Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Elektronische Signaturen

Veröffentlicht von:Wilma Weissberg Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Elektronische Signaturen"—  Präsentation transkript:

1 Elektronische Signaturen
für Online-Dienste Dr. Martin Wind

2 Elektronische Signaturen: Stand der Dinge
Signaturbasierte Online-Dienste: Probleme und Lösungen OSCI und OSCAR Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven Erfolgsmodell Elektronische Signatur?

3 Das Internet... ... wächst und wächst und wächst
... ist aber nach wie vor nur bedingt für kommerzielle oder behördliche Transaktionen geeignet: - mangelnde Sicherheit - Anonymität der Nutzer(innen) - anpassungsbedürftiger Rechtsrahmen D.h.: Viele Anwendungen, die theoretisch übers Internet abgewickelt werden könnten, lassen sich nicht realisieren oder erfordern Zusatzaufwand.

4 Elektronische Signatur mit asymmetrischem Verfahren
Absender einer Nachricht verfügt über einen öffentlich übers Internet abrufbaren und einen privaten, unauslesbar auf einer Chipkarte befindlichen Schlüssel. Beim Verschicken einer Nachricht signiert der Absender diese mit seinem privaten Schlüssel, dem elektronischen Pendant zur "echten" Unterschrift. Der Empfänger prüft nun die Echtheit des Absenders, indem er die Signatur mit dem öffentlichen Schlüssel des Absenders decodiert. Läßt sich die „Unterschrift“ so verifizieren, ist die Nachricht eindeutig vom Absender und außerdem nach dem Signieren nicht mehr nachträglich geändert worden.

5 Elektronische Signaturen
ermöglichen Authentifikation: eine Nachricht stammt tatsächlich vom angegebenen Absender sichern Integrität einer Nachricht: nachträgliche Veränderungen werden bemerkt gewährleisten Vertraulichkeit: verschlüsselte Nachrichten können nur vom gewünschten Adressaten entschlüsselt und gelesen werden öffnen den Weg für sichere und rechtsverbindliche Online-Transaktionen ohne Medienbrüche

6 Elektronische Signaturen in Deutschland
1997: Signaturgesetz und Signaturverordnung 2000: EU-Richtlinie zu elektronischen Signaturen : Bundestag novelliert Signaturgesetz : Gesetz über Rahmenbedingungen für elektronische Signaturen tritt in Kraft veränderter Sprachgebrauch: elektronische statt digitale Signaturen Zertifizierungsstellen können Aufgaben an Dritte delegieren (Voraussetzung: Einbindung in Sicherheitskonzept) Zertifizierungsstellen: nachgelagerte Kontrolle statt vorgelagerter Genehmigung

7 Arten elektronischer Signaturen nach dem neuen Signaturgesetz Deutschland
elektronische Signaturen (§ 2 Nr. 1 SigG) eingescannte Unterschrift, elektronische Visitenkarte u.ä. fortgeschrittene elektronische Signaturen (§ 2 Nr. 2 SigG) PGP-Signaturen u.ä. qualifizierte elektronische Signaturen (§ 2 Nr. 3 SigG) beruhen auf einem gültigen qualifizierten Zertifikat und sind mit einer sicheren Signaturerstellungseinheit erzeugt worden qualifizierte elektronische Signaturen mit Anbieter-Akkreditierung (§ 15 I 4 SigG) alle „digitalen Signaturen“ nach altem SigG

8 Rechtliche Wirkung „Einfache“ und fortgeschrittene elektronische Signaturen nutzbar, wenn keine besonderen Formerfordernisse bestehen als Beweismittel zulässig (freie Beweiswürdigung) Qualifizierte elektronische Signaturen (mit/ohne Akkreditierung) sind i.V.m. Formanpassungsgesetzen der handschriftlichen Unterschrift gleichgestellt besitzen erhöhte Beweiskraft (Anscheinsbeweis § 292 a ZPO) Online-Transaktionen werden auch dort möglich, wo Formvorschriften dem bislang entgegen standen.

9 Akkreditierte Anbieter
Produktzentrum TeleSec der Deutschen Telekom AG Bundesnotarkammer Deutsche Post Signtrust GmbH DATEV Steuerberaterkammern Nürnberg, Saarland, Bremen Medizon AG (Berlin) Rechtsanwaltskammern Bamberg, Koblenz, Stuttgart, München, Berlin AuthentiDate International AG (Ratingen) TC TrustCenter (Hamburg) bei RegTP angezeigt, aber nicht akkreditiert: D-Trust GmbH (100%-Tochter der Bundesdruckerei)

10 Elektronische Signaturen: Stand der Dinge
Signaturbasierte Online-Dienste: Probleme und Lösungen OSCI und OSCAR Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven Erfolgsmodell Elektronische Signatur?

11 2. Signaturbasierte Online-Dienste: Probleme und Lösungen
2.1 Das Interoperabilitätsproblem 2.2 Archivierung elektronisch signierter Nachrichten 2.3 Internes Key-Management

12

13

14

15 Lösungsansatz 1: Standardisierung
ISIS-MTT Industrial Signature Interoperability and Mailtrust Specification CCI, Datev, Signtrust, TeleSec, D-Trust, Giesecke & Devrient, Sparkassen Informatik, TC Trustcenter plus unterstützende Unternehmen und Organisationen (z.B. bos, Bundesdruckerei, secunet ...)

16 Lösungsansatz 2: Brückenbau
Bridge-CA organisationsübergreifende herstellerunabhängige Initiative zur Verknüpfung bestehender Sicherheitsinfrastrukturen 20 Unternehmen unterschiedlicher Branchen, u.a. Deutsche Bank, Deutsche Telekom, Giesecke & Devrient, Sparkassen Informatik, BSI ...

17 Der Brückenschlag Quelle:

18 Lösungsansatz 3: Dienste bzw. Produkte Dritter

19 2. Signaturbasierte Online-Dienste: Probleme und Lösungen
2.1 Das Interoperabilitätsproblem 2.2 Archivierung elektronisch signierter Nachrichten 2.3 Internes Key-Management

20 Archivierung elektronisch signierter Nachrichten
Problem: Signaturalgorithmen werden mit der Zeit schwächer, Beweiskraft schwindet

21 § 17 Signaturverordnung Zeitraum und Verfahren zur langfristigen Datensicherung Daten mit einer qualifizierten elektronischen Signatur sind nach § 6 Abs. 1 Satz 2 des Signaturgesetzes neu zu signieren, wenn diese für längere Zeit in signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter als geeignet beurteilt sind. In diesem Falle sind die Daten vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter mit einer neuen qualifizierten elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen.

22 Archivierung elektronisch signierter Nachrichten
Problem: Signaturalgorithmen werden mit der Zeit schwächer, Beweiskraft schwindet Lösungsansatz A: Nachsignieren mit Zeitstempel Lösungsansatz B: Anderweitiger Nachweis der Vertrauenswürdigkeit eines archivierten Dokuments (z.B. Verwendung eines anerkannten, überprüften, zertifizierten Archivierungsverfahrens) Forschungsprojekt ArchiSig: Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumente

23 Dauerhafte Nachprüfbarkeit elektronischer Signaturen
Qualifizierte elektronische Signaturen: Anbieter müssen Zertifikat bis 5 Jahre nach Ende der Gültigkeit im Verzeichnis führen Qualifizierte Signaturen akkreditierter Anbieter: Anbieter müssen Zertifikat bis 30 Jahre nach Ende der Gültigkeit im Verzeichnis führen; sollte ein akkreditierter Anwender seine Tätigkeit einstellen, übernimmt die zuständige Behörde (derzeit: Regulierungsbehörde für Telekommunikation und Post) diese Dokumentation

24 2. Signaturbasierte Online-Dienste: Probleme und Lösungen
2.1 Das Interoperabilitätsproblem 2.2 Archivierung elektronisch signierter Nachrichten 2.3 Internes Key-Management

25 Internes Key-Management
Wer benötigt eine digitale Signatur? Wie wird die Funktion einer Person elektronisch abgebildet? Lösung 1: Attributzertifikate Lösung 2: pseudonymisierte Zertifikate Lösung 3: standardmäßige Signaturkarte Welche öffentlichen Schlüssel werden zur Verschlüsselung durch die Nutzer bereitgestellt? Hybridsystem: personengebundene Signatur und bereichsbezogener Verschlüsselungsschlüssel

26 Elektronische Signaturen: Stand der Dinge
Signaturbasierte Online-Dienste: Probleme und Lösungen OSCI und OSCAR Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven Erfolgsmodell Elektronische Signatur?

27 Diffusionsproblem Ohne entsprechende Online-Angebote gibt es keinen Grund für die Bürger, sich eine Signaturkarte zu besorgen. Ohne ausreichenden Bestand an Signaturkarten in der Bevölkerung gibt es keinen Grund für Anbieter, signaturbasierte Dienste zu entwickeln.

28 Multimedia-Städtewettbewerb MEDIA@Komm
BMWi als Träger, Fördervolumen bis zu 60 Mio. DM Ziel: Erprobung der Elektr. Signatur nach Signaturgesetz 136 Grobkonzepte - 10 Detailkonzepte - 3 Siegerkonzepte Sieger: Bremen, Esslingen, Nürnberg Status: Dreijährige Förderlaufzeit begann im September 99 Gründung der bremen online services GmbH & Co. KG als PPP für Umsetzung des Bremer Projekts zentrale Begleitforschung:

29 Drei Säulen, die parallel entwickelt werden
Bürger Kiosksystem Internet Zugang Digitale Signatur Trust Center Online-Plattform Kreditwirtschaft Behörden, Hochschulen usw. Anwendungen Digitale Signatur

30 Varianten der Signatur-Chipkarten
Monofunktionale Signaturkarte Konto- Nr . Karten- 99 0321 D Maestro Die Sparkasse Bremen MAX MUSTERMANN Integrierte Sig-/ec-Karte (2002)

31 Varianten von Chipkarten-Lesegeräten
Lesegeräte unterscheiden sich vor allem durch die HBCI-Klasse (HBCI = Home Banking Computer Interface) Klasse 1: kein Display, keine Tastatur = keine Geldkartenzahlung über Internet Klasse 3: Leser mit Display und Tastatur = Geldkartenzahlung + Aufladung über Internet möglich Mit der Abschlussfolie möchte ich für eine solche gemeinsame Einkaufsstrategie auch für die ja benötigten Chipkartenleser werben. Trotz unterschiedlicher Anforderungen muss es im Interesse einer Kundenorientierung sein, dass jeder Kunde/Bürger nur einen Chipkartenleser benötigt, mit dem er alle Anwendungen bedienen kann. Auch Leser mit Display und Tastatur können bei entsprechender Stückzahl sehr preiswert eingekauft werden.

32 Auf einen Blick: Ausgabestellen Signaturkarten & Chipkartenleser und betreute Nutzerplätze in Bremen

33 Online-Dienste mit Signaturkarte
Öffentliche Verwaltung Internet technische Plattform Trust Center Signaturkarte Dienstleistungs-unternehmen Hochschul-verwaltung Kreditwirtschaft Eine Karte für viele Anwen-dungsfelder

34 Plattform und Intermediär
Interpretiert Nutzungsdaten ohne Zugriff auf Inhaltsdaten. Nachrichtenspeicherung und -steuerung, zentrale Dienste.

35 Standardisierung des Datenaustausches
„Zwischen Bürger, Verwaltung und Dienstleistern sollen rechtsverbindliche Dienstleistungen und Transaktionen vollelektronisch und ohne Medienbrüche abgewickelt werden können.“ Online Services Computer Interface (OSCI)

36 OSCI-Architecture (OSCAR)
Programmpaket zur Erstellung, Übermittlung und Prüfung OSCI-konformer* Nachrichten als asynchrone Mail oder Online-Komponente beliebiger Fachverfahren Client Intermediär Dienstleister Signieren (De)Chiffrieren Anbindung Lesegeräte Anbindung Smart Cards und Software-Zertifikate Integration von Attachments Visualisierungskomponente Transport und Routing sicherer, anonymer Mailserver (Postkörbe etc.) Zertifikats- und Signaturprüfung Funktionen wie Client Adapterfunktionen zur Anbindung beliebiger Fachverfahren *: OSCI: Online Services Computer Interface

37 Das „Bermuda-Dreieck“

38 Der Weg einer OSCI-Nachricht

39 Elektronische Signaturen: Stand der Dinge
Signaturbasierte Online-Dienste: Probleme und Lösungen OSCI und OSCAR Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven Erfolgsmodell Elektronische Signatur?

40 elektronischer Studentenausweis
Studierende Hochschul-verwaltung Terminal auf Campus

41 Vor- und Nachteile aus Kundensicht
Einfache Handhabung (in der Regel) Begrenzter Schaden bei Verlust Bedarfsgerechte (Multi)Funktionalität Unkomfortable „Kartensammlungen“ Unterschiedliche PIN/TAN Ungewißheit über Sicherheitskonzept des Anbieters

42 Vor- und Nachteile aus Anbietersicht
Sichere Identifizierung der Kunden Bedarfsgerechte (Multi)Funktionalität Imagegewinn, Marketinginstrument Sehr hoher Aufwand für Karten-Infrastruktur Abhängigkeit von einzelnen Systemanbietern Unklare Beweislage vor Gericht Zukunftsoffenheit?

43

44 Selbstbedienung mit Signaturkarte
? Internet Hochschul-verwaltung Studierende Signaturkarte Trust Center

45 Vorläufige Variante des Online-Dienstes
Studierende Sachbearbeitung in der Hochschulverwaltung Trust Center So sieht es die Sachbearbeitung

46 Ziel: Automatisierter Dialog mit Fachverfahren
Trust Center 2 + Matr.nr. 1 Fachverfahren der Hochschulverwaltung 3 Studierende 7 4 5 6

47 Geschäftsvorfälle Übermittlung von Zulassungs- und Immatrikulationsdaten Mitteilung von Adressänderungen Beantragung von Urlaubssemestern Exmatrikulation auf eigenen Antrag Ausdruck zusätzlicher Studienbescheinigungen Anmeldung zu Prüfungen (Mail/Office) SB-Funktionalitäten von Prüfungsverwaltungssystemen Korrespondenz mit Studentenwerk (BAföG, Wohnheime) Online-Gremienwahl (Erprobung an Hochschule BHV)

48 Gebührenregelung bremer-online-service: - pro Karte: 10,- (TeleSec: ca. 250 DM für 2 Jahre) - pro Kartenleser: 20,- DM (Marktpreis: 200 DM) Sonderregelung für Studierende: - keine Kartengebühr, wenn Registrierung im dafür vorgesehenen Zeitraum („Aktionswoche“) erfolgt - keine Sonderregelung bei Gebühr für Kartenleser

49 Elektronische Signaturen: Stand der Dinge
Signaturbasierte Online-Dienste: Probleme und Lösungen OSCI und OSCAR Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven Erfolgsmodell Elektronische Signatur?

50 Fortschritte - Entwicklung prototypischer Anwendungen - Sammlung wertvoller Erfahrungen bei Aufbau und Betrieb von Public-Key-Services zunehmende Zahl von Trust Centern senkt die Kosten und fördert Wettbewerb um nutzerfreundliche Produkte Lockerungen beim Schriftformerfordernis eröffnen weitere Anwendungsfelder OSCI-Kernel kann Karten verschiedener Trust Center verarbeiten und Lesegeräte unterschiedlicher Anbieter ansprechen Interesse an Nutzungsmöglichkeiten elektronischer Signaturen nimmt zu

51 Probleme Unsicherheiten durch neues Gesetz, z.B.: Wann sind qualifizierte, wann akkreditierte Signaturen erforderlich? wenig eingängige Thematik für Gelegenheitsnutzer (Terminologie, Funktionsweise...) vor der ersten Online-Transaktion sind aufwändige Vorbereitungen der Nutzer erforderlich (Karte, Software, Kartenleser) Kosten-Nutzen-Relation aus Nutzersicht weiterhin inakzeptabel

52

53 Elektronische Signaturen – auf dem Weg zum Erfolgsmodell?
Ja, denn mit zunehmender Häufigkeit elektronischer Transaktionen (E-Commerce, E-Government) steigt der Bedarf nach Sicherheit und Rechtsverbindlichkeit. Ja, denn es ist unakzeptabel, den Nutzern für jeden Online-Dienst spezielle Zugangslösungen (PIN/TAN, Chipkarten plus passende Leser...) anzubieten. Aber wir sollten nicht vergessen, dass wir uns erst am Anfang eines komplizierten Diffusionsprozesses befinden.

54 Kontakt

Herunterladen ppt "Elektronische Signaturen"

Ähnliche Präsentationen

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.

Inxmail GmbH Vertrieb und Pflege des Marketing Tools.
Mündliche Fachprüfung

Mündliche Fachprüfung
Fachhochschule Südwestfalen

Fachhochschule Südwestfalen
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Internet-Sicherheit (2)

Internet-Sicherheit (2)
E-Mail Compliance und De-Mail Von Hans Emunds Hauptseminar SS11 Schmitt/Müller.

Compliance und D Von Hans Emunds Hauptseminar SS11 Schmitt/Müller.
Asymmetrische Kryptographie

Asymmetrische Kryptographie
SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.

SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.
Barrierefreies Internet

Barrierefreies Internet
Institut für Telematik, Leitung Prof. Dr. sc. nat. Christoph Meinel, Bahnhofstraße 30-32, D-54292 Trier 1 Elektronische Signaturen Viel Lärm um fast nichts?

Institut für Telematik, Leitung Prof. Dr. sc. nat. Christoph Meinel, Bahnhofstraße 30-32, D Trier 1 Elektronische Signaturen Viel Lärm um fast nichts?
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
Das Bremer Electronic Government Projekt Bremen Online Services

Das Bremer Electronic Government Projekt Bremen Online Services
Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon

Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon
Grundlagen der Kryptologie

Grundlagen der Kryptologie
EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 Petra Carl, Thomas Hoffmann big Eppel – Kultur.

EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 Petra Carl, Thomas Hoffmann big Eppel – Kultur.
EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn eGo-NET.

EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn eGo-NET.
eGovernment & Meldewesen

eGovernment & Meldewesen
Funktion und Organisation

Funktion und Organisation
Statusbericht zum Projekt „Bürgerdienste-Saar“

Statusbericht zum Projekt „Bürgerdienste-Saar“
Rechtsverkehr im Internet

Rechtsverkehr im Internet

Ähnliche Präsentationen

Google-Anzeigen