* PILCH Hartmut wrote: > Man kann doch ein Programm schreiben, welches immer wieder nach > Versuch-und-Irrtum-Verfahren alle möglichen Signaturen erzeugt und > prüft, bis es fündig wird. Notfalls könnte man einen Großrechner > ein paar Tage daran setzen.
Wenn Du einige Jahrtausende ansetzt, ist es immer noch zu klein. > Sind die Algorithmen wirklich so sicher, dass der auf keinen grünen Zweig > kommt? Nach derzeitigem Kenntnisstand: Ja. > Wer hat das wo nachgewiesen? Siehe die Bibliographie bieliebiger Cryptoliteratur. > Wo gibt es eine FAQ zu diesem Thema? Die klassische FAQ dazu ist "Schneier, Applied Cryptography" > normalerweise nur Anbieter proprietärer Systeme. Eine Anerkennung offener > (und somit besonders sicherer) Lösungen auf Basis des OpenPGP-Standards Aus "offen" folgt nicht "sicher". I.d.R. gilt sogar das Gegenteil. > (laut privater am CeBIT-Stand des BSI erhaltener Auskunft) nicht die > nötigen > Finanzmittel aufbringen, um das PGP-Verfahren zertifizieren zu lassen. Das ist Unsinn. Nicht das Verfahren ist zu teuer zum zertifizieren, sondern die abertausenden, ständig modifizierten Anwendungen. > * [31]SSL-Zertifizierung durch IKS Jena -- die Firma beklagt, dass die > Arbeitsteilung in diesem Bereich erst sehr rudimentär entwickelt ist. > Insbesondere nimmt der Berufsstand der Notare seine Funktionen offenbar > überhaupt nicht wahr. Was? Ich glaub' die Firma kenn' ich. Du hast den Hauptkritikpunkt am SigG übersehen. Das Gesetz besagt: "Zertifikate dürfen nicht rückwirkend ungültig werden." Es ist jedoch ein Leichtes, Signaturen nachträglich mit falschen Zeitangaben zu erstellen. Reaktion des BMJ ist eine Durchführungsbestimmung, daß beim Signieren das Rechnerdatum nicht verstellt werden darf. Reaktion des BSI ist, bei Signieren immer kostenpflichtige Zeitstempel anzufordern und in die Signatur mit aufzunehmen (Signaturen ohne solche Zeitstempel bleiben damit jedoch weiterhin gültig). -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
