Wozu braucht man Nexus Personal?

  • Hallo und guten Tag,
    das Kryptographie-Modul in Form der "personal.dll" von der Nexus-Installation habe ich im Kryptographiemanager eingebunden.
    Ich habe CHIPDRIVE SmartCard Office 2.5 mit Kartenleser
    SCM SCR243. Mein Zertifikat als .pfx-Datei habe ich auf die Karte
    geladen. Aber wozu brauche ich eigentlich die Middleware Nexus Personal, wenn sich der TB das Zertifikat für die digitale Signatur sowieso vom Browser holt anstatt von der SmartCard?
    Braucht man das Nexus-Personal dann noch?
    Liebe Grüße vom Newbie
    Andreji

  • Hi Andreji,


    und willkommen im Forum.
    Nexus Personal ist ein so genannter CryptograficServiceProvider, manche nennen ihn auch Middleware. Diese Software erfüllt zwei Aufgaben:
    - Zwischenglied zwischen dem Hardwaretreiber für eine Chipkarte bzw. deren Betriebssystem (Herstellerabhängig) und der standardisierten PKCS#12-Schnittstelle eines Programmes (hier: TB)
    - Sicherer Speicher für die privaten Schlüssel, wenn du ein Softwaretoken (.pfx, .p12) verwendest.


    Du kannst also mit dem Nexus-Personal mehrere Chipkarten und auch mehrere Softwaretoken ansprechen.
    Mit der Verwendung der personal.dll hast du ihn richtig eingebunden (woher wusstest du das?)


    Was mich wundert, das ist dieser Satz: "Mein Zertifikat als .pfx-Datei habe ich auf die Karte geladen."
    Wenn du eine richtige Prozessorchipkarte hast, dann ist der private-Key auf dieser Karte hochsicher aufgehoben. (Evaluierte Prozessorchipkarten gelten als das sicherste Speichermedium für kryptologische Langzeitgeheimnisse, also für den private-Key.) In einem gut arbeitenden Trustcenter werden die geheimen Schlüssel sogar direkt durch den auf der Karte befindlichen kryptologischen Rauschgenerator erzeugt und diese Schlüssel verlassen NIE die Karte. Bei der Nutzung einer derartigen Karte benötigst du zwingend einen CSP/eine Middleware wie den Nexus-Personal.


    Wenn du aber nur ein (billiges) Softwaretoken mit deinem Schlüsselpaar besitzt, dann KANNST du selbstverständlich auch den Nexus-Personal benutzen, aber einen richtigen Grund dafür gibt es nicht. Der CSP des Thunderbird ist dafür völlig ausreichend. Der private-Key wird verschlüsselt (=> Masterpwaswort) in der Datei "kex3.db" gespeichert. Mir ist auch unklar, wozu du die Schlüsseldatei auf eine (sicherlich "dumme" Speicher-)Chipkarte lädtst. Dort ist der private-Key so "sicher" aufgehoben, wie auf einem Memory-Stick :-)
    Du hast also mit der Chipkarte und dem Kartenleser nur eine Schein-Sicherheit.


    Der Thunderbird und auch der Firefox holen sich die Zertifikate und die Schlüssel (private-Key) nicht "vom Browser". Beide Programme haben jeweils einen völlig eigenen Speicher (s. oben). Auch der Variablenspeicher der WinDOSe hat mit dem Browser an sich nichts zu tun. Der Browser ist nur eine der Möglichkeiten, auf diesen Speicher zuzugreifen bzw. die öffentlichen Schlüssel und Zertifikatsdaten anzeigen zu lassen. Mozillaprodukte ignorieren diesen Speicher, sicherlich nicht nur, weil ein Linuxrechner oder ein Mac über ein derartiges M$-Produkt nicht verfügen. Vielleicht auch aus anderen Gründen ... .


    Und nebenbei: Wenn du einen neuen Rechner mit dem zu Unrecht vielgeschmähten TPM-Chip hast, dann kannst du deine .pfx-Datei auch durch diesen importieren lassen. Dieser Chip ist nichts anderes als eine "auf dem Bord befindliche Prozessorchipkarte". Sogar mit eigenem Rauschgenerator und viel Platz zum hochsicheren Speichern weiterer Daten. Was die (Musik- und Software-)Industrie mit diesem Chip machen will, ist eine andere Sache.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Lieber Peter,
    vielen Dank für die ausführliche Antwort.
    Zuerst zu Deiner Frage, woher ich das mit der "personal.dll" wußte.
    Nun, aus Deinen bisherigen Beiträgen in diesem Forum - vielen Dank dafür. Das Dumme ist jetzt, daß ich gar nicht weiß, was für eine Karte ich habe, eine tolle Prozessorkarte oder nur ein dummes Ding.
    Also ich habe über Ebay "CHIPDRIVE SmartCard Office 2.5 inclusive einer "Masterkey Card" mit 8k gekauft. Ebenfalls über Ebay habe ich den Reader/Writer SCM SCR243 gekauft. Dann habe ich mir - nach dem Lesen Deiner Beiträge - von D-Trust, Berlin, Nexus Personal gekauft. War übrigens alles unerhört günstig zu haben.
    Nun, ich hatte mir ursprünglich vorgestellt, mit meinem Zertifikat (Trustcenter, Hamburg) auf der Karte einfach an einem anderen PC digital signieren zu können. Vielleicht noch mit meinen E-Mail-Zugangsdaten da drauf usw. Aber ich fürchte, daß ich hier mit meinem - noch - Halbwissen einem schweren Verständnisfehler aufgesessen bin.
    Also, meine Frage an Dich: was für eine Karte habe ich überhaupt? Auf der CHIPDRIVE-Website bin ich nicht schlau draus geworden.
    Und kann ich das Sytem so "fahren", daß meine .pfx sich ausschließlich auf der Karte befindet und nirgendwo sonst in den Untiefen von WXP? Und habe ich jetzt nur die von Dir bezeichnete "Scheinsicherheit" oder kann ich da noch mehr draus machen?
    Den TPM-Chip habe ich übrigens - zum Glück - nicht, möchte ich doch meine Freiheit noch so lange wie möglich genießen können, bevor es irgendwann zur EU-Diktatur kommt.
    Dem Forum habe ich entnomen, daß Du beruflich mit diesen ganzen Dingen zu tun hast - sicherlich sehr interessant.
    Grüße
    Andreji

  • Hi Andreji,


    Wenn du deine Karte im Nexus-Personal erkennst, dann kannst du mit Doppelklick darauf die so genannten "Token-Informationen" abrufen.


    u. a.:
    Hersteller
    Profil
    Typ: < Beispiel (!): Siemens CardOS M 4.3 >


    Die o.g. ist eine echte Prozessorkarte, es gibt aber auch viele andere. Diese Bezeichnung brauche ich, um was dazu zu sagen. Du kannst auch den Typ deiner Karte in google eingeben.


    Unterhalb der "Token-Informationen" siehst du das Feld "Zertifikate" Je nachdem, was dein Z. gekostet hat, steht dort "Class-1-Zertifikat" (kostnix ...) oder "Fortgeschrittene Signatur (Name)" oder sogar "Qualifizierte Signatur". Die letztere trifft 100pro nicht zu. Mit Doppelklick auf diesen Eintrag kannst du dir den Inhalt des Zertifikates ansehen.


    Es soll wohl auch Billigkarten geben, in welche du nachträglich eine als Softwaretoken vorliegende Schlüsseldatei importieren kannst. Aber solchen Spielkram kenne ich nur theoretisch.


    Siehst du dein Zertifikat?


    Fakt ist, dass du auf jedem Rechner, an dem du mit Karte (!) signieren willst, einen Kartenleser, dessen Treiber und den installierten Nexus-P. haben musst. Und in das jeweilige Mailprogramm musst du dann auch den CSP (personal.dll) richtig einbinden ... . Damit eckst du schon mit den Lizenzbestimmungen für den Nexus-P. an. (Wollte ich nur gesagt haben.)


    Was hast du für ein Zertifikat (kostnix oder ein fortgeschrittenes)?
    An einem öffentlichen Rechner (Internetcaffee ...) sollte man so wie so nicht mit Zertifikaten hantieren. Auch wenn die Wahrscheinlichkeit gegen Null geht, dass jemand von einer richtigen Karte den private-key lesen kann (das ist "mit an Sicherheit grenzender Wahrscheinlichkeit" nicht möglich!). Auf einem Bürorechner mit sauberer Benutzerkontentrennung, einem guten Passwort und auch sonstiger Beachtung der allgemeinen Regeln der IT-Sicherheit kann man auch ein Schlüsselpaar für ein fortgeschrittenes Zertifikat beruhigt in den Nexus-Personal importieren. Da bei jedem Zugriff (!) auf den private-key die Abfrage der PIN kommt, kann gar nichts passieren - eine ordentliche PIN/PW vorausgesetzt. Und auf einem privaten Rechner mit den o.g. Voraussetzungen habe ich auch keine Bauchschmerzen, wenn die Schlüsseldatei direkt in den Passwortmanager des TB importiert wird. Hier erfolgt zwar keine Abfrage der PIN, weil der PW-Manager das mit dem Master-PW macht, aber bei einem Einzelbenutzer und einem guten Master-PW ist das schon ok so.
    Und über die Kostnix-Werbezertifikate brauchen wir uns nicht unterhalten ... .


    Bei dem TPM-Chip solltest du lernen zu unterscheiden zwischen einem hochwirksamen Sicherheitsfeature und dem was die (Musik- und Software-)Industrie damit vor hat. Klar wollen und werden sie diese Möglichkeiten nutzen, um den achso bösen Raubkopieren das Handwerk zu legen. Irgendwann einmal wirst du nicht mehr gefragt werden, ob du den TPM haben willst. Du wirst ihn benötigen, wenn du eine bestimmte Software installieren willst. Dass uns das nicht passen wird, und damit meine ich selbstverständlich nicht diejenigen, die eine kommerzielle Software kostenlos nutzen wollen, sondern ich meine die Open-Source-Scene, ist unbestritten. Und dass ein gewisser Wolfgang nicht schlafen kann, wenn er daran denkt, dass "gewisse Leute" ihre Mails und Daten verschlüsseln oder gar noch ihre sonstigen digitalen Spuren versuchen zu verwischen, ist unbestritten, er sagte ja selbst so was. Und dass "seine Beamten, die ihm das Internet ausdrucken" die Mittel der elektronischen Signatur eben gegen dieses Verschleiern der digitalen Spuren einsetzen werden, ist auch nur eine Frage der Zeit.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!