Das beA muss Freie Software werden

[Bernhard E. Reiter]

Moin,

aus den bereits genannten Gründen und Weiteren finde ich es wichtig,
dass hier Freie Software und offene Standard bei den Schnittstellen
zum Einsatz kommen.

Am Donnerstag 11 Januar 2018 14:42:32 schrieb Dr. Michael Stehmann:
> beA ist IMO "broken by design"

Der Punkt ist mir noch nicht ganz klar, was meinst Du damit?

Aus den Medienberichten konnte ich entnehmen:
* Es ist keine Ende-zu-Ende Verschlüsselung, 
  da Umschlüsselung auf einem Server.
* Bei der Softwareentwicklung und anschließenden Prüfung wurden
  größere Fehler gemacht oder nur intern besprochen. (Fehler kommen bei
  IT-Projekten oft vor, die Frage ist, wie damit umgegangen wird.)

Heise Artikel 
https://www.heise.de/newsticker/meldung/Fataler-Konstruktionsfehler-im-besonderen-elektronischen-Anwaltspostfach-3944406.html
"Das grundlegende Problem liegt darin, dass der Client sowohl das Zertifikat 
als auch das Kennwort dazu kennt. [..]Das lässt sich nur heilen, indem man 
den Client anders konzipiert. "

Das ließe sich technisch durchaus mit überschaubaren Aufwand tun:
Der "Client" könnte ein geheimes Zertifikate selbst pro Anwender erzeugen und 
dann in den Browser importieren. Oder gleich einen Browser selbst mitbringen.

Wo ist als der fundamentale Design-Fehler?

Viele Grüße,
Bernhard

-- 
FSFE -- Founding Member of the GA            blogs.fsfe.org/bernhard
Support our work for Free Software:     https://fsfe.org/support/?ber
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20180123/66e5c11a/attachment.sig>