Ich wollte es gerne nutzen

Leider war der erste Wurf der AusweisApp auf komplett veraltete Browser-Versionen beschränkt. Also habe ich es nicht benutzt. The End.

Abgesehen davon, dass es immer noch nur eine handvoll Anbieter gibt.

Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

Warum wohl?

Es ist wahrscheinlich unter dem Stand der Technik/Sicherheitsstandards. (Man hätte auch einen vorhandenen Kartentyp verkaufen/nutzen können, aber man musste ja was "eigenes" machen und das ist jetzt nah an DeMail. Außerdem wurde es in den Perso gequetscht. Nicht so toll.)

Es ist u.U. unsicher wer unterschrieben hat. (Perso geklaut, Pin geraten, unterschrieben <-> unterschrieben, keine Lust auf den Vertrag, behaupten, dass der Perso geklaut/geklont worden war...)

...oder was man nun unterschrienen hat. (Rechner zeigt Dokument A, aber schickt Dokument B zum Signieren. Unterschrift unter Dokument B pinnen und fertig. Die Unterschrift für Dokument A braucht man ja nicht.)

Die Rechtssicherheit kann der Staat selber unterwandern. (Er kennt deinen privaten Schlüssel. Also nicht wundern, wenn "du" was unterschrieben hast, aber dich nicht erinnern kannst.)


Die Leute zögern zu recht und mit ihnen zögern die Unternehmen.

SuiCid schrieb:
--------------------------------------------------------------------------------
> Warum wohl?
>
> Es ist wahrscheinlich unter dem Stand der Technik/Sicherheitsstandards.
> (Man hätte auch einen vorhandenen Kartentyp verkaufen/nutzen können, aber
> man musste ja was "eigenes" machen und das ist jetzt nah an DeMail.
> Außerdem wurde es in den Perso gequetscht. Nicht so toll.)

dass es nonstandard ist ist nicht so geil, true.

> Es ist u.U. unsicher wer unterschrieben hat. (Perso geklaut, Pin geraten,
> unterschrieben <-> unterschrieben, keine Lust auf den Vertrag, behaupten,
> dass der Perso geklaut/geklont worden war...)

kloning fällt schonmal aus, da es im Prinzip ne Smartcard ist. PIN raten, bei 3 Versuchen und 6 stellen, eher schwer. nicht zu vergessen dass es ne sperrhotline gibt.

> ...oder was man nun unterschrienen hat. (Rechner zeigt Dokument A, aber
> schickt Dokument B zum Signieren. Unterschrift unter Dokument B pinnen und
> fertig. Die Unterschrift für Dokument A braucht man ja nicht.)

das ist ne Sache, da muss die Signatursoftware sicher sein.

> Die Rechtssicherheit kann der Staat selber unterwandern. (Er kennt deinen
> privaten Schlüssel. Also nicht wundern, wenn "du" was unterschrieben hast,
> aber dich nicht erinnern kannst.)

hast du beweise dass er ihn kennt? wenn es Sinnvoll gemacht wird, wird der key direkt aufm Ausweis generiert, ergo der staat kann diesen gar nicht sehen.

Asperger inside(tm)

> hast du beweise dass er ihn kennt?

Der Stand außerhalb der Gesetze ist immer noch
"Der Staat muss beweisen, dass er ihn nicht kennt."
(also z.B. keine Backdoors wie bei DeMail über Gesetze als sicher deklariert werden um Rechtssicherheit zu gewährleisten.)
Das wäre schon schwer genug, wenn du den privaten Schlüssel selber auf den Perso schreibst und der Staat nur das Zertifikat unterschreibt und den öffentlichen Schlüssel speichert.

Da wäre ich außerdem irgendwie ein Fan von zugelosten Blankokarten - damit der Staat eben nicht gewissen Leuten eine kompromittierte Karte unterjubeln kann. Wenn sich jeder selber eine aus dem Stapel zieht, bräuchte ein Angreifer so wesentlich mehr Karten um möglichst vielen definierten Zielen eine Karte mit "Bug" zu geben. So kriegt jeder eine Karte zugeteilt.


These: Es gibt mit diesem "closed source"-Ansatz genauso viele Gründe dem Ansatz zu vertrauen wie ihm zu misstrauen. Oder weniger.

> wenn es Sinnvoll gemacht wird, wird der key direkt aufm Ausweis generiert, ergo der staat kann diesen gar nicht sehen.

Sinnvoll... Bist du dir sicher, dass wir über die gleiche Gruppe reden? (Das BSI unter dem Chef der Schnüffelnasen - "ohne Meinung, ohne Rechte". Und unsere Politiker von Neulandien.)

Ich würde die Karte auch gern sinnvoll nutzen um z.B. Formulare runterzuladen, Anträge online zu stellen oder andere behördliche Vorgänge anzuschubsen aber leider hab ich bisher keine Möglichkeit dafür gefunden.

Secypt Software oder andere. Reiner-SCT RFID Komfort Kartenleser und auf dem Perso ein signme Zertifikat von D-Trust. PDF Formulare laden, ausfüllen, speichern und mit dem genannten Equipment unterzeichnen. Und damit geht das.

An sonsten §126a BGB