Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID

["Dirk H." <the.moonopool AT googlemail.com>]

Am 29. Mai 2012 14:27 schrieb guenther <guenther AT news.piratenpartei.de>:
> 1. Bei der bestätigung des ID-servers an den dienstserver entsteht eine
> erhebliche lücke die es angreifern erlaubt nicht mal mehr eine identität zu
> fälschen, sondern einfacherweise nur glaubhaft versichern müssen, dass sie
> befugt sind. Datenschutz hört nicht an der netzwerkdose auf sondern erfasst
> den gesamten prozess des erfassens, aufnehmens oder aufbewahrens zum zweck
> der verarbeitung oder nutzung. Man kann da nicht so tun als ob der
> dienstserver da außen vorsteht.

Mojn Günther,

in der Stellungnahme habe ich nur die folgende Passage gefunden, auf
die sich Deine Anmerkung 1 beziehen könnte:

---
Will ein Mitglied sich mit seinen Angaben (z. B. Mitgliedseigenschaft,
Pseudonym) bei einem Dienst (z. B. Umfragetool) identifizieren, meldet
es sich beim ID-Server mit seinen Zugangsdaten an und bestätigt
ausdrücklich, welche Daten an den Dienst gesendet werden. Der
ID-Server teilt die Daten daraufhin dem Dienst mit und bestätigt die
Korrektheit mit einem sicheren Verfahren.
---

Hier wird allerdings das Verfahren für den Austausch der Information
gar nicht beschrieben, sondern nur ein (unspezifisch) "sicheres"
Verfahren gefordert, was ja mit Deiner Anforderung übereinstimmt.

Könntest Du bitte erläutern,
a) auf welche Stelle der Stellugnahme sich Deine Bemerkung 1 bezieht
b) woraus genau sich eine Sicherheitslücke von genau was ergibt?
c) Welche Verfahren zur "Absicherung" vorgeschlagen wurden und welche
Probleme Du mit ihnen siehst
d) welches Absicherungsverfahren Du vorschlagen würdest.

Lieben Dank und Gruß,
Dirk
@moonopool

www.asciiribbon.org -- against html mail and proprietary attachments
no-www.org -- mandatory trouble-u makes your site class B