-
ACHTUNG - NEUES BLOG
Ab sofort steht unter http://devtyr.norberteder.com mein neues Blog zur Verfügung. Dieses Blog wird nicht weiter betreut, bleibt aber erhalten. Neue Eintr%auml;ge erfolgen nur mehr im neuen Blog. Kommentare werden ebenfalls nicht mehr behandelt. Wer weiterhin meinen Einträgen und Aktivitäten folgen möchte, möge bitte RSS-Feeds, Verlinkungen etc. an die neue Location anpassen.
|
Security unter dem .NET Framework 2.0
06.02.06 - Security Beitrag von Norbert EderBürgerkarte, A-Trust und der Spaß am Signieren
28.01.06 - Security Beitrag von Norbert Eder| | ... der sich aber vielleicht bald aufhört. A-Trust scheint es ja derzeit nicht besonders gut zu gehen. Noch dazu will niemand für A-Trust die Hand ins Feuer legen - zumindest sieht alles danach aus.
Was passiert aber, wenn A-Trust den Bach runter geht? Nun, einige mögen sagen: "Hey, die Zertifikate von A-Trust sind eh noch eine Zeit gültig.". Theoretisch schon. Praktisch wirds wohl eher ein Fall für die Revocation List. Sprich, die Zertifkate werden dann als abgelaufen bzw. zurückgezogen markiert und schon ists wieder vorbei mit der Bültigkeit des eigenen Zertifikats (Beispiel Bürgerkarte bzw. Signaturfunktion auf den Bankomatkarten).
Zahlen dann alle umsonst für ihre Signaturfunktion? Traut sich dann in Österreich überhaupt noch jemand über dieses Thema drüber? Oder müssen wir es vielleicht den großen Konzernen überlassen unsere Daten zu verwalten? Da hab ich meine Daten doch lieber beim Staat bebunktert, der hat diese Informationen ohnehin schon. Also Vater Staat, vielleicht weniger über ein paar Gemälde diskutieren und viel mehr A-Trust retten.
Und beim Thema "Fax und Signatur" stellts mir sowieso gleich die Haare auf ... aber das ist ein Thema für einen anderen Eintrag.
| | | Kommentar hinzufügen
| 0 Trackbacks
| Permalink | Trackback-URL |
Bürgerkarte: Des Usability-Problems 2. Teil
05.12.05 - Security Beitrag von Norbert Eder| | Zum Thema Bürgerkarte/Signaturkarte habe ich doch glatt noch einen weiteren Punkt(ursprüngliche Post ist hier zu finden), den ich aus Usability-Sicht nicht ganz nachvollziehen kann.
Die Bürgerkarte/Signaturkarte soll doch eigentlich für jeden sein - und zwar nicht nur für Online-Bankgeschäfte, sondern auch zum Signieren von Emails. Nur, viele Bürger gehen doch einer Beschäftigung nach und manche machen auch Dienst in einem Büro. Diejenigen, die im Büro arbeiten (und da bin ich mir ganz sicher), rufen auch ihre privaten Emails ab bzw. schreiben mit ihrer privaten Adresse Nachrichten. Diese wollen eigentlich auch signiert werden.
Der Haken an der Geschichte? Wer schleppt das unhandliche externe Kartenlese-Gerät mit? Vielleicht 2, 3 Tage und dann nicht mehr. Daher gibt es dann genau zwei Möglichkeiten:
- entweder zu Hause oder in der Firma wird signiert
- Anschaffung eines zweiten Kartenlese-Gerätes
Zwei sehr gute Alternativen. Warum werden nicht handlichere Geräte angeboten? Die Technik dazu ist vorhanden und würde allen Beteiligten das Leben um sehr viel einfacher gestalten.
Hinweis: Natürlich besitzen die neuen Laptops zum Großteil integrierte Kartenleser. Diese sind aber zum Großteil nicht zertifiziert. Dies bedeutet, dass eine signiert Email unter Verwendung eines nicht zertifizierten Lesegerätes genauso viel Gültigkeit vor Gericht hat, wie eine nicht signierte Email. Sogesehen ist deren Verwendung ziemlich sinnlos.
Schöne neue Technik ...
| | | 1 Kommentar
- 1185 mal angesehen
| 0 Trackbacks
| Permalink | Trackback-URL |
Bürgerkarte und schnelles, einfaches Signieren ...
04.12.05 - Security Beitrag von Norbert Eder| | ... denkste!!
Ein kleines Übungsbeispiel:
Man gehe zur Bank und besorge sich eine signaturfähige Karte. Danach einfach einen notwendigen Termin ausmachen (Daten angeben, PINs festlegen etc.). Nun schnell einen externen, zertifizierten Cardreader gekauft und am Rechner alles notwendige installieren und schon kann es losgehen mit signierten Emails.
Das klingt in der Theorie ganz einfach, birgt aber in der Praxis das eine oder andere Problem. Denn, nach dem Einrichten des Zertifikates im entsprechenden Mailclient war ein Email (und zwar ein signiertes) schnell geschrieben. Beim Absenden kommt dann die PIN-Abfrage, dieser wurde eingegeben und schon war das Testemail weg. Ein paar Augenblicke später war es im Posteingang und wollte verifiziert werden. Fehlgeschlagen! Welches Problem liegt da wohl vor? Oh. Verdammt. Das Stammzertifikat der Zertifizierungsstelle muss noch installiert werden. Gesagt, getan! Und die Verifizierung? Fehlgeschlagen. Was kann das jetzt schon wieder sein? Autsch. Da wollen noch ein paar Zwischenzertifikate installiert werden, damit der Zertifizierungspfad verfolgt werden kann. Gemacht und schon kann das Email verifiziert werden. Juhu, dieses Email ist eindeutig von mir.
Tja, das klingt ja eigentlich gar nicht so schwer. Nur bergen auch die unterschiedlichen Email-Clients so ihre Eigenheiten. Zum Beispiel müssen beim Thunderbird die Zertifikate direkt importiert werden, denn der Windows Root Certificate Store wird hier nicht ausgelesen. Etwas nervig, aber Thunderbird-Benutzer wissen das ja ;-)
Auch Outlook hat so seine Problemchen damit. So sollte unter den Optionen/Lasche Sicherheit der Punkt "Signierte Nachrichten als Klartext senden" nicht angehakt sein, wenn HTML-Mails versendet werden (dies sollte das eine oder andere Mal vorkommen, vor allem wenn man die Standard-Konfiguration von Outlook verwendet). Hier werden anscheinend nach dem Erstellen der Signatur erst die Änderungen im Body vorgenommen, wodurch die Signatur ungültig wird.
Diese und weitere Probleme warten auf den Otto-Normal-Verbraucher, der sich einbildet, seine Email ab sofort signiert versenden zu müssen. Hier sind noch einige Usability-Experten gefragt, um dies für den allgemeinen User transparenter und vor allem einfacher zu machen. Denn selbst Personen, die sich damit auskennen haben das eine oder andere Problem damit ...
| | | Kommentar hinzufügen
| 0 Trackbacks
| Permalink | Trackback-URL |
Zurück
|
|
|
|
|
|
|
