Informationsmanagement

Weitere Magazine

Empfehlungen

Info

Popp <strong>Informationsmanagement</strong> 76 tifiziert. Auch hierbie handelt es sich immer noch um Magnetkarten, die durch einfach herzustellende Geräte ausgelesen oder manipuliert werden können. Nur die weiter unten beschriebenen Smart Cards sind in der Lage, aufgrund ihres eigenen Prozessors und einer sicheren Betriebssystemarchitektur solchen Angriffen zu widerstehen. Insgesamt kann also die Authentizität eines Teilnehmers durch verschiedene Merkmalsbereiche nachgewiesen werden: � Durch den Besitz eines Gegenstandes (engl. Token), der die erforderliche Information enthält (dies entspricht etwa einem „individuellen Türschlüssel“) (Schlüssel, Karte, Ausweis). � Durch Wissen, über das nur die betreffende Person verfügen kann (ein Paßwort oder PIN-Code). � Durch Eigenschaften, die die Person besitzt (biometrische Merkmale) (Fingerabdruck, Stimme, Netzhaut. Zur verläßlichen Autorisierung ist der Einsatz von mindestens zwei dieser Methoden notwendig. Die gebräuchlichsten Verfahren zur Benutzeridentifikation sind heute: ❶ wiederverwendbare Paßwörter ❷ Rückrufsysteme ❸ Frage-Antwort-Systeme ❹ Security-Card Vergleich der gängigen Authentifizierungsverfahren (CZ 24/03) Passwörter Smartcards Hardware Token Biometrie Verlässlichkeit Gering Hoch Hoch Mittel Benutzerfreundlichkeit Gering Hoch Hoch Hoch Portabilität Hoch Hoch Hoch Hoch Initialisierungskosten Gering Hoch Mittel Hoch Operative Kosten Hoch Mittel Mittel mittel Signaturverfahren Die Verwendung von RSA zur Authentisierung von Dokumenten oder Kommunikationskanälen ist in vielerlei Hinsicht komplementär zur Verschlüsselung. Während diese nur das kodierte Dokument überträgt, beläßt es eine elektronische Unterschrift im Klartext (wie man es auch von einem unterschriebenen Schriftstück auf Papier erwarten würde). Zusätzlich wird jedoch mit dem Dokument die Unterschrift des Senders übertragen. Dabei wird vom Dokument ein Hash-Wert erzeugt und mit dem privaten Schlüssel des Dokumentes verschlüsselt. Dadurch sind zwei Eigenschaften sichergestellt: � Das Dokument kann nur von einer einzigen Person stammen, da nur diese über ihren eigenen privaten Schlüssel verfügt. Der Hash-Code ist damit fälschungssicher verschlüsselt. � Das Dokument kann von niemand anderem verfälscht worden sein, da dies anhand des privaten Schlüssels der Person erfolgen müsste. Da der private Schlüssel des Senders mit dem öffentlichen korrespondiert, kann jeder, der über letzteren verfügt, verifizieren, von wem das Dokument stammt. Technisch erfolgt dies durch Entschlüsseln des Hash-Wertes mit dem öffentlichen Schlüssel und durch erneutes Anwenden der Hash- Funktion. Sind beide auf diese Weise ermittelten Hash-Werte identisch, ist nachgewiesen, dass das Dokument so wie ursprünglich beim Sender vorliegt. • Die digitale Signatur ist eine typische Bit-Folge, die ein Dokument ergänzt und rechtskräftig macht. • 1997 Bundestag verabschiedet Informations- und Kommunikationsdienstegesetz und damit das Signaturgesetz • 23.9.1998 Diverse Zertifizierer wie Telekom-Tochter Telesec oder TC Trustcenter in Hamburg starten als „Dienstleister des Vertrauens“.
Popp <strong>Informationsmanagement</strong> 77 • Bonner Regulierungsbehörde für Post und Telekommunikation kontrolliert und beglaubigt die privaten und öffentlichen Zertifizierungsstellen. Diese werden dadurch zu vertrauenswürdigen Instanzen für Anbieter und Anwender. • Im System von Kontrollen und Gegenkontrollen beglaubigen die Zertifizierungsstellen die Identität der Geschäftspartner im Netz. • Damit ein Anwender einmal seine Identität feststellen lassen kann, geht er zu einer Registrierungsstelle (Läden der Telekommunikationsanbieter, Postfilialen, Einwohnermeldeämter), die seine Daten (Geburtsdatum, Name, Wohnung) an den übergeordneten Zertifizierer weiterleitet. • Die Zertifizierungsstelle errechnet (mit RSA- und EI-Gama1-Algorithmen) einen öffentlichen und einen privaten Schlüssel für den Kunden. Dieses Schlüsselpaar gehört untrennbar zusammen, wird aber getrennt eingesetzt. • Der private Schlüssel bleibt geheim, wird auf der Chipkarte gespeichert und ist nicht auslesbar. Er signiert die zu versendenden Dokumente. • Der Empfänger überprüft mit dem beglaubigten öffentlichen Schlüssel (dieser wird entweder mitübertragen oder aus der Datenbank der Zertifizierungsstelle abgerufen) das empfangene Dokument. • Die digitale Signatur ist rechtsverbindlich und schafft so Vertrauen zwischen Geschäftspartnern im Netz • Der Benutzer kann an jedem Computer, der mit einem entsprechenden Chipkartenleser (zusätzliche Laufwerke im PC oder diskettenförmiger Adapter in 3,5-Zoll-Diskettenlaufwerk) und der benötigten Software ausgestattet ist, digital signieren. • Bisher größte Sicherheitslücke ist der Verlust der Chipkarte. Dann muß man seine digitale Signatur sperren. Um diesen Sperren zu überprüfen, müssen die Zertifizierungsstellen Verzeichnisdienste nach der Norm X.509v3 führen. 4.2.3.2.6 Zertifikate Ein Zertifikat ist eine nachprüfbare Aussage einer Person über einen Sachverhalt. In der Online-Welt finden wir Zertifikate für den Authentizitätsnachweis öffentlicher Schlüssel (heute die häufigste Anwendung) oder auch ansatzweise im Bereich von Qualitätszertifikaten („Best Home Page“, „Cool Java Applet“ etc.). In diesem Bereich besteht jedoch weder eine Standardisierung der Attribute noch eine auf öffentlichen Schlüsseln basierende Infrastruktur. Ein Zertifikat (...) ist eine mit einer digitalen Signatur versehene digitale Bescheinigung über die Zuordnung eines öffentlichen Signaturschlüssels zu einer natürlichen Person (Signaturschlüssel- Zertifikat) oder eine gesonderte digitale Bescheinigung, die unter eindeutiger Bezugnahme auf ein Signaturschlüssel-Zertifikat weitere Angaben enthält (Attribut-Zertifikat). [SigG, §2(3)] Im Internet werden elektronische Zertifikate heute für den Nachweis der Zugehörigkeit eines öffentlichen Schlüssels zu einer Person verwendet. Die Internet-Lösung besteht daher im Einsatz einer vertrauenswürdigen dritten Partei (engl. Trusted Third Party, TTP). Im Internet hat sich bei der Verwaltung von Zertifikaten für öffentliche Schlüssel der Begriff der Zertifizierungsautorität durchgesetzt (engl. Certificate Authority, CA). Diese genießt so hohes Vertrauen, dass ihre Aussagen von allen Nutzern als gültig angenommen werden können. Eine Aussage der CA kann damit also sein: „Dieser öffentliche Schlüssel gehört Michael Merz“. Wird diese Aussage noch von der CA unterschrieben, liegen bereits die wesentliche Merkmale eines elektronischen Zertifikats vor. Die Aufgaben der CA bestehen dabei in der Verwaltung von Zertifikaten. Dazu zählen folgende Funktionen: � Einrichtung von Prozeduren zur Registrierung einer Person und ihres öffentlichen Schlüssels � Schaffung eines Online-Dienstes zur automatischen Verifikation von Schlüsseln anhand von Zertifikaten � Verwaltung von Schwarzen Listen für ungültige Zertifikate Das Angebot an personalisierten Chipkarten auf dem Markt Trust Center Privatanwender Kosten: Unternehmen/Behörden Summe für
Seite 1 und 2:
Popp Informationsmanagement 1 Skrip
Seite 3 und 4:
Popp Informationsmanagement 3 2.4 B
Seite 5 und 6:
Popp Informationsmanagement 5 10.2.
Seite 7 und 8:
Popp Informationsmanagement 7 Inter
Seite 9 und 10:
Popp Informationsmanagement 9 liche
Seite 11 und 12:
Popp Informationsmanagement 11 •
Seite 13 und 14:
Popp Informationsmanagement 13 Die
Seite 15 und 16:
Seite 17 und 18:
Popp Informationsmanagement 17 2 Ma
Seite 19 und 20:
Popp Informationsmanagement 19 Info
Seite 21 und 22:
Popp Informationsmanagement 21 - Wi
Seite 23 und 24:
Popp Informationsmanagement 23 Übe
Seite 25 und 26: Popp Informationsmanagement 25 •
Seite 27 und 28: Popp Informationsmanagement 27 5. A
Seite 29 und 30: Popp Informationsmanagement 29 2.2.
Seite 31 und 32: Popp Informationsmanagement 31 der
Seite 35 und 36: Popp Informationsmanagement 35 3. W
Seite 39 und 40: Popp Informationsmanagement 39 4. H
Seite 41 und 42: Popp Informationsmanagement 41 Fina
Seite 43 und 44: Popp Informationsmanagement 43 Füh
Seite 47 und 48: Popp Informationsmanagement 47 cher
Seite 49 und 50: Popp Informationsmanagement 49 3 Ma
Seite 51 und 52: Popp Informationsmanagement 51 Arbe
Seite 53 und 54: Popp Informationsmanagement 53 Anwe
Seite 55 und 56: Popp Informationsmanagement 55 eine
Seite 57 und 58: Popp Informationsmanagement 57 Für
Seite 61 und 62: Popp Informationsmanagement 61 3.3
Seite 63 und 64: Popp Informationsmanagement 63 Anbi
Seite 67 und 68: Popp Informationsmanagement 67 1. N
Seite 73 und 74: Popp Informationsmanagement 73 beze
Seite 75: Popp Informationsmanagement 75 •
Seite 79 und 80: Popp Informationsmanagement 79 �
Seite 81 und 82: Popp Informationsmanagement 81 Heis
Seite 83 und 84: Popp Informationsmanagement 83 : Ab
Seite 85 und 86: Popp Informationsmanagement 85 Der
Seite 87 und 88: Popp Informationsmanagement 87 5. I
Seite 91 und 92: Popp Informationsmanagement 91 Ob W
Seite 93 und 94: Popp Informationsmanagement 93 tion
Seite 95 und 96: Popp Informationsmanagement 95 Unte
Seite 97 und 98: Popp Informationsmanagement 97 6. C
Seite 99 und 100: Popp Informationsmanagement 99 1. B
Seite 101 und 102: Popp Informationsmanagement 101 dur
Seite 103 und 104: Popp Informationsmanagement 103 Die
Seite 105 und 106: Popp Informationsmanagement 105 Met
Seite 107 und 108: Popp Informationsmanagement 107 IV-
Seite 109 und 110: Popp Informationsmanagement 109 7.2
Seite 111 und 112: Popp Informationsmanagement 111 Han
Seite 113 und 114: Popp Informationsmanagement 113 Ein
Seite 117 und 118: Popp Informationsmanagement 117 Ana
Seite 121 und 122: Popp Informationsmanagement 121 che
Seite 125 und 126: Popp Informationsmanagement 125 red
Seite 127 und 128:
Popp Informationsmanagement 127 Wis
Seite 129 und 130:
Popp Informationsmanagement 129 10.
Seite 131 und 132:
Popp Informationsmanagement 131 in
Seite 133 und 134:
Seite 135 und 136:
Popp Informationsmanagement 135 Die
Seite 137 und 138:
Popp Informationsmanagement 137 lig
Seite 139 und 140:
Seite 141 und 142:
Popp Informationsmanagement 141 Ext
Seite 143 und 144:
Popp Informationsmanagement 143 wer
Seite 145 und 146:
Seite 147 und 148:
Popp Informationsmanagement 147 Kno
Seite 149 und 150:
Seite 151 und 152:
Popp Informationsmanagement 151 12
Seite 153 und 154:
Popp Informationsmanagement 153 Mer
Seite 155 und 156:
Popp Informationsmanagement 155 Sch
Seite 157 und 158:
Popp Informationsmanagement 157 War
Seite 159 und 160:
Popp Informationsmanagement 159 Com
Seite 161 und 162:
Seite 163:
Popp Informationsmanagement 163 Pro
Alle anzeigen

Informationsmanagement

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?