|
|
 |
 |
|
 Time stamps
|
Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding! |
Secure signature creation unit |
| |
|
|
|
Je größer der Beweiswert der digitalen Signatur sein soll, desto höher muss die Aufmerksamkeit auf die Erstellung dieser Signatur gerichtet werden. Wenn digitale Signaturen vor dem Gesetz mit eigenhändigen Unterschriften gleichgestellt werden sollen, ist es nur logisch, dass dazu Regelungen bestehen, die sich auf entsprechende anerkannte Standards beziehen.
|
Anforderungen an Signaturerstellungseinheiten |
Zu den Common Criteria (ISO IEC 15408) existiert ein Schutzprofil für sichere Signaturerstellungseinheiten, welches von der Europäischen Kommission als allgemein anerkannte Norm veröffentlicht wurde (CWA 14169).
Ein Hauptpunkt ist ein verlässlicher Schutz des privaten kryptographischen Schlüssels (Signaturerstellungsdaten) eines Signators vor der Verwendung durch andere Personen. Bestmöglichen Schutz der Schlüssel bieten Geräte, die ein Lesen der Schlüssel gar nicht erst zulassen, also sind herkömmliche Datenträger ausgeschlossen. Natürlich können solche Geräte nur nützlich sein, wenn sie die Verschlüsselung des Hash-Werts (sprich signieren) selbst durchführen können.
Logischerweise ist eine Authentisierung gegenüber diesem Gerät erforderlich, damit der Vorgang der Signierung lediglich vom rechtmäßigen Inhaber der Signaturerstellungsdaten ausgelöst werden kann. Für gewöhnlich ist dies die Eingabe einer PIN, was natürlich nur über einen sicheren Kommunikationskanal erfolgen darf.
Erst wenn von einer Bestätigungsstelle die Erfüllung der technischen Sicherheitserfordernisse bescheinigt worden ist, darf eine solches Gerät zur Erstellung sicherer elektronischer Signaturen verwendet - und somit als sichere Signaturerstellungseinheit bezeichnet werden.
|
Eingesetzte Signaturerstellungseinheiten |
In der Praxis werden Smart Cards als sichere Signaturerstellungseinheiten eingesetzt, da sie nicht nur Speicher, sondern auch einen eigenen Prozessor enthalten. Die sichere Authentifizierung der Signatoren wird durch eigene Lesegeräte ermöglicht, die zumindest über eine eigene Tastatur zur PIN-Eingabe verfügen. Damit wird eine Verarbeitung der PIN im Betriebssystem verhindert. Smart Cards in USB-Dongles machen eben bei der sicheren Authentifizierung Probleme.
Vor allem in Serverumgebungen bieten sich so genannte Hardware Security Module (HSMs) an. Dabei handelt es sich um Geräte, die entweder in einen Computer eingebaut oder an einen solchen angeschlossen werden, und aus diesen, bei richtiger Konfiguration, keine privaten Schlüssel ausgelesen werden können. Ausschließlich über Applikationsschnittstellen und über Zugriffsrechte gesteuert, werden kryptographische Operationen und administrative Tätigkeiten erlaubt.
Zur Abwehr physischer Eingriffe werden technische Vorkehrungen getroffen, dass der Speicher gelöscht wird, wenn etwa zu große Abweichungen der Spannung, der Temperatur, der Änderungen von Leitereigenschaften oder eine zu hohe ionisierende Strahlung festgestellt wird.
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Legal notice