[Metalab] e-Bürgerkarte - Überlegungen

[Michael Kafka]

> On 2013-11-28 22:53, Michael Kafka wrote:
>> Ohai,
>>
>> nach allen Regeln von PKI und digitalen Zertifikaten darf
>> der Pirvate-Key nur auf der Chipkarte sein. Der Public-Key
>> kann sehr wohl noch an anderen Orten gespeichert sein.
>>
>> Wenn jemand etwas anderes zur Bürgerkarte weiss, wäre ich
>> mehr als interessiert das zu erfahren (gerne auch off-list,
>> mein PGP key liegt mehrfach signiert auf den üblichen Key-
>> Servern), das wäre der Knaller auf der nächsten DeepSec.
>>
>> Greets,
>>
>> MiKa
>> 

On 13/11/29/ 12:53, Sebastian Bachmann wrote:
> der private schlüssel der handy signatur liegt scheinbar bei a-trust:
> A-Trust verschlüsselt den Hash-Wert mit dem privaten Schlüssel und
> sendet das Ergebnis (d.h. den signierten Hash-Wert) an FinanzOnline.
> 
> vgl http://www.buergerkarte.at/experten-informationen.html#jump2 / Mit
> dem Handy punkt 9
> 
> lg


Die Diskussion entwickelt sich recht spannend, Handy-Signatur hatte
ich mir bisher nicht genau angesehen:

SigG § 2.3.c):
"mit Mitteln erstellt wird, die der Signator unter seiner alleinigen
 Kontrolle halten kann, "

Handy-Signatur:
"Bei Bürgerkarte am Handy: das Hochsicherheits-Rechenzentrum
 der A-Trust (Zugriff durch das Handy-Signatur Passwort geschützt)"

Wie kann ein Signator alleinige Kontrolle des
Hochsicherheits-Rechenzentrums erlangen, bzw. wie ist gesichert, dass es
keine
wie auch immer geartete Möglichkeit gibt, zu signieren, ohne dass
der Signator sein Handy-Signatur Passwort eingibt? Über welche Wege
wird das Handy-Signatur Passwort übertragen, wie ist es dort gesichert,
wo ist das Passwort bei der A-Trust gespeichert, wie wird die
Authentizität des H.Sig.Passwortes überprüft?

Wir hatten letzte Woche ein paar spannende Vorträge über Smart-
phones und deren Sicherheit.

Greets,

MiKa