Security-Analyse: SuisseID birgt Gefahren

Dieser Thread ist Teil einer Diskussion zu einem Artikel:  Zum News-Artikel gehen
M

maec

Aktives Mitglied
Das grösste Sicherheitsrisiko bei solchen Verfahren sitzt immer noch VOR dem Computer. Und wenn der Nutzer bei seiner PC-Sicherheit so wenig mitdenkt, wie der Autor dieses Artikels - es geht nicht um LAser sondern um LEser, muss man sich nicht wundern, wenn Missbräuchen Tür und Tor offen stehen.
 
coceira

coceira

Stammgast
expat frage

Im Falle der SuisseID geschieht dies über USB. «Von allen Providern der SuisseID wird derzeit für den Datentransfer ein Class-1-Laser benutzt», erklärt Moser. «Diese haben nahezu keine Sicherheitsmerkmale», gibt er zu bedenken. «Das heisst, der Class-1-Laser verbindet die Smartcard mit dem PC. Punkt», meint er.
Zum Vergrößern anklicken....
wir sind entwicklungsland, hier funktioniert usb mit kupferdraht und das lesen von smartcards geht ueber bestenfalls vergoldete kontakte.

ich habe leider keine weiteren infos gefunden, kann mir jemand weitere infos anbieten zu dem system swisscard, vor allem usb,smartcard und laser besonders auch zu sicherheitsmerkmalen von lasern

nachtrag oder der AHA-effekt

aus dem originaltext
Warum ist es in Deutschland anscheinend so, dass der nPA mit dem Klasse1 Leser nicht für die Signatur gültig sein wird? Warum ist es aber anscheinend bei uns so ok?
Zum Vergrößern anklicken....
ein ganz kleiner unterschied laser oder leser
 
Zuletzt bearbeitet:
L

LMS

Stammgast
Ein weiteres Probleme ist etwa ein möglicher Missbrauch des Zertifikats selbst. So wird dem Anwender eine Liste mit möglichen Zertifikatsstellen gezeigt. Klickt er nicht spezifisch jene sichere von SuisseID an, so könne ein Hacker auch via Verisign, deren Zertifikate einfacher erhältlich sind, für die SuisseID eine sichere Umgebung vortäuschen.
Zum Vergrößern anklicken....

Da verstehe ich nicht ganz, welche Chancen sich hierdurch für einen "Hacker" ergeben. Es geht ja primär um die Benutzerauthentifizierung einer Anwendung gegenüber, damit der Betreiber weiss, dass ich als Benutzer tatsächlich derjenige bin, für den ich mich ausgebe. Wenn ich mich nun gegenüber einer Webapplikation eines "Hackers" authentifiziere und so meine persönlichen Daten preis gebe, dann bin ich ja selber schuld. Ausser die Dienstleistung, die ich als Benutzer beanspruchen will, täuscht andere Absichten vor. Aber das ist ja wieder ein ganz anderes Problem und hat mit SuisseID nicht direkt etwas zu tun. Jeder kann ja eine Webapplikation betreiben und für das Login vorschreiben, dass nur Benutzer mit SuisseID Zertifikat hineingelassen werden. Was für Absichten die Webapplikation hat, ist ja nicht Aufgabe der SuisseID Provider dies zu kontrollieren.

Vielleicht weiss jemand mehr dazu und kann nähere Erklärungen geben.

Gruss LMS
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben