Developer Workshop a sign. premium in der Praxis. premium. Grundsätzliches über a sign a. premium Kundenarbeitsplatz

Transkript

1 Developer Workshop a sign premium in der Praxis Grundsätzliches über a sign a premium (Problemstellung?) a sign a premium Kundenarbeitsplatz Design einer Applikation (Login im Web - Beispiel) Signaturapplikationen (a proved application) Hinweise und Diskussion / 1

2 OFFLINE vs. ONLINE 1. Wer haftet für die Richtigkeit? 2. Identifikation 3. Unterschrift / 2

3 Inhalt einer Zertifizierungsrichtlinie / 3

4 Prozessorkarte (Smart Card) CPU ROM I/O RAM Crypto EEPROM / 4

5 Entwicklung der Rechenleistung MIPS PC Smart Card Verzehnfachung alle 5 Jahre - Moderne Smart Card: wie PC / 5

6 Entwicklung der Speichergröße Kbyte Moderne Smart Card: wie Commodore / 6

7 a sign premium Lieferumfang Zertifizierte und bescheinigte Smart Card Qualifiziertes Zertifikat für sichere Signaturen Einfaches Zertifikat für einfache Signaturen, sowie Verschlüsselung und Authentifizierung Bürgerkartenfunktionen / ZMR Aufbringung a sign client um a sign a premium in Standardapplikationen zu nutzen Smart Card : 30,- EUR Registrierung : 12,- EUR Zertifikate pro Jahr : 18,- EUR / 7

8 a sign premium Lieferumfang II... da fehlt doch was... Sichere und empfohlene Kartenleser... Kobil KAAN Professional Kobil KAAN Standard Plus Cherry PC-Tastaturen mit integriertem Chipkartenterminal Reiner SCT cyberjack e-com e mit display Reiner SCT cyberjack pinpad SCM Microsystems SPR532 Siemens Sign@tor Terminal Version sind nicht im Lieferumfang enthalten / 8

9 a sign premium Arbeitsplatz a sign client Gerätetreiber Beispiel Quick / 9

10 Marktperspektive empfohlene Kartenleser Endkunde wird hochprozentig von einem Dienstleister (Bank, etc.) erstausgestattet. Endkunde hat ganze Palette der Hersteller zur Auswahl. Softwarehersteller müssen sich strenger an die Schnittstellen halten, da jedes Gerät beim Kunden vor Ort sein kann. Durch NICHT BEVORZUGUNG besserer Wettbewerb Klassische Auswahlverfahren (Preis, Qualität, Service, etc.) Fazit: Besserer Wettbewerb bringt sichere und billigere Produkte! / 10

11 a sign client Software setzt auf Kartenlesertreiber auf Von Microsoft signierter Crypto rypto Service ervice Providerrovider PKCS#11 Kryptobibliothek Smart Card Verwaltungstool (PIN/PUK Handling) LDAP Verzeichnisimport der A-Trust A Zertifikate Einfache Signatur, Authentifizierung, Verschlüsselung Stellt einfaches Zertifikat dem Betriebssystem zur Verfügung (98-XP) Beispiel : Client und Mail / 11

12 Besonderheiten Standardprodukte Standardprodukte bestimmen die Kryptostärke,... bearbeiten unterschiedlichst die Sperrlisten (CRL, OCSP, etc.),... bearbeiten die Zertifikatsgültigkeit unterschiedlich zb.: Etabliert : Schalenmodell = Ausstellerzertifikat muß vor Ablauf noch gültig sein Neu : Kettenmodell = Ausstellerzertifikat kann auch vorher ablaufen Viele Wurzelzertifikate (Root) vorinstalliert (vertrauenswürdig?) / 12

13 Die sichere Signatur Da eine passende sichere Anzeige (Unveränderlichkeit) angeboten werden muß lautet die entscheidende Frage: Was, bzw. welches Datenformat soll signiert werden? XML, XHTML, TXT, TIFF, PDF, & Co. Infonova ProView SecCommerce SecSigner IT Solution trustview BDC hotsign / 13

14 Die sichere Signatur II Hochprozentig wird die notwendige Software vom Dienstleister dem Endkunden bereitgestellt, da dieser entscheidet welches Format notwendig ist. Im B2B wird immer die Workflowapplikation ausschlaggebend sein und u den Secure Viewer mitliefern müssen. Der Zertifizierungdienstesanbieter übernimmt mit der Empfehlung die Haftung über die sichere Signaturerstellung, daher können nur zertifizierte oder bescheinigte Produkte genannt werden. Entscheidungskriterium für Dateiformat ist der notwendige Haltbarkeitswert der sicheren Signatur (zb.: Archivlösungen) Secure Viewer greift direkt auf qualifiziertes Zertifikat zu und erstellt die sichere Signatur / 14

15 Marktperspektive Secure Viewer Endkunde wird hochprozentig von einem Dienstleister (Bank, etc.) erstausgestattet. Endkunde hat ganze Palette der Herstellersoftware zur Auswahl. Softwarehersteller müssen bugfrei implementieren Durch NICHT BEVORZUGUNG besserer Wettbewerb Klassische Auswahlverfahren (Preis, Qualität, Service, etc.) Fazit: Besserer Wettbewerb bringt sichere und billigere Produkte! / 15

16 Der Weg in die Empfehlungsliste Komponentenhersteller (Kartenleser, Software) Qualitätsprüfung Kompatibilitätsprüfung Gemeinsame Marktperspektive trust client Zertifizierung oder Bescheinigungsverfahren Aufnahme in Empfehlungsliste Markt / 16

17 Relevante Links Standardprodukte Software und Consulting : Kartenleser und Zusatzprodukte: Beispiele : / 17

18 Beispiel : loginmate / 18

19 Beispiel : Redaktionssystem / 19

20 Abläufe bei Login SSL Verbindungsaufbau Server Client Clientzertifikat und VerifyKey wird erzwungen Aktuelle Sperrliste (CRL) wird vom Verzeichnis geholt Zertifikat wird gegen Sperrliste geprüft Zertifikatsinhalt wird mit Datenbank überprüft Seiten werden anwenderspezifisch dargestellt Beispiel : LDAP Browser / 20

21 Design Redaktionslogin Verzeichnis Verzeichnisdienstdienst LDAP LDAP Directory Directory 4 CRL holen PKI Server 3 Prüfauftrag 5 Bestätigung Gültigkeit Redakteur 1 Serverzertifikat Browser 2 Clientzertifikat a sign premium Webserver Redaktion Datenbank 6 Freigabe durch Webserver / 21

22 Relevante Links Bezugsquellen für Webdesigner : msdn.microsoft.com Hersteller von PKI Komponenten : / 22

23 Beispiel Serversignatur Verzeichnis Verzeichnisdienstdienst LDAP LDAP Directory Directory PKI Server PKI Server + Zertifikat + Signaturmodul (Hardware Security Modul oder Software) Kunde Dienstleister / 23

24 a proved application Wie kann dem Kunden die Sicherheit bei Signaturanwendungen vermittelt werden? Welche empfohlenen Komponenten, können weiter empfohlen werden? Wie mache ich angebotene Systeme und Dienstleistungen vertrauenswürdig? Empfohlene Komponenten der A-Trust Notwendige Komponenten für Dienstleistung / 24

25 Was soll mittels des Gütesiegel transportiert werden? Dass der Anbieter sich zur Gänze an die Auflagen des SigG/SigVo hält. Dass der Anbieter sich zur Gänze an die Auflagen des ecommerceg hält. Dass der Anbieter signierte Daten mit signierten Daten bestätigt. t. Dass der Anbieter mit der A-Trust A die Entwicklungen abstimmt. Whitebook ist online verfügbar! / 25

26 6 Gründe Zertifikate einzusetzen Es ist die sicherste Technologie (Haftung) Einfach in der Umsetzung Günstige Möglichkeiten Applikationen zu betreiben Keine Transaktionsgebühren bei Verifikation (Intern) Keine Transaktionsgebühren bei Sperrlistenprüfung (ZDA) Nutzung paralleler Infrastrukturen (1 Zertifikat viele Anwendungen) / 26

27 Diskussion / 27

28 Danke für die Aufmerksamkeit Auf Wiedersehen / 28