Am 17.03.2010 17:53, schrieb Bernhard Schiffner:
On Wednesday, 17. March 2010 16:08:55 Torsten Werner wrote:
Wichtiger ist aber die Bandbreite des "Gadget": Jedes zu hashende oder zu verschlüsselnde Byte muß über die (USB?)
Hier arbeitet man mit symmetrischen Session-Schlüssel und nur diese müssen über die Smartcard, nicht das gesamte Filesystem.
Riesen Denkfehler meinerseits. Die Karte dient ja _nur_ zum Signieren! Verschlüsselung ist wahrscheinlich nur ungewollter Nebeneffekt. Und ich Trottel habe die Signierung und Verschlüsselung als selbstverständlich und gleichberechtigt angenommen! Bin halt von gpg-verwöhnt.
Meinst Du das etwa so: Ich erzeuge Schutztext/Passphrase/Kodewort, schicke das an die Karte zum Verschlüsseln und erhalte einen Geheimtext zurück, den ich als symmetrischen Schlüssel für Dinge außerhalb der Karte mit Bandbreitenbedarf verwende. (indirekte Verschlüsselung mit der Karte, Entschlüsselung nur über den ensprechenden Key der Karte wäre so nicht möglich.)
Wo / wie bekommt man für eine qualifizierte Signatur (zwecks Prüfung) eigentlich den pubkey eines Partners?
Soweit ich dass verstanden habe, wurde da kürzlich eine Hierarchie der Bestätigung aufgebaut: Es gibt auf der Welt eine Hand voll Root-Zertifikat-Aussteller, der zertifiziert die nächste Ebene (dort ist eventuell die Post vorhanden), die zertifiziert die Administratoren und die zertifizieren die normalen User. Zumindest bei https soll das seit kurzem so laufen. Zu jedem Zertifikat gehört also ein (zertfizierter) Link zur ausgebenden Stelle, und man muß die ganze Zertifikatkette prüfen.
Entschuldigung, aber ich bin auf dem Gebiet Laie und versuche das wesentliche zu verstehen...
Gruß Jörg