[Metalab] e-Bürgerkarte - Überlegungen

[Sebastian Bachmann]

On 2013-11-29 13:22, Michael Kafka wrote:
>> On 2013-11-28 22:53, Michael Kafka wrote:
>>> Ohai,
>>> 
>>> nach allen Regeln von PKI und digitalen Zertifikaten darf
>>> der Pirvate-Key nur auf der Chipkarte sein. Der Public-Key
>>> kann sehr wohl noch an anderen Orten gespeichert sein.
>>> 
>>> Wenn jemand etwas anderes zur Bürgerkarte weiss, wäre ich
>>> mehr als interessiert das zu erfahren (gerne auch off-list,
>>> mein PGP key liegt mehrfach signiert auf den üblichen Key-
>>> Servern), das wäre der Knaller auf der nächsten DeepSec.
>>> 
>>> Greets,
>>> 
>>> MiKa
>>> 
> 
> On 13/11/29/ 12:53, Sebastian Bachmann wrote:
>> der private schlüssel der handy signatur liegt scheinbar bei a-trust:
>> A-Trust verschlüsselt den Hash-Wert mit dem privaten Schlüssel und
>> sendet das Ergebnis (d.h. den signierten Hash-Wert) an FinanzOnline.
>> 
>> vgl http://www.buergerkarte.at/experten-informationen.html#jump2 / Mit
>> dem Handy punkt 9
>> 
>> lg
> 
> 
> Die Diskussion entwickelt sich recht spannend, Handy-Signatur hatte
> ich mir bisher nicht genau angesehen:
> 
> SigG § 2.3.c):
> "mit Mitteln erstellt wird, die der Signator unter seiner alleinigen
>  Kontrolle halten kann, "
> 
> Handy-Signatur:
> "Bei Bürgerkarte am Handy: das Hochsicherheits-Rechenzentrum
>  der A-Trust (Zugriff durch das Handy-Signatur Passwort geschützt)"
> 
> Wie kann ein Signator alleinige Kontrolle des
> Hochsicherheits-Rechenzentrums erlangen, bzw. wie ist gesichert, dass 
> es
> keine
> wie auch immer geartete Möglichkeit gibt, zu signieren, ohne dass
> der Signator sein Handy-Signatur Passwort eingibt?

ich glaube man sollte mal dort hin fahren udn seine alleinige kontrolle 
verlangen^^

> Über welche Wege
> wird das Handy-Signatur Passwort übertragen, wie ist es dort gesichert,
> wo ist das Passwort bei der A-Trust gespeichert, wie wird die
> Authentizität des H.Sig.Passwortes überprüft?

vermutlich https mit rc4 :D