BESTÄTIGUNGSSTELLE UND ELEKTRONISCHE SIGNATUR
Weitere FAQs:
Bestätigungsstelle und elektronische Signatur
SIGNATURPRÜFUNG - FRAGEN UND ANTWORTEN:
- Wie müssen Signaturen geprüft werden?
- Woher bekomme ich in gesicherter Form das Zertifikat eines Zertifizierungsdiensteanbieters?
- Wie erfährt man, ob ein Zertifizierungsdiensteanbieter qualifizierte Zertifikate ausstellt?
- Wie prüft der ZDA, dass die Schlüssel komplementär sind?
- Wie kann eine digitale Signatur
eines ausländischen Absenders als
vertrauenswürdig festgestellt werden?
Wie müssen Signaturen geprüft werden?
Eine Verpflichtung Signaturen sicher zu prüfen, ist aus dem Gesetz nicht abzuleiten.
Eine qualifizierte Signaturprüfung muss jedenfalls durch den Zertifizierungsdiensteanbieter für die qualifizierten Zertifikate, die er ausstellt, möglich sein.
Woher bekomme ich in gesicherter Form das Zertifikat eines Zertifizierungsdiensteanbieters?
Jeder kann die Zertifikate der Diensteanbieter bei den Verzeichnissen der Aufsichtsstelle in gesicherter Form abfragen. Es ist dazu anzumerken, dass dies nur einmal pro Zertifizierungsdiensteanbieter zu geschehen hat und daher kein besonderes Verkehrsvolumen oder sonstige Anforderungen an die Kommunikation darstellt.
Wie erfährt man, ob ein Zertifizierungsdiensteanbieter qualifizierte Zertifikate ausstellt?
Der Umstand "qualifiziertes Zertifikat" muss aus dem Zertifikat selbst hervorgehen. Da sich die Kunden (sowohl die Signatoren wie auch die Signaturprüfer) die Zertifikate der Diensteanbieter entweder direkt bei diesen oder bei der Aufsichtsstelle in gesicherter Form holen können, ist dadurch sichergestellt, dass die betroffenen Anbieter auch einer Aufsicht unterliegen und damit die Information in den qualifizierten Zertifikaten gesichert ist.
Wie prüft der ZDA, dass die Schlüssel komplementär sind?
Einzigartigkeit in der Praxis und das komplementäre Arbeiten von Signaturerstellungs- und Signaturprüfdaten sind wesentliche Elemente einer qualifizierten Signatur. Der Umstand des komplementären Arbeitens kann durch die geprüfte Technik des Erzeugens sichergestellt werden. Um diesen Umstand zu prüfen, wird in der Praxis eine Hashfunktion (Fingerprint) herangezogen, die diese Entsprechung nach technisch sicherer Erzeugung sicherstellen kann.
Das Signaturgesetz schreibt allerdings keine Technik vor. Es könnte demgemäß allenfalls auch die Übernahme durch eine elektronische Signatur bestätigt werden. Die Prüfung eben dieser elektronischen Signatur führt dann zur gesicherten Übereinstimmung zwischen Erstellungs- und Prüfdaten. Daraufhin könnte der Zertifizierungsdiensteanbieter das Zertifikat aushändigen und in Verzeichnissen anbieten. Derartige Prozeduren sind möglich und gangbar, da zum Bilden der Signatur nur die Signaturerstellungsdaten aber nicht das Zertifikat benötigt wird.
Wie kann eine
digitale Signatur eines ausländischen Absenders als
vertrauenswürdig festgestellt werden?
Die Vertrauenswürdigkeit einer digitalen Signatur ist
eng an die Vertrauenswürdigkeit des dazu verwendeten
Zertifikats und der verwendeten Signaturerstellungseinheit
gekoppelt. Dabei ist sinnvoll, zwischen Signaturen basierend
auf qualifizierten Zertifikaten und sicheren Signaturerstellungseinheiten
(z.B. Chipkarten) im Sinne der EU
Signaturrichtlinie (äquivalent zu qualifizierten Signaturen in Österreich)
und
"sonstigen Signaturen" zu unterscheiden.
Basiert eine Signatur auf einem qualifizierten Zertifikat, so hat der Zertifizierungsdiensteanbieter
die hohen Anforderungen der EU
Signaturrichtlinie zu erfüllen und unterliegt jedenfalls einer Aufsicht,
was
entsprechende Vertrauenswürdigkeit mit sich bringt. Meist führen
Aufsichtsstellen auch Listen der durch sie überwachten
Zertifizierungsstellen.
Der Umstand "qualifiziertes Zertifikat" muss aus dem Zertifikat selbst
hervorgehen. Dazu wird technisch meist entweder ein Verweis auf eine "Certificate
Policy(CP)" gegeben, in der das Ausstellen "qualifiziertes
Zertifikat" textlich dargestellt ist, oder als ein Bezeichner (ein so
genannter OID) nach einschlägigen Standards (z.B. RFC 3739 oder ETSI TS
101.862) so im Zertifikat geführt, dass dieses automatisiert als
qualifiziertes Zertifikat erkennbar ist.
Wenn ein Zertifizierungsdiensteanbieter sich einer freiwilligen
Akkreditierung nach EU Signaturrichtlinie unterzieht, so sind die
Mitgliedstaaten angehalten, diese Zertifizierungsdiensteanbieter der
Kommission mitzuteilen (zu notifizieren). Eine Liste der notifizierten
Zertifizierungsdiensteanbieter finden Sie unter folgendem Link: http://europa.eu.int/information_society/eeurope/2005/
der
EU Kommission.
Für "gewöhnliche" Zertifikate hängt die Vertrauenswürdigkeit
des Zertifikats
von vom Zertifizierungsdiensteanbieter verwendeten Komponenten, Sicherheitsmaßnahmen
und Praktiken ab. Diese beschreibt der Zertifizierungsdiensteanbieter in "Certificate
Policies (CP)" und
"Certificate Practice Statements (CPS)", die
er meist im Internet zur Verfügung stellt. Die Links zu CP und CPS finden
sich üblicher Weise
im
Zertifikat selbst und werden in den Zertifikatsdetails unter
"Zertifikatsrichtlinien" angegeben. Die Bewertung der Verfahren des
Zertifizierungsdienstanbieters hinsichtlich der Vertrauenswürdigkeitsanforderungen
einer Organisation bedarf gewissen
Sachverstands (etwa, ob Zertifikate nur für Chipkarten
ausgestellt werden, wie der Zertifikatswerber identifiziert wird, o.ä.).
Generell ist im Umgang mit Vertrauen in diese technischen und
organisatorischen Vorgänge Bedacht zu wahren. Signaturprodukte erlauben üblicherweise,
Zertifizierungsdiensteanbieter als vertrauenswürdig
anzugeben, was durch Sachkundige (z.B. in EDV Abteilungen einer Organisation)
erfolgen kann, oder in Anwendungen vorkonfiguriert wird. Welche Kriterien
für die Vertrauenswürdigkeit anzusetzen sind, hängt von der Sensitivität
der Anwendung ab und kann nicht generalisiert beantwortet werden.