PostZertifikat - der Sicherheitswitz
Gestern nachmittag bekam ich folgende Nachricht von ccc.postzertifikat@dcl.ch
Geschätzte/r Postzertifikatsbesitzer/in
Der Lieferant der Chip-Karten für das PostZertifikat hat vor kurzem eine neue Version der Treiber-Software für Windows hergestellt. Für Mac und Linux wird dies demnächst der Fall sein. Konsultieren Sie dazu bitte den Download-Bereich auf unserer Webseite.
In der neuen Version ist der Einsatz der Postzertifikate in verschiedenen Anwendungen optimiert. Bitte führen Sie das neue Update gemäss beigelegter Anleitung durch. Beachten Sie dabei, dass Sie das Update erst nach der vollständigen Installation der Zertifikate ausführen.
Link auf die Anleitung für die Installation des Updates
Link auf die neue Treiber-Software für Windows
Wir wünschen Ihnen viele nützliche Anwendungen Ihres PostZertifikats.
Freundliche Grüsse
Die Schweizerische Post
PostMail
Team PostZertifikat
Wichtig für Nutzer von Outlook
Outlook verwendet für die Verschlüsselung zurzeit das falsche Zertifikat. Dieser Umstand kann seitens PostZertifikat nicht automatisch korrigiert werden. Sie müssen daher eine manuelle Einstellung vornehmen. Eine Anleitung dazu finden Sie im Download-Bereich unserer Webseite. Ohne diese manuelle Einstellung können verschlüsselte E-Mails bei Verlust oder Defekt des Chips nicht mehr dargestellt werden.
Darauf habe ich wie folgt geantwortet:
Sehr geehrte Damen und Herren des Teams PostZertifikat
Dieses E-Mail kann wohl nicht ihr Ernst sein.
Als einzige Sicherheitsmassnahme ist zu werten, dass die Datei auf dem Server postzertifikat.ch liegt und der (aufmerksame) Benutzer überprüfen kann, ob die Verbindung zu diesem Server gesichert ist.
Diese Nachricht könnte jeder geschrieben haben, und die Programmbibliothek könnte genausogut ein trojanisches Pferd sein!
Sie widersprechen mit dieser Vorgehensweise allen bis anhin geschaffenen Sicherheitsmassnahmen zum PostZertifikat. Auch wenn es damit nicht direkt möglich ist, dem Empfänger das Zertifikat "abzuluchsen" kann trotzdem enormer Schaden entstehen.
Ich möchte Sie bitten, dies für künftige Informationen an die Kunden zu beachten. Besten Dank im Voraus
Florian Mauchle
PS: Ich habe für Interessierte eine Installationsanleitung für das PostZertifikat unter Windows Vista unter www.mauchle.name/blog veröffentlicht.
Bin gespannt auf die Antwort, die werde ich hier posten.
Geschätzte/r Postzertifikatsbesitzer/in
Der Lieferant der Chip-Karten für das PostZertifikat hat vor kurzem eine neue Version der Treiber-Software für Windows hergestellt. Für Mac und Linux wird dies demnächst der Fall sein. Konsultieren Sie dazu bitte den Download-Bereich auf unserer Webseite.
In der neuen Version ist der Einsatz der Postzertifikate in verschiedenen Anwendungen optimiert. Bitte führen Sie das neue Update gemäss beigelegter Anleitung durch. Beachten Sie dabei, dass Sie das Update erst nach der vollständigen Installation der Zertifikate ausführen.
Link auf die Anleitung für die Installation des Updates
Link auf die neue Treiber-Software für Windows
Wir wünschen Ihnen viele nützliche Anwendungen Ihres PostZertifikats.
Freundliche Grüsse
Die Schweizerische Post
PostMail
Team PostZertifikat
Wichtig für Nutzer von Outlook
Outlook verwendet für die Verschlüsselung zurzeit das falsche Zertifikat. Dieser Umstand kann seitens PostZertifikat nicht automatisch korrigiert werden. Sie müssen daher eine manuelle Einstellung vornehmen. Eine Anleitung dazu finden Sie im Download-Bereich unserer Webseite. Ohne diese manuelle Einstellung können verschlüsselte E-Mails bei Verlust oder Defekt des Chips nicht mehr dargestellt werden.
Darauf habe ich wie folgt geantwortet:
Sehr geehrte Damen und Herren des Teams PostZertifikat
Dieses E-Mail kann wohl nicht ihr Ernst sein.
- Sie verschicken eine Nachricht von einer anderen Domain als postzertifikat.ch
- Sie signieren diese Nachricht nicht
- Sie erwarten, dass die Empfänger eine nicht-signierte Datei von einem Server im Internet herunterladen
- die heruntergeladene Programmbibliothek soll anschliessend eine bisherige im System-Ordner überschreiben.
Als einzige Sicherheitsmassnahme ist zu werten, dass die Datei auf dem Server postzertifikat.ch liegt und der (aufmerksame) Benutzer überprüfen kann, ob die Verbindung zu diesem Server gesichert ist.
Diese Nachricht könnte jeder geschrieben haben, und die Programmbibliothek könnte genausogut ein trojanisches Pferd sein!
Sie widersprechen mit dieser Vorgehensweise allen bis anhin geschaffenen Sicherheitsmassnahmen zum PostZertifikat. Auch wenn es damit nicht direkt möglich ist, dem Empfänger das Zertifikat "abzuluchsen" kann trotzdem enormer Schaden entstehen.
Ich möchte Sie bitten, dies für künftige Informationen an die Kunden zu beachten. Besten Dank im Voraus
Florian Mauchle
PS: Ich habe für Interessierte eine Installationsanleitung für das PostZertifikat unter Windows Vista unter www.mauchle.name/blog veröffentlicht.
Bin gespannt auf die Antwort, die werde ich hier posten.
Labels: Post, Sicherheit, Trojaner, Zertifikate
Eingestellt von FlohEinstein Am/um
08:34
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite