Datenschutzbedenken

Die Abspeicherung dass, wann, wo und vom wem ein Hash und somit der mit ihm verbundene Datensatz verifiziert wurde, beruht auf keiner gesetzlichen Notwendigkeit. Es gibt desweiteren keinen anderen guten Grund diese Daten abzuspeichern. Im Sinne der Datensparsamkeit sollte auf diese Erfassung daher verzichtet werden. -Justus 15:04, 12. Okt. 2012 (CEST)

Implementationsvorschlag

Hardware

Zentrales System

• Daten werden in Echtzeit oder als Kopie zwischen SAGE und der Bundeskiste ausgetauscht.
• Beide Systeme stehen unter selben Bedingungen bei der BIT
• VPN geschützter Zugang zum Webserver

Dezentrales System

• Webserver befindet sich auf der Veranstaltung.
• Die Daten werden vor Veranstaltungsbeginn aktualisiert.
• Die Onlineverbindung wird getrennt.
• Jeder "Verifizierungspirat" logt sich über ein Kabelgebundenes, physisch getrenntes Netz per VPN auf den Server ein.

Software

Mitgliedsdaten werden SHA-512 oder BCrypt gehasht abgespeichert. Ein Teil des Salt wird zufällig generiert mit der Mitgliedsnummer verbunden in der Datenbank abgespeichert, ein anderer Teil des Salts wird aus einem in der Software gespeicherten oder anders von der Datenbank abgetrennt gespeicherten Geheimnis und den Benutzerdaten generiert. Der Salt wird mit den Benutzerdaten verrechnet und das Hash gegen eine separate Tabelle geprüft.