Sichere Visitenkarten

by Sebastian Bicchi

5.6.2017

Visitenkarten mit S/MIME Zertifikat zum Scannen

Als für unser Unternehmen Visitenkarten geplant wurden, fragten wir uns:

  • Gibt es sichere und unsichere Visitenkarten?
  • Kann man mit Visitenkarten dazu anregen, verschlüsselte E-Mails zu schreiben?
  • Wie lässt man seine Kunden am Besten wissen, dass man auch verschlüsselt erreichbar ist?
  • Wie erspart man dem Kunden das manuelle Importieren des Zertifikats? 


Um Missverständnisse zu vermeiden: Bei "Visitenkarten" handelt es sich einerseits um physische, auf Papier gedruckte Karten als auch um digitale VCards (.vcf). Zum besseren Verständnis verwende ich "Visitenkarte" für die Papierform und VCard für die digitale Version

Uns war das Zielbild schnell klar: Wir wollten einen QR-Code auf der Rückseite unserer Visitenkarte, der beim Einscannen ein Zertifikat an den Benutzer liefert. Was sich zunächst einfach anhört war nicht ganz so einfach umzusetzen.

Anforderungen

Unsere gewählten Anforderungen an die Lösung lauteten wie folgt:

  • Usability: Der Benutzer der Visitenkarte soll sich nicht mit dem Import von Zertifikaten herumschlagen müssen - es soll so einfach wie möglich sein
  • Wartung: Die Zertifikate werden im zentralen Verzeichnisdienst LDAP hinterlegt und sollen von dort auch an den Kunden geliefert werden
  • Sicherheit: Wir wollten keine direkte oder indirekte Schnittstelle vom WAN zu unserem LDAP
  • Datenschutz: Nur jemand, der eine Visitenkarte erhält, soll auf Informationen wie Telefonnummer Zugriff haben (insbesondere für Mitarbeiter im Innendienst). 
  • Aktualität: Physische Visitenkarten können einige Zeit überdauern bis sie Beachtung finden. Wenn ein Empfänger einer Karte diese ein Jahr später benutzt, sollen das Zertifikat und andere Daten aktuell sein

Damit war klar, dass der QR-Code auf den Karten nicht das Zertifikat enthalten kann, sondern nur einen Link zum Zertifikat. Weitere Ausschlussgründe für "Zertifikat im QR Code" waren:

  • Der QR Code wurde schlicht und einfach zu groß und damit nicht mehr gut leserlich
  • Ein QR Code kann zwar eine VCard mit Zertifikat ausliefern, jedoch unterstützten die getesteten Geräte das nicht
  • Nur einen QR Code auszuliefern, schränkt Benutzer ein, die keinen QR Code Scanner zur Verfügung haben (z. B. Desktop Benutzer)

Lösung

Als Lösung entwarfen wir den Visitenkarten-Builder - einen Java-Service - der aus dem LDAP für jeden gekennzeichneten Mitarbeiter eine Web-Visitenkarte erstellt. Dazu müssen wir zunächst ein Attribute wählen, das den Mitarbeiter bzw. dessen VCard-Kurz-URI identifiziert. Dieses Attribute soll nicht dem Benutzernamen entsprechen und auch nicht leicht zu erraten sein (siehe oben - Datenschutz für Mitarbeiter!). Daher entschlossen wir uns, ein zusätzliches Attribut zu vergeben. Um uns eine Schema-Erweiterung im LDAP zu ersparen verwendeten wir ein Attribut, das sonst nicht verwendet wird (also durch angebundene Systeme nicht ausgewertet wird und frei beschreibbar ist). 


1 

2 

3 

4 

5 

6 

7 

8 


Labels
sichere visitenkarten qrcode zertifikat verschlüsselte mails vcf ldap active directory awareness smime vcard