Konzept und Nutzen von Certificate Policy und Certification Practice Statement
|
|
- Franka Raske
- vor 8 Jahren
- Abrufe
Transkript
1 34 DFN Mitteilungen Ausgabe 85 November 2013 SICHERHEIT Konzept und Nutzen von Certificate Policy und Certification Practice Statement Zertifizierungsstellen, die Zertifikate für -Signatur oder -Verschlüsselung oder für die Authentifizierung von Web-Servern oder Nutzern ausgeben, werden als Trusted Third Party bezeichnet. Dieser Begriff kann auf mehrere Arten interpretiert werden: Entweder als eine Stelle, deren Vertrauenswürdigkeit bewiesen ist. Oder aber als eine Stelle, die durch ein formales Axiom für bedingungslos vertrauenswürdig erklärt werden muss, damit das Sicherheitssystem funktioniert. Insbesondere mit der letzten Interpretation haben es Zertifizierungsstellen durch schwerwiegende Sicherheitsvorfälle in den Jahren 2011 und 2012 sogar bis in die Mainstream-Presse gebracht: Schludrige Schlüsselmeister gefährden das Web [1]. In diesem Beitrag wird dargestellt, welche Rolle Certificate Policy (CP) und Certification Practice Statement (CPS) bei der Bewertung der Vertrauenswürdigkeit von Zertifizierungsstellen haben. Text: Jürgen Brauckmann (DFN-CERT GmbH), Dr. Ralf Gröper (DFN-Verein) Dieser Artikel ist bereits erschienen in Datenschutz und Datensicherheit, Ausgabe 08/2013. Foto: Francesca Schellhaas - Photocase
2 SICHERHEIT DFN Mitteilungen Ausgabe Einleitung X.509-Zertifikate binden Namen an kryptographische Schlüssel und diese Bindung wird dabei durch den Zertifikatherausgeber, die Zertifizierungsstelle (Certificate Authority, CA), mit einer eigenen Signatur bestätigt. Die Kombination aus Namen, kryptographischem Schlüssel und Signatur bildet schließlich das Zertifikat. Bevor der technische Vorgang der Zertifikaterstellung stattfindet, muss eine Zertifizierungsstelle organisatorische und technische Prozesse durchlaufen, um die Gültigkeit und Korrektheit von Namen und die Bindung an die kryptographischen Schlüssel zu verifizieren. Die Komplexität dieser organisatorischen Prozesse ist der Grund, warum so manches internes Zertifizierungsstellenprojekt zwar bis zu einer passenden OpenSSL-Installation und -Konfiguration kommt, aber dann an den weiteren Schritten scheitert. Ob einer Zertifizierungsstelle vertraut werden kann, hängt aber entscheidend von diesen organisatorischen und technischen Prozessen ab. Daraus ergibt sich die Fragestellung: Wie kann eine Zertifizierungsstelle genügend Informationen über ihre Prozesse an die Öffentlichkeit transportieren, um das entsprechende Vertrauen herzustellen? 2 Zweck Eine Antwort auf diese Frage ist: Durch die Veröffentlichung einer Zertifizierungsrichtlinie und/oder einer Erklärung zum Zertifizierungsbetrieb, in denen sich jedermann über die Prozesse und Sicherheitsmaßnahmen einer Zertifizierungsstelle informieren kann. Eine Zertifizierungsrichtlinie (Certificate Policy, CP) beschreibt das Sicherheitsniveau der in einer Zertifizierungshierarchie ausgegebenen Zertifikate in einem öffentlichen Dokument. Eine CP soll die Frage beantworten, ob ein vorliegendes Zertifikat für einen bestimmten Einsatzzweck geeignet ist. Hierzu werden Anforderungen dokumentiert, die für alle ausgestellten Zertifikate eingehalten werden. Eine CP kann unabhängig von einer konkreten CA erstellt werden und somit beispielsweise die Anforderungen einer speziellen Nutzergruppe festhalten. Eine CA, die Zertifikate für diese Nutzergruppe erstellen will, muss dann deren CP einhalten. Im Unterschied dazu enthält die Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement, CPS) konkrete Aussagen über den Betrieb einer bestimmten Zertifizierungsstelle. Es werden alle Aspekte des Lebenszyklus eines Zertifikats inklusive Erneuerung und Sperrung beschrieben, und die Maßnahmen der CA im Bereich Infrastruktur, Organisation und personelle Sicherheitsmaßnahmen offengelegt. In der Praxis ist es schwierig, CP und CPS klar voneinander abzugrenzen, da die meisten Aspekte aus dem CPS gleichzeitig für die CP relevant sind. Daher veröffentlichen viele Zertifizierungsstellen kombinierte Dokumente, die beide Aspekte enthalten. CP und CPS beschreiben zudem immer nur den Soll-Zustand der Zertifizierungshierarchie. Ob dieser Soll-Zustand auch wirklich erreicht wird, muss durch ein internes oder besser noch externes Audit nachgewiesen werden. 3 Entwicklung des Konzepts Die Konzepte zu CP/CPS sind im Kern in den Jahren 1993 bis 2003 entstanden und gewachsen. Hierfür findet man auch in der DuD Belege, siehe z.b. den Beitrag Eine PGP-Policy für Unternehmen von Dirk Fox aus dem Jahre 1998 [2], in dem auf zwei Seiten die Grundzüge von technischen und organisatorischen Maßnahmen für den Einsatz von PGP zum Schutz der -Kommunikation in kleineren Unternehmen dargelegt werden. 3.1 X.509 Der Urstandard für Zertifikate, X.509v1 von 1987 [3] enthält noch keine konkreten Aussagen zur Vertrauenswürdigkeit der Zertifizierungsstelle. Es wird lediglich eine security policy erwähnt, die vom Nutzer eines Security Service vorab selbst definiert werden muss und die keinen konkreten Bezug zu Zertifizierungsstellen hat. X.509v2 von 1993 [4] kennt ebenfalls nur die allgemeine security policy. Erst in X.509v3 von 1997 [5] wird dann die certificate policy definiert: A named set of rules that indicates the applicability of a certificate to a particular community and/or class of application with common security requirements Konkrete Vorgaben über die Gestaltung einer Certificate Policy werden aber nicht gemacht. 3.2 PEM In RFC 1422 zu Privacy Enhancement for Internet Electronic Mail [6] aus dem Jahre 1993 gibt es bereits das Konzept einer CP. Allerdings wird noch von einem weltweiten Netzwerk verbundener CAs unter einer oberen Aufsicht durch eine Internet Policy Registration Authority (IPRA) mit einer Zwischenschicht aus Policy Certificate Authorities (PCA) ausgegangen. Eine PCA hätte danach eine Rahmenrichtlinie als RFC veröffentlichen und sich durch die IPRA selbst zertifizieren lassen sollen. Dieses Konzept hat sich bekanntermaßen nicht durchgesetzt. 3.3 American Bar Association 1996 veröffentlichte die American Bar Association, eine Vereinigung von Rechtsanwälten und Jurastudenten, die Digital Signature Guidelines [7]. Als Teil der Erläuterungen zu allgemeinen
3 36 DFN Mitteilungen Ausgabe 85 November 2013 SICHERHEIT rechtlichen und technischen Prinzipien von digitalen Signaturen werden allgemeine Richtlinien für den Betrieb von Zertifizierungsstellen aufgestellt und der Begriff der Erklärung zum Zertifizierungsbetrieb definiert. Dabei wird festgelegt, welche Informationen eine Zertifizierungsstelle veröffentlichen muss. 3.4 PKIX Die IETF Working Group PKIX arbeitete ab dem Frühjahr 1997 an einer Standardgliederung für eine CP/CPS. Zielgruppe von PKIX sind Zertifizierungsstellen, die in der offenen Nutzergruppe des öffentlichen Internet agieren und anerkannt werden wollen. Die Standardgliederung soll ermöglichen, dass das Sicherheitsniveau von Zertifizierungsstellen leichter verglichen werden kann. Das Ergebnis wurde 1999 als RFC 2527 veröffentlicht [8]. Santosh Chokhani (CygnaCom) und Warwick Ford (Verisign) sind die Hauptautoren, die Inhalte wurden also maßgeblich von Mitarbeitern von CAs geprägt. Ab 2001 wurde die Weiterentwicklung in Angriff genommen. Das Ergebnis der Überarbeitung kam 2003 als RFC 3647 [9] mit einem mehr als doppelt so großen Umfang wie sein Vorgänger heraus. 3.5 ANSI, Webtrust, ESI In den Jahren 2000 bis 2002 wurden vier Standards zur Evaluation von Zertifizierungsstellen verabschiedet: ANSI X9.79 PKI Practices and Policy Framework [10] AICPA/CICA WebTrust Program for Certification Authorities [11] ETSI ESI TS v1.1.1 [12] ETSI ESI TS v1.1.1 [13] Diesen Evaluierungsstandards ist gemeinsam, dass sie die Offenlegung von Informationen über die Prozesse und Verfahrensweise einer Zertifizierungsstelle verlangen, dabei aber keine konkrete Form vorschreiben. Als Hilfsmittel wird aber z.b. in den ETSI-Standards die Kapitelstruktur von RFC 2527 und später RFC 3647 referenziert. Als Ergänzung zu CP/CPS beschreiben die ETSI Standards ein PKI Disclosure Statement (PDS). Das PDS soll dem Nutzer die wichtigsten Eigenschaften der Zertifizierungsstelle kurz und knapp erläutern. Leider hat sich dieses Format nicht etabliert. Nur sehr wenige Zertifizierungsstellen bieten ein PDS an. 4 Gliederung nach RFC 3647 Inzwischen verwenden die meisten Zertifizierungsstellen die in RFC 3647 definierte Standardgliederung für ihre CP/CPS, auch wenn man ab und zu noch Dokumente nach RFC 2527 oder sogar mit ganz anderen Strukturen findet. Der vielleicht wichtigste Aspekt dabei: Es darf kein Kapitel oder Unterkapitel der Standardgliederung ausgelassen werden, selbst wenn die Zertifizierungsstelle über die betreffenden Punkte keine Informationen geben möchte. Solche nicht ausgefüllten Kapitel müssen mit dem expliziten Hinweis Keine Angaben. gefüllt werden, da nur so die Vergleichbarkeit von verschiedenen CP/CPS erreicht werden kann. Die von RFC 3647 definierte Gliederung unterscheidet nicht zwischen CP und CPS. Für beide Dokumenttypen soll dieselbe Struktur verwendet werden, wobei der Inhalt jeweils an die unterschiedliche Zielsetzung angepasst sein soll: Vereinfacht kann gesagt werden, dass in der CP das Was und in der CPS das Wie stehen soll. Kapitel 1 eines zu RFC 3647 kompatiblen Dokuments enthält eine Identifikation des Dokuments (möglichst in Form eines Object Identifiers, die auch in den ausgestellten Zertifikaten enthalten sein kann), die Definition der Teilnehmer der PKI, mögliche Verwendungsarten der ausgestellten Zertifikate und Informationen über die Verwaltung des Dokumentes. Kapitel 2 enthält Aussagen zu öffentlich zugänglichen Informationen über die PKI, wie z.b. die Adressen von Sperrlisten, OCSP- Server oder Verzeichnisdiensten. In Kapitel 3 findet sich der interessanteste Teil des Dokumentes. Es trägt den Titel Identification and Authentication, und beantwortet die folgenden Fragen: Wie werden die Daten, die in das Zertifikat aufgenommen werden, verifiziert? Welche Namen werden überhaupt in ein Zertifikat auf - genommen? Wie werden Zertifikat- und Sperranträge authentifiziert? Kapitel 4 befasst sich mit allen Aspekten des Lebenszyklus der Zertifikate in der PKI: Wie werden Anträge gestellt? Wie werden die Anträge dann weiterbearbeitet? Wie werden Zertifikaterneuerungen und Sperrungen durchgeführt? Was für einen Zertifikat-Status-Service gibt es? Gibt es in der PKI Schlüsselhinterlegung und -wiederherstellung? Welche Verantwortlichkeiten haben Zertifikatinhaber und weitere Parteien im Umgang mit den Schlüsseln und Zertifikaten? Dieser letzte Punkt erlegt dem Zertifikatinhaber und weiteren Parteien Verpflichtungen auf. Alle anderen Aussagen eines RFC
4 SICHERHEIT DFN Mitteilungen Ausgabe konformen Dokumentes betreffen üblicherweise die Zertifizierungs- oder Registrierungsstelle. Wussten Sie, dass Sie vor dem Bezug eines Zertifikats tunlichst in Kapitel 4.5 der zugehörigen CP/CPS nachschauen sollten, wie Sie mit dem Zertifikat und dem dazugehörigen privaten Schlüssel umgehen dürfen? Aber nicht nur dem Zertifikatinhaber werden an dieser Stelle Verpflichtungen auferlegt: Auch Zertifikatprüfer, also Personen, die ein Zertifikat im Rahmen von z.b. S/MIME oder SSL präsentiert bekommen, können in diesem Kapitel dazu verpflichtet werden, eine Gültigkeitsprüfung mittels Sperrlisten oder OCSP vorzunehmen. Kapitel 5, Management, Operational and Physical Controls, beschreibt die nicht technischen Sicherheitsmaßnahmen der Zertifizierungsstelle: Rollenmodelle, physische Rechenzentrumssicherheit, Audit- und Logprozeduren, Trainingsanforderungen usw. Kapitel 6 widmet sich den technischen Sicherheitsmaßnahmen: Erzeugung und Installation der CA-Schlüssel Schutz des privaten Schlüssels der CA durch Hardware Security Module Gibt es Schlüssel-Backups, z.b. von Nutzerschlüsseln, oder werden Schlüssel an weitere Parteien offengelegt? Vorgaben für Passwortlängen, Schlüsselgrößen, Krypto-Algorithmen Netzwerk- und Systemsicherheitsmaßnahmen Kapitel 7 beschreibt die konkrete Ausgestaltung von Zertifikaten, Sperrlisten und evtl. der OCSP-Dienste: Welche Felder werden belegt, welche Zertifikaterweiterungen werden unterstützt, werden Object Identifier zur Markierung von Zertifikaten verwendet? Kapitel 8 legt dar, wie die Zertifizierungsstelle die Konformität ihres Betriebs zu ihren eigenen Richtlinien sicherstellt. Kapitel 9 enthält schließlich Aussagen über die rechtlichen Rahmenbedingungen des Betriebs, Regelungen zum Datenschutz und Haftungserklärungen. 5 Dokumente in der Praxis RFC 3647 ist ein langes und sperriges Dokument, und so verwundert es nicht, dass einige Zertifizierungsstellen eine individuelle Umsetzung gewählt haben. Im Folgenden werden Beispiele aus der Praxis vorgestellt, wobei der Fokus auf Zertifizierungsstellen liegt, deren CA-Zertifikate im Webbrowser verankert sind. 5.1 Comodo Comodo veröffentlicht ein CPS [14]. Die älteste abrufbare Version ist von 2005, und umfasst knapp 50 Seiten. Das aktuelle Dokument hat mehr als 90 Seiten und ist in einer eigenen, nicht RFC 3647-konformen Struktur verfasst. Besonders auffällig ist, dass zur CPS noch mehr als 20 weitere Anhang-Dokumente gehören, die in unterschiedlichen Situationen Geltung haben. Im Dokument werden Sicherheitsanforderungen für 42 verschiedene Zertifikattypen und -produkte (z.b. Essential SSL, Elite SSL, PlatinumSSL, Comodo Premium SSL usw.) beschrieben. 5.2 DFN Der DFN-Verein stellt seit 1996 für seine Anwender PKI-Dienstleistungen zur Verfügung wurde ein Satz von Richtlinien unter dem Namen Low-Level Policy und Medium-Level Policy veröffentlicht, die mit jeweils ca. 20 Seiten die Ausgabe von X.509- und PGP-Zertifikaten an Personen regelten [15, 16] kam dann die World Wide Web Policy für die Zertifizierung von Servern hinzu [17]. Die Richtlinien folgen einer eigenen Struktur und befassen sich ausführlich mit den organisatorischen Aspekten der Zertifizierung von Zertifizierungsstellen. Es handelt sich also eher um Dokumente einer Policy Certification Authority im Geiste von RFC 1422 aus dem PEM-Umfeld. Ab 2005 erfolgte dann eine Umstellung der Zertifizierungs- wie auch der Dokumentenstruktur. Die aktuelle DFN-PKI (unter Verantwortung der Autoren dieses Artikels) umfasst fünf verschiedene Sicherheitsniveaus (darunter z.b. Spezial-Zertifikate für das Grid-Computing), die in vier verschiedenen CPs von jeweils 40 bis 50 Seiten beschrieben werden [18]. Zu drei der vier CPs gibt es eine ergänzende CPS von 10 bis 25 Seiten, ein Sicherheitsniveau wird in einem kombinierten CP/CPS beschrieben. Die Dokumente sind nach RFC 3647 strukturiert. 5.3 Symantec Symantec (früher Verisign) veröffentlicht für seine Zertifikat-Produkte eine CP von fast 90 Seiten und eine CPS von mehr als 150 Seiten [19, 20]. Ältere Versionen sind nicht direkt abrufbar, können aber per angefordert werden. Es fällt auf, dass beide Dokumente sehr große Überschneidungen aufweisen und beispielsweise das Kapitel 3 Identification and Authentication fast identisch ist. Ein weiteres sehr interessantes Merkmal findet sich in den Anhängen zur CPS: Hier wurden relevante externe Standards wie die Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates des CA Browser Forums [21] oder aber die Guidelines for the Issuance and Management of Extended Validation (EV) Certificates [22] direkt wörtlich in das Dokument eingebunden. 5.4 TC TrustCenter TC TrustCenter veröffentlicht eine CP und eine CPS inklusive aller historischen Versionen [23, 24]. Im Jahr 1999 wurde die erste, nach einer eigenen Struktur aufgebaute CP mit ca. 20 Seiten Um-
5 38 DFN Mitteilungen Ausgabe 85 November 2013 SICHERHEIT fang veröffentlicht. Das Dokument beschreibt ausschließlich die Abläufe der Identifizierung und Authentifizierung, was Kapitel 3 in einem RFC 3657-Dokument entspricht. Dieses Dokument ist in überarbeiteter Form auch heute noch in Gebrauch. Es wird in der englischen Version Certificate Policy Definitions genannt. Ab 2001 veröffentlichte TC TrustCenter zusätzlich ein nach RFC 2527 und später RFC 3647 gegliedertes CPS, das im Laufe der Jahre von ca. 40 auf aktuell über 70 Seiten gewachsen ist. Das Kapitel 3 dieses Dokuments ist recht ausführlich gehalten, verweist aber zusätzlich weiterhin auf die CP. Beide Dokumente definieren fünf Zertifikatklassen mit unterschiedlichen Anforderungen an die Verifikation von Daten in den ausgestellten Zertifikaten. 6 Nützlichkeit Nach diesen Beispielen aus der Praxis stellt sich jetzt die Frage, welchen Nutzen die Veröffentlichung von CP oder CPS hat. Dass eine CA als Trusted Third Party dokumentieren muss, wie sie das in sie gesetzte Vertrauen rechtfertigt, liegt auf der Hand. Aber welchen Beitrag leisten hierzu CP und CPS? Im Prinzip ist alles ganz einfach: Der Nutzer eines Zertifikats liest die dazugehörigen Dokumente und weiß sofort, wie es um die Vertrauenswürdigkeit einer CA und deren Zertifikate bestellt ist. Wie man allerdings an den Praxis-Beispielen erkennen kann, scheitert dieser Ansatz schon am Umfang einer gewöhnlichen CP oder CPS. Man muss bei 90 Seiten Dokumentation vorab recht genau wissen, an welchen Stellen die kritischen Punkte stehen, die zur Beurteilung der Vertrauenswürdigkeit wichtig sind. Die Verteilung wichtiger Inhalte auf zig Anhänge erschwert dies zusätzlich. Und noch ein weiteres Zahlenspiel: In Mozilla-Produkten sind aktuell 62 verschiedene Organisationen mit 158 Root-CA-Zertifikaten enthalten [25]. Man müsste sich also durch mindestens 6.000, vermutlich aber eher Seiten Dokumentation arbeiten, um einen vollständigen Überblick über die Arbeitsweise und Vertrauenswürdigkeit dieser CAs zu bekommen. Daher muss ein CP/CPS als ein Dokument begriffen werden, das nicht den Zertifikatnutzern, sondern Fachleuten dient. Die CP/ CPS ist der Mittelpunkt der gesamten Dokumentationslage und Startpunkt zur Beurteilung einer Zertifizierungsstelle. Es dient als zentraler Ankerpunkt für Dokumente, die in alle Richtungen zielen: Zertifikatinhaber benötigen eine Zusammenfassung ihrer Rechte und Pflichten, die in Subscriber Obligations - oder Subject Information -Papieren beschrieben werden. Mitarbeiter der Zertifizierungsstelle benötigen für interne Zwecke weitere Dokumente wie z.b. ein Sicherheits konzept, ein Betriebshandbuch und Administrationsdokumentation. Softwarehersteller, die die CA in ihre Produkte vorinstallieren wollen, verlangen Prüfberichte und weitere Erklärungen zur Konformität mit eigenen Vorgaben. Auditoren sehen CP/CPS ebenfalls nur als erste Ansatzpunkte, die durch weitere interne und externe Dokumente, Checklisten und Vorgaben ergänzt werden müssen. WebTrust ETSI TS RFC3647 CA/Browserforum Baseline Requirements CP/CPS Subject Information Subscriber Obligations Sicherheitskonzept Risikoanalyse Betriebshandbuch... Abb. 1: CP/CPS als Ankerpunkt der Dokumentation
6 SICHERHEIT DFN Mitteilungen Ausgabe Derjenige, der im Internet auf ein Zertifikat stößt, muss sich normalerweise ganz darauf verlassen, dass die CA vorab überprüft wurden, da er nur schwerlich für jedes Zertifikat die dazugehörige CP oder CPS studieren kann. Als Zertifikatnutzer vertraut man dabei den Fachleuten der verwendeten Software, sei es der Webbrowser, das Betriebssystem oder spezielle Anwendungen für qualifizierte Signaturen nach dem Signaturgesetz. Jeder große Betriebssystem- und Browserhersteller hat ein eigenes Root-Programm, in dem eine Root CA zunächst geprüft wird, bevor sie in der Software vorinstalliert wird. Die CP/CPS wird dabei immer mit geprüft und ist unabdingbarer Bestandteil des Prozesses. Aber auch andere Organisationen setzen einen Mechanismus um, bei dem die Prüfung von CP/CPS gekapselt wird und an zentraler Stelle für eine Vielzahl von Nutzern erfolgt. Beispiele sind die TeleTrusT European Bridge CA [26] oder die European Grid PMA zusammen mit der International Grid Trust Federation [27]. Die TeleTrust European Bridge CA nutzt eine eigene CP (konform zu RFC 3647), die alle teilnehmenden CAs einhalten müssen, während die European Grid PMA mit sogenannten Authentication Profiles arbeitet, gegen die die Konformität der CP/CPS von CAs geprüft werden. 7 Defizite Wie sich in den Praxisbeispielen schon angedeutet hat, ist der Nutzen von CP/CPS durchaus kritisch zu bewerten. Die von CAs veröffentlichten Dokumente sind bisweilen sehr schwer zu lesen, da entweder irrelevante Allgemeinplätze beschrieben werden oder aber die Detailtiefe so groß ist, das jeder Überblick verloren geht. Dies ist aber nicht nur Schuld der CAs, die sich zu wenig Mühe bei der Gestaltung ihrer Dokumente geben: Gerade an im Webbrowser vorinstallierte CAs werden (zu Recht) ständig neue externe Anforderungen gestellt, die umgesetzt und in CP/ CPS dokumentiert werden müssen. Mozilla, Microsoft und Co. haben in ihren jeweiligen Root- Programmen unterschiedliche Anforderungen, die sich darüber hinaus noch mehr oder weniger häufig ändern. Hinzu kommen weitere Anforderungen aus Standards, die CAs einhalten müssen oder wollen, beispielsweise Webtrust, ETSI oder die Baseline Requirements des CA/Browserforums. Die Einhaltung dieser Standards wird üblicherweise regelmäßig von externen Auditoren überprüft. Je nach Prüfer kann hierbei durchaus jedes Jahr eine neue Verfeinerung von CP/CPS notwendig werden. Das Ergebnis sind die in den Beispielen vorgestellten komplizierten Strukturen von über die Zeit gewachsenen Dokumenten, die sich dem normalen Leser komplett ent - ziehen. Ein weiteres Problem: Die eigentlich vorgesehene einfache Vergleichbarkeit zwischen verschiedenen CAs ist kaum gegeben, da zum einen die Abgrenzung zwischen CP und CPS uneinheitlich gehandhabt wird und zum anderen die Standardgliederung aus RFC 3647 nicht immer konsequent übernommen wird. Des Weiteren ist eine CP oder CPS vollkommen ungeeignet, um Zertifikatinhaber oder -nutzer verbindlich zu einem bestimmten Verhalten zu verpflichten (z.b. Sorgsamkeitspflichten im Umgang mit dem privaten Schlüssel, wie sie oft in Kapitel 4.5 eines RFC 3647-kompatiblen Dokumentes zu finden sind). Hierfür müssen weitere, kürzere Dokumente wie ein Subscriber Agreement oder eine Subject Information genutzt werden, die als Ergänzung zur CP/CPS genau die Aspekte aufgreifen, die für die jeweilige Zielgruppe wirklich relevant sind. Und wenn es um Verpflichtungen zur Prüfung der Zertifikat-Gültigkeit per Sperrliste oder OCSP geht, nützen noch so viele Dokumente nichts: Selbst wenn ein Nutzer weiß, dass er die Gültigkeit eines Zertifikats prüfen soll, so ist er doch darauf angewiesen, dass die verwendete Software diese Aufgabe für ihn erledigt. Hier gibt es viele Probleme: In Mozilla Firefox/Thunderbird sind die Mechanismen für Sperrlisten seit Jahren fehlerhaft, und auch wenn seit einiger Zeit OCSP recht gut unterstützt wird, so wird doch in den Default-Einstellungen bei Nichterreichbarkeit eines OCSP-Servers kein Fehler erzeugt, sondern das Zertifikat einfach als gültig akzeptiert. Noch ärger ist es bei Google Chrome: Anfang 2012 deaktivierte Google die übliche Unterstützung für Sperrlisten und OCSP in den Default-Einstellungen von Chrome und nutzt stattdessen eine stark eingeschränkte Untermenge an Sperrinformationen ( CRLSet ), die nach Vorauswahl durch Google per Update-Mechanismus zu den Clients gelangt [28]. Nach etwas mehr als einem Jahr sind in Chromes CRLSet ca Zertifikate als gesperrt markiert, was nur ein ganz kleiner Bruchteil der weltweit von Zertifizierungsstellen gesperrten Zertifikate ist. Es bleibt noch darauf aufmerksam zu machen, dass es sehr einfach ist, eine CP/CPS zu verfassen, das zwar einen beträchtlichen Umfang an Papier oder Festplattenplatz verbraucht, aber keinerlei verwertbare Aussage enthält. Hierzu ein kleines Suchspiel: Wo steckt der Fehler in folgender Formulierung? Zur Speicherung des privaten Schlüssels der CA kann ein nach FIPS Level 3 zertifiziertes Hardware Security Modul verwendet werden. Auflösung: Das unscheinbare Wort kann vernichtet jede Verbindlichkeit der Spezifikation. Eine solche CP/CPS könnte zwar den stolzen Titel Entspricht RFC 3647 tragen, wäre aber ziemlich nutzlos.
7 40 DFN Mitteilungen Ausgabe 85 November 2013 SICHERHEIT 8 Fazit Zertifizierungsrichtlinien und Erklärungen zum Zertifizierungsbetrieb sind wichtige öffentliche Dokumente, die für einen Überblick über das allgemeine Sicherheitsniveau der beschriebenen PKI unabdingbar sind und ein gewisses Maß an Transparenz schaffen. Für Fachleute mit genügend Zeit zum Studium der Dokumente ergibt sich ein an einer Stelle gebündelter guter Einblick in die Arbeit einer Zertifizierungsstelle. Allerdings sind die Dokumente oft sehr unhandlich. Beschreibt eine Zertifizierungsstelle dann auch noch mehrere Zertifikattypen in einem Dokument, wird es schnell unlesbar, und man bekommt den Eindruck, dass es doch nicht so sehr um Transparenz, sondern mehr um die formale Erfüllung von externen Vorgaben geht. Es wäre wünschenswert, wenn Zertifizierungsstellen mehr auf die Lesbarkeit ihrer Dokumente und Beschreibungen achten würden. Klar verständliche Informationen für Zertifikatinhaber oder kurze und prägnante Policy Disclosure Statements wären gut geeignet, um mehr Vertrauen in die Arbeitsweise aufzubauen. Allerdings können in CP/CPS nicht alle Aspekte der Sicherheit von Zertifikaten so geregelt werden, dass sich in der Praxis alle Beteiligten daran halten (können). Wenn z.b. große Software- Hersteller keine vollständige Unterstützung von Sperrmechanismen bieten, lässt sich außerhalb eines gesetzlich reglementierten Bereichs eine Verpflichtung von Nutzern zur Prüfung der Gültigkeit von Zertifikaten durch die Zertifizierungsstelle in der Praxis nicht durchsetzen. Trotzdem sind CP/CPS als Ausgangspunkt für die Dokumentationslage einer Zertifizierungsstelle und als zentrale Sammlung der verbindlichen Verpflichtungen aller beteiligten Rollen unersetzlich. M Literatur [1] Spiegel Online, Schludrige Schlüsselmeister gefährden das Web, [2] DuD 22 (1998) 9, Dirk Fox, Eine PGP-Policy für Unternehmen [3] ITU-T Recommendation X.509 (11/1988) THE DIRECTORY AUTHEN- TICATION FRAMEWORK [4] ITU-T Recommendation X.509 (11/1993) THE DIRECTORY AUTHEN- TICATION FRAMEWORK [5] ITU-T Recommendation X.509 (08/1997) THE DIRECTORY AUTHEN- TICATION FRAMEWORK [6] IETF, RFC1422, S. Kent, Privacy Enhancement for Internet Electronic Mail: Part II: Certificate-Based Key Management, Februar 1993, [7] American Bar Association, Digital Signature Guidelines, August 1996 [8] IETF, RFC 2527, S. Chokhani, W. Ford, Internet X.509 Public Key Infrastructure, Certificate Policy and Certification Practices, März 1999, Framework, [9] IETF, RFC 3647, S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu, Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, November 2003, rfc3647.txt [10] ANSI, X9.79 PKI Practices and Policy Framework for the Financial Services Industry, 2001 [11] AICPA/CICA, WebTrust Program for Certification Authorities Version 1.0, August 25, 2000 [12] ETSI ESI TS v1.1.1, Electronic Signatures and Infrastructures (ESI): Policy requirements for certification authorities issuing qualified certificates, Dezember 2000 [13] ETSI ESI TS v1.1.1, Electronic Signatures and Infrastructures (ESI): Policy requirements for certification authorities issuing public key certificates, April 2002 [14] Comodo Certification Practice Statement v. 4.0, October 2012, [15] DFN-Verein, Zertifizierungsrichtlinien für die DFN-PCA, Medium- Level Policy, Version 1.0, April 1997 [16] DFN-Verein, Zertifizierungsrichtlinien für die DN-PCA, Low-Level Policy, Version 1.0, April 1997 [17] DFN-Verein, Zertifizierungsrichtlinien für die DFN-PCA, Die World Wide Web Policy, Version 1.0, April 1999 [18] DFN-Verein, Policies der DFN-PKI, [19] Symantec Trust Network (STN) Certificate Policy Version , Februar 2013, [20] Symantec Trust Network (STN) Certification Practices Statement Version , Februar 2013, index.html [21] CA/Browser Forum, Baseline Requirements for the Issuance and Man agement of Publicly-Trusted Certificates, Version 1.1, September 2012, [22] CA/Browser Forum, Guidelines for the Issuance and Management of Extended Validation (EV) Certificates, Version 1.4, Mai 2012, [23] TC TrustCenter, Zertifizierungsrichtlinien, Januar 2010, trustcenter.de/about/repository.htm [24] TC TrustCenter GmbH, Certification Practice Statement Version 1.9.3, Januar 2010, [25] Mozilla CA Certificate Store, [26] TeleTrusT European Bridge CA, [27] The European Policy Management Authority for Grid Authentication in e-science, [28] Revocation checking and Chrome s CRL, Februar 2012) imperialviolet.org/2012/02/05/crlsets.html
Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrDie Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA die Erfüllung
MehrCommunity Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate
Community Zertifizierungsstelle für Digitale Identität & Privatsphäre SSL / S/MIME Zertifikate www.cacert.org 2010 / ab OSS an Schulen, Zürich, 2010-05-29, Folie 1 Agenda Identität und Vertrauen WoT und
MehrInfrastruktur: Vertrauen herstellen, Zertifikate finden
TeleTrusT Bundesverband IT-Sicherheit e.v. Infrastruktur: Vertrauen herstellen, Zertifikate finden Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter n zu -Verbund einfacher,
MehrDie Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen TC TrustCenter GmbH Sonninstraße 24-28 20097 Hamburg für den Zeitstempeldienst Time Stamping Authority (TSA)
MehrErklärung zum Zertifizierungsbetrieb der UHH CA in der DFN-PKI. - Sicherheitsniveau: Global -
Erklärung zum Zertifizierungsbetrieb der UHH CA in der DFN-PKI - Sicherheitsniveau: Global - Universität Hamburg CPS der UHH CA V2.4 21.07.2011 1 Einleitung Die UHH CA ist eine Zertifizierungsstelle des
MehrDie Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen DATEV eg Paumgartnerstraße 6-14 90329 Nürnberg für die Zertifizierungsdienste DATEV STD, INT und BT CAs die
Mehrder Uni Konstanz Server CA in der
Erklärung zum Zertifizierungsbetrieb der Uni Konstanz Server CA in der DFN-PKI - Sicherheitsniveau: Global - Universität Konstanz CPS der Uni Konstanz Server CA V1.0 02.02.2007 CPS der Uni Konstanz Server
MehrCOMPUTER MULTIMEDIA SERVICE
Umgang mit Web-Zertifikaten Was ist ein Web-Zertifikat? Alle Webseiten, welche mit https (statt http) beginnen, benötigen zwingend ein Zertifikat, welches vom Internet-Browser eingelesen wird. Ein Web
MehrDie Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen TC TrustCenter GmbH Sonninstraße 24-28 20097 Hamburg für den Zertifizierungsdienst TC TrustCenter Class 2
MehrErklärung zum Zertifizierungsbetrieb der UNI-FFM CA in der DFN-PKI. - Sicherheitsniveau: Global -
Erklärung zum Zertifizierungsbetrieb der UNI-FFM CA in der DFN-PKI - Sicherheitsniveau: Global - Johann Wolfgang Goethe-Universität CPS der UNI-FFM CA V1.1 20. April 2009 CPS der UNI-FFM CA Seite 2/5 V1.1
MehrProgrammiertechnik II
X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel
MehrIst das so mit HTTPS wirklich eine gute Lösung?
SSL/TLS und PKI im Internet Erik Tews erik@datenzone.de Ist das so mit HTTPS wirklich eine gute Lösung? 21.05.2012 Erik Tews 1 Was ist PKI Asymmetrische Kryptographie ist echt praktisch Schlüssel bestehen
Mehrzum Zertifizierungsbetrieb der HTW-Dresden CA in der DFN-PKI Hochschule für Technik und Wirtschaft Dresden (FH) CP & CPS V1.1, 19.09.
Zertifizierungsrichtlinie und Erklärung zum Zertifizierungsbetrieb der HTW-Dresden CA in der DFN-PKI Hochschule für Technik und CP & CPS V1.1, 19.09.2005 Hochschule für Technik und - Seite 1 - CP & CPS
MehrNeues aus der DFN-PKI. Jürgen Brauckmann dfnpca@dfn-cert.de
Neues aus der DFN-PKI Jürgen Brauckmann dfnpca@dfn-cert.de Überblick Aktuelle Betriebsinformationen Herstellerinitiativen für bessere PKI Umstellung auf SHA-2 60. Betriebstagung des DFN-Vereins Folie 2
MehrErklärung zum Zertifizierungsbetrieb der MDR CA in der DFN-PKI. - Sicherheitsniveau: Global -
Erklärung zum Zertifizierungsbetrieb der MDR CA in der DFN-PKI - Sicherheitsniveau: Global - Mitteldeutscher Rundfunk CPS der MDR CA V1.1 22.06.2007 CPS der MDR CA Seite 2/5 V1.1 1 Einleitung Die MDR CA
MehrDER SELBST-CHECK FÜR IHR PROJEKT
DER SELBST-CHECK FÜR IHR PROJEKT In 30 Fragen und 5 Tipps zum erfolgreichen Projekt! Beantworten Sie die wichtigsten Fragen rund um Ihr Projekt für Ihren Erfolg und für Ihre Unterstützer. IHR LEITFADEN
MehrStammtisch 04.12.2008. Zertifikate
Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate
MehrBAYERISCHES STAATSMINISTERIUM DES INNERN
BAYERISCHES STAATSMINISTERIUM DES INNERN Bayer. Staatsministerium des Innern 80524 München Einsatznachbearbeitung und vermeintlicher Zertifikatfehler unter Internet Explorer bzw. Mozilla Firefox Bei sicheren
Mehr2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften
1. Digital signierte Rechnungen Nach 11 Abs. 2 zweiter Unterabsatz UStG 1994 gilt eine auf elektronischem Weg übermittelte Rechnung nur dann als Rechnung im Sinne des 11 UStG 1994, wenn die Echtheit der
MehrWas meinen die Leute eigentlich mit: Grexit?
Was meinen die Leute eigentlich mit: Grexit? Grexit sind eigentlich 2 Wörter. 1. Griechenland 2. Exit Exit ist ein englisches Wort. Es bedeutet: Ausgang. Aber was haben diese 2 Sachen mit-einander zu tun?
MehrEinrichtung einer eduroam Verbindung unter dem Betriebssystem Android
Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android Im Folgenden wird die Einrichtung einer eduroam-verbindung unter dem Betriebssystem Android beschrieben. Die Android-Plattform existiert
MehrLineargleichungssysteme: Additions-/ Subtraktionsverfahren
Lineargleichungssysteme: Additions-/ Subtraktionsverfahren W. Kippels 22. Februar 2014 Inhaltsverzeichnis 1 Einleitung 2 2 Lineargleichungssysteme zweiten Grades 2 3 Lineargleichungssysteme höheren als
MehrKriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrInstallationsanleitung für die h_da Zertifikate
Zentrale Serverdienste Installationsanleitung für die h_da Zertifikate Dokumentennummer: IT-ZSD-008 Version 1.3 Stand 23.05.2013 Historie Version Datum Änderung Autor 1.0 22.10.2008 Dokument angelegt tbo
MehrSichere email mit OpenPGP und S/MIME
Sichere email mit OpenPGP und S/MIME Eine Kurzeinführung von Django http://dokuwiki.nausch.org Inhalt Ausgangssituation (mit Beispielen) Zielbild Lösungsansätze (im Grundsatz) OpenPGP
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrDas Leitbild vom Verein WIR
Das Leitbild vom Verein WIR Dieses Zeichen ist ein Gütesiegel. Texte mit diesem Gütesiegel sind leicht verständlich. Leicht Lesen gibt es in drei Stufen. B1: leicht verständlich A2: noch leichter verständlich
MehrDigitale Signatur - Anleitung zur Zertifizierung der eigenen Email-Adresse
1 Digitale Signatur - Anleitung zur Zertifizierung der Digitale Signatur - Anleitung zur Zertifizierung der Website Nutzerzertifikat https://pki.pca.dfn.de/htw-dresden-ca/cgi-bin/pub/pki Auf dieser Seite
MehrInformatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
MehrE-Mail-Verschlüsselung mit Geschäftspartnern
E-Mail-Verschlüsselung mit (Anleitung für Siemens Mitarbeiter) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3
MehrISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung
Seite 1 von 24 ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2006 Microsoft Windows Server 2003 SP1 Microsoft
MehrAdobe Photoshop. Lightroom 5 für Einsteiger Bilder verwalten und entwickeln. Sam Jost
Adobe Photoshop Lightroom 5 für Einsteiger Bilder verwalten und entwickeln Sam Jost Kapitel 2 Der erste Start 2.1 Mitmachen beim Lesen....................... 22 2.2 Für Apple-Anwender.........................
MehrDatenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &
Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick
MehrDienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden
Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2
MehrFORUM HANDREICHUNG (STAND: AUGUST 2013)
FORUM HANDREICHUNG (STAND: AUGUST 2013) Seite 2, Forum Inhalt Ein Forum anlegen... 3 Forumstypen... 4 Beiträge im Forum schreiben... 5 Beiträge im Forum beantworten... 6 Besondere Rechte der Leitung...
Mehr10.07.2013 Seite 1 von 6
Diese Anleitung soll dabei helfen, PGP unter Mac OS X mit dem Email- Client Thunderbird einzurichten. In dieser Anleitung wird nicht beschrieben, wie Thunderbird installiert oder eingerichtet wird. Dies
MehrNachrichten- Verschlüsselung Mit S/MIME
Nachrichten- Verschlüsselung Mit S/MIME Höma, watt is S/MIME?! S/MIME ist eine Methode zum signieren und verschlüsseln von Nachrichten, ähnlich wie das in der Öffentlichkeit vielleicht bekanntere PGP oder
MehrLizenzen auschecken. Was ist zu tun?
Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.
MehrFreie Zertifikate für Schulen und Hochschulen
Freie Zertifikate für Schulen und Hochschulen Dr. Thomas Bremer CAcert Inc. Public Key Kryptographie Zwei Schlüssel: ein Öffentlicher und ein Privater Damit kann man Daten verschlüsseln und digital signieren
MehrDas Experiment mit der Digitalen Signatur
Das Experiment mit der Digitalen Signatur Dieses Dokument (die PDF-Version) soll hier mit einer Elektronischen Unterschrift versehen werden Auf den folgenden Seiten sind die Arbeitsschritte beschrieben,
MehrPublic Key Infrastructure (PKI) Funktion und Organisation einer PKI
Public Key Infrastructure (PKI) Funktion und Organisation einer PKI Übersicht Einleitung Begriffe Vertrauensmodelle Zertifikatswiderruf Verzeichnisse Inhalt eines Zertifikats 29.10.2003 Prof. Dr. P. Trommler
Mehr- Sicherheitsniveau: Global -
Erklärung zum Zertifizierungsbetrieb der FH-D-CA in der DFN-PKI - Sicherheitsniveau: Global - Fachhochschule Düsseldorf CPS der FH-D-CA V2.1 15.02.2007 CPS der FH-D-CA Seite 2/6 V2.1 1 Einleitung Die FH-D-CA
MehrE-Mail-Verschlüsselung Vorrausetzungen
E-Mail-Verschlüsselung Vorrausetzungen Datum: 09.08.2011 Dokumentenart: Anwenderbeschreibung Version: 2.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3 2. Voraussetzungen...4
MehrPRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag
1 Zweck PRÜFMODUL D UND CD Diese Anweisung dient als Basis für unsere Kunden zur Information des Ablaufes der folgenden EG-Prüfung nach folgenden Prüfmodulen: D CD Es beschreibt die Aufgabe der benannten
MehrEinrichtung des Cisco VPN Clients (IPSEC) in Windows7
Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrA-CERT Certificate Policy
ARGE DATEN A-CERT Certificate Policy [gültig für A-CERT COMPANY Zertifikate für gewöhnliche und fortgeschrittene Signaturen] Version 1.2/Mai 2009 - a-cert-company-policy-20090529.doc OID-Nummer: 1.2.40.0.24.1.1.2.1
MehrWindows 10 Sicherheit im Überblick
Security im neuen Microsoft Betriebssystem Windows 10 Sicherheit im Überblick 04.08.15 Autor / Redakteur: Thomas Joos / Peter Schmitz Windows 10 hat viele neue Sicherheitsfunktionen, wie z.b. Optimierungen
MehrStellen Sie bitte den Cursor in die Spalte B2 und rufen die Funktion Sverweis auf. Es öffnet sich folgendes Dialogfenster
Es gibt in Excel unter anderem die so genannten Suchfunktionen / Matrixfunktionen Damit können Sie Werte innerhalb eines bestimmten Bereichs suchen. Als Beispiel möchte ich die Funktion Sverweis zeigen.
MehrAlbert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen
Open Source professionell einsetzen 1 Mein Background Ich bin überzeugt von Open Source. Ich verwende fast nur Open Source privat und beruflich. Ich arbeite seit mehr als 10 Jahren mit Linux und Open Source.
MehrEin Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird
Mailkonfiguration am Beispiel von Thunderbird Ein Hinweis vorab: Sie können beliebig viele verschiedene Mailkonten für Ihre Domain anlegen oder löschen. Das einzige Konto, das nicht gelöscht werden kann,
MehrProjektmanagement in der Spieleentwicklung
Projektmanagement in der Spieleentwicklung Inhalt 1. Warum brauche ich ein Projekt-Management? 2. Die Charaktere des Projektmanagement - Mastermind - Producer - Projektleiter 3. Schnittstellen definieren
MehrInstallation des Authorware Webplayers für den Internet Explorer unter Windows Vista
Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista Allgemeines: Bitte lesen Sie sich diese Anleitung zuerst einmal komplett durch. Am Besten, Sie drucken sich diese Anleitung
MehrWir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen
Was bedeutet es, ein Redaktionssystem einzuführen? Vorgehensmodell für die Einführung eines Redaktionssystems Die Bedeutung Fast alle Arbeitsabläufe in der Abteilung werden sich verändern Die inhaltliche
MehrOLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98
OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98 Neue Version: Outlook-Termine, Kontakte, Mails usw. ohne Exchange-Server auf mehreren Rechnern nutzen! Mit der neuesten Generation intelligenter
MehrOnline Newsletter III
Online Newsletter III Hallo zusammen! Aus aktuellem Anlass wurde ein neuer Newsletter fällig. Die wichtigste Neuerung betrifft unseren Webshop mit dem Namen ehbshop! Am Montag 17.10.11 wurde die Testphase
MehrEinkaufen im Internet. Lektion 5 in Themen neu 3, nach Übung 10. Benutzen Sie die Homepage von: http://www.firstsurf.de/klietm9950_f.
Themen neu 3 Was lernen Sie hier? Sie formulieren Ihre Vermutungen und Meinungen. Was machen Sie? Sie erklären Wörter und Ausdrücke und beurteilen Aussagen. Einkaufen im Internet Lektion 5 in Themen neu
MehrAnleitung für die Registrierung und das Einstellen von Angeboten
Anleitung für die Registrierung und das Einstellen von Angeboten Das FRROOTS Logo zeigt Ihnen in den Abbildungen die wichtigsten Tipps und Klicks. 1. Aufrufen der Seite Rufen Sie zunächst in Ihrem Browser
MehrStep by Step Webserver unter Windows Server 2003. von Christian Bartl
Step by Step Webserver unter Windows Server 2003 von Webserver unter Windows Server 2003 Um den WWW-Server-Dienst IIS (Internet Information Service) zu nutzen muss dieser zunächst installiert werden (wird
MehrAgentur für Werbung & Internet. Schritt für Schritt: Newsletter mit WebEdition versenden
Agentur für Werbung & Internet Schritt für Schritt: Newsletter mit WebEdition versenden E-Mail-Adresse im Control Panel einrichten Inhalt Vorwort 3 Einstellungen im Reiter «Eigenschaften» 4 Einstellungen
MehrSchritt 1. Anmelden. Klicken Sie auf die Schaltfläche Anmelden
Schritt 1 Anmelden Klicken Sie auf die Schaltfläche Anmelden Schritt 1 Anmelden Tippen Sie Ihren Benutzernamen und Ihr Passwort ein Tipp: Nutzen Sie die Hilfe Passwort vergessen? wenn Sie sich nicht mehr
MehrAnleitung über den Umgang mit Schildern
Anleitung über den Umgang mit Schildern -Vorwort -Wo bekommt man Schilder? -Wo und wie speichert man die Schilder? -Wie füge ich die Schilder in meinen Track ein? -Welche Bauteile kann man noch für Schilder
MehrGeprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz
www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz
MehrSharePoint Demonstration
SharePoint Demonstration Was zeigt die Demonstration? Diese Demonstration soll den modernen Zugriff auf Daten und Informationen veranschaulichen und zeigen welche Vorteile sich dadurch in der Zusammenarbeit
MehrWas ist Sozial-Raum-Orientierung?
Was ist Sozial-Raum-Orientierung? Dr. Wolfgang Hinte Universität Duisburg-Essen Institut für Stadt-Entwicklung und Sozial-Raum-Orientierte Arbeit Das ist eine Zusammen-Fassung des Vortrages: Sozialräume
Mehrvorab noch ein paar allgemeine informationen zur de-mail verschlüsselung:
Kurzanleitung De-Mail Verschlüsselung so nutzen sie die verschlüsselung von de-mail in vier schritten Schritt 1: Browser-Erweiterung installieren Schritt 2: Schlüsselpaar erstellen Schritt 3: Schlüsselaustausch
MehrAnmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)
Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv) Über den Link https://www.edudip.com/academy/dbv erreichen Sie unsere Einstiegsseite: Hier finden Sie die Ankündigung unseres
MehrGültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate
Seite 1 von 6 Autor: G. Raptis Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Gültigkeitsmodelle beschreiben den Algorithmus nach dem ein Client oder Dienst entscheidet,
MehrAnlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010
1 von 6 Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010 ci solution GmbH 2010 Whitepaper Draft Anleitung Deutsch Verfasser: ci solution GmbH 2010 Manfred Büttner 16. September
MehrBetriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere E-Mail
Betriebssysteme und Sicherheit Sicherheit Signaturen, Zertifikate, Sichere E-Mail Frage Public-Key Verschlüsselung stellt Vertraulichkeit sicher Kann man auch Integrität und Authentizität mit Public-Key
MehrMulticast Security Group Key Management Architecture (MSEC GKMArch)
Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen
MehrDas neue MyHammer Profil
Das neue MyHammer Profil So optimieren Sie Ihren Online-Auftritt Um Ihr MyHammer Profil überzeugend zu gestalten, sind mehrere Schritte notwendig. Wichtig sind eine gute Unternehmensbeschreibung, Bilder
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrHandout Wegweiser zur GECO Zertifizierung
Seite 1 Handout Wegweiser zur GECO Zertifizierung Vielen Dank, dass Sie sich die Zeit nehmen unsere GECO Zertifikate zu erlangen. Bitte folgen Sie diesen Anweisungen, um zu Ihrem Zertifikat zu gelangen.
MehrAllgemeine Erläuterungen zu
en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate
MehrISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote
Seite 1 von 10 ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Einleitung Microsoft ISA Server 2004 bietet
MehrDas große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten
Das große x -4 Alles über das Wer kann beantragen? Generell kann jeder beantragen! Eltern (Mütter UND Väter), die schon während ihrer Elternzeit wieder in Teilzeit arbeiten möchten. Eltern, die während
MehrSEO Erfolg mit themenrelevanten Links
Hinweis für Leser Dieser Leitfaden soll Ihnen einen Überblick über wichtige Faktoren beim Ranking und Linkaufbau liefern. Die Informationen richten sich insbesondere an Website-Betreiber, die noch keine
MehrHandbuch Fischertechnik-Einzelteiltabelle V3.7.3
Handbuch Fischertechnik-Einzelteiltabelle V3.7.3 von Markus Mack Stand: Samstag, 17. April 2004 Inhaltsverzeichnis 1. Systemvorraussetzungen...3 2. Installation und Start...3 3. Anpassen der Tabelle...3
MehrBegeisterung und Leidenschaft im Vertrieb machen erfolgreich. Kurzdarstellung des Dienstleistungsangebots
Begeisterung und Leidenschaft im Vertrieb machen erfolgreich Kurzdarstellung des Dienstleistungsangebots Überzeugung Ulrich Vieweg Verkaufs- & Erfolgstraining hat sich seit Jahren am Markt etabliert und
MehrNetStream Helpdesk-Online. Verwalten und erstellen Sie Ihre eigenen Tickets
Verwalten und erstellen Sie Ihre eigenen Tickets NetStream GmbH 2014 Was ist NetStream Helpdesk-Online? NetStream Helpdesk-Online ist ein professionelles Support-Tool, mit dem Sie alle Ihre Support-Anfragen
MehrWann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?
DGSV-Kongress 2009 Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt? Sybille Andrée Betriebswirtin für und Sozialmanagement (FH-SRH) Prokuristin HSD Händschke Software
MehrTechnische Dokumentation: wenn Englisch zur Herausforderung wird
Praxis Technische Dokumentation: wenn Englisch zur Herausforderung wird Anforderungsspezifikation, Requirements-Engineering, Requirements-Management, Terminologieverwaltung www.sophist.de Über Englischkenntnisse
MehrRECHT AKTUELL. GKS-Rechtsanwalt Florian Hupperts informiert über aktuelle Probleme aus dem Beamten- und Disziplinarrecht
RECHT AKTUELL GKS-Rechtsanwalt Florian Hupperts informiert über aktuelle Probleme aus dem Beamten- und Disziplinarrecht Rechtsanwalt Florian Hupperts Was muss eigentlich in einer Konkurrentenmitteilung
MehrRichtlinie für den Zeitpunkt der Erstkontrolle
Seite: 1 von 6 EUREPGAP Richtlinie für den Zeitpunkt der Erstkontrolle Obst und Gemüse Version 1.5-Sep05 Veröffentlicht am 30. September 2005 Änderungen seit der letzten Version sind rot markiert. Seite:
MehrFehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems
Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems Name: Bruno Handler Funktion: Marketing/Vertrieb Organisation: AXAVIA Software GmbH Liebe Leserinnen und liebe Leser,
Mehr40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.
40-Tage-Wunder- Kurs Umarme, was Du nicht ändern kannst. Das sagt Wikipedia: Als Wunder (griechisch thauma) gilt umgangssprachlich ein Ereignis, dessen Zustandekommen man sich nicht erklären kann, so dass
MehrLizenzierung von System Center 2012
Lizenzierung von System Center 2012 Mit den Microsoft System Center-Produkten lassen sich Endgeräte wie Server, Clients und mobile Geräte mit unterschiedlichen Betriebssystemen verwalten. Verwalten im
MehrHerzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?
Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich? Was verkaufen wir eigentlich? Provokativ gefragt! Ein Hotel Marketing Konzept Was ist das? Keine Webseite, kein SEO, kein Paket,. Was verkaufen
MehrIT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung
IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für ihre Entscheidung Entdecken Sie was IT Sicherheit im Unternehmen bedeutet IT Sicherheit
Mehrsmis_secure mail in der srg / pflichtenheft /
smis_secure mail in der srg / pflichtenheft / Dok.-Nr: Version: 1.1 PH.002 Status: Klassifizierung: Autor: Verteiler: Draft Erik Mulder, Thanh Diep Erik Mulder, Thanh Diep Pflichtenheft, Seite 2 / 2 Änderungskontrolle
MehrNeue Kennwortfunktionalität. Kurzanleitung. 2012 GM Academy. v1.0
Neue Kennwortfunktionalität Kurzanleitung 2012 GM Academy v1.0 Neue Kennwortfunktionalität Diese Kurzanleitung soll erläutern, wie die neue Kennwort Regelung funktionieren wird. Die GM Academy führt eine
MehrAnleitung zum Login. über die Mediteam- Homepage und zur Pflege von Praxisnachrichten
Anleitung zum Login über die Mediteam- Homepage und zur Pflege von Praxisnachrichten Stand: 18.Dezember 2013 1. Was ist der Mediteam-Login? Alle Mediteam-Mitglieder können kostenfrei einen Login beantragen.
MehrVgl. Kapitel 4 aus Systematisches Requirements Engineering, Christoph Ebert https://www.sws.bfh.ch/studium/cas/swe-fs13/protected/re/re_buch.
Vgl. Kapitel 4 aus Systematisches Requirements Engineering, Christoph Ebert https://www.sws.bfh.ch/studium/cas/swe-fs13/protected/re/re_buch.pdf Nachdem die Projekt-Vision und die Stakeholder bekannt sind,
MehrDatensicherung. Beschreibung der Datensicherung
Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten
MehrDie neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:
Die neue Aufgabe von der Monitoring-Stelle Das ist die Monitoring-Stelle: Am Deutschen Institut für Menschen-Rechte in Berlin gibt es ein besonderes Büro. Dieses Büro heißt Monitoring-Stelle. Mo-ni-to-ring
Mehr