Am 24.01.2018 um 08:27 schrieb Bernhard Reiter:
> Am Donnerstag 11 Januar 2018 14:42:32 schrieb Dr. Michael Stehmann: >> beA ist IMO "broken by design" > > Der Punkt ist mir noch nicht ganz klar, was meinst Du damit? > > Aus den Medienberichten konnte ich entnehmen: > * Es ist keine Ende-zu-Ende Verschlüsselung, > da Umschlüsselung auf einem Server. Das ist der erste grundlegende Fehler, denn es wurde "Ende-zu-Ende-Verschlüsselung" versprochen. > Heise Artikel > https://www.heise.de/newsticker/meldung/Fataler-Konstruktionsfehler-im-besonderen-elektronischen-Anwaltspostfach-3944406.html > "Das grundlegende Problem liegt darin, dass der Client sowohl das Zertifikat > als auch das Kennwort dazu kennt. [..]Das lässt sich nur heilen, indem man > den Client anders konzipiert. " > > Das ließe sich technisch durchaus mit überschaubaren Aufwand tun: > Der "Client" könnte ein geheimes Zertifikate selbst pro Anwender erzeugen und > dann in den Browser importieren. Oder gleich einen Browser selbst mitbringen. > > Wo ist als der fundamentale Design-Fehler? > Es wurde auf den Rechnern der Anwälte ein Webserver (Ja: "Server") installiert, der zwingend https können muss. Dessen Zertifikat muss dann vom Browser des Anwenders akzeptiert werden. Für diesen Server gibt es sogar einen DNS-Eintrag bei der DENIC (der auf 127.0.0.1 verweist). Hintergrund ist, dass die Clientsoftware auf den Cardreader zugreifen soll. Es gibt ferner bewusst keine Kanzleipostfächer, sondern jeder Rechtsanwalt hat eins, manche (Syndikusanwälte mit allgemeiner Zulassung) AFAIK sogar zwei. Wie merkwürdig das Ganze konzipiert ist, mag man daraus ersehen, dass man einstellen kann (was durchaus im Rahmen dieses Systems sinnvoll sein kann), dass man eine E-Mail (unverschlüsselt) mit einer Benachrichtigung bekommt, wenn im beA etwas eingegangen ist. Was sich noch herausstellen wird, weiß man noch nicht (auch das könnte man unter Berücksichtigung des Standes der kryptographischen Wissenschaft seit 1883 einen Designfehler nennen [0]). Wie das Ganze dann, wenn die Gerichte mit Anwälten nur noch über beA kommunizieren wollen, mit Anwälten aus anderen EU-Staaten funktionieren soll, die ebenfalls mit deutschen Gerichten kommunizieren dürfen (Dienstleistungsfreiheit), ist mir nicht bekannt. Dabei gibt es Kampagnen der Anwaltschaft, den "Justizstandort Deutschland" zu stärken. Gruß Michael [0] hierzu https://freie-software.org/betrieb-und-verwaltung/bea.html
signature.asc
Description: OpenPGP digital signature
_______________________________________________ FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de
