BSI-Forum

Vermeidung und Abwehr von Angriffen Trojanischer-Pferd-Programme auf Digitale Signaturen

Von Armin B. Cremers, Adrian Spalka und Hanno Langweg, Universität Bonn

Digitale Signaturen werden eine zentrale Rolle in der Entwicklung des E-Commerce einnehmen. Die verwendeten kryptographischen Algorithmen sind hinreichend sicher, sodass die Bedrohung durch so genannte Trojanische-Pferd-Programme an Bedeutung gewinnt. Jene benutzen Signiersoftware und Signaturchipkarte ohne Wissen und Zustimmung des Anwenders. Wir stellen mit dem "Trojan Resistant Secure Signing"-Verfahren eine Lösung vor, um Angriffe solcher Programme zu verhindern oder signifikant zu erschweren. Dazu werden kostengünstige Komponenten für Windows NT und 98 bereitgestellt, die den Lese- und Schreibzugriff auf die zu signierenden Daten selektiv einschränken. Für den Signierprozess stehen so stets unveränderte Daten bereit, die zur Eingabe und zur Überprüfung verwendet werden. Ergänzend werden bewährte Techniken aus der Korruptionsprävention eingesetzt.

Best Paper Award

Der vorliegende Beitrag zur Vermeidung und Abwehr von Angriffen Trojanischer Pferde auf digitale Signaturen errang auf dem 7. Deutschen IT-Sicherheitskongress des BSI den zweiten Platz der Best Paper Awards (vgl. BSI-Forum 2001/3, S. 30). Die ausgezeichneten Beiträge sind Im Tagungsband erschienen und werden im BSI-Forum nachgedruckt.

1 Einleitung

Die digitale Signatur soll es ermöglichen, fast alle Rechtsgeschäfte, für die heute eine Unterschrift auf Papier nötig ist, rechtswirksam abzuwickeln. Bei einer Urkunde auf Papier ist die Willenserklärung des Abgebenden verkörperlicht, es besteht kein Zweifel darüber, welche Willenserklärung er abgegeben hat. In digitaler Form sind die Daten nicht verkörperlicht. Es werden Hilfsmittel benötigt, um die Daten zu verarbeiten und zu präsentieren.

Während bei der Unterschrift auf Papier also bereits das Resultat unterschrieben wird, werden bei der digitalen Signatur Daten einer Person zugeordnet, die auf verschiedene Weise interpretiert werden können. Insbesondere muss der Verfasser einer Willenserklärung diese mithilfe eines Anwendungsprogramms erstellen, er kann die digitalen Daten nicht unmittelbar bearbeiten und signieren.

Da die digitale Signatur rechtswirksam sein soll, ist es entscheidend, die zu signierenden Daten vor der Erzeugung der Signatur unverändert zu lassen, wenn der Verfasser deren Bearbeitung abgeschlossen hat. So genannte Trojanische Pferde bedrohen die Integrität der zu signierenden Daten; diese Verletzung kann für den Verfasser der Signatur ernste rechtliche Konsequenzen bedeuten. Wenn beispielsweise in einem digital signierten Kaufvertrag Manipulationen erfolgen, bevor dieser digital signiert wird, so hat der Verfasser später ein Problem nachzuweisen, dass er eine andere Willenserklärung abgegeben hatte.

Bisher ist uns keine überzeugende Lösung bekannt, welche die Angriffe Trojanischer Pferde adäquat adressiert. Die Ansätze aus dem akademischen Umfeld sind in der Regel teuer und kompliziert, kommerzielle Produkte zeichnen sich durch konsequente Nichtbeachtung dieser Gefahr aus. So konnte beispielsweise das von der Deutschen Post AG angebotene Produkt eTRUST Mail 1.01 von uns kompromittiert werden (Stand Dezember 2000). Es war möglich, die Darstellung in der so genannten sicheren Anzeigekomponente zu verändern und die PIN für die Signaturchipkarte abzufangen. Für ein im Massenmarkt einzusetzendes Produkt ist das nicht akzeptabel.

Wir entwickeln in diesem Aufsatz eine Lösung, die bei geringen Kosten ein hohes Maß an Sicherheit und Benutzerfreundlichkeit bietet. Trojanische Pferde haben bei unserer Lösung signifikant weniger Möglichkeiten, den Signiervorgang zu beeinflussen. Eine Referenzimplementierung beabsichtigen wir auf dem BSI-Kongress [im Mai 2001, Anm. der Red.] vorzustellen.

Im folgenden Abschnitt definieren wir Ziele für eine Softwarelösung zur Erzeugung digitaler Signaturen. Der dritte Abschnitt befasst sich mit vorhandenen Ansätzen und Produkten. Inhalt des vierten Abschnitts sind Aspekte der Präsentation der signierten Daten, während im fünften Abschnitt untersucht wird, welche bewährten Methoden gegen Korruption auf Betriebssysteme übertragbar sind. Der sechste Abschnitt stellt unsere Lösung und Hinweise zur Implementierung vor. Im siebten Abschnitt zeigen wir auf, welche Probleme von uns gelöst werden und wo weitere Arbeit erforderlich ist.

2 Zielsetzung

Eine Lösung, die die Erzeugung digitaler Signaturen vor den Angriffen Trojanischer Pferde schützt, sollte mit wenig Aufwand in bestehende Systeme integrierbar sein.

Im Vergleich mit existierenden "Non-E"-Prozessen sollte der Signiervorgang nicht komplizierter ablaufen, gleichzeitig sollte aber auch keine Nachlässigkeit gefördert werden. Eine einfache Bedienung darf nicht dazu führen, dass der Prozess gegen Angriffe Trojanischer Pferde anfälliger und damit die Aussagekraft digitaler Signaturen eingeschränkt wird.

Die Verwendung digitaler Signaturen wird besonders für die "breite Masse" der PC-Anwender interessant werden. In Organisationen wie größeren Firmen oder staatlichen Verwaltungen sind Lösungen denkbar, die von vornherein die Möglichkeiten und die Bedeutung Trojanischer Pferde stark einschränken. Der Privatanwender hat aber keinen Systemverwalter, der für die Sicherheit seines PCs Konzepte erstellt und umsetzt.

Für die Umsetzung der digitalen Signatur auf bestehenden PCs werden wir uns auf die Betrachtung der Betriebssysteme Microsoft Windows NT/2000 und Windows 98/Me konzentrieren. Diese besitzen heute und wahrscheinlich auch in Zukunft im Privatbereich die größte Verbreitung. Die bereits auf dem Markt erhältlichen Ansätze zum digitalen Signieren sind ebenfalls fast ausschließlich für diese Plattform verfügbar.

3 Bisherige Ansätze

Es werden drei Ansätze vorgestellt, die die sichere Nutzung digitaler Signaturen ermöglichen sollen. Sie lassen sich einteilen in "Sichere Hardware", "Kopfrechnen" sowie "Sichere Software".

Die beiden erstgenannten bieten nachweisbar eine hohe Sicherheit gegen Angriffe Trojanischer Pferde. Sie sind aber teuer, kompliziert und unflexibel. Der dritte Ansatz stellt in herkömmlichen Implementierungen unseres Erachtens keine hinreichende Sicherheit zur Verfügung und ist darüber hinaus unflexibel und kompliziert.

Alle drei Ansätze gehen davon aus, dass die zu signierenden Daten vor Erzeugung beziehungsweise Freigabe der digitalen Signatur vom Benutzer explizit ein weiteres Mal betrachtet und bestätigt werden müssen.

3.1 Ansatz "Sichere Hardware"

Dieser Ansatz wird insbesondere von akademischen Einrichtungen und der Cryptovision GmbH, Gelsenkirchen, verfolgt. Zum Signieren wird besondere Hardware verwendet, die einen LC-Bildschirm, einen Chipkartenleser und eine zertifizierte Platine kombiniert (Abb. 1). Damit dient der PC des Benutzers nur noch als Lieferant der zu signierenden Daten. Die zertifizierte Hardware stellt die übermittelten Daten standardisiert dar, fordert den Benutzer zur Bestätigung auf, sendet die Daten an den integrierten Chipkartenleser mit der Signaturchipkarte und liefert die Signatur an den PC des Benutzers zurück. Ein Trojanisches Pferd auf dem PC des Benutzers hat keine Möglichkeit, dem Benutzer Daten unterzuschieben, die dieser nicht signieren will. Ausnahme: Der Benutzer kontrolliert die Präsentation auf der Signaturhardware nicht und bestätigt gegebenenfalls veränderte Daten aus Bequemlichkeit.

[Abb. 1]
Abb. 1: Ansatz "Sichere Hardware"

Vorteil des Verfahrens ist bei Einhaltung des Ablaufs eine Erzeugung der Signatur zu exakt den Daten, die signiert werden sollen.

Nachteile sind die Beschränkung auf standardisierte Formate der Anzeigekomponente, die Beschränkung auf Daten, die mit der Hardware der Anzeigekomponente dargestellt werden können (z. B. keine Audio-Daten), die Kosten für die zusätzliche Hardware, die Kosten für die Zertifizierung des Systems, der Aufwand und die Kosten für einen nachträglichen Austausch zertifizierter Komponenten.

3.2 Ansatz "Kopfrechnen"

Von T. Stabell-Kulø vorgestellt, betrachtet dieser Ansatz den PC des Benutzers als ohnehin unsicheres System, dem nicht vertraut werden kann. Die Kommunikation zwischen Benutzer und Signaturchipkarte kann also von Trojanischen Pferden beliebig manipuliert werden. Das Verfahren verwendet daher als Hilfsmittel einen One-Time-Pad, eine Substitutionstabelle, einen "Online Verification Service", einen "Public Server" und einen Freigabe-Hashwert (Abb. 2).

[Abb. 2]
Abb. 2: Ansatz "Kopfrechnen"

Da die der Chipkarte übermittelten Daten nicht vertrauenswürdig sind, werden sie zunächst signiert und mit den Ursprungsdaten an den Online Verification Service übermittelt. Dieser ist eine vertrauenswürdige Komponente im Signaturprozess und prüft die Signatur. Ist die Signatur korrekt, wird sie zusammen mit dem Freigabe-Hashwert an den Public Server übertragen und ist dort zunächst nicht freigegeben. Der Online Verification Service verschlüsselt nun die Ursprungsdaten mit dem One-Time-Pad und der Substitutionstabelle und überträgt sie durch den (unsicheren) PC des Benutzers zum Benutzer. Dieser ermittelt für jedes Zeichen der Nachricht anhand der Substitutionstabelle und des One-Time-Pads die Originalnachricht und prüft, ob sie mit der von ihm am PC eingegebenen übereinstimmt.

Dazu liest er manuell in der Substitutionstabelle zu einem Zeichen das korrespondierende ab, liest in einer zweiten Tabelle zu dem Zeichen einen Zahlenwert ab, subtrahiert von diesem den Zahlenwert an der entsprechenden Position im One-Time-Pad, führt gegebenenfalls eine Modulo-Operation durch, und liest anschließend in einer Tabelle zum Zahlenwert das passende Zeichen ab. Dieses sollte dann dem Zeichen der Originalnachricht entsprechen.

Unseres Erachtens ist dieses Verfahren für den Massenmarkt nicht praktikabel, da es vom Benutzer nicht akzeptiert werden wird. Es ist uns kein anders Signierverfahren bekannt, das vergleichbar benutzerunfreundlich ist. Nach Angaben des Autors des Systems schaffen geübte Benutzer bis zu circa 15 Zeichen pro Minute, ungeübte etwa die Hälfte. Ist der Benutzer einverstanden, übermittelt er den zum Freigabe-Hashwert passenden Originalwert an den Public Server und gibt somit die Signatur frei.

Vorteil des Verfahrens ist bei Einhaltung des Ablaufs eine Erzeugung der Signatur zu exakt den Daten, die signiert werden sollen.

Nachteile sind die Beschränkung auf geringe Datenmengen, die Erfordernis, einfache mathematische Operationen im Kopf durchzuführen, die Einführung eines Online Verification Services und eines Public Servers in die Infrastruktur sowie der Aufwand und die Kosten für Herstellung und Verbreitung von One-Time-Pads und Substitutionstabellen.

3.3 Ansatz "Sichere Software"

Ähnlich wie im unter 3.1 vorgestellten Ansatz "Sichere Hardware" soll der Benutzer vor Erzeugung der digitalen Signatur die zu signierenden Daten ein weiteres Mal präsentiert bekommen und ihre Korrektheit bestätigen.

Die Daten werden vom Anwendungsprogramm, in dem sie erzeugt oder bearbeitet werden, über eine definierte Schnittstelle an die Signaturanwendung weitergegeben. Da ein Trojanisches Pferd die Daten vor der Weitergabe unbemerkt verändern könnte, wählt die Signatursoftware eine standardisierte Präsentation der Daten und zeigt diese in der so genannten Anzeigekomponente an. Der Benutzer bestätigt die Präsentation und die Daten werden von der Signatursoftware an die Signaturchipkarte übermittelt, die die Signatur erzeugt. Anschließend werden die signierten Daten an das Anwendungsprogramm zurückgegeben (Abb. 3).

[Abb. 3]
Abb. 3: Ansatz "Sichere Software"

Vorteil des Verfahrens ist bei Einhaltung des Ablaufs und einer sorgfältigen Implementierung auf Basis eines hinreichend fähigen Betriebssystems eine Erzeugung der Signatur zu exakt den Daten, die signiert werden sollen.

Nachteile sind die Beschränkung auf standardisierte Formate der Anzeigekomponente, die Beschränkung auf Daten, die die Anzeigekomponente darstellen kann, die zusätzliche Präsentation der zu signierenden Daten sowie eine oft mangelhafte Absicherung gegen Angriffe Trojanischer Pferde (insbesondere auf die Anzeigekomponente und die PIN-Eingabe).

Die Sicherheit dieses Ansatzes beruht darauf, dass angenommen wird, zentrale Bestandteile der Signiersoftware würden zuverlässig und ohne Manipulation von außen ausgeführt. Folgte man dieser Annahme, könnte man allerdings auch gleich darauf verzichten, die Signaturschlüssel in einer besonders gesicherten Chipkarte zu verarbeiten. Die wohlwollende Umgebung, in der die Signiersoftware ausgeführt werden soll, gewährleistete schließlich einen ausreichenden Schutz. Leider ist die Welt nicht so einfach.

Zur Demonstration haben wir beispielhaft in dem von der Deutschen Post AG angebotenen Produkt eTRUST Mail 1.01 die Darstellung in der Anzeigekomponente verändert. Zusätzlich war es möglich, die eingegebene PIN für die Signaturchipkarte abzufangen. Die verwendeten Methoden erfordern einen geringen Programmieraufwand und sind seit langem bekannt. Rechtlich löst der Hersteller das Problem, indem er für die Zertifizierung unter anderem als Rahmenbedingung festlegt, dass "jede auf diesem Computer installierte Software weder böswillig manipuliert noch in irgendeiner Form verändert wurde, um Daten auszuforschen, zu verändern oder die Funktion anderer Programme unzulässig zu verändern." Auf die Schwachstelle angesprochen gab der Hersteller an, man sei dafür nicht primär verantwortlich. Microsoft sei informiert und um Abhilfe gebeten worden. Für ein im Massenmarkt einzusetzendes Produkt ist dies realitätsfremd, zumal technische Gegenmaßnahmen möglich sind.

4 Generelle Anforderungen

Signiert werden soll eine Willenserklärung des Verfassers. Um die Willenserklärung im Streitfall reproduzieren zu können, ist eine reproduzierbare Repräsentation der digitalen Daten erforderlich.

Idealerweise erfolgt die Darstellung in der Anwendungssoftware, mit der die Daten beim Verfasser bearbeitet wurden. Die für die Darstellung relevanten Parameter werden ermittelt und in die Signatur eingefügt. Auf dem System des Empfängers werden diese Parameter aus der Signatur extrahiert und die Darstellung erfolgt (deterministisch) in der mit den Parametern gestarteten Anwendung.

Das Problem dabei ist, alle relevanten Parameter zu finden und diese auf dem Empfängersystem einzustellen, da möglicherweise auch andere Anwendungen mitbetroffen sind. Ein weiteres Problem sind neue Versionen des Anwendungsprogramms. Bei neuen Versionen könnte sich die Bedeutung von Parametern ändern, es könnten Parameter wegfallen oder neue hinzukommen.

Für eine Anwendung kann man alle Einstellungen aus der Windows-Systemregistrierung extrahieren. Bei der Verifikation der Signatur auf dem PC des Empfängers müssen die aktuellen Einstellungen in einen Schattenspeicher gesichert werden, dann werden die Einstellungen des Verfassers eingespielt. Nach der Verifikation werden die Originaleinstellungen wieder zurückgespielt.

Allerdings gibt es Parameter, die von aktiven Dokument-Inhalten ausgewertet werden können, die nicht einfach beeinflusst werden können. Diese sind in der Regel über Betriebssystemfunktionen zugänglich, zum Beispiel Speicherort, PC-Name, IP-Adresse, MAC-Adresse, Name des interaktiv angemeldeten Benutzerkontos, Systemzeit und dergleichen. Diese Parameter lassen sich ohne größeren Aufwand den aktiven Inhalten nicht vorenthalten.

Solange es durch das Anwendungsprogramm nicht möglich ist, alle Parameter für die Darstellung zu ermitteln und auf dem Empfänger-PC auch zu rekonstruieren, stellen aktive Dokument-Inhalte eine große Gefahr dar. Nach unserer Ansicht müssen diese daher deaktiviert werden.

5 Anti-Korruptions-Praktiken

Bei der Korruptionsprävention in Organisationen geht es darum, einen bestimmten Ablauf von Prozessen sicherzustellen beziehungsweise zu entdecken, dass Beteiligte sich unkorrekt verhalten. Dies ist beim Einsatz digitaler Signaturen auf PCs ähnlich. Trojanische Pferde sollen entdeckt werden, wenn sie sich unkorrekt verhalten in Bezug auf die Weitergabe der Daten, die von der Signaturchipkarte signiert werden sollen.

Häufig verwendete Methoden gegen Korruption sind das so genannte Mehr-Augen-Prinzip, Personalrotation und zentrale Vergaben. Auf Betriebssysteme übertragen führt dies zu den folgenden Ratschlägen.

6 Trojan Resistant Secure Signing

6.1 Das Konzept

Wie in Abschnitt 3.3 gezeigt, haben Trojanische Pferde oft zu viele Möglichkeiten, in den Ablauf und die Interaktion anderer Prozesse einzugreifen. Dies lässt sich mit einer geeigneten Implementierung der zu schützenden Anwendung einschränken.

[Abb. 4]
Abb. 4: Konzept des Trojan Resistant Secure Signing

Unser Verfahren beruht auf drei Grundsätzen. Erstens soll ein Trojanisches Pferd nicht erfahren, wann Daten signiert werden sollen. So kann es Daten nicht gezielt manipulieren, denn es muss ja damit rechnen, entdeckt zu werden. Fast jedes Anwendungsprogramm bietet die Möglichkeit, bearbeitete Daten für eine spätere Verwendung zu speichern. Dieses Speichern kann vielen Zwecken dienen. Ein Trojanisches Pferd, das die Daten pauschal vor jeder Speicherung manipuliert, läuft große Gefahr, entdeckt zu werden und wird daher davon Abstand nehmen.

Zweitens soll ein Trojanisches Pferd nach der Speicherung der zu signierenden Daten keine Möglichkeit bekommen, die Daten zu manipulieren. Werden die Daten unverändert zur Signaturchipkarte übertragen, so werden genau die Daten signiert, die der Benutzer signieren will. Wir lösen dieses Problem, indem die Daten auf einem nicht veränderbaren Medium (WORM = write once read multiple) gespeichert und von einer zuverlässig gestarteten Signiersoftware übertragen werden.

Drittens soll ein Trojanisches Pferd keine Daten an die Signaturchipkarte schicken, die der Benutzer nicht signieren will. Dies wird klassisch über eine PIN-Eingabe des Benutzers an die Chipkarte gelöst. Allerdings erfolgt die PIN-Eingabe in einer durch das Betriebssystem gesicherten Umgebung oder alternativ mit einer preisgünstigen Hardwarelösung.

Dabei müssen die von uns verwendeten Komponenten WORM-Medium, Signiersoftware und Gerätetreiber gegen Manipulationen geschützt werden. Dies ist jedoch mit einfachen Mitteln möglich. WORM und Gerätetreiber werden als Bestandteile des Betriebssystems gegen Manipulationen durch Trojanische Pferde geschützt. Die Signiersoftware kommuniziert im Wesentlichen mit dem WORM-Medium und der Signaturchipkarte. Eine Kommunikation zwischen Signiersoftware und Benutzer muss besonders geschützt werden, wie im Folgenden dargestellt wird.

6.2 Technische Umsetzung (Windows NT/2000)

Das im vorhergehenden Abschnitt dargestellte Verfahren soll nun konkret umgesetzt werden. Dazu werden die benötigten Komponenten vorgestellt. Bei der Umsetzung wurde darauf geachtet, dass nach Möglichkeit Änderungen an Betriebssystem oder Anwendungsprogrammen nicht erforderlich sind.

Das vorgestellte Verfahren löst mehrere Probleme, die bisherige Signatursoftwareprodukte aufweisen:

6.3 Technische Umsetzung (Windows 98/Me)

Wird als Betriebssystem Windows 98/Me verwendet, so stehen nicht alle Funktionen von Windows NT/2000 zur Verfügung. Der Wegfall von Zugriffsrechten kann teilweise durch den Einsatz kryptographischer Methoden und besondere, nicht teure, Hardware kompensiert werden.

6.4 Realisierung als Baukasten

Unsere Lösung ist auf Standard-PCs einfach einsetzbar. Es wird unter Windows NT/2000 keine zusätzliche Hardware benötigt. Zur Erhöhung der Sicherheit und unter Windows 98/Me sollten wenige preisgünstige Hardwarekomponenten eingesetzt werden.

Im Wesentlichen bedient sich das Verfahren der Techniken, die betriebssystemseitig vorgehalten werden. Man kann sich das als Baukasten vorstellen, dessen Teile zu einer Gesamtlösung zusammengesetzt werden.

Unter Windows NT/2000 gehören dazu insbesondere:

Für Windows 98/Me und als Ergänzung unter Windows NT/2000:

Die Realisierung ist unter Windows 98/Me aufwändiger als unter NT/2000, aber dennoch möglich.

7 Zusammenfassung und Ausblick

Mit dem von uns vorgeschlagenen Trojan Resistant Secure Signing werden wichtige Probleme im Zusammenhang mit Angriffen Trojanischer Pferde auf den Prozess des digitalen Signierens gelöst.

Erstens legt der Benutzer die zu signierenden Daten bereits in seinem Anwendungsprogramm fest und bekommt sie dort präsentiert. Eine zusätzliche Präsentation in einem festen Standardpräsentationsformat ist nicht nötig.

Zweitens schaffen wir eine gesicherte Übertragung der zu signierenden Daten von der Speicherung durch das Anwendungsprogramm bis zur Signaturchipkarte.

Drittens schützen wir die Freigabe der Signaturerzeugung durch eine sichere PIN-Übermittlung an die Signaturchipkarte.

Viertens erfordert unsere Lösung keine zusätzliche teure Hardware, sondern lässt sich vollständig in Software realisieren.

In dieser Kombination erfährt ein Trojanisches Pferd nichts von einer bevorstehenden Signaturerzeugung und kann später, wenn der Signaturprozess begonnen hat, keine Manipulation der Daten mehr vornehmen.

Weitere Arbeit ist erforderlich in Bezug auf die Präsentation der signierten Daten beim Empfänger. Eine angemessene Behandlung aktiver Dokument-Inhalte und eine exakte Rekonstruktion der Präsentation in der Anwendung des Verfassers sollten besonderes Augenmerk erhalten.

Literatur

 
V. Bontchev (1996), Possible macro virus attacks and how to prevent them, Computers & Security, 15 (1996), S. 595–626
 
CERT Coordination Center (1999), CERT Advisory CA-99-02-Trojan-Horses, [externer Link] www.cert.org/advisories/CA-99-02-Trojan-Horses.html
 
P. Docherty, und P. Simpson (1999), Macro Attacks: What Next After Melissa?, Computers & Security, 18 (1999), S. 391–395
 
Europäisches Parlament und Europarat (1998), Directive on a Community framework for electronic signatures, C5-0026/99 - 1998/0191 - (COD)
 
R. Ford (1999), Malware: Troy Revisited, Computers & Security, 18 (1999), S. 105–108
 
D. Fox (1998), Zu einem prinzipiellen Problem digitaler Signaturen, [externer Link] DuD Datenschutz und Datensicherheit, 22.7 (1998), S. 386–388
 
U. Pordesch (2000), Der fehlende Nachweis der Präsentation signierter Daten, [externer Link] DuD Datenschutz und Datensicherheit, 24.2 (2000), S. 89–95
 
A. U. Schmidt (2000), Signiertes XML und das Präsentationsproblem, [externer Link] DuD Datenschutz und Datensicherheit, 24.3 (2000), S. 153–158
 
T. Stabell-Kulø (2000), Smartcards: how to put them to use in a user-centric system, HUC2K The Second International Symposium on Handheld and Ubiquitous Computing, [externer Link] www.pasta.cs.uit.no/publications/HUC2K.html

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2001, Seite 55