→ Kommentar zu dem Artikel Der Internet Ausweis in der Ct
Dass der CCC Selbstverständlichkeiten erzählt, wenn er sagt, dass Schadsoftware auf dem Rechner Tastatureingaben abfangen kann, ist klar.
Aber wenn das eine Selbstverständlichkeit ist, dann sollte es auch selbstverständlich sein, dass ein System, das den Nutzern viel mehr Verantwortung am Rechner gibt (amtlicher Identitätsnachweis) auf keinen Fall von der Sicherheit der Tastatureingaben abhängen darf.
Es darf auch nicht davon abhängen, dass dem Nutzer auf dem Bildschirm wirklich die Anfrage gezeigt wird, die an das Lesegerät gesendet wird.
Ob die Karte noch andere Sichenheitslücken hat ist völlig irrelevant: Wenn sie so eine Einladung für Hacker enthält (die mit bereits existierenden Trojanern ausgenutzt werden kann), sollte sie nicht verwendet werden – und erst recht nicht vom Staat ausgegeben.
Frage von Purpur-Tentakel: Die Authentifizierung über den elektronischen Personalausweis ist auf jeden Fall sicherer als die Authentifizierung mittels PGP. Möchtest du jetzt davon abraten PGP zu verwenden?
Ich würde davon abraten, über den Computer einen amtlich bestätigten Identitätsnachweis zu führen. Das mag zwar praktisch klingen, aber effektiv bedeutet es nur, dass ab jetzt digital gestohlene Identitäten amtlich bestätigt und den analogen Identitäten gleichwertig sein werden. Dafür aber viel einfacher zu klauen.
Bevor wir das machen können, müssen Computer deutlich sicherer werden. Und das heißt z.B. kein Windows.
Einzige Möglichkeit, das wirklich sicher zu machen: Ein amtlich gesiegeltes Frontend-Gerät mit Monitor. Du kannst es an den Computer anschließen, aber alle Darstellung von Datenrelevantem geht nur über den Monitor des Gerätes. Damit wird sicher gestellt, dass der Nutzer nicht durch Fehler in seinem Computer Daten preisgibt, die er nicht preisgeben wollte.
Beispiel:
Was dein Computer sieht: Eine verschlüsselte Anfrage vom Spielehändler an das Gerät. Wartezeit (bis du alles geprüft und bestätigt hast). Dann eine verschlüsselte Antwort.
Der Spielehändler erhält genau die Daten, die du freigegeben hast, so verschlüsselt, dass nur er sie lesen kann (seine Anfrage hat er mit einer amtlich bestätigten ID signiert und für deinen öffentlichen Schlüssel verschlüsselt, den das Amt signiert hat).
Use Node:
⚙ Babcom is trying to load the comments ⚙
This textbox will disappear when the comments have been loaded.
If the box below shows an error-page, you need to install Freenet with the Sone-Plugin or set the node-path to your freenet node and click the Reload Comments button (or return).
If you see something like Invalid key: java.net.MalformedURLException: There is no @ in that URI! (Sone/search.html)
, you need to setup Sone and the Web of Trust
If you had Javascript enabled, you would see comments for this page instead of the Sone page of the sites author.
Note: To make a comment which isn’t a reply visible to others here, include a link to this site somewhere in the text of your comment. It will then show up here. To ensure that I get notified of your comment, also include my Sone-ID.
Link to this site and my Sone ID: sone://6~ZDYdvAgMoUfG6M5Kwi7SQqyS-gTcyFeaNN1Pf3FvY
This spam-resistant comment-field is made with babcom.