Grundlagen elektronischer SignaturInfrastruktur

Mittels Public Key Kryptographie und einer Public Key Infrastructure (PKI) ist es möglich, ein System bereitzustellen, mit dem die sichere Identifizierung jedes Benutzers möglich ist. Dafür muss eine globale Infrastruktur entstehen, die man als Netzwerk von vielen Einrichtungen verstehen kann.

Infrastruktur

Wozu dient die Infrastruktur?

Da sich das Internet in einem ständigen Wachstum befindet, wird es immer schwieriger, die Identität jedes einzelnen Benutzers zweifelsfrei festzustellen. Mittels Public Key Kryptographie und einer Public Key Infrastructure (PKI) ist es jedoch möglich, ein System bereitzustellen, mit dem die sichere Identifizierung jedes Benutzers möglich ist. Dafür muss eine (globale) Infrastruktur entstehen, die man als Netzwerk von vielen Einrichtungen verstehen kann.

Das deutsche Signaturgesetz (SigG) sieht den Aufbau einer Infrastruktur für elektronische Signaturen vor. An der Spitze dieser Infrastruktur steht die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) als sogenannte "Wurzelzertifizierungsstelle". Diese generiert den öffentlichen und den privaten Schlüssel der untergeordneten Zertifizierungsstellen und bestätigt die Zuordnung eines öffentlichen Schlüssels zu einer Zertifizierungsstelle durch ein Zertifikat. Unterhalb der Wurzelzertifizierungsstelle sind die eigentlichen Zertifizierungsstellen oder Trustcenter - wie beispielsweise die Deutsche Post Com, Geschäftsfeld Signtrust - angesiedelt.

Schlüsselpaare

Zum elektronischen Signieren und Verschlüsseln werden kryptographische Schlüsselpaare benötigt, die im Hochsicherheitsbereich eines Trustcenters generiert werden.

Jedes Schlüsselpaar darf es nur einmal geben. Weiterhin darf niemand - auch nicht das Trustcenter selber - Kenntnis von dem privaten Schlüssel erlangen. Die Anlage, die vom Trustcenter der Deutschen Post zum Generieren des Schlüsselpaares verwendet wird, wurde eingehend auf diese Anforderungen hin überprüft und als vollumfänglich geeignet beurteilt. Hinzu kommen regelmässig weitere Überprüfungen. Nur wenige, ausgesuchte Mitarbeiter dürfen die Räumlichkeiten betreten, in denen die Schlüssel sicher generiert werden.

Da alle elektronischen Geräte Strahlungen aussenden, die einen Rückschluss auf die verarbeiteten Daten ermöglichen, wird im Trustcenter der Deutschen Post durch spezielle bauliche und technische Maßnahmen sichergestellt, dass diese Strahlungen außerhalb der Räumlichkeiten, in denen die Schlüsselpaare generiert werden, nicht empfangen werden können.

Auf jeder von Signtrust ausgegebenen Signaturkarte befinden sich drei Schlüsselpaare, die unter identischen Sicherheitsbedingungen produziert werden:

  • Schlüsselpaar zum Signieren
  • Schlüsselpaar zum Verschlüsseln
  • Schlüsselpaar zum Authentifizieren

Alle drei Schlüsselpaare sind RSA-Schlüssel mit einer Länge von jeweils 2048 Bit und werden unter den gleichen hohen qualitativen Anforderungen generiert und auf die Signaturkarte aufgebracht. Das Schlüsselpaar zum Signieren ist durch eine sechsstellige PIN abgesichert.

Die Schlüsselpaare zum Verschlüsseln und Authentifizieren sind mit einer weiteren sechsstelligen PIN gegen unbefugte Verwendung geschützt. Die PINs sind ausschließlich dem Inhaber der Signaturkarte bekannt, da sie vom Besitzer mit jeweils zwei PIN-Zugangscodes errechnet werden müssen (One-Time-Pad-Verfahren). Beide PINs können jedoch vom Inhaber der Signaturkarte geändert werden.

Zertifikate
20100304_zertifikate

Ein Zertifikat ist eine weitere Komponente des Konzeptes der elektronischen Signatur. Es enthält Informationen, die es einem Empfänger elektronisch signierter Daten möglich machen, den Absender jederzeit zweifelsfrei zu identifizieren.

Zu den im Zertifikat enthaltenen Daten gehören Name und Vorname des Zertifikatsinhabers. Optional können auch Wohnortangaben in das Zertifikat mit aufgenommen werden. Darüber hinaus finden sich Angaben zu dem Trustcenter, welches das Zertifikat ausgestellt hat, die Seriennummer des Zertifikates und das Datum, bis zu dem das ausgestellte Zertifikat gültig ist.

Ebenfalls im Zertifikat finden sich die Bezeichnung der Algorithmen, mit denen der öffentliche Schlüssel des Zertifikatsinhabers sowie der öffentliche Schlüssel des Trustcenters benutzt werden können und Angaben, ob die Nutzung des Signaturschlüssels beschränkt ist (siehe auch qualifiziertes Attributzertifikat). Schließlich enthält das Zertifikat den öffentlichen Schlüssel des Zertifikatsinhabers. Mit diesem ist es jedermann möglich, die elektronischen Signaturen des Zertifikatsinhabers zu prüfen.

Damit der Empfänger eines Zertifikates sicher sein kann, dass das Zertifikat nicht manipuliert wurde und alle Angaben korrekt sind, wird jedes digitale Zertifikat von dem ausstellenden Trustcenter elektronisch signiert. Damit kann der Empfänger zweifelsfrei feststellen, dass das Zertifikat von dem Trustcenter stammt und dass die Inhalte nicht verändert wurden oder unvollständig sind.

Ein Zertifikat ist mit einem digitalen Ausweis des Zertifikatsinhabers vergleichbar. Es enthält Informationen zum Zertifikatsinhaber, zum Zertifikatsaussteller und dient der Zuordnung eines Schlüsselpaares zu einer Person. Die Echtheit dieses Zertifikates wird durch das zuständige Trustcenter mittels elektronischem Signieren bescheinigt.

Zum besseren Verständnis der Aufgaben und Funktionen eines Zertifikates werden die Informationen denen gegenübergestellt, die ein Personalausweis enthält. Dadurch wird die Analogie zwischen digitaler und realer Welt deutlich (siehe Tabelle oben).

Qualifizierte Attribut-Zertifikate

Attribute sind besondere Eigenschaften, Stellungen oder Beschränkungen eines Zertifikatsinhabers. Es existieren fünf verschiedene Attribute:

--------------------------------------------------------------------------------

Attribut: Berufsrechtliche Zulassung.

Es ist möglich, eine Berufsbezeichnung als Attribut zu erstellen. Wichtig: Wenn eine Berufsbezeichnung in das qualifizierte Signaturschlüssel-Zertifikat aufgenommen werden soll, ist die öffentlich beglaubigte Kopie eines entsprechenden Nachweises den Antragsunterlagen beizulegen.

--------------------------------------------------------------------------------

Attribut: Beschränkung.

Über das Attribut "Beschränkung" können beliebige Beschränkungen des Zertifikates abgebildet werden. Wichtig: Der Kunde muss selber dafür sorgen, dass die von ihm angegebene Beschränkung sinnvoll ist, eine inhaltliche Prüfung durch das Trustcenter findet nicht statt.

--------------------------------------------------------------------------------

Attribut: Monetäre Beschränkung.

Eine monetäre Beschränkung ist eine Beschränkung der finanziellen Einsatzfähigkeit der elektronischen Signatur. Hier kann der Kunde Eintragungen vornehmen lassen, wenn er finanzielle Transaktionen nur bis zu einer bestimmten Höhe mit seiner elektronischen Signatur tätigen will.

--------------------------------------------------------------------------------

Attribut: Vertretungsmacht für eine natürliche Person.

Wenn der Kunde berechtigt ist, eine Person zu vertreten, kann er diese Berechtigung als Attribut erstellen lassen. Wichtig: Die von ihm vertretene Person wird von dem Trustcenter angeschrieben und identifiziert, um die Angaben des Kunden zu überprüfen.

--------------------------------------------------------------------------------

Attribut: Vertretungsmacht für eine juristische Person.

Eine juristische Person ist eine rechtlich geordnete, rechtsfähige Organisation (Beispiele: Vereine, Stiftungen, Aktiengesellschaften oder Gesellschaften mit beschränkter Haftung (GmbH)). Wenn der Kunde vertretungsberechtigt für eine juristische Person ist, kann er diese Berechtigung als Attribut erstellen lassen. Auch hier ist - ebenso wie bei einer Vertretungsmacht für natürliche Personen - die Einwilligung der juristischen Person notwendig, die von dem Trustcenter durch Anschreiben festgestellt wird.

--------------------------------------------------------------------------------

Neben der Aufnahme von Attributen in das qualifizierte Signatur-Zertifikat, kann das Trustcenter der Deutschen Post auch Zertifikate erstellen, die nur die Angaben zu einem Attribut enthalten, sogenannte qualifizierte Attribut-Zertifikate.

Qualifizierte Attribut-Zertifikate werden nicht auf eine Signaturkarte aufgebracht und enthalten keinen öffentlichen Schlüssel. Sie dienen der Flexibilität der Darstellung von unterschiedlichen Attributen. Der Kunde kann ein Zertifikat ohne ein Attribut besitzen, für unterschiedliche Anwendungen jedoch entsprechende qualifizierte Attribut-Zertifikate vorhalten.

Damit wird es möglich, ein Attribut nur dort einzusetzen, wo es auch Sinn macht. Wenn der Kunde z.B. vertretungsberechtigt für eine Institution ist und gleichzeitig auch eine natürliche Person vertreten darf, kann er von dem Trustcenter zwei entsprechende qualifizierte Attribut-Zertifikate erhalten, die diese beiden unterschiedlichen Berechtigungen abbilden.

Er kann dann das jeweilige qualifizierte Attribut-Zertifikate gezielt für diejenigen Vorgänge einsetzen, in denen es jeweils relevant ist. Wenn diese Relevanz gegeben ist, muss das qualifizierte Attribut-Zertifikat in die elektronische Signatur mit eingeschlossen werden, um dem Empfänger die entsprechende Kenntnisnahme zu ermöglichen.

Qualifizierte Attribut-Zertifikate, die eine Bestätigung einer dritten Stelle oder Person benötigen, können auch durch diese dritte Stelle oder Person gesperrt werden. Die Gültigkeit des qualifizierten Signatur-Zertifikates wird hiervon nicht berührt.

Was ist eine Signaturkarte?

Eines der wichtigsten Sicherheitsmerkmale bei der elektronischen Signatur ist das verwendete Speichermedium für die generierten Schlüsselpaare, der sogenannte Schlüsselträger. Dieses Speichermedium muss sicherstellen, dass die auf ihm gespeicherten privaten Schlüssel nicht ausgelesen werden können. Die Deutsche Post Com, Geschäftsfeld Signtrust verwendet als Schlüsselträger spezielle Chipkarten (sogenannte SmartCards), da nur Chipkarten die notwendige Sicherheit bieten.

Auf einer Signaturkarte werden der private Schlüssel und ggf. der öffentliche Schlüssel eines Schlüsselpaares abgelegt. Dabei wird der öffentliche Schlüssel in einem Zertifikat auslesbar und der private Schlüssel nicht auslesbar gespeichert. Die Besonderheit bei den von Signtrust produzierten Signaturkarten ist die Verwendung von insgesamt drei Zertifikaten.

Die Signaturkarte selbst ist notwendig, um elektronische Signaturen zu erstellen oder Daten zu Ver- bzw. Entschlüsseln. Der Signaturerstellungsprozess bzw. der Verschlüsselungsprozess findet dabei direkt auf dem Prozessorchip der Signaturkarte statt, so dass der private Schlüssel niemals die Karte verlässt.

Die Signaturkarte wird zum Vorgang des elektronischen Signierens bzw. zum Entschlüsseln personalisiert verschlüsselter Daten in ein Kartenlesegerät geführt und die Aktion mit der Eingabe eines PIN-Codes und zukünftig auch eines biometrischen Merkmals (z.B. Fingerabdruck oder Iris-Scan) bestätigt.

Die Signaturkarte sollte grundsätzlich an einem sicheren Ort aufbewahrt und anderen Personen nicht zugänglich gemacht werden. Bei Verlust oder Verdacht auf Kartenmissbrauch sollte man zur eigenen Sicherheit das zur Karte gehörende Zertifikat umgehend sperren lassen.

Trustcenter (A) Allgemeines

Trustcenter gewährleisten die allgemeine Sicherheit einer Public-Key Infrastruktur und stellen die zentralen Institutionen des Vertrauens dar, indem sie eine verbindliche dedizierte Zuordnung von Schlüsselpaaren zu Personen vornehmen (Zertifizierung).

Zertifizierung bedeutet wörtlich genommen "Bescheinigung". Trustcenter bescheinigen, dass ein öffentlicher Schlüssel zu dem Eigentümer des Schlüsselpaares gehört. Um diese Zuordnung von Schlüssel und Eigentümer leisten zu können, stellen Trustcenter die Identität ihrer Kunden zuverlässig fest. Hierzu benötigt das Trustcenter die Angaben eines Antragsformulars und die Vorlage eines gültigen Ausweisdokumentes zur Überprüfung der Angaben.

Zusätzlich benötigt das Trustcenter eine von dem Antragsteller unterschriebene Kopie dieses Ausweisdokumentes. Erst nachdem das Trustcenter die Identität des Kunden zweifelsfrei festgestellt hat, erstellt es individuell für den Kunden eine Signaturkarte mit den entsprechenden Zertifikaten.

Trustcenter (B) Funktionsweise

Das Trustcenter von Signtrust ist mit einem erheblichen sicherheitstechnischen Aufwand in speziellen Bunkerräumen untergebracht. Umfangreiche technische und bauliche Maßnahmen machen einen unbefugten Zugriff auf die Räume dieses Bereiches unmöglich. Alle elektronischen Zugänge sind mehrfach und ausfallsicher ausgelegt. Die Räume können nur durch Vereinzelungsschleusen von ausgewählten Mitarbeitern ausschließlich für die notwendigen Arbeitsschritte betreten werden. Alle Mitarbeiter unterliegen einer ständigen Sicherheitsüberprüfung.

Im Trustcenter von Signtrust erfolgt die Produktion der signaturgesetzkonformen Zertifikate und Signaturkarten. Ein typischer Produktionsprozess verläuft in drei Schritten in folgender chronologischen Reihenfolge - siehe (C) bis (E): Vorpersonalisierung, Erstellung der Zertifikate, Personalisierung.

Trustcenter (C) Vorpersonalisierung
Die im SigG vorgeschriebene Komponente der Schlüsselgenerierung (KG) fällt im Trustcenter der Deutschen Post mit einer zusätzlichen Komponente namens "Vorpersonalisierung" (VPA) zusammen. Die KG/VPA-Komponente besteht im wesentlichen aus einem Zufallszahlengenerator und einer Software, die aus den Zufallszahlen ein Schlüsselpaar generiert. Das Schlüsselpaar wird auf eine bis dahin leere Chipkarte aufgebracht, es werden jedoch noch keine Namen auf der Karte gespeichert. Die KG/VPA-Komponente ist im sogenannten Vorpersonalisierungsraum untergebracht. In diesem besonders geschützten Raum befindet sich sonst keine Trustcenter-Komponente. Nachfolgend die wesentlichen Aufgaben der Schlüsselgenerierung / Vorpersonalisierung:
  • Generierung der Schlüsselpaare für Signatur, Authentifikation und Verschlüsselung
  • Signieren der Schlüssel
  • Schreiben der signierten Schlüsselpaare auf die Chipkarte.
Trustcenter (D) Erstellung der Zertifikate
Die Zertifizierungseinheit (CA) von Signtrust hat die Aufgabe, aus dem zuvor generierten öffentlichen Schlüssel ein digitales Zertifikat zu generieren. Dazu verwendet die CA die Daten eines Kunden, die von einer Management-Komponente zur Verfügung gestellt werden. Alle genannten Daten fügt die CA zusammen und signiert den erhaltenen Datensatz elektronisch. Der signierte Datensatz bildet das elektronische Zertifikat des Kunden. Nachfolgend die wesentlichen Aufgaben der CA:
  • Überprüfung der Schlüsselpaare
  • Generierung von Signaturschlüssel-Zertifikaten
  • Signieren der Zertifikate mit dem CA-Signaturschlüssel
  • Generierung der Verschlüsselungsschlüssel-Zertifikate und Authentifizierungsschlüssel-Zertifikate
  • Signieren dieser Zertifikate mit dem PCA-Signaturschlüssel.
Trustcenter (E) Personalisierung
Die Personalisierungskomponente (PS) ist dafür zuständig, die auf einer Chipkarte befindlichen Schlüsselpaare, die bereits in der Vorpersonalisierung auf die Karte aufgebracht wurden, mit den Daten eines Antragstellers zu verknüpfen. Bei dieser Gelegenheit werden die Signaturkarten auch noch bedruckt auf einen ebenfalls in dieser Komponente gedruckten Brief geklebt und an den Anwender gesendet. Nachfolgend die wesentlichen Aufgaben der Personalisierung:
  • Schreiben der Signaturschlüssel-Zertifikate auf die vorpersonalisierten Chipkarten
  • Schreiben der Verschlüsselungsschlüssel-Zertifikate und Authentifikationsschlüssel-Zertifikate auf die Chipkarten
  • Speichern der PINs auf den Chipkarten.
Trustcenter (F) Verzeichnisdienst

Um eine elektronische Signatur zu prüfen, muss es möglich sein, jederzeit von einer vertrauenswürdigen Stelle zu erfahren, ob das zugrunde liegende qualifizierte Zertifikat oder das qualifizierte Attribut-Zertifikat existiert, gültig und nicht gesperrt ist. Diese wichtige Aufgabe erfüllt der Verzeichnisdienst des Geschäftsfelds Signtrust für die von Signtrust ausgegebenen Zertifikate und qualifizierte Attribut-Zertifikate.

Ungültig werden Zertifikate nach Ablauf von maximal 5 Jahren (der Zeitpunkt, zu dem das auf einer Signaturkarte gespeicherte Zertifikat ungültig wird, ist auf der Signaturkarte aufgedruckt). Eine Sperrung sollte durch den Zertifikatsinhaber z.B. bei Diebstahl oder Verlust der Signaturkarte vorgenommen werden, um Missbrauch vorzubeugen.

Sowohl die Ungültigkeit, als auch die Sperrung eines Zertifikates führt dazu, dass mit dem zugehörigen privaten Schlüssel keine gültige elektronische Signatur mehr erstellt werden kann. Eine gültige elektronische Signatur kann nur dann vorgenommen werden, wenn das Zertifikat zum Zeitpunkt der Erstellung der elektronischen Signatur gültig war.

Daher ist es für den Empfänger einer elektronisch signierten Nachricht von großer Wichtigkeit, den aktuellen Status eines Zertifikates abfragen zu können, was über den Verzeichnisdienst jederzeit möglich ist. Wenn der Zertifikatsinhaber bei Beantragung seiner Signaturkarte angegeben hat, dass sein Zertifikat nicht abfragbar sein soll, erhält man bei der Abfrage des Verzeichnisdienstes lediglich die Auskunft, dass ein Zertifikat für die Person existiert und ob dieses gültig oder ungültig ist.

Da der Verzeichnisdienst die Grundlage für eine Signaturüberprüfung darstellt, ist er aktuell und rund um die Uhr funktionstüchtig zu halten. Dies stellt Signtrust durch ein hochverfügbar ausgelegtes Rechenzentrum sicher.

Trustcenter (G) Sperrdienst

Für den Fall, dass einem Anwender die Signaturkarte abhanden kommt oder andere Gründe eine Sperrung der Karte erfordern, hat jede Zertifizierungsstelle einen 24-Stunden-Sperrdienst für die von ihr ausgestellten Zertifikate zu unterhalten. Für etwaige Sperrbegehren stellt Signtrust ihren Kunden ein zertifiziertes Call Center zur Verfügung, das entsprechende Sperrbegehren entgegenimmt und ausführt. Als Alternative kann ein Sperrbegehren auch schriftlich auf dem Postweg an das Trustcenter der Signtrust gesendet werden. In seltenen Fällen kann eine Sperrung auch durch das Trustcenter erfolgen, so etwa, wenn der Zertifikatsinhaber seinen vertraglichen Pflichten nicht nachkommt.

Eine Sperrung, die bei Signtrust eingeht, wird umgehend an den Verzeichnisdienst weitergegeben und dort unverzüglich vermerkt, damit eine Abfrage des gesperrten Zertifikates den jeweils aktuellen Status des Zertifikates anzeigt. Diese Möglichkeit der Sperrung existiert bei Signtrust an 7 Tagen in der Woche und an 24 Stunden jedes Tages. Wichtig ist, dass es jedermann umgehend möglich sein muss, von dieser Sperrung zu erfahren. Daher werden im Verzeichnisdienst Angaben darüber gemacht, ob ein Zertifikat gültig ist oder nicht.

Enthält ein qualifiziertes Signatur-Zertifikat ein Attribut, das eine Bestätigung eines Dritten oder einer dritten Stelle verlangt, hat diese Person oder Stelle die Möglichkeit, das qualifizierte Signatur-Zertifikat schriftlich sperren zu lassen. Qualifizierte Attribut-Zertifikate, die eine Bestätigung einer dritten Stelle oder Person benötigen, können auch durch diese dritte Stelle oder Person gesperrt werden.

Die Gültigkeit des qualifizierten Signatur-Zertifikats wird hiervon nicht berührt. Eine Sperrung des qualifizierten Signatur-Zertifikats führt automatisch zur Sperrung der Verschlüsselungs- und Authentisierungszertifikate. Die dazugehörigen Schlüsselpaare können allerdings weiterhin benutzt werden.

Trustcenter (H) Zeitstempeldienst

Für viele elektronischen Nachrichten und Daten ist es wichtig, den Zeitpunkt ihrer Entstehung oder Übermittlung rechtsverbindlich feststellen zu können. Für diese Nachrichten und Daten muss ein Rück- oder Vordatieren ausgeschlossen werden.Deswegen stellt das Trustcenter der Deutschen Post einen sogenannten "Zeitstempeldienst" bereit.

Die Kurzform (Hash-Wert) der Daten wird hierbei zusammen mit einer verbindlichen, amtlichen Zeitangabe nach Zeitgesetz versehen und von dem Trustcenter mit einem speziellen Zeitstempelschlüssel elektronisch signiert. Ziel ist es, die Angaben vor Veränderungen zu schützen und erkennbar zu machen, dass die Zeitangabe von einem lizensierten Trustcenter stammt.

Signtrust

Das signaturgesetz-konforme Trustcenter der Deutschen Post.
Mehr