Zertifikat für Verwaltung mit sectigo nutbar mit kofax?

[donald]

No description provided.

[donald]

Verhalten von Kofax bei Unterschriften mit selbstsignierten Zertifikaten

Kofax zeigt - zumindest mit den Standarteinstellungen - sehr wohl zunächst an, dass die
selbstsignierten Zertifikate nicht vertrauenswürdig sind.

Bild 1: https://nc.molgen.mpg.de/cloud/index.php/s/8xxnH4gbRLbPWEQ

Wenn man dann "überprüfen und ihnen vertrauen" mit "ok" bestätigt, kommt man hierhin:

Bild 2: https://nc.molgen.mpg.de/cloud/index.php/s/oQgj3ZNdRWEjgq9

• Natürlich wäre es wichtig, bei einem Erstkontakt mit so einer Signatur zu überprüfen, ob sie tatsächlich
  von der Person kommt, von der sie es behauptet.

Der sicherer, komplizierte Weg führt über "Singnatureigenschaften anzeigen..."

Bild 3: https://nc.molgen.mpg.de/cloud/index.php/s/kZer3eHewPRxWa7

und "Identität prüfen"

Bild 4: https://nc.molgen.mpg.de/cloud/index.php/s/NiAtg2esKYrFNzc

auf eine Seite mit Zertifikat-Hashes, die man sich dann durch den Absender bestätigen
lassen soll. Ich bin relativ sicher, das werden nicht IT-affine Nutzer nicht machen.

Aber wenn die Nutzer auch nur jedes mal, wenn sie die Meldung aus "Bild 1" sehen, kurze
Rücksprache halten würden, bevor sie auf der Folgeseite "Diesem Unterzeichner in Zukunft
immer vertrauen" drücken, wäre auch schon viel gewonnen. "Hey, hast du mit gerade dies
Formular mit einer neuen digitalen Unterschrift geschickt?".

Sectigo-Zertifikate und Kofax

Sectigo-Zertifikate, können vom Benutzer einfach (Doppelklick auf die Datei) in den persönlichen
Windows-Zertifikatsspeicher importiert werden. Sie stehen dann sofort bei Kofax zum Unterschreiben
zur Verfügung

Bild 5: https://nc.molgen.mpg.de/cloud/index.php/s/78DYZjcCjsGWfnE

Die damit gemacht Unterschrift werden bei Kofax auch gleich als vertrauenswürdig
angezeigt

Bild 6: https://nc.molgen.mpg.de/cloud/index.php/s/dnMbPLxpDHZgiym

Weiteres Problem mit Kofax

In diesem letzten Bild zeigt sich aber auch noch ein Problem, warum man der Überprüfung
von Kofax nicht Vertrauen schenken sollte: Die Unterschrift, die visuell aussieht, als ob sie
von Denes Hnisz kommt, wird ebenfalls als vertrauenswürdige angezeigt, allerdings kommt sie
tatsächlich nicht von Denes Hnisz, sondern von DocuSign. Das, was die digitale Unterschrift
bestätigt ist also nicht das, was der Benutzer bei oberflächlichem Blick vermuten könnte.

Also insbesondere in der Buchhaltung sollte klar sein, dass ein PDF, dass digital
mit "Martin Vingron" oder von jemandem aus der GV unterzeichnet ist und bei der
Kofax auch sagt, dass die Unterschrift nicht nur gültig sondern sogar vertrauenswürdig
ist, tatsächlich vom eeinem Betrüger kommen kann, der sich in CEO-Fraud probiert.

Alternative?

Mir ist in den Anleitungsfolien, die ich nochmal hier abgelegt habe

https://nc.molgen.mpg.de/cloud/index.php/s/P9iijykJeCMCC5o

auf Seite vier aufgefallen, dass Kofax "160333 (MPG-VW-UserCA)" im Zertifikatsspeicher
gefunden und angeboten hat. Das ist die Personalnummer von Abdul. Mir ist nicht klar,
warum nicht diese Zertifikate verwendet werden können. Ich kann das nicht selber
nachprüfen, weil ich keinen VW-Account habe. Aber ich könnte mir vorstellen, dass
die erforderlichen Wurzelzertifikate dafür im VAP hinterlegt sind und diese Zertifikate
automatisch "vertrauenswürdig" sind und tatsächlich sind sie ja auch organisatorisch
sicher an eine bestimmte Person gebunden.

Nochmal zu Sectigo

Die Zertifikate könnte man auch verwenden, um email zu signieren und vor allem
(für die bestimmten Empfänger) zu verschlüsseln.

Unabhängig davon, wie das andere Institute vielleicht machen, würde sich ein User hier nur
dann mit Hilfe seines Browsers ein Zertifikat ausstellen können, wenn wir (derzeit nur ich,
aber erweiterbar) diese Person dafür freischalten. Dabei müssen wir zwingend folgende
Policy beachten:

• Vor der Ausstellung eines Zertifikats soll eine persönliche Identifizierung mit einem
  Lichtbildausweis oder andere gültigen offiziellen Dokumenten durchgeführt werden.
• Alternativ ist auch eine Video-Identifizierung oder eine Identifizierung über einen
  Notar möglich.
• Alternativ genügt auch eine bestehende andauernde Beziehung zum Zertifikatnehmer, z.B im
  Rahmen eines Beschäftigungsverhältnisses, wenn hierdurch der Account im IdM (und damit
  der AAI) gesichert ist und zu Beginn eine Prüfung der Identität mit einem vergleichbaren
  Niveau, wie oben beschrieben, stattgefunden hat.

Daraus ergibt sich die Frage, ob die Personalverwaltung bei allen Personen (Beschäftigte aber
auch IT-Gäste) Ausweisdokumente prüft. Falls ja, könnten wir ohne weitere Identifikation
Einladungen an jeden mit E-Mail Adresse @molgen.mpg.de senden, andernfalls müssen wir
die Ausweise prüfen. Aber @vw.molgen.mpg.de ginge in jedem Fall.