Beim ersten Aufruf einer Applikation mit dem Java Web Start erscheint nach dem Herunterladen der Software noch bevor die Applikation selbst startet folgende Sicherheitswarnung:
Das Java-Runtime System besitzt einen Sicherheitsmechanismus, bei der eine Applikation, die über das Web geladen wurde, zunächst einmal nur in einer eingeschränkten Umgebung (Sandbox) gestartet wird. Dies soll das PC-System des Benutzers vor Viren (z.b. Trojanern) schützen. Die DSS-Portal Applikation ist jedoch keine Web-Applikation in diesem Sinne, sondern benötigt aufgrund seiner vielfältigen Funktionen (z.B. Dokumententransfer) einen uneingeschränkten Festplatten- und Netzwerkzugriff. Das Java Web Start wird fuer die DSS-Portal Applikation allein deshalb verwendet, um die Installation fuer den Benutzer so einfach wie möglich zu gestalten. Die DSS-Portal Applikation kann daher leider nicht in einer restriktiven Sandbox-Umgebung ablaufen, sondern benötigt zusätzliche Zugriffsrechte, die jedoch von der Java-Runtime nur signierten und zertifizierten Applikationen gewährt werden. Die DSS-Portal Applikation wird daher von der Fa. DSS Incore-Service GmbH mit einem digitalen Schlüssel signiert. Diesen Schlüssel hat die Firma DSS zuvor von dem offiziellen Trustcenter der Firma Thawte zertifizeren lassen.
Um sicher zu gehen, dass Sie tatsächlich eine Applikation von der Fa. DSS Incore-Service GmbH geladen haben, können Sie zusätzlich das Zertifikat selbst überprüfen. Bei Auswahl der Option Zertifikatsdetails... unter Weitere Informationen... im Sicherheitsdialog erhalten Sie genauere Angaben zu diesem Zertifikat.
Die Signierung der Applikation und die Überprüfung der
Zertifikate durch das Java Web Start sind reine
Sicherheitsmechanismen, die sich ausschliesslich auf die
Installation und den späteren automatischen Update der
Applikation beschränken. Sie dienen in erster Linie dem Schutz
des PC-Benutzers vor Angreifern im Internet und prüfen nur die
Herkunft und die Integrität der heruntergeladenen Applikationen.
Die Sicherung und Verschlüsselung der Datenübertragung zwischen
der ausgeführten Applikation und dem Server in Stockelsdorf ist
davon in keinster Weise betroffen. Diese wird nämlich
unabhängig von den oben genannten Sicherheitsmechanismen immer
durch den Einsatz modernster und derzeit absolut sicherer
Kryptografie-Software von der Applikation selbst vorgenommen: So
wird derzeit für die gegenseitige Authentifizierung der Partner
jeweils ein 1024 Bit langer PGP-Key (DSA) verwendet
und die übertragenen Daten werden mit einem 256 Bit langen
symmetrischen Key und dem Rijndael-Algorithmus
verschlüsselt. Die dafür verwendete Kryptografie-Software von
der Fa. Cryptix unterliegt keinerlei Export-Restriktionen der
USA, ist frei von jeglichen Lizenzen verwendet derzeit auch
keine minderwertige Kryptografie-Software von der Fa. SUN. Die
in den Browser integrierten und zumeist eingeschränkten
Sicherheitsmechanismen werden weder vom Java Web Start noch von
der DSS-Portal Applikation in irgendeiner Weise verwendet.
Die Server-Systeme in Stockelsdorf werden durch ein mehrstufiges Firewall-System geschützt, in dem garantiert keine Software-Produkte von der Fa. Micro$oft zum Einsatz kommen.
Der Aufwand eines Angreifers, die derzeit verwendeteten Sicherheitsmechanismen bei der Installation bzw. beim Programmablauf zu durchbrechen, stehen in keinem Verhältnis mehr zum Nutzen, den der Angreifer dadurch erlangen würde. Das Sicherheitsniveau ist vergleichbar mit dem der modernsten und sichersten Online-Banking Systeme.