pcnews Von: owner-agtk-info@ccc.at Gesendet: Dienstag, 20. April 1999 20:19 An: agtk-info@ccc.at Betreff: AGTK 99098: Digitale Signatur AGTK 99098: Digitale Signatur (Etwas viel Werbung, aber inhaltlich interessant.) Computer/Telekommunikation, Produkte/Innovationen Internet/E-Commerce/Verschluesselung/H i n t e r g r u n d ifabo-Schwerpunkt: Digitale Signatur Mit A-Sign von Datakom Austria wird E-Commerce sicherer - Drei Sicherheitsklassen zur Auswahl Wien (20. April 99/11:00) - Die DATAKOM AUSTRIA, fuehrender Anbieter von Datenkommunikationsloesungen, startet jetzt unter dem Namen A-SIGN als Zertifizierungsstelle und erweitert damit die Aktivitaeten im E-Commerce Bereich. Technologieprovider und Partner fuer die Zertifizierungsstelle ist IBM Oesterreich. Damit liefern die zwei Unternehmen einen wichtigen Impuls zur Realisierung von sicheren Internet-Transaktionen in Oesterreich. http://a-sign.datakom.at Wesentlicher Bestandteil von sicheren Transaktionen im Internet ist die eindeutige Identifizierung der Teilnehmer an einer Transaktion. Dies wird erst durch digitale Zertifikate moeglich. E-Commerce und E-Business sind allerdings nicht die einzigen Bereiche, fuer die Zertifikate wichtig sind. Digitale Zertifikate eignen sich auch zur Zugangssicherung auf vertrauliche Datenbestaende oder fuer Transaktionen im Behoerdenbereich - zum Beispiel fuer kuenftige Anwendungen im Umfeld des "electronic government". Um die erwaehnten Einsatzmoeglichkeiten von Digitalen Zertifikaten voll ausschoepfen zu koennen, bedarf es einer immensen technischen, baulichen und personellen Sicherheitsinfrastruktur. Unter dem technischen Aspekt kann vieles durch kryptographische Verfahren geloest werden. Die Digitale Signatur bedient sich dieser Verschluesselungsverfahren. Unterschiedliche Verschluesselungsverfahren In der Praxis unterscheidet man symmetrische und asymmetrische Verschluesselungsverfahren. Bei symmetrischen Verschluesselungsverfahren (z.B. DES) wird ein einziger Schluessel zur Ver- und Entschluesselung verwendet. Das heisst, die Kommunikationspartner muessen einen Schluessel vereinbaren, der dann auf einem sicheren Kanal uebermittelt wird. Symmetrische Verschluesselungsverfahren erfreuen sich vor allem wegen der hohen Geschwindigkeit, mit der die Chiffrierung durchgefuehrt wird, grossen Zuspruchs. Als Nachteile wirken sich hier aber die Vereinbarung des Schluessels und dessen Uebertragung auf einem gesicherten Kanal aus. Im Rahmen der asymmetrischen Verschluesselungsverfahren (z.B. RSA) erhaelt jeder Beteiligte einen privaten und einen oeffentlichen Schluessel. Waehrend der private Schluessel geheim bleibt und dem Schluesselinhaber bekannt ist, wird der oeffentliche Schluessel bekanntgegeben. Die digitale Signatur basiert nicht auf einer persoenlichen Unterschrift, sondern auf mathematischen Mechanismen. Dadurch wird die authentische Uebermittlung von Daten gewaehrleistet. Technisch wird dabei zuerst aufgrund einer Hash-Funktion ein Code ueber das zu versendende Dokument errechnet, der dann mit dem privaten Schluessel des Verfassers verschluesselt und als Digitale Signatur gemeinsam mit der Originalnachricht an den Empfaenger uebermittelt wird. Nun kann der Empfaenger mit dem oeffentlichen Schluessel feststellen, a) ob der Absender wirklich der ist, der er vorgibt zu sein (indem die Digitale Signatur mit dem oeffentlichen Schluessel entschluesselt wird) und b) ob die Nachricht waehrend der Uebertragung veraendert wurde. Dies erfolgt dadurch, indem nochmals ein Hash-Wert ueber die empfangene Nachricht gebildet wird und mit dem entschluesselten Hash-Wert verglichen wird. Soll neben der authentischen und integren Uebermittlung von Daten auch deren Vertraulichkeit gesichert werden, bedarf es zusaetzlich der Verschluesselung der Daten. Wenn auch die Vertraulichkeit der Nachricht gewaehrleistet werden soll, dann muss diese mit dem oeffentlichen Schluessels des Empfaengers verschluesselt werden. Der Empfaenger kann nun mit Hilfe seines privaten Schluessels die Nachricht entschluesseln und lesen. Zertifizierungsstellen sind fuer die Verwaltung zustaendig Trotz dieser Prozedur: Digitale Signatur und Verschluesselung allein reichen nicht aus, um die Sicherheit in Netzen zu erhoehen. Denn: Was nuetzt die Digitale Signatur, wenn man nicht weiss, wem sie tatsaechlich zuzuordnen ist? Genau hier werden Zertifizierungsstellen aktiv, die als vertrauenswuerdige Instanz Digitale Zertifikate ausgeben und verwalten. Im Rahmen der Ausgabe von Zertifikaten uebernimmt die Zertifizierungsstelle die Ueberpruefung von Personen und Organisationen, die ein Zertifikat beantragen. Erst nach einwandfreier und widerspruchsloser Ueberpruefung der Identitaet wird ein Digitales Zertifikat ausgestellt. Durch das Digitale Zertifikat wird somit ein eindeutiger Zusammenhang zwischen einer Person und einem Schluesselpaar hergestellt. Digitale Zertifikate enthalten Informationen zum Dienstanbieter, der das Zertifikat erteilt, zum Zertifikatsinhaber, zur Gueltigkeitsdauer des Zertifikats und zum oeffentlichen Schluessel des Zertifikatsinhabers. Damit Digitale Zertifikate aber dem Anspruch absoluter Sicherheit gerecht werden, erfolgt deren Eintragung in eigens dafuer vorgesehene Verzeichnislisten, die Informationen ueber den Zertifikatsinhaber, dessen oeffentlichen Schluessel und die Gueltigkeitsdauer bzw. den Status des Zertifikats enthalten. Damit kann eruiert werden, ob das Zertifikat gueltig, ungueltig, abgelaufen ist oder widerrufen wurde. Erst durch die Moeglichkeit der Ueberpruefung von Zertifikaten wird den Sicherheitsanforderungen in Netzen in ihrem vollen Ausmass entsprochen. Anwendungsmoeglichkeiten Die Anwendungsmoeglichkeiten fuer Digitale Zertifikate sind mannigfaltig: Sie eignen sich zur gegenseitigen Identifizierung von Kommunikationspartnern ebenso wie fuer den Schutz von Daten gegenueber Manipulation und Missbrauch. Sie ersetzen einschlaegige Passwort- und Zugriffsmechanismen ebenso wie sie die Herkunft von Software sicherstellen. Das Wesen des E-Commerce besteht in der Moeglichkeit, Geschaefte mit Handelspartnern und Kunden elektronisch per online-Transaktionen durchzufuehren. Da hier grossteils sensitive, kritische Daten uebertragen werden, bedarf es der gegenseitigen Authentifizierung mittels Digitaler Zertifikate. Durch den Einsatz Digitaler Signaturen koennen innovative Unternehmen aber auch von der Veraenderung der Marketing- und Distributionslogistik profitieren, da neue Kunden und neue Maerkte gewonnen werden koennen. Im Rahmen des "e-government" kann der Zugang des Buergers zu Daten einer Behoerde bzw. einer oeffentlichen Verwaltungseinheit automatisiert und dementsprechend weniger aufwendig gestaltet werden. Durch die authentische Kommunikation kann auch der Servicegrad und die Effizienz im Bereich der Verwaltung gesteigert werden. Auch im Gesundheitsbereich kann ein Austausch sensitiver Daten (zwischen Aerzten zum Austausch von Patientendaten) vertraulich, rasch, effizient und kostenguenstig stattfinden. Wie auch immer: Die Registrierung zum Erhalt eines A-SIGN Zertifikats erfolgt jedenfalls rasch und unproblematisch. Der Kunde fordert sein Zertifikat einfach im Netz bei der Datakom Zertifizierungsstelle http://a-sign.datakom.at an. DATAKOM Zertifikatstypen Digitale Zertifikate koennen sowohl fuer natuerliche Personen als auch fuer Server sowie Computerprogramme ausgestellt werden. A-SIGN User-Zertifikate: Werden fuer natuerliche Personen ausgestellt. Diese Zertifikate koennen bei E-Mail (Digitale Signatur, Verschluesselung) und WWW-Browsern (Authentifizierung) eingesetzt werden. A-SIGN Server-Zertifikate: Ein Server-Zertifikat dient zur eindeutigen Identifizierung eines Servers (z.B. WWW-Server) gegenueber Benutzern, die ueber ein entsprechendes Client-Programm auf den Server zugreifen. A-SIGN Software Developer Zertifikate: Mit diesen Zertifikaten werden Programme signiert, dadurch wird deren Unfaelschbarkeit und Herkunft sichergestellt. DATAKOM Zertifikatsklassen (Kasten 2) In Abhaengigkeit vom angewandten Ueberpruefungsverfahren werden unterschiedliche Zertifikatsklassen angeboten, die alle dem gleichen Sicherheitsstandard gehorchen. A-SIGN Certificates Light: einfach und schnell per Web und E-Mail A-SIGN Certificates Medium: weitergehende indirekte Ueberpruefung der Identitaet A-SIGN Certificates Strong: persoenliche Ueberpruefung der Identitaet am naechsten Postamt A-SIGN Certificates Premium: persoenliche Ueberpruefung der Identitaet am naechstgelegenen Postamt und Speicherung des Zertifikats auf einer SmartCard. Wie kommen Sie zu Ihrem Digitalen Zertifikat? 1. Sie beantragen bei einer Zertifizierungsinstanz im Internet (z.B. Datakom: http://a-sign.datakom.at) ueber ein Formular ein Zertifikat. 2. Ihr Web-Browser erzeugt automatisch Ihr eindeutiges und sicheres Schluesselpaar (d.h. den privaten und oeffentlichen Schluessel), und Ihr oeffentlicher Schluessel wird gemeinsam mit den Formulardaten an die Zertifizierungsstelle uebermittelt. 3. Nachdem die Zertifizierungsstelle Ihre Angaben ueberprueft hat, wird Ihr Zertifikat erzeugt. Anschliessend erhalten Sie eine E-Mail mit Ihrem persoenlichen Passwort, mit dem Sie Ihr Zertifikat online (im Internet) abholen koennen. 4. Beim Abholen Ihres Zertifikates wird dieses auf Ihrem PC fuer Ihren Web-Browser und Ihr E-Mail Programm eingerichtet. Ausserdem wird Ihr Zertifikat in das Zertifikatsverzeichnis der Zertifizierungsstelle eingetragen. 5. Wenn Sie eine Nachricht verschluesseln wollen, benoetigen Sie den Oeffentlichen Schluessel des Empfaengers. Wenn der Empfaenger im Zertifikatsverzeichnis registriert ist, koennen Sie seinen oeffentlichen Schluessel herunterladen und die Nachricht mit diesem verschluesseln. Dadurch ist gewaehrleistet, dass die von Ihnen gesandte E-Mail nur vom Empfaenger gelesen werden kann. 6. Wenn Sie die Digitale Signatur einer Nachricht auf Ihre Echtheit ueberpruefen wollen, brauchen Sie nur im oeffentlichen Verzeichnis der Zertifizierungsstelle ueberpruefen, ob sie dort registriert ist. --- MfG Martin Weissenboeck --- --- E-Mail: mweissen@ccc.at Tel: +43 1 3698858 10 --- Gatterburggasse 7, A-1190 Wien Fax: +43 1 3698858 77 -- Diese Nachricht wurde ueber den Listserver des Computer Communications Club verteilt. Um von sich von der Liste streichen zu lassen, senden Sie eine Nachricht an majordomo@ccc.at mit dem Nachrichtentext "unsubscribe agtk-info".