NEWSLETTER 06 | 2008

Sehr geehrte Damen und Herren,

„One Time Password Replacement“ ist in Amerika bereits ein großes Thema - zu Recht. Einmal-Passwörter sind teuer in der Anschaffung und Administration und nur einseitig nutzbar. Zertifikate hingegen können mehr als nur Authentisierung. Falls Sie auf der Suche nach einer kostengünstigen Alternative für Ihr tokenbasiertes Remote Access sind, empfehlen wir Ihnen die Lektüre dieses Newsletters.

Eine Meldung hat im Mai für Verunsicherung gesorgt. In der Debian Software wurde eine Sicherheitslücke entdeckt. Wir haben sofort reagiert und unsere Kunden mit entsprechenden SSL-Zertifikaten kontaktiert. Jeder Betroffene hat kostenlos ein neues Zertifikat von uns erhalten. Mehr zu diesem Thema finden Sie in unserem Beitrag: „Debian Sicherheitslücke – TC TrustCenter schnürt Maßnahmenpaket“.

Übrigens, wir haben eine neue Homepage, mit dem Ziel, Sie schneller an Ihr Ziel auf den TC TrustCenter Webseiten zu bringen. Neu für unsere englischsprachigen Kunden und Partner - wir versenden unseren Newsletter ab sofort auch in englischer Sprache.

Mit freundlichen Grüßen
Ihr Team von TC TrustCenter

Token sind seit Mitte der Achtziger Jahre ein vielfach eingesetztes Mittel zur Identity- und Access-Kontrolle. Insbesondere haben sich tokenbasierte Einmal-Passwörter durchgesetzt (One Time Password – OTP), die dem Benutzer Mobilität und Unabhängigkeit von seinem Standort ermöglichen.

Diese Unabhängigkeit hat ihren Preis. Hohe Anfangsinvestitionen und ein hoher Aufwand bei der physischen Verwaltung der Token gehen einher mit einem hohen Aufwand beim Management der Einmal-Passwörter.

Vor allem aber hat sich 20 Jahre nach Einführung der OTP Token das Einsatzszenario geändert. Wer heute an Mobilität denkt, denkt an Notebooks und Smartphones: Die Clients sind mobil geworden. Die fortschreitende Miniatisierung und Konvergenz der mobilen Clients beschleunigt diese Entwicklung erheblich: Das Notebook wird zum Token.

Diese neue Mobilität erfordert mehr als nur starke Authentisierung. E-Mails sollten verschlüsselt werden, Daten, gerade auf Notebooks, sollten ebenso gesichert sein und die rechtsverbindliche Signatur von Dokumenten birgt erhebliches Einsparpotential.

Die Alternative sind digitale Zertifikate. Sie sind kostengünstig und vielseitig einsetzbar. Denn, wird das Notebook zum Token, wird ein digitales Zertifikat zum sicheren Authentisierungsfaktor. Der Clou - Zertifikate können mehr als "nur" Zugriffskontrolle. Sie ermöglichen sichere E-Mail, digitales Signieren und Verschüsselung – und das alles bei geringerem Total Cost of Ownership.

Weitere Informationen zu unseren Remote Access Lösungen.

Die Open SSL Bibliothek der Linux-Distribution Debian erzeugt seit einem fehlerhaften Patch im Jahr 2006 schwache Krypto-Schlüssel. Diese Meldung hat viele verunsichert. TC TrustCenter hat nach Bekanntwerden der Sicherheitslücke bei Debian-OpenSSH-Schlüsseln als erstes Trustcenter die Konsequenzen gezogen: Wir haben unseren gesamten Zertifikatsbestand auf diese Schwachstelle hin untersucht und betroffene Zertifikatsinhaber sofort informiert. Wir bieten allen gegenwärtig betroffenen Kunden kostenfrei sichere Ersatzzertifikate an und werden auch künftig alle neuen Zertifikats-Anfragen auf diese jetzt bekannte Debian-Schlüssel-Problematik hin überprüfen.

Die durch den Sicherheitsexperten Luciano Bello entdeckte Schwachstelle ist besonders kritisch, da die Zufallszahlen, auf denen die Debian-OpenSSH-Schlüssel für die Zertifikate basieren, durch ein einfach zu programmierendes ‚Durchspielen’ von Zahlen zu berechnen und somit vorhersagbar sind. Damit bieten diese Schlüssel keinen sicheren Schutz mehr vor Hackerangriffen, wie beispielsweise Brute-Force-Attacken, oder anderen unautorisierten und ausspionierenden Eingriffen (Quelle: http://www.heise.de/security/ – hier finden sich auch weitere aktuelle Updates zu diesem Thema).

Weitere Informationen zur Debian Sicherheitslücke

TC TrustCenter gewinnt zwei neue Kunden aus dem Finanzsektor für Zertifikats-Gateway-Lösungen

Immer mehr Finanzinstitutionen setzen auf den Einsatz von E-Mail-Gateways mit Zertifikaten. Ideal ist die Kombination eines E-Mail-Gateways und der TC TrustCenter On-Demand Zertifikats-Plattform. E-Mail-Gateway Lösungen ermöglichen den zentral gesteuerten und damit sehr bequemen Einsatz von Zertifikaten für sichere E-Mail und ermöglichen einen besonders kurzen Return on Investment durch die schnelle Inbetriebnahme. Zwei neue Kunden aus dem Finanzsektor konnten wir im letzten Monat für diese Lösung gewinnen.

Sichere E-Mails mit Outlook versenden und empfangen ist einfach. Outlook unterstützt den Einsatz von Zertifikaten quasi per Mausklick. Da die TC TrustCenter Root-Zertifikate bereits in Outlook vorinstalliert sind, benötigen Sie lediglich ein eigenes Zertifikat, um ausgehende E-Mails digital zu signieren und das Zertifikat Ihres Kommunikationspartners, um E-Mails zu verschlüsseln.

Ausgehende E-Mails digital signieren

Um Outlook so einzurichten, dass Sie eigene E-Mails digital signiert versenden können, sind folgende Einstellungen vorzunehmen:

1. Unter "Extras >Optionen" Karteireiter "Sicherheit > Einstellungen..." hier das eigene Zertifikat auswählen.

2. Im Karteireiter "Sicherheit" auswählen, ob Nachrichten per default "Verschlüsselt" und/oder "signiert" werden soll.
    Mit der Option "Nachrichten digital Signatur hinzufügen" werden ab sofort Ihre ausgehenden E-Mails digital signiert.

Zertifikat eines Kommunikationspartners übernehmen, um E-Mails zu verchlüsseln

Um E-Mails an einen Kommunikationspartner zu verschlüsseln, benötigen Sie das Zertifikat Ihres Kommunikationspartners. 
Am einfachsten erhalten Sie es, wenn Sie eine digital signierte E-Mail Ihres Kommunikationspartners haben. Dann sind lediglich folgende Einstellungen zu machen:

1. Öffnen Sie mit einem Doppelklick die signierte Empfänger-E-Mail.

2. Klicken Sie mit der rechten Maustaste auf den Absender und wählen die Option "Zu Outlook Kontakten hinzufügen…" aus.

3. Es öffnen sich die Kontaktdaten. Diese können editiert werden, unter dem Karteireiter "Zertifikate" wird das Zertifikat
    (Digital ID) der Kontaktperson angezeigt.

4. Sind die Kontaktdaten korrekt, bestätigen Sie dieses durch einen Klick auf "Speichern und schließen".

Ab jetzt können Sie diesem Kommunikationsparter verschlüsselte E-Mails schicken. Über einen Klick auf das Symbol mit dem blauen Schloss am Brief, aktivieren Sie die Verschlüsselung.
Jeder Kommunikationspartner, dem Sie eine digital signierte E-Mail senden, hat Ihr Zertifikat und kann Ihnen dann ebenso verschlüsselte E-Mails zukommen lassen.

Im Juli gibt es den TC ID Store. Mit dem TC ID Store wird das einfache Beantragen und Verwalten von Client-Zertifikaten mit einer bequemen Oberfläche möglich. Schon für Kunden mit nur wenigen Einzelzertifikaten lohnt sich dann die Nutzung eines TC ID Stores.

Zum Thema "Einsatz von E-Mail-Gateways und Zertifikaten" wird TC TrustCenter im September eine Roadshow anbieten. Sie haben Interesse? Dann merken Sie sich schon mal unsere Termine vor: 2. September in Düsseldorf, 3. September in Frankfurt und 17. September in München.

Mehr zu diesen Themen erfahren Sie im nächsten Newsletter.