Cryptoshop Help! Cryptoshop Contact! Cryptoshop Memo! Cryptoshop Shopping Cart! Place your order! Change to german site!
+ Products
· · · · · · · · · · · · · · · · · · · · · · ·
+ Solution
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Security Targets  
  Security Governance  
  Cryptography  
  Technology  
  Smart Card applications  
  Authentication  
  PKI  
  Certificates  
  Digital Signature  
  Signature Law  
  PKI-Planning  
  How to  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 

German signature legislation

Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding!

Signature Law
 
LEGAL
 

Europäische Signaturrichtlinie
Die europäische Signaturrichtlinie vom Dezember 1999 enthält in 15 Artikeln und vier Anhängen als Rahmenwerk, die technischen und organisatorischen Anforderungen, die an Anbieter von qualifizierten Zertifikaten gestellt werden. Sie verlangt als Konsequenz dazu auch die EU-weite Anerkennung der, diesen Anforderungen entsprechend, ausgestellten Zertifikate. Im Auftrag der Kommission haben die Normungsgremien CEN und ETSI eine Fülle technischer Normen und Standards erstellt, um die Anforderungen auszuspezifizieren.


Das Prinzip der Technologieneutralität
Für die Signatur elektronischer Dokumente sollen beliebige geeignete Technologien verwendet werden können, deshalb ist ein Grundsatz der Signaturrichtlinie die Technologieneutralität. Dafür wurde bewusst eine neue Terminologie eingeführt, die in nationalen Signaturgesetzgebungen aber nicht übernommen werden muss.

„elektronische Signatur“: umfasst mehr als die „digitale Signatur“, und soll über die asymmetrische Kryptographie hinaus neue Verfahren abdecken.
„Signaturerstellungsdaten“: entspricht dem „privaten Schlüssel“
„Signaturprüfdaten“: entspricht dem „öffentlichen Schlüssel“

Doch sind die Begriffe des "Zertifikates" und des "Zertifizierungsdiensteanbieters" zentrale Begriffe der Richtlinie. Die Richtlinie ist deshalb trotzdem auf die asymmetrische Kryptographie und auf Public-Key-Infrastrukturen zugeschnitten. Andere Formen sind benachteiligt, sie werden insbesondere auch nicht durch die, in Umsetzung der Richtlinie, entwickelten Normen unterstützt.

Aufsicht und Akkreditierung
Ungeregelt, und in den einzelnen EU-Staaten dementsprechend unterschiedlich, sind die Aufsichtssysteme für Zertifizierungsdiensteanbieter. Sie müssen nur in "geeigneter Weise" erfolgen. Neben dem verpflichtend einzuführenden Aufsichtssystem zielt die Möglichkeit einer freiwilligen Akkreditierung auf eine Steigerung des Niveaus der erbrachten Zertifizierungsdienste, die ebenso ungeregelt und deshalb unterschiedlich realisiert ist. Als Kontrapunkte können hier Deutschland und Großbritannien gesehen werden.

Durch, auf höchstmöglichen Niveau befindlichen, detaillierten technischen Regelungen in Deutschland ziehen es die Anbieter vor sich freiwillig akkreditieren zu lassen und damit sicherzugehen, dass keine Aufsichtsmaßnahmen getroffen werden. In Großbritannien spricht man lieber von "Approval" und versteht damit weniger ein besonderes Qualitätssiegel, denn eine Bestätigung, dass der Anbieter jene Anforderungen erfüllt, die er von sich selbst behauptet. Daher ist auch eine Akkreditierung von Anbietern einfacher Zertifikate, und sogar eine Akkreditierung von Systemen, die überhaupt nicht auf Zertifikaten und Signaturtechnologien beruhen, sondern etwa auf der Eingabe von User-ID und Passwort basieren, möglich. In Österreich können sich nur Anbieter qualifizierter Zertifikate akkreditieren lassen, die Anforderungen sind aber lediglich die gleichen, wie bei der Anzeige der Aufnahme von Zertifizierungsdienstleistungen.

Anforderungen an qualifizierte Zertifikate
Qualifizierte Zertifikate nach der EU-Richtlinie müssen folgende Angaben enthalten:

a) Angabe, dass das Zertifikat als qualifiziertes Zertifikat ausgestellt wird;
b) Angabe des Zertifizierungsdiensteanbieters und des Staates, in dem er niedergelassen ist;
c) Name des Unterzeichners oder ein Pseudonym, dass als solches zu identifizieren ist;
d) Platz für ein spezifisches Attribut des Unterzeichners, das gegebenenfalls, je nach Bestimmungszweck des Zertifikats,
aufgenommen wird;
e) Signaturprüfdaten, die den vom Unterzeichner kontrollierten Signaturerstellungsdaten entsprechen;
f) Angaben zu Beginn und Ende der Gültigkeitsdauer des Zertifikats;
g) Identitätscode des Zertifikats;
h) die fortgeschrittene elektronische Signatur des ausstellenden Zertifizierungsdiensteanbieters;
i) gegebenenfalls Beschränkungen des Geltungsbereichs des Zertifikats und
j) gegebenenfalls Begrenzungen des Wertes der Transaktionen, für die das Zertifikat verwendet werden kann.

Wie die Identifikation zu erfolgen hat, bzw. welche Vorgangsweisen möglich sind, ist nicht geregelt, dementsprechend unterschiedlich kann dies realisiert sein.

Anforderungen an Signaturerstellungseinheiten
Sichere Signaturerstellungseinheiten (secure signature creation device - SSCD) verändern die zu unterzeichnenden Daten nicht und verhindern nicht, dass diese Daten dem Unterzeichner vor dem Signaturvorgang dargestellt werden. Sie müssen zudem durch geeignete Technik und Verfahren zumindest gewährleisten, dass

a) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten praktisch nur einmal auftreten können, und dass ihre Geheimhaltung hinreichend gewährleistet ist;

b) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können, und die Signatur vor Fälschungen bei Verwendung der jeweils verfügbaren Technologie geschützt ist;

c) die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten von dem rechtmäßigen Unterzeichner vor der Verwendung durch andere verlässlich geschützt werden können.

Klassifikation von Signaturen
Im Rechtskontext kann man Signaturen unterschiedlicher Qualitätsstufen finden, grundsätzlich findet man einfache, fortgeschrittene und qualifizierte Signaturen. Man muss aber vorsichtig sein, in welchem nationalen Rechtsrahmen man sich befindet - dort kann ein Terminus durchaus andere Bedeutung haben.

Einfache Elektronische Signaturen
Eine "elektronische Signatur" sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen. Zur expliziten Abgrenzung von anderen Signaturen wird oft von "einfachen" elektronischen Signaturen gesprochen. Dies kann auch bloß eine gescannte Unterschrift in einem Dokument sein.

Fortgeschrittene Elektronische Signaturen
Eine „fortgeschrittene elektronische Signatur“ ist eine elektronische Signatur, die:

a) ausschließlich dem Unterzeichner zugeordnet ist;
b) die Identifizierung des Unterzeichners ermöglicht;
c) mit Mitteln erstellt wird, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann;
d) mit den Daten, auf die sie sich bezieht, verknüpft ist, dass eine nachträgliche Veränderung der Daten erkannt werden kann;

Qualifizierte Elektronische Signatur
Die Bezeichnung "Qualifizierte Signatur" hat sich für fortgeschrittene elektronische Signaturen, die auf einem qualifizierten Zertifikat beruhen, eingebürgert. Auf qualifizierten Zertifikaten beruhende fortgeschrittene elektronische Signaturen zielen auf einen höheren Sicherheitsstandard. Wenn sie auf einem SSCD erstellt werden, sind sie handschriftlichen Unterschriften gleichzustellen.


German signature legislation


austrian signature legislation


Long time signatures


Secure signature creation unit


Back to previous page!Top of page!To the startpage of Cryptoshop.com!
  German signature legislation  
  austrian signature legislation  
  Long time signatures  
  Secure signature creation unit  
 
  Special offer of the month!  
  Cryptoshop Bundles!  
 
  Certification guidelines  
  Certificate verification  
  Publishing of revocation information  
  certification service provider  
  Time stamps  
  Trust models  
  Standardisation organisations  
  Asymmetric  
  Risk Management  
 
Legal notice Terms and Condtitions Consumer notice Privacy Newsletter Copyright © 2004 CRYPTAS. All rights reserved