[Metalab] e-Bürgerkarte - Überlegungen

stefan2904 stefan2904 at gmail.com
Thu Nov 28 19:45:09 CET 2013


Hi,
kurzer Einwurf:
ist nicht sowieso der Private-Key auf einem A-Trust Server, auch wenn er
zusätzlich auf der Karte liegt, oder ist das ein anderer?

LG


2013/11/28 Wolfgang Trexler <wt-lists at trexler.at>

> Am 2013-11-28 09:12, schrieb red667:
>
>  Hi,
>>
>> ich wuerd mal vorschlagen, dass du dir dein mobiltelefon freischlaten
>> laesst. dann hast du tel nr + passwort und sms code als 2-faktor auth
>> statt der buergerkare und kannst dir die schwindelige java-software und
>> den kartenleser sparen.
>>
>> freischalten koennen das z.b. die diversen it-abteilungen der
>> bundeslaender. oder wenn du schon ne buergerkarte hast kannst du das
>> selber machen.
>>
>
> Hi,
>
> auf den ersten Blick klingt die "Handy-Signatur" verlockend, ich würde die
> aber, aus folgenden Gründen, niemals nehmen:
>
> .) Du legst Deine Unterschrift die der "Eigenhändigen" gesetzlich gleich
> gestellt ist (mit Ausnahme Erbschaft & Grundstückskauf) in die Hände eines
> "Dritten"!
> .) Du übergibst die Kontrolle über Sicherheitsmaßnahmen, etc. an diesen
> "Dritten". Auch wenn die dort in einem HSM liegt und Du dem Betreiber zu
> 100% vertraust, gibt es gewisse Risken wie ein kompromittiertes Handy.
> .) Deine Unterschrift ist _nur_ über ein SMS abgesichert, mit allen
> Angriffsmöglichkeit gegen SMS/Mobiltelefon.
> .) die Haftung ist im Signaturgesetz geregelt und recht strikt, viel Spaß
> beim Beweis, dass Dein Handy gehakt wurde, etc.
> .) die Signatur steht 24x7 "in der Cloud", Du hast keine einfache
> Möglichkeit das Ding vorübergehend außer Betrieb zu nehmen um z.B. das
> Risiko zu minimieren.
> .) MTM Attacken sind auf einem kompromittieren PC gegen die Digitale
> Signatur möglich, speziell wenn "nur" ein Web-Viewer zum Einsatz kommt, da
> es kein unabhängiges Lesegerät gibt auf dem Du prüfen kannst was Du
> eigentlich tatsächlich unterschreibst. Das ist ein generelles Problem und
> tritt auch mit Karte/Lesegerät auf, der (angeblich) "sichere Viewer", macht
> es aber zumindest ein kleinwenig schwieriger.
>
> Mein Konklusio: Die Signatur auf der Karte mit Kartenleser ist super
> mühsam, aber man behält wenigstens die Kontrolle darüber wann/wo die Karte
> zum Einsatz kommt. Und wenn man die Karte aus dem Leser zieht ist
> wenigstens sicher, dass sie nicht zum Einsatz kommen kann.
>
> Ich hatte eine Zeitlang eine Signaturkarte mit Leser (beruflich
> begründet), für mich hat sich aber Aufwand/Nutzen/Risiko nicht gerechnet
> und ich habe es daher ganz bleiben lassen. Wenn Du mehrere/viele
> Behördenwege hast die Dig.sig. unterstützen mag es aber den Aufwand wert
> sein. Ich empfehle Dir Dich zu erkundigen ob die Services die Du im Auge
> hast auch tatsächlich mit Dig.Sig. funktionieren, zumindest bis vor ein
> paar Jahren gab es außer Finanz-Online nicht viel.
>
> LG
> Wolfgang
>
>
>
>
> _______________________________________________
> Metalab mailing list
> Metalab at lists.metalab.at
> https://lists.metalab.at/mailman/listinfo/metalab
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.metalab.at/pipermail/metalab/attachments/20131128/e6d4459f/attachment.html>


More information about the Metalab mailing list