[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Deutsche Bank / Software
- To: "Ralf W. Stephan" <stephan@tmt.de>
- Subject: Re: Deutsche Bank / Software
- From: Hubert Weikert <weikert@muninn.cube.net>
- Date: Wed, 18 Feb 1998 21:32:34 +0100 (CET)
- cc: Rigo Wenning <wenning2@rz.uni-sb.de>, PGP-Friends Mailingliste <pgp-friends@fiction.pb.owl.de>, "Mailingliste Fitug e.V." <debate@fitug.de>, Mailingliste Crypto <krypto@rhein-main.de>
- Comment: This message comes from the debate mailing list.
- In-Reply-To: <19980218111814.33340@tmt.de>
- Reply-To: Hubert Weikert <weikert@muninn.cube.net>
- Sender: owner-debate@fitug.de
Es ist wohl immer so, dass man den Text nicht ganz liest, und sich an
einer vetrauten Facette festklammert.
Bei den Stichworten Java und Security kommen sofort die Scheuklappen hoch
und man ist beim Subthema: wie sicher ist die Implementation der
Java-Maschine? Das war aber nicht das Thema; meine Wortwahl hat
aber wohl dieses Thema impliziert.
Ich habe versucht, einen anderen Punkt anzusprechen. Die Software von
Brokat ist eine vom BSI zertifizierte Implementation von
Krypto-Software fuer Online Banking. Brokat schreibt 'entspricht
einem der höchsten europäischen Sicherheitszertifikate',
nach BSI ist es ITSEC E3/hoch. ITSEC geht bis E6. Der Report liegt
unter http://www.bsi.bund.de/aufgaben/ii/zert/reporte/0116.PDF.
Ich bitte darum, den BSI-Report mit der PE von Brokat
(http://www.brokat.de/cgi/press/press-article.pl?0+00000036) zu
vergleichen, und sich eine eigene Meinung zu bilden.
Der Report des BSI vom 17.6.1997 fuehrt auf:
"Die Sicherheit der fuer die Ver- und Entschluesselung geeigneten
Kryptoalgorithen wurde nicht geprueft, da der Zertifizierung solcher
Kryptoalgorithmen nach der Feststellung des Bundesministeriums des Innern
generell ueberwiegende oeffentliche Interessen im Sinne des Par. 4 Abs. 3
Nr. 2 BSIG entgegenstehen."
Brokat verwendet (aus BSI-Bericht nach Angaben von Brokat) IDEA. Wer
garantiert mir, dass die Implementation wirklich das bekannte IDEA ist?
Beim Brokatverfahren arbeiten immer der Server und Client zusammen, die
Programme werden immer vom Server in den Client geladen. D.h. beide Seiten
stammen aus der selben Quelle, Manipulationen sind leicht moeglich (um
z.B. Hintertueren einzubauen). Ich muss wohl den Banken vetrauen...
Was ist von folgendem Satz zu halten (aus der oben erwaehnten PE)?
"Das vom BSI als extrem sicher eingestufte X·PRESSO Security Package® ist
damit nachweislich eine der sichersten, zur Zeit am Markt erhältlichen
Software-Verschlüsselungslösungen."
Hubert
------------------------------------------------------------------------------
Hubert Weikert DB1MQ Member of DARC (www.darc.de) and FITUG (www.fitug.de)
Email: weikert@cube.net weikert@compuserve.com http://www.cube.net/~weikert/
Book: Kryptographie mit dem Computer (PGP Praxis) ISBN 3-7905-1503-5 DM 19,80
Key = 21978C61 fingerprint = 99 38 A5 83 C8 76 F4 E1 A7 9C B9 70 9A A7 70 10