Na endlich!

Leute, Ihr glaubt doch nicht ernsthaft an den Quatsch mit der dischitalen Unterschrift ??? Von wegen sicher !
Die digitale Unterschrift ist eine ID-Nummer(Zertifiziert irgendwo im Netz). Die größte Sicherheit bietet eine handgeschriebene Unterschrift oder ein Fingerabdruck (bis jetzt nur für Knackis).
Alles andere ist Blödsinn!!!

Also was sicherer ist (einerseits eine Unterschrift per Hand, wobei es genug Menschen gibt, deren Unterschrift eher einer Linie mit einem Haken oder wunderbarster Schreibschrift ähnelt, oder andererseits die digitale Unterschrift) möchte ich dann doch zur Diskussion stellen:
Meiner Meinung nach gibt es genug handschriftliche Unterschriften, die extrem leicht von Jedermann zu fälschen sind. Der einzige Unterschied zur Fälschbarkeit der digitalen unterschrift ist, dass die digitale Unterschrift sicherlich nur von wenigen gefälscht werden kann - dafür aber dann eigentlich jede Unterschrift.

ich hoffe,
daß du dann auch keinem kellner deine kreditkarte in die hand drückst, damit er damit kurz zur kasse gehen und buchen kann, daß du eine ec-karte mit einem lächerlichen vierstelligen pin nicht benutzt oder gar im internet irgendetwas einkaufst - dann ist nämlich nicht nur deine sicherheit, sondern auch noch deine privatsphäre stark gefährdet.
klar gibt es auch bei der digitalen unterschrift sicherheitsprobleme. die frage liegt vielmehr bei der haftung, die verbraucherfreundlich geregelt werden muß.
wer nur einmal umgezogen ist, der wird sich freuen, seine verwaltungs-angelegenheiten in zukunft in einer halben stunde im internet zu erledigen, anstatt sich eytra einen oder zwei tage dafür freinehmen zu müssen, oder?
ich denke, die vorteile überwiegen!

beste grüße,
mac123

Benutzer mr. magoo schrieb:

Benutzer mr. magoo schrieb:


Nun, teltarif glaubt dran - und verwendet digitale Signaturverfahren täglich hundertfach: Bei der Anmeldung von Usern im Intranet, bei der Veröffentlichung neuer Artikel usw. (ssh = secure shell).


Die digitale Unterschrift ist mehr als eine ID-Nummer. Sie besteht aus zwei Hälften - einer geheimen, und einer öffentlich bekannten. Nur die öffentliche wird zertifiziert - und die kannst Du jedem Hacker sogar per Kopie schicken und er kann trotzdem nicht Deine digitale Unterschrift fälschen. Für die Fälschung braucht er nämlich Deine geheime Hälfte. Ohne die geht gar nichts!



Kai

Hallo,

Kai Petzke schrieb:


Mir ist nicht klar, wie der geheime Schlüssel auf die Chipkarte
kommt. Ich kann den ja der Zertifizierungsstelle, von der ich die
Chipkarte erhalte, nicht mitteilen.

Dietmar

Benutzer dietmar l. schrieb:
LOL, willst du auch gar nicht, und die zig-stellige primzahl (im ueblichsten verfahren) denkst du dir ja auch gar nicht selbst aus, - die banken geben dir einfach eine karte, wo alles drinsteht, mehr musste nicht wissen - ist ja schliesslich keine kreditkarte, bei der man alles abschreiben kann. Im gegenteil, der kartenseitige schluessel wird nie herausgegeben, sondern von seiten des computers werden der smartcard ein paar daten zum verschluesseln vorgeworfen, die du dann wiederbekommst.

Mit all den kryptografischen moeglichkeiten, die heute zur verfuegung stehen, kann man eine ganze menge machen, und es ist tatsaechlich so, dass man dann sehr viel sicherer behaupten kann, dass diese-oder-jene veschluesselte kommunikation von ebendieser karte stammt. Fuer die meisten auftraege genuegt diese zusicherung voellig aus, oder glaubt irgendjemand, dass ein unterschriebenes fax auch nur minimal sicherer ist - was glaubt ihr denn, wie schnell man mal 'ne unterschrift kopiert hat und per fax versendet. Und ein persoenlicher (dienst-)stempel mit extrakringel kommt ungefaehr genauso, und jetzt moegen doch mal alle ueberlegen, auf wievielen behoerdlichen zeugnissen so verfahren wird.

Tatsaechlich waere es besser, nicht den eindruck einer gleichartigkeit von handschriftlicher und elektronischer unterschrift in den medien zu transpirieren, dass sind sie natuerlich nicht, aber in vielen faellen, wo man heute was handschriftliches hinkritzelt oder einen stempel draufsetzt, da kann man ein verfahren unter einbeziehung elektronischer signaturen finden, dass dem gleich- oder ueberlegen ist. Vorausgesetzt, signaturen werden vor gericht ueberhaupt beweislastig anerkannt, und nur darum geht es.

Und ueberhaupt, die naechsthoehere stufe ueber einen papiernen (oder fax-versandten) waere ja eine bezeugte unterschrift, und was dazwischen liegt, wird einfach mit der moeglichkeit des rueckrufs bzw. transaktionbestaetigung erledigt, und dieses ist dann eben sicherer. Klar, es wird faelle geben, in denen ein bischen handschrift sich besser zu rechtlicher identifizierung eignet, es gibt aber auch andere, in denen eine elektronische unterschrift besser ist - gerade im elektronischen bereich, und doppelt-bestaetigte transaktionen sind unschlagbar. Wer jetzt denkt, doppelt-bestaetigung waere kompliziert, wird sehr erstaunt sein.

cheerio, guido

Benutzer guidod schrieb:


Leider Gottes sieht es so aus, als ob die Banken so vorgehen. Besser aus kryptographischer Sicht wäre jedoch eine Schlüsselgenerierung beim Kunden und die Mitteilung des öffentlichen Schlüssels des Kunden an die Bank über einen sicheren Weg. Sonst hat ja die Bank u.U. meinen geheimen Schlüssel, und das will ich eigentlich nicht.

Gruß
Wolfhart

Benutzer wolfhart schrieb:

/grins/ die bank hat auch deine PIN deiner EC-karte, sie
hat die TAN-Liste, und eine Unterschriftsprobe. Wie gesagt, es kann nur allerhoechstens so beweislastig sein wie eine unbezeugte unterschrift, ein schuldgestaendnis kannste damit schlecht abgeben, dich entreichern schon ;-)

gruss, guido

Wolfharts Bedenken teile ich. Es wäre in der Tat begrüßenswert, wenn der Kunde selbst ein Schlüsselpaar mit entsprechender Software generieren könnte. Rein sachlich ist jedoch Folgendes klarzustellen:

Die Bank oder welcher Anbieter auch immer, muß ja auch den geheimen ("privaten") Schlüssel bekommen, um ihn fest auf meine Chip(ec)karte zu "brennen"; denn wenn man den Schlüssel selbst in den Chip einspeichern könnte so wie man ja beim Handy auch z.B. Rufnummern in den SIM-Chip eingeben kann, würde ein Mißbrauch von anderer Seite erleichtert (jemand könnte sich z.B. mehrere gleiche Chipkarten erstellen und weitergeben).

Eine Lösung (falls überhaupt gewünscht) könnte jedoch ein kombiniertes Verfahren darstellen, bei dem ich dem Anbieter nur einen Teil des privaten Schlüssels zwecks festem "Einbrennen" übermitteln muß und den größten Teil selbst wie bei einer SIM-Karte ergänzen kann (entsprechende SIM-Karten-Programmiertools für den PC sind ja schon für ca. 30 DM zu kaufen).

Grundsätzlich sollte man sich jedoch an ein Institut wenden, dem man bis zu einem gewissen Grad vertrauen schenken kann, z.B. der Hausbank. Die gibt ja auch nicht einfach z.B. meine Kreditkartennummer 'raus um damit Mißbrauch zu treiben.

Und schließlich: Es geht hier ja in erster Linie "nur" um eine elektronische Unterschrift und höchstens nebenbei um eine allgemeine Verschlüsselung von Transaktionsdaten.

Für die Verschlüsselung sensibler Persönlicher Kommunikation sollte man sich besser nicht der praktischen Lösung aus der Hosentasche bedienen, sondern auf bewährte unabhängige Methoden setzen. Denn so unwahrscheinlich es ist, daß eine "offizielle" Stelle gegen meinen Willen in meinem Namen einen Vertrag elektronisch unterzeichnet, so wahrscheinlich ist es doch, daß höchst offiziell z.B. meine eMails mitgelesen werden ...

Benutzer kai petzke schrieb:


Eine Frage zum Verständnis hätte ich: Soll das dann so funktionieren wie beim HBCI Verfahren mir dem öffentlichen und privaten Schlüssel oder ist es ein anderes System?
Dann braucht man wohl auch immer noch einen EC Kartenleser dazu oder, denn bei HBCI kann man ja auch noch als Medium die Diskette nutzen!


Mit der Bitte um Antwort

Apoll

Ich denke das Problem liegt woanders. Meine Unterschrift KANN ich tatsächlich nur eigenhändig leisten, was ist aber wenn ich meine EC-Karte (mit Chip) und meinen Code absichtlich oder unabsichtlich weitergebe, dann ist ein Missbrauch möglich. Im Gegensatz zur Unterschrift, die ich ja selber unter das Blatt malen MUSS. Daher wird die elektronische Signatur da problematisch, wo wirkjlich eine eigenhändige Unterschrift erforderlich ist. Trotzdem ist es natürlich ein klarer Fotrschritt wenn elektronische Nachrichten (relativ) sicher unterzeichnet werden können.

Benutzer fabian_p. schrieb: