BESTÄTIGUNGSSTELLE UND ELEKTRONISCHE SIGNATUR

 

SIGNATURPRÜFUNG - FRAGEN UND ANTWORTEN:

Wie müssen Signaturen geprüft werden?

Eine Verpflichtung Signaturen sicher zu prüfen, ist aus dem Gesetz nicht abzuleiten.

Eine qualifizierte Signaturprüfung muss jedenfalls durch den Zertifizierungsdiensteanbieter für die qualifizierten Zertifikate, die er ausstellt, möglich sein.

zum Seitenbeginn

Woher bekomme ich in gesicherter Form das Zertifikat eines Zertifizierungsdiensteanbieters?

Jeder kann die Zertifikate der Diensteanbieter bei den Verzeichnissen der Aufsichtsstelle in gesicherter Form abfragen. Es ist dazu anzumerken, dass dies nur einmal pro Zertifizierungsdiensteanbieter zu geschehen hat und daher kein besonderes Verkehrsvolumen oder sonstige Anforderungen an die Kommunikation darstellt.

zum Seitenbeginn

Wie erfährt man, ob ein Zertifizierungsdiensteanbieter qualifizierte Zertifikate ausstellt?

Der Umstand "qualifiziertes Zertifikat" muss aus dem Zertifikat selbst hervorgehen. Da sich die Kunden (sowohl die Signatoren wie auch die Signaturprüfer) die Zertifikate der Diensteanbieter entweder direkt bei diesen oder bei der Aufsichtsstelle in gesicherter Form holen können, ist dadurch sichergestellt, dass die betroffenen Anbieter auch einer Aufsicht unterliegen und damit die Information in den qualifizierten Zertifikaten gesichert ist.

zum Seitenbeginn

Wie prüft der ZDA, dass die Schlüssel komplementär sind?

Einzigartigkeit in der Praxis und das komplementäre Arbeiten von Signaturerstellungs- und Signaturprüfdaten sind wesentliche Elemente einer qualifizierten Signatur. Der Umstand des komplementären Arbeitens kann durch die geprüfte Technik des Erzeugens sichergestellt werden. Um diesen Umstand zu prüfen, wird in der Praxis eine Hashfunktion (Fingerprint) herangezogen, die diese Entsprechung nach technisch sicherer Erzeugung sicherstellen kann.

Das Signaturgesetz schreibt allerdings keine Technik vor. Es könnte demgemäß allenfalls auch die Übernahme durch eine elektronische Signatur bestätigt werden. Die Prüfung eben dieser elektronischen Signatur führt dann zur gesicherten Übereinstimmung zwischen Erstellungs- und Prüfdaten. Daraufhin könnte der Zertifizierungsdiensteanbieter das Zertifikat aushändigen und in Verzeichnissen anbieten. Derartige Prozeduren sind möglich und gangbar, da zum Bilden der Signatur nur die Signaturerstellungsdaten aber nicht das Zertifikat benötigt wird.

zum Seitenbeginn

Wie kann eine digitale Signatur eines ausländischen Absenders als
vertrauenswürdig festgestellt werden?

Die Vertrauenswürdigkeit einer digitalen Signatur ist eng an die Vertrauenswürdigkeit des dazu verwendeten Zertifikats und der verwendeten Signaturerstellungseinheit gekoppelt. Dabei ist sinnvoll, zwischen Signaturen basierend auf qualifizierten Zertifikaten und sicheren Signaturerstellungseinheiten (z.B. Chipkarten) im Sinne der EU Signaturrichtlinie (äquivalent zu qualifizierten Signaturen in Österreich) und "sonstigen Signaturen" zu unterscheiden.
Basiert eine Signatur auf einem qualifizierten Zertifikat, so hat der Zertifizierungsdiensteanbieter die hohen Anforderungen der EU Signaturrichtlinie zu erfüllen und unterliegt jedenfalls einer Aufsicht, was entsprechende Vertrauenswürdigkeit mit sich bringt. Meist führen Aufsichtsstellen auch Listen der durch sie überwachten Zertifizierungsstellen.
Der Umstand "qualifiziertes Zertifikat" muss aus dem Zertifikat selbst hervorgehen. Dazu wird technisch meist entweder ein Verweis auf eine "Certificate Policy(CP)" gegeben, in der das Ausstellen "qualifiziertes Zertifikat" textlich dargestellt ist, oder als ein Bezeichner (ein so genannter OID) nach einschlägigen Standards (z.B. RFC 3739 oder ETSI TS 101.862) so im Zertifikat geführt, dass dieses automatisiert als qualifiziertes Zertifikat erkennbar ist.
Wenn ein Zertifizierungsdiensteanbieter sich einer freiwilligen Akkreditierung nach EU Signaturrichtlinie unterzieht, so sind die Mitgliedstaaten angehalten, diese Zertifizierungsdiensteanbieter der Kommission mitzuteilen (zu notifizieren). Eine Liste der notifizierten Zertifizierungsdiensteanbieter finden Sie unter folgendem Link: http://europa.eu.int/information_society/eeurope/2005/ der EU Kommission.
Für "gewöhnliche" Zertifikate hängt die Vertrauenswürdigkeit des Zertifikats von vom Zertifizierungsdiensteanbieter verwendeten Komponenten, Sicherheitsmaßnahmen und Praktiken ab. Diese beschreibt der Zertifizierungsdiensteanbieter in "Certificate Policies (CP)" und "Certificate Practice Statements (CPS)", die er meist im Internet zur Verfügung stellt. Die Links zu CP und CPS finden sich üblicher Weise im Zertifikat selbst und werden in den Zertifikatsdetails unter "Zertifikatsrichtlinien" angegeben. Die Bewertung der Verfahren des Zertifizierungsdienstanbieters hinsichtlich der Vertrauenswürdigkeitsanforderungen einer Organisation bedarf gewissen Sachverstands (etwa, ob Zertifikate nur für Chipkarten ausgestellt werden, wie der Zertifikatswerber identifiziert wird, o.ä.). Generell ist im Umgang mit Vertrauen in diese technischen und organisatorischen Vorgänge Bedacht zu wahren. Signaturprodukte erlauben üblicherweise, Zertifizierungsdiensteanbieter als vertrauenswürdig anzugeben, was durch Sachkundige (z.B. in EDV Abteilungen einer Organisation) erfolgen kann, oder in Anwendungen vorkonfiguriert wird. Welche Kriterien für die Vertrauenswürdigkeit anzusetzen sind, hängt von der Sensitivität der Anwendung ab und kann nicht generalisiert beantwortet werden.

zum Seitenbeginn