Anwendungsgebiete der Bay. Verwaltungs-PKI

Sichere E-Mail
Eine verschickte E-Mail passiert auf ihrer Reise mehrere Server Knotenpunkte. Dies können E-Mail Server, Router, Firewalls o.ä. sein. Auf jedem dieser Knotenpunkte sowie unterwegs, durch Belauschen des Netzwerkverkehrs, kann der Inhalt der E-Mail gelesen und auch verändert werden.
Um das zu verhindern verwendet man "sichere E-Mail". D.h. um das Mitlesen der E-Mail zu verhindern wird diese verschlüsselt. Um sicherzustellen, das der Inhalt der Nachricht nicht verändert wurde und um die Identität des Absenders sicherzustellen, wird die Nachricht signiert.

SSL
Sie kennen es vom Online Shopping und Online Banking. Mehrfach übertragen Sie persönliche und höchst schützenswerte Daten (Adresse, Kreditkartennummer, PIN, TAN, ...) über das Internet - ein Medium in dem jeder alle Informationen mitlesen kann (eine gewisse Fachkenntnis ist natürlich vorauszusetzen).
Um die schützenswerten Daten auch vertraulich zu halten und nur dem zugänglich zu machen für den Sie bestimmt sind, wurde SSL entwickelt. Im Wesentlichen geht es darum, dass sich vor Verbindungsaufbau die beteiligten Komponenten gegenseitig ausweisen, d.h. identifizieren, und anschließend nur verschlüsselt kommunizieren. Man kann SSL in einseitiger oder zweiseitiger Authentifizierung betreiben. Welcher Modus gewählt wird, hängt von der Konfiguration des Ser-vers ab. Bei der einseitigen Authentifizierung legt nur eine der beiden Komponenten (Client oder Server) ein Zertifikat vor. In fast allen Fällen ist das der Server. Bei der beidseitigen Authen-tifizierung identifziert sich erst der Server gegenüber dem Client und anschließend identifiziert sich der Client gegenüber dem Server. Dieser Modus ist bisher recht selten anzutreffen, dafür aber bestens geeignet um auf diversen Webseiten die Anmeldung per Nutzername und Passwort durch eine zertifikatsbasierte Anmeldung zu ersetzen.

2 Faktor Authentifizierung
Die 2 Faktor Authentifizierung ist eine Kombination der beiden Authentifizierungsmethoden Besitz und Wissen. Smartcards der bayerischen Verwaltungs-PKI können anstelle eines RSA-Tokens zur 2 Faktor Authentifizierung, z.B. am SSL-Proxy, verwendet werden. Der Besitz ist die Smartcard, das Wissen wird durch die PIN repräsentiert.

IPSec
IPSec stellt eine Sicherheitsarchitektur für die Kommunikation über IP Netzwerke zur Verfügung. So sollen die Schutzziele Vertraulichkeit, Authentizität und Integrität gewährleistet werden. Die Verbindung zwischen PKI und IPSec stellt die zertifikatsbasierte Authentifizierung (ähnlich SSL) der beteiligten Komponenten dar.

Windows LogOn
Das zertifikatsbasierte Windows LogOn ermöglicht es dem Anwender sich anstelle mit Nutzername und Passwort mit einem auf einer Smartcard gespeicherten Zertifikat am PC anzumelden. Voraussetzung ist u.a. ein in das Active Directory integrierter PC und Account.

Serverauthentifizierung
Bei der Serverauthentifizierung legt der Server dem Client vor erfolgreichem Verbindungsaufbau sein Zertifikat vor und stellt so seine Authentizität sicher.

Clientauthentifizierung
Bei der Clientauthentifizierung legt der Client dem Server vor erfolgreichem Verbindungsaufbau sein Zertifikat vor und stellt so seine Authentizität sicher. Man unterscheidet dabei noch zwischen der Clientauthentifizierung einer Maschine und der einer Person.

Dokumentensignatur
Wenn Sie von jemandem ein Dokument zugeschickt bekommen, können Sie nicht sicherstellen, ob das Dokument unverfälscht ist und ob es auch derjenige geschrieben hat, der es vorgibt. Durch die Signatur von Dokumenten, d.h. das elektronische Unterschreiben, wie es z.B. in MS Word oder Adobe Acrobat möglich ist, können Sie die Authentizität und Integrität sicherstellen.

Code Signing
Ein Code Signing Zertifikat ermöglichst es ihre Software zu signieren. Dies ist inbesondere für ActiveX Komponenten sinnvoll, die über das Web verteilt werden sollen. Der Nutzer kann sich bei signierten Software-Komponenten versichern wer die Software erstellt hat und ob die