Deutschsprachige CAcert Support Liste

[Bernhard Froehlich <ted AT convey.de>]

Andreas Bürki schrieb:
> Bernhard Froehlich schrieb:
>   
> > [...]
> > Ja, USB-Tokens können sozusagen Chipkarte und Lesegerät in einem
> > implementieren. Hat Vorteile (billiger, praktischer) und Nachteile
> > (z.B. hat man meistens keine Tastatur zur PIN-Eingabe, was meines
> > Wissens für eine qualifizierte Signatur erforderlich ist).
> >     
> Heisst, ich darf den PIN nicht via Rechner eingeben, da die Eingabe
> theoretische abgegriffen werden könnte? -  Schade, das Zertifikat im
> USB-Token hat schon was benutzer- / konsumentenfreundliches, für den
> unbedarften Benutzer ist das wie sein (digitaler) Hausschlüssel. - Damit
> könnte er seinen Rechner hochfahren, E-Mail und Dokumente signieren, usw.
>   

Das mit der externen PIN-Eingabe schützt Dich halt noch ein bischen 
besser vor Keyloggern und ähnlichem, darum ist das wohl im deutschen 
Signaturgesetz für die qualifizierte Signatur (die höchste Stufe!) so 
vorgeschrieben.
Für den üblichen Gebrauch zum Signieren einer Email ist da sicher auch 
die PIN-Eingabe per Tastatur akzeptabel. Und für andere Anwendungen, wie 
z.B. das Einloggen auf dem Computer zu Hause mag es sogar auch ohne PIN 
gehen, dann ist es wie ein Schlüsselbund. :-)

Sicherheit bekommt man nie zu 100%, und welcher Level darunter 
ausreichend ist unterscheidet sich ganz dramatisch zwischen 
verschiedenen Anwendungsfällen.
> Hier in CH setzen die wichtigsten Anbieter darauf.
> Anschub-Subventionierung vom Bund. Sogar bis zum Schwachsinn des ab
> Fabrik generierten persönlichen Schlüssels (sic!).
>   
:-)
> > > [...]
> > Ja. Wobei es auch (relativ billige) Speicherchips gibt die den
> > Speicher mit einer PIN "in Hardware" schützen.
> >     
> Was eigentlich als "Einsteigermodell" ganz passabel wäre.
>   

Ja, klar, nur kannst Du damit kein Windows-Login machen, und zum 
signieren einer Mail mit dem darauf abgelegten Schlüssel musst Du dir 
auch erst die passende Software selber schreiben.
[...]
> > Und eigentlich hast Du dann wieder das Problem dass der private
> > Schlüssel mindestens vorübergehend irgendwo auf einem Rechner und/oder
> > einer Platte rumgeistert, wo er von bösen Hackern, Trojanern oder
> > Festplatten-Nachbesitzern wegkopiert werden kann. Dass sowas gar nicht
> > (ohne signifikanten technischen Aufwand und physikalischem Besitz der
> > Karte) gehen kann ist eigentlich das Key-Feature einer Chipkarte. Wenn
> > deine Platte sicher ist dann kannst Du den Schlüssel ja gleich auf der
> > Platte lassen... :-)
> >     
> Ted, manchmal geht es nur um die "wahrgenommene" Sicherheit... ;-)
>   

Das ist mir bewusst. Nur bin ich Techniker, darum weise ich darauf hin 
dass ich der Meinung bin dass der (schon vorhandene, aber nicht so 
riesige) Sicherheitsgewinn die Unannehmlichkeiten wegen der 
komplizierteren Handhabung nur in seltenen Fällen rechtfertigt. :-)

MfG
Ted
;)

--
PGP Public Key Information
Download complete Key from http://www.convey.de/ted/tedkey_convey.asc
Key fingerprint = 31B0 E029 BCF9 6605 DAC1  B2E1 0CC8 70F4 7AFB 8D26

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature