Hallo,
der Missbrauch im Internet, insbesondere bei Ebay, nimmt jedes Jahr immer größere Dimensionen ein. Zudem ist es immer noch nicht möglich, sich eindeutig ohne große Umstände sich im Interent zu identifizieren.
Das Thema digitale Unterschrift war schon mal aktuell, aber in den letzten Monaten und Wochen hört man davon nichts mehr. Wie konnte es dazu kommen? Kommt die digitale Unterschrift gar nicht mehr?

Was hindert dich seit mehreren Jahren daran deine e-mails digital zu signieren?
oder willst du auf was anderes hinaus?

Erazor']Was hindert dich seit mehreren Jahren daran deine e-mails digital zu signieren?
oder willst du auf was anderes hinaus?

Wenn ich meine Emails verschlüssele, ist das dann eine Unterschrift? :confused:

Natürlich will ich auf etwas anderes hinaus.
Es geht zum Beispiel um Vertragsabschlüsse im Internet. Es ist nicht möglich, solche Vertragswerke auch wirklich zu unterschreiben, so dass die Identität eindeutig ist und der Vertrag auch rechtsgültig ist.

also meine unterschrift sieht immer anders aus, je nach laune......
und da soll ich ein beispiel mal abliefern und die nächsten 100 auch so machen?


nö kann gar net funzen........aber wenn du das so willst dann her damit -.-

also meine unterschrift sieht immer anders aus, je nach laune......
und da soll ich ein beispiel mal abliefern und die nächsten 100 auch so machen?


nö kann gar net funzen........aber wenn du das so willst dann her damit -.-

Hmmm, ich glaube, du hast das ganze Thema nicht verstanden.
Wenn du mit dem Thema nicht vertraut bist, dann solltest du das Antworten sein lassen. Nur ein gut gemeinter Rat.
Außerdem wäre es gut, wenn du nicht als Gast auftreten würdest.

Wenn ich meine Emails verschlüssele, ist das dann eine Unterschrift? :confused:
Nicht verschlüsseln, signieren.
http://en.wikipedia.org/wiki/Digital_signature

Urspünglich sollten die digitalen Signaturen nur mit besonderer Computerzubehör möglich sein. Dies sind vor allem für Unternehmen wichtig, aufgrund der Steuervorteile. Ein paar Firme (darunter OpenLimit und die deutsche Telekom) haben solche Karten angeboten. Mittlerweile hat der Gesetzgeber dies allerdings auch auf Magnetstreifenkarten ausgeweitet, sodass jede Bank ihr eigenes Ding drehen kann. Und nur für den Online-Markt ist ein solches Unternehmen nicht rentabel genug.

Mfg der Mantikor

Mein Satz:
Wenn ich meine Emails verschlüssele, ist das dann eine Unterschrift? :confused:

war ironisch gemeint.
Damit wollte ich nur darauf hinweisen, dass eine Email nichts mit einer digitalen Unterschrift zu tun hat.

Ich versteh die Frage nicht ganz. Die digitale Signatur, also einer der Unterschrift per Hand rechtlich gleichgestellten Signiermöglichkeit, gibt es seit über vier Jahren. Oder was meinst du genau?!
http://www.bundesnetzagentur.de

Daß das Ding ne Totgeburt ist, war von vorneherin, dh seit der Entscheidung die Zertifizierungsstellen in private Hände zu legen, klar.

war ironisch gemeint.
Damit wollte ich nur darauf hinweisen, dass eine Email nichts mit einer digitalen Unterschrift zu tun hat.
Du hast eignentlich leider recht, denn die digitale Unterschrift unter einer e-mail verschafft dieser immer noch keine Rechsgültigkeit.
Oder irre ich micht da?

Ich habe hier gerade eine Mai-Ausgabe der Uptimes (Mitgliederzeitschrift der German Unix User Group (GUUG) e.V.) vor mir liegen. Darin ist ein Artikel zu diesem Thema, den ich mühselig abgetippt habe:
Warum ich keine "digitale Signatur will

In den letzten Monaten ist viel darüber diskutiert worden, warum digitale Signaturen solche Akzeptanzprobleme haben. Die Diskussionen drehen sich meist darum, wer welche Vorteile von der Verwendung digitaler Signaturen hat und wer auf der anderen Seite die Kosten trägt.

Die Frage nach der Sicherheit digitaler Signaturen wird dagegen in einigen wichtigen Punkten systematisch vernachlässigt: Zwar werden die benutzten Algorithmen und die Sicherheit von Karten und Kartenlesern genauso diskutiert wie die rechtliche Verbindlichkeit von Signaturen, aber ein viel entscheidender Aspekt bleibt aussen vor: die Frage, welche Nachteile und Risiken mir als potentieller Signatur-Benutzer zugemutet werden.

Denn es wird jedem Benutzer einiges zugemutet: Die digitale Signatur ist rechtlich im wesentlichen mit der handschriftlichen Unterschrift gleichgestellt. Bei einem Missbrauch des Signaturschlüssels trägt der Eigentümer des Schlüssels die Beweislast, weil §17 Signaturgesetz (SigG) [1] axiomatisch die Sicherheit der verwendeten Verfahren impliziert. Wenn eine digitale Signatur in der Praxis die gleiche rechtliche Bedeutung wie eine Unterschrift haben soll, ist dieser Anspruch auch zwingend nötig.

Im gleichen Paragraphen wird aber auch mein großes Problem mit digitalen Signaturen deutlich:
(1) Für die Speicherung von Signaturschlüsseln sowie für die Erzeugung qualifizierter elektronischer Signaturen sind sichere Signaturerstellungseinheiten einzusetzen, die Fälschungen der Signaturen und Verfälschungen signierter Daten zuverlässig erkennbar machen und gegen unberechtigte Nutzung der Signaturschlüssel schützen.[...]

(2) [...] Die Signaturschlüssel-Inhaber sollen solche Signaturanwendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elektronischer Signaturen treffen.

Was heisst das für mich? Wenn ich einen Signaturschlüssel habe und einem Rechner anvertraue, dann bin ich dafür verantwortlich, dass dieser Rechner sicher ist.

In einem nach meiner Erfahrung normalen Unternehmensumfeld gibt es einen (Windows-) Arbeitsplatzrechner, der von einem professionellen Systemadministrator betreut wird. Sobald ich also eine SmartCard mit meinem Schlüssel in den Kartenleser eines solchen Rechners stecke und mit einer PIN oder ähnlichem freischalte, erteile ich implizit allen diesen Administratoren eine Blankounterschrift und hoffe, dass keiner dieser Administratoren sie eigenmächtig nutzt.

Das setzt voraus, dass die Administratoren saubere Arbeit geleistet haben und der Rechner sicher ist. Nachdem mindestens ein namhafter Antiviren-Hersteller inzwischen dazu übergegangen ist, stündliche Updates seiner Viren-Signaturen bereitzustellen [2], ist das Zeitfenster, in dem ein Bürorechner vor einem neuen Virus ungeschützt ist, offensichtlich genau wie das damit verbundene "Restrisiko" für einen Windows-Benutzer alles andere als "vernachlässigbar klein".

Noch schlimmer sieht es mit dem heimatlichen Windows-Rechner des "durchschnittlichen Privat-Users" aus; mehrere hundert Mails täglich dokumentieren alleine in meiner Inbox, dass eine ernstzunehmende Zahl von Usern es nicht schafft, den eingenen Rechner zu schützen.

Und auch Unix löst das Problem nicht. Selbst wenn alle Windows-Rechner dieser Welt mit Linux installiert würden, wäre die Situation nicht besser. Nicht nur, dass Linux wie jedes andere Unix seine gelegentlichen Sicherheitslücken hat; der großflächige Einsatz von Linux würde ihm die gleiche "Aufmerksamkeit" zukommen lassen, wie Windows heute von organisierten Kriminellen erfährt, während die durchschnittliche Kompetenz der Benutzer exponentiell fallen würde.

Dass diese organisierten Kriminellen ernstzunehmen sind, zeigt nicht nur die ständig zunehmende Spam-Flut, sondern auch die immer ausgefeilteren Phishing-Angriffe, die zum guten Teil auch für Profis nicht auf Anhieb zu erkennen sind. Wer Sebastian Gajeks Vortrag [3] beim Frühjahrsfachgespräch gehört hat, wird die Machbarkeit solcher Angriffe wohl kaum in Frage stellen. Und ein Blick in das Archiv des Heise-Newstickers zeigt schnell, dass es einerseites genug kriminelle Energie gibt [4, 5], um Sicherheitslücken und die Unwissenheit der Nutzer im großen Stil auszunutzen, und andererseits auch namhafte Online-Angebote gelegentlich wenig Rücksicht auf die Sicherheit ihrer Kunden nehmen [6, 7].

In dem Maß, wie sich digitale Signaturen etablieren, werden sie zur lukrativen Zielscheibe solcher Kriminellen.


Damit steckt die digitale Signatur in einem Dilemma: Erhebt sie, wie bisher im Signaturgesetz verlangt, den Anspruch auf rechtliche Verbindlichkeit, wird sie für jeden Benutzer zu einem langfristig unkalkulierbaren Risiko. Wird ihre rechtliche Verbindlichkeit aber auf ein Niveau herabgesetzt, das der Sicherheit heutiger Rechner angemessen ist, wird sie nutzlos.

Dieses Dilemma kann sie sich nicht entziehen. Auch der Versuch, mit "qualifizierten Signaturen", das heisst mit zweckgebundenen Signaturschlüsseln, den möglichenm Schaden zu begrenzen, ist wohl kaum angemessen: Solche zweckgebundenen Signaturschlüssel werden wohl nur für ausreichend wichtige, und damit riskante, Zwecke ausgestellt und eingesetzt. Damit sind sie aber trotz ihrer Einschränkung ein lohnenswertes Angriffsziel; möglicherweise werden sie gerade durch diese Einschränkung einfach als lohnenswertes Ziel identifizierbar.

Schließlich bleibt noch das Argument, dass eine handschriftliche Unterschrift ja auch kaum fälschungssicher ist. Das stimmt, aber erstens ist auch dem letzten Provinzrichter vermutlich bekannt, dass sich Unterschriften fälschen lassen, zweitens gibt es eine Reihe altbewährter Mittel, um gefälschte Unterschriften in vielen Fällen zu erkennen und drittens muss ich mich bei einer Unterschrift zwar auf einen Kugelschreiber verlassen, aber nicht auf einen Rechner, dessen Integrität ich blind voraussetzen muss.

Auch wenn sich die Argumentation vieler Laien zu dem Thema auf ein fachliches wenig fundiertes "ich traue dem Rechner nicht, ich mache das lieber mit der Hand" beschänkt, ist diese Sichtweise am Ende völlig korrekt. Mit allem Wissen um Recher, Kryptographie und die rechtliche Rolle digitaler Signaturen kann ich zu keinem anderen Ergebnis kommen. Und deshalb werde ich mich solange es geht dagegen wehren, dass mir eine digitale Signatur aufgezwungen wird.

Aber etwas Gutes hat diese Entwicklung vielleicht doch: Wenn die ersten spektakulären Prozesse wegen gestohlener Signaturschlüssel durch die Presse gehen, dann werden vielleicht Software-Hersteller zu einem angemessenen Umgang mit Sicherheitsproblemen gezwungen werden, wenn sie Marktanteile behalten und Schadensersatzforderungen vermeiden wollen. Man soll ja versuchen, in allem das Gute zu sehen...

Benedikt Stockebrand



Literaturverzeichnis:

[1] http://bundesrecht.juris.de/bundesrecht/sigg_2001/gesamt.pdf
[2] http://www.kaspersky.com/de/avupdates
[3] Sebastian Gajek, "Eine neue Generation von Angriffen gegen SSL/TLS-geschützte Webapplikationen", GUUG Frühjahsfachgespräch 2005, Proceedings, pp. 147-158
[4] http://www.heise.de/newsticker/search.shtml?T=phishing
[5] http://www.heise.de/newsticker/meldung/57762
[6] http://www.heise.de/newsticker/meldung/50334/
[7] http://www.heise.de/newsticker/meldung/57759/
Ich muss mich inhaltlich diesem Artikel anschließen. So wie's momentan rechtlich und technisch aussieht, ergibt die digitale Signatur keinen Sinn.

Ich wäre eher für den digitalen Fingerprint der per USB Modul eingelesen wird oder Eyeprint, wie es die Deutsche Bank gerade testet. Die Kombination von beidem wäre ziemlich sicher. Natürlich brauch nicht jeder Willy sowas im Haus, da man ja nicht ständig Verträge im Internet abschließt.

Mich wundert es nur das Ebay nicht so eine Technologie selbst anbietet. Kohle scheinen sie ja genug zu haben.

Problem wäre halt nur das man jeden damit identifizieren könnte und das eindeutig. Und ich glaube das wird das Problem sein, da viele nicht Wissen, wie mit dieser Datenbank umgegangen wird. Heutzutage ist es noch etwas umständlich jemanden im Inet ausfindig zu machen, sollte sich aber jemand digital singiert irgedenwo einloggen, wird er automatisch "überwacht".

Ich wäre eher für den digitalen Fingerprint der per USB Modul eingelesen wird oder Eyeprint, wie es die Deutsche Bank gerade testet. Die Kombination von beidem wäre ziemlich sicher. Natürlich brauch nicht jeder Willy sowas im Haus, da man ja nicht ständig Verträge im Internet abschließt.




auf dem weg durch das internet ist aber jeder fingerabdruck/eyeprint auch nur eine digitale kombination aus 0en und 1en, und sowas kann man recht leicht fälschen.

auf dem weg durch das internet ist aber jeder fingerabdruck/eyeprint auch nur eine digitale kombination aus 0en und 1en, und sowas kann man recht leicht fälschen.

Da weiß mal wieder jemand nicht, was digitale Unterschriften sind...
Die 0en und 1en sind nie (na gut, zu 99,9999...%) die gleichen, sondern werden für jedes Dokument aus einem geheimen, privaten Schlüssel erzeugt. Jede Unterschrift ist somit ein Unikat und ist ohne das dazugehörige Dokument wertlos...

MfG
Jürgen