Digitale Signaturen für David.fx

Transcription

Digitale Signaturen für £¥Ï
Signaturzertifikate für geschützte eMail-Kommunikation
Ein Großteil der heutigen Kommunikation geschieht per eMail. Kaum ein anderes Medium ist
schneller und effizienter. Allerdings bieten konventionell versendete eMails keinen hohen
Sicherheitsstandard und sind daher generell manipulierbar. Dieses Manko beseitigen digitale
Signaturzertifikate, denn sie sorgen für Sicherheit, Vertraulichkeit und Verlässlichkeit.
David.fx verfügt über eine direkte Integrationsmöglichkeit digitaler Signaturen, wobei sowohl
die Beantragung der zugehörigen Zertifikate als auch deren Einbindung in das System
weitestgehend automatisiert sind. Das schafft höchste Sicherheit in der eMail-Kommunikation
ohne Mehrarbeit für den Administrator und ohne den sonst üblichen erheblichen formalen und
zeitlichen Aufwand für die Zertifikat-Beantragung.
Warum digitale Signaturen?
Ohne verlässliche Sicherungsmittel fehlt in der Kommunikation per eMail oft das Vertrauen in
die Identität des Anderen und in die Integrität der übermittelten Inhalte. Die Aufgabe, dieses
Vertrauen zwischen den Beteiligten einer elektronischen Kommunikation herzustellen, erfüllen
digitale Signaturen. Hierbei ist natürlich die Vertrauenswürdigkeit dieser Signaturen von hoher
Wichtigkeit. Das Ausstellen rechtsgültiger Signaturzertifikate erfolgt daher ausschließlich von
Institutionen, die unter behördlicher Aufsicht stehen (z.B. Bundesnetzagentur in Deutschland).
Auf diese Weise wird die Zuverlässigkeit und Integrität dieser Zertifikate gewährleistet.
Seite 1 von 5 | © 2009 Tobit.Software
Allgemeine Informationen
Digitale Signaturen werden bei Zertifizierungsstellen, so genannten Trustcentern, beantragt.
Diese Trustcenter stellen die zugehörigen Signaturzertifikate aus und bescheinigen somit die
Identität des Antragstellers. Die Art und Weise der hierbei durchgeführten Identitätsprüfung hat
Einfluss auf die Sicherheitsstufe eines Zertifikats. Daher werden Softwarezertifikate in verschiedene Zertifikatsklassen unterteilt.
Übersicht der Zertifikatsklassen
Je höher die Zertifikatklasse, desto höher die Vertrauenswürdigkeit.

Klasse 0
Diese Zertifikate sind ausschließlich für Testzwecke vorgesehen und besitzen eine
stark beschränkte Gültigkeitsdauer.
Klasse 1
Die Klasse 1 bestätigt lediglich, dass die angegebene eMail-Adresse existiert und der
Besitzer des Zertifikats Zugriff auf diese eMail-Adresse hat. Eine weitere Identitätsprüfung erfolgt nicht. Diese Zertifikate bieten daher nur eine geringe Sicherheit für den
Nachweis der Identität.
Klasse 2
Bei Zertifikaten der Klasse 2 findet neben der eMail-Überprüfung eine einfache Identitätsfestellung statt. Im Fall der Signaturzertifikate von David.fx, die der Klasse 2 entsprechen, erfolgt diese Identitätsfestellung beispielsweise per Einschreiben auf dem
Postweg. Zertifikate der Klasse 2 bieten eine hohe Sicherheit und besitzen rechtliche
Gültigkeit.
Klasse 3
Die Ausstellung von Zertifikaten der Klasse 3 erfordert eine persönliche Identitätsprüfung des Antragstellers anhand von Personaldokumenten. Diese Zertifikate besitzen
die höchste Sicherheitsstufe sind vor allem für Anwendungen im E-Commerce vorgesehen, wie z.B. für das Internet Banking. Sie werden aber auch zunehmend für die elektronische Kommunikation mit Behörden eingesetzt.
Digitale Signaturzertifikate als optionaler Bestandteil von £¥Ï
David.fx bietet umfangreiche Funktionen für den Einsatz digitaler Signaturen. Dazu wurde das
Signaturprodukt »SIGNTRUST CERT« von Signtrust, dem akkreditierten Trustcenter der Deutschen Post, nahtlos integriert. Auf diese Weise ist es möglich, mit minimalem formalen, zeitlichen und finanziellen Aufwand persönliche Signaturzertifikate der Klasse 2 für David Benutzer
anzufordern und automatisch in das System einzubinden. Benutzer, die auf diese Weise mit
einem persönlichen Signaturzertifikat ausgestattet wurden, versenden Ihre eMails daraufhin
standardmäßig digital signiert. Für den Empfänger einer solchen Nachricht ist damit Folgendes
sichergestellt:

Authentizität des Absenders
Die Nachricht stammt tatsächlich von dem Inhaber der als Absenderkennung angegebenen eMail-Adresse
Integrität der versendeten Daten
Der Inhalt der Nachricht wurde auf dem Übertragungsweg nicht manipuliert.
Vertraulichkeit der enthaltenen Information
Die übertragenen Daten und Inhalte können zusätzlich verschlüsselt und somit vor
unerlaubtem Mitlesen geschützt werden.
Eigenschaften der David Signaturzertifikate
Das in David.fx integrierte Signaturverfahren arbeitet nach dem Prinzip zertifikatsbasierter
Signaturen. Die zugehörigen Signaturzertifikate werden vom Trustcenter der Deutschen Post
ausgestellt und beinhalten ein so genanntes asymmetrisches Schlüsselpaar bestehend aus
Private Key und Public Key, die u.a. zur Ver- und Entschlüsselung bestimmter Informationen
innerhalb der Signatur dienen. Hierbei gilt Folgendes: Der Public Key ist öffentlich verfügbar,
wohingegen der Private Key ausschließlich dem Zertifikatinhaber zur Verfügung steht und von
diesem geheim gehalten wird. Daten, die mit dem Private Key codiert wurden, können von
jedermann mit dem Public Key entschlüsselt werden. Wurden Informationen mit dem Public
Key verschlüsselt, ist ein Decodieren ausschließlich mit dem Private Key möglich.
Maximale Vertrauenswürdigkeit weltweit
Nur wenn die Zertifikate auf Empfängerseite ohne Probleme erkannt und akzeptiert werden, haben sie ihren Zweck auch tatsächlich erfüllt. Durch die Kooperation mit Signtrust ist sichergestellt, dass die Signaturzertifikate von David.fx weltweit von nahezu allen Internetnutzern in deren Browser oder eMail-Programm
automatisch erkannt werden und nicht zu Warnhinweisen bzw. Aufforderungen
zu manueller Freischaltung oder Anerkennung führen.
Technischer Ablauf der geschützten eMail-Kommunikation
Aus der zu versendenden Nachricht wird eine Prüfsumme gebildet, der so genannte Hashwert.
Dieser Hashwert wird, verschlüsselt mit dem Private Key des Zertifikatinhabers, in die Signatur
integriert und mitsamt der Nachricht versendet. Nach erfolgreicher Übertragung der Nachricht
findet auf Seiten des Empfängers eine erneute Hashwert-Berechnung statt. Anschließend wird
diese neu ermittelte Prüfsumme mit dem Hashwert verglichen, der in der Signatur enthalten ist.
Dieser wird dazu mit dem Public Key des Zertifikatinhabers entschlüsselt.
Nur wenn beide Hashwerte absolut identisch sind, gilt die Signaturprüfung als erfolgreich und
es ist sichergestellt, dass die Nachricht tatsächlich von dem angegebenen Absender stammt
und auf dem Übertragungsweg nicht verändert wurde. Die Tatsache, dass der mitsamt der
Nachricht übermittelte Hashwert mit dem Private Key des Absenders verschlüsselt wird, macht
ein Fälschen der Nachricht sowie aller zugehörigen Informationen unmöglich.
Um eventuelle Manipulationen erfolgreich zu vertuschen, müsste die betreffende Person einen
neuen Hashwert erstellen und diesen mit dem Private Key des ursprünglichen Absenders verschlüsseln. Da dieser Schlüssel jedoch nicht bekannt ist und auch nicht aus dem Public Key
abgeleitet werden kann, sind Manipulationsversuche zum Scheitern verurteilt.
Minimaler administrativer Aufwand
Die direkte Integration in die David.fx Architektur bringt eine Reihe von Vorteilen mit sich. So
erfolgt sowohl das Anfordern der Signaturzertifikate als auch deren Einbinden in das System
nahezu vollautomatisch. Auch ein manuelles Freischalten zusätzlicher TCP-Ports ist nicht erforderlich. David Benutzer, die vom Administrator mit den zugehörigen Rechten ausgestattet
wurden, können direkt in ihrem David Client über eine zugehörige Schaltfläche ihr persönliches
Signaturzertifikat selbstständig bestellen.
Anforderung per Mausklick
Ein Klick auf diese Schaltfläche
startet
einen
Assistenten,
der
Schritt für Schritt durch den Bestellvorgang führt. Nach dessen
Abschluss erhält der Benutzer per
Post ein persönliches Einschreiben,
das einen individuellen Authentisierungscode enthält. Mit der erfolgreichen Zustellung dieses Einschreibens erfolgt gleichzeitig die Bestätigung der Identitätsprüfung. Den auf diese Weise übermittelten Authentisierungscode trägt der Benutzer wiederum in
seinen David Client ein und bestätigt somit die Anforderung. Daraufhin wird das Signaturzertifikat dem betreffenden Benutzer per eMail direkt zugesandt. Über einen Link in dieser eMail
erfolgt die schnelle und komfortable Installation des Zertifikats per Mausklick.
Individuelle Berechtigungen
In der David Systemkonfiguration kann sowohl global als auch über die persönlichen Benutzerrechte der einzelnen Anwender individuell entschieden werden, ob bzw. wem digitale Signaturzertifikate zur Verfügung gestellt werden sollen. So stellen Sie schnell und einfach sicher, dass
ausschließlich Mitarbeiter mit Signaturzertifikaten ausgestattet werden, die diese auch tatsächlich benötigen.
Universelle Anwendungsmöglichkeiten
Ein weiterer Vorteil der nahtlosen Integration in die David.fx Architektur ist die Möglichkeit, die
Signaturzertifikate der David Benutzer zentral auf dem David Server zu verwalten. In diesem Fall
erfolgt die Installation der Zertifikate also nicht im lokalen Zertifikatspeicher an den persönlichen Arbeitsstationen des einzelnen Anwenders sondern direkt am David Server. Der Benutzer
ist dadurch nicht an seinen eigenen Arbeitsplatz gebunden, wenn er signierte eMails versenden
will. Er kann stattdessen jeden beliebigen Computer nutzen, der mit dem David Client ausgestattet ist. Dabei muss sich dieser Computer nicht zwingend im lokalen Netzwerk befinden. Auch
beim Fernzugriff mit dem David Client über das Internet ist so der Versand signierter eMails
problemlos möglich. Es werden keine gesonderten Portfreigaben benötigt.
Uneingeschränkte Einsetzbarkeit
Natürlich sind die über David bezogenen Signaturzertifikate nicht ausschließlich auf den Einsatz
mit David beschränkt. Ihre Nutzung ist außerdem auch mit beliebigen anderen Applikationen,
die Signaturen unterstützen, uneingeschränkt möglich.
Kosten und Voraussetzungen
Die Berechnung der Gebühren für die Bereitstellung
von Signaturzertifikaten erfolgt jährlich über das im
Tobit.Software Site Management geführte Kundenkonto. Ein Signaturzertifikat gilt immer für genau
Kosten pro Zertifikat

Einmalige Kosten für die
Authentifizierung: 5€
Jährliche Gebühr: 12,50€
eine bestimmte eMail-Adresse. Die Beantragung und Nutzung weiterer Zertifikate für zusätzlich
verwendete eMail-Adressen ist problemlos möglich. Voraussetzung für die automatische Einbindung von Signtrust-Signaturzertifikaten ist der Einsatz von David.fx inklusive dem aktuellen
Service Pack.