Patterns
- Abwesenheit von Hinweisen
- Aktive Warnungen
- Bemerkbare kontextabhängige Hinweise
- Deaktivieren von Sicherheitsfunktionen
- Detaillierte Sicherheitsmitteilungen
- Dialoge mit Handlungsempfehlungen
- Direkte Mitteilungen
- Direkte Optionen
- Direkter Zugang zu UI-Komponenten
- E-Mailgestützte Identifikation und Authentifizierung
- Empfehlungen bereitstellen
- Empfohlene Optionen
- Erstelle Keys bei Bedarf
- Erstellung eines Security-Lexikons
- Explizite Prüfung durch Nutzer
- Explizites Löschen von Einträgen
- Gefahrenstufen
- Generelle Sicherheitsbenachrichtigungen
- Hinweise auf abweichendes Verhalten
- Hinweise auf eingeschränkte Bereiche
- Hinweisen auf Bedrohungen & Konsequenzen
- Indirekter Zugang zu UI-Komponenten
- Informative Dialoge
- Installiere vor der Ausführung
- Kontinuierliches Schlüssel-Management
- Kurze Beschreibung von UI-Komponenten
- Lokalisierung spezifischer Bereiche
- Nutzeraktivierte Sicherheitsfunktionen
- Redundante Hinweise
- Reset auf Installation
- Sende S/MIME-signierte E-Mails
- Sequentieller Zugriff auf UI-Komponenten
- Sicherheit nach Fehlern
- Sicherheitsmaßnahmen des Systems
- Standardmäßiges Deaktivieren von Funktionen
- Systemgenutzte Sicherheitsfunktionen
- Trennung von Warnhinweis und Webseite
- Unterscheidbare Sicherheitsebenen
- Unterscheide zwischen Run und Open
- Unterscheidung von internen Absendern
- Unwiderrufliches Löschen
- Verfolge empfangene Schlüssel
- Verfolge Empfänger
- Verzögerte unwiderrufliche Aktionen
- Warne bei Gefahr
- Wirksame Nutzung existierender Identifikationsmethoden
- Übertrage und sichere Keys
Patterns basieren auf wissenschaftlichen Quellen.
Usable Security Pattern - Kontinuierliches Schlüssel-Management
Luigi Lo Iacono, Peter Nehren
- Januar 2016
Kontinuierliches Schlüssel-Management
| Name | Kontinuierliches Schlüssel-Management |
| Quellen | (Garfinkel, 2005) |
| Synonyme | Keine |
| Kontext | Viele der heutzutage genutzten SSL- und S/MIME-Zertifikate sind nicht von wohlbekannten Zertifikat-Autoritäten (CA) signiert. Dadurch zeigen manche SSL-Clients (beispielsweise Internet Explorer) und S/MIME-Clients (beispielsweise Outlook Express) Fehler an. |
| Problem | Wie verhindert man diese Fehlermeldungen der SSL-Clients? |
| Lösung | Nutze lieber selbstsignierte oder durch unbekannte CA signierte Zertifikate für bestimmte Zwecke, die einer sicheren Benutzbarkeit dienen, als komplett auf Zertifikate zu verzichten. Hierdurch wird die Nutzung von automatisch erzeugten, selbstsignierten Zertifikaten möglich, erstellt von Individuen oder Organisationen, die nicht willig sind oder denen es nicht möglich ist, Zertifikate von wohlbekannten CAs zu erhalten. |
| Beispiele | Verfolgung von Severschlüsseln bei SSH-Clients.  Quelle: (Garfinkel, 2005) |
| Implementierung | Wenn Zertifikate während der Authentifikation erhalten werden und diese Zertifikate nicht von wohlbekannten CAs signiert werden, soll das System die Signatur verifizieren und diese mit einer lokalen Identitäten-Datenbank abgleichen. Wurde die Identität nicht gefunden, wird diese und das Zertifikat hinzugefügt. Ist die Identität vorhanden, aber das Zertifikat der Datei für diese Identität abweichend, wird eine Warnung angezeigt. Wird eine Identität gefunden, die nicht digital zertifiziert wurde und die Datei für diese Identität hat ein passendes Zertifikat, wird ebenfalls eine Warnung angezeigt. |
| Konsequenzen | Selbstsignierte oder von unbekannten CA signierte Zertifikate werden zugelassen und in einer Weise benutzt, die kontinuierlich Identitäten verifiziert. |
| Abhängigkeiten | Keine |
| Beziehungen | [Verfolge empfangene Schlüssel] [Erstelle Keys bei Bedarf] |
| Prinzipien | [Gute Sicherheit jetzt] |
| Richtlinien | Keine |
| Check Listen | Keine |
| Use cases | Keine |
| Tags | Kontinuierliches Schlüssel-Management, Verfolge empfangene Schlüssel, Key Management, Erstelle Keys bei Bedarf, Authenticity |
| Log history | [03/16/2016]: Translated to German |
Referenzen
Garfinkel, S.L., 2005. Design principles and patterns for computer systems that are simultaneously secure and usable (PhD thesis). Massachusetts Institute of Technology.