View
108
Download
3
Category
Preview:
Citation preview
A-CERT CERTIFICATION SERVICE 1©ARGE DATEN 2006
A-CERT - fortgeschritten signieren und zertifizieren
Hans G. Zeger, ARGE DATENSAP Wien, 3.10.2006
A-CERT CERTIFICATION SERVICE 2©ARGE DATEN 2006
ARGE DATEN als Zertifizierungsdienstleister
Zertifizierungsdienste seit 1997
Zertifizierungsanbieter gem. SigG 2000
Produktfamilie A-CERT
- A-CERT ADVANCEDpersönliche Zertifikate (X509v3)
- A-CERT GLOBALTRUSTtechnische Zertifikate (Serverzertifikate) (X509v3)
- A-CERT COMPANYPublic Key Infrastructure (PKI) für Unternehmen
- A-CERT TIMESTAMPZeitstempeldienst für revisionssichere Archivierung
- A-CERT GOVERNMENTAmtssignaturzertifikate für die öffentliche Verwaltung gem. e-Government-Gesetz §19
A-CERT CERTIFICATION SERVICE 3©ARGE DATEN 2006
Referenzen A-CERT Zertifizierungsprodukte
A-CERT CERTIFICATION SERVICE 4©ARGE DATEN 2006
Digitale Signaturen sind Instrumente zur Herstellung von Vertrauen zwischen Internetnutzern
A-CERT CERTIFICATION SERVICE 5©ARGE DATEN 2006
Rechtliche Grundlagen
Aufbau des Zertifikats
Lösungsbeispiel pdf-Rechnung
eBilling-Lösungsvarianten
A-CERT ADVANCED
Certificate Policy
A-CERT CERTIFICATION SERVICE 6©ARGE DATEN 2006
Grundlagen SigG
Signaturgesetz 2000
- jeder kann Signaturverfahren nach eigenem Ermessen einsetzen
- jedes Signatur-Verfahren ist rechtlich gültig
- Signaturdienste für Dritte sind registrierungs- bzw aufsichtspflichtig
- Verschiedene Signaturformen- gewöhnliche Signatur- "fortgeschrittene" Signatur §2 Z3 lit.a bis d SigG- Verwaltungssignatur, Amtssignatur- "sichere" (qualifizierte) Signatur
- Umfang der Gültigkeit richtet sich nach gesetzlichen Bestimmungen oder privatrechtlicher Vereinbarung
A-CERT CERTIFICATION SERVICE 7©ARGE DATEN 2006
Grundlagen SigG
Signatur und Zertifikat (§ 2 Z 3 lit. a bis d SigG)
Signatur ...
- ... ist ausschliesslich dem Signator zugeordnet (lit. a)
- ... erlaubt die Identifizierung des Signators (lit. b)
- ... steht unter alleiniger Kontrolle des Signators (lit. c)
- ... erlaubt nachträgliche Veränderung der Daten zu erkennen (lit. d)
Was tut A-CERT als Zertifizierungsstelle?
- identifiziert den Signator (lit.b)
- stellt Techniken zur Signatur bereit (lit. a,d)- unterstützt und berät Signator (lit.c)
A-CERT CERTIFICATION SERVICE 8©ARGE DATEN 2006
elektronische Rechnungslegung
Geschichte der elektronischen Rechnungslegung (eBilling)
- 2001: EU-RL 2001/115/EG (Mehrwertsteuerrichtlinie)
- 2003: Verordnung 583/2003 des BMF zur elektronischen Rechnungslegung
- 2004: Registrierung des fortgeschrittenen Zertifizierungsdienstes A-CERT ADVANCED bei RTR/TKK
- 2005: Erlass des BMF zur Verordnung
- 2007: Ende der unsignierten Fax-Rechnung
alle Dokumente Online unter:http://www.a-cert.at/static/a-cert-advanced-praesentation-komplett.pdf
A-CERT CERTIFICATION SERVICE 9©ARGE DATEN 2006
elektronische Rechnungslegung
Fragen aus der täglichen Praxis- Wer darf signieren?
Jeder Mitarbeiter, der im Unternehmen beauftragt wurde- Wer sollte signieren?Jemand im Unternehmen der tatsächlich den technischen Prozess beaufsichtigt
- Ist Dienstleistersignierung zulässig?Jeder Rechnungsleger kann sich eines Dritten für die Signatur der Rechnung bedienen
- Muss der Dritte spezifische Anforderungen erfüllen?Nein, er muss fortgeschrittene Signaturverfahren verwenden
- Darf automatisch signiert werden?Ja, die Willenserfordernis wie bei der "sicheren" Signatur ist nicht gegeben
A-CERT CERTIFICATION SERVICE 10©ARGE DATEN 2006
digitale Signatur
Wie funktioniert die Signatur einer Rechnung?
Rechnung
1
• 1. Rechnung
Hash
2• 2. Erzeugen eines
Hash der Rechnung
Verschlüss.Hash
Priv. Schlüssel
3
• 3. Verschlüsseln des Hash mit privatem Schlüssel des Absenders
4Signator-Zertifikat
• 4. Signatorzertifikat + öffentlichen Schlüssel beifügen
5
• 5. signierte Rechnung versenden
A-CERT CERTIFICATION SERVICE 11©ARGE DATEN 2006
digitale Signatur
Wie wird geprüft?
Rechnung
Verschlüss.Hash
Signator-Zertifikat
Hash1
• 1. Empfänger berechnet aus der Rechnung Hash
Öffent. Schlüssel
Entschlüss.Hash
2
• 2. Empfänger entschlüsselt den verschlüsselten Hash mit dem öffentlichen Schlüssel des Absenders
3=
• 3. Empfänger vergleicht die beiden Hashwerte
4
• 4. Empfänger prüft Online die Gültigkeit des Zertifikats
A-CERT CERTIFICATION SERVICE 12©ARGE DATEN 2006
A-CERT ADVANCED Zertifikat- entspricht ITU X509v3 - Standard
- für Internet in RFC3647 & RFC3280 geregelt
Zentrale Zertifikats-Merkmale
Subject: C=AT, ST=-, L=WIEN, O=Testzertifikat,
CN=Max Mustermann/emailAddress=muster@freenet.at
Aufbau des Zertifikats
ValidityNot Before: Jan 14 00:00:00 2005 GMTNot After : Jan 14 01:37:50 2009 GMT
Ländername gem. ISO-3166-1 Offizielle Unternehmensbezeichnung
Ortsangabe
Regionalangabe, optional
Person, alternativ Verwendungszweck oder Pseudonym
Gültigkeitsdauer, kann auch frei vergeben werden
Mailadresse
CN=Buchhaltung,.... /
A-CERT CERTIFICATION SERVICE 14©ARGE DATEN 2006
Interpretation des Zertifikats
Zertifikatsinterpretation bei Microsoft
A-CERT CERTIFICATION SERVICE 15©ARGE DATEN 2006
Interpretation des Zertifikats
Zertifikatsinterpretation bei Microsoft
A-CERT CERTIFICATION SERVICE 16©ARGE DATEN 2006
A-CERT ADVANCED
Funktionalität A-CERT ADVANCED- X.509v3 Standard
- firmenspezifische Erweiterungen möglich
- OCSP (Online Certificate Status Protocol) zur Onlineprüfung des Zertifikatwiderrufs
- LDAP-Services zur einfachen Integration von Benutzerdaten, Zertifikaten und öffentlicher Schlüssel
A-CERT CERTIFICATION SERVICE 17©ARGE DATEN 2006
A-CERT ADVANCED
A-CERT ADVANCED ist Microsoft XP-Ready
- massensignaturfähig
- automatisierte Verwendung zulässig
- Zertifikat wird ins Haus geliefert (keine "Amtswege")- rasches Ausstellungsprozedere
- Möglichkeit Pseudonyme zu verwenden ("Buchhaltung" statt "Peter Müller")
- unternehmerfreundliche Laufzeit von 4 Jahren (auch frei wählbare Zeiträume sind möglich)
- flexible Verwendung von Signaturerstellungs-einheiten
Vorteile von A-CERT ADVANCED
A-CERT CERTIFICATION SERVICE 18©ARGE DATEN 2006
A-CERT ADVANCED
Einsatzmöglichkeiten A-CERT ADVANCED- elektronische Rechnungslegung, inkl. Gutschriften,
Bestellungen, Auftragsbestätigungen, Lieferscheine, ....
- signieren von Mails
- Softwaresignatur
- Dokumentenmanagement (Vidierung elektronischer Dokumente)
- Vergabe von Zeitstempel für Dokumenteunabhängig vom Dateiformat einsetzbar
- beliebige Dokumentenformate, wie .xml, .pdf, .txt, .html, .doc, ....
.pdf ist bei Rechnungslegung derzeit beliebtestes Format
A-CERT CERTIFICATION SERVICE 19©ARGE DATEN 2006
A-CERT ADVANCED
Signaturbeispiel pdf-Rechnung
Hinweis auf Rechtsgrundlage
Hinweis auf Archvierungspflicht und Prüfmöglichkeit
A-CERT CERTIFICATION SERVICE 20©ARGE DATEN 2006
A-CERT ADVANCED
Signaturbeispiel pdf-Rechnung
Hinweis auf technische Hilfe
A-CERT CERTIFICATION SERVICE 21©ARGE DATEN 2006
A-CERT ADVANCED
Signaturbeispiel pdf-Rechnung
Prüfung der Unterschrift
A-CERT CERTIFICATION SERVICE 22©ARGE DATEN 2006
elektronische Rechnung
Lösung I: Integration Rechnungslegung
Rechnungs-präsentation
Benutzer aktiviert Rechnungsausgabe und Signatur
BH-Applikation signiert
Posteingang
Mailserver
A-CERT CERTIFICATION SERVICE 23©ARGE DATEN 2006
elektronische Rechnung
Benutzer aktiviert Rechnungsausgabe
Posteingang
Mailserver
Rechnungs-präsentation
Lösung II: pdf-Proxy-Lösung
BH-Applikation bleibt
unverändert
pdf-Proxy-
Signer
Proxy-Administrator überwacht und
steuert Signaturvorgang
A-CERT CERTIFICATION SERVICE 25©ARGE DATEN 2006
elektronische Rechnung
Lösung IV: Signaturplattform
Benutzer ruft Rechnung ab
Rechnungs-präsentation
Signer-Serverunterstützt verschiedene
Formate, veschiedene Signaturen, Archivierung,
verschiedene Ausgaben, ....
Applikation III
Applikation V
Applikation II
.xml
Applikation
I
Applikation VI
.html
Applikation
IV
.txt Webserver
Posteingang
Mailserver
A-CERT CERTIFICATION SERVICE 26©ARGE DATEN 2006
elektronische Rechnung
Lösung: pdf-Signer Workstation
Rechnungs-präsentation
Benutzer aktiviert Signatur (einzeln oder als Batch-Lösung
BH-Applikation erzeugt
pdf-Output
Posteingang
Mailserver
A-CERT CERTIFICATION SERVICE 27©ARGE DATEN 2006
A-CERT ADVANCED Certificate Policy
Aufsichtsbehörde verlangt verpflichtende Anwendung einer Certificate Policy
- Identitätsprüfung
- persönliche Ausstellung
- sichere Verwahrung
- Meldepflicht bei Missbrauch / Verlust
- effiziente minutenaktuelle Widerrufsverwaltung mittels Online Certificate Status ProtocolOCSP - URI:http://ocsp.a-cert.at
- Verwendung einer OID, Eintrag der Policy in ZertifikatPolicy: 1.2.40.0.24.1.1.1.3-CPS: http://www.a-cert.at/certificate-policy.html
A-CERT CERTIFICATION SERVICE 28©ARGE DATEN 2006
Zeitstempeldienst
A-CERT TIMESTAMP
Elektronische Dokumente mit Zeitstempel versehen
- A-CERT garantiert, dass ein Dokument zu einem bestimmten Zeitpunkt existierte
- 50 Zeitstempel bei A-CERT ADVANCED - Zertifikaten inkludiert
- Zeitgenauigkeit von einer Sekunde wird garantiert
- laufende Synchronisation mit Frankfurter Atomuhr
- Implementierung gemäß RFC3161, Datenübertragung zusätzlich SSL-verschlüsselt
- kostenloser Klient für das Erstellen der Zeitstempel
A-CERT CERTIFICATION SERVICE 29©ARGE DATEN 2006
Zeitstempeldienst
A-CERT TIMESTAMP - Client
A-CERT CERTIFICATION SERVICE 30©ARGE DATEN 2006
A-CERT fortgeschrittene Signatur
Kosten Signatur / Zertifikat- 2jähriges Zertifikat: 80,- EUR (+Ust.)
- 4jähriges Zertifikat: 140,- EUR (+Ust.)
Hardware-Token
Aladdin Cryptotoken mit evaluiertem Signaturbetriebssystem
+ 20,- EUR (+Ust.)
Keine Kosten für Rechnungssignatur, Signaturprüfung oder Widerruf
A-CERT CERTIFICATION SERVICE 31©ARGE DATEN 2006
Entwicklung der elektronischen Rechnung
- Elektronische Rechnungslegung wird 2006/07 im B2B-Bereich Top-Thema bleiben
- Archivierung und Weiterverarbeitung der Rechnunge werden zentrale Themen
- Kunden werden eBilling gegenüber Lieferanten forcieren
- zeitliche Synchronisation von Geschäftsprozessen (TIMESTAMP) wird an Bedeutung gewinnen
eBilling Ausblick
A-CERT CERTIFICATION SERVICE 32©ARGE DATEN 2006
Kontaktinformationen
Vortragender: Hans G. ZegerARGE DATEN - Österreichische Gesellschaft für DatenschutzA-1160 Wien, Redtenbachergasse 20
Tel.: 0676 / 9107032Fax.: 01 / 4803209Mail A-CERT: info@a-cert.atMail persönlich: hans.zeger@a-cert.at
Zertifizierung: http://www.a-cert.at
e-commerce: http://www.e-rating.atWWW-Verein: http://www.argedaten.at
alle rechtlich relevanten Dokumente zu eBilling:http://www.a-cert.at/static/a-cert-advanced-praesentation-komplett.pdf
A-CERT CERTIFICATION SERVICE 33©ARGE DATEN 2006
Ich danke für Ihre Aufmerksamkeit
Recommended