Digitale Signaturen - auf dem Weg zum Durchbruch? Stefan Kelm [email protected]
description
Transcript of Digitale Signaturen - auf dem Weg zum Durchbruch? Stefan Kelm [email protected]
Digitale Signaturen - auf dem Digitale Signaturen - auf dem Weg zum Durchbruch?Weg zum Durchbruch?
Stefan [email protected]
Secorvo Security Consulting GmbHAlbert-Nestler-Straße 9D-76131 Karlsruhe
Tel. +49 721 6105-500Fax +49 721 6105-455E-Mail [email protected]://www.secorvo.de
© Secorvo
InhaltsübersichtInhaltsübersicht Einleitung, Begriffsbestimmung Aktueller Stand des Signaturgesetzes (Deutschland) Die Entwicklung in Europa Was passiert außerhalb Europas? PKIs in der Praxis Fazit
© Secorvo
EinleitungEinleitung Was sind digitale/elektronische Signaturen ?
elektronisches Pendant zur handschriftlichen Unterschrift meist basierend auf Public Key-Technologie, z.B. RSA schützt damit Integrität und Authentizität der Nachricht z.B. S/MIME- oder PGP-signierte E-Mails
Was sind Zertifikate ? digital signierte Zuordnung eines öffentlichen Schlüssels
(Public Key) zu einer Identität (nach Überprüfung derselben) ausgestellt durch vertrauenswürdigen Dritten (CA, ZS, TC)
Was ist eine Public Key-Infrastruktur (PKI) ? Hierarchie von Zertifizierungsinstanzen
© Secorvo
Public Key-InfrastrukturPublic Key-Infrastruktur
Wurzelzertifizierungsstelle RegTPRegulierungsbehörde fürTelekommunikation und Post
ZertifikatsinhaberPerson 1 Person 2 Person 3
Zertifizierungs-stellen CA 1 CA 2
CA1
Person1•••
•••CA2
Person3•••
•••CA1
Person2•••
•••CA2
Person2•••
•••
RCA
RCA•••
•••
RCA
CA2•••
•••RCA
CA1•••
•••
© Secorvo
SigG: aktueller StandSigG: aktueller Stand Signaturgesetz: in Kraft seit 1.8.1997
„Rahmenbedingungen für elektronische Signaturen“
Bislang drei Zertifizierungsstellen nach SigG „Produktzentrum Telesec“ (Deutsche Telekom, 5.1.1999) „Geschäftsfeld Signtrust“ (Deutsche Post, 3.3.2000) Bundesnotarkammer (Deutsche Post, Januar 2001) ca. 8 weitere seit längerem „in den Startlöchern“
TC Trustcenter, G&D, DIHT, D-Trust, ...
Anwendung des SigG? Bislang kaum Nachfrage nach Zertifikaten, Anwendungen 6.400 Zertifikate für Finanzamt Niedersachsen
Anwendung: Zahlungsanweisungen
© Secorvo
Anpassung der RechtslageAnpassung der Rechtslage Gesetzlage wird derzeit an die 2 wichtigen EU-Richtlinien
angepasst E-Commerce Richtlinie Richtlinie zur elektronischen Signatur
Inkrafttreten: 19.1.2000 Umsetzung in nationales Recht: 19.7.2001
Wichtigste Änderungen an BGB / ZPO §126a BGB: „elektronische Form“ Änderungen an der ZPO: „Beweis des ersten Anscheins“
Zeitplan neues SigG vom Bundestag am 15.02.2001 beschlossen neue SigV wird derzeit erstellt Mai: Inkrafttreten von SigG und SigV? 1.8.2001: Inkrafttreten des BGB-E?
© Secorvo
Europäische EntwicklungEuropäische Entwicklung Probleme bei der Umsetzung
unterschiedlichste Interpretationen der EU-Richtlinie, insb. der mandatorischen Annexe
mangelnde Zusammenarbeit einzelner Arbeitsgruppen sehr unterschiedliche Anforderungen Aufgaben des „Artikel 9-Komitees“ ?
Gegenseitige Anerkennung in Europa? prinzipiell durch die Richtlinie geregelt keine Harmonisierung absehbar Bevorzugung akkreditierter Signaturen problematisch
© Secorvo
Stand in EuropaStand in Europa In einigen Länder sind Signaturgesetze in Kraft
Deutschland, Italien Portugal, Österreich Spanien, Finnland Frankreich, Belgien, UK, Dänemark, Irland, Luxemburg
Andere Länder bereiten Signaturgesetze vor Griechenland Niederlande Schweden Polen
Bislang keine komplette Umsetzung der Richtlinie
© Secorvo
Andere Länder - andere SigGAndere Länder - andere SigG Rest der Welt
USA UETA UCITA Einzelstaaten E-SIGN 2000
Kanada Bill C-54
Australien ETA 1999 GPKA
Singapur ETA 1998
Japan
Internationale Organisationen UNCITRAL
„model law“ „draft rules“
OECD crypto guidelines
ICC Europarat WTO ITU GBO
© Secorvo
PKIs in DeutschlandPKIs in Deutschland
Bayer Bertelsmann BMW Commerzbank DaimlerChrysler Deutsche Bahn Deutsche Bank Dresdner Bank HypoVereinsbank
Mannesmann Siemens Thyssen Volkswagen ...
© Secorvo
„„Make or Buy“ ?Make or Buy“ ? Sicherheit
Durchsetzung eigener Richtlinien
Kontrolle über die Dienstleistung
Spezialisierung Integration in eigenen
Verzeichnisdienst Anpassung von Prozessen
und Arbeitsabläufen geringe Abhängigkeit
Kosteneinsparung kurze Wege zur
Registrierungsstelle
Skalierung Anpassung der
Dienstleistung bei Bedarf externes Risiko geringe Kosten bei kleinen
Zertifikatszahlen (<10.000) Verfügbarkeit
hohe Verfügbarkeit garantiert zügiger Auf- und Abbau
Erfahrung Rückgriff auf eingespielte,
optimierte Prozesse Erfahrungen aus
unterschiedlichen Projekten
© Secorvo
Trust Center in DeutschlandTrust Center in Deutschland TeleSec (Deutsche Telekom AG) SignTrust (Deutsche Post AG) TC Trustcenter (Hamburg) TeleCash (Stuttgart) CCI (Meppen) Datev D-Trust (Berlin) Identrus
Öffentliche PKI-Projekte: DFN-PCA (Hamburg) ! IVBB („Sphinx“)
© Secorvo
Signaturgesetzkonforme Signaturgesetzkonforme PKI?PKI? Geringe Flexibilität SigG-konformer PKIs
Keine Cross-Zertifizierung möglich Keine eigene PKI-Hierarchie konstruierbar Erhebliche Einschränkungen im Naming
Rechtslage „instabil“ Anpassung des Signaturgesetzes und der nachgeordneten
Dokumente (SigV, etc.) an EU-Richtlinie in Arbeit Anerkennung Digitaler Signaturen nach SigG vor Gericht als
Beweismittel ist nicht garantiert Anerkennung im Ausland unklar
Hohe Kosten für Realisierung (Faktor 2-5) Für fast alle Anwendungen ist SigG irrelevant !
© Secorvo
FazitFazit Aufbau von PKIs insbesondere in Groß-
unternehmen in vollem Gange “Killer-Applikation”: E-Mail-Sicherheit Großes Angebot interoperabler und
benutzerfreundlicher PKI-Komponenten SigG-Konformität keine Bedingung Registrierungsprozeß ist zentraler Kostenfaktor Naming und Integration in Verzeichnisdienst häufig
aufwendig Organisatorischer Aufwand wird oft unterschätzt
© Secorvo
LinksLinks Informationen zu Signaturgesetz und EU-Richtlinie:
http://www.pca.dfn.de/dfnpca/sigg.html
„The PKI page“:
http://www.pki-page.org/
Secorvo Security Consulting GmbHAlbert-Nestler-Straße 9D-76131 Karlsruhe
Tel. +49 721 6105-500Fax +49 721 6105-455E-Mail [email protected]://www.secorvo.de