Digitale Signaturen für David.fx
Transcription
Digitale Signaturen für David.fx
Digitale Signaturen für £¥Ï Signaturzertifikate für geschützte eMail-Kommunikation Ein Großteil der heutigen Kommunikation geschieht per eMail. Kaum ein anderes Medium ist schneller und effizienter. Allerdings bieten konventionell versendete eMails keinen hohen Sicherheitsstandard und sind daher generell manipulierbar. Dieses Manko beseitigen digitale Signaturzertifikate, denn sie sorgen für Sicherheit, Vertraulichkeit und Verlässlichkeit. David.fx verfügt über eine direkte Integrationsmöglichkeit digitaler Signaturen, wobei sowohl die Beantragung der zugehörigen Zertifikate als auch deren Einbindung in das System weitestgehend automatisiert sind. Das schafft höchste Sicherheit in der eMail-Kommunikation ohne Mehrarbeit für den Administrator und ohne den sonst üblichen erheblichen formalen und zeitlichen Aufwand für die Zertifikat-Beantragung. Warum digitale Signaturen? Ohne verlässliche Sicherungsmittel fehlt in der Kommunikation per eMail oft das Vertrauen in die Identität des Anderen und in die Integrität der übermittelten Inhalte. Die Aufgabe, dieses Vertrauen zwischen den Beteiligten einer elektronischen Kommunikation herzustellen, erfüllen digitale Signaturen. Hierbei ist natürlich die Vertrauenswürdigkeit dieser Signaturen von hoher Wichtigkeit. Das Ausstellen rechtsgültiger Signaturzertifikate erfolgt daher ausschließlich von Institutionen, die unter behördlicher Aufsicht stehen (z.B. Bundesnetzagentur in Deutschland). Auf diese Weise wird die Zuverlässigkeit und Integrität dieser Zertifikate gewährleistet. Digitale Signaturen für David.fx Seite 1 von 5 | © 2009 Tobit.Software Allgemeine Informationen Digitale Signaturen werden bei Zertifizierungsstellen, so genannten Trustcentern, beantragt. Diese Trustcenter stellen die zugehörigen Signaturzertifikate aus und bescheinigen somit die Identität des Antragstellers. Die Art und Weise der hierbei durchgeführten Identitätsprüfung hat Einfluss auf die Sicherheitsstufe eines Zertifikats. Daher werden Softwarezertifikate in verschiedene Zertifikatsklassen unterteilt. Übersicht der Zertifikatsklassen Je höher die Zertifikatklasse, desto höher die Vertrauenswürdigkeit. Klasse 0 Diese Zertifikate sind ausschließlich für Testzwecke vorgesehen und besitzen eine stark beschränkte Gültigkeitsdauer. Klasse 1 Die Klasse 1 bestätigt lediglich, dass die angegebene eMail-Adresse existiert und der Besitzer des Zertifikats Zugriff auf diese eMail-Adresse hat. Eine weitere Identitätsprüfung erfolgt nicht. Diese Zertifikate bieten daher nur eine geringe Sicherheit für den Nachweis der Identität. Klasse 2 Bei Zertifikaten der Klasse 2 findet neben der eMail-Überprüfung eine einfache Identitätsfestellung statt. Im Fall der Signaturzertifikate von David.fx, die der Klasse 2 entsprechen, erfolgt diese Identitätsfestellung beispielsweise per Einschreiben auf dem Postweg. Zertifikate der Klasse 2 bieten eine hohe Sicherheit und besitzen rechtliche Gültigkeit. Klasse 3 Die Ausstellung von Zertifikaten der Klasse 3 erfordert eine persönliche Identitätsprüfung des Antragstellers anhand von Personaldokumenten. Diese Zertifikate besitzen die höchste Sicherheitsstufe sind vor allem für Anwendungen im E-Commerce vorgesehen, wie z.B. für das Internet Banking. Sie werden aber auch zunehmend für die elektronische Kommunikation mit Behörden eingesetzt. Digitale Signaturzertifikate als optionaler Bestandteil von £¥Ï David.fx bietet umfangreiche Funktionen für den Einsatz digitaler Signaturen. Dazu wurde das Signaturprodukt »SIGNTRUST CERT« von Signtrust, dem akkreditierten Trustcenter der Deutschen Post, nahtlos integriert. Auf diese Weise ist es möglich, mit minimalem formalen, zeitlichen und finanziellen Aufwand persönliche Signaturzertifikate der Klasse 2 für David Benutzer anzufordern und automatisch in das System einzubinden. Benutzer, die auf diese Weise mit einem persönlichen Signaturzertifikat ausgestattet wurden, versenden Ihre eMails daraufhin standardmäßig digital signiert. Für den Empfänger einer solchen Nachricht ist damit Folgendes sichergestellt: Digitale Signaturen für David.fx Seite 2 von 5 | © 2009 Tobit.Software Authentizität des Absenders Die Nachricht stammt tatsächlich von dem Inhaber der als Absenderkennung angegebenen eMail-Adresse Integrität der versendeten Daten Der Inhalt der Nachricht wurde auf dem Übertragungsweg nicht manipuliert. Vertraulichkeit der enthaltenen Information Die übertragenen Daten und Inhalte können zusätzlich verschlüsselt und somit vor unerlaubtem Mitlesen geschützt werden. Eigenschaften der David Signaturzertifikate Das in David.fx integrierte Signaturverfahren arbeitet nach dem Prinzip zertifikatsbasierter Signaturen. Die zugehörigen Signaturzertifikate werden vom Trustcenter der Deutschen Post ausgestellt und beinhalten ein so genanntes asymmetrisches Schlüsselpaar bestehend aus Private Key und Public Key, die u.a. zur Ver- und Entschlüsselung bestimmter Informationen innerhalb der Signatur dienen. Hierbei gilt Folgendes: Der Public Key ist öffentlich verfügbar, wohingegen der Private Key ausschließlich dem Zertifikatinhaber zur Verfügung steht und von diesem geheim gehalten wird. Daten, die mit dem Private Key codiert wurden, können von jedermann mit dem Public Key entschlüsselt werden. Wurden Informationen mit dem Public Key verschlüsselt, ist ein Decodieren ausschließlich mit dem Private Key möglich. Maximale Vertrauenswürdigkeit weltweit Nur wenn die Zertifikate auf Empfängerseite ohne Probleme erkannt und akzeptiert werden, haben sie ihren Zweck auch tatsächlich erfüllt. Durch die Kooperation mit Signtrust ist sichergestellt, dass die Signaturzertifikate von David.fx weltweit von nahezu allen Internetnutzern in deren Browser oder eMail-Programm automatisch erkannt werden und nicht zu Warnhinweisen bzw. Aufforderungen zu manueller Freischaltung oder Anerkennung führen. Technischer Ablauf der geschützten eMail-Kommunikation Aus der zu versendenden Nachricht wird eine Prüfsumme gebildet, der so genannte Hashwert. Dieser Hashwert wird, verschlüsselt mit dem Private Key des Zertifikatinhabers, in die Signatur integriert und mitsamt der Nachricht versendet. Nach erfolgreicher Übertragung der Nachricht findet auf Seiten des Empfängers eine erneute Hashwert-Berechnung statt. Anschließend wird diese neu ermittelte Prüfsumme mit dem Hashwert verglichen, der in der Signatur enthalten ist. Dieser wird dazu mit dem Public Key des Zertifikatinhabers entschlüsselt. Digitale Signaturen für David.fx Seite 3 von 5 | © 2009 Tobit.Software Nur wenn beide Hashwerte absolut identisch sind, gilt die Signaturprüfung als erfolgreich und es ist sichergestellt, dass die Nachricht tatsächlich von dem angegebenen Absender stammt und auf dem Übertragungsweg nicht verändert wurde. Die Tatsache, dass der mitsamt der Nachricht übermittelte Hashwert mit dem Private Key des Absenders verschlüsselt wird, macht ein Fälschen der Nachricht sowie aller zugehörigen Informationen unmöglich. Um eventuelle Manipulationen erfolgreich zu vertuschen, müsste die betreffende Person einen neuen Hashwert erstellen und diesen mit dem Private Key des ursprünglichen Absenders verschlüsseln. Da dieser Schlüssel jedoch nicht bekannt ist und auch nicht aus dem Public Key abgeleitet werden kann, sind Manipulationsversuche zum Scheitern verurteilt. Minimaler administrativer Aufwand Die direkte Integration in die David.fx Architektur bringt eine Reihe von Vorteilen mit sich. So erfolgt sowohl das Anfordern der Signaturzertifikate als auch deren Einbinden in das System nahezu vollautomatisch. Auch ein manuelles Freischalten zusätzlicher TCP-Ports ist nicht erforderlich. David Benutzer, die vom Administrator mit den zugehörigen Rechten ausgestattet wurden, können direkt in ihrem David Client über eine zugehörige Schaltfläche ihr persönliches Signaturzertifikat selbstständig bestellen. Anforderung per Mausklick Ein Klick auf diese Schaltfläche startet einen Assistenten, der Schritt für Schritt durch den Bestellvorgang führt. Nach dessen Abschluss erhält der Benutzer per Post ein persönliches Einschreiben, das einen individuellen Authentisierungscode enthält. Mit der erfolgreichen Zustellung dieses Einschreibens erfolgt gleichzeitig die Bestätigung der Identitätsprüfung. Den auf diese Weise übermittelten Authentisierungscode trägt der Benutzer wiederum in seinen David Client ein und bestätigt somit die Anforderung. Daraufhin wird das Signaturzertifikat dem betreffenden Benutzer per eMail direkt zugesandt. Über einen Link in dieser eMail erfolgt die schnelle und komfortable Installation des Zertifikats per Mausklick. Digitale Signaturen für David.fx Seite 4 von 5 | © 2009 Tobit.Software Individuelle Berechtigungen In der David Systemkonfiguration kann sowohl global als auch über die persönlichen Benutzerrechte der einzelnen Anwender individuell entschieden werden, ob bzw. wem digitale Signaturzertifikate zur Verfügung gestellt werden sollen. So stellen Sie schnell und einfach sicher, dass ausschließlich Mitarbeiter mit Signaturzertifikaten ausgestattet werden, die diese auch tatsächlich benötigen. Universelle Anwendungsmöglichkeiten Ein weiterer Vorteil der nahtlosen Integration in die David.fx Architektur ist die Möglichkeit, die Signaturzertifikate der David Benutzer zentral auf dem David Server zu verwalten. In diesem Fall erfolgt die Installation der Zertifikate also nicht im lokalen Zertifikatspeicher an den persönlichen Arbeitsstationen des einzelnen Anwenders sondern direkt am David Server. Der Benutzer ist dadurch nicht an seinen eigenen Arbeitsplatz gebunden, wenn er signierte eMails versenden will. Er kann stattdessen jeden beliebigen Computer nutzen, der mit dem David Client ausgestattet ist. Dabei muss sich dieser Computer nicht zwingend im lokalen Netzwerk befinden. Auch beim Fernzugriff mit dem David Client über das Internet ist so der Versand signierter eMails problemlos möglich. Es werden keine gesonderten Portfreigaben benötigt. Uneingeschränkte Einsetzbarkeit Natürlich sind die über David bezogenen Signaturzertifikate nicht ausschließlich auf den Einsatz mit David beschränkt. Ihre Nutzung ist außerdem auch mit beliebigen anderen Applikationen, die Signaturen unterstützen, uneingeschränkt möglich. Kosten und Voraussetzungen Die Berechnung der Gebühren für die Bereitstellung von Signaturzertifikaten erfolgt jährlich über das im Tobit.Software Site Management geführte Kundenkonto. Ein Signaturzertifikat gilt immer für genau Kosten pro Zertifikat Einmalige Kosten für die Authentifizierung: 5€ Jährliche Gebühr: 12,50€ eine bestimmte eMail-Adresse. Die Beantragung und Nutzung weiterer Zertifikate für zusätzlich verwendete eMail-Adressen ist problemlos möglich. Voraussetzung für die automatische Einbindung von Signtrust-Signaturzertifikaten ist der Einsatz von David.fx inklusive dem aktuellen Service Pack. Digitale Signaturen für David.fx Seite 5 von 5 | © 2009 Tobit.Software