[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Deutsche Bank / Software
- To: Rigo Wenning <wenning2@rz.uni-sb.de>
- Subject: Re: Deutsche Bank / Software
- From: Hubert Weikert <weikert@muninn.cube.net>
- Date: Tue, 17 Feb 1998 21:27:40 +0100 (CET)
- cc: PGP-Friends Mailingliste <pgp-friends@fiction.pb.owl.de>, "Mailingliste Fitug e.V." <debate@fitug.de>, Mailingliste Crypto <krypto@rhein-main.de>
- Comment: This message comes from the debate mailing list.
- In-Reply-To: <3.0.2.32.19980216165938.006d7270@mars.rz.uni-sb.de>
- Sender: owner-debate@fitug.de
On Mon, 16 Feb 1998, Rigo Wenning wrote:
> Die Deutsche Bank scheint nach letzten Auskünften (unverifiziert)
> SSL - Zertifikate von Verysign zu benutzen. Diese Zertifikate sind
> Verysign - 1 Zertifikate, d.h. sie sind nicht verifizierte Testzertifikate.
Die folgenden Infos habe ich aus Presseinfos von Brokat, dem Hersteller
der Software (www.brokat.de), Interpretationsfehler sind mir anzulasten.
Das Browser SSL (mit 40/56 Bit Sessionkey) wird zum Laden von
Java-Applets verwendet; dazu ist obiges von Rigo erwaehnte Zertifikat
noetig. Diese Applets selbst besorgen dann die eigentliche Verbindung und
Verschluesselung mit 128 Bit Sessionkey. Es kommt eine Variante von SSL
zur Anwendung, die kein Zertifikat benoetigt. Details erhaelt man nur
gegen ein unerschriebenes NDA. In einem der c't Sonderhefte zum Thema Geld
gab es ein paar duerftige Infos. Die geladenen Applets haben ihre eigenen
Intergritaetcheckroutinen um Maniplationen zu erkennen.
Brokat hat die oben beschriebenen Java-Programme vom BSI pruefen lassen.
Man muss die Presseinfos 'zwischen den Zeilen' lesen, um zu erfahren, dass
die Implementation geprueft wurde, und nicht die Algorithmen. Mich wundert
es auch sehr, dass man eine Implementation, die auf der
Java-Virtual-Machine basiert, ueberhaupt als sicher bezeichnen kann.
Der Java Interpreter ist seinerseits ein Programm, welches die
Java-Anweisungen interpretiert, d.h. erst dieses Programm tut im
Rechner das, was das Brokat-Applet verlangt. Die Java-Machine kann vom
Browserhersteller selbst manipuliert werden (Microsoft-Java?), oder man
tauscht koennte das Modul austauschen.
> Warum eigentlich amerikanische Lösungen, wenn es bessere deutsche
> Lösungen gibt ?
Ehrlich gesagt, mir ist eine offene, nachvollziehbare Loesung einfach
lieber, als eine Loesung, die nicht offengelegt wird. Ich wuerde gerne
jederzeit die Moeglichkeit haben, die Arbeitsweise eines von mir benutzten
Geraetes nachzuvollziehen. Wenn ich darauf verzichte, so sollte das meine
Entscheidung sein, und nicht die Entscheidung eines Vormunds.
Hubert
------------------------------------------------------------------------------
Hubert Weikert DB1MQ Member of DARC (www.darc.de) and FITUG (www.fitug.de)
Email: weikert@cube.net weikert@compuserve.com http://www.cube.net/~weikert/
Book: Kryptographie mit dem Computer (PGP Praxis) ISBN 3-7905-1503-5 DM 19,80
Key = 21978C61 fingerprint = 99 38 A5 83 C8 76 F4 E1 A7 9C B9 70 9A A7 70 10