Selbstverständlichkeiten sollte auch die Regierung kennen

Kommentar zu dem Artikel Der Internet Ausweis in der Ct

Dass der CCC Selbstverständlichkeiten erzählt, wenn er sagt, dass Schadsoftware auf dem Rechner Tastatureingaben abfangen kann, ist klar.

Aber wenn das eine Selbstverständlichkeit ist, dann sollte es auch selbstverständlich sein, dass ein System, das den Nutzern viel mehr Verantwortung am Rechner gibt (amtlicher Identitätsnachweis) auf keinen Fall von der Sicherheit der Tastatureingaben abhängen darf.

Es darf auch nicht davon abhängen, dass dem Nutzer auf dem Bildschirm wirklich die Anfrage gezeigt wird, die an das Lesegerät gesendet wird.

Ob die Karte noch andere Sichenheitslücken hat ist völlig irrelevant: Wenn sie so eine Einladung für Hacker enthält (die mit bereits existierenden Trojanern ausgenutzt werden kann), sollte sie nicht verwendet werden – und erst recht nicht vom Staat ausgegeben.

Frage von Purpur-Tentakel: Die Authentifizierung über den elektronischen Personalausweis ist auf jeden Fall sicherer als die Authentifizierung mittels PGP. Möchtest du jetzt davon abraten PGP zu verwenden?

Ich würde davon abraten, über den Computer einen amtlich bestätigten Identitätsnachweis zu führen. Das mag zwar praktisch klingen, aber effektiv bedeutet es nur, dass ab jetzt digital gestohlene Identitäten amtlich bestätigt und den analogen Identitäten gleichwertig sein werden. Dafür aber viel einfacher zu klauen.

Bevor wir das machen können, müssen Computer deutlich sicherer werden. Und das heißt z.B. kein Windows.

Einzige Möglichkeit, das wirklich sicher zu machen: Ein amtlich gesiegeltes Frontend-Gerät mit Monitor. Du kannst es an den Computer anschließen, aber alle Darstellung von Datenrelevantem geht nur über den Monitor des Gerätes. Damit wird sicher gestellt, dass der Nutzer nicht durch Fehler in seinem Computer Daten preisgibt, die er nicht preisgeben wollte.

Beispiel:

  • Du gehst shoppen.
  • Der Spielehändler will wissen, ob du 18 bist.
  • Du steckst das Gerät an. Die Software auf deinem Rechner leitet die Anfrage des Spielehändlers an dein Gerät weiter.
  • Auf dem Monitor des Gerätes erscheint die Frage „Angeforderte Information: Altersnachweis. Information freigeben?“
  • Du klickst ja.
  • Das Gerät antwortet mit „Bitte Ausweis einstecken und PIN eingeben.“
  • Du tust das. Das Gerät holt genau die angefragten Daten aus deinem Ausweis und leitet sie an den Betreiber weiter.

Was dein Computer sieht: Eine verschlüsselte Anfrage vom Spielehändler an das Gerät. Wartezeit (bis du alles geprüft und bestätigt hast). Dann eine verschlüsselte Antwort.

Der Spielehändler erhält genau die Daten, die du freigegeben hast, so verschlüsselt, dass nur er sie lesen kann (seine Anfrage hat er mit einer amtlich bestätigten ID signiert und für deinen öffentlichen Schlüssel verschlüsselt, den das Amt signiert hat).

Inhalt abgleichen
Willkommen im Weltenwald!
((λ()'Dr.ArneBab))



Beliebte Inhalte

sn.1w6.org news