ag-liquid-democracy AT lists.piratenpartei.de
Betreff: Liquid Democracy in der Piratenpartei
Listenarchiv
- From: Tannador <piraten AT tannador.com>
- To: Liquid Democracy in der Piratenpartei <ag-liquid-democracy AT lists.piratenpartei.de>
- Subject: Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID
- Date: Wed, 30 May 2012 13:40:34 +0200
- List-archive: <https://service.piratenpartei.de/pipermail/ag-liquid-democracy>
- List-id: Liquid Democracy in der Piratenpartei <ag-liquid-democracy.lists.piratenpartei.de>
Am 29.05.2012 14:27, schrieb guenther:
1. Bei der bestätigung des ID-servers an den dienstserver entsteht eine erhebliche lücke die es angreifern erlaubt nicht mal mehr eine identität zu fälschen, sondern einfacherweise nur glaubhaft versichern müssen, dass sie befugt sind. Datenschutz hört nicht an der netzwerkdose auf sondern erfasst den gesamten prozess des erfassens, aufnehmens oder aufbewahrens zum zweck der verarbeitung oder nutzung. Man kann da nicht so tun als ob der dienstserver da außen vorsteht.
Die Kommunikation zwischen ID-Server und eigentlichem Dienst-Server (z.B. LQFB) ist sehr einfach zu sichern. Dafür gibt es mehr als ein Standardverfahren (z.B. HTTPS, VPN), wovon jedes sicherstellt, dass der Parter der Datenkommunikation der ist, für den er sich ausgibt, und dass der Datenstrom abhörsicher verschlüsselt ist.
Die meisten dieser Verfahren basieren auf einem Zertifikat, dass die gegenseitige Authentifizierung und Verschlüsselung ermöglicht. Es muss daher ein transparentes und sicheres System geben, wer wie auf die geheimen Schlüssel zugreifen kann, die Teil dieser Zertifikate sind. Jeder der im Besitz des privaten Schlüssels ist, kann einen gefälschten ID-Server aufsetzen (müsste dann aber noch die IP-Adresse übernehmen, das Routing manipulieren oder den DNS-Eintrag fälschen).
Besonders interessant wird es, wenn wir hier von Zertifikaten reden, die von dritter Stelle (z.B. StartCom Ltd. [piratenpartei.de-Zertifikat]) ausgestellt wurden. Wenn in diesem Prozess nicht nur der öffentliche Teil des Schlüssels unterschrieben wurde, sondern das komplette Zertifikat inklusive geheimem Schlüssel von dritter Stelle erzeugt wurde, hat diese Stelle das Potential einen gefälschten ID-Server aufzusetzen.
Die Zertifikatsverwaltung muss also beleuchtet werden, damit nicht der Verdacht auftreten kann, eine dritte Stelle sei in der lage beispielsweise LQFB-Ergebnisse zu manipulieren.
Liebe Grüße,
Tannador
- [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Christoph "Pluto" Puppe, 27.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Dirk H., 27.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Christoph "Pluto" Puppe, 27.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, guenther, 29.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Dirk H., 29.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Christoph "Pluto" Puppe, 29.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Dirk H., 29.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, guenther, 29.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Christoph "Pluto" Puppe, 30.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Christoph "Pluto" Puppe, 29.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Tannador, 30.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Christoph "Pluto" Puppe, 30.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Dirk H., 29.05.2012
- Re: [AG Liquid Democracy] STunngnahme AG recht zur PiratenID, Dirk H., 27.05.2012
Archiv bereitgestellt durch MHonArc 2.6.19.