Re: [AG Liquid Democracy] iTAN/mTAN ein geeignetes Verfahren für Abstimmungen?

[Ulrich Baer <ulrich.baer AT gmail.com>]

2009/10/19 Uhrheber <uhrheber AT gtfe.de>:
> Hi.
>
> Mal eine Frage an die Cryptoexperten:
> Wäre iTAN/mTAN ein geeignetes Verfahren, um Abstimmungen per Internetportal
> oder SMS zu ermöglichen?
> iTAN ist ja prinzipiell anfällig gegen man-in-the-middle Angriffe,
> aber mTAN ist momentan noch recht sicher. Nun hat aber leider nicht jeder
> ein Mobiltelefon.
>
> Ich stelle kir das Ganze so vor:
> Es gibt eine Portalseite (ssl), auf die Maske für die Abstimmung liegt.
> Das Parteimitglied kann dort abstimmen, und diesen Vorgang per iTAN/mTAN
> signieren. Wer unterwegs ist, fordert mit seinem Handy per SMS und seiner
> Kennung eine mTAN an, und sendet diese zusammen mit seinem Votum zurück.
> Alternativ könnte man auch eTokens verwenden, wie sie Paypal ausgibt, mit
> denen könnte man sogar eine Stimmabgabe per Telefon absichern, indem man das
> Token per Tastatur dem Telefoncomputer mitteilt.
>
> Die Fragen sind:
> - Ist dies sicher genug?
> - können Manipulationen später nachvollzogen werden?
> - Ist das anonym genug?
> - Welche Verfahren kämen sonst noch in Frage? Signaturkarte und Klasse 3
> Leser sind wieder zu aufwändig und erfordern einen PC und Internetzugang.
>

Also mTAN ist grade "gehackt" worden, da jemand einfach die telNR. zu
einem anderen Provider übertragen hatte ..

anonym ist garnichts, jegliche authentifizierung dient ja dazu es
nicht anonym zu haben, daher muss immer eine anonymisierung
nachgeschaltet sein.

Wieso nicht einfach ein Cert / signatur Server  auf dem jeder Pirat
sein fingerprint ablegt bzw. über diesen authentifiziert wird. --
Abstimmung nur mit Piraten Email ..