Moin,

Kannst Du mir hier mal erklären, wo da der Unterschied liegt?

Ok, hier liegt wohl ein Missverständnis meinerseits. Ich gehe momentan vor allem davon aus, dass der Kommunikationspfad vor externen Angreifern zu schützen ist, weil ich beiden Partnern zunächst mal volles gegenseitiges Vertrauen unterstelle. Daher hat es mich verwirrt, wo du denn dauernd Lügner hervorzaubern willst. Wenn man allerdings davon ausgeht, dass man niemandem ausser sich selbst trauen kann, wird klar was du meinst.

Nein, es ist nur sichergestellt, das Du das Passwort zusammen mit dem Fingerprint bekommen hast.
Mehr nicht.
Noch nicht einmal, ob die beiden zusammengehören, ob der Absender der richtige ist usw.

Ja, da ist die Stelle wieder. Ich bin jetzt mental wohl von dem Bild ausgegangen, wie ich den Account im Institutscomputerpool gekriegt habe: Ich gehe hin, zeige dem netten Herrn dort meinen Studenten- und Personalausweis, er überprüft, ob beide zusammen, zu mir und zu seinen Unterlagen passen. Dann unterschreibe ich die Nutzerordnung und eine Empfangsbestätigung für das Passwort und er händigt mir letzteres aus. Ich bin davon ausgegangen, dass es bei der von mir vorgestellten Anwendung etwa ähnlich abläuft, bloss dass ich zu dem Passwort noch einen Zettel mit dem Fingerprint kriege. Hierbei habe ich aber implizit wieder angenommen, dass die ganze Rechnerbetriebsgruppe eine Einheit bildet und inhärent vertrauenswürdig ist. Also, dass der nette Mann dort nicht derjenige ist, der mich hinters Licht führen will.

Um bei Deinem Beispiel zu bleiben: was ist mit einem Druckfehler?

Ja, da gehe ich wie gesagt davon aus, dass mich ein abweichender Fingerprint alarmiert und ich beim heise-Verlag nachfrage. Daran, dass manipulierte Zeitschriften oder Druckfehler lange überleben, ohne dass es jemand mitkriegt, glaube ich nicht. Wie gesagt, die c't ist dabei dann wieder als vollständig vertrauenswürdig angenommen und ich will mich nur vor externen Angreifern schützen.

Welchem Partner?
Woher weißt Du, das es der Richtige ist? (no pun intended ;-)

Da bin ich davon ausgegangen, dass derjenige der mir gegenüber eine Dienstleistung erbringt, derjenige ist, der mir gegenüber eine Dienstleistung erbringt ;)

Aber ich kann wirklich schlecht erklären, ich gebe es unumwunden zu.

Ich glaube ich habe es jetzt verstanden, hoffe ich...

--
Henryk Plötz
Grüße aus Berlin