Upload
dangminh
View
216
Download
0
Embed Size (px)
Citation preview
Elektronische UnterschriftenElektronische Unterschriften
Anwendungen und rechtliche Anwendungen und rechtliche GrundlagenGrundlagenJohannes BlömerJohannes Blömer
Institut für InformatikInstitut für InformatikInstitut für IndustriemathematikInstitut für Industriemathematik
Universität PaderbornUniversität Paderborn
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
ÜberblickÜberblick• Warum elektronische Unterschriften?
• Was leisten elektronische Unterschriften?
• Wo können elektronische Unterschriften eingesetzt werden?
• Wie funktionieren elektronische Unterschriften?
• Was sind die rechtlichen Grundlagen für elektronische Unterschriften?
• Wie sieht die Infrastruktur für elektronische Unterschriften aus?
• Wie sieht die Zukunft elektronischer Unterschriften aus?
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Warum elektronische Unterschriften?Warum elektronische Unterschriften?
Gefahren der Datenmanipulation und des Datendiebstahls
Knotenrechner
Weg einer E-Mail via Internet von Benutzer A zu Benutzer B
Washington D.C.
Provider von A
Paris
A BProvider von B
Berlin
New York
Sydney
potentielle Gefahren
Mitlesen
Verändern
Kopieren
ErsetzenKapstadt
Rom
Helsinki
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Was leistet eine handschriftliche Unterschrift?Was leistet eine handschriftliche Unterschrift?
• Angegebene Identität wird authentisch.
• Integrität (Korrektheit) des Inhalts wird bestätigt.
• Sowohl Authentizität als auch Integrität können überprüft werden, denn
• Unterschrift ist individuell und schwer zu fälschen.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
D.h., eine elektronische Unterschrift soll dazu dienen:
• Die Unverfälschtheit eines Dokuments zu garantieren (Integrität).
• Den Unterzeichner eines Dokuments zu identifizieren unddiesen an das Dokument zu binden (Authentizität und Unwiderrufbarkeit).
• Integrität und Identität über längere Zeiträume hin zu verifizieren (Verifizierbarkeit).
Was leistet eine elektronische Unterschrift?Was leistet eine elektronische Unterschrift?
Eine elektronische Unterschrift soll für elektronische Dokumente die gleichen Aufgaben erfüllen wie die handschriftliche Unterschrift für nicht elektronische
Dokumente.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Was leistet eine elektronische Unterschrift?Was leistet eine elektronische Unterschrift?
Eine Unterschrift kann nicht die Vertraulichkeit eines elektronischen Dokuments garantieren. Hierzu muss
dieses zusätzlich verschlüsselt werden.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Wo können elektronische Unterschrift Wo können elektronische Unterschrift eingesetzt werden?eingesetzt werden?
Elektronische Unterschriften können überall dort eingesetzt werden, wo
- vertrauenswürdige Kommunikation- sichere Identifikation - Integrität von Daten
erwünscht oder notwendig sind.
Soll eine Unterschrift rechtsverbindlich sein, muss es sich um eine qualifizierte elektronische Unterschrift
handeln.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Anwendungen elektronischer UnterschriftenAnwendungen elektronischer Unterschriften
1. Gesicherte elektronische Kommunikation
2. Elektronische Rechnungen und elektronische Verträge(E-Buisiness und E-Commerce)
3. Anträge und Bescheide, z.B. Steuererklärungen und Steuerbescheide im Rahmen von ELSTER® (E-Government, Bund-Online 2005, E-Government 2.0)
4. Rechtsverkehr – Mahnbescheide, Einreichung von Dokumenten z.B. beim Bundesgerichtshof
5. Elektronische Archivierung, z.B. bei medizinischen Daten
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Wie funktionieren elektronische Unterschriften? Wie funktionieren elektronische Unterschriften?
Eine elektronische Unterschrift wird in zwei Schritten erstellt:
1. Berechnen eines Hashwertes.
2. Berechnen der eigentlichen Unterschrift.
Der Hashwert eines Dokuments ist ein digitaler Fingerabdruck des Dokuments.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Wie funktionieren elektronische Unterschriften? Wie funktionieren elektronische Unterschriften?
Der Hashwert zu einem elektronischen Dokument besitzt die beiden folgenden Eigenschaften.
• Berechnet man zu Dokument den Hashwert mehrmals, so ergibt sich immer derselbe Hashwert.
• Unterschiedliche Dokumente besitzen mit überwältigender Wahrscheinlichkeit unterschiedliche Hashwerte.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Schema elektronische UnterschriftSchema elektronische Unterschrift
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Wie funktionieren elektronische Unterschriften? Wie funktionieren elektronische Unterschriften?
• Hashwerte können bei Einsatz geeigneter Verfahren, die Integrität von Dokumenten garantieren.
• Aber Hashwerte sind unpersönlich, d.h., der Hashwert ist unabhängig von der Person, die ihn berechnet, er hängt nur vom Dokument ab.
• Da Hashwerte unpersönlich sind, sind sie alleine nicht für die Authentisierung geeignet.
• Daher wird bei einer elektronischen Unterschrift aus dem Hashwert noch die eigentliche elektronische Signaturberechnet.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Wie funktionieren elektronische Unterschriften? Wie funktionieren elektronische Unterschriften?
• Die elektronische Signatur ist eine personalisierte Version des Hashwerts und kann Integrität und Authentizität garantieren.
• Die elektronische Signatur wird mit Hilfe eines mathe-matischen Verfahrens aus dem Hashwert eines Doku-ments und einem privaten Schlüssel berechnet.
• Der private Schlüssel ist geheim und personalisiert, d.h., unterschiedliche Personen besitzen unterschied-liche private Schlüssel. Der private Schlüsselmuss (höchstens) ihrem Eigentümer bekannt.
• Die aus Hashwert und privatem Schlüssel berechnete Signatur wird dem Dokument als elektronische Unter-schrift angehängt.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Schema elektronische UnterschriftSchema elektronische Unterschrift
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Wie funktionieren elektronische Unterschriften? Wie funktionieren elektronische Unterschriften?
• Um eine elektronische Unterschrift zu verifizieren, wird ein zum privaten Schlüssel des angeblichen Unterzeichners passender öffentlicher Schlüssel verwendet.
• Öffentliche Schlüssel sind jeder (interessierten) Person bekannt.
• Aus dem öffentlichen Schlüssel und der elektronischen Signatur lässt sich der ursprünglicher Hashwertrekonstruieren.
• Verifikation erfolgt, indem rekonstruierter Hashwert und vom Verifizierer selbst berechneter Hashwert des Dokuments verglichen werden.
• Unterschrift wird als gültig akzeptiert, wenn rekonstruierter Hashwert und berechneter Hashwert übereinstimmen.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Schema elektronische Unterschrift Schema elektronische Unterschrift -- VerifikationVerifikation
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Sicherheit elektronischer Unterschriften Sicherheit elektronischer Unterschriften
• Um zu garantieren, dass Unterschriften nicht gefälscht werden können, dürfen die privaten Schlüssel nur sehr schwer aus den öffentlichen Schlüsseln berechenbar sein (asymmetrisches Verfahren).
• Dieses ist nach heutigem Wissenstand durch Verfahren wie
1. RSA (Rivest, Shamir, Adleman)
2. DSA (digital signature algorithm)
3. EC-DSA (elliptic curve digital signature algorithm)
sichergestellt.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Sicherheit elektronischer Unterschriften Sicherheit elektronischer Unterschriften
• Außerdem muss sichergestellt sein, dass
1. Private Schlüssel nur einmal vergeben werden.
2. Öffentliche Schlüssel der richtigen Person zugeordnet sind.
• Dieses geschieht durch vertrauenswürdige Dritte(trusted third parties).
• In der Praxis umgesetzt durch Public-Key-Infrastruktur(PKI), insbesondere Zertifikate und Zertifizierungsdienstanbieter.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
1. Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr (Formanpassungsgesetz) (13. Juli 2001)
2. Richtlinie des europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (europäische Richtlinien)(13.Dezember 1999)
3. Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz) (16.Mai.2001)
4. Verordnung zur elektronischen Signatur (Signaturverordnung) (16. November 2001)
Rechtliche GrundlagenRechtliche Grundlagen
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Rechtliche GrundlagenRechtliche Grundlagen
1. Formanpassungsgesetz setzt qualifizierte elektronische Unterschriften gleich mit handschriftlichen Unterschriften.
2. Aufbauend auf den europäischen Richtlinien legt das Signaturgesetz fest, was eine qualifizierte elektronische Unterschrift ist.
3. Die Signaturverordnung regelt Durchführungsbestim-mungen, legt z.B. fest, was ein angezeigter bzw. akkreditierter Zertifizierungsanbieter zu leisten hat und was z.B. als sichere Signaturerstellungseinheit gilt.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Typen elektronischer UnterschriftenTypen elektronischer Unterschriften
elektronische Signatur
fortgeschrittene elektronischeSignatur
qualifizierte elektronischeSignatur
qualifizierte elektronischeSignatur mit
Anbieterakkreditierung
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
FormanpassungsgesetzFormanpassungsgesetz
Änderung des Bürgerlichen Gesetzbuchs
Das Bürgerliche Gesetzbuch … wird wie folgt geändert:
2. § 126 wird wie folgt geändert:a) Nach Absatz 2 wird folgender Absatz 3 eingefügt:„(3) Die schriftliche Form kann durch die elektronische
Form ersetzt werden, wenn sich nicht aus dem Gesetz ein anderes ergibt.“
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Änderung des Bürgerlichen Gesetzbuchs
Das Bürgerliche Gesetzbuch … wird wie folgt geändert:
3. Nach § 126 werden folgende §§ 126a und 126b eingefügt:„§ 126a
(1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen.
FormanpassungsgesetzFormanpassungsgesetz
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Signaturgesetz Signaturgesetz Im Sinne dieses Gesetzes sind
1. „elektronische Signaturen“ ...
2. „fortgeschrittene elektronische Signaturen“ …
3. „qualifizierte elektronische Signaturen“ elektronische Signaturen nach Nummer 2, diea) auf einem zum Zeitpunkt ihrer Erzeugung gültigen
qualifizierten Zertifikat beruhen undb) mit einer sicheren Signaturerstellungseinheit erzeugt
werden,
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Zertifikate Zertifikate -- Zertifizierungsdienstanbieter Zertifizierungsdienstanbieter
Ein Zertifikat ist die Bestätigung, dass die Unterschrift unter ein Dokument echt ist. Es wird damit bestätigt, dass das Dokument von der Person stammt, die sie
unterzeichnet hat.
Zertifikate für elektronische Unterschriften werden in Deutschland von so genannten
Zertifizierungsdienstanbietern ausgestellt. Dieses sind bei der Bundesnetzagentur angezeigte Unternehmen.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
ZertikateZertikate
Name, Vornameggf. Pseudonym
gültig von:gültig bis:
Ausgestellt vomZertifizierungsdienst-anbieter xy
ZERTIFIKATZERTIFIKAT
Öffentlicher Schlüssel(Signaturprüfschlüssel)
Zertifikat enthält Angaben
1. Zur Identität des Schlüsselinhabers.
2. Zur Gültigkeitsdauer
3. Zum Aussteller des Zertifikats.
4. Den öffentlichen Schlüsseldes Inhabers.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
ZertikateZertikate
Name, Vornameggf. Pseudonym
gültig von:gültig bis:
Ausgestellt vomZertifizierungsdienst-anbieter xy
ZERTIFIKATZERTIFIKAT
Öffentlicher Schlüssel(Signaturprüfschlüssel)
Um das ZERTIFIKAT vor
Manipulationen zu schützen,
wird es vom Aussteller
elektronisch mit Hilfe seines
privaten Schlüssels signiert.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Zertifikate und VerifikationZertifikate und Verifikation
• Zertifikate werden an signierte Nachricht angehängt.
• Zertifikate können beim entsprechenden Anbieter nachgefragt werden, Zertifizierungsanbieter müssen Verzeichnisdienste anbieten.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
PublicPublic--KeyKey--InfrastrukturInfrastruktur
1. Öffentliche Schlüssel von Zertifizierungsanbietern werden durch übergeordnete Zertifizierungsanbieter zertifiziert, diese bestätigen damit die Vertrauenswürdigkeit des ersten Anbieters.
Hierarchie von Zertifikaten
2. In Deutschland in drei Ebenen:
I. BundesnetzagenturII. Angezeigte bzw. akkreditierte ZertifizierungsanbieterIII. Anwender
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
PublicPublic--KeyKey--InfrastrukturInfrastruktur
Bundesnetzagentur
Anwender Anwender Anwender Anwender Anwender Anwender Anwender
Zertifikat der Netzagentur kann direkt geprüft werden.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Zertifizierungsdienstanbieter Zertifizierungsdienstanbieter Damit elektronisch unterschriebene Dokumente überlange Zeiträume überprüft werden können
• Müssen Verzeichnisdienste über lange Zeiträume zuverlässig arbeiten.
• Müssen Verzeichnisdienste unterschiedlicher Anbieter kompatibel sein.
• Müssen alle von Anbieter eingesetzten Verfahren und technische Komponenten einen hohen Sicherheitsstandard erfüllen.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Zertifizierungsdienstanbieter Zertifizierungsdienstanbieter
Signaturgesetz setzt hierfür Rahmenbedingungen.
Sicherheit eingesetzter Verfahren und technischer Komponenten wird durch
• BSI
• TÜV Informationstechnik
• Zertifizierungsstelle der T-Systems
überprüft.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Zertifizierungsdienstanbieter Zertifizierungsdienstanbieter Zertifizierungsdienste
• Müssen nicht genehmigt werden.
• Müssen angezeigt werden bei der Bundesnetzagentur (mit Sicherheitskonzept).
• Können akkreditiert werden (Sicherheit wird vor Aufnahme des Betriebs überprüft).
Bei akkreditierten Anbietern garantiert die Netzagentur, dass auch bei Betriebseinstellung Zertifikate weiterhin überprüft werden können.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Wie wird elektronisch unterschrieben? Wie wird elektronisch unterschrieben? Sie benötigen
• Computer mit Internetanbindung
• Signaturkarte und Chipkartenleser(erhältlich bei Zertifizierungsan-bieter, Teil des Sicherheitspakets,Karte speichert privaten Schlüssel)
• Software(z.B. Outlook und Zusatzkom-ponenten ⇒ Zertifizierungsanbieter)
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Wie wird elektronisch unterschrieben? Wie wird elektronisch unterschrieben? Folgende Schritte müssen ausgeführt werden
1. Email-Programm starten und Signaturkarte einlegen, PIN eingeben.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Wie wird elektronisch unterschrieben? Wie wird elektronisch unterschrieben?
2. Email verfassen.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Wie wird elektronisch unterschrieben? Wie wird elektronisch unterschrieben?
3. Email signieren.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Wie sieht die Zukunft elektronsicher Signaturen aus? Wie sieht die Zukunft elektronsicher Signaturen aus?
Elektronische Signaturen werden in Zukunft eine immergrößere Rolle spielen.
Drei Initiativen sollen das belegen:
1. Signaturbündnis
2. BundOnline 2005/ E-Government 2.0
3. i2010
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Signaturbündnis Signaturbündnis Initiative von Bundesregierung, Wirtschaftsverbänden undUnternehmen zur Förderung elektronischer Unterschriften.Gegründet am 3. April 2003. Beteiligt u.a.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Signaturbündnis Signaturbündnis „… Die Vision des Bündnisses ist:
Der Bürger kann mit
• jeder beliebigen Chipkarte
• jedem Kartenleser
• eine Vielzahl - idealerweise alle –
• der verfügbaren Applikationen aus
• eCommerce und eGovernment nutzen.… „
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
BundOnlineBundOnline 2005 2005
Initiative der Bundesregierung seit September 2000.
„… Ziel dieser Initiative ist es, alle onlinefähigen Dienstleistungen der Bundesverwaltung bis 2005 elektronisch verfügbar zu machen. Dies nützt den Bürgerinnen und Bürgern, davon profitiert der Wirtschaftsstandort Deutschland. …“
Ende 2005 waren 440 Dienste online verfügbar.
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
A. Portfolio: Bedarfsorientierter qualitativer und quantitativer Ausbau des E-Government Angebots des BundesB. Prozessketten: Elektronische Zusammenarbeitzwischen Wirtschaft und Verwaltung durch gemeinsameProzesskettenC. Identifizierung: Einführung eines elektronischenPersonalausweises und Erarbeitung von E-Identity KonzeptenD. Kommunikation: Sichere Kommunikationsinfrastrukturfür Bürgerinnen und Bürger, Unternehmen und Verwaltungen
EE--GovernmentGovernment 2.0 2.0
Am 13. September beschlossenes Programm der Bundes-regierung. Vier Handlungsfelder werden identifiziert:
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
i2010 i2010
i2010 has three priorities:
1) to create a Single European Information Space, whichpromotes an open and competitive internal market for information society and media services.
2) to strengthen investment in innovation and research in information and communication technologies (ICT).
3) to foster inclusion, better public services and quality of life through the use of ICT.
Durch die EU Kommission am 1. Juni 2005 ins LebenInitiative:
02.05.200702.05.2007 Elektronische UnterschriftenElektronische Unterschriften
Fortgeschrittene Unterschriften Fortgeschrittene Unterschriften -- PGP PGP
• Sollen elektronische Unterschriften nur unternehmensintern genutzt werden, so sind qualifizierte Unterschriften mit Zertifikaten nicht notwendig.
• Dann genügen einfache oder fortgeschrittene Unterschriften.
• Software hierfür ist (frei) verfügbar z.B. über PGP (Pretty Good Privacy).
• Dann können auch unternehmensinterne Zertifizierungshierarchien aufgebaut werden.