Box 24
 Home   Infos   Tipps   Webmail   Humor   Polizei   Gästebuch   Downloads   Chat   Suchen   Feedback   Links 

 
 Anmelden/Login   Neuanmeldung/New User   Java Telnet Applet   Telnet   
 

Digitale Signaturen im Praxiseinsatz

Die digitale Signatur ist eine Art von digitalem Identitätsnachweis auf Basis von offenen Standards und lässt sich überall einsetzen, wo Sicherheit und Privatsphäre im Internet gefragt sind. Bestellt ein Kunde online über einen Internet-Shop, kann ihm aufgrund der im weltweiten Netz vorhandenen Anonymität bei nachträglicher Ablehnung der gelieferten Ware nicht nachgewiesen werden, den Auftrag jemals erteilt zu haben. Die Problematik erhärtet sich, wenn Anbieter und Konsument in unterschiedlichen Ländern domiziliert sind. Das Mahnwesen wird nahezu verunmöglicht und rechtliche Konsequenzen können nur mit erhöhtem finanziellem Aufwand und guten Rechtskenntnissen im fremden Land vollzogen werden. Um grössere finanzielle Schäden durch die fehlende Rechtsverbindlichkeit im elektronischen Geschäfts- und Zahlungsverkehr zu vermeiden, müssen erweiterte kryptographische Sicherheitsmassnahmen dafür sorgen, dass Absender und Empfänger eindeutig identifizierbar und Online-Transaktionen nachweisbar sind.

Unzulängliche Sicherheitskonzepte

Sobald sensitive Daten im Netz übermittelt werden, rückt die Verschlüsselung als Sicherheitsmassnahme auf. Die zu chiffrierenden Daten, auch Klartext genannt, werden durch eine Funktion umgewandelt, die von einem Schlüssel parametrisiert wird. Als Ergebnis wird dann eine codierte Botschaft übertragen.

Bewährt hat sich in der Praxis SSL (Secure Socket Layer). Im Jahre 1994 entwickelt und als Standard etabliert, ermöglicht SSL die sichere Übertragung von Informationen oder Online-Bestellungen nach dem sogenannten Public-Key -Verfahren.

Die Verschlüsselung von E-Mails

Bei der E-Mail-Sicherheit, wo SSL bloss für die geschützte Kommunikation zwischen Mail-Server und Mail-Client Verwendung findet, muss zusätzliche Verschlüsselungssoftware verwendet werden. Mit der PGP-Software (Pretty Good Privacy) von Network Associates gibt es einen Quasi-Standard für die E-Mail-Sicherheit. Diese wird von Privatpersonen wie auch in Grossfirmen kommerziell eingesetzt. Bei beiden Verfahren (bei PGP bei entsprechender Aktivierung) fehlt jedoch in der Regel die Rechtsverbindlichkeit, weil die Parteien immer noch nicht eindeutig identifizierbar sind. Es wurde bloss sichergestellt, dass die eigentlichen Datenbestände sicher und ohne Gefahr des Integritätsverlustes durch öffentliche Netze übertragen werden können.

Hohe Anforderungen an digitale Signaturen

In der realen Welt ist die Rechtsverbindlichkeit in den meisten Fällen mit einer persönlichen Unterschrift gewährleistet. Unterschrift und Dokument werden zu einer Einheit, die nur schwer zu trennen ist. Dementsprechend sind die Erwartungen an digitale Dokumente hoch, denn einerseits müssen sie alle Aufgaben herkömmlicher Urkunden erfüllen und zum anderen einen neuen Standard an Fälschungssicherheit und Flexibilität schaffen. Die Unterschrift erfüllt dabei die Identifikationsfunktion, indem diese Auskunft über eine Person gibt (Name). Zusätzlich bezeugt die Handsignatur, dass das unterzeichnete Dokument dem Aussteller vorgelegen hat und von ihm anerkannt wurde, in der Fachsprache «Echtheitsfunktion» genannt.

Die digitale Signatur bildet im Internet alle Eigenschaften ihres handschriftlichen Vorbildes ab:

  • Eine Authentifikation-/Identitätsfunktion identifiziert den Unterzeichnenden.
  • Eine geleistete Unterschrift ist verbindlich.
  • Fälschungssicherheit wird dadurch garantiert, dass nur die mit der Signatur identifizierte Person unterschrieben haben kann.
  • Da die Unterschrift an das jeweilige Dokument gebunden ist, ist eine einmalige Verwendung garantiert.
  • Die Integrität wird gewährleistet, der Inhalt eines signierten Dokuments kann nicht mehr geändert werden.

Das Public-Key-Verfahren

Zur Erstellung einer digitalen Signatur auf einem elektronischen Dokument kommt das oben erwähnte Public-Key-Verfahren zum Einsatz. Die Verschlüsselung erfolgt bei einer digitalen Signatur mit einem privaten Schlüssel und wird mit dem öffentlichen Schlüssel dechiffriert.

Besteht zusätzlich noch die Notwendigkeit, das digital signierte Dokument auch in einem verschlüsselten Modus über das Internet zu übermitteln, kann dies mittels einer Verschlüsselungssoftware bewerkstelligt werden.

Da die beiden Vorgänge Verschlüsselung und digitale Signatur unabhängig voneinander ablaufen, kommen in den meisten Kryptosystemen für die zwei Anwendungszwecke auch zwei unterschiedliche Schlüsselpaare zum Einsatz.

Zertifizierstellen für digitale Identitäten

Um von den Vorzügen der digitalen Signatur profitieren zu können, müssen Sie sich diese elektronische Unterschrift erst einmal besorgen. Diese bekommen Sie von einer Zertifizierstelle für digitale Identitäten - auch «Certification Authority» (CA) «Zertifizierungsdienstanbieter» oder «Trust Center» bezeichnet. Zu den bekanntesten gehören die ausländischen Unternehmen VeriSign und GlobalSign.

Für die einfache und unkomplizierte Abdeckung der Bedürfnisse helvetischer Anwender gibt es die in Zürich ansässige Swisskey. Swisskey ist ein Joint-Venture von Swisscom, Telekurs und dem Verein der Schweizer Handelskammern namens Digisigna und ist in der Schweiz als Zertifizierstelle für die branchen- und herstellerunabhängige Ausgabe von Zertifikaten für digitale Identitäten zuständig.

Swisskey für Schweizer Bedürfnisse

Die Produktesegmentierung der genannten Schweizer Unternehmung ist in drei Hauptkategorien unterteilt und erfüllt die Bedürfnisse von Unternehmen wie auch Privatpersonen. Die Swisskey Corporate ID ist die skalierbare Lösung mit Client-Zertifikaten für Firmen. Der Richtpreis pro Jahr für ein Einzelzertifikat beträgt 150 Franken. Die mit 35 Franken Jahresgebühr angebotene Swisskey Personal ID eignet sich für Privatpersonen. Sie können mit der digitalen Signatur unterschreiben und über den Computer sichere Geschäftskontakte mit Banken und anderen Anbietern von Waren und Dienstleistungen im Web eingehen. Wer seinen Internetserver eindeutig identifizieren lassen will, benötigt das mit 650 Franken pro Jahr angebotene Zertifikat Swisskey Server ID. Sie schaffen damit Vertrauen zu den Clients des Servers, also Ihren Kunden und Lieferanten. Zudem erlauben sie den gesicherten Datenaustausch und gewähren die nötige Vertraulichkeit. Mit der Installation der Swisskey Server ID wird die SSL-Fähigkeit (Secure Socket Layer) Ihrer Serversoftware unterstützt, die als Standard für den sicheren, verschlüsselten Austausch von Daten im Internet anerkannt ist. Eine Swisskey Server ID ist für alle gebräuchlichen Web-Server-Systeme erhältlich.

Anwendungen von digitalen Signaturen

Der Einsatz digitaler Zertifikate steht leider noch am Anfang. Sie können aber Zertifikate bereits heute sinnvoll einsetzen: Werden Zertifikate zusammen mit S/MIME-fähigen (Secure Multipurpose Internet Mail Extensions) E-Mail-Programmen eingesetzt, wird die elektronische Post sicherer. Das heisst, der Absender ist eindeutig bestimmbar, er kann nicht bestreiten, die Nachricht verschickt zu haben, die Nachricht kann unterwegs nicht unbemerkt von Dritten verändert werden, und bei Bedarf kann die Mitteilung zusätzlich verschlüsselt werden. Zertifikate werden vermehrt zur sicheren Identifizierung von Teilnehmern eingesetzt. Zugangsverfahren mit Passwörtern und Streichlisten werden bald der Vergangenheit angehören. Noch in diesem Jahr werden die Banken und die Post den Zugang zu den Internet-Banking-Lösungen über Zertifikate regeln. Zertifikate können auch eingesetzt werden, um den Zugang zum Internet oder zu Closed User Groups sicherzustellen.

Zukünftige Zertifikatsklassen bieten ausserdem neue Möglichkeiten im Internet an. Mit sogenannten Object-Signing-Zertifikaten lassen sich nicht nur Personen oder Server, sondern auch Prozessabläufe identifizieren. Beispiele sind Programme für den Zahlungsverkehr oder Java-Applets. Mit den Attributszertifikaten sollen ergänzende Angaben zum Inhaber wie beispielsweise die Zugehörigkeit zu einer bestimmten Organisation oder Zugriffsrechte zu bestimmten Dienstleistungen möglich sein.

Ein wesentlicher Schritt bei der Erweiterung der Zertifikate ist der sogenannte Zeitstempel, weil im zukünftigen digitalen Geschäftsleben nicht mehr bloss die Identifizierung und Verschlüsselung wichtige Rollen einnehmen werden, sondern auch der Zeitpunkt von Transaktionen eine wesentliche Bedeutung erhält. Denken wir an Aktien- und Devisengeschäfte, wo Sekunden über Millionen entscheiden, oder an die rechtzeitige Abgabe der Steuererklärung. Der Zeitstempeldienst ist heute bereits seit längerem mit dem PGP Timestamping Service Realität. Eingehende Nachrichten werden mit einer PGP-Signatur versehen, welche standardmässig eine Zeitangabe enthält. Weitere Infos zu diesem freien Zusatzdienst gibt's unter http://www.itconsult.co.uk/stamper.htm

Die Installation der Signaturen…

Ihre Anwendungsprogramme müssen natürlich die digitalen Zertifikate unterstützen. Zur Akzeptanz der Swisskey-Zertifikate gehören der Netscape Navigator ab Version 4.05 und der Microsoft Internet Explorer ab Version 4.0. Die jeweils in der Programmsuite integrierten Mailprogramme Netscape Messenger und Outlook Express unterstützen S/MIME und sind somit Zertifikats-tauglich.

Im Gegensatz zum in Office 97 integrierten Outlook 97 bieten die Nachfolgerversionen Outlook 98 wie auch Outlook 2000 diese sinnvollen Sicherheitsmöglichkeiten ebenfalls an. Als Gemeinsamkeit in den erwähnten Programmen erweist sich die mehr oder weniger aufwendige manuelle Installation.

...im Netscape Navigator

Im Netscape Navigator klicken Sie für die Signatur-Installation auf das Sicherheitsschloss in der Toolbar oder benutzen die Tastenkombination <Ctrl> + <Shift> + <I> . In der angezeigten Dialogbox klicken Sie auf Zertifikate - Eigene und schliesslich auf den Button Zertifikat importieren, um ein digitales Zertifikat ab Datenträger im Browser zu installieren. Es besteht auch die Möglichkeit, direkt Zertifikat anfordern zu wählen. In diesem Fall werden Sie automatisch mit der entsprechenden Site von Netscape verbunden, um ein neues Zertifikat online zu beantragen. Sobald Sie dieses erfolgreich installiert haben, können E-Mail-Nachrichten durch Anwählen der entsprechenden Optionen und dem Aktivieren der Checkbox Unterzeichnen im Netscape Messenger sofort digital unterschrieben werden.

...im Microsoft Internet Explorer

Die Installation im Microsoft Internet Explorer 5.0 erfolgt in einem ähnlichem Vorgehen. Wählen Sie dazu das Menü Extras - Internetoptionen - Inhalt . Klicken Sie anschliessend auf Zertifikate, um wiederum ein Zertifikat aus einer Datei zu importieren. Gegenüber der Vorgängerversion konnte die Bedienung um einiges erleichtert werden. Übersichtlich angeordnete Registerlaschen geben Auskunft über die Zertifikate von Zertifizierungsagenturen und die Anwendungszwecke der installierten Certificates, z.B. für Clientauthentifizierung im Internet oder für die E-Mail-Sicherheit. Klicken Sie anschliessend auf den Button Importieren. Der Internet Explorer startet automatisch den Certificate Manager Wizard , welcher Ihnen die Installation automatisch abnimmt und zusätzlich einige wertvolle Informationen vermittelt.

...und in Outlook Express

Für die E-Mail-Abwicklung muss das importierte Zertifikat in Outlook Express bekannt gemacht werden. Dazu starten Sie Outlook Express und klicken auf Extras - Konten . Wählen Sie Ihr installiertes E-Mail-Konto aus und klicken Sie auf Eigenschaften - Sicherheit. Hier muss unbedingt die Checkbox S/MIME aktiviert und die eigene digitale ID, also das eigene Zertifikat, selektiert werden. Damit signierte Nachrichten versendet werden können, aktivieren Sie das entsprechende Icon Nachricht signieren bei einer neu erstellten Nachricht. Anschliessend wird die zu versendende Nachricht unterschrieben und das eigene Zertifikat der Nachricht beigefügt und somit dem Empfänger zugestellt. Dabei ist zu beachten, dass die Absenderadresse und die im Zertifikat eingetragene E-Mail-Adresse korrekt übereinstimmen, ansonsten erscheint eine Fehlermeldung mit dem Hinweis auf die Abweichung.

Unkomplizierte Anwendung gefordert

Für die breitflächige Einführung und Verwendung von digitalen Zertifikaten sollten die gesetzlichen Grundlagen gewährleistet sein. In der Schweiz gibt es derzeit noch keine Regelung für den Einsatz digitaler Unterschriften. Eine Arbeitsgruppe unter der Federführung des BAKOM bereitet zur Zeit eine Verordnung für die Regelung der PKI (Public Key Infrastructure) für die Schweiz vor. Ungeachtet mangelnder Regelungen gestaltet sich die Installation in den Softwareprogrammen kompliziert und muss unbedingt vereinfacht werden. Im täglichen Praxiseinsatz tauchen vor allem bei ungeübten Benutzern bei der Anwendung von Verschlüsselung oder digitalen Signaturen oft Schwierigkeiten oder Unsicherheiten in der korrekten Handhabung auf. Auch hier sind die Softwareanbieter gefordert, zusammen mit den Zertifizierstellen automatisierte Anwendungsstandards zu etablieren. Dann steht dem Siegeszug der digitalen Zertifikate steht nichts mehr im Weg. Ungeachtet dessen stellen Verschlüsselungs- und Identifizierungsmechanismen die Türöffner für den zukünftigen lokalen wie auch globalen Informationsaustausch über elektronische Netzwerke und natürlich E-Commerce dar.

Wie komme ich zum eigenen Zertifikat?

Der Weg zu einem Zertifikat beginnt mit der Online-Anmeldung auf der Web-Site des jeweiligen Anbieters. Bei Swisskey erfolgt der Vorgang in sechs einfach nachvollziehbaren Schritten:

  1. Antrag: Durch das Ausfüllen Ihres Zertifikatsantrages auf der Swisskey-Web-Site wird das persönliche Schlüsselpaar generiert.
  2. Registrierung: Daraufhin erfolgt eine Identitätsprüfung des Zertifikatsinhabers durch persönliches Erscheinen mit amtlichen Ausweispapieren.
  3. Zertifizierung: Sobald der überprüfte Antrag eintrifft, wird das digitale Zertifikat auf dem Swisskey-Server ausgestellt.
  4. Bestätigung: Per E-Mail erhalten Sie die Bestätigung zur Abholung Ihrer persönlichen digitalen ID von der Key-Web-Site.
  5. Download und Installation: Sie laden Ihre digitale ID als Datei vom Internet und nehmen die notwendigen Installationen in Ihren zertifikatsfähigen Anwendungsprogrammen vor.
  6. Publikation: Der öffentliche Schlüssel zu Ihrem Zertifikat wird in einem allgemein zugänglichen Verzeichnis veröffentlicht, damit alle Ihre Kommunikationspartner in der Lage sind, die notwendige Basisinformationen für einen sicheren Datenaustausch zu beziehen.