Dr. Martin Wind, TZI-ISI Elektronische Signaturen für Online-Dienste Dr. Martin Wind
Dr. Martin Wind, TZI-ISI
Elektronische Signaturen für Online-Dienste
Dr. Martin Wind
Dr. Martin Wind, TZI-ISI
1. Elektronische Signaturen: Stand der Dinge
2. Signaturbasierte Online-Dienste: Probleme und Lösungen
3. MEDIA@Komm, OSCI und OSCAR
4. Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven
5. Erfolgsmodell Elektronische Signatur?
Dr. Martin Wind, TZI-ISI
Das Internet...
... wächst und wächst und wächst
... ist aber nach wie vor nur bedingt für kommerzielle oder behördliche Transaktionen geeignet:- mangelnde Sicherheit - Anonymität der Nutzer(innen)- anpassungsbedürftiger Rechtsrahmen
D.h.: Viele Anwendungen, die theoretisch übers Internet abgewickelt werden könnten, lassen sich nicht realisieren oder erfordern Zusatzaufwand.
Dr. Martin Wind, TZI-ISI
Elektronische Signatur mit asymmetrischem Verfahren
• Absender einer Nachricht verfügt über einen öffentlich übers Internet abrufbaren und einen privaten, unauslesbar auf einer Chipkarte befindlichen Schlüssel.
• Beim Verschicken einer Nachricht signiert der Absender diese mit seinem privaten Schlüssel, dem elektronischen Pendant zur "echten" Unterschrift.
• Der Empfänger prüft nun die Echtheit des Absenders, indem er die Signatur mit dem öffentlichen Schlüssel des Absenders decodiert.
• Läßt sich die „Unterschrift“ so verifizieren, ist die Nachricht eindeutig vom Absender und außerdem nach dem Signieren nicht mehr nachträglich geändert worden.
Dr. Martin Wind, TZI-ISI
Elektronische Signaturen
ermöglichen Authentifikation: eine Nachricht stammt tatsächlich vom angegebenen Absender
sichern Integrität einer Nachricht: nachträgliche Veränderungen werden bemerkt
gewährleisten Vertraulichkeit: verschlüsselte Nachrichten können nur vom gewünschten Adressaten entschlüsselt und gelesen werden
öffnen den Weg für sichere und rechtsverbindliche Online-Transaktionen ohne Medienbrüche
Dr. Martin Wind, TZI-ISI
Elektronische Signaturen in Deutschland
1997: Signaturgesetz und Signaturverordnung 2000: EU-Richtlinie zu elektronischen Signaturen 15.2.2001: Bundestag novelliert Signaturgesetz 22.5.2001: Gesetz über Rahmenbedingungen für elektronische
Signaturen tritt in Kraft
• veränderter Sprachgebrauch: elektronische statt digitale Signaturen
• Zertifizierungsstellen können Aufgaben an Dritte delegieren (Voraussetzung: Einbindung in Sicherheitskonzept)
• Zertifizierungsstellen: nachgelagerte Kontrolle statt vorgelagerter Genehmigung
Dr. Martin Wind, TZI-ISI
Arten elektronischer Signaturen nach dem neuen Signaturgesetz Deutschland
1. elektronische Signaturen (§ 2 Nr. 1 SigG)eingescannte Unterschrift, elektronische Visitenkarte u.ä.
2. fortgeschrittene elektronische Signaturen (§ 2 Nr. 2 SigG)PGP-Signaturen u.ä.
3. qualifizierte elektronische Signaturen (§ 2 Nr. 3 SigG)beruhen auf einem gültigen qualifizierten Zertifikat und sind mit einer sicheren Signaturerstellungseinheit erzeugt worden
4. qualifizierte elektronische Signaturen mit Anbieter-Akkreditierung (§ 15 I 4 SigG)alle „digitalen Signaturen“ nach altem SigG
Dr. Martin Wind, TZI-ISI
Rechtliche Wirkung
„Einfache“ und fortgeschrittene elektronische Signaturen nutzbar, wenn keine besonderen Formerfordernisse bestehen als Beweismittel zulässig (freie Beweiswürdigung)
Qualifizierte elektronische Signaturen (mit/ohne Akkreditierung) • sind i.V.m. Formanpassungsgesetzen der handschriftlichen
Unterschrift gleichgestellt• besitzen erhöhte Beweiskraft
(Anscheinsbeweis § 292 a ZPO)
Online-Transaktionen werden auch dort möglich, wo Formvorschriften dem bislang entgegen standen.
Dr. Martin Wind, TZI-ISI
Akkreditierte Anbieter Produktzentrum TeleSec der Deutschen Telekom AG Bundesnotarkammer Deutsche Post Signtrust GmbH DATEV Steuerberaterkammern Nürnberg, Saarland, Bremen Medizon AG (Berlin) Rechtsanwaltskammern Bamberg, Koblenz, Stuttgart, München,
Berlin AuthentiDate International AG (Ratingen) TC TrustCenter (Hamburg) bei RegTP angezeigt, aber nicht akkreditiert:
D-Trust GmbH (100%-Tochter der Bundesdruckerei)
Dr. Martin Wind, TZI-ISI
1. Elektronische Signaturen: Stand der Dinge
2. Signaturbasierte Online-Dienste: Probleme und Lösungen
3. MEDIA@Komm, OSCI und OSCAR
4. Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven
5. Erfolgsmodell Elektronische Signatur?
Dr. Martin Wind, TZI-ISI
2. Signaturbasierte Online-Dienste: Probleme und Lösungen
2.1 Das Interoperabilitätsproblem
2.2 Archivierung elektronisch signierter Nachrichten
2.3 Internes Key-Management
Dr. Martin Wind, TZI-ISI
Unternehmen B
Kunde 1 Kunde 2
Unternehmen A
Dr. Martin Wind, TZI-ISI
Lösungsansatz 1: Standardisierung
ISIS-MTT Industrial Signature Interoperability and Mailtrust SpecificationCCI, Datev, Signtrust, TeleSec, D-Trust, Giesecke & Devrient, Sparkassen Informatik, TC Trustcenter plus unterstützende Unternehmen und Organisationen (z.B. bos, Bundesdruckerei, secunet ...)
http://www.t7-isis.org
Dr. Martin Wind, TZI-ISI
Lösungsansatz 2: Brückenbau
Bridge-CAorganisationsübergreifende herstellerunabhängige Initiative zur Verknüpfung bestehender Sicherheitsinfrastrukturen20 Unternehmen unterschiedlicher Branchen, u.a. Deutsche Bank, Deutsche Telekom, Giesecke & Devrient, Sparkassen Informatik, BSI ...
Dr. Martin Wind, TZI-ISI
Der Brückenschlag
Quelle: www.bridge-ca.org/
Dr. Martin Wind, TZI-ISI
Unternehmen B
Kunde 1 Kunde 2
Unternehmen A
Lösungsansatz 3: Dienste bzw. Produkte Dritter
Dr. Martin Wind, TZI-ISI
2. Signaturbasierte Online-Dienste: Probleme und Lösungen
2.1 Das Interoperabilitätsproblem
2.2 Archivierung elektronisch signierter Nachrichten
2.3 Internes Key-Management
Dr. Martin Wind, TZI-ISI
Archivierung elektronisch signierter Nachrichten
Problem: Signaturalgorithmen werden mit der Zeit schwächer, Beweiskraft schwindet
Dr. Martin Wind, TZI-ISI
§ 17 Signaturverordnung
Zeitraum und Verfahren zur langfristigen Datensicherung
Daten mit einer qualifizierten elektronischen Signatur sind nach § 6 Abs. 1 Satz 2 des Signaturgesetzes neu zu signieren, wenn diese für längere Zeit in signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter als geeignet beurteilt sind. In diesem Falle sind die Daten vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter mit einer neuen qualifizierten elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen.
Dr. Martin Wind, TZI-ISI
Archivierung elektronisch signierter Nachrichten Problem: Signaturalgorithmen werden mit der Zeit
schwächer, Beweiskraft schwindet Lösungsansatz A: Nachsignieren mit Zeitstempel
Lösungsansatz B: Anderweitiger Nachweis der Vertrauenswürdigkeit eines archivierten Dokuments (z.B. Verwendung eines anerkannten, überprüften, zertifizierten Archivierungsverfahrens)
Forschungsprojekt ArchiSig: Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumentewww.archisig.de
Dr. Martin Wind, TZI-ISI
Dauerhafte Nachprüfbarkeit elektronischer Signaturen
Qualifizierte elektronische Signaturen: Anbieter müssen Zertifikat bis 5 Jahre nach Ende der Gültigkeit im Verzeichnis führen
Qualifizierte Signaturen akkreditierter Anbieter: Anbieter müssen Zertifikat bis 30 Jahre nach Ende der Gültigkeit im Verzeichnis führen;sollte ein akkreditierter Anwender seine Tätigkeit einstellen, übernimmt die zuständige Behörde (derzeit: Regulierungsbehörde für Telekommunikation und Post) diese Dokumentation
Dr. Martin Wind, TZI-ISI
2. Signaturbasierte Online-Dienste: Probleme und Lösungen
2.1 Das Interoperabilitätsproblem
2.2 Archivierung elektronisch signierter Nachrichten
2.3 Internes Key-Management
Dr. Martin Wind, TZI-ISI
Internes Key-Management
Wer benötigt eine digitale Signatur?
Wie wird die Funktion einer Person elektronisch abgebildet? Lösung 1: Attributzertifikate Lösung 2: pseudonymisierte Zertifikate Lösung 3: standardmäßige Signaturkarte
Welche öffentlichen Schlüssel werden zur Verschlüsselung durch die Nutzer bereitgestellt?
Hybridsystem: personengebundene Signatur und bereichsbezogener Verschlüsselungsschlüssel
Dr. Martin Wind, TZI-ISI
1. Elektronische Signaturen: Stand der Dinge
2. Signaturbasierte Online-Dienste: Probleme und Lösungen
3. MEDIA@Komm, OSCI und OSCAR
4. Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven
5. Erfolgsmodell Elektronische Signatur?
Dr. Martin Wind, TZI-ISI
• Ohne entsprechende Online-Angebote gibt es keinen Grund für die Bürger, sich eine Signaturkarte zu besorgen.
• Ohne ausreichenden Bestand an Signaturkarten in der Bevölkerung gibt es keinen Grund für Anbieter, signaturbasierte Dienste zu entwickeln.
Diffusionsproblem
Dr. Martin Wind, TZI-ISI
Multimedia-Städtewettbewerb MEDIA@Komm
BMWi als Träger, Fördervolumen bis zu 60 Mio. DM Ziel: Erprobung der Elektr. Signatur nach Signaturgesetz 136 Grobkonzepte - 10 Detailkonzepte - 3 Siegerkonzepte Sieger: Bremen, Esslingen, Nürnberg Status: Dreijährige Förderlaufzeit begann im September 99 Gründung der bremen online services GmbH & Co. KG als PPP
für Umsetzung des Bremer Projekts zentrale Begleitforschung: www.mediakomm.net
Dr. Martin Wind, TZI-ISI
Drei Säulen, die parallel entwickelt werden
Behörden, Hochschulen usw.
Anwendungen
DigitaleSignatur
Bürger
Kiosksystem
Internet
Zugang
DigitaleSignatur
Trust Center
Online-Plattform
Kreditwirtschaft
Dr. Martin Wind, TZI-ISI
Varianten der Signatur-Chipkarten
MonofunktionaleSignaturkarte
1234 56-789 9876543-0Konto- Nr. Karten- Nr.
990321
D
Maestro
Die Sparkasse Bremen
MAX MUSTERMANN
IntegrierteSig-/ec-Karte (2002)
Varianten von Chipkarten-Lesegeräten
• Lesegeräte unterscheiden sich vor allem durch die HBCI-Klasse (HBCI = Home Banking Computer Interface)
• Klasse 1: kein Display, keine Tastatur = keine Geldkartenzahlung über Internet
• Klasse 3: Leser mit Display und Tastatur = Geldkartenzahlung + Aufladung über Internet möglich
Auf einen Blick: Ausgabestellen Signaturkarten & Chipkartenleser
und betreute Nutzerplätze in Bremen
Dr. Martin Wind, TZI-ISI
Online-Dienste mit Signaturkarte
Internet
Trust Center
Signaturkarte
technischePlattform
Kreditwirtschaft
Öffentliche Verwaltung
Hochschul-verwaltung
Dienstleistungs-unternehmen
Eine Karte für viele Anwen-dungsfelder
Dr. Martin Wind, TZI-ISI
Plattform und Intermediär Interpretiert Nutzungsdaten ohne Zugriff auf Inhaltsdaten. Nachrichtenspeicherung und -steuerung, zentrale Dienste.
B ürge rD iens t-le is te r
7 56
121110
8 4
21
9 3
P aym entC A
Dr. Martin Wind, TZI-ISI
„Zwischen Bürger, Verwaltung und Dienstleistern sollen rechtsverbindliche Dienstleistungen und Transaktionen vollelektronisch und ohne Medienbrüche abgewickelt werden können.“
Standardisierung des Datenaustausches
U m zug
Bauan-trag
O S C I
O S C I
O S C IS tandes-
am t
O S C IM elde-
behörde
O S C IB au-am t
M ail
Log
Online Services Computer Interface (OSCI)
Dr. Martin Wind, TZI-ISI
OSCI-Architecture (OSCAR)
Client Intermediär
• Signieren• (De)Chiffrieren• Anbindung Lesegeräte• Anbindung Smart Cards und
Software-Zertifikate• Integration von Attachments• Visualisierungskomponente
• Transport und Routing
• sicherer, anonymer Mailserver (Postkörbe etc.)
• Zertifikats- und Signaturprüfung
• Funktionen wie Client• Adapterfunktionen zur
Anbindung beliebiger Fachverfahren
Programmpaket zur Erstellung, Übermittlung und Prüfung OSCI-konformer* Nachrichten als asynchrone Mail oder Online-Komponente beliebiger Fachverfahren
Dienstleister
*: OSCI: Online Services Computer Interface
Dr. Martin Wind, TZI-ISI
Das „Bermuda-Dreieck“
Fachverfahren
Dr. Martin Wind, TZI-ISI
Der Weg einer OSCI-Nachricht
Dr. Martin Wind, TZI-ISI
1. Elektronische Signaturen: Stand der Dinge
2. Signaturbasierte Online-Dienste: Probleme und Lösungen
3. MEDIA@Komm, OSCI und OSCAR
4. Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven
5. Erfolgsmodell Elektronische Signatur?
Dr. Martin Wind, TZI-ISI
Hochschul-verwaltung
elektronischer Studentenausweis
Studierende
Terminal auf Campus
Dr. Martin Wind, TZI-ISI
Vor- und Nachteile aus Kundensicht
+ Einfache Handhabung (in der Regel)+ Begrenzter Schaden bei Verlust+ Bedarfsgerechte (Multi)Funktionalität
- Unkomfortable „Kartensammlungen“- Unterschiedliche PIN/TAN- Ungewißheit über Sicherheitskonzept des Anbieters
Dr. Martin Wind, TZI-ISI
Vor- und Nachteile aus Anbietersicht
+ Sichere Identifizierung der Kunden+ Bedarfsgerechte (Multi)Funktionalität+ Imagegewinn, Marketinginstrument
- Sehr hoher Aufwand für Karten-Infrastruktur - Abhängigkeit von einzelnen Systemanbietern- Unklare Beweislage vor Gericht- Zukunftsoffenheit?
Dr. Martin Wind, TZI-ISI
www.bremer-online-service.de
www.bremen.de
ww
w.u
ni-b
rem
en.d
e
Dr. Martin Wind, TZI-ISI
InternetStudierende
Trust Center
SignaturkarteHochschul-verwaltung
?Selbstbedienung mit Signaturkarte
Dr. Martin Wind, TZI-ISI
StudierendeSachbearbeitung in derHochschulverwaltung
Vorläufige Variante des Online-Dienstes
Trust Center So sieht es die Sachbearbeitung
Dr. Martin Wind, TZI-ISI
Studierende
Ziel: Automatisierter Dialog mit Fachverfahren
+ Matr.nr.
1
Trust Center
2
Fachverfahren derHochschulverwaltung
3
45
6
7
Dr. Martin Wind, TZI-ISI
Geschäftsvorfälle Übermittlung von Zulassungs- und Immatrikulationsdaten
• Mitteilung von Adressänderungen• Beantragung von Urlaubssemestern• Exmatrikulation auf eigenen Antrag• Ausdruck zusätzlicher Studienbescheinigungen
• Anmeldung zu Prüfungen (Mail/Office)• SB-Funktionalitäten von Prüfungsverwaltungssystemen
• Korrespondenz mit Studentenwerk (BAföG, Wohnheime)
• Online-Gremienwahl (Erprobung an Hochschule BHV)
Dr. Martin Wind, TZI-ISI
Gebührenregelung
bremer-online-service: - pro Karte: 10,- (TeleSec: ca. 250 DM für 2 Jahre)- pro Kartenleser: 20,- DM (Marktpreis: 200 DM)
Sonderregelung für Studierende:- keine Kartengebühr, wenn Registrierung im dafür
vorgesehenen Zeitraum („Aktionswoche“) erfolgt- keine Sonderregelung bei Gebühr für Kartenleser
Dr. Martin Wind, TZI-ISI
1. Elektronische Signaturen: Stand der Dinge
2. Signaturbasierte Online-Dienste: Probleme und Lösungen
3. MEDIA@Komm, OSCI und OSCAR
4. Signaturbasierte Online-Dienste für Studierende in Bemen und Bemerhaven
5. Erfolgsmodell Elektronische Signatur?
Dr. Martin Wind, TZI-ISI
Fortschritte
MEDIA@Komm- Entwicklung prototypischer Anwendungen- Sammlung wertvoller Erfahrungen bei Aufbau und Betrieb von Public-Key-Services
zunehmende Zahl von Trust Centern senkt die Kosten und fördert Wettbewerb um nutzerfreundliche Produkte
Lockerungen beim Schriftformerfordernis eröffnen weitere Anwendungsfelder
OSCI-Kernel kann Karten verschiedener Trust Center verarbeiten und Lesegeräte unterschiedlicher Anbieter ansprechen
Interesse an Nutzungsmöglichkeiten elektronischer Signaturen nimmt zu
Dr. Martin Wind, TZI-ISI
Probleme
Unsicherheiten durch neues Gesetz, z.B.: Wann sind qualifizierte, wann akkreditierte Signaturen erforderlich?
wenig eingängige Thematik für Gelegenheitsnutzer (Terminologie, Funktionsweise...)
vor der ersten Online-Transaktion sind aufwändige Vorbereitungen der Nutzer erforderlich (Karte, Software, Kartenleser)
Kosten-Nutzen-Relation aus Nutzersicht weiterhin inakzeptabel
Dr. Martin Wind, TZI-ISI
Dr. Martin Wind, TZI-ISI
• Ja, denn mit zunehmender Häufigkeit elektronischer Transaktionen (E-Commerce, E-Government) steigt der Bedarf nach Sicherheit und Rechtsverbindlichkeit.
• Ja, denn es ist unakzeptabel, den Nutzern für jeden Online-Dienst spezielle Zugangslösungen (PIN/TAN, Chipkarten plus passende Leser...) anzubieten.
• Aber wir sollten nicht vergessen, dass wir uns erst am Anfang eines komplizierten Diffusionsprozesses befinden.
Elektronische Signaturen – auf dem Weg zum Erfolgsmodell?
Dr. Martin Wind, TZI-ISI
Kontakt
www.signatur.uni-bremen.de
http://www.bremer-online-service.de