| |
  |
| Bundesrat kümmert sich um Internet |
|
 |
 |
Veröffentlicht durch stoney am Donnerstag 18. Januar, 10:20
Aus der Zukunfts Abteilung
|
|
 |
 |
 |
kruemelmonster schreibt: "Gleich 2 Geschäfte betreffend Internet sind in den letzten Tagen in der Bundesregierung der Schweiz behandelt worden.
Das eine betrifft die rechtliche Lage der elektronischen Unterschrift (Signatur). Das andere soll den Kauf/Verkauf über das Internet dem Kauf/Verkauf an der Haustüre (a.k.a. Hausieren) gleichgestellt werden."
|
|
 |
 |
< endlich - nicht mehr Amizeit | Internet Wurm wirbt für Nudeln! > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
 |
 |
|
 |
 |
 |
Die PK-Infrastruktur soll dem X.509-Standard v3 entsprechen. Folgende Signatur-Algorithmen sind zugelassen:
- RSA, Schlüssellänge min. 1024 Bit
- DSA, Schlüssellänge min. 1024 Bit
- DSA, basierend auf elliptischen Kurven, Schlüssellänge min. 160 Bit
Als Hash-Algorithmen sind zugelassen:
Die öffentlichen Schlüssel müssen über LDAP zugänglich sein. Dabei listen die Vorschriften ziemlich viele Punkte auf, die von der Firma, die eine CA sein will, erfüllt werden müssen. Unter anderem muss die Skripting-Fähigkeit verschiedenster Software, die im Unternehmen läuft beschränkt werden (Mail-Server, Browser etc.)
Zu X.509: die Meta-Certificate Group hat ein schönes Dokument mit einem Überblick über Zertifikatssysteme: X.509, CA, PGP und SKIP. Der wesentliche Unterschied zwischen X.509 (welches zum Beispiel bei SSL oder S/MIME zum Einsatz kommt) und PGP (Pretty Good Privacy von Phil Zimmerman oder auch GPG) ist, wie man das Vertrauen in die Schlüssel bringt. Denn die beste PKI bringt nichts, ohne dass man den Zertifikaten, die man hat, auch vertraut.
- Bei X.509 wird dieses Vertrauen einfach mal in den Staat oder eine grosse Firma (CA, zum Beispiel Verisign erbracht. Diese CA unterschreibt dann von ihr überprüfte Schlüssel und verhilft ihnen damit zu Vertrauen.
- Bei PGP muss ein sogenanntes Web of Trust aufgebaut werden. Dh. ich habe jemandes Schlüssel überprüft und unterschreibe ihn. Dieser wiederum kennt jemanden anderes etc. So kann man ein grosses Netzwerk aufbauen.
Wenn man sich schon ein bisschen mit der Linux/Hacker/Geek-Welt angefreundet hat, dann ist einem natürlich das eher anarchistisch angelegte PGP lieber. Allerdings ist X.509 weiter verbreitet (ist in jedem Netscape und IE eingebaut). --
Kühe geben keine Milch, die Bauern nehmen sie ihnen weg!
|
|
 |
 |
|
 |
|
 |
 |
|
 |
 |
 |
Grundsätzlich finde ich die Vorstösse des Bundesrates gut. Jedoch bereitet mir die umgekehrte Beweiskraft ein wenig Sorgen, obwohl mir es auch klar ist, dass nur so digitale Signaturen eigentlich auch Sinn machen.
Ich sehe da 2. Probleme:
1. Mein Rechner wird gehackt. Der Eindringling missbraucht meine Signatur (mal Angenommen er hackt auch noch das Passwort um auf den Schlüssel zugreifen zu können). Sind eventuelle Logs, die aber leicht vom Angreiffer modifiziert werden könnten, in ihrer Gegeneweiskraft ausreichend?
2. Würden die Logs aus dem 1. Beispiel als Gegen-Beweis ausreichen, dann könnte man auch leicht bereits getätigte digitale Vertragsabschlüsse wiederrufen, in dem man seine Logs fälscht und einen Angriff vortäuscht.
Ich bin jedenfalls gespannt auf das erste Urteil.
- Yasa
|
|
 |
 |
|
|