symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Bundesrat kümmert sich um Internet
Veröffentlicht durch stoney am Donnerstag 18. Januar, 10:20
Aus der Zukunfts Abteilung
Nachrichten kruemelmonster schreibt: "Gleich 2 Geschäfte betreffend Internet sind in den letzten Tagen in der Bundesregierung der Schweiz behandelt worden.
Das eine betrifft die rechtliche Lage der elektronischen Unterschrift (Signatur). Das andere soll den Kauf/Verkauf über das Internet dem Kauf/Verkauf an der Haustüre (a.k.a. Hausieren) gleichgestellt werden."

"Gemäss dem Bundesamt für Justiz die elektronische Signatur mit der eigenhändigen Unterschrift gleichgestellt werden. Der Entwurf sieht auch eine Umkehr der Beweislast vor, sollte die Signatur missbraucht worden sein. Die Signatur beruht auf einem asymetrischen Verfahren, wobei das Zertifikat von einer anerkannten Anbieterin ausgestellt werden muss.

Gemäss einem Entwurf (PDF-Dokument) des Bundesrates soll der Konsumentenschutz im elektronischen Geschäftsverkehr massgeblich ausgebaut werden."

endlich - nicht mehr Amizeit | Internet Wurm wirbt für Nudeln!  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Bundesamt für Justiz
  • Entwurf
  • Entwurf
  • Bundesrates
  • kruemelmonster
  • Mehr zu Nachrichten
  • Auch von stoney
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Details zur elektronischen Unterschrift (Score:4, Informativ)
    Von pfr am Thursday 18. January, 13:15 MET (#1)
    (User #4 Info) http://www.math.ethz.ch/~pfrauenf/
    Die PK-Infrastruktur soll dem X.509-Standard v3 entsprechen. Folgende Signatur-Algorithmen sind zugelassen:
    • RSA, Schlüssellänge min. 1024 Bit
    • DSA, Schlüssellänge min. 1024 Bit
    • DSA, basierend auf elliptischen Kurven, Schlüssellänge min. 160 Bit
    Als Hash-Algorithmen sind zugelassen:
    • SHA-1
    • RIPEMD-160
    Die öffentlichen Schlüssel müssen über LDAP zugänglich sein. Dabei listen die Vorschriften ziemlich viele Punkte auf, die von der Firma, die eine CA sein will, erfüllt werden müssen. Unter anderem muss die Skripting-Fähigkeit verschiedenster Software, die im Unternehmen läuft beschränkt werden (Mail-Server, Browser etc.)

    Zu X.509: die Meta-Certificate Group hat ein schönes Dokument mit einem Überblick über Zertifikatssysteme: X.509, CA, PGP und SKIP. Der wesentliche Unterschied zwischen X.509 (welches zum Beispiel bei SSL oder S/MIME zum Einsatz kommt) und PGP (Pretty Good Privacy von Phil Zimmerman oder auch GPG) ist, wie man das Vertrauen in die Schlüssel bringt. Denn die beste PKI bringt nichts, ohne dass man den Zertifikaten, die man hat, auch vertraut.

    • Bei X.509 wird dieses Vertrauen einfach mal in den Staat oder eine grosse Firma (CA, zum Beispiel Verisign erbracht. Diese CA unterschreibt dann von ihr überprüfte Schlüssel und verhilft ihnen damit zu Vertrauen.
    • Bei PGP muss ein sogenanntes Web of Trust aufgebaut werden. Dh. ich habe jemandes Schlüssel überprüft und unterschreibe ihn. Dieser wiederum kennt jemanden anderes etc. So kann man ein grosses Netzwerk aufbauen.
    Wenn man sich schon ein bisschen mit der Linux/Hacker/Geek-Welt angefreundet hat, dann ist einem natürlich das eher anarchistisch angelegte PGP lieber. Allerdings ist X.509 weiter verbreitet (ist in jedem Netscape und IE eingebaut).
    --
    Kühe geben keine Milch, die Bauern nehmen sie ihnen weg!
    Umgekehrte Beweiskraft (Score:3, Tiefsinnig)
    Von yasa am Thursday 18. January, 14:57 MET (#2)
    (User #254 Info)
    Grundsätzlich finde ich die Vorstösse des Bundesrates gut.
    Jedoch bereitet mir die umgekehrte Beweiskraft ein wenig Sorgen, obwohl mir es auch klar ist, dass nur so digitale Signaturen eigentlich auch Sinn machen.

    Ich sehe da 2. Probleme:
    1. Mein Rechner wird gehackt. Der Eindringling missbraucht meine Signatur (mal Angenommen er hackt auch noch das Passwort um auf den Schlüssel zugreifen zu können). Sind eventuelle Logs, die aber leicht vom Angreiffer modifiziert werden könnten, in ihrer Gegeneweiskraft ausreichend?

    2. Würden die Logs aus dem 1. Beispiel als Gegen-Beweis ausreichen, dann könnte man auch leicht bereits getätigte digitale Vertragsabschlüsse wiederrufen, in dem man seine Logs fälscht und einen Angriff vortäuscht.

    Ich bin jedenfalls gespannt auf das erste Urteil.

    - Yasa

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen