Authenticode: Von Microsoft im Internet-Explorer 3.0 eingeführtes
Sicherheitsfeature, das die Echtheit von Software, die über das Internet transportiert
wird, sicherstellen soll. Softwareentwickler versehen Ihre Programme mir einer digitalen
Unterschrift, anhand derer der Anwender den Ursprung der Software erkennen und dann
entscheiden kann, ob er das Programm ausführen will. Authenticode eignet sich für
ActiveX, Java-Applets sowie herkömmliche Programme. Technisch basiert Authenticode auf
X.509-Zertifikaten und den Signaturmechanismen PKCS #7 und #10.
Brokat:
Die von Brokat entwickelte Technologie zum
Online-Banking wird von rund zehn Banken eingesetzt, darunter die Bank 24 und Advance
Bank. Das Brokat-System setzt sich aus verschiedenen Komponenten zusammen, wobei der
Client auf Java basiert und auf gängigen Web-Browsern läuft.
Cookies:
Cookies sind kleine Informationspakete, die
ein Web-Server zum Browser sendet und dieser bei zukünftigen Anfragen an den Server
zurückschickt. Der Browser mekt sich die Cookies in einer Datei - das erlaubt es dem
Server, einen Zusammenhang zwischen Besuchen an verschiedenen Tagen herzustellen. So
lassen sich individuelle Informationen für den Besucher zusammenstellen.
Cyberbucks:
Statt aus Metall oder Papier soll Geld in
Zukunft aus Bits und Bytes bestehen. Im Internet erproben einige Tausend Pioniere bereits
die Zukunft des digitalen bargeldlosen Geldverkehrs. Elektronisches Bargeld, genannt
"ecash" bringt die US-Firma DigiCach in Umlauf. Dabei hebt der Kunde zunächst Geld bei einer regulären Bank ab,
das er als "Cyberbucks" auf seinem Computer speichert. Kauft er im Internet bei
einem an dem "ecash"-Modellversuch beteiligten Unternehmen ein, werden diese
digitalen Münzen als anonymes Zahlungsmittel verbraucht. Ein kompliziertes
Verschlüsselungsverfahren soll einen Diebstahl des Geldes verhindern.
Cybercoins:
Mit dem Digital-Geld von CyberCash lassen sich erstmals Kleinstbeträge abrechnen. Das
Online-Zahlungssystem basiert auf einer elektronischen Brieftasche, die per Kreditkarte
gefüllt wird. Verschlüsselungssoftware soll vor Hackerattacken schützen.
HBCI:
HBCI wurde von Spitzengremien der deutschen
Bankorganisationen definiert und vom zentralen Kreditausschuß (ZKA) Ende 1996
verabschiedet. Unter der Bezeichnung PIN (Protected Internet) läuft seit Anfang des
Jahres 97 bei der Raiffeisen-Volksbank Mainz eine erste, von der Firma Faktum entwickelte
HBCI-Implementierung.
IP-Spoofing:
Zugriffberechtigungen im Internet sind
häufig von der IP-Adresse des Absenders abhängig. Das IP-Spoofing basiert nun im
wesentlichen darauf, daß ein Angreifer IP-Pakete mit falscher Absenderadresse in ein
System einschleust. Das Sicherheitssystem stuft die gefälschte Adresse als
vertrauenswürdig ein und startet den entsprechenden Dienst.
MECHIP:
Eine höchstmögliche Datensicherheit
bereits auf Client-Seite soll die hardware-basierende Datenkodierung über den MeChip von
ESD bieten, die derzeit von der Sparda-Bank Hamburg eingesetzt wird. Der MeChip wird
zwischen Tastatur und PC geschaltet und verschlüsselt alle Eingaben. Über die parallele
Schnittstelle werden die Daten an den PC geleitet und ins Netz geschickt.
Open
Financial Exchange:
Microsoft, Intuit und Checkfree haben
zusammen eine Spezifikation für bargeldlosen Zahlungsverkehr im Internet vorgestellt:
Open Financial Exchange ist ein Vorschlag an Banken, Firmen und Privatnutzer, eine
einheitliche Datenplattform für bestimmte Finanztransaktionen zu etablieren. Dazu
gehören Überweisungen von Konto zu Konto sowie Investmenttransaktionen wie
Wertpapierkäufe und Devisengeschäfte. Über 50 große Finanzinstitute, so berichten die
drei Unternehmen, sollen sich dem Vorschlag schon angeschlossen haben. Weitere
Dienstleister sollen gewonnen werden, damit auch Versicherungs- und Steuerdaten in die
Transaktionen mit einbezogen werden können.
PCT, STLP und
TLS:
Aufbauend auf SSL hat Microsoft ein
weiteres Verschlüsselungsprotokoll entwickelt, das den Namen Private Communications
Technology (PCT) trägt. Mit dem Secure Transport Layer Protocol (STLP) will Microsoft SSL
und PCT nun zusammenführen.
PGP (Pretty Good Privacy):
Bei Pretty Good Privacy (PGP) handelt es
sich um ein Public-Key-Verfahren (kombiniert mit einer symmetrischen IDEA-Kodierung), das
primär zur E-Mail-Verschlüsselung genutzt wird. Im Gegensatz zu den von RSA
bereitgestellten Public-Key-Algorithmen benutzt PGP erheblich größere Schlüssel, die
durch eine Brut-Force-Attacke in absehbarer Zukunft definitiv nicht knackbar sind.
Allerdings: Offiziell dürfen Produkte mit PGP-Verschlüsselung nicht aus den USA
exportiert werden. Hinzu kommt, daß PGP kein formalisiertes Verfahren zur Verwaltung der
öffentlichen Schlüssel kennt - im Gegensatz zu S/MIME, das zu diesem Zweck auf X.509
baut.
Secure HTTP:
Im wesentlichen ergänzt das
S-HTTP-Protokoll die von HTTP bekannten Header um die zur Verschlüsselung benötigten
Parameter. Dabei bietet S-HTTP weitestgehende Flexibilität bei der Wahl der
Verschlüsselungsverfahren sowie beim Key-Management. Heute nur selten anzutreffen.
Secure MIME
(S/MIME):
Von RSA in Zusammenarbeit mit anderen
Firmen bereits 1995 vorgeschlagener Standard zur E-Mail-Verschlüsselung. S/MIME setzt auf
MIME (Multipurpose Internet Mail Extension)
auf und läßt sich dadurch vergleichsweise einfach in vorhandene Mail-Produkte
integrieren. Die S/MIME-Verschlüsselung basiert auf RSA als asymmetrisches Verfahren, als
symmetrisches Verfahren sind DES, Triple-DES und das problemlos aus den USA exportierbare
RC2 vorgesehen. S/MIME bietet neben der Verschlüsselung auch einen
Authentifizierungsmechanismus, der auf X.509 aufbaut.
SET (Secure Electronic
Transaction):
Für den elektronischen Zahlungsverkehr
sind weitergehende Sicherheits-Mechanismen erforderlich: So sollte zum Beispiel festgelegt
sein, wie sich Händler und Kunde gegenüber einander indentifizieren und in welchem
Format Zahlungsdaten wie Kreditkartennummern übermittelt werden. Auf der Suche nach einer
Lösung dieses Problems haben die Kreditkartengesellschaften Visa und Mastercard zusammen
mit Microsoft und Netscape das Secure-Transaction-Protokoll (SET) entwickelt. Technisch
basiert SET auf einer Kombination einer asymmetrischen RSA-Kodierung und einer
symmetrischen Verschlüsselung.
SmartCard:
Die Zukunft sehen Experten in universellen
Bankkarten nach Muster der EC-Karte, die zum Online-Shoppen einfach in ein Lesegerät am
Computer gesteckt werden.
SSL
(Secure Socket Layer):
SSL, eine Entwicklung der Firma Netscape,
schaltet sich zur Verschlüsselung der Daten zwischen den IP-Layer und die TCP-Schicht.
SSL unterstützt eine ganze Reihe von Verschlüsselungsverfahren. Die Kommunikation via
SSL basiert auf einem Public-Key-Verfahren und der anschließenden Verwendung von Session
Keys: Vereinfacht gesagt, sendet der Server auf Anforderung durch den Client ein
X.509-Zertifikat, das den Public-Key des Servers enthält sowie über die vom Server
unterstützten Verschlüsselungsverfahren informiert. Der Client erzeugt daraufhin einen
Session Key, den er mit dem Public-Key des Servers verschlüsselt an diesen
zurückschickt. Alle folgenden Datenübertragungen zwischen Client und Server werden mit
dem ausgehandelten Session Key verschlüsselt. Im Browser erkennt man diese gesicherte
Datenübertragung unter der Anzeige "https://www...." in der
URL.
TAN:
Um die Verbindlichkeit einer Transaktion
sicherzustellen, hat sich beim Online-Banking die Verwendung sogenannater
Transaktionsnummern (TANs) durchgesetzt, die jeweils nur für eine Transaktion gültig
sind. Moderne Systeme generieren diesen Schlüssel selbstständig. Eine verschlüsselte
Übertragung stellt die Vertraulichkeit sicher.
Warenkorbsystem:
Mit Hilfe eines Warenkorbsystems kann der
Besucher eines Online-Shops die Produkte, die er kaufen möchte ähnlich wie im Supermarkt
in einen virtuellen Einkaufskorb legen und am Ende des Einkaufs eine Summe aller Artikel
und Preise zur Bestellung absenden. |