<div dir="ltr"><div>Hi,</div><div>kurzer Einwurf:</div>ist nicht sowieso der Private-Key auf einem A-Trust Server, auch wenn er zusätzlich auf der Karte liegt, oder ist das ein anderer? <div><br></div><div>LG<br><div class="gmail_extra">


<br><br><div class="gmail_quote">2013/11/28 Wolfgang Trexler <span dir="ltr"><<a href="mailto:wt-lists@trexler.at" target="_blank">wt-lists@trexler.at</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Am 2013-11-28 09:12, schrieb red667:<div class="im"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
<br>
ich wuerd mal vorschlagen, dass du dir dein mobiltelefon freischlaten<br>
laesst. dann hast du tel nr + passwort und sms code als 2-faktor auth<br>
statt der buergerkare und kannst dir die schwindelige java-software und<br>
den kartenleser sparen.<br>
<br>
freischalten koennen das z.b. die diversen it-abteilungen der<br>
bundeslaender. oder wenn du schon ne buergerkarte hast kannst du das<br>
selber machen.<br>
</blockquote>
<br></div>
Hi,<br>
<br>
auf den ersten Blick klingt die "Handy-Signatur" verlockend, ich würde die aber, aus folgenden Gründen, niemals nehmen:<br>
<br>
.) Du legst Deine Unterschrift die der "Eigenhändigen" gesetzlich gleich gestellt ist (mit Ausnahme Erbschaft & Grundstückskauf) in die Hände eines "Dritten"!<br>
.) Du übergibst die Kontrolle über Sicherheitsmaßnahmen, etc. an diesen "Dritten". Auch wenn die dort in einem HSM liegt und Du dem Betreiber zu 100% vertraust, gibt es gewisse Risken wie ein kompromittiertes Handy.<br>


.) Deine Unterschrift ist _nur_ über ein SMS abgesichert, mit allen Angriffsmöglichkeit gegen SMS/Mobiltelefon.<br>
.) die Haftung ist im Signaturgesetz geregelt und recht strikt, viel Spaß beim Beweis, dass Dein Handy gehakt wurde, etc.<br>
.) die Signatur steht 24x7 "in der Cloud", Du hast keine einfache Möglichkeit das Ding vorübergehend außer Betrieb zu nehmen um z.B. das Risiko zu minimieren.<br>
.) MTM Attacken sind auf einem kompromittieren PC gegen die Digitale Signatur möglich, speziell wenn "nur" ein Web-Viewer zum Einsatz kommt, da es kein unabhängiges Lesegerät gibt auf dem Du prüfen kannst was Du eigentlich tatsächlich unterschreibst. Das ist ein generelles Problem und tritt auch mit Karte/Lesegerät auf, der (angeblich) "sichere Viewer", macht es aber zumindest ein kleinwenig schwieriger.<br>


<br>
Mein Konklusio: Die Signatur auf der Karte mit Kartenleser ist super mühsam, aber man behält wenigstens die Kontrolle darüber wann/wo die Karte zum Einsatz kommt. Und wenn man die Karte aus dem Leser zieht ist wenigstens sicher, dass sie nicht zum Einsatz kommen kann.<br>


<br>
Ich hatte eine Zeitlang eine Signaturkarte mit Leser (beruflich begründet), für mich hat sich aber Aufwand/Nutzen/Risiko nicht gerechnet und ich habe es daher ganz bleiben lassen. Wenn Du mehrere/viele Behördenwege hast die Dig.sig. unterstützen mag es aber den Aufwand wert sein. Ich empfehle Dir Dich zu erkundigen ob die Services die Du im Auge hast auch tatsächlich mit Dig.Sig. funktionieren, zumindest bis vor ein paar Jahren gab es außer Finanz-Online nicht viel.<br>


<br>
LG<span class="HOEnZb"><font color="#888888"><br>
Wolfgang</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
<br>
<br>
______________________________<u></u>_________________<br>
Metalab mailing list<br>
<a href="mailto:Metalab@lists.metalab.at" target="_blank">Metalab@lists.metalab.at</a><br>
<a href="https://lists.metalab.at/mailman/listinfo/metalab" target="_blank">https://lists.metalab.at/<u></u>mailman/listinfo/metalab</a><br>
</div></div></blockquote></div><br></div></div></div>