ubuntuusers.de

Etwas aus dem kleinen Einmaleins des Kartenlesergebrauchs:

Die PIN-Eingabe hat aus Sicherheitsgründen niemals – egal an welchem Rechner, egal mit welchem Programm – an der Tastatur des Rechners zu erfolgen, da Eingaben am Rechner durch Drittsoftware ausgespäht und versendet werden können. Hat man den Fehler einmal gemacht, sollte die PIN unverzüglich per Tastenfeld am Kartenleser geändert werden.

Bezüglich der PIN-Behandlung hat jeder Rechner, an dem eine beA-Zugangskarte verwendet wird, als verseucht zu gelten. Das gilt auch für Rechner, auf denen Linux läuft. Hinweis: In der (IT-)Sicherheit gibt es verschiedene Schutzziele. Hier geht es nicht um das Ziel, das Ausspähen von Informationen aus dem beA-Postfach zu verhindern, sondern den (kurzzeitigen, heimlichen) Gebrauch des eigenen beA-Postfachs durch Dritte und die wohl nur schwierig abstreitbare Zuschreibung der daraus resultierenden Kommunikation einem selbst. Das mag paranoid klingen, aber wer Hurra! zur Digitalisierung ruft, der ruft auch Hurra! zu digitalen Kriminellen.

Der Schutz des beA-Zugangs beruht auf zwei Sicherheitsfaktoren: Besitz der Karte und Wissen der PIN. Einer Person einen Gegenstand zu entwenden (und wieder zuzustecken), ist in der analogen Welt ein seit Jahrtausenden gelöstes Problem. Der Lösung, Fingerfertigkeit gepaart mit dem Wissen um menschliche Psychologie, hat der gemeine Anwalt nichts entgegenzusetzen. Um so wichtiger ist der Schutz der PIN. Durch die Verwendung eines Klasse-3-Kartenlesers mit eigenem Tastenfeld kann die PIN auch auf einem verseuchten Rechner nicht ausgespäht werden. So zumindest die Fiktion. Jedenfalls setzt die unbemerkte Manipulation eines Kartenlesegerätes auf Angreiferseite andere technische Möglichkeiten voraus als die Manipulation eines üblichen Arbeitsplatzrechners.

Wenngleich der Motivation dieses Ratschlags ein wohl eher seltenes Ereignis zugrundeliegt, erfordern die Gegenmaßnahmen nur geringen Aufwand vom Bediener: etwas Aufmerksamkeit.

Kurz nochmal ein paar Sätze zu den Treibern für Kartenlesegeräte. In der Regel gibt es für Kartenleser zum einen proprietäre Herstellertreiber. Zum anderen gibt es eine offene Schnittstellenspezifikation namens CCID, welche die Kommunikation mit Kartenlesegeräten allein mit freien Treibern ermöglicht. Die folgende Tabelle enthält daher für jede Ubuntu-Version zwei Zeilen.

Ich kann bestätigen, dass die PIN-Änderung der „beA-Karte Basis“ hier mit folgenden Kombinationen aus Kartenlesegeräten (des Herstellers Reiner SCT), Treibern und Ubuntu-Versionen funktioniert. Die Firmware der Kartenleser wurde vor den Tests auf den jeweils aktuellen Stand gebracht (was derzeit unter Linux nicht möglich ist).

Grüne Felder zeigen eine funktionsfähige Kombination von Kartenleser und Treiberpaket an. Graue Felder eine erwartungsgemäß nicht-funktionale Kombination (etwa weil die CCID-Schnittstelle von dem Gerät nicht unterstützt wird oder die Treiberversion das Gerät noch nicht unterstützt). Rötliche Felder zeigen eine unerwartet nicht-funktionale Kombination an.

Hallo flu,

vielen Dank für die wertvollen Informationen, 👍, die ich direkt in mein persönliches Wiki übernommen habe.

Beste Grüße, coolwalda

Hier noch einmal die Liste lokal getesteter Kombinationen erweitert um die Geräte cyberJack RFID standard und cyberJack secoder:

Wow! Wahnsinn! Herzlichen Dank! 😀

Und welch grandiose Trägheit/Nachlässigkeit der BRAK 😲 zum Nachteil der Linuxer (d.h. Freiheit, Souveränität, Demokratie, Rechtsstaat), wenn so einfach geholfen werden kann! Aber sssoooo symptomatisch für unsere "Entscheider" ...

Habe es ausprobiert, mit etwas Ruhe gelingt es auf Anhieb. Und einfacher ist es nicht denkbar. Ok, das copy & paste der Befehle in ein Terminalfenster sollte man beherrschen ...

Es muss dafür opensc per "sudo apt install opensc" installiert werden. Erhöht das nicht die Angriffsfläche? Sollte man es nach PIN-Wechsel wieder deinstallieren?

Danke auch für die Sicherheitshinweise! Dazu eine Frage: Ein Rechtsanwalt in meinem Bekanntenkreis nutzt das sogenannte "Softwarezertifikat" auf seinem Laptop. Sehr bequem, weil er nur noch die PIN eingeben muss, d.h. er speichert es auf dem Laptop. Ist das sicherheitstechnischer Wahnsinn?

Installation Overview
The BEA Products installation program provides a complete framework for the installation and
uninstallation of your entire BEA software product, or individual components, as desired.
Two versions of the installation program are available:
z BEA Products installation program for AquaLogic Service Bus and WebLogic Server.
z BEA Products installation program for WebLogic Server, available through Web download
only, which includes WebLogic Server and Apache Beehive only.
Both programs provide the same functionality; all installation procedures described in this
document apply to both versions of the installation program.
WebLogic Express Support
You can use either of the two BEA Products installation programs to install BEA WebLogic
Express™. WebLogic Express is a cost-effective entry point to the WebLogic product family,
creating a productive ramp for you to begin using BEA’s market-leading application server
technology. From WebLogic Express, you can easily upgrade to other products in the WebLogic
family, which allows you to take advantage of a wide variety of enterprise-level functionality.
To install WebLogic Express, you install WebLogic Server and then install a WebLogic Express
license. The WebLogic Express license activates WebLogic Express features. For additional
information about WebLogic Express, see the WebLogic Express documentation at the following
URL:
http://e-docs.bea.com/wls/docs90/wlx.html
Installation Modes
The BEA Products installation program can be used in the following modes:
z Graphical mode
Graphical-mode installation is an interactive, GUI-based method for installing your
software. It can be run on both Windows and UNIX systems. For installation procedures,
see Chapter 3, “Running the Installation Program in Graphical Mode.”
Note: If you want to run graphical-mode installation, the console attached to the machine
on which you are installing the software must support a Java-based GUI. All consoles
for Windows systems support Java-based GUIs, but not all consoles for UNIX systems
do. If you attempt to start the installation program in graphical mode on a system that
Installable Product Components
Installation Guide 1-3
cannot support a graphical display, the installation program automatically starts
console-mode installation.
z Console mode
Console-mode installation is an interactive, text-based method for installing your software
from the command line, on either a UNIX system or a Windows system. For instructions
for using this method, see Chapter 4, “Running the Installation Program in Console
Mode.”
z Silent mode
Silent-mode installation is a noninteractive method of installing your software that requires
the use of an XML properties file for selecting installation options. You can run silent-mode
installation in either of two ways: as part of a script or from the command line. Silent-mode
installation is a way of setting installation configurations only once and then using those
configurations to duplicate the installation on many machines. For instructions, see
Chapter 5, “Running the Installation Program in Silent Mode.”
Installable Product Components
Using the BEA Products installation program, you can install the following software on your
system:
z WebLogic Server
z AquaLogic Service Bus
z BEA JRockit JDK
Note: If you are using the WebLogic Server installation program, only the WebLogic Server
components are available for installation.
For additional information about:
z The features and capabilities of WebLogic Server, see Introduction to WebLogic Server and
WebLogic Express at http://e-docs.bea.com/wls/docs90/intro/index.html
z The features and capabilities of AquaLogic Service Bus, see Concepts and Architecture at
http://e-docs.bea.com/alsb/docs20/concepts/index.html
z Operating systems and hardware supported by your software, see BEA Products Supported
Configurations at http://e-docs.bea.com/platform/suppconfigs/index.html
Preparing for Your Installation
1-4 Installation Guide
WebLogic Server
BEA WebLogic Server® provides the core services that ensure a reliable, available, scalable, and
high-performing execution environment for your application. It includes Apache Beehive, a
cross-container framework that provides a consistent, abstract, and easily toolable programming
model, providing a way for developers to build applications more productively.
WebLogic Server consists of the following subcomponents that can be installed on your system:
z Server—WebLogic Server program files that contain the core Java 2 Enterprise Edition
(J2EE) features and Apache Beehive.
z Server Examples—WebLogic Server and MedRec examples servers and sample applications.
These servers and sample applications demonstrate a variety of J2EE features. Resources are
provided to help you build, configure, and run each of the sample applications. You must
install the Server subcomponent to install and use the Server Examples.
z Web Server Plug-ins—Modules used to enable WebLogic Server to communicate with
applications deployed on Apache HTTP Server, Netscape Enterprise Server, or Microsoft
Internet Information Server (IIS).
Note: You must choose Custom installation to install the Web Server plug-ins. They are not
installed by default in a complete installation.
AquaLogic Service Bus
BEA AquaLogic Service Bus™ combines intelligent message brokering with service monitoring
and administration to provide a unified software product for implementing and deploying your
Service-Oriented Architecture (SOA). This converged approach adds a scalable, dynamic routing
and transformation layer to your enterprise infrastructure, plus service lifecycle management
capabilities for service registration, service usage, and Service Level Agreement (SLA)
enforcement.
AquaLogic Service Bus relies on WebLogic Server run-time facilities. It leverages WebLogic
Server capabilities to deliver functionality that is highly available, scalable, and reliable.
AquaLogic Service Bus consists of the following subcomponents that can be installed on your
system:
z Service Bus Server—Core program files for AquaLogic Service Bus.
z Data Transformation Tools—Tools for AquaLogic Service Bus. Includes the BEA XQuery
Mapper plug-in for Eclipse and Format Builder.
Installable Product Components
Installation Guide 1-5
Note: The Data Transformation Tools are installed automatically when you install the
Service Bus Server.
z Service Bus Examples—Samples that demonstrate key features of AquaLogic Service Bus
and help you get started using the AquaLogic Service Bus Console to design and configure
AquaLogic Service Bus resources and services.
Note: The BEA XQuery Mapper is a set of plug-ins in Eclipse. Note that the installation of
Eclipse with the AquaLogic Service Bus product does not include the Java Development
Tooling (JDT) plug-ins or the Plug-in Development Environment (PDE) toolkit. You
can add other plug-ins to the Eclipse IDE provided with AquaLogic Service Bus.
However, when you attempt to install a plug-in, any plug-ins that it depends on must
already be installed. Likewise, if the plug-in you want to install depends on the JDT or the
PDE, you must install these first. You can download the PDE and JDT plug-ins from
http://www.eclipse.org/.
BEA JRockit JDK
The BEA JRockit® JDK provides tools, utilities, and a complete run-time environment for
developing and running applications using the Java programming language. The JRockit JDK
includes the JRockit Java Virtual Machine (JVM), the first commercial server-side JVM for Intel
architectures. The BEA JRockit JDK is fully integrated into the BEA Products installation
program, in addition to being available as a standalone JDK. BEA JRockit is installed automatically
when you use the BEA Products installation program to install your software on Windows and
Linux platforms.
When you install your software on Windows and Linux 32-bit platforms, two JDKs are installed
on your system: the JRockit JDK, optimized for server-side applications, and the Sun Java 2 JDK
(including the Hotspot Client and Hotspot Server JVMs), provided for optional use by both
client-side and server-side applications. When you create a domain using the Configuration
Wizard, for example, you can select which JDK you want to use for runningWebLogic Server
instances and your applications. For more information, see “Specifying the Server Start Mode and
JDK” in “Creating a New WebLogic Domain” in Creating WebLogic Domains Using the
Configuration Wizard at the following URLs:
z http://e-docs.bea.com/common/docs90/confgwiz/newdom.html (WebLogic Server)
z http://e-docs.bea.com/common/docs20/confgwiz/newdom.html (AquaLogic
Service Bus)
Preparing for Your Installation
1-6 Installation Guide
Note: The BEA JRockit JDK is certified to be compatible with Sun Java 2 Standard Edition
(J2SE) version 5.0.
For more information about the BEA JRockit JDK, see the JRockit documentation at
http://e-docs.bea.com/wljrockit/docs50/index.html.
Java Runtime Environment (JRE)
The BEA JRockit JDK contains a private JRE that resides in the JRockit JDK directory. The
private JRE, which includes the JRockit JVM, class libraries, and other files that support the
execution of programs written in Java, is required to be able to use the JDK and run the tools
included in the JDK. It is used by WebLogic Server and AquaLogic Service Bus to run the servers
and tools. You also have the option to install the public JRockit JRE. The public JRE can be used
by other applications. It is located outside the JRockit JDK directory.
During the installation process, you are prompted to install the public JRockit JRE. By default,
the public JRE is installed in the following directory:
C:\Program Files\Java\jrockit-j2re1.5.0_03
For more information about the BEA JRockit JRE, see Introduction to JRockit JDK at
http://e-docs.bea.com/wljrockit/docs50/intro/index.html
Product Distribution Methods
Your BEA software is distributed on both the BEA Web site and CD-ROM.
Web Distribution
You can download your software from the BEA Web site at http://commerce.bea.com.
Two installation programs are available for download:
z BEA Products installation program for AquaLogic Service Bus and WebLogic Server, which
includes all of the software described in “Installable Product Components” on page 1-3.
z BEA Products installation program for WebLogic Server, which includes only the
WebLogic Server, Apache Beehive, and samples software as described in “WebLogic Server”
on page 1-4.
Installation Prerequisites
Installation Guide 1-7
CD-ROM Distribution
If you purchased your software from your local sales representative, you will find the following
items in the product box:
z CD-ROMs containing the product software for Windows, Solaris, HP-UX, and Linux
z BEA Products Online Documentation CD
z The following printed documents:
– BEA Products Installation Guide (this guide)
– BEA Software License and Limited Warranty pamphlet
– Customer Support Quick Reference and Other Important Information card
– A flyer that provides a list of URLs for the online release notes for each product
– Legal agreements for third-party products
Installation Prerequisites
The following sections specify the installation prerequisites:
z System Requirements
z Temporary Disk Space Requirements
z Administrator Privileges
z Licensing
System Requirements
The system requirements for your installation are given in the following table.
Preparing for Your Installation
1-8 Installation Guide
Temporary Disk Space Requirements
The BEA installation program uses a temporary directory into which it extracts the files necessary
to install the software on the target system. During the installation process, your temporary
directory must contain sufficient space to accommodate the compressed Java run-time
environment (JRE) bundled with the installation program and an uncompressed copy of the JRE
that is expanded into the temporary directory. The extracted files are deleted from the temporary
directory at the end of the installation process. As a general rule, installation programs require
Table 1-1 System Requirements
Component Requirement
Platform configuration A supported configuration of hardware, operating system, JDK, and database is
required. See Supported Configurations at
http://e-docs.bea.com/platform/suppconfigs/index.html.
The Supported Configurations documentation specifies other prerequisites and
recommendations, such as recommended versions of the Java 2 JDK.
Processor 1-GHz CPU recommended
Hard disk drive A complete installation requires approximately 820 MB of disk space.
Memory 1 GB of RAM minimum
Color bit depth display
and size
For graphical user interface (GUI) mode installation, 8-bit color depth (256 colors) is
required.
For console-mode and silent-mode installation, there is no color bit depth requirement.
Java 2 JDK The BEA Products installation program requires a Java run-time environment (JRE) to
run. A JRE is bundled in the Windows installation program and in some UNIX
installation programs (those with filenames ending in .bin). Both the BEA JRockit
JDK (Windows and Linux only) and the Sun Java 2 JDK are installed on your system.
You can specify the JDK to use with your domains when you create the domains with
the Configuration Wizard and WLST. Basically I have to install these while working with [https://enterprise.affle.com/ios-app-development] For other UNIX platforms, the installation program does notinstall a Java 2 JDK. Filenames for these installation programs end in .jar. To run the .jar installation programs, you must have the appropriate version of the Java 2 JDK installed on you system, and include the bin directory of the JDK at the beginning of the PATH variable definition. It is important that you use a JDK because the installation process assigns
values to JAVA_HOME and related variables to point to the JDK directory.
Installation Prerequisites
Installation Guide 1-9
approximately 2.5 times the amount of temporary space that is ultimately required by the installed
files.
By default, the installation program uses the following temporary directories:
z Windows platforms—directory referenced by the TMP system variable
z UNIX platforms—system-dependent temporary directory
Note: If you do not have enough temporary space to run the installation program, you are
prompted to specify an alternate directory or exit the installation program.
To make sure that you have adequate temporary space, you may want to allocate an alternate
directory for this purpose. To do so, follow the instructions provided in the following table.
Administrator Privileges
On Windows systems, Administrator privileges are required in the following circumstances:
z To install the Node Manager as a Windows service.
You must have Administrator privileges to install the Node Manager as a Windows service.
When the Node Manager is installed as a Windows service, it starts at the completion of the
installation process, and again, automatically, each time you boot your Windows system.
On this platform . . . Perform this step . . .
Windows Do one of the following:
• Set the TMP system variable to a directory of your choice.
• If starting the installation program from the command line, include the
-Djava.io.tmpdir=tmpdirpath option replacing tmpdirpath
with the full path of the directory that you want to designate as a
temporary storage area for the BEA Products installation program. For
example:
server900_win32.exe -mode=console
-Djava.io.tmpdir=D:\Temp
UNIX Enter the following option on the command line when you start the
installation program:
-Djava.io.tmpdir=tmpdirpath
Here, tmpdirpath is the full path of the directory that you want to
designate as a temporary storage area for the BEA Products installation
program.
Preparing for Your Installation
1-10 Installation Guide
For more information, see “About Installing Node Manager as a Windows Service” on
page 1-16.
z To create Start menu shortcuts in the All Users folder.
When you are installing the software as a user with Administrator privileges, you are
presented with the option to create the Start menu shortcuts in the All Users folder, or in
the Local user’s Start menu folder. The following table describes the options available.
If a user without Administrator privileges installs the software, the Start menu entries are created
in the user’s local Start menu folder.
Licensing
Your BEA software cannot be used without a valid license. When you install your software, the
installation program installs a development license (license.bea) into the BEA Home directory,
to allow you to start using the product immediately.
To use your software in a full-scale production environment, you must purchase a production
license. To find out how to do so, contact your sales representative or visit the BEA corporate
Web site at http://www.bea.com.
For more information about development and production licenses, see “About BEA Product
Licenses” on page 6-1.
Development and production licenses for pre-9.0 versions of WebLogic Server do not work with
WebLogic Server 9.0; any such license must be upgraded to 9.0. Procedures for upgrading a license
file and installing permanent licenses are provided in “Upgrading Licenses from Previous Software
Releases” on page 6-6.
If you select . . . The following occurs . . .
All Users All users registered on the machine are provided with access to
the installed software. Subsequently, if users without
Administrator privileges use the Configuration Wizard from this
installation to create domains, Start menu shortcuts to the
domains are not created. In this case, users can manually create
shortcuts in their local Start menu folders, if desired.
Local user Other users registered on this machine will not have access to the
Start menu entries for this installation.
Selecting Directories for Your Installation
Installation Guide 1-11
Selecting Directories for Your Installation
During the installation process, you need to specify locations for the following directories:
z BEA Home directory
z Product installation directory
Choosing a BEA Home Directory
When you install your BEA software, you are prompted to specify a BEA Home directory. This
directory serves as a repository for common files that are used by multiple BEA products installed
on the same machine. For this reason, the BEA Home directory can be considered a central support
directory for all the BEA products installed on your system.
The files in the BEA Home directory are essential to ensuring that BEA software operates correctly
on your system. They perform the following types of functions:
z Ensure that licensing works correctly for the installed BEA products
z Facilitate checking of cross-product dependencies during installation
z Facilitate Service Pack installation
The following illustration shows the structure of a sample BEA Home directory, created by the
installation program, which includes a bundled JDK.
This illustration depicts only the files and directories required in the BEA Home directory. If you
choose the default product installation directory, however, you will see additional directories in
the BEA Home directory, such as weblogic90. Although the default location for the product
Preparing for Your Installation
1-12 Installation Guide
installation directory is within the BEA Home directory, you can select a different location outside
the BEA Home directory.
Note: On some UNIX platforms, the installation program does not install the JDK.
During installation of your BEA software, you are prompted to choose an existing BEA Home
directory or specify a path to create a new BEA Home directory. If you choose to create a new
directory, the installation program automatically creates it for you. Notes: BEA recommends that you do not exceed a maximum of 12 characters when naming your
BEA Home directory. If the name of this directory has more than 12 characters, the
CLASSPATH may not be resolved properly.
You can install only one instance of each version of a BEA product in a single BEA Home
directory. For example, you can install only one instance of WebLogic Server 9.0 in a
BEA Home directory, but that BEA Home directory may also contain an instance of
WebLogic Server 8.1.
Understanding the Functions of the BEA Home Directory
The files and directories in the BEA Home directory are described in the following table.
Table 1-2 BEA Home Directory Description
Component Description
eclipse301 directory
(Windows only)
Contains Eclipse version 3.0, which is required by the BEA XQuery Mapper
tool, a plug-in for Eclipse. Installed with the Data Transformation tools
subcomponent of AquaLogic Service Bus. For more information, see
“AquaLogic Service Bus” on page 1-4.
jre142_03 directory
(Windows only)
Contains the software for the JRE required to run Eclipse 3.0 for the
XQuery Mapper plug-in. Installed with the Data Transformation tools
subcomponent of AquaLogic Service Bus.
jdkxxx directory Contains the software for the Sun Java 2 JDK installed with your software.
The JDK provides the Java run-time environment (JRE) and tools for
compiling and debugging Java applications. In this directory name, xxx
indicates the version of the Sun JDK installed on your system, for example
jdk150_03.
Selecting Directories for Your Installation
Installation Guide 1-13
jrockit90_xxx directory
(Windows and Linux only)
Contains the software for the BEA JRockit JDK installed with your software.
The JDK provides the Java run-time environment (JRE) and tools for
compiling and debugging Java applications. In this directory name, xxx
indicates the version of the JRockit JDK installed on your system, such as
jrockit90_150_03.
logs directory Contains a history file of installation and uninstallation for the BEA Home
directory.
utils directory Contains utilities that are used to support the installation of all BEA products
installed in this BEA Home directory. The utils.jar file contains code
that supports the UpdateLicense utility.
license.bea file An XML file that contains the license keys for all the BEA products installed
in the BEA Home directory.
Licenses are release specific. For example, you cannot use a license from a
previous release with WebLogic Server 9.0. To convert a pre-9.0
license.bea file to a WebLogic Server 9.0 license.bea file, see
“Upgrading Licenses from Previous Software Releases” on page 6-6.
To update your license.bea file for additional functionality, see
“Updating Your license.bea File” on page 6-3.
Note: Do not edit the license.bea file manually. Doing so may cause
operating problems for the currently installed BEA products, or
result in problems later when BEA products are installed for
maintenance upgrades.
registry.xml file A registry file that contains a persistent record of all BEA products installed
on the target system. This registry contains product-related information, such
as version number, service pack number, and location of the installation
directory.
Note: Do not edit this file manually. Doing so may cause operating
problems for the currently installed BEA products, or result in
installation problems when installing future BEA products or
maintenance upgrades.
For more information about the BEA registry file, see “Using the BEA
Registry API” in ISV Partners’ Guide at the following URL:
http://e-docs.bea.com/common/docs90/isv/detect.html
Table 1-2 BEA Home Directory Description (Continued)
Component Description
Preparing for Your Installation
1-14 Installation Guide
Creating Multiple BEA Home Directories
Although it is possible to create more than one BEA Home directory, we recommend that you
avoid doing so. In almost all situations, a single BEA Home directory is sufficient. There may be
circumstances, however, in which you prefer to maintain separate development and production
environments, with a separate product stack for each. With two directories, you can update your
development environment (in a BEA Home directory) without modifying the production
environment until you are ready to do so.
Choosing a Product Installation Directory
The product installation directory contains all the software components that you choose to install
on your system, including program files and examples. You are prompted during your initial
installation to choose a product installation directory. If you accept the default on a Windows
system, for example, your software is installed in the following directory:
C:\bea\weblogic90
Here, C:\bea is the BEA Home directory and weblogic90 is the product installation directory
for the WebLogic Server 9.0 software. However, you can specify any name and location on your
system for your product installation directory; there is no requirement that you name the directory
weblogic90 or create it under the BEA Home directory.
The installation program installs the software components in a product installation directory
represented by the WL_HOME variable. If, during your initial installation, you choose to install
WebLogic Server only, and not all of the products available for installation, and you later decide
to install additional products, such as AquaLogic Service Bus (using the same BEA Home
directory), you are not prompted, during the subsequent installations, to specify a product
installation directory. The installation program detects the WL_HOME directory and installs the
additional products under it.
A description of the BEA Products directory structure is provided in “Understanding the Product
Directory Structure” on page 7-4.

dorober schrieb:

Es muss dafür opensc per "sudo apt install opensc" installiert werden. Erhöht das nicht die Angriffsfläche?

Weil mit dem Paket opensc administrative Zugriffe auf Chipkarten möglich sind? Nein.

Die Installation des Paketes erhöht in dem Sinne die Angriffsfläche, dass es selbst Sicherheitslücken enthalten kann, die das Einschleusen von Schadsoftware ermöglichen. Das trifft jedoch auf jedes installierte Programm zu.

Sollte man es nach PIN-Wechsel wieder deinstallieren?

Interessiert man sich für die Aktivität/Agilität der Entwickler eines bestimmten Programmes, kann man sich zum Beispiel per apt show <paketname> oder eine beliebige Suchmaschine auf die Suche nach den Quellen begeben. Das Paket opensc erscheint mir nicht verwaist.

Es gibt allerdings noch eine zweite Ebene, auf die man bei der Vertrauenswürdigkeit eines Ubuntu-Paketes sehen sollte. Für Pakete im Repositorium universe wird die Pflege und Aktualisierung nicht vom Ubuntu-Hersteller Canonical übernommen, sondern diese obliegt der Ubuntu-Nutzer-Gemeinschaft. Manchmal übernehmen die Upstream-Entwickler eines Programmes die Paketbetreuung für die ein oder andere Linux-Verteilung, meistens handelt es sich jedoch um andere Personen.

Die Häufigkeit der Aktualisierung eines Ubuntu-Paketes in der Vergangenheit kann auf der Kommandozeile folgendermaßen abgeschätzt werden:

1
2

$ sudo apt install jq
$ curl 'https://api.launchpad.net/1.0/ubuntu/+archive/primary?ws.op=getPublishedSources&source_name=<paket>&exact_match=true' | jq | grep -i "display_name"

Wobei der Paketname <paket> innerhalb der URL nicht unbedingt mit dem Paketnamen für die Installation per apt übereinstimmen muss. Stattdessen handelt es sich um den Namen der per

1

$ apt show <installationspaketname> | grep "^Source: "

ausgegeben wird. Wird nichts ausgegeben, so stimmt er doch mit dem Installationspaketnamen überein.

Für das Paket pcscd (grundlegender Dienst für die Kommunikation mit Kartenlesern) erhält man zum Beispiel die Ausgabe

1
2
3

$ apt show pcscd | grep "^Source: "
[...]
Source: pcsc-lite

Für das Paket opensc bleibt die Ausgabe dagegen leer.

Die Abfrage vergangener Aktualisierung des Pakets opensc und weitere Einschränkung auf aktuelle Ubuntu-Versionen mittels Codenamen (bionic = 18.04, focal = 20.04, jammy = 22.04, kinetic = 22.10, lunar = 23.04) sieht dann folgendermaßen aus:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

$ curl 'https://api.launchpad.net/1.0/ubuntu/+archive/primary?ws.op=getPublishedSources&source_name=opensc&exact_match=true' | jq | grep -iE "display_name.*(bionic|focal|jammy|kinetic|lunar)"
[...]
      "display_name": "opensc 0.22.0-2ubuntu1 in lunar",
      "display_name": "opensc 0.22.0-2ubuntu1 in kinetic",
      "display_name": "opensc 0.22.0-2ubuntu1 in kinetic",
      "display_name": "opensc 0.22.0-1ubuntu2 in kinetic",
      "display_name": "opensc 0.22.0-1ubuntu2 in jammy",
      "display_name": "opensc 0.22.0-1ubuntu2 in jammy",
      "display_name": "opensc 0.22.0-1ubuntu1 in jammy",
      "display_name": "opensc 0.22.0-1 in jammy",
      "display_name": "opensc 0.21.0-1ubuntu2 in jammy",
      "display_name": "opensc 0.21.0-1ubuntu1 in jammy",
      "display_name": "opensc 0.20.0-3 in focal",
      "display_name": "opensc 0.20.0-3 in focal",
      "display_name": "opensc 0.20.0-2 in focal",
      "display_name": "opensc 0.20.0-2 in focal",
      "display_name": "opensc 0.20.0-1 in focal",
      "display_name": "opensc 0.20.0-1 in focal",
      "display_name": "opensc 0.19.0-2 in focal",
      "display_name": "opensc 0.17.0-3 in bionic",
      "display_name": "opensc 0.17.0-3 in bionic",
      "display_name": "opensc 0.17.0-2build1 in bionic",
      "display_name": "opensc 0.17.0-2build1 in bionic",
      "display_name": "opensc 0.17.0-2 in bionic",
      "display_name": "opensc 0.17.0-2 in bionic",
      "display_name": "opensc 0.17.0-1 in bionic",

Diese Liste mit Upstream-Sicherheitsaktualisierungen bzw. bekannten Sicherheitsvorfällen abzugleichen, ist dann aber eher ein Thema für IT-Dienstleister. Einen groben Eindruck kann sich so jedoch auch ein eigenständiger Administrator verschaffen. Ist eine lange Ausgabe besser oder eine kurze? Das hängt davon ab. :-)

flu

Herzlichen Dank!

cabalowen schrieb:

Installation Overview The BEA Products installation program provides a complete framework for the installation and

....

A description of the BEA Products directory structure is provided in “Understanding the Product Directory Structure” on page 7-4.

Ich dachte beA sei ein rein deutsches Produkt? Warum gibt es "nur" eine solche Anleitung in englischer Sprache?

Nur mal ein Gedanke, weil das nun auch bei der elektronischen Patientenakte diskutiert wird:

Nur das Aufbrechen der E2E-Verschlüsselung bei beA erlaubt DRITTEN das Durchsuchen des "Datenschatzes".

Ich halte es für eine Sauerei. Natürlich (!) - wir sind eine Demokratie! - also mit Fake-Begründungen. Ähnlich wie bei der ebenso lächerlichen DE-Mail, wo es hieß, man müsse die Verschlüsselung kaputtmachen, weil man ja auf Viren scannen müsse ...

dorober schrieb:

Dazu eine Frage: Ein Rechtsanwalt in meinem Bekanntenkreis nutzt das sogenannte "Softwarezertifikat" auf seinem Laptop. Sehr bequem, weil er nur noch die PIN eingeben muss, d.h. er speichert es auf dem Laptop. Ist das sicherheitstechnischer Wahnsinn?

Technisch gesehen spricht nichts für das Softwarezertifikat. Rechner können von Angreifern übernommen werden und dann Tastatureingaben, d.h. die PIN, mitlesen und samt Softwarezertifikat ausschleusen. Genau gegen dieses Szenario schützt die Kombination aus Klasse-3-Kartenleser plus Chipkarte.

Die Gefährlichkeit des Softwarezertifikats beruht auf der Tatsache, dass Anwender ohne entsprechendes Fachwissen die Vertrauenswürdigkeit eines vorliegenden Rechners überhaupt nicht angemessen beurteilen können. Und zwar jeden Tag aufs Neue. Das Softwarezertifikat eignet sich in der bestehenden Form nur für spezielle Umgebungen in denen technisch ein hohes Sicherheitsniveau durchgesetzt werden kann. Auf Rechnern, auf denen ein Anwender in irgend einer Form am System „fummeln“ kann, ist das Softwarezertifikat fehl am Platz. „Fummeln“ können Angreifer nämlich auch. Überraschende Sicherheitslücken, von denen Hersteller erst am selben Tag erfahren wie die Öffentlichkeit (Zero-Day), existieren und haben einen Marktwert.

Allerdings gibt es auch viele Gründe, die für das Softwarezertifikat sprechen:

• der Kostenvorteil

• die Bequemlichkeit bzw. die praktische Handhabung

• Das Softwarezertifikat wird von BRAK und BNotK beworben, also wird der Gebrauch wohl sicher sein.

Wie die Abwägung in der Praxis aussieht, dürfte klar sein. Dass für Anwälte eine erhöhte Gefährdung besteht, nicht eben zufällig, sondern gezielt ausgespäht zu werden, bleibt in der Rechnung oft außen vor.

Detektei, die: Dienstleistungsunternehmen, welches im Auftrag Informationen über Tatsachen, Vorgänge und Personen zusammenträgt. Der Einsatz illegal zu nennender Methoden ist unbotmäßig. Besondere Beachtung gilt dem Recht auf Schutz der Privatsphäre Betroffener.

Danke für die gut lesbaren Erläuterungen!!

Ich nehme an, der Druck zum Softwarezertifikat kam von den Tabletnutzern, allen voran, iPad-/iPhone-Nutzern, die bequem vom Sofa aus beA nutzen wollten. Und dann natürlich von den entsprechenden Softwareherstellern ("App"-Herstellern). Ich meine, einer von denen weilt hier sogar unter uns? (Rhetorische Frage). ☺

Ein paar Worte zu Ubuntu Pro, der erweiterten Unterstützung für Ubuntu LTS, welche seit Anfang des Jahres für die Allgemeinheit zur Verfügung steht.

Die Dienstleistung Ubuntu ESM (Extended Security Maintenance), welche sich an Firmenkunden richtet, wurde von Canonical in Ubuntu Pro umbenannt und ist jetzt auch im begrenzten Rahmen (für fünf Rechner) kostenlos für Privatleute verfügbar. Je nach Quellen fallen in den kostenlosen Tarif auch Kleinunternehmer/Selbständige (dazu weiter unten mehr).

Mit Ubuntu Pro werden Ubuntu-LTS-Versionen nicht nur 5 Jahre mit Sicherheitsaktualisierungen versorgt, sondern dieser Zeitraum verlängert sich auf 10 Jahre. Im Unterschied zu Ubuntu ESM umfasst Ubuntu Pro dabei nicht nur Pakete aus dem Repositorium main, sondern auch aus dem von Ubuntu-Nutzern betreuten Repositorium universe, aus welchem zum Beispiel die Pakete für die Unterstützung von Kartenlesern stammen. Allerdings gilt für universe lediglich eine Absichtserklärung (best effort) des Herstellers Canonical. Exotische Pakete werden möglicherweise durchs Raster fallen. Allerdings richtet sich Ubuntu Pro ja an Firmenkunden, sodass die interessanten, vielgenutzten Pakete vermutlich abgedeckt sein dürften.

Wie unterscheidet sich die Nutzung von Ubuntu LTS mit und ohne Ubuntu Pro in den ersten 5 Jahren?

Zunächst sei erwähnt, dass mit Ubuntu Pro zwei neue Paketquellen angezapft werden, infra und apps, welche main und universe entsprechen. Nach Ablauf von 5 Jahren erfahren weder main noch universe weitere Änderungen. Sicherheitsaktualisierungen werden nur noch über infra und apps bereitgestellt, welche eben nur mit Ubuntu Pro verfügbar sind.

Innerhalb der ersten 5 Jahre sollte es bezüglich Sicherheitsaktualisierungen theoretisch keinen Unterschied geben. Dennoch gibt es für Ubuntu 20.04 LTS in apps bereits Änderungen, die in universe nicht verfügbar sind. Zum Beispiel für das Paket opensc, mit welchem sich die PIN der neuen beA-Karte unter Ubuntu ändern lässt. Richtig deutlich erklärt Canonical diese Diskrepanz nicht. Meine Vermutung ist, dass Canonical für ausgewählte Pakete aus universe ein Code-Review durchführt und so entdeckte Schwachstellen in apps schließt. (Wie tiefgehend ein solcher Code-Review auch immer sein mag. Selbst mit vollständig automatisierten Verfahren lassen sich leider viele Schwachstellen finden.) Ob der eigentliche Paketbetreuer solche Änderungen auch in universe einpflegt, bleibt diesem überlassen.

Auf weitere Leistungen von Ubuntu Pro, wie Livepatch, möchte ich nicht näher eingehen. Das Einspielen eines neuen Kernels ohne Neustart spielt für Arbeitsplatzrechner keine große Rolle. Des weiteren geht mit Livepatch ein nicht unerheblicher, dauerhafter Datentransfer 🇬🇧 ins Nicht-EU-Ausland (England) einher, der bewertet werden möchte.

Was spricht für ein Ubuntu-Pro-Abonnement?

• Allein schon die zusätzlichen Sicherheitsaktualisierungen für univers (bzw. apps).

• Der verlängerte Unterstützungszeitraum von 10 Jahren mag interessant klingen. Praktisch orientiert man sich als beA-Nutzer jedoch an den Vorgaben der BRAK bzw. des Dienstleisters zur unterstützten Betriebssystemversion. Welche der aktuellen Ubuntu-LTS-Version wohl nicht mehr als 5 Jahre hinterherhinken wird. Oder?

• Für eigenständige Administratoren möglicherweise interessant, kann ein abgeschlossenes Ubuntu-Pro-Abonnement im Schadenfall gegebenenfalls Dritten gegenüber als juristischer Nachweis der eigenen Sorgfalt bei der Wartung dienstlich genutzter Rechner dienen.

Was spricht dagegen?

• Der Vertragspartner Canonical hat seinen Sitz im Nicht-EU-Ausland (London, England).

Was kostet Ubuntu Pro?

Die kleinste kommerzielle Lizenz kostet wie schon bei Ubuntu ESM 25 Euro pro Arbeitsplatzrechner pro Jahr 🇬🇧. Seit Januar 2023 ist eine Ubuntu-Pro-Lizenz für fünf Rechner für Privatnutzer kostenlos. Liest man die Leistungsbeschreibung bzw. den Bestellprozess für Ubuntu Pro, so erfährt man jedoch nicht alles. In Blogs über Ubuntu Pro erwähnt Canonical häufiger, dass unter das kostenlose Angebot auch Kleinunternehmer bzw. Selbständige fielen ("small-scale commercial use"), zuletzt vor gut einer Woche:

• Canonical launches free personal Ubuntu Pro subscriptions for up to five machines 🇬🇧 vom 5. Oktober 2022

• Ubuntu Pro enters general availability 🇬🇧 vom 26. Januar 2023

• Canonical Livepatch gets even better – Now supporting Hardware Enablement Kernels 🇬🇧 vom 13. April 2023

Ebenso diese Antwort in den Ubuntu-Pro-FAQ 🇬🇧 vom 8. März 2023.

Wie abonniert man Ubuntu Pro?

Voraussetzung ist ein Konto bei Ubuntu One. Hat man jenes eingerichtet, kann man damit Ubuntu Pro abonnieren 🇬🇧. Das kostenlose Abonnement bekommt man auf der Seite nicht per Knopf Get Ubuntu Pro, sondern nur per Register for personal use. Nach erfolgreichem Abonnieren findet man im Ubuntu-Pro-Dashboard 🇬🇧 einen Schlüssel (Token), eine längere, zufällig aussehende Zeichenkette, welche benötigt wird, um Ubuntu Pro auf den jeweiligen Rechnern einzurichten. Dazu spielt man zunächst sämtliche ausstehende Aktualisierungen ein. Danach führt man das auch im Dashboard angegebene, hier jedoch erweitere Kommando aus. Der zusätzliche Schalter verhindert die automatische Aktivierung von Livepatch bzw. aller Leistungen. <token> ist durch die eigene Zeichenkette zu ersetzen:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22

$ sudo pro attach --no-auto-enable <token>
Service esm-apps is recommended by default. Run: sudo pro enable esm-apps
Service esm-infra is recommended by default. Run: sudo pro enable esm-infra
Service livepatch is recommended by default. Run: sudo pro enable livepatch
Unable to determine current instance-id
This machine is now attached to 'Ubuntu Pro - free personal subscription'

SERVICE          ENTITLED  STATUS    DESCRIPTION
esm-apps         yes       disabled  Expanded Security Maintenance for Applications
esm-infra        yes       disabled  Expanded Security Maintenance for Infrastructure
fips             yes       disabled  NIST-certified core packages
fips-updates     yes       disabled  NIST-certified core packages with priority security updates
livepatch        yes       disabled  Canonical Livepatch service
usg              yes       disabled  Security compliance and audit tools

NOTICES
Operation in progress: pro attach

Enable services with: pro enable <service>

     Account: <email>
Subscription: Ubuntu Pro - free personal subscription

Um die Repositorien infra und apps zu aktivieren, ist dann folgendes Kommando nötig:

$ sudo pro enable esm-infra esm-apps
One moment, checking your subscription first
Updating package lists
Ubuntu Pro: ESM Infra enabled
Updating package lists
Ubuntu Pro: ESM Apps enabled

Der Umfang aktiver Leistungen von Ubuntu Pro auf einem Rechner lässt sich per Kommando pro status abfragen, dessen Ausgabe schließlich auf jedem Rechner in etwa so aussehen sollte:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

$ pro status
SERVICE          ENTITLED  STATUS    DESCRIPTION
esm-apps         yes       enabled   Expanded Security Maintenance for Applications
esm-infra        yes       enabled   Expanded Security Maintenance for Infrastructure
fips             yes       disabled  NIST-certified core packages
fips-updates     yes       disabled  NIST-certified core packages with priority security updates
livepatch        yes       disabled  Canonical Livepatch service
usg              yes       disabled  Security compliance and audit tools

Enable services with: pro enable <service>

     Account: <email>
Subscription: Ubuntu Pro - free personal subscription

Hinter fips und usg 🇬🇧 verbergen sich jeweils Hilfen für Complience-gerechte Rechnerverwaltung, die hier aber nicht weiter interessieren sollen.

Das war's. Nach einiger Zeit sollten dann unter Ubuntu 20.04 Aktualisierungen zum Beispiel für das Paket opensc eintreffen.

Wer die Entscheidung über Ubuntu Pro nicht sofort treffen möchte, wegen der zusätzlichen Sicherheitsaktualisierungen für opensc jedoch ein schlechtes Gefühl bekommt: Laut der betreffenden Ubuntu Security Notice (USN) 🇬🇧 und den dort unter Details verlinkten CVEs betreffen die Sicherheitsaktualisierungen für Ubuntu 20.04 in diesem Fall lediglich Treiber für bestimmte Chip-Karten. Die von der BNotK für den beA-Zugang ausgegebene Karte fällt nicht darunter.

Hinzuzufügen wären vielleicht noch zwei Links zur allgemeinen Leistungsbeschreibung von Ubuntu Pro 🇬🇧 und zu den Nutzungsbedingungen der privaten Lizenz 🇬🇧. Laut letzteren ist bei geschäftlicher Nutzung diese durch entsprechende Kontaktdaten offenzulegen.

If you are entering into these Terms of Service on behalf of a company or legal entity, you must identify the company or legal entity when registering for the Service and use your company or legal entity contact information in order to register.

Die einzige Möglichkeit dazu scheinen mir die Kontodaten des Ubuntu-One-Kontos. Unter Account Settings ⇒ Personal Details lassen sich Full Name, Username sowie Preferred email address auch im Nachhinein anpassen. Diese Änderungen sollte man dann auch in der eigenen Passwortverwaltung, ob nun analog oder digital, nachtragen.

Danke für deine Ausführungen, die ich gern lese, obwohl der Zusammenhang zum Thema eher locker ist. Kompliment, Du hast für einen Informatikerjuristen oder Juristeninformatiker eine ungewöhnlich lesbare Schreibe. Das ist wirklich selten.

Aber mein Grundsatz ist derselbe wie beim PKW: Den Hersteller geht's nix an, wer ich bin, was ich mache, "Where I wanna go today" etc.

U.a. deshalb mein Desinteresse an solchen "günstigen" Angeboten aus den Staaten der Five Eyes. Die NSA finanziert laut Heise die britischen Dienste. Und nein, ich halte mich nicht für so wichtig, dass die es auf mich abgesehen hätten. Man muss heutzutage nicht mehr wichtig sein, es gilt "full take" bzw. "bulk storage". Es reicht, dass man mal wichtig werden könnte. Oder ein Kontakt, ein Großneffe oder die Oma. Oder ein entfernter Bekannter.

Dass die so evtl. noch erleichterten Zugriff auf meine Geräte haben: Meinetwegen, gegen staatlich organisierte Kriminalität ist kein Kraut gewachsen. Und wie sagte Shuttleworth dümmlich: "Regt euch nicht so auf wegen der Amazon-Lens. Wir sind Root. Wir können eh alles!"

Nein, nein, die sollen sich schon mal selbst entblöden, bei der Erklärung wie sie auf unsere Rechner kommen, woher sie wussten, dass das unsere sind. Das gebe ich denen nicht schwarz auf weiß. Linux hat auch den Vorteil der Untreue: Ich bin nicht gebunden an eine Distribution, habe schon Suse, Mandriva, Debian, Mint, Manjaro hinter mir. Und als ich nun hier las, dass Manjaro mit vielen Google-Trackern dekoriert, war ich froh, auch von dort wieder geflohen zu sein. Vielleicht kannst du zu dem dortigen Thema etwas sagen? Ich halte dich ja mittlerweile für allwissend! 😇

flu schrieb:

In Ubuntu 22.04 wird Firefox als Snap-Paket installiert. Vermutlich hat es damit zu tun. Entweder liegt das Profil woanders oder Firefox ist in eine Sandbox eingesperrt und kann ohne weiteres keinen Kontakt zur lokal laufenden CS aufnehmen. Ich weiß es nicht. Du könntest mal versuchen, Firefox als DEB-Paket zu installieren. Hier wäre eine Anleitung auf Englisch (von mir nicht getestet).

Ein Umschalten der Protokollierungsstufe der beA Client Security von Level 3 auf 4 war auch hier hilfreich (Dies bewirkt, dass unter /tmp/BRAK/beAClientSecurity/bea_brak.log auch DEBUG Meldungen geloggt werden):

Demnach trifft deine Vermutung, dass es mit Snap zu tun hat, zu (No Firefox profiles found in /username/.mozilla/firefox/profiles.ini).

Eine komplette Neuinstallation von Firefox ist aber nicht notwendig. Ein symbolischer Link zum Snap-Firefoxprofil hat es auch getan:

ln -s ~/snap/firefox/common/.mozilla/firefox/ ~/.mozilla/firefox 

Danach konnte die Client Security nach einem Neustart die Zertifikate hinterlegen. beA läuft hier jetzt auch unter Ubuntu 22.04 LTS (mit einem Software-Token).