Das beA muss Freie Software werden
Bernhard E. Reiter
bernhard at fsfe.org
Di Jan 23 11:47:21 UTC 2018
Moin,
aus den bereits genannten Gründen und Weiteren finde ich es wichtig,
dass hier Freie Software und offene Standard bei den Schnittstellen
zum Einsatz kommen.
Am Donnerstag 11 Januar 2018 14:42:32 schrieb Dr. Michael Stehmann:
> beA ist IMO "broken by design"
Der Punkt ist mir noch nicht ganz klar, was meinst Du damit?
Aus den Medienberichten konnte ich entnehmen:
* Es ist keine Ende-zu-Ende Verschlüsselung,
da Umschlüsselung auf einem Server.
* Bei der Softwareentwicklung und anschließenden Prüfung wurden
größere Fehler gemacht oder nur intern besprochen. (Fehler kommen bei
IT-Projekten oft vor, die Frage ist, wie damit umgegangen wird.)
Heise Artikel
https://www.heise.de/newsticker/meldung/Fataler-Konstruktionsfehler-im-besonderen-elektronischen-Anwaltspostfach-3944406.html
"Das grundlegende Problem liegt darin, dass der Client sowohl das Zertifikat
als auch das Kennwort dazu kennt. [..]Das lässt sich nur heilen, indem man
den Client anders konzipiert. "
Das ließe sich technisch durchaus mit überschaubaren Aufwand tun:
Der "Client" könnte ein geheimes Zertifikate selbst pro Anwender erzeugen und
dann in den Browser importieren. Oder gleich einen Browser selbst mitbringen.
Wo ist als der fundamentale Design-Fehler?
Viele Grüße,
Bernhard
--
FSFE -- Founding Member of the GA blogs.fsfe.org/bernhard
Support our work for Free Software: https://fsfe.org/support/?ber
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 473 bytes
Beschreibung: This is a digitally signed message part.
URL : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20180123/66e5c11a/attachment.sig>
Mehr Informationen über die Mailingliste FSFE-de