Vertrauen ein ökonomisches und ethisches Prinzip elektronischer Märkte Digitale Signatur – Digitale Zertifizierung Web of trust V8 - 20. Juni 2001 Dozent:

Präsentation zum Thema: "Vertrauen ein ökonomisches und ethisches Prinzip elektronischer Märkte Digitale Signatur – Digitale Zertifizierung Web of trust V8 - 20. Juni 2001 Dozent:"—  Präsentation transkript:

1 Vertrauen ein ökonomisches und ethisches Prinzip elektronischer Märkte Digitale Signatur – Digitale Zertifizierung Web of trust V Juni Dozent: Rainer Kuhlen IB-HU-Berlin

2 Ausgangslage für Signatur und Vertrauensnetzwerke (Web of trust)
Inhalt Ausgangslage für Signatur und Vertrauensnetzwerke (Web of trust) Selbstregulierung aus der Internet-Community - Beispiel: PGP Selbstregulierung der Wirtschaft – Beispiel: Persönliche Zertifizierung über Thawte Selbstregulierung über Verbände – Beispiel: WebTrust: American Institute of Certified Public Accountants Anwendung des Web of trust beim C2C – Beispiel Epinions.com Staatliche Vorgaben: Digitale Signatur in Deutschland Grundlegende Literatur für Vertrauensnetzwerke: Rohit Khare and Adam Rifkin: Weaving a Web of Trust -

3 Ausgangslage für Signatur und Vertrauensnetzwerke (Web of trust)
Bei allen elektronischen Kommunikationssituationen treten die Probleme der Identität und Authentizität auf. Wie kann man sicher sein, dass die Botschaft, die angekommen ist, mit der identisch ist, die abgesandt wurde? Wie kann man sicher sein, dass die Person auch diejenige ist, die sie zu sein behauptet? Insbesondere tritt das Problem bei der Anwendung des Public-key-Verschlüsselungsverfahren. Wie kann man sicher sein, dass der Public key wirklich von der Person stammt, die dies behauptet.

4 Überprüfungsmöglichkeit für den Public key einer Person x
In (Patrick Feisthammel) wird auf drei Möglichkeiten verwiesen: Ich suche im offiziellen Telefonbuch nach seiner Telefonnummer, rufe x an und lasse mir von x seine Schlüsseldaten geben. Dazu muss ich aber x kennen (Stimmenidentifikation), denn es könnte sich ja eine andere Person als x ausgeben. Ich gehe bei x vorbei, lasse mir seinen Ausweis zeigen und die Schlüsseldaten geben. Ich schaue, ob jemand den ich kenne, die Identität von x elektronisch bestätigt. Je mehr ich kenne, die die Identität von x – die Rechtmäßigkeit der Bereitstellung seines Public key – bestätigen, desto mehr kann ich auf seine Identität vertrauen. Die Gesamtheit der Identitätszusichernden macht das Vertrauensnetzwerk aus

5 PGP Trust Modell Beispiel Grundansatz
A signiert das Public-Key-Zertifikat von B B schickt dieses signierte Zertifikat an C, der mit B vertraulich kommunizieren will, B aber nicht kennt, wohl aber A C vertraut A und damit darauf, dass durch das von A signierte Zertifikat B wirklich die Person ist, mit der C kommunizieren will Je mehr Personen B‘s Zertifikat signiert haben, denen C vertraut, desto höher steigt der Vertrauenslevel. So ensteht eine Vertrauensgemeinschaft Signieren muss kein Ja-Nein-Entscheidung sein. Man unterscheidet häufig die folgenden Kategorien Undefined – man kann nichts über die Gültigkeit des Public key sagen Marginal – kann gültig sein, vielleicht auch nicht Complete – man kann vollkommen sicher sein, dass der Public key gültig ist PGP Trust Modell Beispiel Ähnliche Kategorien können auch darauf übertragen werden, inwieweit man einem Besitzer eines öffentlichen Schlüssels vertraut, dass er ein anderes Zertifikat signiert.

6

7 Absicherung der Identität und Authentizität über Signatur bei PGP durch Anwendung des Public-key-Verfahrens - Selbstregulierung aus der Internet-Community Aus den FAQ/PGS - Let's imagine that you received a letter in the mail from someone you know named John Smith. How do you know that it was really John who sent you the letter and not someone else who simply forged his name? With PGP, it is possible to apply a digital signature to a message that is impossible to forge. If you already have a trusted copy of John's public encryption key, you can use it to check the signature on the message. It would be impossible for anybody but John to have created the signature, since he is the only person with access to the secret key necessary to create the signature. In addition, if anybody has tampered with an otherwise valid message, the digital signature will detect the fact. It protects the entire message. Eine gut aufbereitete Foliendarstellung der Geschichte und Anwendung von PGB von L. und J. Rosenboom -

8 Absicherung der Identität über Signatur bei PGP
durch Anwendung des Web of trust Modells (Gegenzeichnung – Signing – eines Schlüssels) Aus den FAQ/PGS - OK, you just got a copy of John Smith's public encryption key. How do you know that the key really belongs to John Smith and not to some impostor? The answer to this is key signatures. They are similar to message signatures in that they can't be forged. Let's say that you don't know that you have John Smith's real key. But let's say that you DO have a trusted key from Joe Blow. Let's say that you trust Joe Blow and that he has added his signature to John Smith's key. By inference, you can now trust that you have a valid copy of John Smith's key. That is what key signing is all about. This chain of trust can be carried to several levels, such as A trusts B who trusts C who trusts D, therefore A can trust D. You have control in the PGP configuration file over exactly how many levels this chain of trust is allowed to proceed. [man signiert sich auch selber]

9 Absicherung der Identität über Signatur bei PGP
durch Anwendung des Web of trust Modells (Gegenzeichnung – Signing – eines Schlüssels) Publikationen zum Web of trust Ansatz (bei PGP): Web of trust bei PGP ist ein privat organisiertes „Amateur“-Verfahren – also ein Gegenmodell zu den (häufig staatlich legitimierten bzw. zertifizierten) professionellen Trust Center, die in der Regel nur von finanzkräftigen Institutionen betrieben werden können. Das Key signing wird oft auf sogenannten Key signing parties, z.B. bei einschlägigen Konferenzen, organisiert. Die PGP-Gemeinde hat auch ihre eigene Online Public Key Infrastructure aufgebaut: „It consists of a set of public key servers around the world which allow PGP users to register their keys and publicly sign each other's keys via and WWW interfaces.“ (

10 Selbstregulierung der Wirtschaft
Persönliche Zertifizierung über Thawte (Certifying Authority) Allgemeine Zielsetzung – trusted third party Registrierung Namenszertifizierung Geschäftspolitik – Privacy-Zusicherung

11 Thawte (Certifying Authority) Trusted third party - https://www.thawte.com/
Thawte is a global provider of digital certificate solutions that provide Internet users with peace of mind when sending information to web sites, sending s, and downloading computer code over the Internet. Thawte acts as a trusted third party on the Internet. We issue digital certificates to companies, and individuals, that are used as proof of identity online, and provide for the protection of all information sent over the World Wide Web, using the most currently available encryption technology. A personal certificate is a digital identity document that can be used to sign digital messages like and news. It can also be used by other people to encrypt information that is for your eyes only. Once you exchange certificates with your friends or business partners you can correspond over the Internet in complete privacy.

12 Persönliche Zertifizierung über Thawte (Certifying Authority) Verfahren: Zur Registrierung für eine digitale Signatur bzw. ein digitales Zerifikat werden die folgenden Informationen benötigt, die, werden sie einmal eingebracht, nicht verändert werden können: Your identification number, passport number, social security number, driver licence number or tax number, depending on your nationality. Ihr kompletter Name und Geburtsdatum. Der Name Ihrer Firma, die Grösse und Adresse(wenn sie angestellt sind). Ihre Privatadresse und Kontaktdetails. Your preferred currency.

13 Persönliche Zertifizierung über Thawte (Certifying Authority):
Ein persönliches Zertifikat ist ein digitales Dokument zur Identifizierung und Authentifizierung des Senders Wozu kann das persönliche Zertifikat von Thawte verwendet werden: a) Sichere Mit dem Zertifikat kann digitaliert signiert und verschlüsselt werden. Thrwates Zertifikate werden von der meisten S/MIME- -Anwendungern unterstützt, so auch von Microsoft Outlook Express and Netscape Communicator 4.x. b) Authentication to Web Servers: Most modern web browsers, such as Microsoft Internet Explorer 3.x and Netscape Navigator 3.x and later, allow you to use a personal certificate from Thawte to authenticate yourself to a web server. Certificate-based authentication is much stronger and more secure than password-based authentication.

14 Persönliche Zertifizierung über Thawte (Certifying Authority):
Ein persönliches Zertifikat ist ein digitales Dokument zur Identifizierung und Authentifizierung des Senders Das Verfahren ist zweigeteilt: Signatur zur Identifizierung – bestätigt durch die Bescheinigung von Thawte, dass die verwendete -Adresse der Person gehört, die die Signatur verwendet (bekanntlich können -Adresse gefälscht sein; die Zuordnung der -Adresse zu der Signatur geschieht aber nur durch den Besitzer des persönlichen Zertifikats, das auf dem Rechner des Inhabers gespeichert und dessen Verwendung über Passwort geschützt ist. Verschlüsselung zur Authentifizierung und Geheimhaltung: Geschieht nach dem Public-key-Verfahren; d.h. es funktioniert nur, wenn der Empfänger im Besitz des öffentlichen Schlüssels des Absenders ist.

15 Persönliche Zertifizierung über THAWTE - Namenszertifizierung
Eine weitergehende Identitätssicherung geschieht über den Namen. Das verlangt eine komplizierte Prozedur, wobei das Web of trust ins Spiel kommt. Man muss sich mit einem Web of Trust Notar persönlich treffen Man muss ein originales ID-Dokument (z.B. Pass; im Amerikanischen häufig die „Social Security card“) vorweisen, bei dem der Name identisch ist mit dem Namen, den man im Thawte-System verwendet und in dem die ID-Nummer identich mit der im Thawte-System verwenden ist. Das ID-Dokument muss ein Bild aufweise Von dem vorgelegten ID-Dokument muss eine Fotokopie bei dem Notar hinterlegt werden, der es mindestens 5 Jahre sicher aufbewahrt. Man muss ein Kopie der Thawte's Statement of Notarization. Mitbringen und vor Ort unterzeichnen. Die Kopie bleibt beim Notar. Wenn die Bedingungen erfüllt sind, vergibt der Notar 35 Vertrauenspunkte an den Bewerber. Wenn man 100 Punkte zusammen hat, kann man selber Notar werden.

16 Thawte: Garantie der Vertraulichkeit und Privatsphäre
Your relationship with your CA is one of trust. In order to do our job effectively we need to know a considerable amount of information about you. You may rest assured that we will never, under any circumstances, voluntarily or willingly disclose that information to any third party. We regularly receive requests for information from our database. They get thrown away. That is our guarantee to you. We hold ourselves fully liable to our customers for the privacy of their personal information. Es widerspricht der Idee des Web of Trust, dass solchermaßen privat organisierten Zertifizierungsinstitutionen den von staatlicher Seite häufig geforderten Key-escrow-Verfahren zustimmen, d.h. also einwilligen, dass auf (noch berechtigter) Nachfrage die Identität des Inhabers des Zertifikats offengelegt wird. Organisationen wie Thawte unterstützen solche Key-escrow-Verfahren nicht bzw. versuchen, entsprechende gesetzliche Vorhaben zu verhindern.

17 Liste von WebTrust-zerifizierten Institutuionen
WebTrust: American Institute of Certified Public Accountants und des Canadian Institute of Chartered Accountants (CICA) – Selbstregulierung über Verbände und Wirtschaft Ist eine Initiative von VeriSign: Das Siegel wird ergänzt durch die von VEriSign vergebene Digital ID. Current browsers will not initiate a secure session without seeing a valid Digital Um das WebTRust/VeriSign-Siegel zu erhalten, muss man seine Website von einem lizensierten CPA or Chartered Accountant überprüfen lassen. Durch die Siegelvergabe wird von AICPA bestätigt (und alle Vierteljahr überprüft), dass die von der Website durchgeführten On-line Transaktionen sicher sind und dass alle AICPA-Richtlinie für „authenticity, security, and privacy“ (auch Verfügbarkeit) von der betreffenden Firma eingehalten werden. Durch Anklicken des Siegels kann sich ein Benutzer den Überprüfungsbericht und die WebTrust-Prinzipien und -Kriterien anschauen. (Beispiel: Galaxiworld Casino) Liste von WebTrust-zerifizierten Institutuionen Privacy policy von WebTrust:

18 Kriterienkatalog des American Institute of Certified Public Accountants und des CICA: A.Business and Information Privacy Practices—The entity discloses its business and information privacy practices for e-commerce transactions and executes transactions in accordance with its disclosed practices. B.Transaction Integrity—The entity maintains effective controls to provide reasonable assurance that customers' transactions using e-commerce are completed and billed as agreed. C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e-commerce Is protected from uses not related to the entity's business

19 Kriterienkatalog des American Institute of Certified Public Accountants und des CICA: A.Business and Information Privacy Practices—The entity discloses its business and information privacy practices for e-commerce transactions and executes transactions in accordance with its disclosed practices. A1 Description of goods and/or service. The entity discloses descriptive information about the nature of the goods that will be shipped or the services that will be provided, including, but not limited to, the following: A1.1 Condition of goods (meaning, whether they are new, used, or reconditioned). A1.2 Description of services (or service contract). A1.3 Sources of information (meaning, where it was obtained and how it was compiled). A2 Terms and Conditions The entity discloses the terms and conditions by which it conducts ist e-commerce transactions including but not limited to the following: A2.1 Time frame for completion of transactions (transaction means fulfillment of orders where goods are being sold and delivery of service where a service is being provided). A2.2 Time frame and process for informing customers of exceptions to normal processing of orders or service requests.

20 Kriterienkatalog AICPA und CICA: http://www. aicpa
A.Business and Information Privacy Practices A2.3 Normal method of delivery of goods or services, including customer options, where applicable. A2.4 Payment terms, including customer options, if any. A2.5 Electronic settlement practices and related charges to customers. A2.6 How customers may cancel recurring charges, if any. A2.7 Product return policies and/or limited liability, where applicable. A3 Customer support & service The entity discloses on its Web site (and/or in information provided with the product) where customers can obtain warranty, repair service, and support related to the goods and services purchased on its Web site. A4 Customer communications The entity discloses information to enable customers to file claims, ask questions and register complaints, including, but not limited to, the following *Street address (not a post office box or address) * Telephone number (a number to reach an employee on a reasonably timely basis and not only a voice mail system or message machine) * Days and hours of operation * If there are several offices or branches, the same information for the principal office

21 Kriterienkatalog AICPA und CICA: http://www. aicpa
A.Business and Information Privacy Practices A4.1 In the event outside dispute resolution is necessary, the process by which these disputes are resolved. These complaints may relate to any part of a customer's e-commerce transaction, including complaints related to the quality of services and products, accuracy, completeness, and distribution of private customer information and the consequences for failure to resolve such complaints. This resolution process should have the following attributes: * Management's commitment to use a specified third party dispute resolution service or other process mandated by regulatory bodies in the event the customer is not satisfied with the entity's proposed resolution of such a complaint together with a commitment from such third party to handle such unresolved complaints * Procedures to be followed in resolving such complaints, first with the entity and, if necessary, with the designated third party * What use or other action will be taken with respect to the private information, which is the subject of the complaint, until the complaint is satisfactorily resolved

22 Kriterienkatalog AICPA und CICA: http://www. aicpa
A.Business and Information Privacy Practices A5 Information Privacy The entity discloses on its Web site ist information privacy practices. These practices include but are not limited to the following disclosures. A5.1 The specific kinds and sources of information being collected and maintained; the use of that information; and possible third party distribution of that information. A5.2 Choices regarding how individually identifiable information collected from an individual online may be used and/or distributed. Individuals should be given the opportunity to opt out of such use, by either not providing such information or denying its distribution to parties not involved with the transaction. A5.3 The consequences, if any, of an individual's refusal to provide information or of an individual's decision to opt out of a particular use of such information. A5.4 How individually identifiable information collected can be reviewed and, if necessary, corrected or removed. A5.5 If the Web site uses cookies, how they are used and the consequences, if any, of an individual's refusal to accept a cookie.

23 Kriterienkatalog AICPA und CICA: http://www. aicpa
A.Business and Information Privacy Practices A6 Monitoring The entity maintains monitoring procedures that provide reasonable assurance of the following: Its business practice disclosures on its Web site remain current Reports of noncompliance are promptly addressed and corrective measures taken.

24 Kriterienkatalog AICPA und CICA: http://www. aicpa
B.Transaction Integrity—The entity maintains effective controls to provide reasonable assurance that customers' transactions using e-commerce are completed and billed as agreed. B1 Requesting goods and/or services The entity maintains controls to provide reasonable assurance that: B1.1 Each request or transaction is checked for accuracy and completeness. B1.2 Positive acknowledgment is received from the customer before the transaction is processed B2 Processing requests for goods and/or services The entity maintains controls to provide reasonable assurance that: B2.1 The correct goods are shipped in the correct quantities in the time frame agreed, or services and information are provided to the customer as requested. B2.2 Transaction exceptions are promptly communicated to the customer. B3 Processing bill/payment The entity maintains controls to provide reasonable assurance that:

25 Kriterienkatalog AICPA und CICA: http://www. aicpa
B.Transaction Integrity—The entity maintains effective controls to provide reasonable assurance that customers' transactions using e-commerce are completed and billed as agreed. B3.1 Sales prices and all other costs/fees are displayed for the customer before processing the transaction. B3.2 Transactions are billed and electronically settled as agreed. B3.3 Billing or settlement errors are promptly corrected. B4 Transaction history The entity maintains controls that allow for subsequent follow-up of transactions. B5 Entity monitoring of its transaction integrity The entity maintains monitoring procedures that provide reasonable assurance of the following: * Its transaction integrity controls remain effective. * Reports of noncompliance are promptly addressed and corrective measures taken.

26 Kriterienkatalog AICPA und CICA: http://www. aicpa
C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e-commerce is protected from uses not related to the entity's business C1 Transmission of private customer information The entity maintains controls to protect transmissions of private customer information over the Internet from unintended recipients. C2 Collecting customer information The entity maintains controls over the collection of data and has policies which provide customers with the following: A choice as to whether individually identifiable information collected from them online may be used for purposes other than completing the transaction in progress (an internal secondary use or external third-party use) The opportunity to opt out of any particular internal secondary or external third-party usage of that information except those required by law or other regulatory agency

27 Kriterienkatalog AICPA und CICA: http://www. aicpa
C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e-commerce is protected from uses not related to the entity's business C3 Protection and use of private customer information The entity maintains controls to protect private customer information obtained as a result of e-commerce and retained in ist system from outsiders. C3.1 Systems that retain private customer information obtained as a result of e-commerce are protected from unauthorized outside access. C3.2 Customers entering through the Web page cannot access other customers' private information. C3.3 Private customer information obtained as a result of e-commerce is not intentionally disclosed to parties not related to the entity's business unless (1) customers are clearly notified prior to their providing such information or (2) customer permission is obtained after the customer has provided such information. C3.4 Private customer information obtained as a result of e-commerce is used by employees only in ways associated with the entity's business

28 Kriterienkatalog AICPA und CICA: http://www. aicpa
C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e-commerce is protected from uses not related to the entity's business C4 Accuracy and completeness of information The entity maintains controls so that individually identifiable information collected, created or maintained by it is accurate and complete for its intended use C5 Entity responsibility for third party information The entity maintains controls and carries out procedures to determine the adequacy of information protection and privacy policies of third parties to whom information is transferred. C6 Protection of customers' computers and files The entity maintains controls to protect against its unauthorized access to customer's computers and its unauthorized modification of customer's computer files:

29 Kriterienkatalog AICPA und CICA: http://www. aicpa
C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e-commerce is protected from uses not related to the entity's business C6.1 Customer permission is obtained before storing, altering or copying information in the customer's computer or the customer is notified with an option to prevent such activities. C6.2 Transmission of malicious computer code to customers is prevented C7 Monitoring The entity maintains monitoring procedures that provide reasonable assurance regarding the following: C7.1 Its information protection controls remain effective. C7.2 Reports of non-compliance are promptly addressed and corrective measures taken.

30 Anwendung des Web of trust beim C2C – Beispiel Epinions
Anwendung des Web of trust beim C2C – Beispiel Epinions.com (Info- Epinion-Einschätzungen von Benutzern: 1. What is the Web of Trust? Your Web of Trust is a network of reviewers whose opinions and ratings you have consistently found to be valuable. The Web of Trust mimics the way people share word-of-mouth advice every day. Friends have a proven track record. If a friend consistently gives you good advice, you're likely to believe that person's suggestions in the future. You know which preferences you and your friend share. If you both like the same types of films, you're more likely to trust your friend's recommendations on what to see. 2. How do I add another member to my Web of Trust? When you are viewing another member's opinion or profile, simply click the link that says "Trust <membername>". 3. Why should I trust other members? Building your Web of Trust helps the Epinions.com system predict how helpful an opinion will be to you. The Web of Trust promotes the opinions of trusted members so that you can find what you are looking for more easily and get the most out of your time on Epinions.com.

31 Beispiel Epinions.com 4. How do I decide whom to trust?
Epinions.com offers complex tools that enable you to interact with others - wichtig für Trust in C2C 4. How do I decide whom to trust? You should be just as discriminating when "trusting" on Epinions.com as you are with anyone you meet. Your trusting patterns can significantly shape your experience on the site. Although you ultimately determine whom to trust and why, Epinions offers the following guidelines. Before trusting other members... Read all or most of their opinions. Check out their profile pages. Evaluate their Webs of Trust. If you were trying to decide whether or not to buy a specific product and the member in question had reviewed it, would you want that review to be among the first you saw? If so, you have a good reason to add that member to your Web of Trust. 5 Does my Web of Trust affect other members? Yes. Your trust decisions affect other members in two ways: Members who trust you will inherit some of the effects of your Web of Trust. If you are careful about designating whom you trust, you will help improve the experience of those who trust you. Everyone's trust contributes to the Advisor selection process. Trust is an important feedback mechanism and indicator of how strongly the Epinions community values a member's contributions.

32 Beispiel Epinions.com 6. Who can see my Web of Trust?
The Epinions.com default settings allow any member to see whom you have added to your Web of Trust. You can change these settings by visiting the Edit Public Profile section of your Member Profile. 7. How can I find out who trusts me? In the Web of Trust section of your Member Profile, there is a list of all of the members who have added you to their Webs of Trust. If a member chooses to hide his or her Web of Trust, that name will not appear on the list of members who trust you. 8. What is the Block List? The Block List is a list of authors whose opinions you do not find valuable. If you encounter a member whose opinions are consistently offensive, inaccurate, or otherwise low quality, you can add that member to your Block List. Just as the Web of Trust promotes the work of those members you trust, the Block List makes it less likely that you will encounter contributions you do not value in the future. 9. How do I add another member to my Block List? When you are viewing another member's opinion or profile, simply click the link that says "Block <membername>".

33 Beispiel Epinions. com (Info- http://www. epinions
10. Who can see my Block List? Only you can see your Block List. Unlike the Web of Trust, there is no way you can display your Block List to others. This feature was designed to prevent hard feelings or retaliation when you add members to your Block List. 11. Can I change my mind about trusting or blocking another member? Yes. When you are viewing a trusted member's opinion or profile, you can remove that member from your Web of Trust by clicking the link that says "Remove <membername> from your Trust list". To remove a blocked member from your Block List, visit the member's opinion or profile and click the link that says "Remove <membername> from your Block List". You can also edit your Web of Trust and Block List from your own profile. From your Account Summary page, click Web of Trust or Block List. Then click Remove next to the name of the member you wish to remove.

34 Beispiel Epinions.com

35 Beispiel Epinions.com

36 Stand digitale Signatur in Deutschland - http://www
Das Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz) trat am 22. Mai 2001 in Kraft. Die Verwendung digitaler Signaturen ist nicht rechtsverbindlich vorgeschrieben (§1,2). Der Einsatz von digitalen Signaturen in de Verwaltung kann zusätzliche Anforderungen nötig machen (§1,3) “Elektronische Signaturen” [sind] Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen. (§2,1)

37 Definitionen digitaler Signaturen
“fortgeschrittene elektronische Signaturen“ [sind] elektronische Signaturen ..., die a) ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind, b) die Identifizierung des Signaturschlüssel-Inhabers ermöglichen, c) mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und d) mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann “qualifizierte elektronische Signaturen” [sind] elektronische Signaturen ..., die a) auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen und b) mit einer sicheren Signaturerstellungseinheit erzeugt werden,

38 Zertifizierungsdiensteanbieter Vertrauensbedingung
Der Betrieb eines Zertifizierungsdienstes ist im Rahmen der Gesetze genehmigungsfrei. (§4,1) Einen Zertifizierungsdienst darf nur betreiben, wer die für den Betrieb erforderliche Zuverlässigkeit und Fachkunde sowie eine Deckungsvorsorge ... nachweist und die weiteren Voraussetzungen für den Betrieb eines Zertifizierungsdienstes nach diesem Gesetz und der Rechtsverordnung ... gewährleistet. Die erforderliche Zuverlässigkeit besitzt, wer die Gewähr dafür bietet, als Zertifizierungsdiensteanbieter die für den Betrieb maßgeblichen Rechtsvorschriften einzuhalten. Die erforderliche Fachkunde liegt vor, wenn die im Betrieb eines Zertifizierungdienstes tätigen Personen über die für diese Tätigkeit notwendigen Kenntnisse, Erfahrungen und Fertigkeiten verfügen. Vertrauensbedingung

39 Vergabe von qualifizierten Zertifikaten
Der Zertifizierungsdiensteanbieter hat Personen, die ein qualifiziertes Zertifikat beantragen, zuverlässig zu identifizieren. Er hat die Zuordnung eines Signaturprüfschlüssels zu einer identifizierten Person durch ein qualifiziertes Zertifikat zu bestätigen und dieses jederzeit für jeden über öffentlich erreichbare Kommunikationsverbindungen nachprüfbar und abrufbar zu halten. Ein qualifiziertes Zertifikat darf nur mit Zustimmung des SignaturschlüsselInhabers abrufbar gehalten werden. (§5,1) Ein qualifiziertes Zertifikat kann auf Verlangen eines Antragstellers Angaben über seine Vertretungsmacht für eine dritte Person sowie berufsbezogene oder sonstige Angaben zu seiner Person (Attribute) enthalten. (aus §5,2) Der Zertifizierungsdiensteanbieter hat auf Verlangen eines Antragstellers in einem qualifizierten Zertifikat anstelle seines Namens ein Pseudonym aufzuführen. (aus §5,3)

40 Vergabe von qualifizierten Zertifikaten
Der Zertifzierungsdiensteanbieter hat Vorkehrungen zu treffen, damit Daten für qualifizierte Zertifikate nicht unbemerkt gefälscht oder verfälscht werden können. Er hat weiter Vorkehrungen zu treffen, um die Geheimhaltung der Signaturschlüssel zu gewährleisten. Eine Speicherung von Signaturschlüsseln außerhalb der sicheren Signaturerstellungseinheit ist unzulässig. (§5,4) Unterrichtungspflicht Der Zertifizierungsdiensteanbieter hat den Antragsteller darüber zu unterrichten, dass eine qualifizierte elektronische Signatur im Rechtsverkehr die gleiche Wirkung hat wie eine eigenhändige Unterschrift, wenn durch Gesetz nicht ein anderes bestimmt ist. (§6,2)

41 §7 Inhalt von qualifizierten Zertifikaten - Ein qualifiziertes Zertifikat muss folgende Angaben enthalten und eine qualifizierte elektronische Signatur tragen: 1. den Namen des Signaturschlüssel-Inhabers, der im Falle einer Verwechslungsmöglichkeit mit einem Zusatz zu versehen ist, oder ein dem Signaturschlüssel-Inhaber zugeordnetes un-verwechselbares Pseudonym, das als solches kenntlich sein muss, 2. den zugeordneten Signaturprüfschlüssel, 3. die Bezeichnung der Algorithmen, mit denen der Signaturprüfschlüssel des Signaturschlüssel-Inhabers sowie der Signaturprüfschlüssel des Zertifizierungsdiensteanbieters benutzt werden kann, 4. die laufende Nummer des Zertifikates, 5. Beginn und Ende der Gültigkeit des Zertifikates, 6. den Namen des Zertifizierungsdiensteanbieters und des Staates, in dem er niedergelassen ist, 7. Angaben darüber, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder Umfang beschränkt ist, 8. Angaben, dass es sich um ein qualifiziertes Zertifikat handelt, und 9. nach Bedarf Attribute des Signaturschlüssel-Inhabers.

42 §14 Datenschutz Der Zertifizierungsdiensteanbieter darf personenbezogene Daten nur unmittelbar beim Be-troffenen selbst und nur insoweit erheben, als dies für Zwecke eines qualifizierten Zertifikates erforderlich ist. Eine Datenerhebung bei Dritten ist nur mit Einwilligung des Betroffenen zulässig. Für andere als die in Satz 1 genannten Zwecke dürfen die Daten nur verwendet werden, wenn dieses Gesetz es erlaubt oder der Betroffene eingewilligt hat. (§14,1) Bei einem Signaturschlüssel-Inhaber mit Pseudonym hat der Zertifizierungsdiensteanbieter die Daten über dessen Identität auf Ersuchen an die zuständigen Stellen zu übermitteln, soweit dies für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden erforderlich ist oder soweit Gerichte dies im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen. Die Auskünfte sind zu dokumentieren. Die ersuchende Behörde hat den Signaturschlüssel-Inhaber über die Aufdeckung des Pseudonyms zu unterrichten, sobald dadurch die Wahrnehmung der gesetzlichen Aufgaben nicht mehr beeinträchtigt wird oder wenn das Interesse des Signaturschlüssel-Inhabers an der Unterrichtung überwiegt. ($14,2)

43 § 15 Freiwillige Akkreditierung
Zertifizierungsdiensteanbieter können sich auf Antrag von der zuständigen Behörde akkreditieren lassen; die zuständige Behörde kann sich bei der Akkreditierung privater Stellen bedienen. ... Akkreditierte Zertifizierungsdiensteanbieter erhalten ein Gütezeichen der zuständigen Behörde. (aus §15,1) Wesentliche rechtliche Grundlagen für die Amtshandlungen der Regulierungsbehörde für Telekommunikation und Post sind: das Telekommunikationsgesetz (TKG), das Begleitgesetz zum TKG, ... das Gesetz zur digitalen Signatur (SigG), §16 Zertifikate der zuständigen Behörde Die zuständige Behörde hat 1. die Namen, Anschriften und Kommunikations-verbindungen der akkreditierten Zertifizierungs-diensteanbieter, 2. den Widerruf oder die Rücknahme einer Akkreditierung, 3. die von ihr ausgestellten qualifizierten Zertifikate und deren Sperrung und 4. die Beendigung und die Untersagung des Betriebes eines akkreditierten Zertifizierungsdiensteanbieters jederzeit für jeden über öffentlich erreichbare Kommunikationsverbindungen nachprüfbar und abrufbar zu halten.

44 §17 Produkte für qualifizierte elektronische Signaturen
Für die Speicherung von Signaturschlüsseln sowie für die Erzeugung qualifizierter elektro-nischer Signaturen sind sichere Signaturerstellungseinheiten einzusetzen, die Fälschungen der Signaturen und Verfälschungen signierter Daten zuverlässig erkennbar machen und gegen unberechtigte Nutzung der Signaturschlüssel schützen. (aus §17,1) Für die Überprüfung signierter Daten sind Signaturanwendungskomponenten erforderlich, die feststellen lassen, 1. auf welche Daten sich die Signatur bezieht, 2. ob die signierten Daten unverändert sind, 3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist, 4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte Attribut-Zertifikate aufweisen und 5. zu welchem Ergebnis die Nachprüfung von Zertifikaten nach § 5 Abs. 1 Satz 2 geführt hat. Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu signierenden oder signierten Daten hinreichend erkennen lassen.

45 $23 Ausländische elektronische Signaturen und Produkte für elektronische Signaturen
Elektronische Signaturen, für die ein ausländisches qualifiziertes Zertifikat aus einem ande-ren Mitgliedstaat der Europäischen Union oder aus einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum vorliegt, sind, soweit sie Artikel 5 Abs. 1 der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (ABl. EG 2000 Nr. L 13 S.2) in der jeweils geltenden Fassung entsprechen, qualifizierten elektronischen Signaturen gleichgestellt. Elektronische Signaturen aus Drittstaaten sind qualifizierten elektronischen Signaturen gleichgestellt, wenn das Zertifikat von einem dortigen Zertifizierungsdiensteanbieter öffentlich als qualifiziertes Zertifikat ausgestellt und für eine elektronische Signatur im Sinne von Artikel 5 Abs. 1 der Richtlinie 1999/93/EG bestimmt ist. (aus §23,1)