Trustcenter Zertifikat funktioniert nicht zum signieren[erl]

Hallo strgalt,

ja, du hast das völlig richtig erkannt. Du musst immer gewährleisten, dass der so genannte "Sicherheitsanker" gesetzt ist. Und da diese Kostnix-Zertifikate (weil ohne Personenidentifizierung!) was die Zuordnung zu einer bestimmten Person betrifft, nicht sicher sind, musst du das root-Zertifikat des Herausgebers und alle weiteren untergeordneten Zertifikate bis zu dem, welches diese Nutzerzertifikate signiert, manuell importieren und ihnen bewusst das Vertrauen aussprechen. Du musst also den kompletten Vertrauensbaum abbilden.
Bei den Herausgeberzertifikaten, die in etwa dem dt. Signaturgesetz entsprechen, übernimmt das der Herausgeber der Zertifikate nutzenden Browser, Mailclients bzw. Betriebssysteme.

Du musst also exakt die richtigen Zertifikate installieren, was du mit Hilfe der Bezeichnung oder besser noch der Fingerprints kontrollieren kannst. Es ist aber auch möglich, einfach sämtliche Herausgeberzertifikate zu installieren. Ein Sicherheitsrisiko (wenn du also auch die Herausgeberzertifikate höherwertigerer Zertifikate installierst) besteht nicht.

MfG Peter

Hallo,

Zitat von "strgalt"

Warum stellt die Bundesrepublik eigentlich keine Zertifikate aus? Die Preise der Personalausweise sollten das doch hergeben.

vielleicht ist das ja überhaupt nicht von der Politik gewollt...
Als Lektüre dazu: "Wir leben in einem Überwachungsstaat" (Bruce Schneier)

Hallo strgalt!

Zitat von "strgalt"

ich danke dir für deine Antwort.

Gern geschehen. Ich versuche jeden zu unterstützen, der sich Gedanken über seine Privatsphäre und vor allem dem Schutz selbiger macht.

Zitat

Man muss sich aber schon fragen, was da für ein Aufwand betrieben werden muss - wo doch alle Welt nach Sicherheit schreit. Die Beschreibungen und Anleitung sind nicht verständlich und das ein Zertifikat des Ausstellers installiert werden muss taucht gar nirgends auf - ich meine jetzt keinen EMail- Client speziell, sondern viel mehr die Zertifikatsaussteller.

Ich wüsste nicht, wie man das viel einfacher machen sollte. Bestimmte Arbeitsschritte müssen eben durchlaufen werden, zumindest wenn man eine sichere Form der Verschlüsselung haben will. Ich halte nichts von Verschlüsselungsverfahren, bei denen es nur noch um Transparenz und Nutzerfreundlichkeit geht oder bei denen gar (siehe Skype und Dropbox) der Provider die Schlüssel vorgibt.
Ich sehe hier aber in erster Hinsicht das Fehlen klarer für ONU verständlicher Anleitungen.
Ich betreibe selbst für "Familie und Freunde" ein kleines "Trustcenter". Mittlerweile stelle ich jedes Jahr mehrere Hundert Zertifikate und Schlüssel her. Und ich stelle für meine Nutzer eine entsprechende bebilderte Anleitung bereit. Fast alle packen es damit.
Wer mein ggw. bester Werbeträger ist, brauche ich ja nicht zu sagen. Das dürfte klar sein. Vor ein paar Jahren war dies mal ein prominenter Rollstuhlfahrer, der mit seinen Bemerkungen dafür gesorgt hat, dass die Menschen anfingen, über ihre Privatsphäre nachzudenken. Jetzt hat ein Whistleblower die Beweise geliefert.

Zitat

Warum stellt die Bundesrepublik eigentlich keine Zertifikate aus?

Macht sie doch.
Bei "D-Trust" (einem Bestandteil der Bundesdruckerei) kann jeder Zertifikate bestellen (kaufen!). Richtige, ordentliche für die "Qualifizierte elektronische Signatur" (QES). Auf Chipkarte und nach höchsten Sicherheitsstandards hergestellt. Ich habe mir selbst im Rahmen meiner beruflichen Tätigkeit dieses Trustcenter ansehen dürfen und war/bin von dieser Infrastruktur begeistert. Und ich weiß auch, wieviel Personal für die Produktion derartiger Zertifikate benötigt wird. In einem Trustcenter darf nur jeder seine genau definierten Arbeitsschritte durchführen. Überall müssen mindestens zwei Personen arbeiten (4-Augenprinzip). Aber der größte Aufwand wird (in einem seriösen, nach dem SigG arbeitenden Trustcenter) bei der sicheren Identifizierung der antragstellenden Personen (Wortlaut nach §5 SigG) betrieben. Ein TC muss sicherstellen, dass es niemals einer dritten Person gelingt, Zertifikate für eine andere Person zu beantragen und zu erhalten. Das kann nur mit "Manpower", also Identitätsprüfung mit Ausweis und 4-Augenprinzip sichergestellt werden. Und das ist eben teuer.
Deshalb verlangen die in Deutschland tätigen Trustcenter zwischen 250 und 300€ für die Karte (Gültigkeit 3 Jahre). Das ist für mich ein dem Aufwand angemessener - aber für massenhafte private Anwendung viel zu hoher Preis.

Und an dieser Stelle haben wir das bekannte Problem:
Karte zu teuer => keiner kauft sich eine => weil sich "keiner" eine kauft, ist sie wegen gleichbleibenden Kosten für Personal und Infrastruktur so teuer => und wieder von vorne ... .
Dazu kommt, dass es ggw. kaum sinnvolle und vor allem dem Bürger Vorteile bringende Anwendungen gibt. Hat ja auch kaum jemand eine Signaturkarte => siehe oben.
Und Vorteile kommen für den Bürger nur zu Stande, wenn er zum Beispiel bei Behördengängen Geld spart. Also für die Ummeldung eines Fahrzeuges, für die Beantragung eines Ausweises, eines Passes usw. nur noch die Hälfte zahlen muss, usw. Erst wenn der Bürger trotz Kauf der Zertifikate einen finanziellen Vorteil spürt, wird er da mitspielen.

Auf dem nPA ist ja ein Zertifikat aufgebracht. Aber dieses ist so kastriert, dass es nur zur Authentisierung (gegenüber Behörden und Shops usw.) verwendbar ist. Sicherlich hätte man ohne nennenswerte zusätzliche Kosten gleich noch zwei Zertifikate für Verschlüsselung und el. Signatur aufbringen können. Würde bei der Beschlüsselung der Karten nur wenige Sekunden dauern. Aber das ist nicht gewollt!
1.) Würde dann in Deutschland niemand mehr ganz normale Chipkarten mit Zertifikaten kaufen. Sie kommen ja mit dem PA "gratis". Es würde den Tod aller in Deutschland tätigen (öffentlichen) Trustcenter bedeuten.
2.) Ist es nicht gewollt, dass der dt. Michel seine Privatsphäre vor dem Staat durch Verschlüsselung schützt. Schon Herr K. als ehemaliger Innenminister wollte die private Verschlüsselung verbieten (wie es in Frankreich war). Alle seine Nachfolger wollten das auch, nur haben sie es wohl aus wahltaktischen Gründen nicht so deutlich gesagt. Und dass der ggw. Innenminister seine entsprechenden Empfehlungen zur Anwendung der Verschlüsselung ehrlich meint, wage ich sehr zu bezweifeln. In meinen Augen ist das eher eine taktische Reaktion auf gewisse Enthüllungen, die ja nach seinen eigenen Worten nicht auf Realität beruhen.

Ich könnte mir andererseits sogar vorstellen, wenn der nPA erst Ende 2013 "raus gekommen" wäre, dass er nach den Enthüllungen von Snowden und den Bemerkungen des Innenministers sogar gleich mit den beiden fehlenden Schlüseln versehen worden wäre. Ich könnte mir sogar vorstellen, dass "Staat" kostenlos ein bequem zu nutzendes Tool für die private Verschlüsselung unters Volk gebracht hätte. Und ich befürchte sogar, dass es so kommen wird! Und ich befürchte, dass wir zwar weiterhin verschlüsseln dürfen, aber nur mit den vom Staat bereitgestellten Mitteln!
Nur welches Vertrauen sollte ich einem vom Staat bereitgestellten Schlüssel und Verschlüsselungstools entgegenbringen? Noch dazu, wo es seit Juli ein Gesetz gibt, welches dem Staat ohne nennenswerte juristische Hürden ermöglicht, von den Providern unsere Passwörter und Schlüssel (!) abzuverlangen und diese sie den Behörden auf dem Silbertablett liefern müssen.

MfG Peter