Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

zur Ausgabe des qualifizierten Zertifikats

Veröffentlicht von:Roland Brahms Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "zur Ausgabe des qualifizierten Zertifikats"—  Präsentation transkript:

1 zur Ausgabe des qualifizierten Zertifikats
WILLKOMMEN a.Trust RO-Seminar zur Ausgabe des qualifizierten Zertifikats a.sign premium © A-Trust GmbH

2 ZIELE der RO-Ausbildung
Der/die Registration Officer Kennt die grundsätzliche Funktionsweise der Kryptographie und weiß somit, was man mit einer Signaturkarte macht Kennt die a.trust als Zertifizierungsdiensteanbieter (ZDA) Weiß über Zertifikate (Arten), Zertifizierungsdienste (ZD) und das rechtlich-organisatorische Umfeld („Gesamtsicherheit“) bescheid Kennt die Bedeutung des Registrierungsvorganges als ZD Hat die Kompetenz zur „Belehrung“ des Signators nach dem SigG Kann ZertifikatswerberInnen und ZertifikatsinhaberInnen kompetent informieren Ist somit dem Signaturgesetz (SigG) und den Qualitätsansprüchen der a.trust entsprechend qualifiziert für den © A-Trust GmbH

3 INHALTE Die a.trust Funktionsprinzip: Was kann ich mit einem Zertifikat machen? Wie wird das Zertifikat ausgestellt? Belehrungsinhalte Registrierung und Kartenaktivierung Offene Fragen © A-Trust GmbH

4 Die A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbH (a.trust): Unternehmen und „Trust Center“ http(s):// © A-Trust GmbH

5 ENTSTEHUNG der a.trust 1997 startet die STUZZA (Studiengesellschaft für Zusammenarbeit im Zahlungsverkehr) das Projekt a.trust   2jährige Projektdauer in der Firma APSS – Austrian Payment System Services – einer Tochter der Europay   Gründung der Firma a.trust als GmbH Mai 2001 Anzeige des Zertifizierungsdiensts trust|mark|vsc Oktober 2001 Anzeige trust|mark|token November 2001 Anzeige trust|sign für einfache Signaturen Februar 2002 Anzeige trust|sign für sichere Signaturen Akkreditierung durch die Telekomkontrollkommission Jänner 2003 Anzeige a.sign premium („Bürgerkarte“) Jänner 2008 a.sign premium auf der eCard Jänner 2010 a.sign premium via Handy-Signatur © A-Trust GmbH

6 UNTERNEHMENSZWECK a.trust ist... a.trust liefert: a.trust bietet:
... ein dem §7 Signaturgesetz (SigG) entsprechender... ... privatwirtschaftlich organisierter... ... Zertifizierungsdiensteanbieter (ZDA, auch „Trust Center“) a.trust liefert: „Qualifizierte Zertifikate“ für die sichere digitale Signatur laut SigG Eine gesamte Palette von „einfachen Zertifikaten“ für alle anderen Zwecke als die sichere digitale Signatur laut SigG Die entsprechende Client-Software zur Verwaltung von Zertifikaten auf dem PC a.trust bietet: Alle nötigen Trust Center-Leistungsbereiche für die laufende Zertifikatsanwendung Empfehlungen von Signaturprodukten für sichere Signaturverfahren © A-Trust GmbH

7 Kryptografie - EIN Prinzip für Digitale Signatur, Geheimhaltung und User-Loginauthentifizierung „Was kann man mit mit a.sign premium alles tun?“ © A-Trust GmbH

8 DIGITALE SIGNATUR Übliche Unterschrift Digitale Signatur
immer annähernd(!) gleich Zeichnet sich durch einen wiederzuerkennenden Kontinuitätsfaktor aus Erzeugt auf Basis des ABGB Rechtsverbindlichkeit im Behörden- und Geschäftsverkehr Digitale Signatur Beruht auf kryptografischen Verfahren Meine digitale „Unterschrift“ ist auf unter schiedlichen Dokumenten immer anders So ist Authentizität UND Integrität signierter Daten sicher Erzeugt auf Basis von SigG/SigV Rechtsverbindlichkeit auch im elektronischen Behörden- und Geschäftsverkehr © A-Trust GmbH

9 INTENTIONEN des Einsatzes von Kryptografie
Hauptkritikpunkte am Informationsaustausch im Internet Informationen werden ge- oder verfälscht Der Absender streitet ab, eine Nachricht gesendet zu haben Der Absender einer Nachricht ist nicht eruierbar Daten werden unerlaubt mitgelesen Public Key Infrastructure (PKI) hat hier Antworten: Daten Integrität Ändere meine Daten nicht! Digitale Signatur Non-repudiation Halte Deine Versprechen! Vertraulichkeit Halte es Geheim! Verschlüsselung Authentifizierung Wer bist Du ? Documentable Authentication Man kann beweisen, dass sich jemand (bzw. man sich) eingeloggt hat © A-Trust GmbH

10 ANWENDUNGSBEREICHE a.sign premium ist hier anwendbar
Rechtswirksam Signieren mit dem geheimen Signatur-Key ... entschlüsseln mit dem geheimen Entschlüsselungs-Key ... Daten berechtigt und nachweisbar abrufen (Login mit Zertifikat) ... Verschlüsseln mit dem öffentlichen Verschlüsselungs-Key ... ... WO AUCH IMMER ... ... ein „Dienstleister“ in den Bereichen: e-banking e-business e-commerce e-government ... ein web-Service (bzw. eine Applikation!) dazu anbietet. a.sign premium ist hier anwendbar Komfortabel durch Wegfall „unzähliger“ PIN/TAN-Listen und Usernamen/Passwort-Sammlungen © A-Trust GmbH

11 VERTRAUEN in a.sign premium
Die Vertrauenswürdigkeit basiert auf Der beschriebenen organisatorischen Sicherheit EU-Richtlinie Österreichisches SigG Rechtskonforme Umsetzung durch das Trust Center a.trust Der beschriebenen technischen Sicherheit Karte und kryptografische Algorithmen Der Einhaltung allgemein nachvollziehbarer Regeln Zertifikatsinhalt und -ausstellung Zertifikatsanwendung Dessen laufender Prüfung durch die staatliche Aufsicht Bestätigung der technischen Eignung durch den A-SIT Kontrolle durch die TKK (mit RTR GmbH); Akkreditierung der a.trust CP, CPS, Registrierungshandbuch „Technologie mit dem Menschen verbinden“  REGISTRIERUNG/“BELEHRUNG“ © A-Trust GmbH

12 ROLLE DES TRUST CENTERS Trusted Third Party in Kommunikationsprozessen
Signatur- Empfänger Signator © A-Trust GmbH

13 (Fälschungssicherheit
AUFGABE DES ZERTIFIKATS Identität und Sicherheit in der „digitalen Welt“ garantieren 2. Verlässliche Identifikation im Anwendungsfall (Fälschungssicherheit und Prüfbarkeit) Haftung für Eindeutigkeit der Identität (Registrierungsqualität) Rechtsgültige Unterschriftsleistung (Kontrollierte Erstellung, vergleichbar) = Eine von a.trust akzeptierte Karte + Bescheinigter Chip + Qualifiziertes Zertifikat + a.trust Leistungsbereiche = © A-Trust GmbH

14 DAS QUALIFIZIERTE ZERTIFIKAT
Definition laut §2 SigG: Ein Zertifikat, das die in §5 SigG genau bestimmten Mindestangaben enthält und von einem dem §7 SigG entsprechenden ZDA ausgestellt wird. Weiters gilt: Seine Übergabe ist ein geregelter Zertifizierungsdienst (Registrierung) Darf NUR natürlichen Personen ausgestellt und muss persönlich übergeben werden Ist Grundlage einer sicheren digitalen Signatur nach dem SigG Diese ist Schriftformersatz nach § 886 ABGB (dazu später mehr) Darf nur für die sichere digitale Signatur laut SigG verwendet werden Ist prinzipiell in einer öffentlich zugänglichen Datenbank Gespeichert Der Aussteller haftet voll für den Inhalt zum Zeitpunkt der Ausstellung Beinhaltet u.a. den öffentlichen Signaturschlüssel (Signaturprüfdaten), ordnet diesen einer bestimmten, bei Registrierung geprüften Person zu und bestätigt die Identität dieser Person gegenüber der Öffentlichkeit Quasi „elektronischer Identitätsausweis“ (wenn 1 x mit Daten verbunden) Ist SigG und SigV entsprechend maximal 5 Jahre lang gültig © A-Trust GmbH

15 DAS FORTGESCHRITTENE ZERTIFIKAT
Alle Userzertifikatsprodukte der a.trust enthalten mindestens ein fortgeschrittenes Zertifikat Fortgeschrittene Zertifikate beinhalten unter anderem den öffentlichen Verschlüsselungsschlüssel Dieser kann für fortgeschrittene digitale Signaturen auch öffentlicher Signaturschlüssel (= Signaturprüfdaten) sein Kein Schriftformersatz nach § 886 ABGB (dazu später mehr) Hat daher nicht die „Tragweite“ eines qualifizierten Zertifikats „Übereinkunft“ der Kommunikationspartner, dass das einfache Zertifikat dem Signaturempfänger genügt, ist erforderlich Für klar definierte Kommunikationsanforderungen „fortgeschrittene“ digitale Signatur Geheimhaltung und User-Loginauthentifizierung Unterscheidungsmerkmal ist die Möglichkeit von verschiedenen Varianten der Registrierung (= wichtiges Qualitätskriterium!) © A-Trust GmbH

16 = "Bürgerkarten-Funktionalität"
Die „Bürgerkarte“ ist Synonym für eine bestimmte Funktionali-tät, welche dem Bürger zusätzlich zu e-Commerce und e-Business authentischen elektronischen Datenaustausch mit der Behörde im E-Government ermöglicht „Bürgerkarte“ ist damit jede Karte, die folgende Funktionalitäten erfüllt: Qualifizierte Signatur Fortgeschrittene Signatur Geheimhaltung Username/Passwort-Ersatz ZMR-abgeleitete Stammzahl (Infobox: Personenbindung) = "Bürgerkarten-Funktionalität" © A-Trust GmbH

17 Aktivierung a.sign premium auf der eCard
© A-Trust GmbH

18 ANSUCHEN Wer kann a.sign premium aktivieren?
Erwachsene: AUT – Nicht-AUT (Ausweis-Richtlinien der a.trust!) Minderjährige ab 14. Geburtstag Wie kann a.sign premium aktiviert werden? Webportal Ohne RO mittels RSa – Brief Authentifizierung durch den RO © A-Trust GmbH

19 Aktivierungsprozess

20 „Belehrung“ im Sinne des SigG (Informationen an den Signator zur sicheren Zertifikatsanwendung)
§ 20 (1) SigG: Ein Zertifizierungsdiensteanbieter hat den Zertifikats-werber vor Vertragschließung ... klar und allgemein verständlich über den Inhalt des Sicherheits- und des Zertifizierungskonzepts zu unterrichten © A-Trust GmbH

21 BELEHRUNG Ziele der a.trust
Informationen zur Sicherheit des Signators (und Empfängers) Interesse wecken, für qualifiziertes Zertifikat „sensibilisieren“ Bedeutung des SigG/der SigV für Rechtssicherheit im Web a.trust als Trust Center und dessen Dienste/Produkte vorstellen Institutionelles Umfeld der Vertrauenswürdigkeit vorstellen (Siehe „trusted third party“; Akkreditierung) Signator muss Tragweite von Signaturen erkennen: Signator muss Anwendbarkeit der digitalen Signatur kennen Signator muss über die einzusetzenden Komponenten zur Erstellung seiner Signaturen bescheid wissen Signator muss Verständnis für seine Pflichten lt. SigG haben © A-Trust GmbH

22 BELEHRUNG Quellen der Informationen zur Sicherheit für den Signator (1)
Homepage Umfassende Erstinformation für InteressentInnen Alle Belehrungsinhalte sind hier jederzeit wieder zu finden (Vertragsdokumente!) Servicedrehscheibe (Zertifizierungsdienste!) Laufende Nachinformation für Signatoren Merkblatt zu qualifizierten Zertifikaten der a.trust Sämtliche Inhalte der Registrierung/Belehrung werden angesprochen „AntragstellerIn weiß jetzt, worauf es ankommt“ © A-Trust GmbH

23 BELEHRUNG Quellen der Informationen zur Sicherheit für den Signator (2)
Registration Officer Persönlicher a.trust-Kunden-Kontakt nur hier gegeben Kompetente Beratung Perfekte Registrierung Kompetente „Belehrung“ Einheitliche und „richtige“ Information Hinsichtlich SigG Hinsichtlich Qualitätsanspruch der a.trust Gezielt weiter helfende Stellen nennen können a.trust Homepage Call Center © A-Trust GmbH

24 STANDARDBELEHRUNG innerhalb des Registrierungsvorganges
Nachvollziehbarkeit der Informationen Vereinheitlichung der Information an die Signatoren Richtigkeit der Information an die Signatoren Für die Signatoren, ABER AUCH Signaturempfänger Sicherheit für den/die RO Qualitätskontrolle für a.trust und die RA (Revision) Revision durch die staatliche Aufsicht möglich Ökonomischer Registrierungsablauf Verweis auf das Merkblatt Verweis auf die Homepage der a.trust Der im Registrierungshandbuch angeführte Mindest-Text ist dem Signator auf jeden Fall mitzuteilen und das Merkblatt zu übergeben!  „Sie unterschreiben am Signaturvertrag, dass Sie sich an die Inhalte des Merkblattes halten werden... “ © A-Trust GmbH

25 ANTRAG/SIGNATURVERTRAG (1)
Genaue Kontrolle der Ausweisdaten! Signator unterschreibt Vertrag elektronisch SigV § 11: Antrag auf Ausstellung eines qualifizierten Zertifikats (1) Der Zertifizierungsdiensteanbieter hat die Identität des Zertifikatswerbers anhand eines gültigen amtlichen Lichtbildausweises festzustellen. Der Antrag auf Ausstellung eines qualifizierten Zertifikats muss vom Zertifikatswerber eigenhändig unterschrieben sein. Vom vorgelegten Lichtbildausweis ist eine Ablichtung herzustellen, die mit dem Antrag zu dokumentieren ist, (2) Der Antrag auf Ausstellung eines qualifizierten Zertifikats hat insbesondere zu enthalten: 1. Namen, Datum und Ort der Geburt sowie Adresse des Zertifikatswerbers, Datum der Ausstellung und Nummer des vorgelegten Lichtbildausweises sowie die Behörde, die diesen ausstellte; 2. gegebenenfalls Angaben, ob das Zertifikat eine Einschränkung des Anwendungsbereichs oder eine Begrenzung des Transaktionswerts enthalten soll,...... © A-Trust GmbH

26 QUALIFZIERTE DIGITALE SIGNATUR und Ersatz der Schriftform
JEDE elektronische Signatur ist nach § 3 SigG vor Gericht als Beweismittel anerkannt Jedoch NUR die qualifizierte elektronische Signatur Ersetzt die Schriftform i. S. d. § 886 ABGB (SigG § 4(1)) 4 Ausnahmen explizit im Gesetz aufgezählt (SigG § 4(2)) Gesetzestext im Dokument „Belehrung“ (RA-Ordner) SigG §2 (3) Die qualifzierte elektronische Signatur ist eine elektronische Signatur, die ausschließlich dem Signator zugeordnet ist, die die Identifizierung des Signators ermöglicht, die mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann, die mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann, ... ... sowie auf einem qualifizierten Zertifikat beruht und unter Verwendung von technischen Komponenten und Verfahren, die den Sicherheitsanforderungen dieses Bundesgesetzes und der auf seiner Grundlage ergangenen Verordnungen entsprechen, erstellt wird SigG, SigV, CPS, CP, Registrierung  Schutz durch Besitz UND Wissen: Privater Schlüssel nur im Chip + PIN  Hashwert  „Signaturverfahren“/“Signaturprodukte“ © A-Trust GmbH

27 SICHERE SIGNATURUMGEBUNG Einschätzung der Praxis der Signatur
Hier haftet a.trust Sichere Umgebung aus der Sicht des SigG Grundvoraussetzung ist sichere Verwahrung von Karte und PIN und das Beachten der Widerrufsgründe durch den Signator Smart Card Reader laut Empfehlung der a.trust Empfohlene sonstige Signaturprodukte/-verfahren Sichere Umgebung aus der Sicht des Signators (z.B.) Ob eine Umgebung sicher ist, „entscheidet der Signator“ Einsatz eines nicht empfohlenen Kartenlesers Kein von a.trust empfohlener Secure Viewer, d.h. er vertraut dieser Applikation und dem Dokumentenformat (explizit NICHT vertrauenswürdig wären zum jetzigen Stand: S/MIME, MSWORD) Dem Empfänger ist bekannt, dass diese Applikation keine sichere digitale Signatur zulässt, und er akzeptiert die Signatur auf Grund einer gemeinsamen Vereinbarung mit dem Signator (z.B. spezielle AGB) Nur er hat Zutritt zum Rechner (Netzanbindung?) Der Rechner ist passwortgeschützt und nur der Signator kennt Benutzer- und Administratorpasswort Pflicht, um die PIN nicht für andere sichere Signaturverfahren zu gefährden © A-Trust GmbH

28 WIDERRUFSDIENST Widerruf und Sperre
Täglich, rund um die Uhr, per Telefon oder Fax Nennung des Passworts ist Pflicht ! Genaues auf Sperre Täglich, rund um die Uhr, kostenlos, NUR per Telefon Nennung des Passworts für Widerruf und Sperre ist hilfreich Automatischer Widerruf, wenn Sperre nicht aufgehoben wird Dieser Widerruf gilt ab dem Tag der Sperre © A-Trust GmbH

29 WIDERRUFSDIENST Aufhebung einer Sperre
Aufhebung der Sperre Täglich, rund um die Uhr, kostenlos, NUR per Telefon Sperrfrist (am Merkblatt, auf erklärt) Nennung eines Passworts ist Pflicht ! Bei Aufhebung der Sperre ist das Zertifikat auch rückwirkend gültig Aufhebungspasswort Erfährt man nur vom a.trust Widerrufsdienst bei dem man die Sperre telefonisch beauftragt Daher Sperre per Fax nicht möglich ! Der Signator muss für Widerruf, Sperre und Aufhebung einer Sperre grundsätzlich den Widerrufsdienst der a.trust nutzen © A-Trust GmbH

30 CALL CENTER Aufgaben Wir stellen diese Anrufgründe fest
Technische Probleme bei der Installation Technische Probleme bei der Anwendung Produktinformation Preisinformationen Reklamationen (Nachfrage von Fehlerbehebung vor Ort) © A-Trust GmbH

31 Support für den RO Generell: Der RO kann nur seinen zRO anrufen ! a.trust ist mit ihrer Mitarbeiterstruktur für direkten RO-Support nicht ausgelegt Nur der zRO kennt alle RA-internen Zusammenhänge Der zRO hat ein sehr umfangreiches „a.trust-Wissen“ Nur der zRO steht in direktem Kontakt mit a.trust Nur der zRO kann gegebenenfalls RA-intern zusätzlichen Support für die RO organisieren Beispiel ist BAWAG/PSK-interner Mitarbeiterhelpdesk, der auch Know-how bei technischen Problemen im Zusammen-hang mit einem RO-Arbeitsplatz aufgebaut hat © A-Trust GmbH

32 Registrierung mit Kartenaktivierung
© A-Trust GmbH

33 Offene Fragen © A-Trust GmbH

34 Danke für Ihr Interesse und für Ihre Aufmerksamkeit!
ENDE des RO-Seminars Danke für Ihr Interesse und für Ihre Aufmerksamkeit! VIEL ERFOLG MIT a.sign premium © A-Trust GmbH

Herunterladen ppt "zur Ausgabe des qualifizierten Zertifikats"

Ähnliche Präsentationen

Fachhochschule Südwestfalen

Fachhochschule Südwestfalen
SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.

SS 2007 FG Datenbanken – Interaktive Systeme, Fachbereich 17 Praktische Informatik Prof. Dr. Lutz Wegner Elektronische Signatur Waldemar Wiegel Sommer.
CAcert.org.

CAcert.org.
Institut für Telematik, Leitung Prof. Dr. sc. nat. Christoph Meinel, Bahnhofstraße 30-32, D-54292 Trier 1 Elektronische Signaturen Viel Lärm um fast nichts?

Institut für Telematik, Leitung Prof. Dr. sc. nat. Christoph Meinel, Bahnhofstraße 30-32, D Trier 1 Elektronische Signaturen Viel Lärm um fast nichts?
Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon

Verschlüsselungsverfahren Gruppe 3/ Judith Neu / Stephanie Czichon
Grundlagen der Kryptologie

Grundlagen der Kryptologie
Hashverfahren und digitale Signaturen

Hashverfahren und digitale Signaturen
© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.

© by S.Strudthoff 2005 SET Sichere Kreditkartenzahlung im Internet.
Public-Key-Infrastruktur

Public-Key-Infrastruktur
Elektronische Signatur

Elektronische Signatur
Edu.gov – Ziele & Umsetzung Mag. Harald De Zottis – 20. Jänner 2009.

Edu.gov – Ziele & Umsetzung Mag. Harald De Zottis – 20. Jänner 2009.
Gliederung Einleitung eID-Infrastruktur und Komponenten

Gliederung Einleitung eID-Infrastruktur und Komponenten
präsentiert von Ulli, Nina& Kerstin

präsentiert von Ulli, Nina& Kerstin
Das integrierte Lösungsportfolio

Das integrierte Lösungsportfolio
- Das Register der Urkundspersonen

- Das Register der Urkundspersonen
E-Government Innovationszentrum - Österreich 1 Klaus Stranacher Wien, 04.10.2012Vertrauenswürdiges Open Government Data Authentizität und Integrität für.

E-Government Innovationszentrum - Österreich 1 Klaus Stranacher Wien, Vertrauenswürdiges Open Government Data Authentizität und Integrität für.
Elektronische Signatur

Elektronische Signatur
SuisseID - der elektronische Ausweis

SuisseID - der elektronische Ausweis
DI Ramin Sabet Seite 1 06.10.2009 Mobile Signatur 06. Okt 2009.

DI Ramin Sabet Seite Mobile Signatur 06. Okt 2009.
Web 2.0 Interaktives Internet.

Web 2.0 Interaktives Internet.

Ähnliche Präsentationen

Google-Anzeigen