©ARGE DATEN 2006 A-CERT CERTIFICATION SERVICE 1 A-CERT - fortgeschritten signieren und zertifizieren Hans G. Zeger, ARGE DATEN SAP Wien, 3.10.2006

A-CERT CERTIFICATION SERVICE 1©ARGE DATEN 2006

A-CERT - fortgeschritten signieren und zertifizieren

Hans G. Zeger, ARGE DATENSAP Wien, 3.10.2006


ARGE DATEN als Zertifizierungsdienstleister

Zertifizierungsdienste seit 1997

Zertifizierungsanbieter gem. SigG 2000

Produktfamilie A-CERT

- A-CERT ADVANCEDpersönliche Zertifikate (X509v3)

- A-CERT GLOBALTRUSTtechnische Zertifikate (Serverzertifikate) (X509v3)

- A-CERT COMPANYPublic Key Infrastructure (PKI) für Unternehmen

- A-CERT TIMESTAMPZeitstempeldienst für revisionssichere Archivierung

- A-CERT GOVERNMENTAmtssignaturzertifikate für die öffentliche Verwaltung gem. e-Government-Gesetz §19


Referenzen A-CERT Zertifizierungsprodukte


Digitale Signaturen sind Instrumente zur Herstellung von Vertrauen zwischen Internetnutzern


Rechtliche Grundlagen

Aufbau des Zertifikats

Lösungsbeispiel pdf-Rechnung

eBilling-Lösungsvarianten

A-CERT ADVANCED

Certificate Policy


Grundlagen SigG

Signaturgesetz 2000

- jeder kann Signaturverfahren nach eigenem Ermessen einsetzen

- jedes Signatur-Verfahren ist rechtlich gültig

- Signaturdienste für Dritte sind registrierungs- bzw aufsichtspflichtig

- Verschiedene Signaturformen- gewöhnliche Signatur- "fortgeschrittene" Signatur §2 Z3 lit.a bis d SigG- Verwaltungssignatur, Amtssignatur- "sichere" (qualifizierte) Signatur

- Umfang der Gültigkeit richtet sich nach gesetzlichen Bestimmungen oder privatrechtlicher Vereinbarung


Grundlagen SigG

Signatur und Zertifikat (§ 2 Z 3 lit. a bis d SigG)

Signatur ...

- ... ist ausschliesslich dem Signator zugeordnet (lit. a)

- ... erlaubt die Identifizierung des Signators (lit. b)

- ... steht unter alleiniger Kontrolle des Signators (lit. c)

- ... erlaubt nachträgliche Veränderung der Daten zu erkennen (lit. d)

Was tut A-CERT als Zertifizierungsstelle?

- identifiziert den Signator (lit.b)

- stellt Techniken zur Signatur bereit (lit. a,d)- unterstützt und berät Signator (lit.c)


elektronische Rechnungslegung

Geschichte der elektronischen Rechnungslegung (eBilling)

- 2001: EU-RL 2001/115/EG (Mehrwertsteuerrichtlinie)

- 2003: Verordnung 583/2003 des BMF zur elektronischen Rechnungslegung

- 2004: Registrierung des fortgeschrittenen Zertifizierungsdienstes A-CERT ADVANCED bei RTR/TKK

- 2005: Erlass des BMF zur Verordnung

- 2007: Ende der unsignierten Fax-Rechnung

alle Dokumente Online unter:http://www.a-cert.at/static/a-cert-advanced-praesentation-komplett.pdf


elektronische Rechnungslegung

Fragen aus der täglichen Praxis- Wer darf signieren?

Jeder Mitarbeiter, der im Unternehmen beauftragt wurde- Wer sollte signieren?Jemand im Unternehmen der tatsächlich den technischen Prozess beaufsichtigt

- Ist Dienstleistersignierung zulässig?Jeder Rechnungsleger kann sich eines Dritten für die Signatur der Rechnung bedienen

- Muss der Dritte spezifische Anforderungen erfüllen?Nein, er muss fortgeschrittene Signaturverfahren verwenden

- Darf automatisch signiert werden?Ja, die Willenserfordernis wie bei der "sicheren" Signatur ist nicht gegeben


digitale Signatur

Wie funktioniert die Signatur einer Rechnung?

Rechnung

1

• 1. Rechnung

Hash

2• 2. Erzeugen eines

Hash der Rechnung

Verschlüss.Hash

Priv. Schlüssel

3

• 3. Verschlüsseln des Hash mit privatem Schlüssel des Absenders

4Signator-Zertifikat

• 4. Signatorzertifikat + öffentlichen Schlüssel beifügen

5

• 5. signierte Rechnung versenden


digitale Signatur

Wie wird geprüft?

Rechnung

Verschlüss.Hash

Signator-Zertifikat

Hash1

• 1. Empfänger berechnet aus der Rechnung Hash

Öffent. Schlüssel

Entschlüss.Hash

2

• 2. Empfänger entschlüsselt den verschlüsselten Hash mit dem öffentlichen Schlüssel des Absenders

3=

• 3. Empfänger vergleicht die beiden Hashwerte

4

• 4. Empfänger prüft Online die Gültigkeit des Zertifikats


A-CERT ADVANCED Zertifikat- entspricht ITU X509v3 - Standard

- für Internet in RFC3647 & RFC3280 geregelt

Zentrale Zertifikats-Merkmale

Subject: C=AT, ST=-, L=WIEN, O=Testzertifikat,

CN=Max Mustermann/[email protected]

Aufbau des Zertifikats

ValidityNot Before: Jan 14 00:00:00 2005 GMTNot After : Jan 14 01:37:50 2009 GMT

Ländername gem. ISO-3166-1 Offizielle Unternehmensbezeichnung

Ortsangabe

Regionalangabe, optional

Person, alternativ Verwendungszweck oder Pseudonym

Gültigkeitsdauer, kann auch frei vergeben werden

Mailadresse

CN=Buchhaltung,.... /


Interpretation des Zertifikats

Zertifikatsinterpretation bei Microsoft


Interpretation des Zertifikats

Zertifikatsinterpretation bei Microsoft


A-CERT ADVANCED

Funktionalität A-CERT ADVANCED- X.509v3 Standard

- firmenspezifische Erweiterungen möglich

- OCSP (Online Certificate Status Protocol) zur Onlineprüfung des Zertifikatwiderrufs

- LDAP-Services zur einfachen Integration von Benutzerdaten, Zertifikaten und öffentlicher Schlüssel


A-CERT ADVANCED

A-CERT ADVANCED ist Microsoft XP-Ready

- massensignaturfähig

- automatisierte Verwendung zulässig

- Zertifikat wird ins Haus geliefert (keine "Amtswege")- rasches Ausstellungsprozedere

- Möglichkeit Pseudonyme zu verwenden ("Buchhaltung" statt "Peter Müller")

- unternehmerfreundliche Laufzeit von 4 Jahren (auch frei wählbare Zeiträume sind möglich)

- flexible Verwendung von Signaturerstellungs-einheiten

Vorteile von A-CERT ADVANCED


A-CERT ADVANCED

Einsatzmöglichkeiten A-CERT ADVANCED- elektronische Rechnungslegung, inkl. Gutschriften,

Bestellungen, Auftragsbestätigungen, Lieferscheine, ....

- signieren von Mails

- Softwaresignatur

- Dokumentenmanagement (Vidierung elektronischer Dokumente)

- Vergabe von Zeitstempel für Dokumenteunabhängig vom Dateiformat einsetzbar

- beliebige Dokumentenformate, wie .xml, .pdf, .txt, .html, .doc, ....

.pdf ist bei Rechnungslegung derzeit beliebtestes Format


A-CERT ADVANCED

Signaturbeispiel pdf-Rechnung

Hinweis auf Rechtsgrundlage

Hinweis auf Archvierungspflicht und Prüfmöglichkeit


A-CERT ADVANCED


Hinweis auf technische Hilfe


A-CERT ADVANCED


Prüfung der Unterschrift


elektronische Rechnung

Lösung I: Integration Rechnungslegung

Rechnungs-präsentation

Benutzer aktiviert Rechnungsausgabe und Signatur

BH-Applikation signiert

Posteingang

Mailserver



Benutzer aktiviert Rechnungsausgabe

Posteingang

Mailserver


Lösung II: pdf-Proxy-Lösung

BH-Applikation bleibt

unverändert

pdf-Proxy-

Signer

Proxy-Administrator überwacht und

steuert Signaturvorgang



Lösung IV: Signaturplattform

Benutzer ruft Rechnung ab


Signer-Serverunterstützt verschiedene

Formate, veschiedene Signaturen, Archivierung,

verschiedene Ausgaben, ....

Applikation III

Applikation V

Applikation II

.xml

Applikation

I

.pdf

Applikation VI

.html

Applikation

IV

.txt Webserver

Posteingang

Mailserver



Lösung: pdf-Signer Workstation


Benutzer aktiviert Signatur (einzeln oder als Batch-Lösung

BH-Applikation erzeugt

pdf-Output

Posteingang

Mailserver


A-CERT ADVANCED Certificate Policy

Aufsichtsbehörde verlangt verpflichtende Anwendung einer Certificate Policy

- Identitätsprüfung

- persönliche Ausstellung

- sichere Verwahrung

- Meldepflicht bei Missbrauch / Verlust

- effiziente minutenaktuelle Widerrufsverwaltung mittels Online Certificate Status ProtocolOCSP - URI:http://ocsp.a-cert.at

- Verwendung einer OID, Eintrag der Policy in ZertifikatPolicy: 1.2.40.0.24.1.1.1.3-CPS: http://www.a-cert.at/certificate-policy.html


Zeitstempeldienst

A-CERT TIMESTAMP

Elektronische Dokumente mit Zeitstempel versehen

- A-CERT garantiert, dass ein Dokument zu einem bestimmten Zeitpunkt existierte

- 50 Zeitstempel bei A-CERT ADVANCED - Zertifikaten inkludiert

- Zeitgenauigkeit von einer Sekunde wird garantiert

- laufende Synchronisation mit Frankfurter Atomuhr

- Implementierung gemäß RFC3161, Datenübertragung zusätzlich SSL-verschlüsselt

- kostenloser Klient für das Erstellen der Zeitstempel


Zeitstempeldienst

A-CERT TIMESTAMP - Client


A-CERT fortgeschrittene Signatur

Kosten Signatur / Zertifikat- 2jähriges Zertifikat: 80,- EUR (+Ust.)

- 4jähriges Zertifikat: 140,- EUR (+Ust.)

Hardware-Token

Aladdin Cryptotoken mit evaluiertem Signaturbetriebssystem

+ 20,- EUR (+Ust.)

Keine Kosten für Rechnungssignatur, Signaturprüfung oder Widerruf


Entwicklung der elektronischen Rechnung

- Elektronische Rechnungslegung wird 2006/07 im B2B-Bereich Top-Thema bleiben

- Archivierung und Weiterverarbeitung der Rechnunge werden zentrale Themen

- Kunden werden eBilling gegenüber Lieferanten forcieren

- zeitliche Synchronisation von Geschäftsprozessen (TIMESTAMP) wird an Bedeutung gewinnen

eBilling Ausblick


Kontaktinformationen

Vortragender: Hans G. ZegerARGE DATEN - Österreichische Gesellschaft für DatenschutzA-1160 Wien, Redtenbachergasse 20

Tel.: 0676 / 9107032Fax.: 01 / 4803209Mail A-CERT: [email protected] persönlich: [email protected]

Zertifizierung: http://www.a-cert.at

e-commerce: http://www.e-rating.atWWW-Verein: http://www.argedaten.at

alle rechtlich relevanten Dokumente zu eBilling:http://www.a-cert.at/static/a-cert-advanced-praesentation-komplett.pdf


Ich danke für Ihre Aufmerksamkeit

Documents

©ARGE DATEN 2006 A-CERT CERTIFICATION SERVICE 1 A-CERT - fortgeschritten signieren und zertifizieren Hans G. Zeger, ARGE DATEN SAP Wien, 3.10.2006