Frage:
Könnten Regierungen und Banken CAs werden?
shadowtalker
2017-01-19 19:05:50 UTC
view on stackexchange narkive permalink

Wenn Sie einen Reisepass, einen Führerschein, eine Hypothek, ein Bankkonto, eine Kreditkarte usw. beantragen, muss die ausstellende Organisation Ihre Identität überprüfen. Wäre es dabei möglich, ein x.509-Zertifikat auszustellen? Diese könnten dann von Einzelpersonen für S / MIME, schnelle und einfache Identifizierung auf Regierungswebsites, digitale Signaturen für die elektronische Steuererklärung usw. verwendet werden.

Insbesondere möchte ich wissen:

  • Gibt es einen Grund (aus Sicherheitsgründen), warum eine Regierung, eine Bank oder ein Kreditkartenunternehmen nicht Teil der PKI sein sollte?
  • Ist es sinnvoll, x.509-Zertifikate auszustellen, die "Offline" -Entitäten zugeordnet sind, wie PGP-Schlüssel realen Personen zugeordnet sind (sein sollen)?
Gibt es eine nationale Regierung ohne CA?Banken gibt es einige.[eine einfache Google-Suche] (https://www.google.com.br/search?num=40&newwindow=1&q=bank+certificate+authority) [zeigt] (https://www.bb.org.bd/services/ca/ca_cps.pdf) [mehrere] (https://www.bsi.si/en/reporting.asp?MapaId=1625).
@Mindwin Ich frage nach einer Zertifizierungsstelle für die Ausstellung von Zertifikaten an einzelne Bankkunden.Meine Bank hat mir sicher kein Zertifikat gegeben.
Ich denke, dass @Mindwin Ihnen ein [Beispiel] (https://www.bsi.si/en/reporting.asp?MapaId=1629) einer Bank gegeben hat, die Zertifikate an Einzelpersonen ausstellt, obwohl es sich um eine Zentralbank handelt, nicht um einen PrivatkundenBank.
[e-Estland] (https://e-estonia.com/) ist das beste Beispiel für ein offenes System wie dieses.Die meisten Banken stellen ihren Kunden ein Zertifikat aus.Es ist in den Chip Ihrer Bankkarte eingebettet.Dies ist jedoch ein geschlossenes System - Entwickler von Drittanbietern können es nicht (einfach) integrieren.
@paj28 oh, so funktionieren diese Kartenchips?Hier in den USA fangen sie gerade erst an, sich durchzusetzen.
@ssdecontrol - Ungefähr ja.Es gibt eine viel bessere Erklärung in [dieser Antwort] (http://security.stackexchange.com/a/49294/31625)
Warum hilft Ihnen eine Bank bei der Geschäftsabwicklung mit Dritten?Eine Bank will Ihr (Finanz-) Geschäft nur für sich.Das Verwalten einer Zertifizierungsstelle ist harte Arbeit.Sie müssen Zertifikate widerrufen, Ihre Schlüssel sicher aufbewahren und Zertifikate ausstellen.All dies würde Kosten verursachen, die dem Zertifikat einen Preis hinzufügen würden.TINSTAAFL.
Sieben antworten:
Sjoerd
2017-01-19 20:33:32 UTC
view on stackexchange narkive permalink

Ich kenne mindestens eine Regierung mit einer Stammzertifizierungsstelle:

Staat der Nederlanden Root CA

Der Bundesstaat die Niederlande. Soweit ich weiß, verwenden sie es nicht, um Personen zu identifizieren, wenn sie ihren Führerschein abholen.

Ich denke, Estland hat ein System, in dem alle Einwohner eine Karte mit einem Zertifikat haben.

Mehrere europäische Regierungen (ich kenne Frankreich und Deutschland) betreiben ihre eigene öffentliche Zertifizierungsstelle nicht direkt, aber sie haben (früher und jetzt zumindest teilweise) staatliche Telekommunikationsunternehmen, die jeweils eine öffentliche Zertifizierungsstelle betreiben.
Interessanterweise war die niederländische Regierung stark von der [DigiNotar-Verletzung] (https://en.wikipedia.org/wiki/DigiNotar) betroffen und übernahm dann den Betrieb dieser Zertifizierungsstelle.
Bedeutet dies, dass Regierungen einen MITM-Angriff auf irgendjemanden in diesem Land durchführen könnten?
@user1 Wenn eine Zertifizierungsstelle von Browsern als vertrauenswürdig eingestuft wird, kann der Eigentümer dieser Zertifizierungsstelle MITM-Angriffe gegen jeden ausführen, der den Browser verwendet.[Anheften von Zertifikaten] (https://security.stackexchange.com/questions/29988/what-is-certificate-pinning) soll solche Angriffe verhindern.
@user1 Die meisten nationalen Zertifizierungsstellen werden von Browsern nicht als vertrauenswürdig eingestuft (sie benötigen dies nicht, da sie keine TLS-Serverzertifikate ausstellen).
@grawity gibt es eine Vielzahl von nationalen CAsh in den Browser Trust Stores.
@user1 Theoretisch ja, aber beachten Sie, dass jede CA, die einen MITM-Angriff ausführt (was leicht zu beweisen wäre), zu ihrem sofortigen Widerruf und viel öffentlicher Schande führen würde.
Constantino Tsarouhas
2017-01-20 03:00:05 UTC
view on stackexchange narkive permalink

Zur Ergänzung von Sjoerds Antwort: Einige Länder geben sogar jedem einzelnen Bürger und Einwohner seine eigenen Zertifikate, die in einem ICC gespeichert sind, der auch das primäre Ausweisdokument ist. Zur Veranschaulichung hier meine (und die beiden Zertifizierungsstellen aus dem Trust Store meines MacOS-Computers).

Belgium Root CA3, Citizen CA, and two citizen certificates

Sie werden in verwendet Regierungsbehörden, Postämter, Apotheken und sogar Unternehmen. Viele verwenden sie auch online (mithilfe eines Smartcard-Lesegeräts und einer Browser-Erweiterung), um ihre Steuern einzureichen, auf offizielle Korrespondenz zuzugreifen oder Sozialleistungen anzufordern / zu überprüfen.

Wow, das ist verdammt nahe an dem, was ich mir vorgestellt habe.Es macht eine Menge Sinn.Können Sie diese Zertifikate auch als Verschlüsselungsschlüssel verwenden?
@ssdecontrol Der private Schlüssel wird in Regierungsunterlagen gespeichert.Es handelt sich ausschließlich um einen Authentifizierungs- und Signaturschlüssel für offizielle Angelegenheiten.Nichtregierungsorganisationen verwenden nach wie vor staatlich bereitgestellte APIs und Websites und geben Token (oder ähnliches; ich bin kein Experte auf diesem Gebiet) weiter, die vom ICC generiert wurden (der Chip ist PIN-geschützt).Obwohl es praktisch gewesen wäre, der Karte weitere Schlüssel hinzuzufügen, z. B. für den Gebäudezugang oder für Bankgeschäfte, ist dies meines Wissens nicht möglich.;-);
Ja, viele europäische Länder tun dies (obwohl normalerweise nicht annähernd so gut entwickelt wie Estlands) - mein Personalausweis im Jahr 2009 hatte bereits ein Zertifikat.Die Betreiber stellen hier sogar spezielle _SIM_-Karten aus, die X.509-Zertifikate aufnehmen können.(Obwohl sie keine öffentliche API haben, dienen sie hauptsächlich dem Zugriff auf Banken und Regierungsseiten ...)
@RandyMarsh: Sind Sie sicher, dass die Regierungsunterlagen tatsächlich den privaten Schlüssel speichern?Sie benötigen dies nicht für Ihre genannten Zwecke, und zumindest erfordern die Regeln für "qualifizierte" Zertifikate, dass der private Schlüssel innerhalb der Karte selbst generiert wird, was einen Export selbst durch den Aussteller unmöglich macht.
@ssdecontrol Während Signaturschlüssel nicht direkt als Verschlüsselungsschlüssel verwendet werden können, können Sie sie zur Authentifizierung eines Schlüsselaustauschs (mit Diffie-Hellman oder ähnlichem) verwenden, um die Integrität der Vertraulichkeit zu verbessern.
Matthew1471
2017-01-19 19:32:51 UTC
view on stackexchange narkive permalink

• Gibt es einen Grund (aus Sicherheitsgründen), warum eine Regierung, eine Bank oder ein Kreditkartenunternehmen nicht Teil der PKI sein sollte?

Vermischen von Unternehmen und weltweiter Regierung Die meisten Sicherheitsexperten sind nicht an Interessen interessiert, und der Schaden, der durch eine betrügerische Zertifizierungsstelle (wer auch immer der Eigentümer war / ist) verursacht werden kann, ist sehr real, sodass dies das größte Sicherheitsrisiko darstellt.

Dort Es gibt einige (wie CNNIC), aber die Community ist nicht besonders begeistert von ihnen und einige wurden aufgrund von nachgewiesenem Missbrauch aus den beliebten Zertifikatsgeschäften (was so gut ist, als würde man sie töten) widerrufen.

Das heißt, der Grund, warum es nicht viele gibt, ist wahrscheinlich größtenteils nicht technisch. Die Eintrittsbarriere besteht darin, dass sie ihre Sicherheit aufrechterhalten und wahrscheinlich regelmäßige Audits durchführen müssen, um weiterhin für einige Listen in Frage zu kommen (die ich Ich würde mir vorstellen, dass die meisten sich nicht darum kümmern möchten, es sei denn, sie berechnen einen Betrag, der es wirtschaftlich rentabel macht), wie zum Beispiel den Mozilla Firefox Standard l Es handelt sich um vertrauenswürdige Zertifizierungsstellen, und es wird auch darauf vertraut, dass sie keine anderen Zertifikate signieren, auf die sie keinen Anspruch haben. Das Anheften von Zertifikaten hilft (es ist schwierig, google.com jetzt mit modernen Browsern zu fälschen), aber das hindert sie nicht daran, sich als meine Bank usw. auszugeben, wenn sie komprimiert werden. Außerdem besteht das zusätzliche Reputationsrisiko, wenn sie kompromittiert werden, was sie weniger attraktiv macht.

Siehe auch Gibt es neben diesen 46 Stammzertifikaten noch andere Vertrauenswurzeln auf meinem Computer?, auf die verwiesen wird das Stammzertifikat der Hong Kong Post Office.

Diese Seite, auf der die wichtigsten Geschäfte sowie die Grundsätze und Kriterien aufgeführt sind, die sie einhalten müssen, kann ebenfalls hilfreich sein.

Ich weiß nicht, dass das OP nach Regierungen fragt, die eine ähnliche Rolle wie Verisign übernehmen - d. H. Eine Hauptrolle bei der Authentifizierung von Nichtregierungswebsites spielen.Ich denke, OP fragt nach der Verwendung, um es Einzelpersonen zu ermöglichen, sich bei Regierungsaufgaben (oder sogar persönlich) bei Regierungsfunktionen zu authentifizieren.
@Joe Ich frage nach etwas in der Mitte.Sie haben Recht, dass ich definitiv nicht daran denke, diese Zertifikate für Websites zu verwenden.Aber ich denke darüber nach, sie für nichtstaatliche Funktionen wie die Autorisierung von Zahlungen zu verwenden und für die einfache Dateiverschlüsselung verfügbar zu sein.
+1, dies scheint die einzige Antwort zu sein, die versucht, die gestellte Frage zu beantworten.Die Antwort ist ja.
@JamesKPolk denkst du, es ist besser als das, was ich akzeptiert habe?
@ssdecontrol: Das liegt ganz bei Ihnen.Die Antwort, die Sie akzeptiert haben, und alle anderen, die ich gelesen habe, versuchen zu zeigen, dass es bereits staatliche Zertifizierungsstellen gibt, die genau das tun, was Sie vorschlagen, aber sie vermeiden es, die Frage zu beantworten, ob ein solches Modell potenzielle negative Sicherheitsfolgen hat.
@JamesKPolk guter Punkt, obwohl ich diese Antwort aufgrund der spezifischen Diskussion über Offline- und Online-Vertrauen, die ich für relevant hielt, letztendlich akzeptierte.Ich war zwischen dieser Antwort und der, die ich akzeptierte, hin und her gerissen, weil beide über das einfache "Hier ist ein Beispiel einer Regierungs-CA" hinausgingen.Wenn Sie der Meinung sind, dass diese Antwort für die Community wertvoller ist als die von mir gewählte, würde ich gerne wechseln.
@ssdecontrol: danke, aber es ist wichtig, dass die akzeptierte Antwort Ihre Entscheidungen widerspiegelt, nicht meine.Meine Kommentare sollen die Diskussion verstärken und keine bestimmte Aktion lenken.
usr-local-ΕΨΗΕΛΩΝ
2017-01-20 21:06:09 UTC
view on stackexchange narkive permalink

Fallstudie: Italien

Italien bietet eine bekannte Stammzertifizierungsstellenliste. Die Liste wird hauptsächlich von Banken oder offiziellen Berufsverbänden erstellt.

Die offizielle Liste wird unter dieser Adresse (keine englische Version gefunden) geführt. Die offiziellen Anforderungen in englischer Sprache sind hier aufgeführt.

Das OP fragt zu Recht, ob die Regierung selbst oder eine vertrauenswürdige Behörde X.509-Zertifikate für alle zur öffentlichen Verwendung freigeben darf, z Unterschreiben Sie Ihre eigene E-Mail.

Wenn Sie über Italien und hauptsächlich andere EU-Länder sprechen, ist dies hauptsächlich eine Kosten-Nutzen-Entscheidung. Zentralregierungen verfügen normalerweise nicht über große Budgets.

Die Ausstellung eines Passes unterscheidet sich von der Verwaltung digitaler Zertifikate. Ein Pass ist etwas, das Regierungen der Mehrheit ihrer Bevölkerung ausstellen, um internationale Reisen zu ermöglichen. Angesichts der modernen Passagierströme werden E-Mail-Signaturzertifikate von einer definitiv kleinen Nische des Marktes verwendet.

Handelsunternehmen, wie oben aufgeführt, benötigen Geld von Personen, die einen digitalen Ausweis beantragen, um ihre komplexe und kritische Infrastruktur zu unterstützen. Sie überprüfen Ihre Regierungsausweis-ID, um eine bestimmte digitale Identität (öffentlicher Schlüssel) an eine von der Regierung ausgestellte Identität zu binden, die in einfachen Worten Sie ist, uns dann aber auf dem Gebiet der Philosophie führt: "Wer Sind wir? Wie ist die Beziehung zwischen einem Individuum und seiner Identität? Ist es illegal, einen legalen Namen zu verwenden? "

In Italien wiederum etwas Spezifischeres für irgendeine Art von Die einheitliche digitale ID wurde erstellt und heißt SPID (pron. speed, Akronym Sistema Pubblico per l'Identità Digitale , Public System) for Digital Identity ) und wird mithilfe von X.509-Zertifikaten und SAML-Token-Austausch implementiert. Diese Zertifikate können nur zur Authentifizierung verwendet werden. Leider wird das gesamte teure Projekt eine harte Lebensdauer haben.

Zerschmetterte italienische digitale IDs (vor der SPID-Ära)

Bisher haben alle Regierungsstellen versucht, ein eigenes digitales ID-System zu implementieren, damit die Menschen viele Online-Dienste nutzen können. Das Fehlen eines einzigen von der Regierung vorangetriebenen Standards für digitale IDs hat jedoch zu einer Fragmentierung des Marktes geführt.

Die 20 Regionen haben das "CRS" (Carta Regionale Servizi, regionale Gesundheitskarte) implementiert, bei dem es sich im Grunde um Ihre Gesundheitskarte handelt, die mit einem Smartcard-Token erweitert wurde, von dem Wikipedia kein Foto zeigt (aber wirklich) Denken Sie an einen Chip auf demselben Plastiketikett, das Sie jetzt finden. Es enthält ein SSL-Client-Zertifikat, das nur in Ihrer Region gültig ist (keuchen!). Wenn Sie also umziehen, müssen Sie Ihre Karte ersetzen, obwohl sich Ihr Steuerkennzeichen während Ihres gesamten Lebens nicht ändert.

Eine weitere Implementierung offiziell anerkannter IDs war die digitale Signatur. Ja, das stimmt! X.509-basierte Nicht-Ablehnungszertifikate, gespeichert in ... ähm ... das ist der Punkt! Diese Signaturen wurden ursprünglich entwickelt, um PDF / TXT-Dokumenten wie Notar- oder Regierungsakten, aber auch privaten Verträgen einen rechtlichen Wert zu verleihen. Sie mussten auf Smartcards oder USB / SIM-Token bereitgestellt werden, aber ihre Schwierigkeiten bei der Nutzung (eine Workstation mit Lesegerät, Treibern und Software, die OSS-Community ist verärgert) zwangen die Machthaber, HSMs zu genehmigen. Kurz gesagt, sie werden nur in bestimmten regulierten Umgebungen verwendet, in denen Handunterschriften jetzt verboten oder nicht praktikabel sind.

Und dann zertifizierte E-Mails. Dritte Katastrophe im untersuchten Land. Was der OP gefragt hat, ist ein digitales Zertifikat für seine E-Mails, richtig? Riiiiiiiight? Italiener sind schlau, so schlau, dass sie ihr eigenes SMTP mit PEC (Posta Elettronica Certificata, Electronic Certified Mail) neu erfunden haben. Kurze Lektion zu PEC:

  • Der PEC-Adressraum ist von den Internet-Mail-Räumen (RFC822) getrennt. Sie entsprechen dem RFC, aber im Grunde genommen akzeptierte eine PEC-Adresse in der ursprünglichen Form keine E-Mails vom Internet-Host und konnte nur an PEC-Adressräume senden. Dies hat sich geändert, da jetzt die Ausnahme darin besteht, dass eine PEC-zu-E-Mail-Nachricht nicht vollständig zertifiziert ist.
  • ISPs liefern den Nachweis, dass can strike> erforderlich ist, um in offiziellen Handlungen akzeptiert zu werden und Gerichte
  • ISPs bieten auch die Bindung von Adressen an Identitäten mit einem öffentlichen Register
  • Private Schlüssel werden von ISPs gehalten. Sie unterschreiben Ihre Nachricht nicht, sondern mit Ihrer Unterschrift. Beängstigend !!!!

Wenn Sie beispielsweise Herrn Präsidenten Gentiloni offiziell anfragen möchten, senden Sie eine Nachricht an presidenza@pec.governo.it Ich leugne nicht, empfangen zu haben.

Nun zu SPID. Unter der Regierung von Präsident Renzi versuchte Italien schließlich, ein "ID-System zu definieren, das sie alle regiert". SPID sollte den Bürgern den Zugriff auf alle öffentlichen Online-Systeme mit einer einzigen ID ermöglichen. SPID ist derzeit eine Benutzername / Passwort / OTP-Authentifizierung, die nur von 4 Unternehmen ausgestellt wird. Regierungsbehörden sind beauftragt, SPID für öffentlich orientierte Dienste zu unterstützen. In naher Zukunft erwarten wir, dass SPID für die Schule verwendet wird, da Sie sich bereits offline oder online mit oder ohne SPID für die Schule Ihrer Kinder anmelden.

Alle digitalen ID-Systeme leiden unter einer Sache: Menschen ziehen nicht an Ich brauche sie nicht in ihrem täglichen Leben und das ist der Grund, warum sie sich nicht für sie anmelden, selbst wenn sie frei sind. Die digitale Alphabetisierung in diesem Land ist im Vergleich zu anderen Ländern recht gering, und alle Dienste / Büros mit Ausnahme eines, mit offensichtlich keiner englischen Lokalisierung sind ohne eine digitale SPID-ID verfügbar.

Internationales Vertrauen

In der EU wird versucht, digitale Signaturen und digitale IDs länderübergreifend interoperabel zu machen. Bis jedoch eine einzige Liste vertrauenswürdiger Zertifizierungsstellen in ganz Europa erstellt wird, werden in einem bestimmten Land ausgestellte Zertifikate nicht unbedingt einem anderen Land vertraut.

Dies wird durch die eIDAS-Richtlinie gemildert. Es wird viel Zeit brauchen, bis digitale IDs in allen EU-Ländern verwendet werden können. Ziel ist es jedoch, einen einzigartigen "Vertrauensmarkt" entlang des aktuellen "einzigartigen [Währungs-] Marktes" zu schaffen.

Offline vs. Online Vertrauen

Digitale IDs haben wenig mit vertrauenswürdigen Microsoft- und Mozilla-Zertifikaten zu tun. Wenn Sie eine bestimmte Zertifizierungsstelle in der Vertrauensliste Ihres Browsers sehen, bedeutet dies nicht, dass die Zertifizierungsstelle befugt ist, ein Zertifikat auszustellen, das zum Signieren von Revenue Agency-Dokumenten gültig ist. Nein, dies bedeutet, dass die Zertifizierungsstelle ein Zertifikat ausstellen kann, aus dem hervorgeht, dass der Computer "offiziell" auf Anfragen antworten kann, die an " https://www.example.org" gerichtet sind.

Die Stärke und gleichzeitig Komplexität des PKI-Systems selbst ist das Fehlen einer einzigen zentralen Vertrauensliste. Ein solcher Mangel ist das einzige Mittel der Demokratie im Internet, aber hier sind wir wieder: Eine Zertifizierungsstelle muss in alle Listen aufgenommen werden, um "betriebsbereit" zu werden.

Als Beispiel möchte ich Benutzer von fragen Amerika, Ostasien und Ozeanien, wenn ihre Computer dem folgenden Zertifikat vertrauen:

  • Seriennummer: 35 d9 75 94 d1 b6 75 4d b6 36 42 cb b5 ea cf cf
  • Betreff DN: SERIALNUMMER = 97103420580, SN = Sicurezza, G = Ufficio, O =, DigitPA, C = IT
  • Ausgestellt von DN: CN = Ufficio Sicurezza, O = DigitPA, C = IT
  • Gültig bis: 2020-05-17

Hinweis: Mein Windows 10 sagt "Nein"

Dieses Zertifikat ist jedoch ein offizielles staatliches Zertifikat.

Schlussfolgerung

Ich habe ein Beispiel angegeben, in dem eine Zentralregierung oder eine Bank, der die Regierung vertraut, X.509-Zertifikate an Personen ausstellt. Es gibt für mich keinen wirklich guten Grund , dass eine Regierung keine Zertifizierungsstelle ist.

Das OP sollte die rechtliche Gültigkeit einer "Papier" -ID nicht mit dem kommerziellen Mehrwert einer interoperablen "digitalen ID" verwechseln, die effektiv ein kommerzielles Gut ist, das Geld wert ist.

Offenlegung: my Das Unternehmen arbeitet aktiv im steuerlichen Umfeld, in dem unsere Kunden (Finanzbetreiber) gesetzlich dazu verpflichtet sind, digitale Signaturen zu erhalten und ordnungsgemäß zu verwenden. Ich arbeite täglich mit digitalen IDs und behaupte daher, ein "Experte" in diesem Bereich zu sein.

"Ein Pass ist etwas, das Regierungen ihren Bürgern ausstellen müssen, um internationale Reisen zu ermöglichen", möchte dies vielleicht umformulieren.Wenn die Regierung in China Grund zu der Annahme hat, dass Sie sie in Verlegenheit bringen oder sich gegen sie aussprechen, wird sie Ihren Pass verweigern oder stornieren.In den Vereinigten Staaten kann die Regierung Ihren Reisepass auch ablehnen oder stornieren, wenn sie Sie des "X" verdächtigt oder wenn Sie des "Y" schuldig sind.Keine der Regierungen ist verpflichtet, Ihnen einen Reisepass zu geben, wenn sie dies nicht möchten.
Ja Mark, meine Absicht war es, in Zahlen zu sprechen.Dann lass die Zahlen sprechen
Serge Ballesta
2017-01-19 21:04:00 UTC
view on stackexchange narkive permalink

Viele Regierungen haben Zertifizierungsstellen für ihre internen Verwendungen, die sowohl für ihre Mitarbeiter als auch für interne Server verwendet werden. Die korrekte Übermittlung eines persönlichen Zertifikats unterscheidet sich nicht wesentlich von der Übermittlung eines Personalausweises oder eines Reisepasses.

Angenommen, jeder in einem Land gelieferte Personalausweis enthält eine Smartcard und Standardzertifikate mit derselben Gültigkeit wie der Personalausweis. Die zusätzlichen Kosten im Vergleich zu einem einfachen Personalausweis betragen etwa zehn Euro. Im Vergleich zu den Kosten für Mitarbeiter, die die Lieferkette abwickeln, ist dies nicht wirklich teuer.

Wenn jedoch jeder Bürger jetzt über einen starken Zertifikatsspeicher (Smartcard) mit einem von der Regierung garantierten Lieferprozess verfügt und von ihm bescheinigt Glauben Sie, dass dies keine Auswirkungen auf Unternehmen haben wird, die bezahlte Zertifikate liefern, wenn Sie Fragen zur Authentifizierung, digitalen Signatur oder sogar Verschlüsselung stellen? IMHO könnte es von all diesen Unternehmen als unlauterer Wettbewerb angesehen werden. Und das allein reicht weitgehend aus, damit die Regierungen diesen Weg nicht beschreiten ...

Allerdings haben einige Banken bereits Tochterunternehmen, die darauf spezialisiert sind, starke Zertifikate für Smartcards von Angesicht zu Angesicht auszuliefern. Da sie dafür jedoch keine öffentlichen Mittel verwenden, gibt es keinen unlauteren Wettbewerb.

Tarmo R
2017-01-20 15:36:05 UTC
view on stackexchange narkive permalink

Estland ist in dieser Hinsicht das Aushängeschild.

Seit etwa 15 Jahren betreibt unsere Regierung ein PKI-System, bei dem jedem Bürger und legalen ständigen Wohnsitz eine Chipkarte ausgestellt wird Enthält zwei Zertifikate - eines zur Authentifizierung und eines zum Signieren von Dokumenten. Grundsätzlich kann nun jeder eine ähnliche Karte beantragen, die über das estnische E-Residency-Programm an die PKI gebunden ist.

Das Authentifizierungszertifikat wird für die sichere Online-Authentifizierung für zahlreiche Dienste p verwendet >

  • Alle Arten von E-Government-Diensten, sowohl für den persönlichen Gebrauch als auch für die Verwaltung des eigenen Unternehmens.
  • Online-Banking
  • Zugriff auf Ihre Gesundheitsakten
  • Zugriff Jeder private Onlinedienst, der die ID-Kartenauthentifizierung implementiert.

Das Signaturzertifikat kann verwendet werden, um rechtsverbindliche Signaturen für jede Art von digitalem Dokument zu erstellen. Dies vereinfacht die Geschäftsabwicklung erheblich, ohne dass viel Papier bewegt oder von Angesicht zu Angesicht getroffen werden muss, um etwas zu signieren.

Mit demselben System können auch Dokumente für die Übertragung verschlüsselt werden. Auf alle öffentlichen Zertifikate kann in einem zentralen LDAP-Repository zugegriffen werden, wenn Sie die Bürger-ID des Empfängers kennen. Eine Entschlüsselung ist natürlich nur mit der Smartcard möglich, die den entsprechenden privaten Schlüssel enthält.

In ähnlicher Weise werden die sogenannten "digitalen Siegel" an juristische Personen ausgegeben, um digitale Dokumente im Namen eines Unternehmens zu signieren ( Beispielsweise wird ein digitaler Nachweis einer Banküberweisung, die ich von einem Online-Bankportal herunterladen könnte, von der Bank als juristische Person (keine bestimmte Person, die für die Bank arbeitet) unterzeichnet.

Der Betrieb dieser Infrastruktur wurde beauftragt an ein privates Unternehmen, das tatsächlich zwei der größten Geschäftsbanken und der größten Telekommunikationsgesellschaft gehört.

Als Nebenunternehmen verfügt dasselbe Unternehmen auch über eine öffentliche Zertifizierungsstelle in den wichtigsten Browsern, mit denen Serverzertifikate verkauft werden kommerziell.

Adrián Arroyo Calle
2017-01-21 03:59:28 UTC
view on stackexchange narkive permalink

In Spanien können Sie ein Zertifikat wie dieses enter image description here

anfordern, das zum Ausführen einiger Online-Verwaltungsaktionen erforderlich ist. Zum Beispiel, um öffentliche Schulden auf der Website der Bank of Spain zu kaufen oder eine Geburtsurkunde online zu erhalten. FNMT ist die Organisation, die sie emittiert, aber tatsächlich ist es eine Organisation mit langjähriger Geschichte, die Geld druckt. Das Zertifikat kann auch zum Signieren von Dokumenten und vielen anderen Dingen verwendet werden. Sie können es jedoch nicht zum Signieren von Software-Pourposes (nur für Dokumente) verwenden.

Um das Zertifikat zu erhalten, können Sie:

  • Verwenden Sie den DNI-e, den elektronischen Personalausweis, den jeder hat, aber Sie benötigen einen Smartcard-Leser, den nur sehr wenige Menschen haben. Oder ...
  • Gehen Sie zu einem nationalen Finanzamt (Agencia Tributaria), um die Identität zu überprüfen.

Sobald Sie das Zertifikat erhalten haben, können Sie es so oft wie Sie erneuern wollen.

Das FNMT-Stammzertifikat ist in Windows enthalten und funktioniert sofort mit Internet Explorer und Google Chrome. Es gibt einen Fehlerbericht für Mozilla, um ihn in die Distribution aufzunehmen, aber es gab einige Probleme und er ist noch nicht enthalten.

Beachten Sie, dass es dem NSS-Bundle hinzugefügt wurde und in Firefox 53 enthalten sein wird


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...