt
habe.

> Nein, mein Spezialgebiet ist es auch nicht.
> Nur ganz kleine Teile des Genannten fallen in meine Gebiete.
> Zum Glueck.

Gehe getrost davon aus daß Du minimal wesentlich mehr Praxis
mit dem Themenkomplex hast ;).

> Doch. Da die Signatur haeufig in Form von PKCS #7 (www.rsasecurity.com)
> vorliegt kannst Du durch Verifikation der Key-Chain feststellen ob
> derjenige unterschrieben hat oder nicht. Sollte die Verifikation

S. Florian Weimars mail.

> Mal ganz davon abgesehen, dass das Brechen von 1024 Bit RSA ein
> enormes Risiko darstellt und der beim SigG Stufe 3 gueltige
> "Anscheinsbeweis" totaler Bloedsinn ist bei dem der Verbraucher-

Was wird eigentlich aus einem Anscheinsbeweis wenn wiederholt
Gutachter diesen bestreiten?

> schutz nicht begreift, dass er seinem eigenen Klientel damit das
> hoehere Risiko aufbuerdet, sollte es meines Erachtens im B2C
> Bereich (noch) keine digitale Signatur geben.

Bzw. *wenn* das ganze an ausreichend hohe Hürden geknüpft ist
wäre sowas u.U. nicht vollständig unschön.

> Zur Zeit ist das
> nur im B2B Umfeld, d.h. mit jede Menge Vertragsmaterial, Belehrung
> und Vertragsstrafen machbar.

"Wir handeln mit allem was nicht lebendig oder illegal ist" ;)

> Auch wenn ich versuche dem Ganzen etwas positives abzugewinnen und
> versuche dieses zu verteidigen, moechte ich weder Gutachter noch
> Richter in so einem Verfahren sein. Eher wuerde ich kuendigen.

Och, der Gutachterjob ist doch relativ einfach.

Dietz