bernhard@1080: ============ bernhard@1080: Arbeitsweise bernhard@1080: ============ bernhard@1080: bernhard@1080: TrustBridge holt sich regelmäßig über das Internet emanuel@1294: neue Vorschlagslisten per HTTPS (TLS 1.2). Die anzufragenden URLs emanuel@1294: für Zertifikatslisten und Softwareupdate sind emanuel@1294: fest in die Anwendung eingebaut. Ebenso die Zertifikate, um emanuel@1294: zu prüfen, dass es sich wirklich um den echten Server handelt bzw. um emanuel@1294: zu prüfen, ob die Zertifikatslisten und Softwareversionen mit dem richtigen Schlüssel signiert emanuel@1294: wurden. emanuel@1237: bernhard@1080: emanuel@1294: Anwendungsdaten und Einstellungen emanuel@1294: ================================= bernhard@1080: emanuel@1294: Einstellungen speichert TrustBridge unter emanuel@1294: ``%APPDATA%\Roaming\BSI\TrustBridge.ini`` (Windows) bzw. emanuel@1294: ``.config/BSI/TrustBridge.ini`` (Linux). emanuel@1294: emanuel@1294: Anwendungsdaten (wie z.B. Zertifikatslisten) werden unter emanuel@1294: ``%APPDATA%\Local\BSI\TrustBridge\`` (Windows) bzw. emanuel@1294: ``.local/share/BSI/TrustBridge/`` (Linux) abgelegt. emanuel@1294: emanuel@1294: emanuel@1294: Diagnoseausgabe emanuel@1294: =============== emanuel@1294: TrustBridge kann mit der Kommandozeilen-Option ``--debug`` gestartet werden, um emanuel@1294: Diagnoseausgabe zu erhalten, z.B. ``trustbridge.exe --debug``. emanuel@1294: emanuel@1294: Zum Aufzeichnen der Debug-Informationen unter Windows emanuel@1294: kann das Hilfsprogramm "DebugView" verwendet werden. emanuel@1294: emanuel@1294: Unter Ubuntu werden Debug-Informationen auf der Kommandozeile emanuel@1294: ausgegeben, auf der ``trustbridge --debug`` gestartet wurde. emanuel@1294: Zusätzlich werden Informationen im syslog (unter ``/var/log/syslog``) emanuel@1294: gespeichert. emanuel@1294: emanuel@1294: emanuel@1294: Was sind Wurzelzertifikate? emanuel@1294: =========================== bernhard@1080: (auch Rootzertifikate genannt) sind die Basis bernhard@1080: einer PKI zur Feststellung der Authentizität des bernhard@1080: Kommunikationspartners und der Integrität seiner Nachrichten für bernhard@1080: verschiedene Anwendungen -- insbesondere bei der Übertragung über bernhard@1080: unsichere Kommunikationskanäle, wie dem Internet. bernhard@1080: bernhard@1080: Ein Wurzelzertifikat dient als Vertrauensanker ("Trust Anchor") für bernhard@1080: alle darunter hängenden Zertifikate. Unterhalb der Wurzel folgt eine bernhard@1080: Sicherheitskette ("Trust Chain") von ein oder mehreren bernhard@1080: Zwischenzertifikaten der Zertifizierungsstellen, gefolgt von den bernhard@1080: ausgestellten Zertifikaten für die Anwendungen. Die Zertifikate bernhard@1080: sichern per Public-Key-Kryptoverfahren nach dem X.509-v3 Standard bernhard@1080: beispielsweise TLS-Verbindungen von Webbrowser zu Webserver (HTTPS) bernhard@1080: oder E-Mail-Klient zu E-Mail-Server (IMAPS). Ein weiteres Beispiel ist bernhard@1080: die Ende-zu-Ende Absicherung von E-Mail per S/MIME-Standard. emanuel@1237: