Meine Herren!

Es kommt ja eigentlich nur auf das Verfahren zur Verschlüsselung an.

Es stehen aktuell zwei Punkte im Raum, an denen Verschlüsselung bzw. Entschlüsselung stattfinden muss. Die Verbindung und die Persistenzschicht. M. hat bei seinem Brainstorming nur an die Verbindung gedacht und SSL(1) vorgeschlagen, du schlägst jetzt für die Persistenzschicht TripleDES vor. Damit es später nicht zur Verwirrung kommt, wollte ich das eben klar stellen.

1. Bei SSL muss auch noch das Feature-Set, das man implementieren möchte, festgelegt werden. Möchte man zum Beispiel über die heute gebräuchliche Verwendung hinaus auch Client-Zertifikate einsetzen? Welche Zertifizierungsstellen möchte man zulassen?

Sei die Wahl jetzt getroffen. Dann muss als nächstes diskutiert werden, wann und wo die Schlüssel(paare) generiert werden, wie sie transportiert werden, was man von diesen Aufgaben überhaupt automatisieren kann, und was man nicht automatisieren sollte und in die Verantwortung des Nutzers legt.

Da nimmt man am besten was existierendes, TripleDES dürfte gerade aktuell sein und sich für jede Sprache als was fertiges finden lassen.

Und wieso symmetrische Verschlüsselung? Die Wahl sollte begründet ausfallen und vorher mit seinen Alternativen diskutiert worden sein.

Der Erfolg hängt auch nicht nur von der gewählten Programmiersprache ab, sondern z.B. auch von der Umgebung, dass ein Browser eine ungeeignete Umgebung für die Schlüsselbildung ist, haben wir hier neulich erst hier diskutiert.