Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

02.02.2001 - 

Dritte Generation kann SSL unterstützen

Die Sicherheit bei Mobiltelefonen bereitet noch Kopfzerbrechen

FRAMINGHAM (IDG) - Viele Organisationen setzen große Hoffnungen in Mobile Commerce. Doch noch sind Probleme zu lösen. Es gibt nach Meinung von Experten zwar bereits sichere Transaktionen, sie erfordern allerdings eine Vielzahl verschiedener Technologien.

Ein einheitliches Sicherheitsmodell steht auf der Wunschliste der meisten Anwender. Am einfachsten wäre es, die im Umgang mit dem Internet üblichen Vorkehrungen auch für drahtlose Endgeräte zu übernehmen. Doch der elektronische Handel in der verkabelten Welt setzt auf Secure Sockets Layer (SSL) auf, das unter anderem Persönliche Identifikationsnummern (PINs), Passwörter und Kreditkartennummern transportiert.

Doch bei der Übertragung dieses Modells auf die drahtlose Welt kommt es zu Schwierigkeiten: WAP-Handys sind beispielsweise sehr begrenzt in ihrer Kapazität. Ihnen fehlen Rechenleistung und Speicherplatz für eine RSA-Verschlüsselung, ein zentrales Element von SSL. Stattdessen besitzen sie mit Wireless Transport Layer Security (WTLS) ihr eigenes Sicherheitsprotokoll, das weniger Ressourcen verbraucht. Unglücklicherweise ist WTLS nicht kompatibel zu SSL.

Konvertierung bleibt SicherheitsrisikoEs muss also eine Konvertierung erfolgen. Sie stellt jedoch ein Sicherheitsrisiko dar, weil die Nachricht für einen winzigen Moment auf einem Gateway unverschlüsselt vorliegt. Manche Beobachter sehen darin eine unverzeihliche Sicherheitslücke, andere haben deswegen keine schlaflosen Nächte. Sie argumentieren, es sei unwahrscheinlich, dass jemand es schaffe, in das Carrier-Netz einzubrechen und die Daten zu genau dem gefährlichen Moment aufzuzeichnen.

Einige Firmen haben es geschafft, diese Klippe zu umschiffen, etwa Phone.com aus Redwood City, Kalifornien. Phone.com bietet Ende-zu-Ende-Sicherheit mit SSL und WTLS. Eine Neuverschlüsselung am Carrier-Gateway entfällt durch den Aufbau eines WTLS-Tunnels, der den Datentransport ohne Entschlüsselung erlaubt.

Neben der Verschlüsselung besteht ein weiteres Sicherheitsproblem in der Authentisierung. Auch diese Herausforderung lässt sich lösen. Eine Public-Key-Infrastruktur (PKI) bestätigt die Identität des Senders. Dabei greift sie auf Zertifikate und Schlüssel zurück, die jedem Benutzer zugeordnet werden. PKI-Produkte für drahtlose Übertragung sind jedoch erst am Entstehen. Zertifikate werden bei jeder Transaktion übertragen und müssen von Drittfirmen bestätigt werden.

In Zukunft könnte auch die Biometrie für Mobiltelefone interessant werden. Die Identifizierung über Fingerabdrücke, Eigenheiten der Stimme oder der Netzhaut hätte den Vorteil, dass auch ein Dieb nichts mehr mit einem gestohlenen Gerät anfangen kann. Allerdings soll die Technologie erst 2004 ein Preis-Leistungs-Verhältnis erreichen, das die Integration in PDAs und Handys möglich macht.

Viele Hindernisse auf dem Weg zur sicheren Nutzung von Mobiltelefonen lösen sich mit der Verbreitung der dritten Mobilfunkgeneration in Luft auf. 3G-Handys verfügen über genügend Rechenkapazität, Speicher und Bandbreite, um SSL von Ende zu Ende zu implementieren. Durch die Kombination solcher Handys mit Smartcards und Biometrie hätten Firmen endlich ein einheitliches Sicherheitssystem für die konventionelle und die drahtlose Welt.