Hallo,
so auf der Suche nach diesem und jenem (signierte Timestamps) stolpere ich auch über folgende URL und schaue die mir mal spaßeshalber an. Es wird IMHO eine Software beschrieben, die einen externen Chipkartenleser nutzend, Dokumente signiert und anzeigt.
https://www.bsi.bund.de/cae/servlet/contentblob/480564/publicationFile/29495...
GRUSEL!
Seite 41 ff . empfehle ich dem geneigten Leser besonders.
Kostproben:
"In a terminal server environment the communication between server and client/s is conducted via an encrypted channel and is therefore to be considered trustworthy."
ssh -X -c none?, ROT13?, HDMI+HDCP? Warum auf Details eingehen: "is" langt doch!
"The user must ensure that all components of the operating system are correct. The user must ensure that no harmful or malicious software is installed on the system."
Und das nach ausdrücklichem Hinweis, daß IE > 5.01 zum Betrieb der Software nötig ist und Internetverbindung nicht ausgeschlossen wird. Kein Wort, wie das passieren soll. Debsums für Windows? Wohin mit Updates? (Immerhin wird später erwähnt, daß die eigene Software wohl ihre Checksumme prüft.)
Mag sein, daß ich nach den letzten 40 Seiten an Abkürzungswerferei den Sinn nicht mehr verstehe, aber irgendwie klingt es danach, daß li_sha1 la_sha1 bestätigt, weil lo_sha1 sichert, daß lu_sha1 zuverlässig ist und sha5 nicht zutrifft. Kein Wort über konkrete Test, immer nur wird versichert. Findet ihr vielleicht einen Hinweis auf wenigstens einen statischen Code-Check a la lint?
Ich wüßte nach der Lektüre nicht viel mehr zum Thema Sicherheit der ganzen Sache zu sagen, als daß Papier wohl sehr geduldig ist. Wieviel Arbeit wohl in so einer Zertifizierung steckt? Ob das überhaupt jemand ernst nimmt (nehmen kann)?
Disclaimer: Nicht das ihr denkt, ich wollte jetzt einen Hersteller oder ein Produkt schlechtmachen, das hier ist mir zufällig untergekommen.
Bernhard