| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
| smime [2012/12/06 14:46] – [Vorwort] nixda | smime [2012/12/06 15:12] (aktuell) – [Unser Sprachgebrauch] nixda |
|---|
| Wir verzichten in dieser Erklärung praktisch komplett auf Fachbegriffe. Details beschreiben wir nicht und dafür sind wir an manchen Stellen sicher auch etwas ungenau. Sofern dies dem einfacheren Verständnis für E-Mail und elektronische Signaturen dient, sei dies hier akzeptiert. | Wir verzichten in dieser Erklärung praktisch komplett auf Fachbegriffe. Details beschreiben wir nicht und dafür sind wir an manchen Stellen sicher auch etwas ungenau. Sofern dies dem einfacheren Verständnis für E-Mail und elektronische Signaturen dient, sei dies hier akzeptiert. |
| |
| Was wir im folgenden **nicht** erklären: | Was wir im Folgenden **nicht** erklären: |
| |
| - Signierte E-Mails sind nicht verschlüsselt, über Verschlüsselung sprechen wir nicht. | - Signierte E-Mails sind nicht verschlüsselt, über Verschlüsselung sprechen wir nicht. |
| **Hinweis:** | **Hinweis:** |
| |
| Wir werden hier nicht erklären, wie sie ihren Computer sicher und "geschützt" betreiben. Auch wenn sie keine Zertifikate einsetzten werden: Ihr Computer muss immer mit Virenscanner, Updates und einer Firewall geschützt werden. Dies gehört einfach zum Einmaleins und hierzu finden sie auch sehr viele gute Tips und Anleitung an anderer Stelle. | Wir werden hier nicht erklären, wie sie ihren Computer sicher und "geschützt" betreiben. Auch wenn sie keine Zertifikate einsetzten werden: Ihr Computer muss immer mit Virenscanner, Updates und einer Firewall geschützt werden. Dies gehört einfach zum Einmaleins und hierzu finden sie auch sehr viele gute Tipps und Anleitung an anderer Stelle. |
| |
| |
| Ein häufiger Irrtum ist die Meinung, dass die Absenderadresse in herkömmlichen E-Mails irgendwo/irgendwie geprüft und geschützt werden kann. Dies ist praktisch nicht, bzw. nur in sehr bescheidenem Ausmaß möglich. | Ein häufiger Irrtum ist die Meinung, dass die Absenderadresse in herkömmlichen E-Mails irgendwo/irgendwie geprüft und geschützt werden kann. Dies ist praktisch nicht, bzw. nur in sehr bescheidenem Ausmaß möglich. |
| |
| Absolut überaschend ist, dass so wenig einigermaßen gut gefälschte E-Mails unterwegs sind! | Absolut überraschend ist, dass so wenig einigermaßen gut gefälschte E-Mails unterwegs sind! |
| |
| Vielleicht ist dies für Kriminelle auch gar nicht notwendig, so lange genügend Anwender auf erbärmlichst schlecht und schlampig erstellte E-Mails (siehe phishing) hereinfallen. Hie und da findet man aber auch einigermasen schöne, gut verfasste E-Mails von Betrügern und Spammern. Ein Grund, weshalb so viele Betrügereien mit E-Mails möglich sind, ist einfach der Sachverhalt, dass wir so wenig über E-Mail wissen und verstehen. Bei jeder E-Mail sollten wir vorsichtig sein: "gute Mail" oder "Spam"? | Vielleicht ist dies für Kriminelle auch gar nicht notwendig, so lange genügend Anwender auf erbärmlich schlecht und schlampig erstellte E-Mails (siehe phishing) hereinfallen. Hie und da findet man aber auch einigermaßen schöne, gut verfasste E-Mails von Betrügern und Spammern. Ein Grund, weshalb so viele Betrügereien mit E-Mails möglich sind, ist einfach der Sachverhalt, dass wir so wenig über E-Mail wissen und verstehen. Bei jeder E-Mail sollten wir vorsichtig sein: "gute Mail" oder "Spam"? |
| |
| Aber wie sollen wir sicher sein und //gute E-Mails// von //schlechten E-Mails// unterscheiden können? Eine digitale Signatur, über das was wir hier sprechen, ist genau hierfür eine enorme Hilfe! | Aber wie sollen wir sicher sein und //gute E-Mails// von //schlechten E-Mails// unterscheiden können? Eine digitale Signatur, über das was wir hier sprechen, ist genau hierfür eine enorme Hilfe! |
| Sie sie nun verunsichert? | Sie sie nun verunsichert? |
| |
| Sollten sie nicht. Die Tageszeitung in Ihrem Briefkasten wurde auch von niemandem unterschrieben oder sonstwie überprüft. Ich kenne keinen Fall, in welchem einem Bekannten von mir eine gefälschte Tageszeitung in den Briefkasten gelegt wurde. Sie müssen nur wissen: Eine E-Mail kann einfach mit falschen Angaben versehen werden. Der E-Mailverkehr wurde bei seiner Erfindung nicht mit Mitteln gegen Betrug und Fälschung entworfen. Denn genau darum geht es hier: Das Nachholen von Sicherheit, Vertraulichkeit im Bezug auf E-Mail. Wir wollen dies nicht mehr dem Zufall überlassen. | Sollten sie nicht. Die Tageszeitung in Ihrem Briefkasten wurde auch von niemandem unterschrieben oder sonst wie überprüft. Ich kenne keinen Fall, in welchem einem Bekannten von mir eine gefälschte Tageszeitung in den Briefkasten gelegt wurde. Sie müssen nur wissen: Eine E-Mail kann einfach mit falschen Angaben versehen werden. Der E-Mailverkehr wurde bei seiner Erfindung nicht mit Mitteln gegen Betrug und Fälschung entworfen. Denn genau darum geht es hier: Das Nachholen von Sicherheit, Vertraulichkeit im Bezug auf E-Mail. Wir wollen dies nicht mehr dem Zufall überlassen. |
| |
| |
| ==== Von welcher Signatur reden wir? ==== | ==== Von welcher Signatur reden wir? ==== |
| |
| Wir müssen hier auf ein Verwirrspiel bei der Begrifflichkeit hinweisen. So wie Schloß und Schloß das selbe, oder auch etwas ganz anderes meinen kann, so ist dies mit //Signatur// auch. | Wir müssen hier auf ein Verwirrspiel bei der Begrifflichkeit hinweisen. So wie Schloss und Schloss dasselbe, oder auch etwas ganz anderes meinen kann, so ist dies mit //Signatur// auch. |
| |
| === Der übliche Text unter einer E-Mail... === | === Der übliche Text unter einer E-Mail... === |
| === Die elektronische Signatur === | === Die elektronische Signatur === |
| |
| Was wir meinen ist ein Zusatz, welcher kein weiterer Text unter der E-Mails ist. Es ist eher eine weiterer Bestandteil der Verpackung einer E-Mail. Und unser E-Mailprogramm muss diese Verpackung lesen und verstehen können. Viele Mailprogramme können das leider nicht! | Was wir meinen ist ein Zusatz, welcher kein weiterer Text unter der E-Mail ist. Es ist eher ein weiterer Bestandteil der Verpackung einer E-Mail. Und unser E-Mailprogramm muss diese Verpackung lesen und verstehen können. Viele Mailprogramme können das leider nicht! |
| |
| So verstehen wir unter unserer //elektronischen Signatur// also etwas, was in unser Mailprogramm neue Funktionen hinzufügt. Beim Senden und Empfangen können wir dann diese Signatur eben lesen und prüfen (besser: prüfen lassen, denn unser E-Mailprogramm erledigt dies von ganz alleine). | So verstehen wir unter unserer //elektronischen Signatur// also etwas, was in unser Mailprogramm neue Funktionen hinzufügt. Beim Senden und Empfangen können wir dann diese Signatur eben lesen und prüfen (besser: prüfen lassen, denn unser E-Mailprogramm erledigt dies von ganz alleine). |
| Auch ohne elektronische Signatur kann man leben, doch sobald Absender und Empfänger mit einer Signatur umgehen können, so ist sichergestellt...: | Auch ohne elektronische Signatur kann man leben, doch sobald Absender und Empfänger mit einer Signatur umgehen können, so ist sichergestellt...: |
| |
| * ob der Brief auf seinem Weg vom Absender zum Empfäner unverändert blieb und | * ob der Brief auf seinem Weg vom Absender zum Empfänger unverändert blieb und |
| * ob dieser wirklich von unserem erwarteten Absender und keinem Betrüger stammt. | * ob dieser wirklich von unserem erwarteten Absender und keinem Betrüger stammt. |
| |
| |
| Wenn wir uns einen herkömmlichen Brief auf Papier vorstellen, finden wir Unterschiede und Parallelen: Ist uns die Handschrift gut bekannt, kennen wir die Unterschrift, dann sind wir uns auch relativ sicher, ob //**Er**// das war. Was wir auf Papier aber nicht immer so gut kontrollieren können: Hat noch ein fremder einen Satz dazu geschrieben?! | Wenn wir uns einen herkömmlichen Brief auf Papier vorstellen, finden wir Unterschiede und Parallelen: Ist uns die Handschrift gut bekannt, kennen wir die Unterschrift, dann sind wir uns auch relativ sicher, ob //**Er**// das war. Was wir auf Papier aber nicht immer so gut kontrollieren können: Hat noch ein fremder einen Satz dazu geschrieben?! |
| | |
| Denken wir an Verträge: Eine zweifache Ausfertigung soll dies hier verhindern. Beide Parteien unterschrieben, jeder erhält eine Ausführung. So ist dort ein nachträgliches Hinzufügen von Text auf nur einer der Vertragsausführungen ein wahrhaft "schlechter" Betrug. | Denken wir an Verträge: Eine zweifache Ausfertigung soll dies hier verhindern. Beide Parteien unterschrieben, jeder erhält eine Ausführung. So ist dort ein nachträgliches Hinzufügen von Text auf nur einer der Vertragsausführungen ein wahrhaft "schlechter" Betrug. |
| |
| Mit einer elektronischen Signatur ist dies anders. Hier hilft uns etwas "Magie" aus der Mathematik- und Technikkiste. Wir benötigen keine doppelte Ausführung von E-Mails. Der eigentliche Text wird vor Veränderungen geschützt (besser: Ändern kann man schon, nur wird eine Änderung erkannt und wir davor gewarnt!). Ein klarer Pluspunkt für die elektronische Signatur. | Mit einer elektronischen Signatur ist dies anders. Hier hilft uns etwas "Magie" aus der Mathematik- und Technikkiste. Wir benötigen keine doppelte Ausführung von E-Mails. Der eigentliche Text wird vor Veränderungen geschützt (besser: Ändern kann man schon, nur wird eine Änderung erkannt und wir davor gewarnt!). Ein klarer Pluspunkt für die elektronische Signatur. |
| |
| Die Frage, wie sicher, wie vertrauenswürdig so eine Signatur ist, leitet sich über die gesetzlichen Bestimmungen und den daraus folgenden technischen und organisatorischen Masnahmen ab. "Schon echt sicher", könnte man hier sagen. Eine "normale" E-Mail ohne solch eine Signatur dagegen ist "absolut unfassbar unsicher und unvertrauenswürdig". | Die Frage, wie sicher, wie vertrauenswürdig so eine Signatur ist, leitet sich über die gesetzlichen Bestimmungen und den daraus folgenden technischen und organisatorischen Maßnahmen ab. "Schon echt sicher", könnte man hier sagen. Eine "normale" E-Mail ohne solch eine Signatur dagegen ist "absolut unfassbar unsicher und nicht vertrauenswürdig". |
| |
| |
| Im Folgenden reden wir also meist nur noch von //**Signatur**// und meinen damit die //Fortgeschrittene elektronische Signatur//, siehe folgendes Kapitel. | Im Folgenden reden wir also meist nur noch von //**Signatur**// und meinen damit die //Fortgeschrittene elektronische Signatur//, siehe folgendes Kapitel. |
| |
| Ebenso werden wir den Begriff //**Zertifikat**// nun häufiger verwenden. Gewöhnen Sie sich daran: Auch dieser Begriff meint praktisch das Selbe. Mit einem Zertifikat signieren wir, die E-Mail ist eine signierte E-Mail... so oder ähnlich ist der Sprachgebrauch. | Ebenso werden wir den Begriff //**Zertifikat**// nun häufiger verwenden. Gewöhnen Sie sich daran: Auch dieser Begriff meint praktisch dasselbe. Mit einem Zertifikat signieren wir, die E-Mail ist eine signierte E-Mail... so oder ähnlich ist der Sprachgebrauch. |
| |
| |
| ====== Welche Organisationen oder Gesetzte bilden unseren Rahmen ====== | ====== Welche Organisationen oder Gesetzte bilden unseren Rahmen ====== |
| |
| Unseren Personalausweis bekommen wir nur von der öffentlichen Hand. Signaturen hingegen können Firmen, Einrichtungen ausstellen. Der Gesetztgeber hat aber drei Qualutäts- oder Sicherheitsstufen definiert. Jene sind im Gesetz über Rahmenbedingungen für elektronische Signaturen, kurz SigG, definiert. | Unseren Personalausweis bekommen wir nur von der öffentlichen Hand. Signaturen hingegen können Firmen, Einrichtungen ausstellen. Der Gesetzgeber hat aber drei Qualitäts- oder Sicherheitsstufen definiert. Jene sind im Gesetz über Rahmenbedingungen für elektronische Signaturen, kurz SigG, definiert. |
| ===== Personalausweis und Reisepass - Drei verschiedene Signaturen ===== | ===== Personalausweis und Reisepass - Drei verschiedene Signaturen ===== |
| |
| So wir wir in Deutschland zwei verschiedene Ausweispapiere kennen, hat der Gesetzgeber drei verschiedene Signaturen beschrieben. Wir behandeln hier die mittlere, die //Fortgeschrittene Signatur//. | So wie wir in Deutschland zwei verschiedene Ausweispapiere kennen, hat der Gesetzgeber drei verschiedene Signaturen beschrieben. Wir behandeln hier die mittlere, die //Fortgeschrittene Signatur//. |
| |
| Die hier in Deutschland höchste Sicherheitssture wird mit der //Qualifizierte Signatur// umgesetzt. Die praktische Anwendung ist im Vergleich zur //Fortgeschrittenen Signatur// viel aufwendiger, komplizierter und somit auch viel teurer. Kaum jemand hat bisher überhaupt die Technik im Haus, um mit //Qualifizierten Signaturen// arbeiten zu können. Hingegen reicht für die //Fortgeschrittene Signatur// etwas Wissen und Verantwortungsbewußtsein, ein handelsüblicher Computer und ein passendes Mailprogramm (oft kostenlos). Die //Qualifizierte Signatur// hat aber den Vorteil: Auch ein Profi mit vollem Zugriff auch Ihren PC kann die Signatur nicht klauen. Mit dem neuen elektronischen Personalausweis haben wir schon ein Baustein zur Nutzung einer //Qualifizierten Signatur//, doch der Weg dorthin ist noch lange und teuer. Auch findet man kaum Kommunikationspartner, welche bereits etwas mit diesem "Sicherheitslevel" anfangen können. | Die hier in Deutschland höchste Sicherheitssture wird mit der //Qualifizierte Signatur// umgesetzt. Die praktische Anwendung ist im Vergleich zur //Fortgeschrittenen Signatur// viel aufwendiger, komplizierter und somit auch viel teurer. Kaum jemand hat bisher überhaupt die Technik im Haus, um mit //Qualifizierten Signaturen// arbeiten zu können. Hingegen reicht für die //Fortgeschrittene Signatur// etwas Wissen und Verantwortungsbewusstsein, ein handelsüblicher Computer und ein passendes Mailprogramm (oft kostenlos). Die //Qualifizierte Signatur// hat aber den Vorteil: Auch ein Profi mit vollem Zugriff auch Ihren PC kann die Signatur nicht klauen. Mit dem neuen elektronischen Personalausweis haben wir schon ein Baustein zur Nutzung einer //Qualifizierten Signatur//, doch der Weg dorthin ist noch lange und teuer. Auch findet man kaum Kommunikationspartner, welche bereits etwas mit diesem "Sicherheitslevel" anfangen können. |
| |
| Einfach und kurz formuliert kann man sagen: Eine //Qualifizierte Signatur// ist so "heilig" und rechtskräftig wie eine handschrifliche Unterschrift. | Einfach und kurz formuliert kann man sagen: Eine //Qualifizierte Signatur// ist so "heilig" und rechtskräftig wie eine handschriftliche Unterschrift. |
| |
| Bei der //Fortgeschrittenen Signatur// verlangt der Gesetztgeber aber bereits schon eine gründliche Überprüfung der Identität des Antragstellers und dessen E-Mailadresse. | Bei der //Fortgeschrittenen Signatur// verlangt der Gesetzgeber aber bereits schon eine gründliche Überprüfung der Identität des Antragstellers und dessen E-Mailadresse. |
| |
| So kann unsere hier beschriebene //Fortgeschrittene Signatur// bereits Vertragspartner genügen, um gewisse Formalitäten und Prozesse damit durchzuführen. Die Partner vereinbaren zum Beispiel, dass der formlose Antrag per elektronisch signierter E-Mails genügt, um einen Raum buchen zu können, oder mehr Speicherplatz zu bekommen. Sie können dies natürlich auch ohne signierten E-Mails - wie bisher - erledigenn. Es ist einfach eine Frage des "ich vertraue und glaube dem Inhalt einer E-Mail", oder eben nicht. | So kann unsere hier beschriebene //Fortgeschrittene Signatur// bereits Vertragspartner genügen, um gewisse Formalitäten und Prozesse damit durchzuführen. Die Partner vereinbaren zum Beispiel, dass der formlose Antrag per elektronisch signierter E-Mails genügt, um einen Raum buchen zu können, oder mehr Speicherplatz zu bekommen. Sie können dies natürlich auch ohne signierten E-Mails - wie bisher - erledigen. Es ist einfach eine Frage des "ich vertraue und glaube dem Inhalt einer E-Mail", oder eben nicht. |
| |
| ===== Woher kommen dann die Zertifikate? ===== | ===== Woher kommen dann die Zertifikate? ===== |
| |
| Als Anweder und Nutzer von Zertifikaten/Signaturen sind wir auf Organisationen, eine Infrastruktur angewiesen, welche uns passende Signaturen/Zertifikate ausstellen. | Als Anwender und Nutzer von Zertifikaten/Signaturen sind wir auf Organisationen, eine Infrastruktur angewiesen, welche uns passende Signaturen/Zertifikate ausstellen. |
| |
| So gibt es Firmen und Unternehmen, welche entgetlich Dienste diesbezüglich anbieten. | So gibt es Firmen und Unternehmen, welche entgeltlich Dienste diesbezüglich anbieten. |
| |
| In unserem Fall hier betrachten wir nur das //Deutsche Forschungsnetzes DFN//, welches seinen Mitgliedern (also Hochschulen, Universitäten u.a) unentgeltlich //Fortgeschrittene Signaturen// verfügbar macht. | In unserem Fall hier betrachten wir nur das //Deutsche Forschungsnetzes DFN//, welches seinen Mitgliedern (also Hochschulen, Universitäten u.a) unentgeltlich //Fortgeschrittene Signaturen// verfügbar macht. |
| |
| Dazu aber später mehr in Lektion 3! | Dazu aber später mehr in Lektion 3! |
| |
| Merken sie sich nur: Der Gesetztgeber diktiert die Spielregeln, umgesetzt und angeboten werden die Dienste aber durch Firmen, Einrichtungen (vgl. Riesterrente, Haftpflichtversicherungen u.v.m). | Merken sie sich nur: Der Gesetzgeber diktiert die Spielregeln, umgesetzt und angeboten werden die Dienste aber durch Firmen, Einrichtungen (vgl. Riesterrente, Haftpflichtversicherungen u.v.m). |
| ====== Das Mindeste was wir wissen und verstehen müssen ====== | ====== Das Mindeste was wir wissen und verstehen müssen ====== |
| |
| Das Recht ein Zertifikat nutzen und ausgestellt zu bekommen, setzt voraus, dass sie die grundlegende Funktionen verstanden und vereinbarte Pflichtungen kennen und einhalten. | Das Recht ein Zertifikat nutzen und ausgestellt zu bekommen, setzt voraus, dass sie die grundlegende Funktionen verstanden und vereinbarte Pflichtungen kennen und einhalten. |
| |
| Die Vereinbarung welche getroffen werden, müssen von ihnen eigenhändig unterschrieben werden. Die Organisation, welche ihnen dann ein Zertifikat ausstellt, muss auch ihren Personalausweis oder Reisepass in Augenschein nehmen. Die letzten fünf Ziffern Ihrer Personalausweisnummer werden auf dem Dokument festgehalten. Ist ihre Pass abgelaufen, dann darf kein Zertifikat erstellt werden. | Die Vereinbarung welche getroffen werden, müssen von ihnen eigenhändig unterschrieben werden. Die Organisation, welche ihnen dann ein Zertifikat ausstellt, muss auch ihren Personalausweis oder Reisepass in Augenschein nehmen. Die letzten fünf Ziffern Ihrer Personalausweisnummer werden auf dem Dokument festgehalten. Ist ihr Pass abgelaufen, dann darf kein Zertifikat erstellt werden. |
| |
| Sie verpflichten sich in dieser Vereinbarung besonders zu drei Dingen: | Sie verpflichten sich in dieser Vereinbarung besonders zu drei Dingen: |
| * Nur sie alleine dürfen das Zertifikat nutzten, (Verständlich: Soll dieses doch den Beweis erbringen, dass sie sie sind). | * Nur sie alleine dürfen das Zertifikat nutzten, (Verständlich: Soll dieses doch den Beweis erbringen, dass sie sie sind). |
| * Sie "schützen" und "sichern" dieses Zertifikat (man wird Ihnen sagen wie das geht). | * Sie "schützen" und "sichern" dieses Zertifikat (man wird Ihnen sagen wie das geht). |
| * Sie lassen das Zertifikat sperren, wenn es abhanden gekommen ist. | * Sie lassen das Zertifikat sperren, wenn es abhandengekommen ist. |
| |
| Und umgekehrt haben sie das Recht (hier im Beispiel DFN), dass man sie einweist und schult: | Und umgekehrt haben sie das Recht (hier im Beispiel DFN), dass man sie einweist und schult: |
| Bitte merken sie sich jene und die hier beschriebenen Funktion oder Aufgabe der Bausteine. Das "wie genau" dürfen sie gerne studieren, das verlangen wir aber nicht. | Bitte merken sie sich jene und die hier beschriebenen Funktion oder Aufgabe der Bausteine. Das "wie genau" dürfen sie gerne studieren, das verlangen wir aber nicht. |
| |
| Zu Beginn, aus den einzelnen Bausteinen, erschließt sich Anfangs sicher noch kein ganzes Bild. Darum fassen wir am Ende die Bausteine nochmals zusammen. | Zu Beginn, aus den einzelnen Bausteinen, erschließt sich anfangs sicher noch kein ganzes Bild. Darum fassen wir am Ende die Bausteine nochmals zusammen. |
| |
| ==== Lektion 1: Public-key-Verfahren - Wilde Zahlenhaufen ==== | ==== Lektion 1: Public-key-Verfahren - Wilde Zahlenhaufen ==== |
| Das ist besonders? Das ist einer der wichtigsten "Geheimnisse"?! JA! | Das ist besonders? Das ist einer der wichtigsten "Geheimnisse"?! JA! |
| |
| Denn wieder schlaue Leute hatten dann einfach diese Idee: "Also... wenn ich den einen Zahlenhaufen für mich geheim halte und schütze, den anderen Zahlenhaufen aber jedem bekannt mache, irgendwo veröffentliche... dann, ja dann kann ich doch jedem x-beliebigen eine von mir verschlüsselte Nachricht schicken. Und der Empfänger holt sich meinen überall verfügbaren zweiten Zahlenhaufen und entschlüsselt somit meine Post! Wenn das entschlüsseln klappt, weiss man: Das kam echt von dem mit dem anderen Zahlenhaufen". | Denn wieder schlaue Leute hatten dann einfach diese Idee: "Also... wenn ich den einen Zahlenhaufen für mich geheim halte und schütze, den anderen Zahlenhaufen aber jedem bekannt mache, irgendwo veröffentliche... dann, ja dann kann ich doch jedem x-beliebigen eine von mir verschlüsselte Nachricht schicken. Und der Empfänger holt sich meinen überall verfügbaren zweiten Zahlenhaufen und entschlüsselt somit meine Post! Wenn das entschlüsseln klappt, weiß man: Das kam echt von dem mit dem anderen Zahlenhaufen". |
| |
| Et voila - Sie sind nun ein Experte in Sachen Kryptographie und kennen das public key Verfahren. Die Eigenschaften dieser Zahlenhäufen und der verwendeten Mathematik ist so gut, dass Wissenschaftler, Geheimdienste dies nicht knacken können. Das weiss man, da man öffentlich und weltweit darüber berät und forscht. | Et voila - Sie sind nun ein Experte in Sachen Kryptographie und kennen das public key Verfahren. Die Eigenschaften dieser Zahlenhäufen und der verwendeten Mathematik ist so gut, dass Wissenschaftler, Geheimdienste dies nicht knacken können. Das weiß man, da man öffentlich und weltweit darüber berät und forscht. |
| |
| Sofern die geheime Information, der geheime Schlüssel nicht in falsche Hände gerät, ist die Sache sicher. Wenn Sie also nun den nächsten Spielfilm schauen und irgend ein Held sich anstrengt und einen "2048 bit Schlüssel" knackt *gähn*, es ist eben für den Film... Große Zahlenhaufen, einen Teil gut schützen: Unknackbar (PS: Das mit dem "2048 bit Schlüssel" war nun echt Fachchinesisch. Denn in der Tat ist das eine gültige Formulierung für die Länge eines Zahlenhaufens. Noch länger, noch besser. Doch die verwendete Mathematik spiel auch eine Rolle. Hier dazu nicht mehr, das wäre zuviel Fachchinesisch). | Sofern die geheime Information, der geheime Schlüssel nicht in falsche Hände gerät, ist die Sache sicher. Wenn Sie also nun den nächsten Spielfilm schauen und irgendein Held sich anstrengt und einen "2048 Bit Schlüssel" knackt *gähn*, es ist eben für den Film... Große Zahlenhaufen, einen Teil gut schützen: Unknackbar (PS: Das mit dem "2048 Bit Schlüssel" war nun echt Fachchinesisch. Denn in der Tat ist das eine gültige Formulierung für die Länge eines Zahlenhaufens. Noch länger, noch besser. Doch die verwendete Mathematik spielt auch eine erhebliche Rolle. Hier dazu nicht mehr, das wäre zu viel Fachchinesisch). |
| |
| Der Vollständigkeit sei hier noch angemerkt: Das obige Ver- und Entschlüsseln geht in alle Richtungen... man kann auch mit dem öffentlichen Schlüssel verschlüsseln. Das "dumme" (oder sagenhafte) ist dann aber, dass die Daten dann nur vom Inhaber des privaten Schlüssels entschlüsselt werden können. | Der Vollständigkeit sei hier noch angemerkt: Das obige Ver- und Entschlüsseln geht in alle Richtungen... man kann auch mit dem öffentlichen Schlüssel verschlüsseln. Das "dumme" (oder sagenhafte) ist dann aber, dass die Daten dann nur vom Inhaber des privaten Schlüssels entschlüsselt werden können. |
| |
| Für die elektronische Signatur wird Ihre Mail nicht verschlüsselt. Nur ein Prüfsumme wird verschlüsselt. Das Mailprogramm des Empfängers wertet diese Daten aus. | Randbemerkung: Für die elektronische Signatur wird ihre Mail nicht verschlüsselt. Nur eine sogenannte Prüfsumme wird verschlüsselt. Uns muss dies nicht näher kümmern, die beteiligten Programme wissen, was sie tun müssen. Für sie nur: Ihre E-Mail wird nicht verschlüsselt! |
| |
| Ihre E-Mail ist also weiterhin lesbar, nicht verschlüsselt. Es wurde nur eine Art Fingerabdruck geschützt. Hierfür braucht man eben genau dieses public-key-Verfahren. | Ihre E-Mail ist also weiterhin lesbar, nicht verschlüsselt. Es wurde nur eine Art Fingerabdruck geschützt. Hierfür braucht man eben genau dieses public-key-Verfahren. |
| Meist legt so ein Programm diese Schlüsselpaare irgendwo in einem extra Bereich für Schlüssel ab. | Meist legt so ein Programm diese Schlüsselpaare irgendwo in einem extra Bereich für Schlüssel ab. |
| |
| Doch Achtung! Viele Programme schützen eben diese Schlüssel nicht von vornherein! Sie müssen prüfen und dafür sorgen, dass ihr Programm das tut! **Fragen** sie bei ihrer CA (siehe nachfolgende Lektion 3) **vor der Schlüsselerzeugzung um Rat** und Hilfe! | Doch Achtung! Viele Programme schützen eben diese Schlüssel nicht von vornherein! Sie müssen prüfen und dafür sorgen, dass ihr Programm das tut! **Fragen** sie bei ihrer CA (siehe nachfolgende Lektion 3) **vor der Schlüsselerzeugung um Rat** und Hilfe! |
| |
| Ohne diesen Schutz der Schlüssel kann der nächste Besucher unseres PCs einfach jene entwenden und unter unserem Namen Unfug anstellen! Sehr ungemütlich! | Ohne diesen Schutz der Schlüssel kann der nächste Besucher unseres PCs einfach jene entwenden und unter unserem Namen Unfug anstellen! Sehr ungemütlich! |
| Sie werden weitere Menüpunkten in ihrem Programm finden, um die dort hinterlegten und gespeicherten Zertifikate und Schlüssel auf USB Stick etc. speichern zu können. So können Sie dann auch diese Daten in das nächste Programm laden, an einem anderen PC nutzen. | Sie werden weitere Menüpunkten in ihrem Programm finden, um die dort hinterlegten und gespeicherten Zertifikate und Schlüssel auf USB Stick etc. speichern zu können. So können Sie dann auch diese Daten in das nächste Programm laden, an einem anderen PC nutzen. |
| |
| Sie sollten eine Kopie an sicherem Ort auf z.B. USB Stick bewahren. Denn wie sie ja nun wissen: Ausser ihnen hat ja niemand anderes ihren privaten Schlüssel. | Sie sollten eine Kopie an sicherem Ort auf z.B. USB Stick bewahren. Denn wie sie ja nun wissen: Außer ihnen hat ja niemand anderes ihren privaten Schlüssel. |
| |
| **Hinweis:** Unsere hier verwendete Sicherheitsstufe (siehe Vorwort) akzeptiert, dass wir unsere geheimen Informationen in Dateien auf Computern speichern. Dies birgt die Gefahr, dass Administratoren, Personen/Hacker mit Vollzugriff auf Ihren PC, sich den Schlüssel stehlen/kopieren könnten! Ihr Schlüssel ist maximal so sicher geschützt, wie ihr PC geschützt ist. Sie müssen den PC also “pflegen” (Software Updates, Firewall, Virenscanner, nicht als Administrator arbeiten usw.). Das Kennwort für den Schlüssel ist ein Schutz, doch ist dieser Schutz nicht unumwindbar: Bösewichte können ihren Computer so erweitern und umbauen, dass er die Eingabe ihrer Tastatur mitliest. So könnte das Kennwort in fremde Hände gelangen. | **Hinweis:** Unsere hier verwendete Sicherheitsstufe (siehe Vorwort) akzeptiert, dass wir unsere geheimen Informationen in Dateien auf Computern speichern. Dies birgt die Gefahr, dass Administratoren, Personen/Hacker mit Vollzugriff auf Ihren PC, sich den Schlüssel stehlen/kopieren könnten! Ihr Schlüssel ist maximal so sicher geschützt, wie ihr PC geschützt ist. Sie müssen den PC also “pflegen” (Software Updates, Firewall, Virenscanner, nicht als Administrator arbeiten usw.). Das Kennwort für den Schlüssel ist ein Schutz, doch ist dieser Schutz nicht unumwindbar: Bösewichte können ihren Computer so erweitern und umbauen, dass er die Eingabe ihrer Tastatur mitliest. So könnte das Kennwort in fremde Hände gelangen. |
| Wir brauchen somit eine Art Telefonbuch, eine Zentrale, welche den öffentlichen Schlüssel notiert, sowie unseren Namen, unsere E-Mailadresse dazu schreibt. | Wir brauchen somit eine Art Telefonbuch, eine Zentrale, welche den öffentlichen Schlüssel notiert, sowie unseren Namen, unsere E-Mailadresse dazu schreibt. |
| |
| Diese Telefobuchstelle muss dann aber auch noch mehr können: Was passiert, wenn ich den geheimen Schlüssel nicht mehr habe? Dann muss auch der Telefonbucheintrag raus. Es erübrigt sich zu erwähnen, dass die Telefonbuchstelle von sehr gewissenhaften Personen geführt werden muss. Wenn es einem Betrüger dort gelingen würde, unter fremdem Namen etwas zu hinterlegen... aua! | Diese Telefonbuchstelle muss dann aber auch noch mehr können: Was passiert, wenn ich den geheimen Schlüssel nicht mehr habe? Dann muss auch der Telefonbucheintrag raus. Es erübrigt sich zu erwähnen, dass die Telefonbuchstelle von sehr gewissenhaften Personen geführt werden muss. Wenn es einem Betrüger dort gelingen würde, unter fremdem Namen etwas zu hinterlegen... aua! |
| |
| Und es geht noch weiter: Es besteht die weitere Gefahr, dass sie dem Telefonbuch eines Betrüges aufsitzen! Denn es gibt etliche "Telefonbücher", unser Computer, unsere Programm kennen sehr viele. | Und es geht noch weiter: Es besteht die weitere Gefahr, dass sie dem Telefonbuch eines Betrügers aufsitzen! Denn es gibt etliche "Telefonbücher", unser Computer, unsere Programme kennen sehr viele. |
| |
| Diese Telefonbücher sind also sehr wichtig, es sind unseren heiligen Kühe! Gott sei Dank, müssen wir uns um die Pflege nicht extra kümmern, denn wenn wir unseren PC, unsere Programme aktuell halten, so werden auch diese Telefonbücher mit gepflegt und aktualisiert, voll automatisch! | Diese Telefonbücher sind also sehr wichtig, es sind unseren heiligen Kühe! Gott sei Dank, müssen wir uns um die Pflege nicht extra kümmern, denn wenn wir unseren PC, unsere Programme aktuell halten, so werden auch diese Telefonbücher mit gepflegt und aktualisiert, voll automatisch! |
| === Sprachgebrauch === | === Sprachgebrauch === |
| |
| Wir nennen diese "Telefonbuchstelle" nun //Registrierungsstelle//. Da jene Stellen international aggieren, bekannt sind, der engliche Begriff: //Certification Authority//, kurz //CA//. Die obige Wortwahl "Telefonbuch" ist also totaler quark, wurde nur als Erklärungsbrücke gewählt. | Wir nennen diese "Telefonbuchstelle" nun //Registrierungsstelle//. Da jene Stellen international agieren, bekannt sind, der englische Begriff: //Certification Authority//, kurz //CA//. Die obige Wortwahl "Telefonbuch" ist also totaler Quark, wurde nur als Erklärungsbrücke gewählt. |
| |
| === Ein Zertifikat erhalten === | === Ein Zertifikat erhalten === |
| Das was man hier zurück erhält, das ist das Zertifikat! Sie können dies öffentlich bekannt machen, auf ihrer Webseite zum Download anbieten - wie auch immer. Das müssen sie aber nicht, denn schicken sie eine signierte E-Mail, wird ihr Zertifikat gleich mitgeschickt. Hat der Empfänger ein Mailprogramm mit Unterstützung für diese Zertifikate, wird der Empfänger sehen, ob die Mail von ihnen signiert ist. | Das was man hier zurück erhält, das ist das Zertifikat! Sie können dies öffentlich bekannt machen, auf ihrer Webseite zum Download anbieten - wie auch immer. Das müssen sie aber nicht, denn schicken sie eine signierte E-Mail, wird ihr Zertifikat gleich mitgeschickt. Hat der Empfänger ein Mailprogramm mit Unterstützung für diese Zertifikate, wird der Empfänger sehen, ob die Mail von ihnen signiert ist. |
| |
| **Hinweis:** Unser Bild mit dem Telefonbuch passt nur ein wenig. Daten wie Name, Adresse können wir in der CA veröffentlichen lassen, müssen aber nicht. Auch ohne Veröffentlichung kann das Mailprogramm unseres Empfänger einer signierten Mail prüfen, ob wir in der CA so geführt sind. Wie das geht, das müssen sie nicht wissen, darum erklären wir es hier nicht (siehe weitere Informationsquellem am Ende dieses Dokuments). | **Hinweis:** Unser Bild mit dem Telefonbuch passt nur ein wenig. Daten wie Name, Adresse können wir in der CA veröffentlichen lassen, müssen aber nicht. Auch ohne Veröffentlichung kann das Mailprogramm des Empfänger einer signierten Mail prüfen, ob wir in der CA so geführt sind. Wie das geht, das müssen sie nicht wissen, darum erklären wir es hier nicht (siehe weitere Informationsquellem am Ende dieses Dokuments). |
| |
| ==== Lektion 4 - Zertifikate nutzen ==== | ==== Lektion 4 - Zertifikate nutzen ==== |
| Sie müssen die Zeichen, Symbole und Hinweise beim Empfangen von signierten E-Mails verstehen! | Sie müssen die Zeichen, Symbole und Hinweise beim Empfangen von signierten E-Mails verstehen! |
| |
| Was nutzt es, wenn man man die Warnung vom Mailprogramm als ein Hinweis "Hey, alles Super!" missdeutet? | Was nutzt es, wenn man die Warnung vom Mailprogramm als ein Hinweis "Hey, alles Super!" missdeutet? |
| |
| **Darum:** Fragen Sie bei Ihrer Nutzerbetreuung oder in den Unterlagen des Mailprogramms nach, wie dort die Symbole und Warnungen aussehen. Jene sind meist sehr, sehr einfach zu verstehen. Ähnlich einer Ampel. Doch kennen Sie bereits die Farben und Symbole? Nein. | **Darum:** Fragen Sie bei Ihrer Nutzerbetreuung oder in den Unterlagen des Mailprogramms nach, wie dort die Symbole und Warnungen aussehen. Jene sind meist sehr, sehr einfach zu verstehen. Ähnlich einer Ampel. Doch kennen Sie bereits die Farben und Symbole? Nein. |
| Obige Erklärungen zusammengefasst: | Obige Erklärungen zusammengefasst: |
| |
| //**Lektion 1**// informiert uns über ein wichtiges //**Prinzip**//, dem //**public-key Verfahren**//. Es besteht aus einem Schlüsselpaar mit privatem und öffnetlichen Schlüssel (pro Person/Teilnehmer). Den //**privaten Schlüssel**// dürfen nur sie besitzten und diesen müssen sie //**schützen**//. Werden Daten mit privatem Schlüssel verschlüsselt, kann man mit öffentlichem entschlüsseln (und umgekehrt). | //**Lektion 1**// informiert uns über ein wichtiges //**Prinzip**//, dem //**public-key Verfahren**//. Es besteht aus einem Schlüsselpaar mit privatem und öffnetlichem Schlüssel (pro Person/Teilnehmer). Den //**privaten Schlüssel**// dürfen nur sie besitzen und diesen müssen sie //**schützen**//. Werden Daten mit privatem Schlüssel verschlüsselt, kann man mit öffentlichem entschlüsseln (und umgekehrt). |
| |
| Die //**zweite Lektion**// erklärt, wie einfach wir das //**Schlüsselpaar erzeugen**//. Der einzige Haken dabei ist: Zuvor müssen wir unseren zukünftigen Schlüsselspeicher im PC durch ein Kennwort schützen. Das passiert nicht von alleine! Also: Bei Registrierungsstelle nachfragen... | Die //**zweite Lektion**// erklärt, wie einfach wir das //**Schlüsselpaar erzeugen**//. Der einzige Haken dabei ist: Zuvor müssen wir unseren zukünftigen Schlüsselspeicher im PC durch ein Kennwort schützen. Das passiert nicht von alleine! Also: Bei Registrierungsstelle nachfragen... |
