Dienstag, 21. Mai 2013

"Digitale Unterschriften und Zertifikate - Mit wem rede ich gerade im Internet?" (Prof. Dr. Keller)


Aufgabenstellung: 

  • Besitzen Sie ein Zertifikat der FernUniversität für Ihre E-Mail-Adresse?  Falls nein: Besorgen Sie sich eins beim ZMI! Und lernen Sie, wie man es benutzt!  Falls ja: Schon mal reingeschaut? Wie lang ist es gültig? Was steht dort über Sie?
  • Letztlich geht es bei Zertifikaten um Vertrauen! Recherchieren und diskutieren Sie über Vertrauensmodelle, speziell web of trust als Alternative zu Zertifikaten!
  • Diskutieren Sie: Wie gewinnt man Vertrauen ohne persönliche Bekanntschaft? Kann es das überhaupt geben? Oder ist neues Vertrauen stets mit Risiko behaftet?


Besitzen Sie ein Zertifikat der FernUniversität für Ihre E-Mail-Adresse?  Falls nein: Besorgen Sie sich eins beim ZMI! Und lernen Sie, wie man es benutzt!  Falls ja: Schon mal reingeschaut? Wie lang ist es gültig? Was steht dort über Sie?


Um die erste Aufgabe zu erfüllen, musste ich zunächst einmal meine FernUni Mailadresse einrichten. Eigentlich hatte ich es bisher nicht als notwendig erachtet, mir eine solche anzulegen, doch nun siegte die Neugierde. Die ersten Schritte empfand ich ziemlich verwirrend, doch ich wuselte mich durch viele gut gemeinte Anleitungen, die mich schlussendlich ans Ziel brachten. Nun bin ich stolze Besitzerin eines FernUni-Mail-Accounts.
Ein neues Zertifikat habe ich direkt über den Zertifikatsserver der FernUni erhalten (https://ca.fernuni-hagen.de/). Mit einem Klick auf „Zertifikatsserver“  erfolgt eine Weiterleitung zum Login-Bereich. Hier sind nun die Matrikelnummer (beginnend mit q) sowie das jeweilige Kennwort einzutragen. Hat man nun die jeweiligen Schritte abgeschlossen und das Zertifikat im Browser installiert, erfährt man die spezifische Seriennummer als auch den Gültigkeitsbereich. Mein Zertifikat ist also nun von heute an bis zum 19.05.2020 gültig.
Klickt man jetzt im Webbrowser auf das Zertifikat (bei Firefox über Extras -> Einstellungen -> Erweitert -> Zertifikate anzeigen -> Ihre Zertifikate), so erscheint ein weiteres Fenster ‚Zertifikat-Ansicht‘. Hier ist zunächst aufgeführt, für welche Anwendungen das Zertifikat verifiziert wurde. Darunter finden sich Angaben zum Inhaber des Zertifikats wie Name, Organisation, Seriennummer usw. Im Weiteren werden die Zertifizierungsstelle, Validität und Fingerabdrücke aufgeführt. Unter dem Reiter Details kann man die Zertifikatshierarchie sowie das Zertifikats-Layout einsehen.

Hinweis: Hilfe zur Installation oder zu Problemen mit dem FernUni-Zertifikat unter folgendem Link: http://wiki.fernuni-hagen.de/helpdesk/index.php/Kategorie:Zertifikate


Was bringt mir ein solches Zertifikat?

Ein Zertifikat ist in etwa mit einem Personalausweis vergleichbar. Es dient der Authentifizierung des Benutzers, um eine höhere Sicherheit zu gewährleisten, da eine Eingabe des Benutzernamens und des Passworts umgangen wird.

Das Zertifikat der FernUni erlaubt es uns Studierenden, unsere Prüfungsleistungen online abzurufen (hierzu ist es sogar zwingend erforderlich). Zudem können Anmeldungen zu Prüfungen und Praktika über dieses Zertifikat sicher vorgenommen werden. Da die FernUni Hagen ihren Studierenden des Weiteren lizenzpflichtige Software zum Download offeriert, ist ein entsprechendes Zertifikat zur Inanspruchnahme solcher Leistungen auch hierzu unumgänglich.  Nachstehend Software zu demgemäßen Sonderkonditionen:

„SPSS wird für Studierende der Fakultäten Kultur-, Sozial- und Geisteswissenschaften sowie Wirtschaftswissenschaften angeboten.

Mit Hilfe Ihres FernUni-Accounts können Sie sich kostenlos das Programm Sophos AntiVirus und VPN-Clients für verschiedene Betriebssysteme herunter laden.

Ebenfalls mit Hilfe Ihres FernUni-Accounts bzw. eines gültigen Zertifikats vermitteln wir Ihnen den Zugang zu
Apple-Produkten zu Sonderkonditionen
Microsoft-Produkten“


Zusätzlich bietet es die Möglichkeit bestimmte Daten (z.B. PDF-Dokumente, E-Mails) zu verschlüsseln bzw. zu signieren. Auch in Moodle können sich Studierende mithilfe des Zertifikats schnell und sicher einloggen.


„Sicheres E-Mail“

Innerhalb des FernUni Mailstores ist es möglich, in den Einstellungen über den Menüpunkt „Sicheres E-Mail“ einen Schlüssel/ ein Zertifikat zu hinterlegen, wodurch das Mailing noch sicherer gestaltet wird (Signatur). Eine Anleitung zum Einrichten ist unter folgendem Link abrufbar: https://mailstore.fernuni-hagen.de/Guide/WebSMIME.html
Vorwegnehmen möchte ich, dass man unter oben beschriebenem Pfad zum Reiter Ihre Zertifikate im Webbrowser des Firefox sein erworbenes Zertifikat auf dem Laptop/PC etc. unter Eingabe eines eigens ausgewählten Kennworts sichern kann. Dies ist zur Installation des sicheren Mailings im Mailstore erforderlich.
Hat alles funktioniert, erscheint das Zertifikat unter dem Reiter Sicheres E-Mail im Mailstore unter S/MIME Zertifikat.
Möchte ich nun eine E-Mail versenden, kann ich diese bspw. mit einer entsprechenden Signatur versehen.




Letztlich geht es bei Zertifikaten um Vertrauen! Recherchieren und diskutieren Sie über Vertrauensmodelle, speziell web of trust als Alternative zu Zertifikaten! 

Das WOT oder web of trust bezeichnet ein Netz des Vertrauens, welches aus mehreren Usern besteht, die jeweils verschiedene digitale Schlüssel besitzen. Die Verifizierung ergibt sich dabei aus einem Netz von gegenseitigen Bestätigungen (Bsp. Ich vertraue Bernd und Bernd vertraut mir (direktes Vertrauen). Bernd kennt Janette. Janette vertraut Bernd und Bernd vertraut Janette (direktes Vertrauen). Über die Verkettung von Bernd zu Janette, habe ich somit ein indirektes Vertrauen zu Janette, s.g. "Owner-Trust".).

vereinfachtes Vertrauensmodell - WOT

Dieses Vertrauensnetz ist prinzipiell enorm ausdehnbar, wodurch das indirekte Vertrauen, je länger die Verkettung ist, zunimmt.
Problematisch dabei ist, dass man bei diesem Modell darauf vertrauen muss, dass der Schlüsselbesitzer auch wirklich die Person ist, für die man ihn hält. Hinzu ist ein Vertrauen über die sorgfältigen Schlüsselsignaturen, also Verifizierungen, der Vertrauensperson erforderlich. Vertraut diese auf einen fragwürdigen Schlüssel, bzw. ist Janette nicht vertrauenswürdig, kann dies nicht nur für Bernd, sondern auch für mich Konsequenzen nach sich ziehen.   
Das WOT stellt so ein Gegenmodell zum hierarchisch gegliederten PKI (Public-Key-Infrastructure)-System dar. Beim PKI-System übernimmt eine übergeordnete Instanz die Vergabe und Prüfung von digitalen Zertifikaten, was folgendermaßen die Existenz einer Wurzelzertifizierungsstelle (Root-CA) voraussetzt, der alle Teilnehmer vertrauen. Viele Unternehmen unterhalten jedoch eigene PKI-Systeme, um eine gewisse Kontroll- bzw. Überwachungsfunktion auszuüben. Bei PKI-Systemen sind zudem spezielle Anforderungen zur Ausstellung eines Zertifikats zu erfüllen, die in der PKI-Dokumentation festgehalten sind.
WOT-Systeme basieren hingegen auf OpenPGP, sodass ein Zertifikat bzw. Schlüssel grundsätzlich von jedem Benutzer geschaffen werden kann. Vertraut ein Nutzer also einem bestimmten Schlüssel, erzeugt dieser ein Zertifikat, er signiert den Schlüssel. Je häufiger ein spezifischer Schlüssel nun Zertifikate von unterschiedlichen Usern erhält, desto vertrauenswürdiger erscheint jener.
Ganz frei von hierarchischen Strukturen ist jedoch auch das WOT nicht. Hier können Zertifikate ebenso von einer Zertifizierungsstelle generiert werden, welche wiederum Anforderungen und Regeln vorgibt.




Diskutieren Sie: Wie gewinnt man Vertrauen ohne persönliche Bekanntschaft? Kann es das überhaupt geben? Oder ist neues Vertrauen stets mit Risiko behaftet?

Grundsätzlich bedeutet für mich Vertrauen zu jemandem aufzubauen, demjenigen einen Vorschuss an meiner subjektiven Überzeugung zukommen zu lassen, dass derjenige aufrichtige Absichten verfolgt und sein Verhalten für mich daher vorhersehbar oder einsichtig ist. Diese Überzeugung ist übergreifend, sodass sie zunächst einmal gleichsam für Bekanntschaften in der digitalen wie realen Welt gültig ist. Gehe ich von Bekanntschaften über das Internet aus, so muss ich jedoch sagen, dass das Ausmaß an Vertrauensvorschuss geringer ausfällt. Dies hängt damit zusammen, dass für mich auch nonverbale, sinnlich erfassbare Kommunikation zu den vertrauensbildenden Faktoren zählt. Diese Form der Kommunikation fällt in einer digitalen Umgebung weg.  Hinzukommend ist Zeit in der digitalen Welt eher Mangelware. Gerade der Zeitfaktor, also wie lange ich eine Person kenne, bestimmt u.a. mit, wie groß das Vertrauen ist, welches ich in sie setze. Wird mir die Gelegenheit gegeben, mich langsam an jemanden zu gewöhnen bzw. diesen Jemand kennenzulernen, steigt auch mein Vertrauen, insofern sein Verhalten für mich vorhersehbarer und nachvollziehbarer wird. Doch auch in diesem Fall kann eine vertrauensvolle Einordnung fehlerhaft sein. Es besteht somit stets ein gewisses Risiko eines Vertrauensbruchs, welches unabhängig von der Umgebung ist. Laut Statistik der BITKOM stimmten dennoch 69% der Befragten Umfrageteilnehmer der Behauptung zu, dass ihnen die Einschätzung, ob Menschen/ Unternehmen etc. vertrauenswürdig sind, im Internet schwerer fällt als außerhalb dessen (s. Folie 5; http://www.bitkom.org/files/documents/BITKOM_Praesentation_Managing_Trust_Prof_Kempf_05_03_2012.pdf).  
Im WOT ist Vertrauen sozusagen interpersonell übertragbar, sodass ich eine Empfehlung für jemanden abgeben kann oder ich eine Empfehlung für jemand anderen von einer mir vertrauenswürdigen Person/Instanz erhalte. Trotzdem so ein indirektes Vertrauen mobilisiert wird, werde ich kritischer auf die jeweilige Verbindung blicken als auf eine solche, die durch direktes Vertrauen gestützt wird. Vertrauen im Internet erscheint mir zeitgebundener, losgelöster. Stimmt man bestimmten AGBs oder Datenschutzbestimmungen heute zu, erfahren diese innerhalb kürzester Zeit eine Änderung, denen ich genötigt bin zuzustimmen, wenn ich den angebotenen Dienst weiterhin nutzen möchte.
Vertrauen kann jedoch auch im Net hergestellt werden. Dies soll bei Unternehmen z.B. anhand transparenter werdender Serviceleistungen, verständlicherer AGBs und Erweiterungen im Datenschutz etc. realisiert werden.  (http://blog.iao.fraunhofer.de/home/archives/1176.html & http://www.pressebox.de/pressemitteilung/bitkom-bundesverband-informationswirtschaft-telekommunikation-und-neue-medien-ev/BITKOM-und-Bundesverbraucherministerin-Aigner-wollen-Vertrauen-in-die-digitale-Welt-staerken/boxid/488726).
Private Kontakte, die sich über das Internet bilden, bleiben jedoch m.E. eher schwierig. WOT-Systeme könnten hier eine erste Wahl der Mittel zur Einordnung von Personen geben. Doch auch diese Systeme haben ihre Grenzen.

Keine Kommentare:

Kommentar veröffentlichen