[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: [FYI] Digitale Signatur




> -----Original Message-----
> From: Florian Weimer [mailto:fw@deneb.enyo.de]

> > An welche prinzipiellen Probleme hattest Du gedacht ?
> Eine digitale Signatur wird von einer Maschine erzeugt, nicht von
> einem Menschen. Selbst wenn die Signatur mathematisch korrekt ist,
> heißt das noch nicht, daß der Mensch, dem der zugehörige Schlüssel in
> gewissem Sinne gehört, die signierte Nachricht je gelesen hat.

Dazu betreibt man ja den ganzen Aufwand fuer die Zertifizierung der
beteiligten Komponenten.
Z.B. die Software, die nach SigG/SigV et al. zugelassen ist/wird muss
so gebaut sein, dass sie den zu signierenden Kontext vollstaendig und
sauber darstellt bevor sie die PIN verlangt bzw. dem Kartenleser sagt
er moege nun die PIN vom Nutzer verlangen und dann die Signatur nach
erfolgreicher Besitzer Authentisierung erstellt. Im Falle von HTML heisst
das endlich mal HTML-Viewer zu haben, die wirklich HTML sprechen und
nicht irgendwas halbgewalgtes. Beim SecCommerce SecSigner kannst Du
sogar entscheiden, ob Du mehrfarbig, schwarz/weiss oder plain text
anschauen moechtest. Werden in dem HTML-Dokument Tags oder Tagkonstrukte
gefunden die potentiell modernes "Kleingedrucktes" enthalten koennten
gibt es eine Fehlermeldung.

Wenn der Nutzer den zu unterschreibenden Text nicht liest bzw. seine
Sig-Karte mit handschriftlicher PIN auf der Rueckseite offensichtlich
rumliegen laesst, faellt das unter vorsaetzliche Dummheit und sollte
auch dementsprechend bestraft werden.
Bisher geben sich die beteiligten Institutionen alle Muehe, digitale
Signatur jeglicher Art so sicher und so komfortabel wie moeglich zu
gestalten. Du wirst mir sicherlich zustimmen, dass das Phaenomen "DAU"
nur schwer in den Griff zu bekommen ist.

Gruss,
Christian