BESTÄTIGUNGSSTELLE UND ELEKTRONISCHE SIGNATUR

 

ALLGEMEINE FRAGEN UND ANTWORTEN:

 

Wo kann man Signaturgesetz, Verordnung und Erläuterungen bekommen?

  • Alle Gesetze und Verordnungen sind unter www.ris.bka.gv.at online abrufbar. (Für Signaturgesetz und –verordnung z.B. die Suchbegriffe SigG, SigV verwenden.)
  • Weiters stellt A-SIT auf seiner Homepage relevante Gesetze und Verordnungen zum freien Abruf bzw. per direktem Link zum Rechtsinformationssystem (RIS) des Bundeskanzleramtes zur Verfügung.
  • Eine kommentierte Ausgabe des Gesetzestextes (Brenn; Signaturgesetz) ist im Manz-Verlag erhältlich; ein Kommentar zur Signaturverordnung ist im gleichen Verlag erschienen. Seit der Veröffentlichung gab es teilweise Änderungen.

zum Seitenbeginn

Muss eine Chipkarte verwendet werden und was muss auf der Chipkarte sein?

Es bestehen keine formalen Anforderungen für die physikalische Ausprägung der Signaturerstellungseinheit (Signaturtoken). In der Praxis werden derzeit zertifizierte Chipkarten und Hardware Security Module (HSM) als Signaturerstellungseinheiten verwendet. Sie dienen der Verwahrung der Signaturerstellungsdaten (geheimer Signaturschlüssel) und zur Berechnung des Signaturwertes. Zumeist werden die Signaturerstellungsdaten direkt auf der Signaturerstellungseinheit erzeugt (sicherer Hardware-Zufallsgenerator).

Generell kann man davon ausgehen, dass es förderlich ist, auch den Hashalgorithmus auf der Signaturerstellungseinheit abzuwickeln. Besondere Vorkehrungen müssen jedenfalls getroffen werden, wenn der Hash außerhalb berechnet wird, damit das Unterschieben einer Signatur abgewendet werden kann.

zum Seitenbeginn

Muss ein kryptographischer Co-Prozessor auf der Chipkarte vorhanden sein?

Das Signaturgesetz und die Verordnung bestimmen weder die Art noch die Architektur von Signaturtokens (Signaturerstellungseinheiten). Demgemäß wird kein kryptographischer Co-Prozessor angeordnet. Die Notwendigkeit für einen solchen wird sich aus der Praxis und aus der Konkurrenzlage allenfalls ergeben. Es wird zu einem großen Teil davon abhängen, welche Signaturalgorithmen umgesetzt werden. Bei derzeit vorherrschender 8-Bit-Prozessortechnologie benötigt ein 1024-Bit RSA-Algorithmus in der Größenordnung von 25 Mio. Multiplikationen. Damit würde man erwarten müssen, dass eine Signatur im Bereich vieler Sekunden bis in den Minutenbereich dauert. Andererseits ist die Verarbeitung von elliptischen Kurven wesentlich effizienter. Co-Prozessoren bzw. kryptographische Beschleuniger der Prozessorarithmetik bedeuten auf dem Chip einer Chipkarte einen Mehraufwand von 5 bis 50% je nach Beschleunigungsgrad und Art der Kryptographie. Da der Chip selbst nur einen kleinen Teil der Kosten der Chipkarte ausmacht, wird der Mehraufwand für einen kryptographischen Co-Prozessor hauptsächlich eine Frage der Preisgestaltung der Karte sein.

zum Seitenbeginn

Welche Schlüssellängen sind für qualifizierte Signaturen notwendig?

Die Mindestlängen der Schlüssel werden in der Signaturverordnung rechtzeitig angepasst werden. A-SIT veröffentlicht in Abstimmung mit der RTR das Dokument: "Empfohlene Algorithmen und Parameter für elektronische Signaturen".

zum Seitenbeginn

Welche Verfahren sind für die qualifizierte Signatur möglich?

Signaturgesetz und Verordnung lassen einen breiten Spielraum für den freien Markt. In den für die Sicherheit der elektronischen Signatur zentralen Aspekten werden allerdings klare Anordnungen getroffen. Diese Methodik ergibt sich auch aus der EU-Richtlinie, daher sind die Verfahren für das Hashing und die kryptographischen Verfahren, die bei der elektronischen Signatur anwendbar sind, fest geregelt. Diese Verfahren sind im Anhang zur Signaturverordnung festgelegt und werden nach dem Stand der Technik und aufgrund laufender Technologiebeobachtung angepasst. Dabei spielt auch der Abgleich im internationalen Kontext eine wesentliche Rolle.

zum Seitenbeginn

Gibt es Attributzertifikate und welche Rolle haben diese?

Attributzertifikate sind streng von Attributen in Zertifikaten zu unterscheiden. Während das Gesetz Attribute in Zertifikaten in klarer Weise regelt, trifft das Signaturgesetz keine Aussage zu Attributzertifikaten. Damit sind derartige Datensätze nach dem Signaturgesetz keine Zertifikate, da sie keine Aussage über die Signatur (als Unterschriftsersatz) machen. Derartige Attributzertifikate sind demnach erlaubt, sind aber dem Inhalt des Dokumentes zuzuzählen bzw. als eigene Dokumente anzusehen.

zum Seitenbeginn

Wie genau müssen die Zeitangaben in den Zertifikaten und beim Widerruf sein?

Die Zeitangaben in Zertifikaten und Widerruf müssen gesichert sein. Damit ist davon auszugehen, dass die Technik und die sonstigen Randbedingungen, soweit anwendbar, gleich zu sein haben wie z. B. bei Zeitstempeldiensten. Die zeitliche Abweichung von der tatsächlichen Zeit ist damit nach SigV §14 (2) geregelt:

"(2) Die bescheinigte Zeitangabe (Datum und Uhrzeit) hat sich grundsätzlich auf MEZ unter Beachtung der Sommerzeit zu beziehen; andere Zeitzonen sind ausdrücklich anzugeben. Die Abweichung von der tatsächlichen Zeit darf beim Anbieter des Zeitstempeldienstes höchstens eine Minute betragen."

zum Seitenbeginn

Kann der sichere Widerruf analog dem Zertifikat mitgeschickt werden?

Da ein Widerruf in keinem Fall nachträglich erfolgen kann, ist es möglich und gangbar, einen "aktuellen Auszug aus den Widerrufsdiensten" einem qualifiziert signierten Dokument beizufügen. Da die Widerrufsdienste sicher sein müssen und gesicherte Zeitangaben enthalten, entsteht dabei kein Risiko. In der Praxis würde man bei einem solchen Verfahren Dokument, Signatur und den aktuellen Auszug aus dem Widerrufsdienst zusammen einem Zeitstempel unterziehen, um eine besonders leicht und sicher prüfbare Signatur zu erzeugen.

zum Seitenbeginn

Wie ist der Umstand "qualifiziertes Zertifikat" zu kennzeichnen?

Die Tatsache "qualifiziertes Zertifikat" muss aus dem Zertifikat hervorgehen, siehe SigG § 5 (1). Die dafür verwendete Zertifikatserweiterung kann, muss jedoch nicht, anerkannten Regeln, Normen oder Standards (z.B. ETSI TS 101 456, RFC 3739) entsprechen.

zum Seitenbeginn

Wie wird festgestellt, ob ein ZDA akkreditiert ist?

Die Tatsache "akkreditiert" muss aus dem qualifizierten Zertifikat beziehungsweise aus den Verzeichnissen hervorgehen. Die Form der Darstellung hat auf die rechtliche Erheblichkeit keinen Einfluss und wird in der Regel ohnehin in Textform und visuell ausgewertet werden. Es ist daher ein Fehlen einer normierten Darstellung nicht behindernd für die Umsetzung der elektronischen Signatur. 

zum Seitenbeginn

Ist es erlaubt, elektronische Signaturen auch über nicht darstellbare Binärdaten durchzuführen, wenn man den Signator darauf hinweist?

Ausschlaggebend ist nicht das Format der Daten, sondern die eindeutige Interpretation. Der Zertifizierungsdiensteanbieter hat dem Signator die Formate, die er qualifiziert signieren kann, bekannt zu geben. Die Spezifikation eines solchen Formates muss allgemein verfügbar sein und muss sicherstellen, dass die signierten Daten sowohl bei der Signaturerstellung als auch bei der Signaturprüfung zweifelsfrei und mit gleichem Ergebnis darstellbar sind (vgl. SigV § 4 (1)). Eine qualifizierte „blinde“ Signatur auf Daten, die der Signator und der Empfänger nicht interpretieren können, ist durch das Gesetz ausgeschlossen. Der Umstand einer normalen (nicht qualifizierten) Signatur wäre für derartige Daten nicht ausgeschlossen (auch dann nicht, wenn die technischen Umstände de facto gleich sicher sind).

zum Seitenbeginn

Mit welchen Geräten kann ein Zertifizierungsdiensteanbieter Signaturerstellungsdaten erzeugen?

Die wesentlichsten Bedingungen, die an das Erzeugen von Signaturerstellungsdaten gebunden sind, sind eine hohe Qualität des verwendeten tatsächlichen Zufalls und das technische Sicherstellen, dass eine Verwendung, ein Duplizieren oder sonstiges kompromittierendes Handhaben der Signaturerstellungsdaten ausgeschlossen ist.

Um diesen besonderen Anforderungen sicher gerecht zu werden ist auch für die Evaluation dieser Geräte die Anwendung von Sicherheitsvorgaben vorgeschrieben, welche von einer Bestätigungsstelle anerkannt sein müssen.

In der Praxis wird das Erzeugen der Signaturerstellungsdaten nur mit Spezialgerätschaft (z.B. HSM) zulässig sein, die geprüfte Zufallserzeugung und geprüfte Sicherheitstechnik besitzt und welche den Zugriffschutz auch gegenüber Insidern in einem sehr hohen Maß sicherstellen. 

zum Seitenbeginn

Können die Schlüssel der Signatur auch für Vertraulichkeitsanwendungen herangezogen werden?

Es ist notwendig, für Signatur und Verschlüsselung entsprechend dem Signaturgesetz unterschiedliche Schlüssel und damit auch unterschiedliche Zertifikate zu verwenden. X.509v3 erlaubt dies in der "keyusage" entsprechend zu definieren. Für diese Anforderung gibt es neben dem internationalen Konsens eine Reihe von Gründen. Der wesentlichste Grund ist die klare Entscheidbarkeit der Verwendung von Signaturerstellungsdaten. Eine unterschiedliche Verwendung würde dazu führen, dass der Benutzer nicht mehr mit Sicherheit unterscheiden kann, zu welchem Zwecke seine Signaturerstellungsdaten gerade verwendet werden. Dies ist aber sowohl durch die EU-Richtlinie wie auch durch das österreichische Gesetz als nicht zulässig erkannt.

zum Seitenbeginn

Dürfen die gleichen öffentlichen Schlüssel auf unterschiedliche Zertifikate passen?

Identische öffentliche Schlüssel, die auf unterschiedliche qualifizierte Zertifikate passen, haben den Umstand der Kompromittierung aller betroffenen Signaturerstellungsdaten zur Folge. Dabei sind Zertifikate, die verlängert wurden, und sich daher nur in den Gültigkeitszeiträumen unterscheiden, dann nicht als unterschiedlich anzusehen, wenn die Gültigkeitszeiträume einander überlappen (vgl. SigV $ 12 (4)).

zum Seitenbeginn

Was bedeutet eine Kompromittierung der Signaturerstellungsdaten eines Zertifizierungsdiensteanbieters?

Die Signaturerstellungsdaten des Zertifizierungsdiensteanbieters sind als kompromittiert anzusehen, wenn nicht mehr mit hoher Sicherheit ausgeschlossen werden kann, dass diese vom Personal des Zertifizierungsdiensteanbieters oder von Dritten in einer Weise verwendet werden können, die nicht dem Sicherheitskonzept des Anbieters entspricht. Insbesondere ist dies dann gegeben, wenn angenommen werden kann, dass die Signaturerstellungsdaten erfahren werden könnten oder die Algorithmen nicht mehr als hinreichend sicher gelten.

zum Seitenbeginn

Was bedeutet eine Kompromittierung der Signaturerstellungsdaten eines Signators?

Die Signaturerstellungsdaten des Signators sind als kompromittiert anzusehen, wenn nicht mehr mit hoher Sicherheit ausgeschlossen werden kann, dass diese in einer Weise verwendet werden können, die nicht dem Sicherheitskonzept des Anbieters entspricht. Insbesondere ist dies dann gegeben, wenn angenommen werden kann, dass die Signaturerstellungsdaten erfahren werden könnten oder die Algorithmen nicht mehr als hinreichend sicher gelten.

Tritt dieser Umstand ein, so ist zu befürchten, dass es zu elektronischen Signaturen kommt, die nicht einer Willenserklärung des Signators entstammen. Deshalb wird das Zertifikat unmittelbar zu widerrufen sein.

zum Seitenbeginn

Was passiert, wenn zwei Signatoren der gleiche Schlüssel zugeordnet ist?

Das Auftreten zweier gleicher Signaturerstellungsdaten kann aus der Sicht der Statistik theoretisch nicht ausgeschlossen werden, da unterschiedliche Diensteanbieter nicht die Gelegenheit des Vergleichs der Signaturprüfdaten haben, der allenfalls diesen Umstand aufzeigen würde.

Aufgrund der praktischen Wahrscheinlichkeit spielt diese Situation beim Einsatz von qualitativem Zufall in der Erzeugung der Signaturerstellungsdaten keine Rolle. Sollte diese Situation dennoch auftreten, wären alle (in der Regel zwei) betroffenen Zertifikate zu widerrufen. 

Die Situation könnte im Bereich der gewöhnlichen elektronischen Signaturen (nicht qualifizierten Signaturen) wesentlich kritischer sein, da die Qualität der Erstellung der Signaturerstellungsdaten nicht gesichert sein muss.

zum Seitenbeginn

Gibt es hinreichend viele Primzahlen?

Primzahlen spielen bei vielen kryptographischen Verfahren eine zentrale Rolle, da diese ein leichteres Lösen des betroffenen mathematischen Problems durch Anwendung auf die wesentlich kleineren Faktoren verhindern. Es ist daher von Bedeutung, dass man hinreichend viele Primzahlen findet, damit nicht dadurch die Wirksamkeit des Zufalls ausgeschaltet wird.

Die Theorie der Mathematik sichert ab, dass es hinreichend viele Primzahlen in allen Bereichen, auch in den Bereichen der sehr großen Zahlen, gibt. Die Primzahlen liegen etwa wesentlich dichter als die Quadrate der ganzen Zahlen - es gibt im gleichen Intervall wesentlich mehr Primzahlen als Quadrate.

zum Seitenbeginn

Können Zertifizierungsdiensteanbieter und Registrierungsstellen aus verschiedenen Staaten stammen?

Die EU-Richtlinie ordnet an, dass ein Zertifikat den Staat des Zertifizierungsdiensteanbieters beinhalten muss. Diese Anordnung wurde getroffen, um entscheiden zu können, welcher Staat für die Aufsicht und damit für die Einhaltung der Sicherheitsbedingungen die Zuständigkeit übernimmt. Andererseits unterscheidet die EU-Richtlinie nicht zwischen der Registrierung und der Zertifizierung. Man wird demnach davon ausgehen müssen, dass die Registrierung nur im Namen des Zertifizierungsdiensteanbieters und nur unter Sicherung der Aufsicht durch den Staat, in dem der Zertifizierungsdiensteanbieter tätig ist, geschehen kann.

zum Seitenbeginn