Elektronische Unterschriften - ostwestfalen.ihk.de · Gefahren der Datenmanipulation und des Datendiebstahls Knotenrechner Weg einer E-Mail via Internet von Benutzer A zu Benutzer

Elektronische UnterschriftenElektronische Unterschriften

Anwendungen und rechtliche Anwendungen und rechtliche GrundlagenGrundlagenJohannes BlömerJohannes Blömer

Institut für InformatikInstitut für InformatikInstitut für IndustriemathematikInstitut für Industriemathematik

Universität PaderbornUniversität Paderborn

02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften

ÜberblickÜberblick• Warum elektronische Unterschriften?

• Was leisten elektronische Unterschriften?

• Wo können elektronische Unterschriften eingesetzt werden?

• Wie funktionieren elektronische Unterschriften?

• Was sind die rechtlichen Grundlagen für elektronische Unterschriften?

• Wie sieht die Infrastruktur für elektronische Unterschriften aus?

• Wie sieht die Zukunft elektronischer Unterschriften aus?


Warum elektronische Unterschriften?Warum elektronische Unterschriften?

Gefahren der Datenmanipulation und des Datendiebstahls

Knotenrechner

Weg einer E-Mail via Internet von Benutzer A zu Benutzer B

Washington D.C.

Provider von A

Paris

A BProvider von B

Berlin

New York

Sydney

potentielle Gefahren

Mitlesen

Verändern

Kopieren

ErsetzenKapstadt

Rom

Helsinki


Was leistet eine handschriftliche Unterschrift?Was leistet eine handschriftliche Unterschrift?

• Angegebene Identität wird authentisch.

• Integrität (Korrektheit) des Inhalts wird bestätigt.

• Sowohl Authentizität als auch Integrität können überprüft werden, denn

• Unterschrift ist individuell und schwer zu fälschen.


D.h., eine elektronische Unterschrift soll dazu dienen:

• Die Unverfälschtheit eines Dokuments zu garantieren (Integrität).

• Den Unterzeichner eines Dokuments zu identifizieren unddiesen an das Dokument zu binden (Authentizität und Unwiderrufbarkeit).

• Integrität und Identität über längere Zeiträume hin zu verifizieren (Verifizierbarkeit).

Was leistet eine elektronische Unterschrift?Was leistet eine elektronische Unterschrift?

Eine elektronische Unterschrift soll für elektronische Dokumente die gleichen Aufgaben erfüllen wie die handschriftliche Unterschrift für nicht elektronische

Dokumente.


Was leistet eine elektronische Unterschrift?Was leistet eine elektronische Unterschrift?

Eine Unterschrift kann nicht die Vertraulichkeit eines elektronischen Dokuments garantieren. Hierzu muss

dieses zusätzlich verschlüsselt werden.


Wo können elektronische Unterschrift Wo können elektronische Unterschrift eingesetzt werden?eingesetzt werden?

Elektronische Unterschriften können überall dort eingesetzt werden, wo

- vertrauenswürdige Kommunikation- sichere Identifikation - Integrität von Daten

erwünscht oder notwendig sind.

Soll eine Unterschrift rechtsverbindlich sein, muss es sich um eine qualifizierte elektronische Unterschrift

handeln.


Anwendungen elektronischer UnterschriftenAnwendungen elektronischer Unterschriften

1. Gesicherte elektronische Kommunikation

2. Elektronische Rechnungen und elektronische Verträge(E-Buisiness und E-Commerce)

3. Anträge und Bescheide, z.B. Steuererklärungen und Steuerbescheide im Rahmen von ELSTER® (E-Government, Bund-Online 2005, E-Government 2.0)

4. Rechtsverkehr – Mahnbescheide, Einreichung von Dokumenten z.B. beim Bundesgerichtshof

5. Elektronische Archivierung, z.B. bei medizinischen Daten


Wie funktionieren elektronische Unterschriften? Wie funktionieren elektronische Unterschriften?

Eine elektronische Unterschrift wird in zwei Schritten erstellt:

1. Berechnen eines Hashwertes.

2. Berechnen der eigentlichen Unterschrift.

Der Hashwert eines Dokuments ist ein digitaler Fingerabdruck des Dokuments.



Der Hashwert zu einem elektronischen Dokument besitzt die beiden folgenden Eigenschaften.

• Berechnet man zu Dokument den Hashwert mehrmals, so ergibt sich immer derselbe Hashwert.

• Unterschiedliche Dokumente besitzen mit überwältigender Wahrscheinlichkeit unterschiedliche Hashwerte.


Schema elektronische UnterschriftSchema elektronische Unterschrift



• Hashwerte können bei Einsatz geeigneter Verfahren, die Integrität von Dokumenten garantieren.

• Aber Hashwerte sind unpersönlich, d.h., der Hashwert ist unabhängig von der Person, die ihn berechnet, er hängt nur vom Dokument ab.

• Da Hashwerte unpersönlich sind, sind sie alleine nicht für die Authentisierung geeignet.

• Daher wird bei einer elektronischen Unterschrift aus dem Hashwert noch die eigentliche elektronische Signaturberechnet.



• Die elektronische Signatur ist eine personalisierte Version des Hashwerts und kann Integrität und Authentizität garantieren.

• Die elektronische Signatur wird mit Hilfe eines mathe-matischen Verfahrens aus dem Hashwert eines Doku-ments und einem privaten Schlüssel berechnet.

• Der private Schlüssel ist geheim und personalisiert, d.h., unterschiedliche Personen besitzen unterschied-liche private Schlüssel. Der private Schlüsselmuss (höchstens) ihrem Eigentümer bekannt.

• Die aus Hashwert und privatem Schlüssel berechnete Signatur wird dem Dokument als elektronische Unter-schrift angehängt.


Schema elektronische UnterschriftSchema elektronische Unterschrift



• Um eine elektronische Unterschrift zu verifizieren, wird ein zum privaten Schlüssel des angeblichen Unterzeichners passender öffentlicher Schlüssel verwendet.

• Öffentliche Schlüssel sind jeder (interessierten) Person bekannt.

• Aus dem öffentlichen Schlüssel und der elektronischen Signatur lässt sich der ursprünglicher Hashwertrekonstruieren.

• Verifikation erfolgt, indem rekonstruierter Hashwert und vom Verifizierer selbst berechneter Hashwert des Dokuments verglichen werden.

• Unterschrift wird als gültig akzeptiert, wenn rekonstruierter Hashwert und berechneter Hashwert übereinstimmen.


Schema elektronische Unterschrift Schema elektronische Unterschrift -- VerifikationVerifikation


Sicherheit elektronischer Unterschriften Sicherheit elektronischer Unterschriften

• Um zu garantieren, dass Unterschriften nicht gefälscht werden können, dürfen die privaten Schlüssel nur sehr schwer aus den öffentlichen Schlüsseln berechenbar sein (asymmetrisches Verfahren).

• Dieses ist nach heutigem Wissenstand durch Verfahren wie

1. RSA (Rivest, Shamir, Adleman)

2. DSA (digital signature algorithm)

3. EC-DSA (elliptic curve digital signature algorithm)

sichergestellt.


Sicherheit elektronischer Unterschriften Sicherheit elektronischer Unterschriften

• Außerdem muss sichergestellt sein, dass

1. Private Schlüssel nur einmal vergeben werden.

2. Öffentliche Schlüssel der richtigen Person zugeordnet sind.

• Dieses geschieht durch vertrauenswürdige Dritte(trusted third parties).

• In der Praxis umgesetzt durch Public-Key-Infrastruktur(PKI), insbesondere Zertifikate und Zertifizierungsdienstanbieter.


1. Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr (Formanpassungsgesetz) (13. Juli 2001)

2. Richtlinie des europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (europäische Richtlinien)(13.Dezember 1999)

3. Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz) (16.Mai.2001)

4. Verordnung zur elektronischen Signatur (Signaturverordnung) (16. November 2001)

Rechtliche GrundlagenRechtliche Grundlagen


Rechtliche GrundlagenRechtliche Grundlagen

1. Formanpassungsgesetz setzt qualifizierte elektronische Unterschriften gleich mit handschriftlichen Unterschriften.

2. Aufbauend auf den europäischen Richtlinien legt das Signaturgesetz fest, was eine qualifizierte elektronische Unterschrift ist.

3. Die Signaturverordnung regelt Durchführungsbestim-mungen, legt z.B. fest, was ein angezeigter bzw. akkreditierter Zertifizierungsanbieter zu leisten hat und was z.B. als sichere Signaturerstellungseinheit gilt.


Typen elektronischer UnterschriftenTypen elektronischer Unterschriften

elektronische Signatur

fortgeschrittene elektronischeSignatur

qualifizierte elektronischeSignatur

qualifizierte elektronischeSignatur mit

Anbieterakkreditierung


FormanpassungsgesetzFormanpassungsgesetz

Änderung des Bürgerlichen Gesetzbuchs

Das Bürgerliche Gesetzbuch … wird wie folgt geändert:

2. § 126 wird wie folgt geändert:a) Nach Absatz 2 wird folgender Absatz 3 eingefügt:„(3) Die schriftliche Form kann durch die elektronische

Form ersetzt werden, wenn sich nicht aus dem Gesetz ein anderes ergibt.“


Änderung des Bürgerlichen Gesetzbuchs

Das Bürgerliche Gesetzbuch … wird wie folgt geändert:

3. Nach § 126 werden folgende §§ 126a und 126b eingefügt:„§ 126a

(1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen.

FormanpassungsgesetzFormanpassungsgesetz


Signaturgesetz Signaturgesetz Im Sinne dieses Gesetzes sind

1. „elektronische Signaturen“ ...

2. „fortgeschrittene elektronische Signaturen“ …

3. „qualifizierte elektronische Signaturen“ elektronische Signaturen nach Nummer 2, diea) auf einem zum Zeitpunkt ihrer Erzeugung gültigen

qualifizierten Zertifikat beruhen undb) mit einer sicheren Signaturerstellungseinheit erzeugt

werden,


Zertifikate Zertifikate -- Zertifizierungsdienstanbieter Zertifizierungsdienstanbieter

Ein Zertifikat ist die Bestätigung, dass die Unterschrift unter ein Dokument echt ist. Es wird damit bestätigt, dass das Dokument von der Person stammt, die sie

unterzeichnet hat.

Zertifikate für elektronische Unterschriften werden in Deutschland von so genannten

Zertifizierungsdienstanbietern ausgestellt. Dieses sind bei der Bundesnetzagentur angezeigte Unternehmen.


ZertikateZertikate

Name, Vornameggf. Pseudonym

gültig von:gültig bis:

Ausgestellt vomZertifizierungsdienst-anbieter xy

ZERTIFIKATZERTIFIKAT

Öffentlicher Schlüssel(Signaturprüfschlüssel)

Zertifikat enthält Angaben

1. Zur Identität des Schlüsselinhabers.

2. Zur Gültigkeitsdauer

3. Zum Aussteller des Zertifikats.

4. Den öffentlichen Schlüsseldes Inhabers.


ZertikateZertikate

Name, Vornameggf. Pseudonym

gültig von:gültig bis:

Ausgestellt vomZertifizierungsdienst-anbieter xy

ZERTIFIKATZERTIFIKAT

Öffentlicher Schlüssel(Signaturprüfschlüssel)

Um das ZERTIFIKAT vor

Manipulationen zu schützen,

wird es vom Aussteller

elektronisch mit Hilfe seines

privaten Schlüssels signiert.


Zertifikate und VerifikationZertifikate und Verifikation

• Zertifikate werden an signierte Nachricht angehängt.

• Zertifikate können beim entsprechenden Anbieter nachgefragt werden, Zertifizierungsanbieter müssen Verzeichnisdienste anbieten.


PublicPublic--KeyKey--InfrastrukturInfrastruktur

1. Öffentliche Schlüssel von Zertifizierungsanbietern werden durch übergeordnete Zertifizierungsanbieter zertifiziert, diese bestätigen damit die Vertrauenswürdigkeit des ersten Anbieters.

Hierarchie von Zertifikaten

2. In Deutschland in drei Ebenen:

I. BundesnetzagenturII. Angezeigte bzw. akkreditierte ZertifizierungsanbieterIII. Anwender


PublicPublic--KeyKey--InfrastrukturInfrastruktur

Bundesnetzagentur

Anwender Anwender Anwender Anwender Anwender Anwender Anwender

Zertifikat der Netzagentur kann direkt geprüft werden.


Zertifizierungsdienstanbieter Zertifizierungsdienstanbieter Damit elektronisch unterschriebene Dokumente überlange Zeiträume überprüft werden können

• Müssen Verzeichnisdienste über lange Zeiträume zuverlässig arbeiten.

• Müssen Verzeichnisdienste unterschiedlicher Anbieter kompatibel sein.

• Müssen alle von Anbieter eingesetzten Verfahren und technische Komponenten einen hohen Sicherheitsstandard erfüllen.


Zertifizierungsdienstanbieter Zertifizierungsdienstanbieter

Signaturgesetz setzt hierfür Rahmenbedingungen.

Sicherheit eingesetzter Verfahren und technischer Komponenten wird durch

• BSI

• TÜV Informationstechnik

• Zertifizierungsstelle der T-Systems

überprüft.


Zertifizierungsdienstanbieter Zertifizierungsdienstanbieter Zertifizierungsdienste

• Müssen nicht genehmigt werden.

• Müssen angezeigt werden bei der Bundesnetzagentur (mit Sicherheitskonzept).

• Können akkreditiert werden (Sicherheit wird vor Aufnahme des Betriebs überprüft).

Bei akkreditierten Anbietern garantiert die Netzagentur, dass auch bei Betriebseinstellung Zertifikate weiterhin überprüft werden können.


Wie wird elektronisch unterschrieben? Wie wird elektronisch unterschrieben? Sie benötigen

• Computer mit Internetanbindung

• Signaturkarte und Chipkartenleser(erhältlich bei Zertifizierungsan-bieter, Teil des Sicherheitspakets,Karte speichert privaten Schlüssel)

• Software(z.B. Outlook und Zusatzkom-ponenten ⇒ Zertifizierungsanbieter)


Wie wird elektronisch unterschrieben? Wie wird elektronisch unterschrieben? Folgende Schritte müssen ausgeführt werden

1. Email-Programm starten und Signaturkarte einlegen, PIN eingeben.


Wie wird elektronisch unterschrieben? Wie wird elektronisch unterschrieben?

2. Email verfassen.


Wie wird elektronisch unterschrieben? Wie wird elektronisch unterschrieben?

3. Email signieren.


Wie sieht die Zukunft elektronsicher Signaturen aus? Wie sieht die Zukunft elektronsicher Signaturen aus?

Elektronische Signaturen werden in Zukunft eine immergrößere Rolle spielen.

Drei Initiativen sollen das belegen:

1. Signaturbündnis

2. BundOnline 2005/ E-Government 2.0

3. i2010

http://praesenzen.datevstadt.de/display/customer_sites/index.jsp?customer=328459


Signaturbündnis Signaturbündnis Initiative von Bundesregierung, Wirtschaftsverbänden undUnternehmen zur Förderung elektronischer Unterschriften.Gegründet am 3. April 2003. Beteiligt u.a.


Signaturbündnis Signaturbündnis „… Die Vision des Bündnisses ist:

Der Bürger kann mit

• jeder beliebigen Chipkarte

• jedem Kartenleser

• eine Vielzahl - idealerweise alle –

• der verfügbaren Applikationen aus

• eCommerce und eGovernment nutzen.… „


BundOnlineBundOnline 2005 2005

Initiative der Bundesregierung seit September 2000.

„… Ziel dieser Initiative ist es, alle onlinefähigen Dienstleistungen der Bundesverwaltung bis 2005 elektronisch verfügbar zu machen. Dies nützt den Bürgerinnen und Bürgern, davon profitiert der Wirtschaftsstandort Deutschland. …“

Ende 2005 waren 440 Dienste online verfügbar.


A. Portfolio: Bedarfsorientierter qualitativer und quantitativer Ausbau des E-Government Angebots des BundesB. Prozessketten: Elektronische Zusammenarbeitzwischen Wirtschaft und Verwaltung durch gemeinsameProzesskettenC. Identifizierung: Einführung eines elektronischenPersonalausweises und Erarbeitung von E-Identity KonzeptenD. Kommunikation: Sichere Kommunikationsinfrastrukturfür Bürgerinnen und Bürger, Unternehmen und Verwaltungen

EE--GovernmentGovernment 2.0 2.0

Am 13. September beschlossenes Programm der Bundes-regierung. Vier Handlungsfelder werden identifiziert:


i2010 i2010

i2010 has three priorities:

1) to create a Single European Information Space, whichpromotes an open and competitive internal market for information society and media services.

2) to strengthen investment in innovation and research in information and communication technologies (ICT).

3) to foster inclusion, better public services and quality of life through the use of ICT.

Durch die EU Kommission am 1. Juni 2005 ins LebenInitiative:


Fortgeschrittene Unterschriften Fortgeschrittene Unterschriften -- PGP PGP

• Sollen elektronische Unterschriften nur unternehmensintern genutzt werden, so sind qualifizierte Unterschriften mit Zertifikaten nicht notwendig.

• Dann genügen einfache oder fortgeschrittene Unterschriften.

• Software hierfür ist (frei) verfügbar z.B. über PGP (Pretty Good Privacy).

• Dann können auch unternehmensinterne Zertifizierungshierarchien aufgebaut werden.

Documents

Elektronische Unterschriften - ostwestfalen.ihk.de · Gefahren der Datenmanipulation und des Datendiebstahls Knotenrechner Weg einer E-Mail via Internet von Benutzer A zu Benutzer