Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 1 20.6.2001 Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Vertrauen.

Ähnliche Präsentationen


Präsentation zum Thema: "Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 1 20.6.2001 Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Vertrauen."—  Präsentation transkript:

1 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Vertrauen ein ökonomisches und ethisches Prinzip elektronischer Märkte Digitale Signatur – digitale Zertifizierung V Juni 2001 Dozent: Rainer Kuhlen IB-HU-Berlin

2 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Ausgangslage für Vertrauensnetzwerke (Web of trust) Persönliche Zertifizierung über Thawte Absicherung der Identität über Signatur bei PGP durch Anwendung des Web of trust Modells WebTrust: American Institute of Certified Public Accountants Inhalt Grundlegende Literatur: Rohit Khare and Adam Rifkin: Weaving a Web of Trust - Khare and Adam Rifkin

3 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Ausgangslage für Vertrauensnetzwerke (Web of trust) Bei allen elektronischen Kommunikationssituationen treten die Probleme der Identität und Authentizität auf. Wie kann man sicher sein, dass die Person auch diejenige ist, die sie zu sein behauptet? Wie kann man sicher sein, dass die Botschaft, die angekommen ist, mit der identisch ist, die abgesandt wurde? Insbesondere tritt das Problem bei der Anwendung des Public-key- Verschlüsselungsverfahren. Wie kann man sicher sein, dass der Public key wirklich von der Person stammt, die dies behauptet.

4 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 PGP Trust Modell Grundansatz  A signiert das Public-Key- Zertifikat von B  B schickt dieses signierte Zertifikat an C, der mit B vertraulich kommunizieren will, B aber nicht kennt, wohl aber A  C vertraut A und damit darauf, dass durch das von A signierte Zertifikat B wirklich die Person ist, mit der C kommunizieren will Je mehr Personen B‘s Zertifikat signiert haben, denen C vertraut, desto höher steigt der Vertrauenslevel. So ensteht eine Vertrauensgemeinschaft Signieren muss kein Ja-Nein- Entscheidung sein. Man unterscheidet häufig die folgenden Kategorien Undefined – man kann nichts über die Gültigkeit des Public key sagen Marginal – kann gültig sein, vielleicht auch nicht Complete – man kann vollkommen sicher sein, dass der Public key gültig ist Ähnliche Kategorien können auch darauf übertragen werden, inwieweit man einem Besitzer eines öffentlichen Schlüssels vertraut, dass er ein anderes Zertifikat signiert. Beispiel

5 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001

6 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Absicherung der Identität und Authentizität über Signatur bei PGP durch Anwendung des Public-key- VerfahrensPGP Aus den FAQ/PGS - Let's imagine that you received a letter in the mail from someone you know named John Smith. How do you know that it was really John who sent you the letter and not someone else who simply forged his name? With PGP, it is possible to apply a digital signature to a message that is impossible to forge. If you already have a trusted copy of John's public encryption key, you can use it to check the signature on the message. It would be impossible for anybody but John to have created the signature, since he is the only person with access to the secret key necessary to create the signature. In addition, if anybody has tampered with an otherwise valid message, the digital signature will detect the fact. It protects the entire message. Eine gut aufbereitete Foliendarstellung der Geschichte und Anwendung von PGB von L. und J. Rosenboom - paderborn.de/~aggathen/S99sem/ausarbeitungen/rosenboom/sld001.htmFoliendarstellung

7 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Absicherung der Identität über Signatur bei PGP durch Anwendung des Web of trust Modells (Gegenzeichnung – Signing – eines Schlüssels) Aus den FAQ/PGS - OK, you just got a copy of John Smith's public encryption key. How do you know that the key really belongs to John Smith and not to some impostor? The answer to this is key signatures. They are similar to message signatures in that they can't be forged. Let's say that you don't know that you have John Smith's real key. But let's say that you DO have a trusted key from Joe Blow. Let's say that you trust Joe Blow and that he has added his signature to John Smith's key. By inference, you can now trust that you have a valid copy of John Smith's key. That is what key signing is all about. This chain of trust can be carried to several levels, such as A trusts B who trusts C who trusts D, therefore A can trust D. You have control in the PGP configuration file over exactly how many levels this chain of trust is allowed to proceed. [man signiert sich auch selber]

8 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Absicherung der Identität über Signatur bei PGP durch Anwendung des Web of trust Modells (Gegenzeichnung – Signing – eines Schlüssels) Das Key signing wird oft auf sogenannten Key signing parties, z.B. bei einschlägigen Konferenzen, organisiert. Die PGP-Gemeinde hat auch ihre eigene Online Public Key Infrastructure aufgebaut: „It consists of a set of public key servers around the world which allow PGP users to register their keys and publicly sign each other's keys via and WWW interfaces.“ (http://bcn.boulder.co.us/~neal/pgpstat/) Publikationen Publikationen zum Web of trust Ansatz (bei PGP): aff/F.AbdulRahman/docs/ Web of trust bei PGP ist ein privat organisiertes „Amateur“-Verfahren – also ein Gegenmodell zu den (häufig staatlich legitimierten bzw. zertifizierten) professionellen Trust Center, die in der Regel nur von finanzkräftigen Institutionen betrieben werden können.

9 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Überprüfungsmöglichkeit für den Public key einer Person x In (Patrick Feisthammel) wird auf drei Möglichkeiten verwiesen:http://www.rubin.ch/pgp/weboftrust.de.html  Ich suche im offiziellen Telefonbuch nach seiner Telefonnummer, rufe x an und lasse mir von x seine Schlüsseldaten geben. Dazu muss ich aber x kennen (Stimmenidentifikation), denn es könnte sich ja eine andere Person als x ausgeben.  Ich gehe bei x vorbei, lasse mir seinen Ausweis zeigen und die Schlüsseldaten geben.  Ich schaue, ob jemand den ich kenne, die Identität von x elektronisch bestätigt. Je mehr ich kenne, die die Identität von x – die Rechtmäßigkeit der Bereitstellung seines Public key – bestätigen, desto mehr kann ich auf seine Identität vertrauen. Die Gesamtheit der Identitätszusichernden macht das Vertrauensnetzwerk aus

10 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS Allgemeine Zielsetzung – trusted third party 2.Registrierung 3.Namenszertifizierung 4.Geschäftspolitik – Privacy-Zusicherung Persönliche Zertifizierung über Thawte (Certifying Authority) https://www.thawte.com/

11 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Thawte (Certifying Authority) Trusted third party - https://www.thawte.com/ A personal certificate is a digital identity document that can be used to sign digital messages like and news. It can also be used by other people to encrypt information that is for your eyes only. Once you exchange certificates with your friends or business partners you can correspond over the Internet in complete privacy. Thawte is a global provider of digital certificate solutions that provide Internet users with peace of mind when sending information to web sites, sending s, and downloading computer code over the Internet. Thawte acts as a trusted third party on the Internet. We issue digital certificates to companies, and individuals, that are used as proof of identity online, and provide for the protection of all information sent over the World Wide Web, using the most currently available encryption technology.

12 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Persönliche Zertifizierung über Thawte (Certifying Authority) Verfahren: https://www.thawte.com/cgi/enroll/personal/step1.exe Zur Registrierung für eine digitale Signatur bzw. ein digitales Zerifikat werden die folgenden Informationen benötigt, die, werden sie einmal eingebracht, nicht verändert werden können: Your identification number, passport number, social security number, driver licence number or tax number, depending on your nationality. Ihr kompletter Name und Geburtsdatum. Der Name Ihrer Firma, die Grösse und Adresse(wenn sie angestellt sind). Ihre Privatadresse und Kontaktdetails. Your preferred currency.

13 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Persönliche Zertifizierung über Thawte (Certifying Authority): Ein persönliches Zertifikat ist ein digitales Dokument zur Identifizierung und Authentifizierung des Senders Wozu kann das persönliche Zertifikat von Thawte verwendet werden: a) Sichere Mit dem Zertifikat kann digitaliert signiert und verschlüsselt werden. Thrwates Zertifikate werden von der meisten S/MIME- -Anwendungern unterstützt, so auch von Microsoft Outlook Express and Netscape Communicator 4.x. b) Authentication to Web Servers: Most modern web browsers, such as Microsoft Internet Explorer 3.x and Netscape Navigator 3.x and later, allow you to use a personal certificate from Thawte to authenticate yourself to a web server. Certificate-based authentication is much stronger and more secure than password-based authentication.

14 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Persönliche Zertifizierung über Thawte (Certifying Authority): Ein persönliches Zertifikat ist ein digitales Dokument zur Identifizierung und Authentifizierung des Senders Das Verfahren ist zweigeteilt: Signatur zur Identifizierung – bestätigt durch die Bescheinigung von Thawte, dass die verwendete -Adresse der Person gehört, die die Signatur verwendet (bekanntlich können -Adresse gefälscht sein; die Zuordnung der -Adresse zu der Signatur geschieht aber nur durch den Besitzer des persönlichen Zertifikats, das auf dem Rechner des Inhabers gespeichert und dessen Verwendung über Passwort geschützt ist. Verschlüsselung zur Authentifizierung und Geheimhaltung: Geschieht nach dem Public-key-Verfahren; d.h. es funktioniert nur, wenn der Empfänger im Besitz des öffentlichen Schlüssels des Absenders ist.

15 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Persönliche Zertifizierung über THAWTE - Namenszertifizierung 1.Man muss sich mit einem Web of Trust Notar persönlich treffen 2.Man muss ein originales ID-Dokument (z.B. Pass; im Amerikanischen häufig die „Social Security card“) vorweisen, bei dem der Name identisch ist mit dem Namen, den man im Thawte-System verwendet und in dem die ID- Nummer identich mit der im Thawte-System verwenden ist. 3.Das ID-Dokument muss ein Bild aufweise 4.Von dem vorgelegten ID-Dokument muss eine Fotokopie bei dem Notar hinterlegt werden, der es mindestens 5 Jahre sicher aufbewahrt. 5.Man muss ein Kopie der Thawte's Statement of Notarization. Mitbringen und vor Ort unterzeichnen. Die Kopie bleibt beim Notar.Thawte's Statement of Notarization. 6.Wenn die Bedingungen erfüllt sind, vergibt der Notar 35 Vertrauenspunkte an den Bewerber. 7.Wenn man 100 Punkte zusammen hat, kann man selber Notar werden. Eine weitergehende Identitätssicherung geschieht über den Namen. Das verlangt eine komplizierte Prozedur, wobei das Web of trust ins Spiel kommt.

16 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Thawte : Garantie der Vertraulichkeit und Privatsphäre Your relationship with your CA is one of trust. In order to do our job effectively we need to know a considerable amount of information about you. You may rest assured that we will never, under any circumstances, voluntarily or willingly disclose that information to any third party. We regularly receive requests for information from our database. They get thrown away. That is our guarantee to you. We hold ourselves fully liable to our customers for the privacy of their personal information. Es widerspricht der Idee des Web of Trust, dass solchermaßen privat organisierten Zertifizierungsinstitutionen den von staatlicher Seite häufig geforderten Key-escrow-Verfahren zustimmen, d.h. also einwilligen, dass auf (noch berechtigter) Nachfrage die Identität des Inhabers des Zertifikats offengelegt wird. Organisationen wie Thawte unterstützen solche Key-escrow- Verfahren nicht bzw. versuchen, entsprechende gesetzliche Vorhaben zu verhindern.

17 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 WebTrust : American Institute of Certified Public Accountants und des Canadian Institute of Chartered Accountants (CICA) Um das WebTRust/VeriSign-Siegel zu erhalten, muss man seine Website von einem lizensierten CPA or Chartered Accountant überprüfen lassen. Durch die Siegelvergabe wird von AICPA bestätigt (und alle Vierteljahr überprüft), dass die von der Website durchgeführten On-line Transaktionen sicher sind und dass alle AICPA-Richtlinie für „authenticity, security, and privacy“ (auch Verfügbarkeit) von der betreffenden Firma eingehalten werden.AICPA-Richtlinie Ist eine Initiative von VeriSign: Das Siegel wird ergänzt durch die von VEriSign vergebene Digital ID. Privacy policyPrivacy policy von WebTrust: Durch Anklicken des Siegels kann sich ein Benutzer den Überprüfungsbericht und die WebTrust-Prinzipien und - Kriterien anschauen. (Beispiel: Galaxiworld Casino)Galaxiworld Casino Current browsers will not initiate a secure session without seeing a valid Digital Liste Liste von WebTrust- zerifizierten Institutuionen

18 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog des American Institute of Certified Public Accountants und des CICA: A.Business and Information Privacy Practices—The entity discloses its business and information privacy practices for e-commerce transactions and executes transactions in accordance with its disclosed practices. B.Transaction Integrity—The entity maintains effective controls to provide reasonable assurance that customers' transactions using e-commerce are completed and billed as agreed. C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e- commerce Is protected from uses not related to the entity's business

19 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog des American Institute of Certified Public Accountants und des CICA: A.Business and Information Privacy Practices —The entity discloses its business and information privacy practices for e-commerce transactions and executes transactions in accordance with its disclosed practices. A1 Description of goods and/or service. The entity discloses descriptive information about the nature of the goods that will be shipped or the services that will be provided, including, but not limited to, the following: A1.1 Condition of goods (meaning, whether they are new, used, or reconditioned). A1.2 Description of services (or service contract). A1.3 Sources of information (meaning, where it was obtained and how it was compiled). A2 Terms and Conditions The entity discloses the terms and conditions by which it conducts ist e-commerce transactions including but not limited to the following: A2.1 Time frame for completion of transactions (transaction means fulfillment of orders where goods are being sold and delivery of service where a service is being provided). A2.2 Time frame and process for informing customers of exceptions to normal processing of orders or service requests.

20 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog AICPA und CICA: A.Business and Information Privacy Practices A2.3 Normal method of delivery of goods or services, including customer options, where applicable. A2.4 Payment terms, including customer options, if any. A2.5 Electronic settlement practices and related charges to customers. A2.6 How customers may cancel recurring charges, if any. A2.7 Product return policies and/or limited liability, where applicable. A3 Customer support & service The entity discloses on its Web site (and/or in information provided with the product) where customers can obtain warranty, repair service, and support related to the goods and services purchased on its Web site. A4 Customer communications The entity discloses information to enable customers to file claims, ask questions and register complaints, including, but not limited to, the following *Street address (not a post office box or address) * Telephone number (a number to reach an employee on a reasonably timely basis and not only a voice mail system or message machine) * Days and hours of operation * If there are several offices or branches, the same information for the principal office

21 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog AICPA und CICA: A.Business and Information Privacy Practices A4.1 In the event outside dispute resolution is necessary, the process by which these disputes are resolved. These complaints may relate to any part of a customer's e- commerce transaction, including complaints related to the quality of services and products, accuracy, completeness, and distribution of private customer information and the consequences for failure to resolve such complaints. This resolution process should have the following attributes: * Management's commitment to use a specified third party dispute resolution service or other process mandated by regulatory bodies in the event the customer is not satisfied with the entity's proposed resolution of such a complaint together with a commitment from such third party to handle such unresolved complaints. * Procedures to be followed in resolving such complaints, first with the entity and, if necessary, with the designated third party. * What use or other action will be taken with respect to the private information, which is the subject of the complaint, until the complaint is satisfactorily resolved

22 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog AICPA und CICA: A.Business and Information Privacy Practices A5 Information Privacy The entity discloses on its Web site ist information privacy practices. These practices include but are not limited to the following disclosures. A5.1 The specific kinds and sources of information being collected and maintained; the use of that information; and possible third party distribution of that information. A5.2 Choices regarding how individually identifiable information collected from an individual online may be used and/or distributed. Individuals should be given the opportunity to opt out of such use, by either not providing such information or denying its distribution to parties not involved with the transaction. A5.3 The consequences, if any, of an individual's refusal to provide information or of an individual's decision to opt out of a particular use of such information. A5.4 How individually identifiable information collected can be reviewed and, if necessary, corrected or removed. A5.5 If the Web site uses cookies, how they are used and the consequences, if any, of an individual's refusal to accept a cookie.

23 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog AICPA und CICA: A.Business and Information Privacy Practices A6 Monitoring The entity maintains monitoring procedures that provide reasonable assurance of the following: Its business practice disclosures on its Web site remain current Reports of noncompliance are promptly addressed and corrective measures taken.

24 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog AICPA und CICA: B.Transaction Integrity—The entity maintains effective controls to provide reasonable assurance that customers' transactions using e-commerce are completed and billed as agreed. B1 Requesting goods and/or services The entity maintains controls to provide reasonable assurance that: B1.1 Each request or transaction is checked for accuracy and completeness. B1.2 Positive acknowledgment is received from the customer before the transaction is processed B2 Processing requests for goods and/or services The entity maintains controls to provide reasonable assurance that: B2.1 The correct goods are shipped in the correct quantities in the time frame agreed, or services and information are provided to the customer as requested. B2.2 Transaction exceptions are promptly communicated to the customer. B3 Processing bill/payment The entity maintains controls to provide reasonable assurance that:

25 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog AICPA und CICA: B.Transaction Integrity—The entity maintains effective controls to provide reasonable assurance that customers' transactions using e-commerce are completed and billed as agreed. B3.1 Sales prices and all other costs/fees are displayed for the customer before processing the transaction. B3.2 Transactions are billed and electronically settled as agreed. B3.3 Billing or settlement errors are promptly corrected. B4 Transaction history The entity maintains controls that allow for subsequent follow-up of transactions. B5 Entity monitoring of its transaction integrity The entity maintains monitoring procedures that provide reasonable assurance of the following: * Its transaction integrity controls remain effective. * Reports of noncompliance are promptly addressed and corrective measures taken.

26 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog AICPA und CICA: C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e- commerce is protected from uses not related to the entity's business C1 Transmission of private customer information The entity maintains controls to protect transmissions of private customer information over the Internet from unintended recipients. C2 Collecting customer information The entity maintains controls over the collection of data and has policies which provide customers with the following: A choice as to whether individually identifiable information collected from them online may be used for purposes other than completing the transaction in progress (an internal secondary use or external third-party use) The opportunity to opt out of any particular internal secondary or external third-party usage of that information except those required by law or other regulatory agency

27 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog AICPA und CICA: C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e- commerce is protected from uses not related to the entity's business C3 Protection and use of private customer information The entity maintains controls to protect private customer information obtained as a result of e-commerce and retained in ist system from outsiders. C3.1 Systems that retain private customer information obtained as a result of e- commerce are protected from unauthorized outside access. C3.2 Customers entering through the Web page cannot access other customers' private information. C3.3 Private customer information obtained as a result of e-commerce is not intentionally disclosed to parties not related to the entity's business unless (1) customers are clearly notified prior to their providing such information or (2) customer permission is obtained after the customer has provided such information. C3.4 Private customer information obtained as a result of e-commerce is used by employees only in ways associated with the entity's business

28 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog AICPA und CICA: C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e- commerce is protected from uses not related to the entity's business C4 Accuracy and completeness of information The entity maintains controls so that individually identifiable information collected, created or maintained by it is accurate and complete for its intended use C5 Entity responsibility for third party information The entity maintains controls and carries out procedures to determine the adequacy of information protection and privacy policies of third parties to whom information is transferred. C6 Protection of customers' computers and files The entity maintains controls to protect against its unauthorized access to customer's computers and its unauthorized modification of customer's computer files:

29 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kriterienkatalog AICPA und CICA: C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e- commerce is protected from uses not related to the entity's business C6.1 Customer permission is obtained before storing, altering or copying information in the customer's computer or the customer is notified with an option to prevent such activities. C6.2 Transmission of malicious computer code to customers is prevented C7 Monitoring The entity maintains monitoring procedures that provide reasonable assurance regarding the following: C7.1 Its information protection controls remain effective. C7.2 Reports of non-compliance are promptly addressed and corrective measures taken.

30 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Anwendung des Web of trust beim C2C – Beispiel Epinions.com (Info- )Info 1. What is the Web of Trust? Your Web of Trust is a network of reviewers whose opinions and ratings you have consistently found to be valuable. The Web of Trust mimics the way people share word-of-mouth advice every day. Friends have a proven track record. If a friend consistently gives you good advice, you're likely to believe that person's suggestions in the future. You know which preferences you and your friend share. If you both like the same types of films, you're more likely to trust your friend's recommendations on what to see. 2. How do I add another member to my Web of Trust? When you are viewing another member's opinion or profile, simply click the link that says "Trust ". 3. Why should I trust other members? Building your Web of Trust helps the Epinions.com system predict how helpful an opinion will be to you. The Web of Trust promotes the opinions of trusted members so that you can find what you are looking for more easily and get the most out of your time on Epinions.com. Epinion-Einschätzungen von Benutzern:

31 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kommerzialisierung des Web of trust – Beispiel Epinions.com 4. How do I decide whom to trust? You should be just as discriminating when "trusting" on Epinions.com as you are with anyone you meet. Your trusting patterns can significantly shape your experience on the site. Although you ultimately determine whom to trust and why, Epinions offers the following guidelines. Before trusting other members... Read all or most of their opinions. Check out their profile pages. Evaluate their Webs of Trust. If you were trying to decide whether or not to buy a specific product and the member in question had reviewed it, would you want that review to be among the first you saw? If so, you have a good reason to add that member to your Web of Trust. 5 Does my Web of Trust affect other members? Yes. Your trust decisions affect other members in two ways: Members who trust you will inherit some of the effects of your Web of Trust. If you are careful about designating whom you trust, you will help improve the experience of those who trust you. Everyone's trust contributes to the Advisor selection process. Trust is an important feedback mechanism and indicator of how strongly the Epinions community values a member's contributions. Epinions.com offers complex tools that enable you to interact with others - wichtig für Trust in C2C

32 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kommerzialisierung des Web of trust – Beispiel Epinions.com 6. Who can see my Web of Trust? The Epinions.com default settings allow any member to see whom you have added to your Web of Trust. You can change these settings by visiting the Edit Public Profile section of your Member Profile. 7. How can I find out who trusts me? In the Web of Trust section of your Member Profile, there is a list of all of the members who have added you to their Webs of Trust. If a member chooses to hide his or her Web of Trust, that name will not appear on the list of members who trust you. 8. What is the Block List? The Block List is a list of authors whose opinions you do not find valuable. If you encounter a member whose opinions are consistently offensive, inaccurate, or otherwise low quality, you can add that member to your Block List. Just as the Web of Trust promotes the work of those members you trust, the Block List makes it less likely that you will encounter contributions you do not value in the future. 9. How do I add another member to my Block List? When you are viewing another member's opinion or profile, simply click the link that says "Block ".

33 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kommerzialisierung des Web of trust – Beispiel Epinions.com (Info- )Info 10. Who can see my Block List? Only you can see your Block List. Unlike the Web of Trust, there is no way you can display your Block List to others. This feature was designed to prevent hard feelings or retaliation when you add members to your Block List. 11. Can I change my mind about trusting or blocking another member? Yes. When you are viewing a trusted member's opinion or profile, you can remove that member from your Web of Trust by clicking the link that says "Remove from your Trust list". To remove a blocked member from your Block List, visit the member's opinion or profile and click the link that says "Remove from your Block List". You can also edit your Web of Trust and Block List from your own profile. From your Account Summary page, click Web of Trust or Block List. Then click Remove next to the name of the member you wish to remove.

34 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kommerzialisierung des Web of trust – Beispiel Epinions.com

35 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Kommerzialisierung des Web of trust – Beispiel Epinions.com

36 Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Stand digitale Signatur in Deutschland Das Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz) trat am 22. Mai 2001 in Kraft.


Herunterladen ppt "Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 1 20.6.2001 Digitale Signatur – Digitale Zerttifizierung Vertrauen – SS 2001 Vertrauen."

Ähnliche Präsentationen


Google-Anzeigen