Deutschsprachige CAcert Support Liste

[Michael Vogel <icarus AT dabo.de>]

Moin!

2009/11/10 Bernhard Froehlich 
<ted AT convey.de>:
> Michael Vogel schrieb:
>>
>> [...]
>>>
>>> Die Vorgehensweise mit einem Signing Request (CSR), wie bei den
>>> Server-Zertifiakten, wäre an dieser Stelle zumindest als Alternative
>>> sinnvoll, muss aber erst implementiert werden.
>>
>> Ist das in Planung?
>
> Ich hätte es gerne, und wenn ich die Zeit hätte würde ich auch versuchen das
> zu implementieren, aber wie üblich...
> Vermutlich wäre es noch nicht einmal schwierig zu implementieren, man müsste
> wohl nur den Code von der Server-Zertifikatsgenerierung da reinkopieren und
> evtl. anpassen.

Wahrscheinlich hast Du nur nicht die Zeit, oder?

>> Wie sieht das eigentlich mit Chipkarten aus? Ich hab in diesem Bereich
>> ein sehr geringes Halbwissen, deswegen frage ich mal so dumm:
>>
>> Gibt es Chipkarten, die private Schlüssel enthalten (ohne dass man sie
>> auslesen kann) und die für sowas genutzt werden könnten?
>
> Genau das ist der Sinn hinter den Krypto-Chipkarten. Da wird der Schlüssel
> auf dem Chip generiert und der kann den Chip auch nicht verlassen außer Du
> hast ein gut ausgestattetes Halbleiterlabor in dem Du den integrierten
> Speicher direkt kontaktieren kannst.
>
> Genau für die bräuchte man dann unbedingt die Zertifikatsbeantragung per
> CSR, denn anderst bekommt man kein Zertifikat für die.

Okay. Vielleicht sollten wir solange warten, bis das geht.

> OK, manchmal kann man den Schlüssel auch extern generieren und auf den Chip
> laden, das ist aber dann "nix Halbes und nix Ganzes".

D.h. auf dem Rechner erzeugen, signieren lassen und dann auf die Karte
schreiben? Gibt es Karten, die es ermöglichen, dass man einmalig die
Daten draufschreibt und der Schlüssel später nur noch indirekt gelesen
werden könnte? (Wie eine "echte" Kryptokarte?)

>> Es wäre grundsätzlich kein Problem, an die Mitglieder Chipkarten zu
>> verteilen.
>
> Die kosten in der Größenordnung von 20-50 EUR (wenn sie wesentlich billiger
> sind dann sind's keine echten Krypto-Karten sondern nur Speicherkarten, die
> gibt's auch mit PIN), zusätzlich braucht man dann noch einen Leser (ca.
> 50-100 EUR mit Tastatur für PIN-Eingabe, ohne PIN-Tastatur geht's auch
> billiger) und eventuell Software, damit man das auch für den Zweck und in
> der Umgebung nutzen kann, den man haben will.

Vielleicht könnten wir über die Stückzahl den Preis senken.

> Die Verwendung von Chipkarten ist definitiv kein Hexenwerk, kann aber im
> Detail ein paar (üblicherweise lösbare) Probleme machen wenn man nicht alles
> immer so macht wie es alle immer machen... :-)

Wir sind dazu prädestiniert ... ;-)

Michael
-- 
Freiheit schützt man nicht, indem man sie abschafft.