 | | | | | |||||||
| | | | | |||||||
| |
| | | |||||||
| | | | | |||||||
| | | | |
|
| Trust-Center | Ob Verschlüsselungen oder Signaturen, in beiden Fällen spielen
öffentliche Schlüssel eine Rolle. Um einen wirkungsvollen Schutz
zu gewährleisten, müssen diese zweifelsfrei zugeordnet werden
können. Um das zu erreichen, werden Zertifikate (Datensätze mit
öffentlichen Schlüssel und Name des Besitzers) von einer neutralen
dritten Stelle signiert.
Diese unabhängige Behörde bzw. ein unabhängiges Unternehmen wird Trust-Center oder CA (Certification Authority) genannt. Das von einem Trust-Center erstellte Zertifikat hat einen hohen Stellenwert, es erhält die Bedeutung einer digitalen Unterschrift. Trust-Center unterliegen einer reihe von Vorschriften (Gesetzgeber), die Investitionen in zweistelligen Millionenhöhen erforderlich machen. Damit ist schon ersichtlich, das digitale Signaturen einen bestimmten Preis nachsichziehen. Aus diesem Grund wird oft auf die Anwendung von SET verzichtet. Zusätzlich steigt die Anzahl der Transaktionen bei der Bestellung, die notwendige Rechenleistung steigt. In Deutschland sind die bekanntesten Trust-Center:
|
| SSL-Secure Socket Layer | Verschlüsselungsprotokoll, dass von Browsern wie Netscape Navigator
und Microsoft IE unterstützt wird. Dient zur 'sicheren' Übertragung
von Daten.
Nach dem Exportgesetzt der USA darf Software, die exportiert wird, nur Schlüssellängen bis 40 Bit verwenden. Moderne Rechneranlagen können diesen Schlüssel in kürzerer Zeit knacken. Trotzdem sind Angriffe auf Transaktionen kaum bekannt. Sicherlich liegt es daran, dass im Internet nur ein ganz geringer Teil der Daten Kartendaten sind. Der Aufwand diese abzufangen wäre enorm. |
| Firewall | Hard- und/oder Softwaresystem zur Abwehr von Angriffen unbefugter Zugriffe auf Daten und Anwendungen in Rechnernetzen, die mit dem Internet verbunden sind. Firewall's kommen oftmals in mehreren Stufen zum Einsatz, um die Sicherheit zu erhöhen. |
| elektronische Unterschrift | Auch digitale Signatur, die bestätigt, dass der Absender einer Nachricht auch tatsächlich der ist, als der er sich ausgibt. Trust-Center beglaubigen die digitale Signatur. |
| Gateway | Server im Internet, der die Verbindung zwischen lokalen Netzen und Internet herstellt; z.B. beim Zahlungsverkehr zwischen Bank und Internet. Ein Gateway wird oft durch ein Firewall geschützt. |
| PIN & TAN | Ein BTX-Homebanking Verfahren, bei dem eine persönliche Identifikationsnummer (PIN) und eine Transaktionsnummer (TAN) eingesetzt wird. Jede TAN kann nur einmal genutzt werden. Werden die Transaktionsdaten abgefangen, können Sie nicht wieder verwendet werden. Dieses Verfahren ist für den Kunden und der Bank umständlich, aber ein sehr sicheres Verfahren bei korrekter, d.h. geheimer Aufbewahrung der TAN- und PIN-Nummern. |
| RSA-Verschlüsselung | Asymmetrisches Verschlüsselungsverfahen. Die Verschlüsselung
von Daten erfolgt mit einem privatem Schlüssel. Mit einem öffentlichen
Schlüssel kann jeder diese Nachricht entschlüsseln. Das RSA-Verfahren
ist ein sicheres aber zeitintensives Verfahren.
Mit dem RSA-Verfahren läßt sich die Signatur eines Dokumentes leicht prüfen. Der Verfasser veschlüsselt den Absender mit dem privatem Schlüssel, mit dem öffentlichen Schlüssel kann der Absender geprüft werden. Da das Verschlüsseln von umfangreichen Datenmengen lange dauert (gegenüber DES ca. um den Faktor 100), werden Informationen oft in einer Kombination aus RSA und DES verschlüsselt. Das Dokument selbst wird mit DES verschlüsselt, der DES-Schlüssel und der Absender mit RSA |
| DES | Symmetrisches Verfahren mit einer hohen Sicherheit bei genügend langen Schlüssel. Zum Codieren und Dekodieren wird der selbe Schlüssel verwendet. Auf Grund der USA-Ausfuhrbestimmungen wird bei Software nur ein 40-Bit Schlüssel verwendet. Dieser ist aber zu kurz und wurde schon geknackt. Eine Schlüssellänge von 128Bit wäre als sicher einzustufen.TRIPLE-DES verschlüsselt die Daten dreifach, so daß beispielsweise bei einem 40Bit-Schlüssel die Sicherheit erhöht wird. (Aufwand und Nutzen der Codierung?) |
| Java-Applets
Java-Scipt |
Programme, die im Rahmen von Internetsitzungen automatisch beim Aufruf bestimmter Internetseiten auf den lokalen Rechner geladen werden. Damit ist Interaktion möglich. Diese Programme stellen aber auch eine Gefahr da, wenn deren Herkunft und die Wirkung nicht bekannt sind. Sie können Daten zerstören, spähen Festplatten aus (Passwörter) u.s.w.. |
| Cookies | Kleine Programme, die von einem Internetserver auf den Arbeitsplatzrechner
kopiert werden, um bestimmte Aktionen auszuführen.
Da der Nutzer über die Funktionsweise dieses Programms nichts weiß, besteht die Gefahr, dass nichtgewollte Aktionen ausgeführt werden. (Programme und Passwörter auslesen, Viren, ...). In Browsern lassen sich die Aktivitäten von Cookies einschränken. Viele Internetseiten funktionieren dann aber nicht mehr. |
|
