Hallo zusammen,
sicherlich habt Ihr in der vergangenen Tagen vom beA, dem besonderen elektronischen Anwaltspostfach, gelesen. Ich finde, dass die Veröffentlichung des jetzigen und zukünftigen Codes unter Freier Lizenz die minimale Grundvoraussetzung ist, um das Projekt und das Vertrauen darin überhaupt noch zu retten.
Dazu wurde gerade ein Artikel veröffentlicht, auf den ich gerne hinweisen würde:
https://fsfe.org/news/2018/news-20180111-01.de.html
Auf dieser Grundlage möchten wir andere Organisationen und Anwälte auf dieses Thema aufmerksam machen. Also teilt den Artikel bitte in Euren Kreisen.
Konstruktive Anmerkungen sind natürlich wie immer gerne gesehen.
Viele Grüße Max
Hallo,
ich bin Rechtsanwalt und möchte, dass beA Freie Software wird und auf etablierten Standards und Lösungen aufsetzt.
Auch ich habe nur in Treue zum Gesetz und mit großen "Bauchschmerzen" in meiner Kanzlei eine Software installiert, deren Funktionsweise und Sicherheit nicht durch Studium des Quellcodes jederzeit nachvollzogen und beurteilt und, wenn nötig, auch verbessert werden kann.
Zwei Aspekte fehlen mir in Deinem Beitrag:
1. Wenn beA Freie Software ist, gibt es kein "vendor lock in", d. h. die BRAK erlangt die "Hoheit" über das Programm und ist nicht mehr abhängig von den Fähigkeiten, der Produktpolitik oder der Existenz des Programmherstellers. Dies ist besonders im Falle der absehbaren Weiterentwicklung dieser Lösung in Zukunft sehr wichtig. Freie Software ist stets "zukunftskompatibel".
2. Zugleich ermöglicht Freie Software bei der meiner Ansicht nach notwendigen Neuentwicklung der Software (beA ist IMO "broken by design") ein Aufbauen auf bewährte und gut dokumentierte Bausteine.
Gruß Michael Stehmann Rechtsanwalt
Moin,
aus den bereits genannten Gründen und Weiteren finde ich es wichtig, dass hier Freie Software und offene Standard bei den Schnittstellen zum Einsatz kommen.
Am Donnerstag 11 Januar 2018 14:42:32 schrieb Dr. Michael Stehmann:
beA ist IMO "broken by design"
Der Punkt ist mir noch nicht ganz klar, was meinst Du damit?
Aus den Medienberichten konnte ich entnehmen: * Es ist keine Ende-zu-Ende Verschlüsselung, da Umschlüsselung auf einem Server. * Bei der Softwareentwicklung und anschließenden Prüfung wurden größere Fehler gemacht oder nur intern besprochen. (Fehler kommen bei IT-Projekten oft vor, die Frage ist, wie damit umgegangen wird.)
Heise Artikel https://www.heise.de/newsticker/meldung/Fataler-Konstruktionsfehler-im-beson... "Das grundlegende Problem liegt darin, dass der Client sowohl das Zertifikat als auch das Kennwort dazu kennt. [..]Das lässt sich nur heilen, indem man den Client anders konzipiert. "
Das ließe sich technisch durchaus mit überschaubaren Aufwand tun: Der "Client" könnte ein geheimes Zertifikate selbst pro Anwender erzeugen und dann in den Browser importieren. Oder gleich einen Browser selbst mitbringen.
Wo ist als der fundamentale Design-Fehler?
Viele Grüße, Bernhard
Moin,
Am Donnerstag, 11. Januar 2018, 13:01:06 CET schrieb Max Mehl:
Hallo zusammen,
sicherlich habt Ihr in der vergangenen Tagen vom beA, dem besonderen elektronischen Anwaltspostfach, gelesen. Ich finde, dass die Veröffentlichung des jetzigen und zukünftigen Codes unter Freier Lizenz die minimale Grundvoraussetzung ist, um das Projekt und das Vertrauen darin überhaupt noch zu retten.
Dazu wurde gerade ein Artikel veröffentlicht, auf den ich gerne hinweisen würde:
Danke dafür.
Notiz am Rande. Bestandteile des Linux-Clients (BRAK) des BeA sind Freie Software, u.A.:
- itext 1.X (LGPL) von ca. 2006(!) - Apache pdfbox (Apache PL 2) - Bouncy Castle (MIT)
Die Distribution enthält auch nach längerer Suche darauf keinen Hinweis, was meiner Meinung nach einen Lizenzverstoß sowohl bei Apache PL 2 als auch LGPL darstellt. Vielleicht mag ja mal ein Anwalt seine Rechte einfordern? Nachdem das Java ist, ist es auf den anderen Betriebssystemen vermutlich auch so, ich habe aber nur die Linux- Variante gesehen.
Abschließend klafft in der alten iText-Version offenbar eine kritische Sicherheitslücke [1]. Ob sie innerhalb des BeA ausnutzbar ist, kann ich nicht sagen. Ich hatte leider nur kurz Zeit mir das Release von dem Ding anzuschauen, gelaufen ist es nie.
Auf dieser Grundlage möchten wir andere Organisationen und Anwälte auf dieses Thema aufmerksam machen. Also teilt den Artikel bitte in Euren Kreisen.
Konstruktive Anmerkungen sind natürlich wie immer gerne gesehen.
Viele Grüße Max
Viele Grüße Christian
[1] https://nvd.nist.gov/vuln/detail/CVE-2017-9096