KOBIL Smart Token V1.0 Benutzerdokumentation · Kapitel 1 Installation 1.1 Lieferumfang KOBIL USB-Minichipkartenterminal KAAN SIM USB-Anschlusskabel Faltblatt Anschluss und Installation

KOBIL Smart Token V1.0

Benutzerdokumentation

27. Januar 2003Deutsche Version

Inhaltsverzeichnis

1 Installation 31.1 Lieferumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.2 Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.3 Einlegen der SIM-Karte in den KAAN SIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.4 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2 Arbeiten mit KOBIL Smart Token fur Microsoft-Anwendungen 92.1 Zertifikatsmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.1.1 Beantragung eines neuen Zertifikats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.1.2 Der Windows-Zertifikatsmanager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.1.3 Import eines neuen Trustcenter-Zertifikates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.1.4 Import von Zertifikaten anderer Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.2 Absicherung von Web-Seiten mit dem Internet Explorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.3 Absicherung von Emails mit Outlook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.3.1 Auswahl des Zertifikats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202.3.2 Einrichtung der Buttons unter Outlook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252.3.3 Versenden von abgesicherter Email . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262.3.4 Empfang von abgesicherter Email . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

2.4 Der Token Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322.4.1 Loschen von Zertifikaten von Ihrer SIM Karte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332.4.2 Import von Zertifikaten auf Ihre SIM Karte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332.4.3 Anderung der PIN Ihrer SIM Karte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3 Smartcard-Login fur Windows 2000 und XP 343.1 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343.2 Registrierungs-Agent Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353.3 Ausstellung von Smartcard Login-Zertifikaten fur die Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . 403.4 Der Smartcard-Login Vorgang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433.5 Smartcard-Login in Citrix Metaframe XP Umgebungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

4 Arbeiten mit dem KOBIL Smart Token PKCS#11 Modul fur Netscape 454.1 Zertifikatsmanagement unter Netscape . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

4.1.1 Beantragung eines neuen Zertifikats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454.1.2 Verwaltung der Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474.1.3 Import eines neuen Trustcenter-Zertifikates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514.1.4 Import von Zertifikaten anderer Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524.1.5 Import eines Webserver-Zertifikats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524.1.6 Anderung der PIN Ihrer SIM Karte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

4.2 Absicherung von Web-Seiten mit dem Netscape Navigator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534.3 Absicherung von Emails mit Netscape Messenger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

4.3.1 Auswahl des Zertifikats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544.3.2 Versenden von abgesicherter Email . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

1

4.3.3 Empfang von abgesicherter Email . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

A Probleme und Losungen 57A.1 KOBIL Smart Token fur Microsoft-Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57A.2 KOBIL Smart Token PKCS#11 Modul fur Netscape . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

B Grundlagen der Kryptographie und Standards 59B.1 Sicherheitsziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59B.2 Begriffe und Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59B.3 Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

B.3.1 Hash-Algorithmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60B.3.2 Symmetrische Verschlusselungs-Algorithmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60B.3.3 Public Key Algorithmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61B.3.4 Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65B.3.5 Zertifizierungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65B.3.6 Smartcards und Chipkartenterminals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67B.3.7 Secure Socket Layer (SSL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68B.3.8 Secure Multipurpose Internet Mail Exchange (S/MIME) . . . . . . . . . . . . . . . . . . . . . . . . . . 68

C Glossar 70

2

Kapitel 1

Installation

1.1 Lieferumfang

• KOBIL USB-Minichipkartenterminal KAAN SIM

• USB-Anschlusskabel

• Faltblatt Anschluss und Installation KOBIL Smart Token

• TCOS Chipkarte mit Ausstanzung im SIM-Format

• CD-ROM mit KOBIL Smart Token Software

1.2 Systemanforderungen

• Microsoft Windows XP (ab Service Pack 1) oderMicrosoft Windows 2000 (ab Service Pack 2)

• Microsoft Internet Explorer ab Version 5.5

• Microsoft Office xp oderMicrosoft Outlook 2000 SR-1 oderMicrosoft Outlook Express ab Version 5

• 128 MB Arbeitsspeicher (RAM)

• 10 MB freier Speicherplatz auf der Festplatte

• Ein CD-ROM oder DVD-ROM Laufwerk

• Ein freier USB-1.1 Anschluß

3

1.3 Einlegen der SIM-Karte in den KAAN SIM

Brechen Sie die SIM Karte an der dafur vorgesehenen Perforation heraus.

Offnen Sie die obere Abdeckung des KAAN SIM Chipkartenterminals mit leichtem Druck nach hinten. Nun konnen Sie dieSIM Karte, nachdem Sie sie an der dafur vorgesehenen Bruchkante aus dem Kartenkorper herausgelost haben, in den KAANSIM einlegen, und zwar mit der Kontaktflache nach unten und der abgeflachten Ecke nach hinten. Abbildung 1.1 zeigt dasEinlegen der SIM Karte.

Abbildung 1.1: Einlegen der SIM Karte in KOBIL Smart Token

Wichtig: Die SIM Karte kann dauerhaft in Ihrem KAAN SIM Chipkartenterminal verbleiben. Sie brauchensie nur dann auszuwechseln, wenn sie defekt ist oder wenn Sie eine neue SIM-Karte beschreiben mochten.

4

1.4 Installation

Wichtig: Bitte achten Sie darauf, dass vor der Installation Ihr KOBIL Smart Token NICHT eingesteckt ist.Falls Sie es doch eingesteckt haben und der Hardware-Assistent erscheint, so klicken Sie bitte auf Abbrechenund ziehen Sie das Token wieder ab.

1. Beenden Sie alle laufenden Programme.

2. Legen Sie die KOBIL Smart Token CD-ROM in Ihr CD-ROM Laufwerk ein. Die Installationsroutine sollte automatischgestartet werden. Wenn dies nicht der Fall ist, so klicken Sie bitte Start - Ausfuhren und geben D:\Setup.exe ein(ersetzen Sie bitte D durch den Laufwerksbuchstaben Ihres CD-ROM Laufwerks)

Abbildung 1.2: Startmenu der CD-ROM

3. Wahlen Sie den Punkt Installation KOBIL Smart Token aus.

4. Sie werden nun nach der Installations-Sprache gefragt. In der Regel konnen Sie hier die Voreinstellung Deutschubernehmen.

Abbildung 1.3: Auswahl der Installations-Sprache

5

5. Dem Lizenztext mussen Sie ausdrucklich zustimmen, um mit der Installation fortfahren zu konnen.

Abbildung 1.4: Lizenzvereinbarung

6. Legen Sie das Zielverzeichnis fur die KOBIL Smart Token Programmdateien fest. Der vorgegebene Pfad lautet C:\Pro-gramme\KOBIL Systems\Smart Token. Klicken Sie den Button Auswahlen, um ein anderes Zielverzeichnisanzugeben.

Abbildung 1.5: Auswahl des Installations-Pfades

7. Unter Umstanden kann es vorkommen, dass eine Warnmeldung bezuglich der Digitalen Signatur der Treiber er-scheint. Diese Meldung konnen Sie jedoch bedenkenlos mit Ja (Windows 2000) bzw. Installation fortsetzen (Windows

6

XP) uberspringen.

Abbildung 1.6: Digitale Signatur der Treiber

8. Nun werden Sie aufgefordert, Ihr KOBIL Smart Token in einen freien USB-Port Ihres PCs einzustecken. Falls SieIhr KOBIL Smart Token an einem USB-Hub betreiben mochten, so achten sie bitte darauf, dass es sich um einensogenannten Powered Hub handelt, er eine eigene Stromversorgung besitzt. Klicken Sie nach dem Einstecken einfachauf OK.

Abbildung 1.7: Einstecken des Tokens

9. Nun ist die KOBIL Smart Token Software vollstandig installiert und kann benutzt werden. Klicken Sie im letztenDialog auf Fertigstellen.

7

Abbildung 1.8: Abschluss der Installation

8

Kapitel 2

Arbeiten mit KOBIL Smart Token furMicrosoft-Anwendungen

KOBIL Smart Token fur Microsoft-Anwendungen besteht aus einem sog. Cryptographic Service Provider (CSP) fur dieMicrosoft CryptoAPI sowie einigen Hilfsprogrammen. Dadurch konnen alle Anwendungen, welche die Microsoft CryptoAPIunterstutzen – wie z.B. der Internet Explorer oder Outlook –, automatisch mit KOBIL Smart Token zusammenarbeiten.

2.1 Zertifikatsmanagement

KOBIL Smart Token integriert sich optimal in die Windows-eigene Zertifikatsverwaltung. Daher wird in diesem Abschnittauch der Umgang mit der Windows-Zertifikatsverwaltung erklart.

Zunachst muß unterschieden werden, ob Sie bereits ein Zertifikat auf Ihrer SIM Karte besitzen oder nicht:

• Falls Sie eine bereits personalisierte SIM Karte haben, konnen Sie Abschnitt 2.1.1 uberspringen. Dies ist inder Regel dann der Fall, wenn Sie die SIM Karte von Ihrem Administrator ausgehandigt bekommen.

• Falls Ihre SIM Karte noch leer ist, lesen Sie bitte direkt in Abschnitt 2.1.1 weiter.

2.1.1 Beantragung eines neuen Zertifikats

Diese Schritte mussen Sie nur dann durchfuhren, wenn Sie noch kein Zertifikat auf Ihrer SIM Karte besitzen oder wenn Sieein weiteres Zertifikat hinzufugen mochten.

1. Stecken Sie KOBIL Smart Token in Ihren Rechner ein. Die SIM Karte ist bereits eingelegt (siehe Abschnitt 1.3).

2. Starten Sie den Internet Explorer.

3. Geben Sie die URL Ihres Trustcenters ein, zum Beispiel:TeleSec-Trustcenter (Deutschland): www.telesec.deTC Trustcenter (Deutschland): www.trustcenter.deVerisign (USA): www.verisign.com

4. Die meisten Trustcenter bieten kostenloste Testzertifikate an, auch Digital ID’s genannt. Beachten Sie jedoch, daßsolche Testzertifikate kein hohes Sicherheitsniveau bieten.

9

5. Nun mussen Sie einige Daten eingeben, die spater in Ihr Zertifikat aufgenommen werden (die Angaben konnen je nachTrustcenter unterschiedlich sein). Meist sind es einige personliche Daten wie Ihr Name und Ihre Email-Adresse.

Es ist extrem wichtig, daß die angegebene Email-Adresse exakt mit der Ihres Email-Kontos uberein-stimmt (auch Groß- und Kleinschreibung!), da Sie das Zertifikat ansonsten nicht verwenden konnen!

6. Als Name des CSP’s, der die Schlussel erzeugen soll mussen Sie KOBIL Smart Token CSP v1.0 auswahlen.

7. Schicken Sie Ihren Zertifikatsantrag an das Trustcenter ab. In der Regel mussen Sie dazu auf nur den Abschicken- bzw.Submit-Button klicken. Falls Sie bisher noch keine PIN und PUK fur Ihr KOBIL Smart Token vergeben haben, konnenSie diese nun festlegen. Ansonsten mussen Sie Ihre PIN einfach eingeben.

Abbildung 2.1: Dialog zur PIN-Eingabe

8. Folgen Sie nun den Instruktionen des Trustcenters, um Ihr neues Zertifikat zu istallieren. Dabei wird das Zertifikatsowohl auf Ihre SIM Karte geschrieben als auch automatisch bei der Windows-Zertifikatsverwaltung angemeldet.

9. Schauen Sie sich Ihr neues Zertifikat im Windows-Zertifikatsmanager an wie in Abschnitt 2.1.2 beschrieben. Fallsdas Zertifikat nicht gultig ist, weil das Zertifikat aufgrund mangelnder Informationen nicht bestatigt werdenkann, mussen Sie noch das Root-Zertifikat Ihres Trustcenters importieren, da es noch nicht im Windows-Zertifikatsmanager vorhanden ist. Lesen Sie hierzu bitte Abschnitt 2.1.3.

10

Abbildung 2.2: Der Zertifikatsantrag auf den Web-Seiten von Verisign

11

2.1.2 Der Windows-Zertifikatsmanager

Der Windows-Zertifikatsmanager kann auf drei Arten gestartet werden:

1. Aus der Systemsteuerung uber das Panel

Internetoptionen > Inhalt > Zertifikate

2. Aus dem Internet Explorer uber das Menu

Extras > Internetoptionen > Inhalt > Zertifikate

3. Aus Outlook heraus uber das Menu

Extras > Optionen > Sicherheit > Digitale ID’s

Abbildung 2.3: Der Windows-Zertifikatsmanager

In allen drei Fallen erscheint der Windows-Zertifikatsmanager (siehe Abbildung 2.3). Hier sind alle Zertifikate zentral ab-gespeichert, sowohl die eigenen, zu denen Sie den passenden privaten Schlussel besitzen, als auch die Zertifikate andererPersonen. Außerdem sind hier die Wurzelzertifikate der Zertifizierungsstellen registriert.

Alle Zertifikate konnen hier betrachtet werden, indem man das betreffende Zertifikat auswahlt und auf den Button Eigenschaf-ten klickt (siehe Abbildung 2.4). Wichtig ist hier der sogenannte Zertifizierungspfad, der anzeigt, von welchem Trustcenterdas Zertifikat ausgestellt worden ist. Wenn ein Zertifikat als ungultig angezeigt wird, kann man hier meist den Grund dafurerkennen.

12

Abbildung 2.4: Detailansicht eines Zertifikats

Wichtig: Ihr KOBIL Smart Token Zertifikat wird nur dann im Windows Zertifikatsmanager angezeigt, wennes eingesteckt ist.

Der Windows Zertifikatsmanager kann auch Zertifikate loschen und in Dateien exportieren. Beim Export in eine Datei wirdder private Schlussel naturlich nicht mit exportiert. Wenn Sie hier ein Zertifikat loschen, wird es auch auf der SIM Kartegeloscht!

Wichtig: Wenn Sie ein Zertifikat endgultig von Ihrer SIM Karte loschen wollen, seien Sie sehr vorsichtig,denn danach konnen Sie keine Dateien mehr entschlusseln, die an dieses Zertifikat verschlusselt worden sind!

2.1.3 Import eines neuen Trustcenter-Zertifikates

Wenn Sie ein neues Trustcenter “kennenlernen”, um sichere Kommunikation mit den Benutzern dieses Trustcenters zubetreiben, mussen Sie das Trustcenter-Zertifikat (auch Wurzelzertifikat oder Rootzertifikat genannt) dieses Trustcenters im-portieren. Wenn das Trustcenter ein neues Wurzelzertifikat herausgibt, weil das alte abgelaufen ist, mussen Sie dieses ebenfallsimportieren.

1. Surfen Sie mit Ihrem Browser auf die Web-Seiten Ihres Trustcenters.

2. Laden Sie das neue CA-Zertifikat herunter, indem Sie auf den entsprechenden Link klicken.

13

3. Das Zertifikat wird angezeigt mit dem Hinweis, daß es sich noch nicht in der Liste der vertrauenswurdigen Stamm-zertifizierungsstellen befindet.

4. Klicken Sie auf Zertifikat installieren.

5. Die folgenden Dialoge konnen Sie einfach mit weiter bestatigen.

6. Am Ende des Vorgangs wird eine Dialogbox angezeigt, die Sie dazu auffordert, den Fingerabdruck des neuen Zertifikatszu uberprufen. Diesen Fingerabdruck sollten Sie auf einem unabhangigen Weg besorgen, z.B. auf dem Briefpapier desTrustcenters oder auf den Webseiten (was naturlich weniger sicher ist).

Beachten Sie bitte, daß Sie durch den Import eines Trustcenter-Zertifikates automatisch ein Vertrauens-verhaltnis zu allen Benutzern dieses Trustcenters eingehen! Informieren Sie sich daher vorher uber dieZertifizierungspolitik dieses Trustcenters.

Nach dem erfolgreichen Import eines Trustcenter-Zertifikats finden Sie dieses im Windows-Zertifikatsmanager entweder unterZwischenzertifizierungsstellen oder unter vertrauenswurdige Stammzertifizierungsstellen (siehe Abschnitt 2.1.2).

2.1.4 Import von Zertifikaten anderer Benutzer

Bevor Sie eine verschlusselte Email an einen anderen Benutzer versenden konnen, benotigen Sie dessen Zertifikat. Das kannauf zwei Wegen geschehen:

• Sie erhalten eine signierte Email von diesem Benutzer. Darin enthalten ist dessen Zertifikat.

• Sie konnen das Zertifikat des Benutzers auch uber einen sogenannten Verzeichnisdienst abrufen:

Outlook Express

In Outlook Express wahlen Sie dazu das Menu

Bearbeiten > Suchen > Personen

Outlook 98 / 2000 / xp

In Outlook klicken Sie Personen suchen unter

Extras > Adreßbuch

Abbildung 2.5 zeigt den entsprechenden Dialog fur alle Outlook-Versionen. Sie konnen als Suchkriterien den Namenoder die Emailadresse des Empfangers angeben.

Nach dem erfolgreichen Import eines Benutzer-Zertifikats finden Sie dieses im Windows-Zertifikatsmanager unter AnderePersonen (siehe Abschnitt 2.1.2).

14

Abbildung 2.5: Suchen von Zertifikaten uber einen Verzeichnisdienst

Einrichten eines neuen Verzeichnisdienstes

Ein Verzeichnisdienst dient dazu, Zertifikate anderer Benutzer automatisch zu suchen. Um einen neuen Verzeichnisdienst zukonfigurieren, gehen Sie bitte vor wie folgt:

1. Wahlen Sie in Outlook das Menu

Extras > Konten

und wahlen Sie die Karteikarte Verzeichnisdienst wie in Abbildung 2.6 zu sehen.

2. Wahlen Sie den Button Hinzufugen > Verzeichnisdienst.... Daraufhin wird ein Assistent gestartet, der Sie durchdie Installation des neuen Verzeichnisdienstes leitet. Die notwendigen Angaben zu Ihrem Verzeichnisdienst erfragen Siebitte bei Ihrem System-Administrator:

• Verzeichnisdienst-Server: Dies ist die Adresse des Servers des neuen Verzeichnisdienstes.

• Anmeldung erforderlich: Wenn diese Auswahlflache aktiv ist, mussen Sie im nachsten Schritt einen Benutzer-namen und ein Kennwort fur die Anmeldung angeben. In der Regel wird diese Option nicht genutzt.

15

Abbildung 2.6: Einrichtung eines Verzeichnisdienstes

• Uberprufung der Adressen mit diesem Verzeichnisdienst durchfuhren: Aktivieren Sie diese Schaltflache,damit uber diesen Verzeichnisdienst automatisch nach Zertifikaten von Email-Empfangern gesucht wird.

3. Nun kann es u.U. noch notwenig sein, die Suchbasis dieses Verzeichnisdienstes einzustellen. Wahlen Sie dazu nochmalsden neu eingerichteten Verzeichnisdienst aus und klicken Sie auf Eigenschaften. Unter der Karteikarte Erweitertkonnen Sie die Suchbasis eintragen.

Die notwendigen Angaben zu Ihrem Verzeichnisdienst erfragen Sie bitte bei Ihrem Systemverwalter.

Sie konnen auch einen Verzeichnisdienst fur die automatische Suche nach Zertifikaten von Email-Empfangern auswahlen,indem Sie fur den betreffenden Verzeichnisdienst im Menu

Extras > Konten > Verzeichnisdienst > Eingenschaften

die Option Empfangernamen mit diesem Verzeichnisdienst uberprufen einschalten.

16

2.2 Absicherung von Web-Seiten mit dem Internet Explorer

Man kann SSL-abgesicherte Webserver (erkennbar an der “https://”-Adresse) derart konfigurieren, daß sich nicht nur derWebserver gegenuber dem Browser authentifizieren muß, sondern zusatzlich auch der Benutzer gegenuber dem Webserver(Details hierzu finden Sie in Abschnitt B.3.7). Damit kann der Zugriff auf die Web-Seiten auf bestimmte Benutzergruppeneingeschrankt werden.

Dieser Vorgang wird Client-Authentifikation genannt und lauft ab wie folgt:

1. Zunachst bekommen Sie eine Dialogbox mit einer Warnmeldung zu sehen, daß Sie im Begriff sind, eine sichere (SSL-)Web-Seite zu besuchen (Abbildung 2.7). Diese Dialogbox kann auch deaktiviert werden.

Abbildung 2.7: Warnhinweis auf eine sichere Web-Seite

2. Der Webserver schickt sein Zertifikat, das von Ihrem Browser uberpruft wird. Wenn bei der Uberprufung ein Problemauftritt, erscheint ein Sicherheitshinweis wie in Abbildung 2.8 gezeigt.

Abbildung 2.8: Sicherheitshinweis

17

3. Wenn der Webserver eine Client-Authentifikation verlangt, erscheint ein Auswahldialog wie in Abbildung 2.9 zu sehen,der alle Zertifikate anzeigt, mit denen Sie sich gegenuber diesem Webserver authentifizieren konnen. Die Auswahllisteenthalt u.U. nicht alle Ihre Zertifikate oder sogar gar keine, dann sind nicht alle bzw. keines Ihrer Zertifikate fur dieClient-Authentifikation gegenuber diesem Webserver geeignet. Ist genau eines Ihrer Zertifikate geeignet, dann wirddieses automatisch ausgewahlt und es erscheint kein Auswahldialog.

Wichtig: Sie konnen Zertifikate auf Ihrem KOBIL Smart Token nur dann auswahlen, wenn es zu diesemZeitpunkt eingesteckt ist!

Abbildung 2.9: Auswahl der Zertifikats zur Client-Authentifikation

4. Wenn Sie ein Zertifikat auf Ihrem KOBIL Smart Token auswahlen, mussen Sie die PIN Ihrer SIM Karte einzugeben,um den privaten Schlussel fur die Client-Authentifikation freizuschalten.


5. Wenn Sie die korrekte PIN eingegeben haben und Ihr Zertifikat vom Webserver akzeptiert wurde, wird die SSL-Verbindung aufgebaut. Nun kann man ein gelbes Schloß-Symbol in der Statusleiste des Internet-Explorers sehen, wiein Abbildung 2.11 zu erkennen.

18

Abbildung 2.11: Das gelbe Schloß-Symbol zeigt eine abgesicherte Web-Seite an

19

2.3 Absicherung von Emails mit Outlook

In diesem Abschnitt erfahren Sie, wie Sie Ihre Emails in Outlook mit Hilfe von Zertifikaten verschlusseln und digital signierenkonnen. Es wird vorausgesetzt, daß Ihr Internet-Zugang und Ihr Email-Konto korrekt konfiguriert sind. Diesist der Fall, wenn Sie problemlos Emails senden und empfangen konnen. Im Zweifelsfall wenden Sie sichbitte an Ihren Internet-Provider

2.3.1 Auswahl des Zertifikats

Um signierte und verschlusselte Emails versenden und empfangen zu konnen, mussen Sie zunachst Ihr Email-Zertifikatauswahlen. Wenn Sie das nicht tun, erscheint bei jeder Email ein Dialogbox, in dem Outlook nachfragt, welches Zertifikatverwendet werden soll.

Die Vorgehensweise unterscheidet sich ein wenig zwischen Outlook Express und Outlook 98/2000/xp.

Outlook Express

In Outlook Express sind die Zertifikate grundsatzlich an Email-Konten gebunden.

1. Starten Sie Outlook Express und wahlen Sie das Menu

Extras > Konten

2. Wahlen Sie Ihr Email-Konto aus (in unserem Beispiel heißt das Konto “Mein EMail-Konto”) und klicken Sie auf denButton Eigenschaften (Abbildung 2.12).

Abbildung 2.12: Dialog Email-Konten

20

3. In dem Eigenschaften-Dialog konnen Sie getrennt festlegen, welches Zertifikat fur digitale Signaturen und welchesZertifikat fur Verschlusselung Ihrer Emails verwendet werden soll (Abbildung 2.13). Wenn Ihre Sicherheitsrichtlinienes erlauben, konnen Sie das gleiche Zertifikat sowohl fur Signaturen als auch fur Verschlusselung auswahlen.

Beachten Sie bitte, daß Sie nur diejenigen Zertifikate zur Auswahl angezeigt bekommen, die zu derEmail-Adresse Ihres Email-Kontos passen (Abbildung 2.14)!

Außerdem konnen Sie in diesem Dialog den Verschlusselungsalgorithmus auswahlen. Die derzeit sichersten Algorithmensind TripleDES (3DES) und RC2 mit 128 Bit.

Abbildung 2.13: Eigenschaften des Email-Kontos bei Outlook Express

21

Abbildung 2.14: Auswahl des Zertifikats fur Email-Absicherung

Outlook

1. Starten Sie Outlook und wahlen Sie das Menu

Extras > Optionen

2. Wahlen Sie die Karteikarte Sicherheit und klicken Sie auf Einstellungen andern (siehe Abbildung 2.15).

3. In dem nun erscheinenden Dialog konnen Sie getrennt festlegen, welches Zertifikat fur digitale Signaturen und welchesZertifikat fur Verschlusselung Ihrer Emails verwendet werden soll (Abbildung 2.16). Wenn Ihre Sicherheitsrichtlinienes erlauben, konnen Sie das gleiche Zertifikat sowohl fur Signaturen als auch fur Verschlusselung auswahlen.

Beachten Sie bitte, daß die Email-Adresse in Ihrem Zertifikat zu der Adresse Ihres Email-Kontos passenmuß!

Außerdem konnen Sie in diesem Dialog den Hashalgorithmus fur digitale Signaturen sowie den Verschlusselungsal-gorithmus auswahlen. Als Hashalgorithmus sollten Sie SHA1 auswahlen (Details siehe Abschnitt B.3.1). Die derzeitsichersten Verschlusselungsalgorithmen sind TripleDES (3DES) und RC2 mit 128 Bit Schlussellange.

22

Abbildung 2.15: Sicherheitsoptionen in Outlook

23

Abbildung 2.16: Auswahl der Zertifikate in Outlook

24

2.3.2 Einrichtung der Buttons unter Outlook

Um Ihre Emails spater komfortabel signieren und verschlusseln zu konnen, mussen Sie die entsprechenden Buttons unterOutlook Express bzw. Outlook 98/2000/xp zunachst einrichten.

Outlook Express

In Outlook Express sind die Buttons fur Signatur und Verschlusselung in der Symbolleiste bereits vorhanden, liegen aberso weit außerhalb, daß sie in der Regel nicht dargestellt werden. Um diese wichtigen Buttons sichtbar zu machen, gehen Siebitte vor wie folgt:

1. Offnen Sie eine neue Email uber das Menu

Datei > Neu > E-Mail-Nachricht

Es erscheint das Fenster zur die Erstellung einer neuen Email.

2. Wahlen Sie das Menu

Ansicht > Symbolleisten > Anpassen

3. In dem nun erscheinenden Dialog sehen Sie in der Auswahlbox Aktuelle Schaltflachen die Punkte Signieren undVerschlusseln. Markieren Sie diese einzeln mit der Maus und klicken Sie so oft auf den Button Nach oben, bis dieButtons in der Symbolleiste an einer geeigneten Stelle erscheinen.

Outlook 98 / 2000 / xp

In Outlook sind die Buttons fur Signatur und Verschlusselung in der Grundeinstellung deaktiviert. Um sie zu aktivieren,gehen Sie bitte vor wie folgt:

1. Offnen Sie eine neue Email uber das Menu

Datei > Neu > Nachricht

Es erscheint das Fenster zur die Erstellung einer neuen Email.

2. Wahlen Sie das Menu

Ansicht > Symbolleisten > Anpassen

3. Wahlen Sie die Karteikarte Befehle und wahlen Sie die Kategorie Standard auf der linken Seite.

4. Im Auswahlfeld Befehle: finden Sie in der Kategorie “Standard” ganz am Ende die Punkte Nachrichteninhalt undAnlagen verschlusseln sowie Nachricht digital signieren, wie in Abbildung 2.17 zu sehen. Ziehen Sie diese beidenOptionen mit der gedruckten linken Maustaste auf die Menuleiste von Outlook und lassen Sie diese an der vonIhnen gewunschten Stelle fallen.

Nun sind die Buttons fur Verschlusselung und Signatur immer vorhanden, wenn Sie eine neue Email schreiben.

25

Abbildung 2.17: Einrichtung der Signatur- und Verschlusselungsbuttons in der Symbolleiste von Outlook 98/2000/xp

2.3.3 Versenden von abgesicherter Email

Um eine signierte und/oder verschlusselte Email zu versenden, muß ein Zertifikat fur Ihr Email-Konto eingerichtet sein, wiein Abschnitt 2.3.1 beschrieben.

Um eine abgesicherte Email zu versenden, gehen Sie bitte vor wie folgt:

1. Schreiben Sie Ihre Email wie gewohnt. Wenn Sie Dateien zusammen mit der Email verschicken (Attachments), sowerden diese mit dem Text der Email zusammen signiert bzw. verschlusselt.

2. Wenn Sie die neue Email digital signieren mochten, aktivieren Sie bitte den Button Nachricht digital signieren,wie in Abbildung 2.18 (Outlook Express) bzw. Abbildung 2.20 (Outlook 98/2000/xp) zu sehen. Falls dieser Buttonnicht sichtbar ist, schauen Sie bitte in Abschnitt 2.3.2 nach, ob Sie die Buttons korrekt eingerichtet haben.

3. Wenn Sie die neue Email verschlusseln mochten, aktivieren Sie bitte den Button Nachrichten und Anhangeverschlusseln, wie in Abbildung 2.19 (Outlook Express) bzw. Abbildung 2.21 (Outlook 98/2000/xp) zu sehen. Fallsdieser Button nicht sichtbar ist, schauen Sie bitte in Abschnitt 2.3.2 nach, ob Sie die Buttons korrekt eingerichtethaben.

4. Sie konnen jede Kombination aus Verschlusselung und Signatur auf Ihre Emails anwenden.

5. Schicken Sie die neue Email wie gewohnt mit dem Button Senden ab. Stecken Sie vorher das KOBIL Smart Tokenein, falls die Email signiert werden soll.

6. Falls die Email signiert werden soll, werden Sie nun aufgefordert, die PIN einzugeben, um die SIM Karte fur die digitaleSignatur freizuschalten.

26

Falls die Email nur verschlusselt, aber nicht signiert werden soll, entfallt die Eingabe der PIN (Schritt 6).

Fur eine verschlusselte Email benotigen Sie das Zertifikat des Absenders. Dieses erhalten Sie uber einen Verzeichnisdienst.Bitte vergewissern Sie sich, daß Sie den Verzeichnisdienst wie in Abschnitt 2.1.4 beschrieben korrekt eingerichtet haben.

Sie konnen die Grundeinstellung, ob jede neue Email signiert und/oder verschlusselt werden soll, im Menu

Extras > Optionen > Sicherheit

einstellen, indem Sie die Checkboxen Ausgehenden Nachrichten digitale Signatur hinzufugen bzw. Inhalte undAnhang fur ausgehende Nachrichten verschlusseln aktivieren. Davon abweichend konnen Sie die Einstellungen furjede neue Email einzeln festlegen.

Abbildung 2.18: Digitale Signatur einer Email bei Outlook Express

Abbildung 2.19: Verschlusselte und Signierte Nachricht bei Outlook Express

27

Abbildung 2.20: Digitale Signatur einer Email bei Outlook

Abbildung 2.21: Verschlusselung einer Email bei Outlook

28

2.3.4 Empfang von abgesicherter Email

Um eine verschlusselte Email nach dem Empfang entschlusseln zu konnen, muß ein Zertifikat fur Ihr Email-Konto eingerichtetsein, wie in Abschnitt 2.3.1 beschrieben. Signierte Emails konnen Sie auch ohne spezielle Einstellungen empfangen.

Wenn Sie eine signierte Email empfangen haben, wird diese mit einem roten Schleifensymbol gekennzeichnet (siehe Abbildung2.25 bzw. Abbildung 2.22). Klicken Sie auf dieses Schleifensymbol, um die Signatur zu uberprufen und das Absender-Zertifikatzu betrachten.

Wenn Sie eine verschlusselte Email empfangen haben und diese offnen, werden Sie aufgefordert, Ihre PIN einzugeben, damitdie Email entschlusselt werden kann.

Verschlusselte Emails werden mit einem blauen Schloßsymbol gekennzeichnet (siehe Abbildung 2.24 bzw. Abbildung 2.23).Klicken Sie auf dieses Schloßsymbol, um sich die Verschlusselungsstarke und das Verschlusselungszertifikat anzeigen zu lassen.

Abbildung 2.22: Empfang einer signierten Email bei Outlook Express

29

Abbildung 2.23: Empfang einer verschlusselten Email bei Outlook Express

Abbildung 2.24: Empfang einer verschlusselten Email bei Outlook

30

Abbildung 2.25: Empfang einer signierten Email bei Outlook

31

2.4 Der Token Manager

Der Token Manager Tool enthalt die folgenden Funktionen zur Verwaltung Ihrer SIM Karte und den darauf befindlichenZertifikaten.

1. Loschen von Zertifikaten auf Ihrer SIM KarteWenn Sie ein Zertifikat nicht mehr benotigen, konnen Sie es mit dem Token Manager von Ihrer SIM Karte loschen.

2. Import von Zertifikaten auf Ihre SIM KarteVorhandene Zertifikate inklusive privater Schlussel konnen auf Ihre SIM Karte geladen werden. Dies kann im Zugeeines Umstiegs von Software-Zertifikaten auf Smartcards sinnvoll sein, birgt jedoch gewisse Sicherheitsrisiken, da derprivate Schlussel nicht ununterbrochen in der Sicherheitsumgebung Ihrer SIM Karte gespeichert war.

3. Anderung der PIN Ihrer SIM Karte

4. Entsperren der PIN Ihrer SIM Karte mit Hilfe der PUK. Dies ist notwendig, falls Sie dreimal hintereinander diefalsche PIN eingegeben haben.

Gestartet wird der Token Manager uber

Startmenu > Programme > KOBIL Systems > KOBIL Smart Token > Token Manager

Abbildung 2.26 zeigt die Oberflache des Token Managers.

Abbildung 2.26: Der Token Manager

32

2.4.1 Loschen von Zertifikaten von Ihrer SIM Karte

Seien Sie sehr vorsichtig beim Loschen von Zertifikaten, da Sie Daten, die mit diesem Zertifikat verschlusseltwurden, danach nicht mehr entschlusseln konnen!

Wahlen Sie das betreffende Zertifikat aus und klicken Sie auf ID loschen. Mochten Sie die gesamte SIM Karte loschen, sowahlen Sie bitte die Option Token loschen.

2.4.2 Import von Zertifikaten auf Ihre SIM Karte

KOBIL Smart Token kann Software-Zertifikate1 aus dem Windows-Zertifikatsmanager auf Ihre SIM Karte importieren, fallsdieses dort als “exportierbar” registriert wurde. Klicken Sie hierzu auf ID importieren.

Falls Ihr Software-Zertifikat nur als PKCS#12-Datei (mit der Endung .p12 ) vorliegt, importieren Sie diese bitte zuerst in denWindows- Zertifikatsmanager durch einen Doppelklick. Befolgen Sie dann die Anweisungen des Windows-Zertifikatsmanagerszum Import und wahlen Sie die Option als exportierbar markieren.

Aus Sicherheitsgrunden wird das Software-Zertifikat nach dem Import auf Ihre SIM Karte aus dem Windows-Zertifikatsmanager geloscht.

Je nach Ihrer Konfiguration ist diese Funktion unter Umstanden deaktiviert, dies ist abhangig von der eingesetzten SIMKarte.

2.4.3 Anderung der PIN Ihrer SIM Karte

Klicken Sie zur Anderung der PIN auf PIN andern und geben Sie anschließend die alte sowie zweimal die neue PIN ein.Sie konnen uber den Button PIN freischalten die PIN mit Hilfe der PUK zurucksetzen, wie sie es von Mobiltelefonen herkennen.

Abbildung 2.27: Dialog zur Eingabe der neuen PIN

1als Software-Zertifikat bezeichnet man ein Zertifikat, das nicht auf einer SIM Karte gespeichert wird und daher eine geringere Sicherheits-Stufebesitzt.

33

Kapitel 3

Smartcard-Login fur Windows 2000 und XP

In diesem Abschnitt wird beschrieben, wie Sie in einem Mircosoft Windows 2000 oder XP Netzwerk die Benutzer-Anmeldunguber KOBIL Smart Token anbinden konnen. Die Benutzer konnen sich dann statt mit ihrem Login-Namen und Paßwort mitdem KOBIL Smart Token anmelden.

Hinweis: Das hier beschriebene Smartcard Login ist ausschließlich fur Windows 2000 und XP innerhalb einerDomane geeignet. Andere Windows Versionen, wie z.B. Windows NT, werden nicht unterstutzt. Ebensowerden alleinstehende Computer mit Arbeitsgruppen-Anbindung nicht unterstutzt. Als Domain Controllerkommt ein Windows 2000 oder .net Server in Frage.

Hinweis: Um Windows fur Smartcard Login zu konfigurieren, sind umfassende Kenntninsse in der WindowsAdministration notwendig, die hier nicht vollstandig vermittelt werden konnen. Es werden nur die direktmit KOBIL Smart Token in Verbindung stehenden Schritte beschrieben.

3.1 Konfiguration

Windows 2000 und Windows XP erlauben die Authentifizierung der Benutzer am Login-Fenster neben der klassischen Benut-zername / Paßwort-Kombination auch uber Smartcards. Dies bringt einen erheblichen Sicherheitsvorteil, da eine Smartcardim Gegensatz zu einem Paßwort nur physikalisch weitergegeben und nicht “vervielfaltigt” werden kann. Die folgenden Schrit-te zeigen die prinzipielle Vorgehensweise; fur weitere Informationen konnen Sie die Windows 2000 /.net Server Hilfe oderandere Fachliteratur zur Windows Administration konsultieren.

1. Auf jedem Client-Rechner und auf dem Server muß fur Ihr KOBIL Smartcard-Terminal ein PC/SC-Treiber installiert sein! Ein CT-API Treiber reicht nicht aus. Um herauszufinden, ob ein PC / SC-Treiberinstalliert ist, offnen Sie bitte den Geratemanager in der Systemsteuerung. Wenn dort unter “Smartcard Readers” einKOBIL Smartcard Terminal erscheint, ist ein PC/SC-Treiber installiert. KOBIL Smart Token installiert automatischeinen PC/SC Treiber

2. Installieren Sie mindestens einen Windows 2000 bzw. .net Server in Ihrem Netzwerk als Domain Controller.

3. Installieren Sie auf diesem Server die folgenden (optionalen) Komponenten in dieser Reihenfolge:

(a) Domain Name Service (DNS)

(b) Active Directory

(c) Zertifizierungsstelle

4. Melden Sie sich bei Ihrem Server als Administrator an.

34

5. Wenn Sie die Smartcards der Benutzer von einem anderen Rechner als dem Server aus ausstellen mochten, so muß dieDNS Konfiguration im Netzwerk korrekt konfiguriert sein. Der betreffende Rechner muß Mitglied der Domane sein undSie mussen sich dort als Domanen-Administrator anmelden.

6. Beantragen und Installieren Sie ein Registrierungs-Agent Zertifikat fur das Benutzerkonto, von dem aus spater dieLogin-Zertifikate fur die Benutzer ausgestellt werden sollen (siehe Abschnitt 3.2).

7. Legen Sie die Benutzer wie gewohnt im Active Directory an.

8. Stellen Sie fur die Benutzer Login-Zertifikate fur Ihre KOBIL Smart Token SIM Karten aus (siehe Abschnitt 3.3).

9. Auf jedem Rechner in Ihrem Netzwerk, der mit Smartcard-Login ausgestattet werden soll, muß KOBIL Smart Tokeninstalliert sein.

3.2 Registrierungs-Agent Zertifikate

Ein Administrator benotigt ein Enrollment Agent Zertifikat, um Smartcards mit Login-Zertifikaten fur die Benutzer aus-zustellen. Die folgenden Schritte beschreiben, wie der Administrator solch ein Zertifikat fur sich selbst ausstellt. Falls Siediese Schritte auf einem anderen Rechner als dem Zertifizierungsserver aus durchfuhren, so muß dieser Rechner korrekt indie Domane eingebunden sein!

1. Starten Sie die Zertifizierungsstelle uber

Start > Programme > Verwaltung > Zertifizierungsstelle

2. Klicken Sie mit der rechten Maustaste auf den Eintrag Richtlinien-Einstellungen unterhalb Ihrer Zertifizierungsstelleund wahlen Sie (wie in Abbildung 3.1 zu sehen)

Neu > Auszustellendes Zertifikat

35

Abbildung 3.1: Windows 2000 Trustcenter: die Zertifizierungsstelle

3. Fugen Sie wie in Abbildung 3.2 zu sehen die Zertifikatsvorlagen Registrierungs-Agent, Smartcard-Anmeldungund Smartcard-Benutzer aus der Liste hinzu.

Abbildung 3.2: Auswahl der Zertifikatsvorlagen

4. Schließen Sie die Zertifizierungsstelle wieder.

5. Starten Sie die Microsoft Management Console (mmc in der Kommandozeile).

6. Wahlen Sie wie in Abbildung 3.3 zu sehen das Menu

36

Konsole > Snap-In hinzufugen / entfernen. . .

Abbildung 3.3: Hinzufugen von Snap-in’s an der Management Console

7. Klicken Sie auf Hinzufugen und wahlen Sie Zertifikate wie in Abbildung 3.4 gezeigt.

37

Abbildung 3.4: Hinzufugen von Snap-in’s

8. Wahlen Sie Eigenes Benutzerkonto und klicken Sie auf Fertigstellen.

9. Schließen Sie alle Dialoge außer der Management Console.

10. Klicken Sie wie in Abbildung 3.5 zu sehen mit der rechten Maustaste auf

Zertifikate Aktueller Benutzer > Eigene Zertifikate

11. In dem erscheinenen Menu (Abbildung 3.5) wahlen Sie

Alle Tasks > Neues Zertifikat anfordern. . .

38

Abbildung 3.5: Beantragung eines neuen Zertifikats in der MMC

Nun wird der Zertifikatsanforderungs-Assistent gestartet:

• Klicken Sie Weiter

• Wahlen Sie Registrierungs-Agent aus den Zertifikatsvorlagen aus (siehe Abbildung 3.6)


• Tragen Sie einen aussagekraftigen Namen fur das Zertifikat ein, z.B. “Registrierungs-Agent”


• Klicken Sie Fertigstellen. Dieser Vorgang kann bis zu einer Minute dauern.

• Klicken Sie in der erscheinenden Dialogbox auf Zertifikat installieren

Nun haben Sie ein Registrierungs-Agent Zertifikat, mit dem Sie Zertifikate fur die Benutzer beantragen und ausstellen konnen.

39

Abbildung 3.6: Zertifikatsanforderungs-Assistent

3.3 Ausstellung von Smartcard Login-Zertifikaten fur die Benutzer

Die hier beschriebenen Schritte mussen fur jeden Benutzer des Netzwerks durchgefuhrt werden, der sich mit einer Smartcardanmelden soll.

1. Der Administrator mit dem Enrollment Agent Zertifikat aus Abschnitt 3.2 muß sich mit dem Internet Explorer beider Startseite der Windows 2000 Zertifizierungsstelle mit seinem Paßwort anmelden wie in Abbildung 3.7 gezeigt. DieAdresse lautet

http://x.x.x.x/certsrv (x.x.x.x ist die IP-Adresse Ihres Zertifizierungsservers)

Abbildung 3.7: Anmeldung bei der Zertifizierungsstelle

40

2. Wahlen Sie Ein Zertifikat anfordern aus und klicken Sie Weiter (Abbildung 3.8).

Abbildung 3.8: Startseite der Windows 2000 Zertifizierungsstelle

3. Wahlen Sie Erweiterte Anforderung und klicken Sie Weiter (Abbildung 3.9).

Abbildung 3.9: Auswahl des Typs des Zertifizierungsantrags

41

4. Wahlen Sie Fordern Sie ein Smartcard-Zertifikat fur einen anderen Benutzer mit Hilfe der Smartcard-Registrierungsstelle an und klicken Sie Weiter (Abbildung 3.10).

Abbildung 3.10: Erweiterter Zertifizierungsantrag

5. Fullen Sie den Zertifizierungsantrag aus (Abbildung 3.11):

• Als Zertifikatsvorlage wahlen Sie Smartcard-Benutzer

• Als Zertifizierungsstelle wahlen Sie Ihre eigene CA

• Als CSP wahlen Sie KOBIL Smart Token CSP v1.0

• Als Signaturzertifikat des Administrators wahlen Sie das Registrierungs-Agent Zertifikat aus, das Sie in Abschnitt3.2 beantragt haben.

• Den einzuschreibenden Benutzer wahlen Sie aus dem Active Directory aus.

• Wenn alle Angaben korrekt sind, legen Sie eine leere Smartcard in Ihr Chipkartenterminal ein und klicken Sie aufEinschreiben.

Nun werden Sie nach der PIN Ihrer SIM Karte gefragt. Falls Ihre SIM Karte noch keine PIN hat, konnen Sie diese zurFestlegung zweimal eingeben.

Wenn die Beantragung vollstandig bearbeitet ist, konnen Sie das neu erhaltene Login-Zertifikat ansehen und den Prozeß furweitere Benutzer mit neuen SIM Karten wiederholen.

42

Abbildung 3.11: Optionen des Zertifizierungsantrags

3.4 Der Smartcard-Login Vorgang

Wenn Windows 2000 bzw. Windows XP beim Systemstart ein PCSC-kompatibles Chipkartenterminal erkennt, bekommt derBenutzer am Login-Fenster zusatzlich zu der bekannten Tastenkombination Ctrl + Alt + Del die Moglichkeit, einfach eineSmartcard einzulegen (siehe Abbildung 3.12) und sich damit zu authentifizieren. Bei KOBIL Smart Token konnen Sie einfachdas gesamte Smart Token einstecken, sie mussen also nicht die SIM Karte extra herausnehmen!

Abbildung 3.12: Windows 2000 Login Dialog

Wenn der Benutzer seine Smartcard einlegt, kommt das PIN-Eingabefenster von Windows 2000 / XP zum Vorschein (Ab-

43

Abbildung 3.13: Windows 2000 Login: PIN-Eingabe Dialog

bildung 3.13). Geben Sie hier bitte die PIN Ihrer SIM Karte ein. Anschließend wird das Smartcard Login-Zertifikat aus IhrerSIM Karte ausgelesen und damit der Authentifikationsprozeß durchgefuhrt.

Falls ein Login mit der SIM Karte nicht moglich ist und Fehlermeldungen angezeigt werden, lesen Sie bitte im Abschnitt A.1nach.

3.5 Smartcard-Login in Citrix Metaframe XP Umgebungen

Mit KOBIL Smart Token konnen Sie auch Citrix Metaframe XP Terminal-Clients absichern. Voraussetzung ist die Installationvon Metaframe XP Feature Release 2 (FR2). Ab dieser Version konnen PC/SC Verbindungen vom Client an den Serverweitergeleitet werden, so daß Sie KOBIL Smart Token nur auf der Serverseite installieren mussen. In den Terminal-Sessionsgreift KOBIL Smart Token vom Server aus direkt auf die PC/SC Chipkartenterminals auf den Clients zu.

Weitere Informationen entnehmen Sie bitte dem KOBIL Integration Guide Integrating KOBIL Smart Token with CitrixMetaframe, den Sie bei Ihrem KOBIL-Partner anfordern konnen.

44

Kapitel 4

Arbeiten mit dem KOBIL Smart TokenPKCS#11 Modul fur Netscape

Das KOBIL Smart Token PKCS#11 Modul ist speziell fur den Einsatz mit dem Netscape Communicator optimiert. Trotzdemkonnen Sie das PKCS#11 Modul auch unabhangig von Netscape in anderen Anwendungen verwenden.

4.1 Zertifikatsmanagement unter Netscape

Netscape hat einen eigenen eingebauten Zertifikatsmanager, der auch auf Windows-Plattformen unabhangig vom Windows-Zertifikatsmanager arbeitet. Daher wird hier der Umgang mit dem Netscape Zertifikatsmanager beschrieben.

Zunachst muß unterschieden werden, ob Sie bereits ein Zertifikat auf Ihrer SIM Karte besitzen oder nicht:

• Falls Sie eine bereits personalisierte SIM Karte haben, konnen Sie Abschnitt 4.1.1 uberspringen. Dies ist inder Regel dann der Fall, wenn Sie die SIM Karte von Ihrem Administrator ausgehandigt bekommen.

• Falls Ihre SIM Karte noch leer ist, lesen Sie bitte direkt in Abschnitt 4.1.1 weiter.

4.1.1 Beantragung eines neuen Zertifikats

Diese Schritte mussen Sie nur dann durchfuhren, wenn Sie noch kein Zertifikat auf Ihrer SIM Karte besitzen oder wenn Sieein weiteres Zertifikat hinzufugen mochten.

1. Stecken Sie KOBIL Smart Token in Ihren Rechner ein. Die SIM Karte ist bereits eingelegt (siehe Abschnitt 1.3).

2. Starten Sie Netscape. Falls noch nicht geschehen, melden Sie bitte das KOBIL Smart Token PKCS#11 Modul beiNetscape an. Dies konnen Sie uber

Start > Programme > KOBIL Systems > KOBIL Smart Token > Installation des PKCS#11 Modulsfur Netscape

erledigen. Dieser Vorgang muss nur einmalig durchgefuhrt werden.

45

Abbildung 4.1: Auswahl der Sicherheitsumgebung fur die Schlusselerzeugung

3. Geben Sie die URL Ihres Trustcenters ein, zum Beispiel:TeleSec-Trustcenter (Deutschland): www.telesec.deTC Trustcenter (Deutschland): www.trustcenter.deVerisign (USA): www.verisign.com

4. Die meisten Trustcenter bieten kostenloste Testzertifikate an, auch Digital ID’s genannt. Beachten Sie jedoch, daßsolche Testzertifikate kein hohes Sicherheitsniveau bieten.

5. Nun mussen Sie einige Daten eingeben, die spater in Ihr Zertifikat aufgenommen werden (die Angaben konnen je nachTrustcenter unterschiedlich sein). Meist sind es einige personliche Daten wie Ihr Name und Ihre Email-Adresse.

Es ist extrem wichtig, daß die angegebene Email-Adresse exakt mit der Ihres Email-Kontos uberein-stimmt (auch Groß- und Kleinschreibung!), da Sie das Zertifikat ansonsten nicht verwenden konnen!

6. Als Schlusseltyp bzw. Schlussellange wahlen Sie RSA 1024 Bit wahlen.

7. Schicken Sie Ihren Zertifikatsantrag an das Trustcenter ab. In der Regel mussen Sie dazu auf nur den Abschicken- bzw.Submit-Button klicken.

8. Nun offnet sich ein Fenster, in dem Netscape fragt, in welcher Sicherheitsumgebung der neue Schlussel generiert werdensoll (siehe Abbildung 4.1). Wahlen Sie hier KOBIL Smart Token.

9. Falls Ihre SIM Karte noch keine PIN hat, muß diese nun festgelegt werden (zweimalige Eingabe zur Sicherheit).Ansonsten werden Sie nun dazu aufgefordert, die bestehende PIN einzugeben.

46


10. Nun wird auf Ihrem Rechner ein Schlusselpaar erzeugt und auf die SIM Karte geschrieben. Beachten Sie bitte, daßdieser Vorgang sehr aufwendig ist und einige Sekunden dauern kann.

11. Das Trustcenter wird Ihnen i.d.R. eine Email mit Informationen zusenden, wie Sie Ihr fertiges Zertifikat abholen konnen.In manchen Fallen steht das Zertifikat schon auf der nachsten Web-Seite zum Download bereit.

12. Folgen Sie nun den Instruktionen des Trustcenters, um Ihr neues Zertifikat abzuholen. Es wird dann automatisch aufIhre SIM Karte geschrieben.

13. Nun konnen Sie Ihr neues Zertifikat im Netscape Zertifikatsmanager unter

Communicator > Extras > Sicherheitseinstellungen > Zertifikate > Eigene

betrachten wie in Abbildung 4.3 zu sehen. Details hierzu finden Sie in Abschnitt 4.1.2.

14. Gegebenenfalls mussen Sie noch das Root-Zertifikat Ihres Trustcenters importieren, da es noch nicht im Nets-cape Zertifikatsmanager vorhanden ist. Lesen Sie hierzu bitte Abschnitt 4.1.3.

Beachten Sie bitte, daß die Anzahl der moglichen Zertifikate im wesentlichen vom Speicherplatz der verwendeten SIM Karteabhangt. Abhangig von der komplexitat der Zertifikate konnen auf einer SIM Karte 4-6 Zertifikate abgespeichert werden. Impraktischen Einsatz werden aber wohl kaum mehr als 2-3 Zertifikate zum Einsatz kommen. Wenn Sie ein Zertifikat loschenmussen, lesen Sie bitte in Abschnitt 4.1.2 nach oder verwenden Sie den Token Manager, wie in Abschnitt 2.4 beschrieben.

4.1.2 Verwaltung der Zertifikate

Dieser Abschnitt zeigt, wie Sie mit dem Netscape Zertifikatsmanager Ihre Zertifikate verwalten konnen.

Sie konnen den Netscape Zertifikatsmanager auf zwei Arten offnen:

• Im Navigator (Web-Browser) uber den Button Sicherheit

• Im Messenger (Email-Client) uber das Menu

Communicator > Extras > Sicherheitseinstellungen

Es erscheint in beiden Fallen der in Abbildung 4.3 gezeigte Dialog, wenn Sie auf Zertifikate klicken. Nun haben Sie Zugriffauf die Zertifikatsdatenbank des Netscape Zertifikatsmanagers. Dort werden vier unterschiedliche Typen von Zertifikatenvorgehalten:

47

1. Eigene Zertifikate (Eigene)

2. Zertifikate anderer Personen (Andere)

3. Zertifikate von Webservern (Web-Sites)

4. Trustcenter-Zertifikate (Unterzeichner)

Eigene Zertifikate (Eigene)

Klicken Sie im Netscape Zertifikatsmanager auf

Zertifikate > Eigene

Es erscheint der in Abbildung 4.3 gezeigte Dialog. In dem Auswahltfenster sehen Sie alle Ihre Zertifikate. Das sind diejenigenZertifikate, zu denen Sie auch den passenden privaten Schlussel besitzen.

• Uber den Button Eigenschaften konnen Sie das ausgewahlte Zertifikat ansehen.

• Uber den Button Uberprufen konnen Sie das Zertifikat auf seine Gultigkeit hin uberprufen.

• Uber den Button Export konnen Sie das ausgewahlte Zertifikat inkl. dazugehorigem geheimen Schlussel in eine Dateiexportieren. Diese Funktion wird von KOBIL Smart Token nicht unterstutzt, da die privaten Schlusselaus Sicherheitsgrunden nicht mehr aus Ihrer TCOS Smartcard ausgelesen werden konnen.

• Uber den Button Import konnen Sie eine sogenannte PKCS#12-Datei importieren, die ein Zertifikat und einen privatenSchlussel enthalt. Uber diese Funktion konnen Sie fertige Schlussel in Ihre SIM Karte Smartcard laden. Beachten Siejedoch, daß dieser Vorgang deutlich unsicherer ist als die direkte Schlusselerzeugung!

• Uber den Button Loschen konnen Sie ein Zertifikat inkl. des privaten Schlussels von Ihrer SIM Karte loschen.

Seien Sie sehr vorsichtig beim Loschen von Zertifikaten, da Sie Nachrichten, die mit diesem Zertifikatverschlusselt wurden, danach nicht mehr entschlusseln konnen!

Zertifikate anderer Benutzer (Andere)


Zertifikate > Andere

Es erscheint der in Abbildung 4.4 gezeigte Dialog. In dem Auswahltfenster sehen Sie alle bekannten Zertifikate von anderenBenutzern.

• Uber den Button Eigenschaften konnen Sie das ausgewahlte Zertifikat ansehen.

• Uber den Button Uberprufen konnen Sie das Zertifikat auf seine Gultigkeit hin uberprufen.

• Uber den Button Loschen konnen Sie das ausgewahlte Zertifikat loschen.Seien Sie vorsichtig beim Loschen von Zertifikaten anderer Benutzer! Danach konnen Sie diesen Be-nutzern so lange keine verschlusselte Email mehr schreiben, bis Sie dessen Zertifikat wieder wie inAbschnitt 4.1.4 beschrieben importiert haben!

• Uber den Button Verzeichnisdienst durchsuchen konnen Sie Zertifikate anderer Benutzer in einem Verzeichnisdienstsuchen. Lesen Sie hierzu bitte Abschnitt 4.1.4.

48

Abbildung 4.3: Ubersicht uber die eigenen Zertifikate

49

Abbildung 4.4: Zertifikate anderer Benutzer

50

Webserver-Zertifikate (Web-Sites)


Zertifikate > Web-Sites

Die hier aufgefuhrten Zertifikate gehoren zu abgesichterten Webservern. Die Bedienung der Zertifikate geschieht analog zuden Zertifikaten anderer Benutzer. Der Import eines Webserver-Zertifikats ist in Abschnitt 4.1.5 beschrieben.

Trustcenter-Zertifikate (Unterzeichner)

Im Lieferumfang von Netscape befinden sich bereits eine Reihe von wichtigen Trustcenter-Wurzelzertifikaten wie z.B. VeriSignoder die Deutsche Telekom Root CA.


Zertifikate > Unterzeichner

Nun sehen Sie die Liste der vorhandenen Trustcenter-Zertifikate. Die Bedienung der Zertifikate geschieht analog zu denZertifikaten anderer Benutzer. Der Import eines Trustcenter-Zertifikats ist in Abschnitt 4.1.3 beschrieben.

4.1.3 Import eines neuen Trustcenter-Zertifikates

Wenn Sie ein neues Trustcenter “kennenlernen”, um sichere Kommunikation mit den Benutzern dieses Trustcenters zubetreiben, mussen Sie das Trustcenter-Zertifikat (auch Wurzelzertifikat genannt) dieses Trustcenters importieren. Wenn dasTrustcenter ein neues Wurzelzertifikat herausgibt, weil das alte abgelaufen ist, mussen Sie dieses ebenfalls importieren.

1. Laden Sie das neue Trustcenter-Zertifikat von den Web-Seiten des Trustcenters herunter, indem Sie auf den entspre-chenden Link klicken.

2. Es offnet sich ein Dialog, in dem Netscape darauf hinweist, daß Sie im Begriff sind, ein neues Trustcenter-Zertifikat zuimportieren.

3. Die folgenden Dialoge konnen Sie weiterklicken.

4. Am Ende des Vorgangs mussen Sie das Trustcenter-Zertifikat explizit fur drei Mogliche Verwendungszwecke freischalten:

• Absicherung von Webseiten

• Absicherung von Emails

• Absicherung von Software-Aktualisierungen

Im letzten Dialog geben Sie dem neuen Trustcenter bitte noch einen sinnvollen Namen, der dann im Netscape Zertifi-katsmanager angezeigt wird, z.B. “Firma XY CA”.

Beachten Sie bitte, daß Sie durch den Import eines Trustcenter-Zertifikates automatisch ein Vertrauens-verhaltnis zu allen Benutzern dieses Trustcenters eingehen! Informieren Sie sich daher vorher uber dieZertifizierungspolitik dieses Trustcenters.

51

4.1.4 Import von Zertifikaten anderer Benutzer

Bevor Sie eine verschlusselte Email an einen anderen Benutzer versenden konnen, mussen Sie dessen Zertifikat in den NetscapeZertifikatsmanager importieren. Das kann auf zwei Wegen geschehen:

• Sie erhalten eine signierte Email von diesem Benutzer. Darin enthalten ist dessen Zertifikat. Es wird dann automatischhierher importiert.

• Sie konnen das Zertifikat des Benutzers auch uber einen sogenannten Verzeichnisdienst abrufen. Dies geschieht durchden Button Verzeichnisdienst durchsuchen. Sie konnen als Suchkriterium die Emailadresse angeben. Wenn Sie einenanderen als die vorinstallierten Verzeichnisdienste verwenden wollen, mussen Sie zunachst Ihr Netscape Adreßbuch uberdas Menu

Communicator > Adressbuch

offnen und dort den neuen Verzeichnisdienst unter

Datei > Neues Verzeichnis. . .

hinzufugen. Die notwendigen Angaben hierzu erfragen Sie bitte beim Systemverwalter des betreffenden Verzeichnis-dienstes.

Sie konnen auch einen Verzeichnisdienst fur die automatische Suche nach Zertifikaten von Email-Empfangernauswahlen, indem Sie im Menu

Bearbeiten > Einstellungen > Mail & Diskusstionsforen > Adressierung

den betreffenden Verzeichnisdienst unter Adressensuche wahrend der Eingabe einstellen.

4.1.5 Import eines Webserver-Zertifikats

Wenn Sie mit dem Netscape Navigator auf eine abgesicherte Web-Seite surfen (erkennbar an dem “https://”-Prafix), wirdeine SSL-Verbindung aufgebaut (Details hierzu finden Sie in Abschnitt B.3.7). Dabei authentifiziert sich der Webserver mitHilfe seines Zertifikats gegenuber Ihrem Browser.

Wenn das Trustcenter, von dem der Webserver sein Zertifikat erhalten hat, bereits in Ihrem Netscape-Zertifikatsmanagereingetragen ist, oder wenn das Zertifikat des Webservers selbst dort schon vorhanden ist, sind keine weiteren Schritte not-wendig. Bisweilen benutzen Webserver jedoch selbstsignierte Zertifikate, d.h. sie sind quasi ihr eigenes Trustcenter. SolcheWebserver-Zertifikate konnen dann importiert werden, um den Vorgang beim nachsten Besuch dieser Web-Seite zu beschleu-nigen.

Es erscheint eine Folge von Dialogboxen, in der Netscape Sie darauf aufmerksam macht, daß Sie im Begriff sind, ein neuesWebserver-Zertifikat zu importieren. Wenn Sie diese Dialogschritte bestatigen, konnen Sie am Ende des Dialoges auswahlen,ob das Zertifikat nur fur dieses Mal akzeptiert wird oder ob es dauerhaft akzeptiert wird (bis es ablauft), was einenImport in den Netscape Zertifikatsmanager bedeutet. In diesem Fall konne Sie das neue Webserver-Zertifikat dort finden.

4.1.6 Anderung der PIN Ihrer SIM Karte

Unter Windows-Plattformen konnen Sie die PIN Ihrer SIM Karte jederzeit mit dem Token Manager andern (siehe Abschnitt2.4).

52

4.2 Absicherung von Web-Seiten mit dem Netscape Navigator

Man kann SSL-abgesicherte Webserver (erkennbar an dem “https://”-Prafix) derart konfigurieren, daß sich nicht nur derWebserver gegenuber dem Browser authentifizieren muß, sondern zusatzlich auch der Benutzer gegenuber dem Webserver(Details hierzu finden Sie in Abschnitt B.3.7). Damit kann der Zugriff auf die Web-Seiten auf bestimmte Benutzergruppeneingeschrankt werden.

Dieser Vorgang wird Client-Authentifikation genannt und lauft ab wie folgt:

1. Stecken Sie Ihr KOBIL Smart Token ein und wahlen Sie die URL des gewunschten Webservers.

2. Der Webserver schickt sein Zertifikat, das von Ihrem Browser uberpruft wird. Wenn bei der Uberprufung ein Problemauftritt, erscheint ein Sicherheitshinweis, der dazu auffordert, den Zertifikatsnamen zu uberprufen.

3. Wenn der Webserver eine Client-Authentifikation verlangt, erscheint ein Auswahldialog wie in Abbildung 4.5 zu sehen,der alle Zertifikate anzeigt, mit denen Sie sich gegenuber diesem Webserver authentifizieren konnen. Die Auswahllisteenthalt u.U. nicht alle Ihre Zertifikate, dann sind nicht alle Ihre Zertifikate fur die Client-Authentifikation gegenuberdiesem Webserver geeignet. Falls keines Ihrer Zertifikate fur die Authentifikation geeignet ist, erhalten Sie die Warn-meldung Kein Benutzerzertifikat, und die Verbindung wird unterbrochen.

Abbildung 4.5: Auswahl des Zertifikats

4. Sie werden nun dazu aufgefordert, die PIN Ihrer SIM Karte einzugeben, um den privaten Schlussel fur die Client-Authentifikation freizuschalten.

5. Wenn Sie die korrekte PIN eingegeben haben und Ihr Zertifikat vom Webserver akzeptiert wurde, wird die SSL-Verbindung aufgebaut. Sie bekommen ggf. noch eine Dialogbox mit einer Warnmeldung zu sehen, daß Sie im Begriffsind, eine sichere (SSL-) Web-Seite zu besuchen, die jedoch auch deaktiviert werden kann.

53

6. Nun kann man ein gelbes, geschlossenes Schloß-Symbol in der Statusleiste des Netscape Navigators sehen. Wenn Siedarauf klicken, bekommen Sie Informationen uber den Webserver inklusive dessen Zertifikat zu sehen.

Wenn Sie nicht bei jedem Verbindungsaufbau Ihr Zertifikat auswahlen mochten, konnen Sie ein Zertifikat fur die automatischeAuswahl im Menu

Communicator > Extras > Sicherheitseinstellungen > Navigator

einstellen unter dem Punkt Zertifikat zur Ausweisung gegenuber Web-Sites.

4.3 Absicherung von Emails mit Netscape Messenger

In diesem Abschnitt erfahren Sie, wie Sie Ihre Emails im Netscape Messenger mit Hilfe von Zertifikaten verschlusseln unddigital signieren konnen.

4.3.1 Auswahl des Zertifikats

Bevor Sie sichere Emails versenden und empfangen konnen, mussen Sie den Messenger noch konfigurieren. Offnen Sie dieSicherheitseinstellungen des Messengers uber

Communicator > Extras > Sicherheitseinstellungen > Messenger

Es erscheint der in Abbildung 4.6 gezeigte Dialog.

In einigen alteren Netscape-Versionen mussen die globalen Sicherheitseinstellungen gleich den Sicherheitseinstellungen furdie aktuell zu versendende Email sein. In diesen Versionen konnen keine abweichenden Einstellungen fur eine spezielle Emailgetatigt werden. Im Zweifelsfall installieren Sie bitte die jeweils aktuellste Version von Netscape.

Die folgenden Schritte konfigurieren den Netscape Messenger fur die Verwendung mit Ihrem neuen Zertifikat:

1. Wahlen Sie unter Zertifikat fur Ihre unterzeichneten und verschlusselten Nachrichten Ihr Zertifikat aus, wiein Abbildung 4.6 gezeigt.

2. Aktivieren Sie mindestens die Option E-Mail Nachrichten nach Moglichkeit unterzeichnen.

3. Unter SMIME-Schlussel auswahlen konnen Sie die Verschlusselungsalgorithmen auswahlen. Fur hochste Sicherheitaktivieren Sie DES EDE3-Verschlusselung im CBC-Modus mit einem 168-Bit-Key1. Wenn Sie die restlichenVerschlusselungsalgorithmen deaktivieren, konnen Sie sicher sein, daß nur starke Kryptographie verwendet wird. Eskann jedoch zu Schwierigkeiten fuhren, wenn andere Benutzer nur schwache Kryptographie verwenden.

4.3.2 Versenden von abgesicherter Email

Zusatzlich zu den globalen Optionen, die wie in Abschnitt 4.3.1 beschrieben eingestellt werden, konnen Sie fur jede einzelneEmail, die Sie erstellen, die Sicherheitseinstellungen getrennt festlegen. Abbildung 4.7 zeigt die Optionen fur Verschlusselungund digitale Signatur.

1Dies entspricht dem Triple-DES Algorithmus.

54

Abbildung 4.6: Globale Email-Einstellungen

Abbildung 4.7: Optionen fur ausgehende Emails

55

In einigen alteren Versionen von Netscape mussen die Einstellungen der zu erstellenden Email exakt mit den globalen Ein-stellungen (siehe Abschnitt 4.3.1) ubereinstimmen, ansonsten erscheint eine Fehlermeldung, daß Sie kein Zertifikat besaßen,obwohl dies nicht der Fall ist.

Sie haben nun die folgenden Moglichkeiten beim Versand von Emails:

1. Klartext-Versand wie gehabt. Hier liegen keine zusatzlichen Sicherheitsvorkehrungen vor.

2. Signatur uber die Nachricht. In diesem Fall wird die Nachricht signiert und Ihr Zertifikat an die Email angehangt.Auf diesem Wege konnen Sie anderen Benutzern Ihr Zertifikat einfach zukommen lassen, damit diese verschlusselteNachrichten an Sie schicken konnen. Der Empfanger kann dann uberprufen, daß die Nachricht auf ihrem Weg nichtverandert wurde.

3. Verschlusselung der Nachricht. In diesem Fall kann nur der Empfanger die Email entschlusseln und lesen. Diessetzt voraus, daß Sie das Zertifikat des Empfangers besitzen (siehe Abschnitt 4.1.4).

4. Kombination aus Verschlusselung und Signatur. Hier werden die Vorteile von Verschlusselung und Signaturkombiniert.

4.3.3 Empfang von abgesicherter Email

Wenn Sie eine signierte Email empfangen, uberpruft Netscape automatisch, ob die Email-Adresse des Absenders zu demZertifikat paßt, ob sein Zertifikat gultig ist und von einem bekannten Trustcenter ausgestellt worden ist. Eine signierte Emailwird im Messenger durch ein Symbol mit dem Namen “unterzeichnet” angezeigt. Wenn Sie darauf klicken, gelangen Sie indie Sicherheitseinstellungen von Netscape und konnen sich das Zertifikat des Absenders ansehen. Wenn die Signatur nichtkorrekt ist, wird “ungultige Signatur” angezeigt.

Wenn Sie eine verschlusselte Email empfangen, schaut Netscape zunachst nach, ob Sie den passenden geheimen Schlusselbesitzen, um die Email zu entschlusseln. Um den geheimen Schlussel zu finden, muß Ihre TCOS Smartcard zudiesem Zeitpunkt eingelegt sein! Wird der Schlussel nicht gefunden, erscheint ein Symbol mit der Bezeichnung “ungultigeVerschlusselung”.

56

Anhang A

Probleme und Losungen

In diesem Abschnitt sollen typische Probleme beim Umgang mit KOBIL Smart Token identifiziert und Losungsmoglichkeitengeboten werden. Falls Sie hier die Losung Ihres Problems nicht finden, sehen Sie bitte im Web unter www.kobil.de nach.Dort wird eine standig aktualisierte FAQ-Liste (“Frequently Asked Questions” = Haufig gestellte Fragen) gefuhrt.

A.1 KOBIL Smart Token fur Microsoft-Anwendungen

• Die Beantragung des Zertifikats wird mit einer Fehlermeldung abgebrochen:

– Uberprufen Sie, ob das von Ihnen gewahlte Trustcenter die Auswahl von CSP’s korrekt unterstutzt.

– Uberprufen Sie mit dem Token Manager, ob sich bereits ein Zertifikat auf Ihrer SIM Karte befindet. Dieses mussenSie ggf. mit Hilfe des CardManagement Tools loschen.

• Outlook weigert sich, eine signierte Email zu versenden:

– Uberprufen Sie, ob Outlook korrekt fur Ihr Email-Zertifikat konfiguriert ist (siehe Abschnitt 2.3.1).

– Uberprufen Sie, ob Ihr Zertifikat gultig ist (Gultigkeitszeitraum, Trustcenter-Zertifikat vorhanden?)

• Outlook weigert sich, eine verschlusselte Email zu versenden:

– Uberprufen Sie, ob Sie das Zertifikat des Empfangers importiert haben (siehe Abschnitt 2.1.4).

• Outlook kann eine empfangene Email nicht entschlusseln:

– Wenn die Email nicht mit Ihrem Zertifikat verschlusselt wurde, konnen Sie sie nicht entschlusseln.

– Wenn die Email mit einem Zertifikat verschlusselt wurde, das Sie zwischenzeitlich geloscht haben, konnen Sie dieEmail nicht entschlusseln.

• Die gesicherte Anmeldung an einem Webserver funktioniert nicht:

– Moglicherweise akzeptiert der Webserver Ihr Zertifikat oder das Trustcenter, das Ihr Zertifikat ausgestellt hat,nicht. In diesem Fall konnen Sie keine gesicherte Verbindung zu diesem Webserver aufbauen.

– Uberprufen Sie, ob Ihr Zertifikat gultig und nicht revoziert ist.

• Das Windows 2000/XP Smart Card Login funktioniert nicht:

– Sie mussen ein spezielles Smartcard Login Zertifikat auf Ihrer SIM Karte haben (siehe Abschnitt 3.3). AndereZertifikate sind nicht ohne weiteres fur Windows 2000/XP Smartcard Login geeignet.

57

– Windows 2000/XP Smartcard Login funktioniert nur innerhalb einer Domane, die einem Windows 2000 Serverbzw. einem .net Server unterstellt ist.

– Kurz nach der Installation der Windows 2000 CA kann es einige Zeit dauern, bis das CA-Zertifikat und die Sperr-liste automatisch an alle Clients verteilt wurden. Das Windows Group Policy Intervall sieht hier standardmaßigeinen Zeitraum von 8 Stunden vor. Testen Sie zunachst, ob Sie sich am Server mit der Smartcard anmelden konnen(hierzu mussen Sie u.U. die Lokale Sicherheitsrichtlinie fur den Domain Controller andern, damit eine Anmeldungmoglich ist)

A.2 KOBIL Smart Token PKCS#11 Modul fur Netscape

• Netscape weigert sich, eine signierte Email zu versenden:

– Uberprufen Sie, ob der Messenger korrekt fur Ihr Email-Zertifikat konfiguriert ist (siehe Abschnitte 4.3 und 4.6).

– Uberprufen Sie, ob Ihr Zertifikat gultig ist. Wahlen Sie Ihr Zertifikat aus wie in Abbildung 4.3 gezeigt und klickenSie auf den Button Uberprufen.

• Netscape weigert sich, eine verschlusselte Email zu versenden:

– Uberprufen Sie, ob Sie das Zertifikat des Empfangers importiert haben (siehe Abschnitt 4.1.2).

• Netscape kann eine empfangene Email nicht entschlusseln (“Ungultige Verschlusselung”):

– Wenn die Email nicht mit Ihrem Zertifikat verschlusselt wurde, konnen Sie sie nicht entschlusseln.

– Wenn die Email mit einem Zertifikat verschlusselt wurde, das Sie zwischenzeitlich geloscht haben, konnen Sie dieEmail nicht entschlusseln.

– Wenn Sie eine altere Version von Netscape (vor 4.75) verwenden, wird ggf. keine starke Kryptographie unterstutzt.In diesem Fall sollten Sie eine neuere Version downloaden oder Fortify installieren (www.fortify.net).

• Die gesicherte Anmeldung an einem Webserver funktioniert nicht:

– Moglicherweise akzeptiert der Webserver Ihr Zertifikat oder das Trustcenter, das Ihr Zertifikat ausgestellt hat,nicht. In diesem Fall konnen Sie keine gesicherte Verbindung zu diesem Webserver aufbauen.

– Uberprufen Sie, ob Ihr Zertifikat gultig und nicht revoziert ist.

– Wenn Sie eine altere Version von Netscape (vor 4.75) verwenden, wird ggf. keine starke Kryptographie unterstutzt.In diesem Fall sollten Sie eine neuere Version downloaden oder Fortify installieren (www.fortify.net).

58

Anhang B

Grundlagen der Kryptographie undStandards

Dieses Kapitel ist fur das direkte Arbeiten mit KOBIL Smart Key nicht relevant, vielmehr wird ein Uberblick uber die Weltder Kryptographie gegeben.

B.1 Sicherheitsziele

Vertraulichkeit Schutz vor Preisgabe von Informationen an nicht authorisierte Personen, die den Kommunikationskanalabhoren konnen.

Integritat Erhaltung der Datenkonsistenz. Niemand anderes als der Author kann die Information unbemerkt verandern,wahrend sie abgespeichert oder uber ein unsicheres Medium ubertragen wird.

Authentikation ( Nicht-Abstreitbarkeit / Zugriffskontrolle ) Schutz der Identitat einer Person oder der Authen-tizitat des Ursprungs von Daten. Die Daten konnen spater jederzeit dem Erzeuger zugeordnet werden, ohne daß dieser esabstreiten kann. Nicht-authorisierte Zugriffe werden erkannt und abgewiesen.

B.2 Begriffe und Grundlagen

Kryptographie ist die Wissenschaft, die sich mit der Sicherheit von Informationen beschaftigt. Die moderne Kryptographiekennt zwei grundlegende Prozesse: Verschlusselung (engl. encryption) und Entschlusselung (engl. decryption).

Die Verschlusselung uberfuhrt eine Nachricht im Klartext mit Hilfe eines Schlussels in eine andere Nachricht, den Schlussel-text, so daß es ohne Kenntnis des Schlussels unmoglich ist, den Klartext zuruckzugewinnen. “Unmoglich” ist hierbei zu lesenals “nicht mit vertretbarem Aufwand”.

Entschlusselung ist nun der umgekehrte Prozeß, der den Schlusseltext unter zuhilfenahme des Schlussels wiederum in denKlartext verwandelt. Die Sicherheit von modernen kryptographischen Verfahren basiert darauf, daß die Wahrscheinlichkeit,den richtigen Schlussel zu raten, mit der Schlussellange rapide sinkt. Das heißt, je großer die Schlussellange ist, desto sichererist das Verschlusselungsverfahren. Die Schlussellange wird i.d.R. in Bit angegeben; Beispiele sind das (inzwischen veraltete)DES-Verfahren mit 56 Bit Schlussellange oder das Triple-DES Verfahren mit 168 Bit.

59

Abbildung B.1: Hash-Algorithmen

Trotz alledem hat Kryptographie nichts mit Geheimniskramerei zu tun. Kryptographische Algorithmen und Protokollemussen internationalen Standards folgen, um Interoperabilitat zwischen verschiedenen Plattformen und Anbietern zu gewahr-leisten. Die Sicherheit eines kryptographischen Verfahrens muß allein in der Geheimhaltung des Schlussels liegen, nicht in derGeheimhaltung des Verfahrens! Offentlich bekannte und von der Fachwelt ausfuhrlich untersuchte kryptographische Verfahrenbieten dem Anwender eine vertrauenswurdige Grundlage fur die Absicherung seiner sensiblen Daten.

B.3 Standards

B.3.1 Hash-Algorithmen

Hash-Algorithmen werden nicht fur die Ver- oder Entschlusselung von Daten benutzt. Ihr Zweck besteht vielmehr darin,ein Art “Fingerabdruck” fester Lange von Daten beliebiger Lange zu erzeugen. Dieser Fingerabdruck ist einzigartig furdie Ursprungsdaten und nicht umkehrbar, d.h. es konnen praktisch keine sinnvollen Daten gefunden werden, auf die derFingerabruck paßt. Daher werden Hash-Algorithmen auch Einwegfunktionen genannt.

Hash-Algorithmen sind wichtig fur die Erzeugung von digitalen Signaturen, um das zu signierende Dokument auf seinen“Fingerabdruck” zu reduzieren. Verbreitete Hash-Algorithmen sind MD5, SHA1 oder RipeMD. Abbildung B.1 zeigt dieFunktionsweise von Hashalgorithmen.

B.3.2 Symmetrische Verschlusselungs-Algorithmen

Bei dieser Art von Verschlusselungs-Algorithmen wird der gleiche Schlussel (der sog. “Session Key”) zur Ver- und Ent-schlusselung der Nachricht benutzt, wie Abbildung B.2 veranschaulicht.

Der große Vorteil dieser Gattung von Algorithmen liegt in dem hohen Datendurchsatz, der sowohl bei der Ver- als auch beider Entschlusselung erzielt werden kann. Die bekanntesten symmetrischen Algorithmen sind TripleDES (3DES), RC2 undRC4 sowie AES und IDEA.

Der wesentliche Nachteil von symmetrischen Algorithmen liegt jedoch im Schlusselmanagement. Sowohl Absender als auchEmpfanger mussen sich auf den gleichen Schlussel einigen, obwohl sie sich i.d.R. nie personlich treffen. Genau hier kommenPublic Key Algorithmen ins Spiel, die auch die Grundlage fur Public Key Infrastrukturen bilden.

60

Abbildung B.2: Symmetrische Algorithmen

B.3.3 Public Key Algorithmen

Eigenschaften

Im Gegensatz zu symmetrischen Algorithmen werden bei Public Key Algorithmen zwei unterschiedliche Schlussel zur Ver-und Entschlusselung verwendet. Deswegen spricht man auch von asymmetrischen Algorithmen. Jeder Benutzer besitzt nunein Schlusselpaar, bestehend aus einem privaten Schlussel, der um jeden Preis geheim gehalten werden muß, und aus einemoffentlichen Schlussel, den jedermann kennen kann und sogar kennen muß.

Wenn jemand Ihnen eine verschlusselte Nachricht schicken mochte, benotigt er nur Ihren offentlichen Schlussel, der ohne-hin fur jedermann zuganglich ist. Mit diesem offentlichen Schlussel werden die Daten nun verschlusselt. Anschließend kanndieser Schlusseltext nur noch mit dem passenden privaten Schlussel entschlusselt werden. Solange der private Schlussel alsowirklich nur dem Eigentumer zuganglich ist, bleibt die Vertraulichkeit des Gesamtsystems gewahrt. Die organisatorischeVerteilung von offentlichen Schlusseln und die Zuordnung zu deren Eigentumern wird von Zertifizierungsstellen (auch Trust-center oder Certification Authority (CA) genannt) ubernommen. Abbildung B.3 zeigt die Funktionsweise von Public KeyVerschlusselungs-Algorithmen.

Der große Vorteil von Public Key Algorithmen liegt in der wesentlich einfacheren Verteilung der Schlussel, da keine geheimenInformationen ubertragen werden mussen. Allerdings wird dieser Vorteil auf Kosten der Geschwindigkeit erkauft, da diese Artvon Algorithmen deutlich langsamer ist als symmetrische Algorithmen. Aus diesem Grund werden symmetrische Algorithmenund Public Key Algorithmen oft zu sogenannten Hybrid-Verfahren zusammengefaßt, welche die Vorteile beider Arten in sichvereinigen: Die Nachrichten werden mit symmetrischen Algorithmen verschlusselt. Die dabei verwendeten Schlussel werdenSitzungsschlussel (Session Keys) genannt. Die Sitzungsschlussel werden nun nochmals verschlusselt, diesmal jedoch mit demoffentlichen Public Key Schlussel des Empfangers (“Key Wrapping”). Der Empfanger entschlusselt nun zunachst mit Hilfeseines privaten Schlussels den Sitzungsschlussel und damit dann schließlich die eigentlichen Daten. Die Abbildungen B.4 undB.5 veranschaulichen den Vorgang.

61

Abbildung B.3: Asymmetrische Algorithmen

Der bekannteste Public Key Algorithmus ist RSA, der auch von den TCOS Smartcards verwendet wird.

Digitale Signaturen

Digitale Signaturen werden zur Uberprufung von Identitaten herangezogen. Eine digitale Signatur bindet eine Nachrichtunveranderbar an die Identitat des Verfassers. Insofern ist eine digitale Signatur vergleichbar mit einer handschriftlichenUnterschrift.

Die bereits vorgestellten Hash-Algorithmen werden hier eingesetzt, um die Große der zu signierenden Daten auf ein bestimm-tes Maß zu reduzieren. Wenn der Fingerabdruck der Nachricht durch den Hash-Algorithmus erzeugt worden ist, wird diesermit dem privaten Schlussel des Eigentumers verschlusselt. Das Ergebnis dieser Operation ist eine digitale Signatur.

Durch die Anwendung des privaten Schlussels des Eigentumers wird garantiert, daß dieser Vorgang von keiner anderen Persondurchgefuhrt werden kann – solange der private Schlussel nur dem Eigentumer zuganglich ist.

Prufung digitaler Signaturen

Zur Uberprufung einer digitalen Signatur sind drei Dinge notwendig: die digitale Signatur selbst, die signierte Nachricht imKlartext sowie der offentliche Schlussel desjenigen, der die Signatur ausgestellt hat. Zunachst wird die digitale Signatur mitdem offentlichen Schlussel wieder entschlusselt. Da der offentliche Schlussel jedermann zuganglich ist, kann diese Operationauch von jedermann durchgefuhrt werden. Ergebnis ist wiederum der Fingerabdruck der Nachricht. Aus diesem Fingerabdruckkann die ursprungliche Nachricht jedoch nicht rekonstruiert werden. Man geht vielmehr den anderen Weg: die (seperatubermittelte) Nachricht wird vom Prufenden nochmals mit dem Hash-Algorithmus auf einen Fingerabdruck reduziert. Denso erhaltenen Fingerabdruck vergleicht man nun mit der zuvor entschlusselten Nachricht. Bei Gleichheit ist die digitaleSignatur korrekt, bei Ungleichheit muß sie abgewiesen werden.

62

Abbildung B.4: Hybrid-Verfahren: Verschlusselung

Abbildung B.5: Hybrid-Verfahren: Entschlusselung

63

Abbildung B.6: Erzeugung einer digitalen Signatur

Abbildung B.7: Prufung von digitalen Signaturen

64

B.3.4 Zertifikate

Um Public Key Algorithmen sinnvoll einsetzen zu konnen, muß die Verteilung der offentlichen Schlussel sinnvoll geregeltwerden. Ein Zertifkat ist im Grunde nichts anderes als eine Zuordnung eines offentlichen Schlussels zu einer Person, dieden dazugehorigen privaten Schlussel besitzt. Die Korrektheit dieser Zuordnung ist extrem wichtig, da die Uberprufung vondigitalen Signaturen ja mit diesen offentlichen Schlusseln geschieht, wohingegen der Vertrauensstatus zwischen Personenbesteht. Damit diese Zuordnung nicht gefalscht werden kann, werden Zertifikate wiederum mit digitalen Signaturen gegenVeranderungen geschutzt. Ausgestellt werden Zertifikate (und die Signaturen) von Zertifizierungsstellen, auch Trustcenteroder Certification Authority (CA) genannt. Um die Gultigkeit von Zertifikaten zu uberprufen, veroffentlichen die Zertifizie-rungsstellen ein selbst-signiertes Wurzelzertifikat.

Zertifizierungsstellen schutzen also die Integritat der offentlichen Schlussel, wohingegen Smartcards die privaten Schlusselschutzen.

Der international anerkannte Standard fur Zertifikate wurde von der ITU (International Telecommunications Union) unterdem Namen ITU-T X.509 definiert. Ein X.509v3 Zertifikat beinhaltet die folgenden Daten:

• Version

• Seriennummer des Zertifikats

• verwendeter Signatur-Algorithmus

• Name der Zertifizierungsstelle (Aussteller)

• Gultigkeitszeitraum

• Name des Inhabers (Antragsteller)

• offentlicher Schlussel des Inhabers

• ggf. Angaben zur Verwendung des Zertifikats

• Signatur der Zertifizierungsstelle uber die vorangehenden Daten

B.3.5 Zertifizierungsstellen

Eine Zertifizierungsstelle (im folgenden CA genannt) ist eine vertrauenswurdige Organisation, die Zertifikate ausstellt. Damitagiert die CA als Garantietrager fur die Zuordnung zwischen der Identitat des Inhabers des Zertifikats zu dessen offentli-chem Schlussel. In einem Verzeichnisdienst (“Directory”) veroffentlicht die CA alle von ihr ausgestellten Zertifikate, damitjedermann Zugriff auf die offentlichen Schlussel hat.

Jeder Benutzer muß zunachst ein Zertifikat bei einer CA seines Vertrauens (bzw. bei der fur Ihn zustandigen CA) beantragen.Dies lauft in der Regel ab wie folgt:

1. Der Benutzer generiert sich ein neues Schlusselpaar, bestehend aus einem offentlichen und einem privaten Schlussel.

2. Danach erzeugt der Benutzer einen Zertifizierungsantrag, in dem mindestens der eigene Name und der offentlicheSchlussel enthalten sind.

3. Mit dem zugehorigen privaten Schlussel wird der Antrag unterschrieben.

4. Der Antrag wird an die CA gesendet.

5. Je nach Sicherheitsstufe muß der Benutzer sich ggf. personlich bei der CA melden und sich ausweisen.

6. Die CA baut aus den Daten ein Zertifikat auf und signiert es mit dem privaten Schlussel der CA.

65

7. Die CA sendet das fertige Zertifikat an den Benutzer.

Die Sicherheitsstufe eines Zertifikats (auch Class genannt) ergibt sich im wesentlichen daraus, wie stark der Benutzer sichgegenuber der CA ausgewiesen hat. Bei einem Zertifikat mit niedriger Sicherheitsstufe wird bspw. nur die Email-Adressedes Benutzers uberpruft. Hohe Sicherheitsstufen erfordern, daß der Benutzer personlich erscheint und sich mit einem Aus-weisdokument ausweist. Da dies z.T. einen erheblichen organisatorischen Aufwand erfordert, sind Zertifikate hoherer Si-cherheitsstufen i.d.R. kostenpflichtig und teurer als solche niedriger Sicherheitsstufen, welche z.T. auch kostenlos angebotenwerden.

In manchen Anwendungen werden die Chipkarten auch fertig personalisiert von der CA ausgegeben, insbesondere bei hoherenSicherheitsstufen. Dann konnen diese Schritte entfallen, da das Zertifikat und der private Schlussel in diesen Fallen bereitsauf der Chipkarte sind.

In aktuellen Web-Browsern uns Email-Clients sind die Wurzelzertifikate von einer Reihe von bekannten CA’s bereits enthalten.So konnen Zertifikate, die von diesen CA’s ausgestellt wurden, einfach uberpruft werden. Wenn jedoch ein Zertifikat einerunbekannten CA uberpruft werden soll, muß zunachst das Wurzelzertifikat dieser CA importiert werden.

Die praktische Verteilung der Zertifikate zwischen den Benutzern kann entweder uber einen zentralen Verzeichnisdienst(LDAP) geschehen oder einfach durch Versenden von Nachrichten (die beiden Benutzer heißen Alice und Bob in diesemBeispiel):

1. Alice schickt ihr Zertifikat an Bob, um ihm ihren offentlichen Schlussel mitzuteilen. Dazu sendet sie Ihm eine digitalsignierte Email beliebigen Inhalts, die jedoch nicht verschlusselt ist. In der Email ist automatisch auch Alice’s Zertifikatenthalten.

2. Bob uberpruft die digitale Signatur uber die Email mit Hilfe des offentlichen Schlussels der CA. Wenn die Uberprufungerfolgreich war, akzeptiert Bob den offentlichen Schlussel aus Alice’s Zertifikat. Dieser Vorgang wird automatisch vomEmail-Client durchgefuhrt.

3. Nun kann Bob mit Hilfe des so gewonnenen offentlichen Schlussels Nachrichten an Alice verschlusseln. Dieser Vorgangwird dann in umgekehrter Richtung wiederholt, so daß Alice auch Bob’s Zertifikat erhalt.

66

B.3.6 Smartcards und Chipkartenterminals

Smartcards sind vollstandige Computer im Kreditkartenformat. Sie besitzen Mechanismen, die sie gegen physische undlogische Angriffe schutzen und die enthaltenen Informationen im Notfall zerstoren, bevor sie fur einen Angreifer zuganglichsind. Nachdem Ihre privaten Schlussel in die Smartcard geladen wurden, konnen sie nicht mehr ausgelesen werden. DerZugriff auf Ihre privaten Schlussel wird durch eine Geheimzahl (“Personal Identification Number”, PIN) geschutzt, wie Siesie von Ihren Bank-Karten kennen. Nach mehrmaliger Falscheingabe wird die Karte gesperrt und damit unbrauchbar. Jenach Konfiguration verfugt die Smartcard auch uber eine PUK (“PIN Unblocking Code”), mit dem eine gesperrte PINwieder entsperrt werden kann. Wenn die PUK mehrmals falsch eingegeben wird, ist die Karte endgultig gesperrt und damitunbrauchbar.

Abbildung B.8: Chipkartenterminals

Um auf Smartcards von Ihrem PC aus zugreifen zu konnen, benotigen Sie ein Chipkartenterminal, auch Chipkartenlesergenannt (obwohl diese Gerate auch schreiben konnen). Chipkartenterminals werden am PC uber den seriellen COM-Portoder die USB-Schnittstelle angeschlossen. Hoherwertige Chipkartenterminals verfugen uber eine Tastatur und ein Display,so daß die PIN einer Smartcard direkt am Terminal eingegeben werden kann. KOBIL Smart Key erkennt automatisch, obIhr Chipkartenterminal die sichere PIN-Eingabe unterstutzt und nutzt diese gegebenenfalls.

67

B.3.7 Secure Socket Layer (SSL)

Das SSL-Protokoll wurde ursprunglich von der Firma Netscape entwickelt und ist zum de-facto Standard fur die Absiche-rung von Netzwerkverbindungen geworden. Es erlaubt sowohl die Verschlusselung als auch die gegenseitige Authentifikationzwischen Client und Server. Abbildung B.9 zeigt den Aufbau einer SSL-Verbindung (“Handshake”). Die Authentifikation desClients ist meist optional.

Abbildung B.9: Das SSL-Protokoll

B.3.8 Secure Multipurpose Internet Mail Exchange (S/MIME)

S/MIME ist – wie SSL – ein offener Protokollstandard, der von den RSA-Laboratories entwickelt wurde. Im Gegensatz zuSSL werden hier keine Netzwerkverbindungen abgesichert, sondern Email-Nachrichten. Dadurch besteht die Verschlusselungauch uber den Netzwerktransport hinaus, also quasi “Ende-zu-Ende”.

Das Versenden einer Email im S/MIME-Format ist in Abbildung B.10 gezeigt, der Empfang in Abbildung B.11.

68

Abbildung B.10: Versenden einer S/MIME Nachricht

Abbildung B.11: Empfang einer S/MIME Nachricht

69

Anhang C

Glossar

Algorithmus Eine Verarbeitungsvorschrift, die so prazise formuliert ist, daß sie von einem mechanischem oder elektronischenGerat durchgefuhrt werden kann.

Authentifikation Uberprufung der Echtheit einer Entitat oder einer Nachricht.

Certification Authority (CA) (auch: Trustcenter oder Zertifizierungsstelle) Vertrauenswurdiges, unabhangiges Un-ternehmen, das Zertifikate zur Bindung von Personen oder Entitaten an deren offentliche Schlussel ausstellt und damit furdie Echtheit dieser Bindung garantiert.

CT-API Ein vor allem in Deutschland verbreiteter Standard fur den Zugriff auf Smartcards und Chipkartenterminals vonPCs aus.

Data Encryption Standard (DES) Ein 1977 von IBM veroffentlichtes blockbasiertes Verschlusselungsverfahren, das Da-tenblocke in Blocks von 64 Bit verschlusselt. Es handelt sich um ein symmetrisches Verfahren, bei dem Ver- und Entschlusse-lung mit dem gleichen Schlussel durchgefuhrt werden. DES ist auch unter den Namen DEA (Data Encryption Algorithmus,ANSI) und DEA-1 (ISO) bekannt.

Digitale Signatur Ein Datensatz, der mit Hilfe eines geheimen Schlussels eine Nachricht unveranderbar an deren Urheberbindet. Durch einen passenden offentlichen Schlussel kann die Unversehrtheit (“Integritat”) und der Ursprung (“Authenti-zitat”) der Nachricht uberpruft werden.

Entschlusselung (engl. decryption) Der Prozeß, der einen Schlusseltext mit Hilfe eines kryptographischen Schlusselswieder in Klartext zuruckverwandelt.

Internet Explorer (IE) Microsoft’s verbreiteter Internet Browser.

Interoperabilitat Die Eigenschaften von Produkten verschiedener Hersteller, korrekt zusammenarbeiten zu konnen.

Kryptographie Die Disziplin innerhalb der Wissenschaft der Informatik, die sich mit der Entwicklung und Bewertung vonVerschlusselungsverfahren zum Schutz von Daten vor unbefugtem Zugriff befaßt.

MD5 Ein Hashalgorithmus, der Datensatze fester Lange (128 Bit) produziert, die einmalig fur Eingabedaten beliebigerLange sind.

Personal Computer/Smart Card (PC/SC) Ein verbreiteter Standard fur den Zugriff auf Smartcards und Chipkarten-terminals von Windows-basierten PCs aus.

Public Key Cryptography Standards (PKCS) Eine Reihe von Standards, die sich mit der praktischen Umsetzung vonPublic Key Kryptosystemen befassen.

70

RSA Das bekannteste und am meisten verbreitete Public Key Kryptosystem, benannt nach seinen Erfindern Rivest, Shamirund Adleman.

Schlussel (engl. key) Eine Zahlenfolge, die fur einen kryptographischen Algorithmus zur Ver- und Entschlusselung sowiezur Ausstellung und Prufung von digitalen Signaturen verwendet werden kann.

Schlussellange Die Lange (in Bits) eines kryptographischen Schlussels. Je großer die Schlussellange, desto schwieriger istes, die Verschlusselung zu brechen.

Secure Hash Algorithm (SHA) Ein von der amerikanischen NIST undNSA erfundener Hashalgorithmus, der u.a. imDigital Signature Standard (DSA) Verwendung findet.

Secure Sockets Layer (SSL) Ein von Netscape entwickeltes Protokoll zur Verschlusselung und Authentifikation vonNetzwerkverbindungen, das in Standard-Browsern zur Verfugung steht.

SSL Handshake Im SSL Handshake wird eine SSL Verbindung aufgebaut, die Schlussel zur Verschlusselung ausgehandeltund die Teilnehmer authentifiziert.

Secure/Multipurpose Internet Mail Extensions (S/MIME) Spezifikation, welche die praktische Umsetzung vonabgesicherten Emails festlegt und von den meisten Standard-Emailclients unterstutzt wird.

Trustcenter Siehe Certification Authority

Uniform Resource Locator (URL) Eindeutiger Bezeichner im World Wide Web (WWW).

Verschlusselung (engl. encryption) Der Prozeß, der einen Klartext mit Hilfe eines kryptographischen Schlussels in einenSchlusseltext verwandelt, welcher nur durch einen passenden kryptographischen Schlussel wieder zuruckzuverwandeln ist.

(Digitales) Zertifikat Ein Zertifikat wird von einer Zertifizierungsstelle ausgestellt und enthalt Angaben uber den Inhaberund Verwendungszweck sowie den offentlichen Schlussel des Inhabers. Durch eine digitale Signatur wird die Integritat desZertifikats gegen Veranderungen geschutzt.

Zertifizierungsstelle Siehe Certification Authority

71

Documents

KOBIL Smart Token V1.0 Benutzerdokumentation · Kapitel 1 Installation 1.1 Lieferumfang KOBIL USB-Minichipkartenterminal KAAN SIM USB-Anschlusskabel Faltblatt Anschluss und Installation