1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Bundesweite Einkommensdatenbank…

Signaturkarte considered harmful

  1. Thema

Neues Thema Ansicht wechseln


  1. Signaturkarte considered harmful

    Autor: Siga 25.06.08 - 15:05

    Mit so einer Signaturkarte für Harz4-Empfänger kann vermutlich jeder der die PIN hat, in dessen Namen RECHTSKRÄFTIGE MIT DER UNTERSCHRIFT GLEICHGESETZTE Verträge unterschreiben. Zumindest bis eigenhändig doch bessergestellt wird was bei "bei EC-Kartenverlust hat der Eigentümer sicher die PIN aufgeschrieben und ist voll haftbar"-Gerichten die den Banken mehr vertrauen als Bürgern sehr lange dauern wird.

    Es wäre also sinnvoll, wenn Golem darauf hinweisen würde falls meine Vermutung stimmt. Millionen kriegen gegen ihren Willen eine problematische Signaturkarte verpasst.

    Eine abgeschwächte Signaturkarte würde ja auch reichen oder nur die ID auf der Karte und den Rest per Unterschrift wenn man am Amt den Antrag unterschreibt. Der Antrag kann/muss am PC vor Ort oder zu Hause ausgefüllt werden ohne Signaturkarte oder solchen Schnickschnack. Der Sachbearbeiter checkert täglich drüber und gibt per Email Rückmeldung "diesmal aber das ArztAttest mitbringen" "die Quittung nicht vergessen" "die Anmeldebestätigung für die Schulung nicht vergessen" o.ä.
    Aber so schlau sind Arbeitsämter leider nicht. Wenn man am Amt erscheint, wird der Antrag ausgedruckt und unterschrieben wenn man schlau wäre.

    Ich warte schon auf die ersten Berichte wie "Drogenjunkie verkaufte (digitale) Identität" o.ä. in 1-2 Jahren. Dann Versprechen das nachgebessert wird. Dann noch mehr Drogenjunkies mit verkaufter Identität und halbgare Möchtegern-Lösungen :-( Und das Nachbessern und die fetten Fehler bezahlen wir mit Steuern, Arbeitslosenversicherung, Einbrüchen von Junkies/Beschaffungskriminalität,... !

  2. Re: Signaturkarte considered harmful

    Autor: Jay Äm 25.06.08 - 15:25

    Siga schrieb:
    -------------------------------------------------------
    > Mit so einer Signaturkarte für Harz4-Empfänger
    > kann vermutlich jeder der die PIN hat, in dessen
    > Namen RECHTSKRÄFTIGE MIT DER UNTERSCHRIFT
    > GLEICHGESETZTE Verträge unterschreiben. Zumindest
    > bis eigenhändig doch bessergestellt wird was bei
    > "bei EC-Kartenverlust hat der Eigentümer sicher
    > die PIN aufgeschrieben und ist voll
    > haftbar"-Gerichten die den Banken mehr vertrauen
    > als Bürgern sehr lange dauern wird.

    Ich war eine Weile bei der Regierung beschäftigt - die digitale Signatur und die dazugehörige Karte war eines meiner Spezialthemen.

    Also: Eine persönliche Signatur ist KEIN PIN. Ihre Benutzung könnte von einem PIN abhängig gemacht werden, wirklich wichtig ist aber der Besitz einer Signaturkarte.

    Besitzt Du so eine Karte, kannst Du mit dieser Karte Daten verschlüsseln. Das funktioniert so, das ein Datenstrom in die Karte geleitet wird, die Karte diesen Datenstrom verschlüsselt und direkt wieder ausgibt. Ohne die Karte ist das nicht zu machen; der eigentliche Verschlüsselungsalgorhytmus sitzt fest auf der Karte. Den kann man da nicht "rauskopieren", weil es sich um keine Software handelt. Um die Karte auszulesen, müsste man Schicht für Schicht vom Chip entfernen und mit einem Elektronenrastermikroskop auslesen. Das wäre irre aufwändig.

    Die entsprechenden Kartenlesegeräte dürften mit einer Zahlentastatur ausgestattet werden, über die man eine PIN eingibt. Das hat den Vorteil, das man die eingegebene PIN immerhin nicht einfach per Keylogger auslesen kann und auf der anderen Hand, das ein Kartenverlust nicht automatisch einen Identitätsverlust darstellt.

    Eine Sicherheitslücke, so, wie Du sie Dir vorstellst hat das System nicht. Aber eine ganze Menge anderer. Darum, meine Empfehlung als jemand, der das System in und auswendig kennt:

    Besorg Dir AUF KEINEN FALL diese Karte. Ich werde sie mir jedenfalls nicht holen, solange es sich irgendwie verhindern lässt.

  3. Re: Signaturkarte considered harmful

    Autor: san 25.06.08 - 15:41

    Jay Äm schrieb:
    -------------------------------------------------------
    > Siga schrieb:
    > --------------------------------------------------
    > -----
    > > Mit so einer Signaturkarte für
    > Harz4-Empfänger
    > kann vermutlich jeder der die
    > PIN hat, in dessen
    > Namen RECHTSKRÄFTIGE MIT
    > DER UNTERSCHRIFT
    > GLEICHGESETZTE Verträge
    > unterschreiben. Zumindest
    > bis eigenhändig
    > doch bessergestellt wird was bei
    > "bei
    > EC-Kartenverlust hat der Eigentümer sicher
    >
    > die PIN aufgeschrieben und ist voll
    >
    > haftbar"-Gerichten die den Banken mehr
    > vertrauen
    > als Bürgern sehr lange dauern
    > wird.
    >
    > Ich war eine Weile bei der Regierung beschäftigt -
    > die digitale Signatur und die dazugehörige Karte
    > war eines meiner Spezialthemen.
    >
    > Also: Eine persönliche Signatur ist KEIN PIN. Ihre
    > Benutzung könnte von einem PIN abhängig gemacht
    > werden, wirklich wichtig ist aber der Besitz einer
    > Signaturkarte.
    >

    Richtig.

    > Besitzt Du so eine Karte, kannst Du mit dieser
    > Karte Daten verschlüsseln. Das funktioniert so,
    > das ein Datenstrom in die Karte geleitet wird, die
    > Karte diesen Datenstrom verschlüsselt und direkt
    > wieder ausgibt.

    CRAAAAAAAAAAAAAAAP!!!111
    Die Karte verschlüsselt NIX. Sie enthält lediglich mehrere Schlüsselpaare (private/public key). Eines davon dient der Verschlüsselung. Die eigentliche Verschlüsselung erfolgt immernoch auf dem Rechner des jeweiligen Sachbearbeiters.

    > Ohne die Karte ist das nicht zu
    > machen; der eigentliche
    > Verschlüsselungsalgorhytmus sitzt fest auf der
    > Karte. Den kann man da nicht "rauskopieren", weil
    > es sich um keine Software handelt.

    Wenn ich sowas les wird mir schlecht.

    > Um die Karte
    > auszulesen, müsste man Schicht für Schicht vom
    > Chip entfernen und mit einem
    > Elektronenrastermikroskop auslesen. Das wäre irre
    > aufwändig.

    > Die entsprechenden Kartenlesegeräte dürften mit
    > einer Zahlentastatur ausgestattet werden, über die
    > man eine PIN eingibt. Das hat den Vorteil, das man
    > die eingegebene PIN immerhin nicht einfach per
    > Keylogger auslesen kann und auf der anderen Hand,
    > das ein Kartenverlust nicht automatisch einen
    > Identitätsverlust darstellt.
    >
    > Eine Sicherheitslücke, so, wie Du sie Dir
    > vorstellst hat das System nicht. Aber eine ganze
    > Menge anderer. Darum, meine Empfehlung als jemand,
    > der das System in und auswendig kennt:
    >
    > Besorg Dir AUF KEINEN FALL diese Karte. Ich werde
    > sie mir jedenfalls nicht holen, solange es sich
    > irgendwie verhindern lässt.

    Da du das System so gut kennst....Welche anderen Sicherheitslücken fallen dir denn bei dem System so ein?

    Achja...den Staat interessierts nicht ob du ne Karte hast oder nicht. Es ist schließlich dein Problem wenn du Sozialleistungen beantragen willst, aber leider nicht kannst.

    Wenn nur so Leute wie du bei der Regierung arbeiten, die meinen sie kennen sich vermeintlich so gut aus in ihren "Spezialthemen", dann wird mir auch klar wieso 80% der IT Großprojekte des Bundes gegen die Wand gefahren werden. Unglaublich...mir wird so schlecht.

  4. Re: Signaturkarte considered harmful

    Autor: sic_nature_card 25.06.08 - 15:58

    > Besitzt Du so eine Karte, kannst Du mit dieser
    > Karte Daten verschlüsseln. Das funktioniert so,
    > das ein Datenstrom in die Karte geleitet wird, die
    > Karte diesen Datenstrom verschlüsselt und direkt
    > wieder ausgibt.

    Wow, ich hoff dass du net wirklich bei der Regierung gearbeitet hast.
    Bzw. die das dort net alle glauben. Ansonsten würd ich mal ganz unten anfangen und nachlesen was eine elektronische Signatur is, und was ein private bzw. publik key is.

    Eigentlich sollte man den Eintrag löschen, nicht dass da noch jemand über google drauf stößt. Sorry, aber ...

  5. Wenn man keine Ahnung hat...

    Autor: Jay Äm 25.06.08 - 16:18

    san schrieb:
    -------------------------------------------------------
    > CRAAAAAAAAAAAAAAAP!!!111
    > Die Karte verschlüsselt NIX. Sie enthält lediglich
    > mehrere Schlüsselpaare (private/public key). Eines
    > davon dient der Verschlüsselung. Die eigentliche
    > Verschlüsselung erfolgt immernoch auf dem Rechner
    > des jeweiligen Sachbearbeiters.

    Das ist falsch. Du verwechselst da die qualifizierte persönliche Signatur mit dem Schlüsselpaar, das der digitale Personalausweis haben soll. Hat beides nichts miteinander zu tun.



    Moredread schrieb:
    -------------------------------------------------------
    > Ohne die Karte ist das nicht zu
    > machen;
    > der eigentliche
    > Verschlüsselungsalgorhytmus
    > sitzt fest auf der
    > Karte. Den kann man da
    > nicht "rauskopieren", weil
    > es sich um keine
    > Software handelt.

    san schrieb:
    -------------------------------------------------------
    > Wenn ich sowas les wird mir schlecht.

    Ich wusste nicht, das fehlendes Wissen auf den Bauch schlagen kann, das tut mir natürlich leid für Dich.

    Die ganzen Vorgaben zur Karte stammen vom BSI, die wiederum lediglich der Europäischen Signaturrichtlinie folgen. Ich hatte auch Tests in der Hand, in der beschrieben wurde, wie ein Aufbau aussieht, mit denen man selbst solche Karten knacken kann - und welche Gegenmaßnahmen aufgrund dieser Tatsache in die entsprechenden Smartcards integriert werden soll. Kurz und gut: Ich habe Recht, und Du keine Ahnung. Wenn Du es mir nicht glaubst, bitteschön:

    http://www.bsi.bund.de/esig/techreal.htm



    san schrieb:
    -------------------------------------------------------
    > Da du das System so gut kennst....Welche anderen
    > Sicherheitslücken fallen dir denn bei dem System
    > so ein?

    Was nützen Dir Timestamps ohne dazugehörigen fälschungssicheren Timeserver? Ist nur eins der Dinge, das augenscheinlich ist. Es gibt noch viele, viele andere Lücken :-)



    san schrieb:
    -------------------------------------------------------
    > Achja...den Staat interessierts nicht ob du ne
    > Karte hast oder nicht. Es ist schließlich dein
    > Problem wenn du Sozialleistungen beantragen
    > willst, aber leider nicht kannst.

    Aha. Habe ich davon gesprochen? Nein? Warum erzählst Du mir dann von sowas? Junge, Du weißt nicht mal, worüber wir hier reden. Lass Dich nicht hängen - lern lesen.



    san schrieb:
    -------------------------------------------------------
    > Wenn nur so Leute wie du bei der Regierung
    > arbeiten, die meinen sie kennen sich vermeintlich
    > so gut aus in ihren "Spezialthemen", dann wird mir
    > auch klar wieso 80% der IT Großprojekte des Bundes
    > gegen die Wand gefahren werden. Unglaublich...mir
    > wird so schlecht.

    Du bist ein typisches Beispiel für den Dunning-Kruger-Effekt: Nicht den geringsten Schimmer, worum es geht, aber einfach mal die Klappe aufreissen.

    Aber Du bist ein wunderschönes Beispiel für den Scheiß, den man sich anhören muss, wenn man in entsprechenden Stellen arbeitet: Ständig melden sich Klugscheißer die meinen, etwas verbessern zu müssen, wovon sie keine Ahnung haben.

  6. Re: Signaturkarte considered harmful

    Autor: Jay Äm 25.06.08 - 16:21

    sic_nature_card schrieb:
    -------------------------------------------------------
    > Wow, ich hoff dass du net wirklich bei der
    > Regierung gearbeitet hast.
    > Bzw. die das dort net alle glauben. Ansonsten würd
    > ich mal ganz unten anfangen und nachlesen was eine
    > elektronische Signatur is, und was ein private
    > bzw. publik key is.

    Das weiß ich. Kennt man von PGP, bei der Signatur läuft es aber genau andersrum: Nur einer kann verschlüsseln, aber jeder entschlüsseln.

    Den nichtöffentlichen Teil des Schlüsselpaars wird man natürlich auf keinem Datenträger packen. Wozu auch? Eine Smartcard reicht völlig aus. Aber da du ja sooo clever bist, weißt Du das bestimmt. Vor allem weißt Du, was eine elektronische Signatur von einer qualifizierten elektronischen Signatur unterscheidet.


    > Eigentlich sollte man den Eintrag löschen, nicht
    > dass da noch jemand über google drauf stößt.
    > Sorry, aber ...

    Stimmt. Es könnte ja jemand auf Dein Posting stoßen und es glauben. Das sollte man verhindern...

  7. Re: Signaturkarte considered harmful

    Autor: uiuiu 25.06.08 - 16:35

    > Den nichtöffentlichen Teil des Schlüsselpaars wird
    > man natürlich auf keinem Datenträger packen. Wozu
    > auch? Eine Smartcard reicht völlig aus. Aber da du
    > ja sooo clever bist, weißt Du das bestimmt.

    Was erzählst du eigentlich für einen Unsinn? Natürlich weiß ich wie eine PKI funktioniert.

    Wenn du aber sagst dass die Karte den Datenstrom selbständig verschlüsseln kann, und dafür braucht sie ja den Private Key :-), diesen würde man aber "natürlich auf keinem Datenträger packen." wie beispielsweise deine Karte. Dann sag mir doch mal wie sie das macht?

    Geb dir auch genügend Zeit dein Fachinformatiker Wissen ( allerhöchstens ) durch googel auszubauen. Glaub aber dass es einen grund gibt dass wenn du mal dort gearbeitet hast, du nimmer dort arbeitest.
    Wenn es nicht dein Wissen ist, war es deine Art zu kommunizieren.

    Gruß

  8. Re: Wenn man keine Ahnung hat...

    Autor: san 25.06.08 - 17:34

    Jay Äm schrieb:
    -------------------------------------------------------
    > san schrieb:
    > --------------------------------------------------
    > -----
    > > CRAAAAAAAAAAAAAAAP!!!111
    > Die Karte
    > verschlüsselt NIX. Sie enthält lediglich
    >
    > mehrere Schlüsselpaare (private/public key).
    > Eines
    > davon dient der Verschlüsselung. Die
    > eigentliche
    > Verschlüsselung erfolgt immernoch
    > auf dem Rechner
    > des jeweiligen
    > Sachbearbeiters.
    >
    > Das ist falsch. Du verwechselst da die
    > qualifizierte persönliche Signatur mit dem
    > Schlüsselpaar, das der digitale Personalausweis
    > haben soll. Hat beides nichts miteinander zu tun.
    >

    Leider nein. Das Projekt sah von Anfang an vor 3 Schlüsselpaare auf einer (beliebigen) Karte unterzubringen (im Gespräch waren z.B. die Gesundheitskarte bzw. Bankkarten). Eines für die Signatur von Dokumenten, eines für Verschlüsselung und eines für die Authentifizierung.
    Aber gut... du weißt es eh besser ^^

    In einer Sache hast du tatsächlich vollkommen recht: Der kommende digitale Personalausweis kann Schlüsselpaare speichern ^^

    Vielleicht sagt dir ja die "eCard Strategie der Bundesregierung" von 2005 was... wenn nicht, google mal danach um paar Wissenslücken zu füllen. Oder besuch doch gleich die Seiten des eigentlichen Projektträgers.

    >
    > Moredread schrieb:
    > --------------------------------------------------
    > -----
    > > Ohne die Karte ist das nicht zu
    >
    > machen;
    > der eigentliche
    >
    > Verschlüsselungsalgorhytmus
    > sitzt fest auf
    > der
    > Karte. Den kann man da
    > nicht
    > "rauskopieren", weil
    > es sich um keine
    >
    > Software handelt.
    >
    > san schrieb:
    > --------------------------------------------------
    > -----
    > > Wenn ich sowas les wird mir schlecht.
    >
    > Ich wusste nicht, das fehlendes Wissen auf den
    > Bauch schlagen kann, das tut mir natürlich leid
    > für Dich.
    >
    Danke für dein Mitleid ^^ machste mir nen Pfefferminztee?

    > Die ganzen Vorgaben zur Karte stammen vom BSI, die
    > wiederum lediglich der Europäischen
    > Signaturrichtlinie folgen. Ich hatte auch Tests in
    > der Hand, in der beschrieben wurde, wie ein Aufbau
    > aussieht, mit denen man selbst solche Karten
    > knacken kann - und welche Gegenmaßnahmen aufgrund
    > dieser Tatsache in die entsprechenden Smartcards
    > integriert werden soll. Kurz und gut: Ich habe
    > Recht, und Du keine Ahnung. Wenn Du es mir nicht
    > glaubst, bitteschön:
    >
    > www.bsi.bund.de
    >
    >

    Nur weil du weißt, wie eine Smartcard aufgebaut ist und wie man die knacken kann, heißt das nicht das du auch nen Schimmer hast wie das JobCard (oder jetzt ELENA) Verfahren abläuft.

    Aber halt: du hast ja Recht. Ich vergaß.

    >
    > san schrieb:
    > --------------------------------------------------
    > -----
    > > Da du das System so gut kennst....Welche
    > anderen
    > Sicherheitslücken fallen dir denn bei
    > dem System
    > so ein?
    >
    > Was nützen Dir Timestamps ohne dazugehörigen
    > fälschungssicheren Timeserver? Ist nur eins der
    > Dinge, das augenscheinlich ist. Es gibt noch
    > viele, viele andere Lücken :-)
    >
    > san schrieb:
    > --------------------------------------------------
    > -----
    > > Achja...den Staat interessierts nicht ob du
    > ne
    > Karte hast oder nicht. Es ist schließlich
    > dein
    > Problem wenn du Sozialleistungen
    > beantragen
    > willst, aber leider nicht kannst.
    >
    > Aha. Habe ich davon gesprochen? Nein? Warum
    > erzählst Du mir dann von sowas? Junge, Du weißt
    > nicht mal, worüber wir hier reden. Lass Dich nicht
    > hängen - lern lesen.

    Ich bin aber erst beim Buchstaben K...wie Klugscheisser :(

    >
    >
    > san schrieb:
    > --------------------------------------------------
    > -----
    > > Wenn nur so Leute wie du bei der
    > Regierung
    > arbeiten, die meinen sie kennen
    > sich vermeintlich
    > so gut aus in ihren
    > "Spezialthemen", dann wird mir
    > auch klar
    > wieso 80% der IT Großprojekte des Bundes
    >
    > gegen die Wand gefahren werden.
    > Unglaublich...mir
    > wird so schlecht.
    >
    > Du bist ein typisches Beispiel für den
    > Dunning-Kruger-Effekt: Nicht den geringsten
    > Schimmer, worum es geht, aber einfach mal die
    > Klappe aufreissen.
    >
    > Aber Du bist ein wunderschönes Beispiel für den
    > Scheiß, den man sich anhören muss, wenn man in
    > entsprechenden Stellen arbeitet: Ständig melden
    > sich Klugscheißer die meinen, etwas verbessern zu
    > müssen, wovon sie keine Ahnung haben.

    Na wenn du der Meinung bist, kann ich wohl kaum was dagegen tun.
    Glaub mir: Ich habe mich mit diesem Thema mehrfach intensivst beschäftigt. Ich weiß wovon ich rede und ich denke mal das ich auch Einblick in ein paar Sachen hatte die dir nicht bekannt sind.

  9. Re: Wenn man keine Ahnung hat...

    Autor: san 25.06.08 - 17:43

    >
    > Die ganzen Vorgaben zur Karte stammen vom BSI, die
    > wiederum lediglich der Europäischen
    > Signaturrichtlinie folgen. Ich hatte auch Tests in
    > der Hand, in der beschrieben wurde, wie ein Aufbau
    > aussieht, mit denen man selbst solche Karten
    > knacken kann - und welche Gegenmaßnahmen aufgrund
    > dieser Tatsache in die entsprechenden Smartcards
    > integriert werden soll. Kurz und gut: Ich habe
    > Recht, und Du keine Ahnung. Wenn Du es mir nicht
    > glaubst, bitteschön:
    >
    > www.bsi.bund.de
    >

    Ach und eh ichs vergesse: Das feine BSI ist überhaupt erst daran Schuld das man vom durchgehenden asymmetrisches Verschlüsselungsverfahren abgegangen ist um es durch ein symmetrisches Verfahren zu ersetzen, in dem jeder der in Besitz der Masterkeys ist, alles entschlüsseln kann.

  10. Re: Signaturkarte considered harmful

    Autor: Wombat 25.06.08 - 18:45

    uiuiu schrieb:
    -------------------------------------------------------
    iert.
    >
    > Wenn du aber sagst dass die Karte den Datenstrom
    > selbständig verschlüsseln kann, und dafür braucht
    > sie ja den Private Key :-), diesen würde man aber
    > "natürlich auf keinem Datenträger packen." wie
    > beispielsweise deine Karte. Dann sag mir doch mal
    > wie sie das macht?

    Der Private Key könnte doch auch individuell und ebenfalls auf der Karte sein. Produktionstechnisch ist das ja nur ein Arbeitsschritt mehr.

  11. Re: Signaturkarte considered harmful

    Autor: Jay Äm 26.06.08 - 15:52

    uiuiu schrieb:
    -------------------------------------------------------
    > Wenn du aber sagst dass die Karte den Datenstrom
    > selbständig verschlüsseln kann, und dafür braucht
    > sie ja den Private Key :-), diesen würde man aber
    > "natürlich auf keinem Datenträger packen." wie
    > beispielsweise deine Karte. Dann sag mir doch mal
    > wie sie das macht?

    Das habe ich bereits beschrieben: Datenstrom rein - Verschlüsselung - Datenstrom raus. Wenn Du nicht weißt, was mit Smartcards machbar ist, kann ich nichts dafür.

    Und nein, man muss den Schlüssel NICHT speichern. Er ist nicht auslesbar, weil er nicht magnetisch auf der Karte befindlich ist. Mithilfe von Lasern werden Leiterbahnen zerstört - daher kommt der eigentliche Private Schlüssel. Um den auszulesen, benötigst Du einen Elektronenrastermikroskop. Aber als Schlaubi Schlumpf kannst Du mir bestimmt sagen, wie das sonst funktioniert.


    > Geb dir auch genügend Zeit dein Fachinformatiker
    > Wissen ( allerhöchstens ) durch googel auszubauen.

    Eristische Dialektik, weil Du keine Argumente vorzuweisen hast? *gähn*



    > Glaub aber dass es einen grund gibt dass wenn du
    > mal dort gearbeitet hast, du nimmer dort
    > arbeitest.
    > Wenn es nicht dein Wissen ist, war es deine Art zu
    > kommunizieren.

    Und weitere Beleidigungen... *gähn*. Du verstehst nicht, wovon ich rede, machst Dir nicht die Mühe, Dich zu informieren aber reisst laut die Klappe auf?

    DU bist Deutschland :-D

  12. Re: Wenn man keine Ahnung hat...

    Autor: Jay Äm 26.06.08 - 15:57

    san schrieb:
    -------------------------------------------------------
    > Na wenn du der Meinung bist, kann ich wohl kaum
    > was dagegen tun.
    > Glaub mir: Ich habe mich mit diesem Thema mehrfach
    > intensivst beschäftigt. Ich weiß wovon ich rede
    > und ich denke mal das ich auch Einblick in ein
    > paar Sachen hatte die dir nicht bekannt sind.

    Lies Dir die eingehende Frage noch mal durch und überleg einfach nochmal. Und "Einsicht in Sachen" hatte ich auch, da ich mit den für die qualifizierte digitalen Signatur zuständigen Personen direkt - also vor Ort, Auge in Auge - gesprochen habe.

    Dass es dämliche Konzepte gibt bestreite ich nicht mal. Aber die Darstellung zum Thema "Identitätsdiebstahl mittels digitaler Signatur" ist schlicht falsch. Alles andere, worüber hier geredet wird, hat letztlich nichts mit der eröffnenden Frage zu tun.

    So, und hier, Dein Tee:

    cU

  13. Re: Wenn man keine Ahnung hat...

    Autor: Jay Äm 26.06.08 - 15:58

    san schrieb:
    -------------------------------------------------------
    > >
    > Die ganzen Vorgaben zur Karte stammen
    > vom BSI, die
    > wiederum lediglich der
    > Europäischen
    > Signaturrichtlinie folgen. Ich
    > hatte auch Tests in
    > der Hand, in der
    > beschrieben wurde, wie ein Aufbau
    > aussieht,
    > mit denen man selbst solche Karten
    > knacken
    > kann - und welche Gegenmaßnahmen aufgrund
    >
    > dieser Tatsache in die entsprechenden
    > Smartcards
    > integriert werden soll. Kurz und
    > gut: Ich habe
    > Recht, und Du keine Ahnung.
    > Wenn Du es mir nicht
    > glaubst,
    > bitteschön:
    >
    > www.bsi.bund.de
    >
    > Ach und eh ichs vergesse: Das feine BSI ist
    > überhaupt erst daran Schuld das man vom
    > durchgehenden asymmetrisches
    > Verschlüsselungsverfahren abgegangen ist um es
    > durch ein symmetrisches Verfahren zu ersetzen, in
    > dem jeder der in Besitz der Masterkeys ist, alles
    > entschlüsseln kann.

    Du weißt nicht mal, wovon ich rede. Bei einer digitalen Signatur darf jeder entschlüsseln, aber nur einer verschlüsseln.

    Sechs, setzen.

  14. Re: Wenn man keine Ahnung hat...

    Autor: san 27.06.08 - 09:49

    >
    > Ach und eh
    > ichs vergesse: Das feine BSI ist
    > überhaupt
    > erst daran Schuld das man vom
    > durchgehenden
    > asymmetrisches
    > Verschlüsselungsverfahren
    > abgegangen ist um es
    > durch ein symmetrisches
    > Verfahren zu ersetzen, in
    > dem jeder der in
    > Besitz der Masterkeys ist, alles
    >
    > entschlüsseln kann.
    >
    > Du weißt nicht mal, wovon ich rede. Bei einer
    > digitalen Signatur darf jeder entschlüsseln, aber
    > nur einer verschlüsseln.
    >
    > Sechs, setzen.
    >

    Okay, nochmal: mir ist die Funktionsweise einer Signatur und einer PKI vertraut. Natürlich kann JEDER entschlüsseln aber nur einer Verschlüssseln, sonst könnte ja keiner die Signatur bzw. ein signiertes Dokument auf ihre Gültigkeit bzw. Rechtmässigkeit prüfen.

    Was ich mit der Verschlüsselung meinte, war der Vorgang innerhalb der Zentralen Speicherstelle (ZSS) in der die Daten des Arbeitnehmers letztendlich verschlüsselt gespeichert werden, damit sie für alle angeschlossenen Stellen abrufbar sind. Und hierbei hat man eben ein symmetrisches Verfahren gewählt, anstatt den Schlüssel des Karteninhabers zu verwenden. Als Gründe dafür wurde unter anderem angeführt, das bei Kartenverlust alle bisher verschlüsselt gespeicherten Daten unbrauchbar werden, wenn der Schlüssel durch Kartendiebstahl oder -verlust futsch ist.
    Somit setzt man eben auf Masterkeys, damit man jederzeit auch ohne zutun des Karteninhabers die Daten entschlüsseln kann.




  15. Hey, Jay Äm,

    Autor: nobbli 06.03.09 - 21:36

    ich werde mir deinen Namen merken. Ab jetzt ist er das Synonym für jemanden, der von dem, worüber er reden wirklich gar keinen Dunst hat.

    Echt jämmerlich. Du bringst wirklich alles durcheinander!!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über experteer GmbH, Norddeutschland
  2. Bundesnachrichtendienst, Bad Aibling
  3. über duerenhoff GmbH, Reutlingen
  4. Felsomat GmbH & Co. KG, Königsbach-Stein

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. bei o2 für 42,99€ pro Monat (24 Monate Laufzeit)
  2. (u. a. LG 43UP76906LE 43 Zoll LCD für 482,50€ (inkl. Cashback), Gigaset C 430 A Duo 2x...
  3. 55,99€ (Bestpreis)
  4. 413,10€ (mit Rabattcode "PRAKTISCH" - Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme