Hallo zusammen,
wer hat mal einige grundlegende Infos über Zertifikate, deren Verwendung im privaten und geschäftlichen Bereich und eine gut weiterzugebende Antwort auf "wozu brauch ich das denn? Was mach ich damit?" ?!
Mir gehen hier die Argumente aus ;-)
gruß
h.
wer hat mal einige grundlegende Infos über Zertifikate, deren
Verwendung im privaten und geschäftlichen Bereich und eine gut
weiterzugebende Antwort auf "wozu brauch ich das denn? Was
mach ich damit?" ?!
Mir gehen hier die Argumente aus ;-)
Argumente wofür oder wogegen? Meinst du jetzt Zertifikate ganz im allgemeinen, oder, wie in der Überschrift angedeutet, spezifisch bezogen auf den Austausch von Mails?
Grundsätzlich wüsste ich keine Gründe für oder gegen Zertifikate zu nennen, wohl aber Gründe für den Einsatz von Technologien, die Zertifikate zwecks Authentifizierung nutzen.
Gruss
Schorsch
wer hat mal einige grundlegende Infos über Zertifikate, deren
Verwendung im privaten und geschäftlichen Bereich und eine gut
weiterzugebende Antwort auf "wozu brauch ich das denn? Was
mach ich damit?" ?!
Mir gehen hier die Argumente aus ;-)
Argumente wofür oder wogegen? Meinst du jetzt Zertifikate ganz
im allgemeinen, oder, wie in der Überschrift angedeutet,
spezifisch bezogen auf den Austausch von Mails?
Erstmal Mail.
Welche würden Dir denn noch so einfallen?
Grundsätzlich wüsste ich keine Gründe für oder gegen
Zertifikate zu nennen, wohl aber Gründe für den Einsatz von
Technologien, die Zertifikate zwecks Authentifizierung nutzen.
Aeh, ja.
Gruß
h.
wer hat mal einige grundlegende Infos über Zertifikate, deren
Verwendung im privaten und geschäftlichen Bereich und eine gut
weiterzugebende Antwort auf "wozu brauch ich das denn? Was
mach ich damit?" ?!
[...]
Erstmal Mail.
Im Falle der Mail dient die Zertifizierung dazu, sicherzustellen, dass du mit einer bestimmten Person/Organisation kommunizierst, ohne dich selbst von der Identität dieser Person überzeugen zu müssen. In der Praxis haben Zertifikate bei eMail derzeit noch nahezu keinerlei Bedeutung, da vielen Personen und Organisationen die Vertraulichkeit und Integrität ihrer Kommunikation scheissegal ist.
Eine Ausnahme ist z. B. die kürzlich geschaffene Möglichkeit, Schriftstücke rechtswirksam per Mail an Gerichte übermitteln zu können. http://www.heise.de/newsticker/meldung/53442 Voraussetzung hierfür ist eine Verschlüsselung und Signatur nach dem Signaturgesetz SigG http://bundesrecht.juris.de/bundesrecht/sigg_2001/, welche wiederum eine Zertifizierung voraussetzt.
Angenommen, ich sendete dir eine signierte Mail zu. Jetzt könntest du diese Signatur gegen einen Schlüsselserver (z. B. http://www.dfn-pca.de/pgpkserv/) prüfen, und feststellen, dass diese Signatur tatsächlich für einen Schorsch eingetragen ist. Aha, könnte was vertrauenswürdiges sein. Dummerweise stellst du beim näheren Hinsehen fest, dass der verwendete Schlüssel nicht zertifiziert ist, jeder Hinz und Kunz könnte also unter dem Namen Schorsch diesen Schlüssel eingetragen haben. Die Zertifizierung hingegen bedeutet, dass ich persönlich bei einer anerkannten Certificate Authority (CA) vorstellig geworden bin und mich unter Vorlage eines Personalausweises als der Schorsch ausgewiesen habe.
Bekämest du also von mir per zertifiziert signierter Mail z. B. einen Designauftrag, könntest du, auch ohne mich jemals gesehen oder anders als im werweisswas kennengelernt zu haben, sicher sein, dass ich der tatsächliche Auftraggeber bin. Du könntest meine Bonität prüfen, du könntest vor allem aus dem Auftrag entstehende Forderungen rechtswirksam gegen mich geltend machen. Akzeptierst du hingegen meine nicht zertifizierte Signatur, behaupte ich anschliessend einfach, dass ein dritter, womöglich du selbst, diese Signatur erstellt und die Mail gefälscht habe, und ich von dem ganzen Auftrag nichts wisse.
Welche würden Dir denn noch so einfallen?
Ohne die bürokratischen Hürden des SigG werden Zertifikate vielfach eingesetzt. Das wohl bekannteste Beispiel ist die Online-Kommunikation mit deiner Bank per verschlüsselter https-Verbindung. Damit du sicher sein kannst, dass du tatsächlich mit dem Server deiner Bank kommunizierst und nicht mit irgendwelchen Hijackerkisten, bekommst du von deiner Bank ein Zertifikat zur Installation in deinem Browser. Sobald du die Online-Banking-Seite betrittst, wird vom Bankserver ein Zertifikat präsentiert, welches der Browser mit dem gespeicherten Zertifikat vergleicht. Ist es identisch, weisst du, dass du nicht auf einem Fremdserver gelandet bist, ist es nicht identisch, generiert der Browser eine Fehlermeldung (die du dann gleich ignorierst und wegklickst;-).
Ein Beispiel, wo ich selbst erstellte Zertifikate verwende, ist der Zugang zu meinen Netzen per VPN. Wenn ich mich ins Firmennetzwerk per VPN einklinke, habe ich weit reichende Berechtigungen, die mir eine vollständige Administration ermöglichen (aber immer noch deutlich weniger Rechte, als wenn ich im Büro am PC sässe), andere Kollegen hingegen dürfen nur einzelne Maschinen administrieren, die Kollegen vom Vertrieb dürfen per pop3, imap und smtp auf den Mailserver, Dienstleister zwecks Fernwartung auf Voranmeldung bestimmte Clients besuchen.
Ich muss also feststellen, ob jemand überhaupt für den VPN-Zugang berechtigt ist, ich muss unterscheiden können, wer sich einwählt, um die spezifischen Rechte vergeben zu können, und vor allem muss ich die Zugangsberechtigung jederzeit entziehen können. Zu diesem Zweck setze ich Zertifikate und Revocations ein, anhand derer der VPN-Server feststellt, ob grundsätzlich eine Berechtigung erteilt ist, ob diese gültig oder evtl. abgelaufen ist, und wer sich da gerade einwählt.
Grundsätzlich werden Zertifikate überall dort verwendet, wo ein Objekt sich gegenüber einem anderen Objekt ausweisen muss. Der Client gegenüber dem Server, die Software gegenüber dem Betriebssystem (die digitale Signatur von Treibern bei MS-Betriebssystemen), der Road Warrior mit seinem WLan-fähigem Notebook gegenüber dem WLan-Betreiber... Digitale Zertifikate sind aus der heutigen elektronischen Datenverarbeitung nicht mehr wegzudenken, als Anwender bekommst du oftmals aber nicht viel davon mit.
Gruss
Schorsch
Hallo,
Eine Ausnahme ist z. B. die kürzlich geschaffene Möglichkeit,
Schriftstücke rechtswirksam per Mail an Gerichte übermitteln
zu können. http://www.heise.de/newsticker/meldung/53442
Voraussetzung hierfür ist eine Verschlüsselung und Signatur
nach dem Signaturgesetz SigG
http://bundesrecht.juris.de/bundesrecht/sigg_2001/, welche
wiederum eine Zertifizierung voraussetzt.
Wäre hier ein entsprechend beglaubigtes Thawte Zertifikat (xy Notarys mit über 100 points zusammen) ausreichen oder muss es mehr sein?
Angenommen, ich sendete dir eine signierte Mail zu. Jetzt
könntest du diese Signatur gegen einen Schlüsselserver (z. B.
http://www.dfn-pca.de/pgpkserv/) prüfen, und feststellen, dass
diese Signatur tatsächlich für einen Schorsch eingetragen ist.
... soweit sogut.
Zertifizierung hingegen bedeutet, dass ich persönlich bei
einer anerkannten Certificate Authority (CA) vorstellig
geworden bin und mich unter Vorlage eines Personalausweises
als der Schorsch ausgewiesen habe.
Ok, dann hab ich es ja bis dahin zumindest schonmal mit meinem
Key 0x042B3EE5 schonmal richtig gemacht ;-)
geltend machen. Akzeptierst du hingegen meine nicht
zertifizierte Signatur, behaupte ich anschliessend einfach,
dass ein dritter, womöglich du selbst, diese Signatur erstellt
und die Mail gefälscht habe, und ich von dem ganzen Auftrag
nichts wisse.
Das heisst also es geht am besten nur per CA.
Welche würden Dir denn noch so einfallen?
...
Ich muss also feststellen, ob jemand überhaupt für den
VPN-Zugang berechtigt ist, ich muss unterscheiden können, wer
sich einwählt, um die spezifischen Rechte vergeben zu können,
und vor allem muss ich die Zugangsberechtigung jederzeit
entziehen können. Zu diesem Zweck setze ich Zertifikate und
Revocations ein, anhand derer der VPN-Server feststellt, ob
grundsätzlich eine Berechtigung erteilt ist, ob diese gültig
oder evtl. abgelaufen ist, und wer sich da gerade einwählt.
Ok.
Grundsätzlich werden Zertifikate überall dort verwendet, wo
ein Objekt sich gegenüber einem anderen Objekt ausweisen muss.
Jep. meine Idee wäre z.B. gewesen soetwas auch für Spamfilter und ähnlichem verwenden zu können... Is aber nur ne Idee.
Digitale Zertifikate
sind aus der heutigen elektronischen Datenverarbeitung nicht
mehr wegzudenken, als Anwender bekommst du oftmals aber nicht
viel davon mit.
Stümmt.
Gruß Dank für die Ausführung schonmal
h.