GLOBALTRUST CERTIFICATION SERVICE Sichere Signaturerstellungseinheiten gemäß RKSV Hans G. Zeger, e-commerce monitoring gmbh Wien, Managementclub, 17. September 2015 e-commerce monitoring gmbh A-1010 Wien, Vorlaufstraße 5 Tel.: 01 / 53 20 944 Fax.: 01 / 53 20 974 Mail GLOBALTRUST: info@globaltrust.eu Mail persönlich: hans.zeger@e-monitoring.at Zertifizierung: http://www.globaltrust.eu GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

GLOBALTRUST CERTIFICATION SERVICE Digitale Signaturen und Zertifikate sind Instrumente zur Herstellung von Vertrauen im Rechtsverkehr - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Referenzen Zertifizierungsprodukte einige Unternehmen, die A-CERT Zertifizierungsprodukte nutzen - Wienerberger - Magna Steyr - Staatsdruckerei - ERP-Fonds (Austria Wirtschaftsservice) - EUnet - World Wildlife Fund - WIFI Steiermark - UPC Telekabel / Inode - TNT - WWF - Bazar - Bundesministerium für auswärtige Angelegenheiten - Actebis GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Zertifizierungsdienstleister Zertifizierungsanbieter gem. SigG 2000 - GLOBALTRUST TIMESTAMP QUALIFIED qualifizierter Zeitstempeldienst für revisionssichere Archivierung - GLOBALTRUST QUALIFIED qualifiziertes Zertifikat für qualifizierte Signatur gem. § 2 Z 3a SigG - GLOBALTRUST RKS-CARD Sichere Signaturerstellungseinheiten gemäß RKSV - GLOBALTRUST GOVERNMENT Amtssignaturzertifikate für die öffentliche Verwaltung gem. § 19 e-Government-Gesetz - GLOBALTRUST ADVANCED, CODESIGNING Zertifikat für fortgeschrittene Signatur gem. § 2 Z 3 SigG - GLOBALTRUST CLIENT, SERVER diverse sonstige Zertifikate gem. X509v3 - GLOBALTRUST COMPANY Public Key Infrastructure (PKI) für Unternehmen Weitere A-CERT-Dienste A-CERT PGP Zertifizierung von PGP-Schlüsseln (PGP = PrettyGoodPrivacy) Darüber hinaus bietet A-CERT Consulting für den Aufbau unternehmensinterner PKI's und die Integration von Signaturlösungen an. GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

GLOBALTRUST CERTIFICATION SERVICE Aufbau der Signaturerstellungseinheit Sub-CA-Zertifikat / Zwischen-Zertifikat CA-Zertifikat / Root-Zertifikat Endbenutzerzertifikat public Key / öffentlicher Schlüssel Signaturerstellung öffentlich abrufbar Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) (NR: GP XX RV 1999 AB 2065 S. 180. BR: AB 6065 S. 657.) StF: BGBl. I Nr. 190/1999 (Gültigkeit der Stammfassung seit 1.1.2000) privateKey / geheimer Schlüssel gesichert aufbewahrt gesichert aufbewahrt: eToken, Smartcard, HSM, sonstige Maßnahmen GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Grundlagen Signaturgesetz (SigG) - jeder kann Signaturverfahren nach eigenem Ermessen einsetzen - jedes Signatur-Verfahren ist rechtlich gültig - Verschiedene Signaturformen - gewöhnliche (technische) Signatur - "fortgeschrittene" Signatur § 2 Z 3 SigG - Amtssignatur, Verwaltungssignatur - "qualifizierte" Signatur § 2 Z 3a SigG - "qualifizierte" Signaturdienste für Dritte sind registrierungs- bzw aufsichtspflichtig - Umfang der Gültigkeit richtet sich nach gesetzlichen Bestimmungen oder privatrechtlicher Vereinbarung - "qualifizierte" Signaturen müssen von Behörden als eigenhändig anerkannt werden Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) (NR: GP XX RV 1999 AB 2065 S. 180. BR: AB 6065 S. 657.) StF: BGBl. I Nr. 190/1999 (Gültigkeit der Stammfassung seit 1.1.2000) GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Grundlagen Signaturgesetz (SigG) Fortgeschrittene elektronische Signatur und Zertifikat (§ 2 Z 3 SigG) Signatur ... - ... ist ausschließlich dem Signator zugeordnet (lit. a) - ... erlaubt die Identifizierung des Signators (lit. b) - ... steht unter alleiniger Kontrolle des Signators (lit. c) - ... erlaubt nachträgliche Veränderung der Daten zu erkennen (lit. d) Was tut GLOBALTRUST als Zertifizierungsstelle? - identifiziert den Signator (lit.b) - stellt Techniken zur Signatur bereit (lit. a,d) - unterstützt und berät Signator (lit.c) - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Grundlagen Signaturgesetz (SigG) Qualifizierte elektronische Signatur und Zertifikat (§ 2 Z 3a SigG) Signatur entspricht fortgeschrittener Signatur iS § 2 Z 3 SigG + qualifiziertes Zertifikat + sichere Signaturerstellungseinheit Was tut GLOBALTRUST als Zertifizierungsstelle? - ident zu fortgeschrittener Signatur + stellt qualifiziertes Zertifikat aus + liefert sichere Signaturerstellungseinheit aus Alternativ bei HSM-Einsatz Unabhängige Bestätigungsstelle bestätigt Eigenschaft der HSM-Installation als " sichere Signaturerstellungseinheit" + GLOBALTRUST stellt qualifiziertes Zertifikat aus - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Grundlagen Signaturgesetz (SigG) Was ist die Signatur gemäß RKSV? erfordet sichere Signaturerstellungseinheit iS § 2 Z 5 SigG (§ 3 Z 23 der RKSV ist dazu wortident) + vorgegebenes Signaturformat (Z 4,5 Anlage der RKSV) + vorgegebener Signatur-Hash-Algorithmus ES256 (auch secp256, Z 2 Anlage der RKSV) + Zertifikat enthält eine OID (1.2.40.0.10.1.11.1) die den Inhaber als "Registrierkasseninhaber" ausweist (Z 16 Anlage der RKSV) + Zertifikat enthält Ordnungsbegriff des Unternehmens (§ 15 Abs. 3 Z 1 RKSV) - Einordnung gemäß SigG? GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Grundlagen Signaturgesetz (SigG) Ist die Signatur eine qualifizierte Signatur? NEIN es fehlt die Erforderlichkeit der persönlichen Unterschrift (alleinige Kontrolle des Signators § 2 Z 3 lit. c SigG) Ist die Signatur eine fortgeschrittene Signatur? NEIN es fehlt die Erforderlichkeit der persönlichen Unterschrift (alleinige Kontrolle des Signators § 2 Z 3 lit. c SigG) RKS-Signatur ist sonstige Signatur gemäß SigG JA "elektronische Daten, die anderen elektronischen Daten beigefügt oder mit diesen logisch verknüpft werden und die der Authentifizierung dienen" (§ 2 Z 1 SigG) Authentifiziert wird das Unternehmen, nicht der Signator, mit Firmenstempel vergleichbar - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Technische Informationen zur RKS-CARD GLOBALTRUST RKS-CARD Technische Informationen zur RKS-CARD - Sichere Signaturerstellungseinheit ist eine Smartcard gemäß ISO 7816 Standard - kann auch als Micro-SIM-Karte ausgeliefert werden - wird von zahlreichen Cardreadern unterstützt, Schnittstellen: USB, seriell, intern (wir machen laufend Tests) - unterstützt verlangtes Hash-Verfahren - Zertifikat enthält alle Informationen gemäß RKSV - Smartcard technisch ident zur E-Card der Sozialversicherung - Entwickler erhalten Schnittstellenbeschreibung + Kodierinformationen - Kunden erhalten Funktions- und Sicherheitsgarantie für die bestellte Laufzeit - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Antragstellung RKS-CARD GLOBALTRUST RKS-CARD Antragstellung RKS-CARD - Ausstellung erfolgt auf Antrag der RK-pflichtigen Unternehmen - Anträge werden von authorisierten Registrierungsstellen entgegen genommen und geprüft (z.B.): * direkt bei GLOBALTRUST * Mitarbeiter von Herstellern und Händlern der RK * sonstige Dienstleister inkl. Steuerberater * WKO-Geschäftsstellen (geplant) - authorisierte Personen werden persönlich zur sorgfältigen Prüfung verpflichtet - Prüfung ist ausschließlich Identitätsprüfung des Antragstellers (vergleichbar Bankprüfung für Kreditkarte) - Unterlagen werden an uns per Post oder Online übermittelt - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Ausstell- und Zustellprozess RKS-CARD GLOBALTRUST RKS-CARD Ausstell- und Zustellprozess RKS-CARD - GLOBALTRUST prüft Unternehmensangaben und ob Person antragsberechtigt ist - vom BMF werden die notwendigen Unternehmensdaten gem. § 15 Abs. 3 Z 1 RKSV abgefragt - Karte wird personalisiert - Karte wird per Post an benannte Stelle zugestellt (a) Unternehmensstandort (b) Filiale wo Karte zum Einsatz kommt (c) sonstige vom Antragsteller benannte Stelle (z.B.RK-Händler, Supportstelle, ...) - im letzten Fall (c) im zusätzlich verschlossenen Kuvert - Karte kann auch bei authorisierten Stellen abgeholt werden - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Marketing- und Vertriebsoptionen RKS-CARD GLOBALTRUST RKS-CARD Marketing- und Vertriebsoptionen RKS-CARD - Karte kann mit RK-Hersteller-Layout ausgestellt werden: "MyRKCompany RKS-CARD" - RK-Anbieter, die die RKS-CARD unterstützen werden bei GLOBALTRUST gelistet und aktiv beworben - individualisiertes Endkundendatenblatt http://www.globaltrust.eu/static/rks-card-endbenutzer.pdf - RKS-CARD kann Teil eines Service- und Support-Paketes sein - Bundle mit Smartcardreader möglich - ABO-Lösung mit Funktionsgarantie - Schulung der RK-Händler - Aufwand für Identitätsprüfung wird abgegolten - attraktive Rabattstaffeln für Vertrieb vorgesehen - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Kosten und Laufzeit RKS-CARD GLOBALTRUST RKS-CARD Kosten und Laufzeit RKS-CARD - Laufzeit von 3, 5 und 10 Jahren geplant - Endverbraucherkosten etwa 30,- Euro pro Jahr (+ Ust.) - GRATIS zur Karte werden für die Gültigkeitszeit 1.000 qualifizierte Zeitstempel mitgeliefert - GRATIS für die Subskriptionszeit mit USB-Smartcard-Reader (ab 5 Jahre Laufzeit) - Bestellungen "ab sofort" möglich, Auslieferung der Karte und Ende der Subskription ist Start des Echtbetriebs der BMF-Datenbank - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

RKS-CLOUDCARD - die virtuelle "Karte" GLOBALTRUST RKS-CARD RKS-CLOUDCARD - die virtuelle "Karte" - HSM-Lösung benötigen Bescheinigung als "sichere" Signaturerstellungeinheit, HSM-Betreiber können Cloud-RK-Anbieter sein - GLOBALTRUST kooperiert mit Gemalto Safenet, einem führenden Sicherheitshersteller, Ziel sind "rasche" Bescheinigungsverfahren - GLOBALTRUST stellt Zertifikate aus - optional: HSM-Betrieb erfolgt durch GLOBALTRUST Vorteil: höhere Betriebssicherheit durch redundante Systeme, vereinfachtes Bescheinigungsverfahren Nachteil: Lösung kann in der Konzeption technisch aufwändiger sein - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

RKS-CARD - Zeitplan und Rollout GLOBALTRUST RKS-CARD RKS-CARD - Zeitplan und Rollout - nach unseren Analysen besteht 2016 der Bedarf an 250-300.000 RKS-CARDs - abhängig vom BMF (Datenbank) steht für Rollout ein Zeitraum von 6-9 Monaten zur Verfügung - das entspricht etwa 1.500 Karten pro Tag - technisch ist GLOBALTRUST für diesen "Ansturm" gerüstet, der Engpass kann der korrekte Antragsnachweis sein - Netzwerke von Registrierungsstellen mit RK-Händler und Support-Technikern kommt eine Schlüsselrolle zu - Ziel sind möglichst viele Subskriptionsbestellungen bis BMF-Start, wir rechnen mit der Ausgabe von mindestens 20.000 RKS-CARDs in den ersten zwei Wochen nach BMF-Start - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Fragen? - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Kontaktinformationen Vortragender: Hans G. Zeger e-commerce monitoring gmbh A-1010 Wien, Vorlaufstraße 5 Tel.: +43 1 / 53 20 944 Fax.: +43 1 / 53 20 974 Mail GLOBALTRUST: info@globaltrust.eu Mail persönlich: hans.zeger@e-monitoring.at Zertifizierung: http://www.globaltrust.eu - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Wie wird die Signatur auf Dokument aufgebracht? Grundlagen Signatur Wie wird die Signatur auf Dokument aufgebracht? Dokument 1 1. Dokument (Rechnung) "Signatur" Hash 2 2. Erzeugen eines Hash des Dokuments (Rechnung) Verschlüss. Hash Priv. Schlüssel 3 3. Verschlüsseln des Hash mit privatem Schlüssel des Absenders 4 Signator- Zertifikat 4. Signatorzertifikat + öffentlichen Schlüssel beifügen - 5. signiertes Dokument (Rechnung) versenden 5 GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav

Wie wird die Signatur geprüft? Grundlagen Signatur Wie wird die Signatur geprüft? Dokument Verschlüss. Hash Signator- Zertifikat Hash 1 1. Empfänger berechnet aus der Rechnung Hash Öffent. Schlüssel Entschlüss. Hash 2 2. Empfänger entschlüsselt den verschlüsselten Hash mit dem öffentlichen Schlüssel des Absenders 3 = 3. Empfänger vergleicht die beiden Hashwerte 4 4. Empfänger prüft Online die Gültigkeit des Zertifikats - GLOBALTRUST CERTIFICATION SERVICE knowhow.text. 32305mav