PostZertifikat - Antwort auf mein Mail

Heute Mittag kam die Antwort auf mein Mail (siehe unten)

Sehr geehrter Herr Mauchle

Vielen Dank für Ihre Mitteilung.

Gerne haben wir Ihr Mail als Verbesserungsvorschlag an die zuständige Stelle weitergeleitet. Bei weiteren Versänden werden wir dies gerne berücksichtigen.
Wir sind jederzeit froh über Feedback und danken Ihnen für die erwähnten Punkte.

Wir hoffen Ihnen momentan mit diesen Angaben weitergeholfen zu haben und wünschen Ihnen einen schönen Tag.

Freundliche Grüsse

EDIT: Name der Absenderin entfernt

PostZertifikat - der Sicherheitswitz

Gestern nachmittag bekam ich folgende Nachricht von ccc.postzertifikat@dcl.ch

Geschätzte/r Postzertifikatsbesitzer/in
Der Lieferant der Chip-Karten für das PostZertifikat hat vor kurzem eine neue Version der Treiber-Software für Windows hergestellt. Für Mac und Linux wird dies demnächst der Fall sein. Konsultieren Sie dazu bitte den Download-Bereich auf unserer Webseite.

In der neuen Version ist der Einsatz der Postzertifikate in verschiedenen Anwendungen optimiert. Bitte führen Sie das neue Update gemäss beigelegter Anleitung durch. Beachten Sie dabei, dass Sie das Update erst nach der vollständigen Installation der Zertifikate ausführen.
Link auf die Anleitung für die Installation des Updates
Link auf die neue Treiber-Software für Windows
Wir wünschen Ihnen viele nützliche Anwendungen Ihres PostZertifikats.
Freundliche Grüsse
Die Schweizerische Post
PostMail
Team PostZertifikat
Wichtig für Nutzer von Outlook
Outlook verwendet für die Verschlüsselung zurzeit das falsche Zertifikat. Dieser Umstand kann seitens PostZertifikat nicht automatisch korrigiert werden. Sie müssen daher eine manuelle Einstellung vornehmen. Eine Anleitung dazu finden Sie im Download-Bereich unserer Webseite. Ohne diese manuelle Einstellung können verschlüsselte E-Mails bei Verlust oder Defekt des Chips nicht mehr dargestellt werden.


Darauf habe ich wie folgt geantwortet:

Sehr geehrte Damen und Herren des Teams PostZertifikat
Dieses E-Mail kann wohl nicht ihr Ernst sein.

• Sie verschicken eine Nachricht von einer anderen Domain als postzertifikat.ch


• Sie signieren diese Nachricht nicht


• Sie erwarten, dass die Empfänger eine nicht-signierte Datei von einem Server im Internet herunterladen


• die heruntergeladene Programmbibliothek soll anschliessend eine bisherige im System-Ordner überschreiben.

Als einzige Sicherheitsmassnahme ist zu werten, dass die Datei auf dem Server postzertifikat.ch liegt und der (aufmerksame) Benutzer überprüfen kann, ob die Verbindung zu diesem Server gesichert ist.
Diese Nachricht könnte jeder geschrieben haben, und die Programmbibliothek könnte genausogut ein trojanisches Pferd sein!
Sie widersprechen mit dieser Vorgehensweise allen bis anhin geschaffenen Sicherheitsmassnahmen zum PostZertifikat. Auch wenn es damit nicht direkt möglich ist, dem Empfänger das Zertifikat "abzuluchsen" kann trotzdem enormer Schaden entstehen.
Ich möchte Sie bitten, dies für künftige Informationen an die Kunden zu beachten. Besten Dank im Voraus
Florian Mauchle
PS: Ich habe für Interessierte eine Installationsanleitung für das PostZertifikat unter Windows Vista unter www.mauchle.name/blog veröffentlicht.

Bin gespannt auf die Antwort, die werde ich hier posten.

Post-Zertifikat in Vista, 2. Teil

So, mittlerweile geht's ein Stück weiter:
Die Post hat mir ein Mail geschickt mit der URL, wo ich mein Zertifikat herunterladen kann - aber Achtung, wer als Default-Browser Firefox installiert hat sollte VORHER die Anleitung für Firefox lesen. Sonst geht's spätestens bei Teil 3 schief.

Teil 1: Das Laden der-Zertifikats
Nachdem man sich unter der gemailten URL mittels Seriennummer authentifiziert hat bekommt man das erste Zertifikat,

auth2007_<Vorname>_<Zweitname>_<Nachname>.ss7

Eine Seite weiter gibt's das zweite Zertifikat,

qual2007_<Vorname>_<Zweitname>_<Nachname>.ss7
(Hier sei angemerkt: Wieso heisst das Ding qual...? Ist schliesslich nicht QUALifiziert, Mogelpackung das...).

Nach einem Klick auf weiter kommt nun eine Webpage mit Warnhinweis - noch nicht weiterklicken!

Teil 2: Zertifikate auf den Chip laden
Nun müssen diese beiden Dateien auf den Dongle geladen werden - bzw. eigentlich auf den Chip der drin ist. Am USB-Port einstecken und dann die Files rüberladen mit

\Program Files\PostZertifikat\HELPER_Tool\CertImporter.exe auth2007_<Vorname>_<Zweitname>_<Nachname>.ss7

und

\Program Files\PostZertifikat\HELPER_Tool\CertImporter.exe qual2007_<Vorname>_<Zweitname>_<Nachname>.ss7

Zur Sicherheit sollten Sie den Dongle nun aus- und wieder einstecken.

Teil 3: Das Verschlüsselungszertifikat laden
Im Browser können Sie nun wieder auf "Weiter" klicken - wenn das System für die Authentifizierung gegenüber der Seite das Zertifikat auf dem Dongle findet ist alles in Ordnung. Ausserdem wird der Browser das Root-Zertifikat von Swiss Sign importieren wollen. Müssen wir wohl zulassen...
Nun kommt das letzte File, das Verschlüsselungszertifikat.

crypt2007_<Vorname>_<Zweitname>_<Nachname>.ss12


Speichern und ähnlich wie in Schritt 2 mit

\Program Files\PostZertifikat\HELPER_Tool\CertImporter.exe crypt2007_<Vorname>_<Zweitname>_<Nachname>.ss12

auf den Chip laden.

Tja, leider war's das - habe noch keine Software unter Vista gefunden die nun die Zertifikate von dort verwenden kann - es scheint so als ob die Software Siemens Hipath SIcurity Card API in der Version 3.1 B (Build 23) noch nicht Vista-fähig ist. Gegooglet und noch nichts gefunden, sobald ich was habe melde ich es hier.

EDIT: Es läuft! Zumindest teilweise. Die Zertifikate funktionieren in Vista mit Microsoft Office Outlook 2003, Mozilla Firefox 2.0, Internet Explorer 7.0.
An Thunderbird arbeite ich noch...

Post Zertifikat unter Windows Vista installieren

Seit einigen Tagen kriegt man nun bei der Schweizer Post Zertifikate. Die Installations-CD ist zwar nicht für Windows Vista geeignet, man kann es aber trotzdem installieren. Hier die Anleitung:



0. Trotz Fehlermeldungen und anscheinlicher Effektlosigkeit das Autorun auf der CD ausführen.

1. Von der CD die Datei
Disk1\InstData\Resource1.zip
öffnen. Wir benötigen von hier den Ordner

$IA_PROJECT_DIR$\SwissPostResources\Components

2. Nun benötigen wir die Treiber für den OmniKey-Kartenleser. Das Produkt selbst heisst CardMan Dongle USB 6121 (CCID). Wir brauchen den PC/SC-Treiber und den API-Treiber .

Dekomprimieren Sie beide in Verzeichnisse ihrer Wahl, z.B. C:\Omnikey

3. Stecken Sie den Dongle zum ersten Mal ein. Wenn Windows ihn erkennt und nach dem Treiber fragt geben Sie das entsprechende Verzeichnis an, z.B.
C:\OmniKey\CardMan3x21 PCSC driver V1.1.1.6.
Fragt es nicht nach dem Treiber sollten Sie diesen manuell über den Gerätemanager austauschen.
EDIT: Gerade herausgefunden: Vista findet beim nächsten Windows Update den neuen Treiber automatisch und lädt diesen herunter - eine schöne Vereinfachung.

4. Als nächstes benötigen wir den OmniKey API-Treiber. Starten Sie das Setup aus dem entsprechenden Verzeichnis, z.B.
C:\OmniKey\CT-API_V4_0_2_1\setup.exe.
Wenn dieses nun den Leser "OMNIKEY CardMan 6121 0" erkennt hat es mit dem Treiber schon mal geklappt.

5. Nun kommt die PostSoftware. Kopieren Sie die Dateien aus den Components-Unterordnern wie folgt:

Components\HELPER_Tool\Windows\SIECADIR\bin nach
Program Files\PostZertifikat\HELPER_Tool

Components\PIN_Tool\Windows\SIECADIR\bin nach
Program Files\PostZertifikat\PIN_Tool

Components\Software_Chipkarte\Windows\WINDIR nach
Windows\System32

Components\Software_Chipkarte\Windows\SIECADIR\bin nach
Program Files\PostZertifikat\PIN_Tool

6. Das Anpassen der PIN. Nun muss vor der ersten Verwendung die Transport-PIN auf eine eigene PIN geändert werden. Dies geschieht

mit dem Programm Program Files\PostZertifikat\PIN_Tool\siecapin.exe

7. So, nun warte ich auf das Zertifkat von der Post, ich dieses erhalte werde ich die weiteren Punkte hier melden. Wahrscheinlich geschieht dies mit dem Programm
Program Files\PostZertifikat\HELPER_Tool\CertImporter.exe.

Brief von Peter Schneider - Die Musik

Ich höre ja seit langem gerne Peter "Was bisher geschah" Schneider auf DRS 3 - und immer war da diese markante Musik im Hintergrund; die Fans von "Der Brief von Peter Schneider" wissen was ich meine. Nun habe ich heute abend endlich rausgefunden wie das Stück heisst - DRS 2 Klangfenster sei Dank!

Typewriter von Leroy Anderson.

Ein witziges Musikstück bei dem das Hauptinstrument eine gute alte Schreibmaschine mit "bling" am Schluss ist