Mehr über cryptas.com Cryptas Security Cryptas Consulting
Cryptoshop Hilfe! Cryptoshop Kontakt! Cryptoshop Merkzettel! Cryptoshop Warenkorb! Zur Kassa gehen! Go to the english page!
+ Produkte
· · · · · · · · · · · · · · · · · · · · · · ·
+ Lösungen
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Sicherheitsziele  
  Security Governance  
  Kryptographie  
  Technologie  
  Smart Card Anwendungen  
  Authentisierung  
  PKI  
  Zertifikate  
  Digitale Signatur  
  Signaturgesetzgebung  
  PKI-Planung  
  So Geht's  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

Signaturgesetzgebung
 
GESETZ
 

Europäische Signaturrichtlinie
Die europäische Signaturrichtlinie vom Dezember 1999 enthält in 15 Artikeln und vier Anhängen als Rahmenwerk, die technischen und organisatorischen Anforderungen, die an Anbieter von qualifizierten Zertifikaten gestellt werden. Sie verlangt als Konsequenz dazu auch die EU-weite Anerkennung der, diesen Anforderungen entsprechend, ausgestellten Zertifikate. Im Auftrag der Kommission haben die Normungsgremien CEN und ETSI eine Fülle technischer Normen und Standards erstellt, um die Anforderungen auszuspezifizieren.


Das Prinzip der Technologieneutralität
Für die Signatur elektronischer Dokumente sollen beliebige geeignete Technologien verwendet werden können, deshalb ist ein Grundsatz der Signaturrichtlinie die Technologieneutralität. Dafür wurde bewusst eine neue Terminologie eingeführt, die in nationalen Signaturgesetzgebungen aber nicht übernommen werden muss.

„elektronische Signatur“: umfasst mehr als die „digitale Signatur“, und soll über die asymmetrische Kryptographie hinaus neue Verfahren abdecken.
„Signaturerstellungsdaten“: entspricht dem „privaten Schlüssel“
„Signaturprüfdaten“: entspricht dem „öffentlichen Schlüssel“

Doch sind die Begriffe des "Zertifikates" und des "Zertifizierungsdiensteanbieters" zentrale Begriffe der Richtlinie. Die Richtlinie ist deshalb trotzdem auf die asymmetrische Kryptographie und auf Public-Key-Infrastrukturen zugeschnitten. Andere Formen sind benachteiligt, sie werden insbesondere auch nicht durch die, in Umsetzung der Richtlinie, entwickelten Normen unterstützt.

Aufsicht und Akkreditierung
Ungeregelt, und in den einzelnen EU-Staaten dementsprechend unterschiedlich, sind die Aufsichtssysteme für Zertifizierungsdiensteanbieter. Sie müssen nur in "geeigneter Weise" erfolgen. Neben dem verpflichtend einzuführenden Aufsichtssystem zielt die Möglichkeit einer freiwilligen Akkreditierung auf eine Steigerung des Niveaus der erbrachten Zertifizierungsdienste, die ebenso ungeregelt und deshalb unterschiedlich realisiert ist. Als Kontrapunkte können hier Deutschland und Großbritannien gesehen werden.

Durch, auf höchstmöglichen Niveau befindlichen, detaillierten technischen Regelungen in Deutschland ziehen es die Anbieter vor sich freiwillig akkreditieren zu lassen und damit sicherzugehen, dass keine Aufsichtsmaßnahmen getroffen werden. In Großbritannien spricht man lieber von "Approval" und versteht damit weniger ein besonderes Qualitätssiegel, denn eine Bestätigung, dass der Anbieter jene Anforderungen erfüllt, die er von sich selbst behauptet. Daher ist auch eine Akkreditierung von Anbietern einfacher Zertifikate, und sogar eine Akkreditierung von Systemen, die überhaupt nicht auf Zertifikaten und Signaturtechnologien beruhen, sondern etwa auf der Eingabe von User-ID und Passwort basieren, möglich. In Österreich können sich nur Anbieter qualifizierter Zertifikate akkreditieren lassen, die Anforderungen sind aber lediglich die gleichen, wie bei der Anzeige der Aufnahme von Zertifizierungsdienstleistungen.

Anforderungen an qualifizierte Zertifikate
Qualifizierte Zertifikate nach der EU-Richtlinie müssen folgende Angaben enthalten:

a) Angabe, dass das Zertifikat als qualifiziertes Zertifikat ausgestellt wird;
b) Angabe des Zertifizierungsdiensteanbieters und des Staates, in dem er niedergelassen ist;
c) Name des Unterzeichners oder ein Pseudonym, dass als solches zu identifizieren ist;
d) Platz für ein spezifisches Attribut des Unterzeichners, das gegebenenfalls, je nach Bestimmungszweck des Zertifikats,
aufgenommen wird;
e) Signaturprüfdaten, die den vom Unterzeichner kontrollierten Signaturerstellungsdaten entsprechen;
f) Angaben zu Beginn und Ende der Gültigkeitsdauer des Zertifikats;
g) Identitätscode des Zertifikats;
h) die fortgeschrittene elektronische Signatur des ausstellenden Zertifizierungsdiensteanbieters;
i) gegebenenfalls Beschränkungen des Geltungsbereichs des Zertifikats und
j) gegebenenfalls Begrenzungen des Wertes der Transaktionen, für die das Zertifikat verwendet werden kann.

Wie die Identifikation zu erfolgen hat, bzw. welche Vorgangsweisen möglich sind, ist nicht geregelt, dementsprechend unterschiedlich kann dies realisiert sein.

Anforderungen an Signaturerstellungseinheiten
Sichere Signaturerstellungseinheiten (secure signature creation device - SSCD) verändern die zu unterzeichnenden Daten nicht und verhindern nicht, dass diese Daten dem Unterzeichner vor dem Signaturvorgang dargestellt werden. Sie müssen zudem durch geeignete Technik und Verfahren zumindest gewährleisten, dass

a) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten praktisch nur einmal auftreten können, und dass ihre Geheimhaltung hinreichend gewährleistet ist;

b) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können, und die Signatur vor Fälschungen bei Verwendung der jeweils verfügbaren Technologie geschützt ist;

c) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten von dem rechtmäßigen Unterzeichner vor der Verwendung durch andere verlässlich geschützt werden können.

Klassifikation von Signaturen
Im Rechtskontext kann man Signaturen unterschiedlicher Qualitätsstufen finden, grundsätzlich findet man einfache, fortgeschrittene und qualifizierte Signaturen. Man muss aber vorsichtig sein, in welchem nationalen Rechtsrahmen man sich befindet - dort kann ein Terminus durchaus andere Bedeutung haben.

Einfache Elektronische Signaturen
Eine "elektronische Signatur" sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen. Zur expliziten Abgrenzung von anderen Signaturen wird oft von "einfachen" elektronischen Signaturen gesprochen. Dies kann auch bloß eine gescannte Unterschrift in einem Dokument sein.

Fortgeschrittene Elektronische Signaturen
Eine „fortgeschrittene elektronische Signatur“ ist eine elektronische Signatur, die:

a) ausschließlich dem Unterzeichner zugeordnet ist;
b) die Identifizierung des Unterzeichners ermöglicht;
c) mit Mitteln erstellt wird, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann;
d) mit den Daten, auf die sie sich bezieht, verknüpft ist, dass eine nachträgliche Veränderung der Daten erkannt werden kann;

Qualifizierte Elektronische Signatur
Die Bezeichnung "Qualifizierte Signatur" hat sich für fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen, eingebürgert. Auf qualifizierten Zertifikaten beruhende fortgeschrittene elektronische Signaturen zielen auf einen höheren Sicherheitsstandard. Wenn sie auf einem SSCD erstellt werden, sind sie handschriftlichen Unterschriften gleichzustellen.


Deutsche Signaturgesetzgebung


österreichische Signaturgesetzgebung


Langzeitsignaturen


sichere Signaturerstellungseinheit


Zurück zur vorherigen Seite!Zum Seitenanfang!Zur Startseite
  Deutsche Signaturgesetzgebung  
  österreichische Signaturgesetzgebung  
  Langzeitsignaturen  
  sichere Signaturerstellungseinheit  
 
  Aktion des Monats!  
  Cryptoshop Bundles!  
  e-card Kartenleser Aktion!  
 
  Zertifizierungsrichtlinien  
  Zertifikatsprüfung  
  Veröffentlichung von Widerrufsinformation  
  Zertifizierungsdiensteanbieter  
  Zeitstempel  
  Vertrauensmodelle  
  Standardisierungsgremien  
  Asymmetrisch  
  Risk Management  
 
Demo Area Download Bereich Forum E-Mail an die Redaktion Cryptoshop Newsletter Sicherheit auf Cryptoshop.com
Impressum AGB Verbraucherhinweise Datenschutz Newsletter Copyright © 2004 CRYPTAS. Alle Rechte vorbehalten