[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Online-banking via Inet



* Uwe Brockmann wrote:
>SSL unterstuetzende Webserver sind in Bezug auf die von ihnen akzep-
>tierten Verschluesselungsverfahren konfigurierbar. Die Postbankserver
>lassen keine 40-bit Verbindungen zu. Ausserdem lassen sich in Netscape
>Navigator die 40-bit Verschluesselungsverfahren abschalten.

Leider läßt die Postbank 40bit zu.

>Darauf antwortete Simone:
>> Naja, EMail kann man prima pgp-verschluesseln.
>
>E-mail kann man nur dann mit PGP verschluesseln, wenn man den
>oeffentlichen RSA Schluessel des Empfaengers kennt.

Richtig.

>PGP bietet im Gegensatz zu SSL keinen (ausreichend fuer Finanztransaktionen)
>sicheren Mechanismus, um den oeffentlichen RSA Schluessel einer Bank
>elektronisch an den Bankkunden zu uebermitteln. Eine Uebermittlung
>per Post waere moeglich aber weniger benutzerfreundlich als die fuer
>den Benutzer transparente elektronische Methode, die von SSL verwendet wird.

Falsch, denn:

>SSL bietet besseres Schluesselmanagement als PGP. Dazu verwendet es
>Mechanismen, die in PGP fehlen, insbesondere

Falsch, denn:

>	- in den Webbrowser vom Hersteller vorgeladene Zertifikate von
>	  kommerziellen Zertifizierungsfirmen

Das ist unsicher. Ich traue keinen mitgelieferten Zertifikaten, von wo hast
Du Deine Software?

>	- professionelle Schluesselverwaltung durch kommerzielle Zertifizie-
>	  rungsfirmen wie z.B. VeriSign und Thawte Consulting, die von den
>	  Betreibern von Webservern wie z.B. der Postbank bezahlt werden

Falsch. VeriSign ist ein Spielzeug, die braten Zertifikate raus, daß es
meinem SSLeay übel wird. (Die Ablehnung von derartigem
Schwachsinnszertifikaten bescherte mir ein Telefongespräch mit Tom Weinstein)

>	- die Moeglichkeit zum fuer den Benutzer transparenten Austausch
>	  mehrerer Nachrichten zwischen Webbrowser und Webserver 

Bitte? PGP arbeitet transparent. Browser nicht. Wußtest Du, daß für JEDE
Übertragung das ganze Protokoll neu begonnen wird? Ich habe mehrere
UserCerts und da ist die ständige Rückfrage bei jedem Bild und jeder Seite
mehr als nervig.

>Evtl. liesse sich die Funktionalitaet von SSL auf Basis von e-mail nach-
>bilden aber das wuerde dazu fuehren, dass man z.B. zum Taetigen einer
>einzigen Ueberweisung viele e-mails zwischen Bankserver und Bankkunden
>austauschen muesste.

Nein. SSL ist ein total inkompatibler Ansatz, mit riesigen Problemen.
Er setzt auf Layer 4 auf um im Layer 8 wirksam zu werden. Dieser
konzeptionelle Fehler führt u.a. dazu, daß HTTP nicht mehr sinnvoll
eingesetzt werden kann (virtuelle Hosts brauchen seperate IPs, weil sie
VOR der Verbindung auseinandergedröselt werden müssen) ...

>Es ist wichtig, den oeffentlichen RSA Schluessel einer Bank sicher an
>die Bankkunden zu uebermitteln. Andernfalls besteht die Gefahr, dass ein

Richtig. PGP bietet dazu weit bessere Wege als das X.509, daß auf der
Illusion eines weltweit eindeutigen Directories basiert.

>Boesewicht einem Bankkunden einen gefaelschten vom Boesewicht generier-
>ten oeffentlichen Schluessel unterjubelt. Der Boesewicht koennte an-

Bei SSL kein Thema.