zur Ausgabe des qualifizierten Zertifikats WILLKOMMEN a.Trust RO-Seminar zur Ausgabe des qualifizierten Zertifikats a.sign premium © A-Trust GmbH
ZIELE der RO-Ausbildung Der/die Registration Officer Kennt die grundsätzliche Funktionsweise der Kryptographie und weiß somit, was man mit einer Signaturkarte macht Kennt die a.trust als Zertifizierungsdiensteanbieter (ZDA) Weiß über Zertifikate (Arten), Zertifizierungsdienste (ZD) und das rechtlich-organisatorische Umfeld („Gesamtsicherheit“) bescheid Kennt die Bedeutung des Registrierungsvorganges als ZD Hat die Kompetenz zur „Belehrung“ des Signators nach dem SigG Kann ZertifikatswerberInnen und ZertifikatsinhaberInnen kompetent informieren Ist somit dem Signaturgesetz (SigG) und den Qualitätsansprüchen der a.trust entsprechend qualifiziert für den © A-Trust GmbH
INHALTE Die a.trust Funktionsprinzip: Was kann ich mit einem Zertifikat machen? Wie wird das Zertifikat ausgestellt? Belehrungsinhalte Registrierung und Kartenaktivierung Offene Fragen © A-Trust GmbH
Die A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbH (a.trust): Unternehmen und „Trust Center“ http(s)://www.a-trust.at © A-Trust GmbH
ENTSTEHUNG der a.trust 1997 startet die STUZZA (Studiengesellschaft für Zusammenarbeit im Zahlungsverkehr) das Projekt a.trust 2jährige Projektdauer in der Firma APSS – Austrian Payment System Services – einer Tochter der Europay 17. 2. 2000 Gründung der Firma a.trust als GmbH Mai 2001 Anzeige des Zertifizierungsdiensts trust|mark|vsc Oktober 2001 Anzeige trust|mark|token November 2001 Anzeige trust|sign für einfache Signaturen Februar 2002 Anzeige trust|sign für sichere Signaturen 11. 3. 2002 Akkreditierung durch die Telekomkontrollkommission Jänner 2003 Anzeige a.sign premium („Bürgerkarte“) Jänner 2008 a.sign premium auf der eCard Jänner 2010 a.sign premium via Handy-Signatur © A-Trust GmbH
UNTERNEHMENSZWECK a.trust ist... a.trust liefert: a.trust bietet: ... ein dem §7 Signaturgesetz (SigG) entsprechender... ... privatwirtschaftlich organisierter... ... Zertifizierungsdiensteanbieter (ZDA, auch „Trust Center“) a.trust liefert: „Qualifizierte Zertifikate“ für die sichere digitale Signatur laut SigG Eine gesamte Palette von „einfachen Zertifikaten“ für alle anderen Zwecke als die sichere digitale Signatur laut SigG Die entsprechende Client-Software zur Verwaltung von Zertifikaten auf dem PC a.trust bietet: Alle nötigen Trust Center-Leistungsbereiche für die laufende Zertifikatsanwendung Empfehlungen von Signaturprodukten für sichere Signaturverfahren © A-Trust GmbH
Kryptografie - EIN Prinzip für Digitale Signatur, Geheimhaltung und User-Loginauthentifizierung „Was kann man mit mit a.sign premium alles tun?“ © A-Trust GmbH
DIGITALE SIGNATUR Übliche Unterschrift Digitale Signatur immer annähernd(!) gleich Zeichnet sich durch einen wiederzuerkennenden Kontinuitätsfaktor aus Erzeugt auf Basis des ABGB Rechtsverbindlichkeit im Behörden- und Geschäftsverkehr Digitale Signatur Beruht auf kryptografischen Verfahren Meine digitale „Unterschrift“ ist auf unter- schiedlichen Dokumenten immer anders So ist Authentizität UND Integrität signierter Daten sicher Erzeugt auf Basis von SigG/SigV Rechtsverbindlichkeit auch im elektronischen Behörden- und Geschäftsverkehr © A-Trust GmbH
INTENTIONEN des Einsatzes von Kryptografie Hauptkritikpunkte am Informationsaustausch im Internet Informationen werden ge- oder verfälscht Der Absender streitet ab, eine Nachricht gesendet zu haben Der Absender einer Nachricht ist nicht eruierbar Daten werden unerlaubt mitgelesen Public Key Infrastructure (PKI) hat hier Antworten: Daten Integrität Ändere meine Daten nicht! Digitale Signatur Non-repudiation Halte Deine Versprechen! Vertraulichkeit Halte es Geheim! Verschlüsselung Authentifizierung Wer bist Du ? Documentable Authentication Man kann beweisen, dass sich jemand (bzw. man sich) eingeloggt hat © A-Trust GmbH
ANWENDUNGSBEREICHE a.sign premium ist hier anwendbar Rechtswirksam Signieren mit dem geheimen Signatur-Key ... entschlüsseln mit dem geheimen Entschlüsselungs-Key ... Daten berechtigt und nachweisbar abrufen (Login mit Zertifikat) ... Verschlüsseln mit dem öffentlichen Verschlüsselungs-Key ... ... WO AUCH IMMER ... ... ein „Dienstleister“ in den Bereichen: e-banking e-business e-commerce e-government ... ein web-Service (bzw. eine Applikation!) dazu anbietet. a.sign premium ist hier anwendbar Komfortabel durch Wegfall „unzähliger“ PIN/TAN-Listen und Usernamen/Passwort-Sammlungen © A-Trust GmbH
VERTRAUEN in a.sign premium Die Vertrauenswürdigkeit basiert auf Der beschriebenen organisatorischen Sicherheit EU-Richtlinie Österreichisches SigG Rechtskonforme Umsetzung durch das Trust Center a.trust Der beschriebenen technischen Sicherheit Karte und kryptografische Algorithmen Der Einhaltung allgemein nachvollziehbarer Regeln Zertifikatsinhalt und -ausstellung Zertifikatsanwendung Dessen laufender Prüfung durch die staatliche Aufsicht Bestätigung der technischen Eignung durch den A-SIT Kontrolle durch die TKK (mit RTR GmbH); Akkreditierung der a.trust CP, CPS, Registrierungshandbuch „Technologie mit dem Menschen verbinden“ REGISTRIERUNG/“BELEHRUNG“ © A-Trust GmbH
ROLLE DES TRUST CENTERS Trusted Third Party in Kommunikationsprozessen Signatur- Empfänger Signator © A-Trust GmbH
(Fälschungssicherheit AUFGABE DES ZERTIFIKATS Identität und Sicherheit in der „digitalen Welt“ garantieren 2. Verlässliche Identifikation im Anwendungsfall (Fälschungssicherheit und Prüfbarkeit) Haftung für Eindeutigkeit der Identität (Registrierungsqualität) 3. Rechtsgültige Unterschriftsleistung (Kontrollierte Erstellung, vergleichbar) 1. + 2. + 3. = Eine von a.trust akzeptierte Karte + Bescheinigter Chip + Qualifiziertes Zertifikat + a.trust Leistungsbereiche = © A-Trust GmbH
DAS QUALIFIZIERTE ZERTIFIKAT Definition laut §2 SigG: Ein Zertifikat, das die in §5 SigG genau bestimmten Mindestangaben enthält und von einem dem §7 SigG entsprechenden ZDA ausgestellt wird. Weiters gilt: Seine Übergabe ist ein geregelter Zertifizierungsdienst (Registrierung) Darf NUR natürlichen Personen ausgestellt und muss persönlich übergeben werden Ist Grundlage einer sicheren digitalen Signatur nach dem SigG Diese ist Schriftformersatz nach § 886 ABGB (dazu später mehr) Darf nur für die sichere digitale Signatur laut SigG verwendet werden Ist prinzipiell in einer öffentlich zugänglichen Datenbank Gespeichert Der Aussteller haftet voll für den Inhalt zum Zeitpunkt der Ausstellung Beinhaltet u.a. den öffentlichen Signaturschlüssel (Signaturprüfdaten), ordnet diesen einer bestimmten, bei Registrierung geprüften Person zu und bestätigt die Identität dieser Person gegenüber der Öffentlichkeit Quasi „elektronischer Identitätsausweis“ (wenn 1 x mit Daten verbunden) Ist SigG und SigV entsprechend maximal 5 Jahre lang gültig © A-Trust GmbH
DAS FORTGESCHRITTENE ZERTIFIKAT Alle Userzertifikatsprodukte der a.trust enthalten mindestens ein fortgeschrittenes Zertifikat Fortgeschrittene Zertifikate beinhalten unter anderem den öffentlichen Verschlüsselungsschlüssel Dieser kann für fortgeschrittene digitale Signaturen auch öffentlicher Signaturschlüssel (= Signaturprüfdaten) sein Kein Schriftformersatz nach § 886 ABGB (dazu später mehr) Hat daher nicht die „Tragweite“ eines qualifizierten Zertifikats „Übereinkunft“ der Kommunikationspartner, dass das einfache Zertifikat dem Signaturempfänger genügt, ist erforderlich Für klar definierte Kommunikationsanforderungen „fortgeschrittene“ digitale Signatur Geheimhaltung und User-Loginauthentifizierung Unterscheidungsmerkmal ist die Möglichkeit von verschiedenen Varianten der Registrierung (= wichtiges Qualitätskriterium!) © A-Trust GmbH
= "Bürgerkarten-Funktionalität" Die „Bürgerkarte“ ist Synonym für eine bestimmte Funktionali-tät, welche dem Bürger zusätzlich zu e-Commerce und e-Business authentischen elektronischen Datenaustausch mit der Behörde im E-Government ermöglicht „Bürgerkarte“ ist damit jede Karte, die folgende Funktionalitäten erfüllt: Qualifizierte Signatur Fortgeschrittene Signatur Geheimhaltung Username/Passwort-Ersatz ZMR-abgeleitete Stammzahl (Infobox: Personenbindung) = "Bürgerkarten-Funktionalität" © A-Trust GmbH
Aktivierung a.sign premium auf der eCard © A-Trust GmbH
ANSUCHEN Wer kann a.sign premium aktivieren? Erwachsene: AUT – Nicht-AUT (Ausweis-Richtlinien der a.trust!) Minderjährige ab 14. Geburtstag Wie kann a.sign premium aktiviert werden? Webportal Ohne RO mittels RSa – Brief Authentifizierung durch den RO © A-Trust GmbH
Aktivierungsprozess
„Belehrung“ im Sinne des SigG (Informationen an den Signator zur sicheren Zertifikatsanwendung) § 20 (1) SigG: Ein Zertifizierungsdiensteanbieter hat den Zertifikats-werber vor Vertragschließung ... klar und allgemein verständlich über den Inhalt des Sicherheits- und des Zertifizierungskonzepts zu unterrichten © A-Trust GmbH
BELEHRUNG Ziele der a.trust Informationen zur Sicherheit des Signators (und Empfängers) Interesse wecken, für qualifiziertes Zertifikat „sensibilisieren“ Bedeutung des SigG/der SigV für Rechtssicherheit im Web a.trust als Trust Center und dessen Dienste/Produkte vorstellen Institutionelles Umfeld der Vertrauenswürdigkeit vorstellen (Siehe „trusted third party“; Akkreditierung) Signator muss Tragweite von Signaturen erkennen: Signator muss Anwendbarkeit der digitalen Signatur kennen Signator muss über die einzusetzenden Komponenten zur Erstellung seiner Signaturen bescheid wissen Signator muss Verständnis für seine Pflichten lt. SigG haben © A-Trust GmbH
BELEHRUNG Quellen der Informationen zur Sicherheit für den Signator (1) Homepage Umfassende Erstinformation für InteressentInnen Alle Belehrungsinhalte sind hier jederzeit wieder zu finden (Vertragsdokumente!) Servicedrehscheibe (Zertifizierungsdienste!) Laufende Nachinformation für Signatoren Merkblatt zu qualifizierten Zertifikaten der a.trust Sämtliche Inhalte der Registrierung/Belehrung werden angesprochen „AntragstellerIn weiß jetzt, worauf es ankommt“ © A-Trust GmbH
BELEHRUNG Quellen der Informationen zur Sicherheit für den Signator (2) Registration Officer Persönlicher a.trust-Kunden-Kontakt nur hier gegeben Kompetente Beratung Perfekte Registrierung Kompetente „Belehrung“ Einheitliche und „richtige“ Information Hinsichtlich SigG Hinsichtlich Qualitätsanspruch der a.trust Gezielt weiter helfende Stellen nennen können a.trust Homepage Call Center © A-Trust GmbH
STANDARDBELEHRUNG innerhalb des Registrierungsvorganges Nachvollziehbarkeit der Informationen Vereinheitlichung der Information an die Signatoren Richtigkeit der Information an die Signatoren Für die Signatoren, ABER AUCH Signaturempfänger Sicherheit für den/die RO Qualitätskontrolle für a.trust und die RA (Revision) Revision durch die staatliche Aufsicht möglich Ökonomischer Registrierungsablauf Verweis auf das Merkblatt Verweis auf die Homepage der a.trust Der im Registrierungshandbuch angeführte Mindest-Text ist dem Signator auf jeden Fall mitzuteilen und das Merkblatt zu übergeben! „Sie unterschreiben am Signaturvertrag, dass Sie sich an die Inhalte des Merkblattes halten werden... “ © A-Trust GmbH
ANTRAG/SIGNATURVERTRAG (1) Genaue Kontrolle der Ausweisdaten! Signator unterschreibt Vertrag elektronisch SigV § 11: Antrag auf Ausstellung eines qualifizierten Zertifikats (1) Der Zertifizierungsdiensteanbieter hat die Identität des Zertifikatswerbers anhand eines gültigen amtlichen Lichtbildausweises festzustellen. Der Antrag auf Ausstellung eines qualifizierten Zertifikats muss vom Zertifikatswerber eigenhändig unterschrieben sein. Vom vorgelegten Lichtbildausweis ist eine Ablichtung herzustellen, die mit dem Antrag zu dokumentieren ist, ....... (2) Der Antrag auf Ausstellung eines qualifizierten Zertifikats hat insbesondere zu enthalten: 1. Namen, Datum und Ort der Geburt sowie Adresse des Zertifikatswerbers, Datum der Ausstellung und Nummer des vorgelegten Lichtbildausweises sowie die Behörde, die diesen ausstellte; 2. gegebenenfalls Angaben, ob das Zertifikat eine Einschränkung des Anwendungsbereichs oder eine Begrenzung des Transaktionswerts enthalten soll,...... © A-Trust GmbH
QUALIFZIERTE DIGITALE SIGNATUR und Ersatz der Schriftform JEDE elektronische Signatur ist nach § 3 SigG vor Gericht als Beweismittel anerkannt Jedoch NUR die qualifizierte elektronische Signatur Ersetzt die Schriftform i. S. d. § 886 ABGB (SigG § 4(1)) 4 Ausnahmen explizit im Gesetz aufgezählt (SigG § 4(2)) Gesetzestext im Dokument „Belehrung“ (RA-Ordner) SigG §2 (3) Die qualifzierte elektronische Signatur ist eine elektronische Signatur, die ausschließlich dem Signator zugeordnet ist, die die Identifizierung des Signators ermöglicht, die mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann, die mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann, ... ... sowie auf einem qualifizierten Zertifikat beruht und unter Verwendung von technischen Komponenten und Verfahren, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen entsprechen, erstellt wird SigG, SigV, CPS, CP, Registrierung Schutz durch Besitz UND Wissen: Privater Schlüssel nur im Chip + PIN Hashwert „Signaturverfahren“/“Signaturprodukte“ © A-Trust GmbH
SICHERE SIGNATURUMGEBUNG Einschätzung der Praxis der Signatur Hier haftet a.trust Sichere Umgebung aus der Sicht des SigG Grundvoraussetzung ist sichere Verwahrung von Karte und PIN und das Beachten der Widerrufsgründe durch den Signator Smart Card Reader laut Empfehlung der a.trust Empfohlene sonstige Signaturprodukte/-verfahren Sichere Umgebung aus der Sicht des Signators (z.B.) Ob eine Umgebung sicher ist, „entscheidet der Signator“ Einsatz eines nicht empfohlenen Kartenlesers Kein von a.trust empfohlener Secure Viewer, d.h. er vertraut dieser Applikation und dem Dokumentenformat (explizit NICHT vertrauenswürdig wären zum jetzigen Stand: S/MIME, MSWORD) Dem Empfänger ist bekannt, dass diese Applikation keine sichere digitale Signatur zulässt, und er akzeptiert die Signatur auf Grund einer gemeinsamen Vereinbarung mit dem Signator (z.B. spezielle AGB) Nur er hat Zutritt zum Rechner (Netzanbindung?) Der Rechner ist passwortgeschützt und nur der Signator kennt Benutzer- und Administratorpasswort Pflicht, um die PIN nicht für andere sichere Signaturverfahren zu gefährden © A-Trust GmbH
WIDERRUFSDIENST Widerruf und Sperre Täglich, rund um die Uhr, per Telefon oder Fax Nennung des Passworts ist Pflicht ! Genaues auf www.a-trust.at/widerruf Sperre Täglich, rund um die Uhr, kostenlos, NUR per Telefon Nennung des Passworts für Widerruf und Sperre ist hilfreich Automatischer Widerruf, wenn Sperre nicht aufgehoben wird Dieser Widerruf gilt ab dem Tag der Sperre © A-Trust GmbH
WIDERRUFSDIENST Aufhebung einer Sperre Aufhebung der Sperre Täglich, rund um die Uhr, kostenlos, NUR per Telefon Sperrfrist (am Merkblatt, auf www.a-trust.at/widerruf erklärt) Nennung eines Passworts ist Pflicht ! Bei Aufhebung der Sperre ist das Zertifikat auch rückwirkend gültig Aufhebungspasswort Erfährt man nur vom a.trust Widerrufsdienst bei dem man die Sperre telefonisch beauftragt Daher Sperre per Fax nicht möglich ! Der Signator muss für Widerruf, Sperre und Aufhebung einer Sperre grundsätzlich den Widerrufsdienst der a.trust nutzen © A-Trust GmbH
CALL CENTER Aufgaben Wir stellen diese Anrufgründe fest Technische Probleme bei der Installation Technische Probleme bei der Anwendung Produktinformation Preisinformationen Reklamationen (Nachfrage von Fehlerbehebung vor Ort) © A-Trust GmbH
Support für den RO Generell: Der RO kann nur seinen zRO anrufen ! a.trust ist mit ihrer Mitarbeiterstruktur für direkten RO-Support nicht ausgelegt Nur der zRO kennt alle RA-internen Zusammenhänge Der zRO hat ein sehr umfangreiches „a.trust-Wissen“ Nur der zRO steht in direktem Kontakt mit a.trust Nur der zRO kann gegebenenfalls RA-intern zusätzlichen Support für die RO organisieren Beispiel ist BAWAG/PSK-interner Mitarbeiterhelpdesk, der auch Know-how bei technischen Problemen im Zusammen-hang mit einem RO-Arbeitsplatz aufgebaut hat © A-Trust GmbH
Registrierung mit Kartenaktivierung © A-Trust GmbH
Offene Fragen © A-Trust GmbH
Danke für Ihr Interesse und für Ihre Aufmerksamkeit! ENDE des RO-Seminars Danke für Ihr Interesse und für Ihre Aufmerksamkeit! VIEL ERFOLG MIT a.sign premium © A-Trust GmbH