Digitale Signaturen - auf dem Digitale Signaturen - auf dem Weg zum Durchbruch?Weg zum Durchbruch?

Stefan Kelmkelm@secorvo.de

Secorvo Security Consulting GmbHAlbert-Nestler-Straße 9D-76131 Karlsruhe

Tel. +49 721 6105-500Fax +49 721 6105-455E-Mail info@secorvo.dehttp://www.secorvo.de

© Secorvo

InhaltsübersichtInhaltsübersicht Einleitung, Begriffsbestimmung Aktueller Stand des Signaturgesetzes (Deutschland) Die Entwicklung in Europa Was passiert außerhalb Europas? PKIs in der Praxis Fazit

© Secorvo

EinleitungEinleitung Was sind digitale/elektronische Signaturen ?

elektronisches Pendant zur handschriftlichen Unterschrift meist basierend auf Public Key-Technologie, z.B. RSA schützt damit Integrität und Authentizität der Nachricht z.B. S/MIME- oder PGP-signierte E-Mails

Was sind Zertifikate ? digital signierte Zuordnung eines öffentlichen Schlüssels

(Public Key) zu einer Identität (nach Überprüfung derselben) ausgestellt durch vertrauenswürdigen Dritten (CA, ZS, TC)

Was ist eine Public Key-Infrastruktur (PKI) ? Hierarchie von Zertifizierungsinstanzen

© Secorvo

Public Key-InfrastrukturPublic Key-Infrastruktur

Wurzelzertifizierungsstelle RegTPRegulierungsbehörde fürTelekommunikation und Post

ZertifikatsinhaberPerson 1 Person 2 Person 3

Zertifizierungs-stellen CA 1 CA 2

CA1

Person1•••

•••CA2

Person3•••

•••CA1

Person2•••

•••CA2

Person2•••

•••

RCA

RCA•••

•••

RCA

CA2•••

•••RCA

CA1•••

•••

© Secorvo

SigG: aktueller StandSigG: aktueller Stand Signaturgesetz: in Kraft seit 1.8.1997

„Rahmenbedingungen für elektronische Signaturen“

Bislang drei Zertifizierungsstellen nach SigG „Produktzentrum Telesec“ (Deutsche Telekom, 5.1.1999) „Geschäftsfeld Signtrust“ (Deutsche Post, 3.3.2000) Bundesnotarkammer (Deutsche Post, Januar 2001) ca. 8 weitere seit längerem „in den Startlöchern“

TC Trustcenter, G&D, DIHT, D-Trust, ...

Anwendung des SigG? Bislang kaum Nachfrage nach Zertifikaten, Anwendungen 6.400 Zertifikate für Finanzamt Niedersachsen

Anwendung: Zahlungsanweisungen

© Secorvo

Anpassung der RechtslageAnpassung der Rechtslage Gesetzlage wird derzeit an die 2 wichtigen EU-Richtlinien

angepasst E-Commerce Richtlinie Richtlinie zur elektronischen Signatur

Inkrafttreten: 19.1.2000 Umsetzung in nationales Recht: 19.7.2001

Wichtigste Änderungen an BGB / ZPO §126a BGB: „elektronische Form“ Änderungen an der ZPO: „Beweis des ersten Anscheins“

Zeitplan neues SigG vom Bundestag am 15.02.2001 beschlossen neue SigV wird derzeit erstellt Mai: Inkrafttreten von SigG und SigV? 1.8.2001: Inkrafttreten des BGB-E?

© Secorvo

Europäische EntwicklungEuropäische Entwicklung Probleme bei der Umsetzung

unterschiedlichste Interpretationen der EU-Richtlinie, insb. der mandatorischen Annexe

mangelnde Zusammenarbeit einzelner Arbeitsgruppen sehr unterschiedliche Anforderungen Aufgaben des „Artikel 9-Komitees“ ?

Gegenseitige Anerkennung in Europa? prinzipiell durch die Richtlinie geregelt keine Harmonisierung absehbar Bevorzugung akkreditierter Signaturen problematisch

© Secorvo

Stand in EuropaStand in Europa In einigen Länder sind Signaturgesetze in Kraft

Deutschland, Italien Portugal, Österreich Spanien, Finnland Frankreich, Belgien, UK, Dänemark, Irland, Luxemburg

Andere Länder bereiten Signaturgesetze vor Griechenland Niederlande Schweden Polen

Bislang keine komplette Umsetzung der Richtlinie

© Secorvo

Andere Länder - andere SigGAndere Länder - andere SigG Rest der Welt

USA UETA UCITA Einzelstaaten E-SIGN 2000

Kanada Bill C-54

Australien ETA 1999 GPKA

Singapur ETA 1998

Japan

Internationale Organisationen UNCITRAL

„model law“ „draft rules“

OECD crypto guidelines

ICC Europarat WTO ITU GBO

© Secorvo

PKIs in DeutschlandPKIs in Deutschland

Bayer Bertelsmann BMW Commerzbank DaimlerChrysler Deutsche Bahn Deutsche Bank Dresdner Bank HypoVereinsbank

Mannesmann Siemens Thyssen Volkswagen ...

© Secorvo

„„Make or Buy“ ?Make or Buy“ ? Sicherheit

Durchsetzung eigener Richtlinien

Kontrolle über die Dienstleistung

Spezialisierung Integration in eigenen

Verzeichnisdienst Anpassung von Prozessen

und Arbeitsabläufen geringe Abhängigkeit

Kosteneinsparung kurze Wege zur

Registrierungsstelle

Skalierung Anpassung der

Dienstleistung bei Bedarf externes Risiko geringe Kosten bei kleinen

Zertifikatszahlen (<10.000) Verfügbarkeit

hohe Verfügbarkeit garantiert zügiger Auf- und Abbau

Erfahrung Rückgriff auf eingespielte,

optimierte Prozesse Erfahrungen aus

unterschiedlichen Projekten

© Secorvo

Trust Center in DeutschlandTrust Center in Deutschland TeleSec (Deutsche Telekom AG) SignTrust (Deutsche Post AG) TC Trustcenter (Hamburg) TeleCash (Stuttgart) CCI (Meppen) Datev D-Trust (Berlin) Identrus

Öffentliche PKI-Projekte: DFN-PCA (Hamburg) ! IVBB („Sphinx“)

© Secorvo

Signaturgesetzkonforme Signaturgesetzkonforme PKI?PKI? Geringe Flexibilität SigG-konformer PKIs

Keine Cross-Zertifizierung möglich Keine eigene PKI-Hierarchie konstruierbar Erhebliche Einschränkungen im Naming

Rechtslage „instabil“ Anpassung des Signaturgesetzes und der nachgeordneten

Dokumente (SigV, etc.) an EU-Richtlinie in Arbeit Anerkennung Digitaler Signaturen nach SigG vor Gericht als

Beweismittel ist nicht garantiert Anerkennung im Ausland unklar

Hohe Kosten für Realisierung (Faktor 2-5) Für fast alle Anwendungen ist SigG irrelevant !

© Secorvo

FazitFazit Aufbau von PKIs insbesondere in Groß-

unternehmen in vollem Gange “Killer-Applikation”: E-Mail-Sicherheit Großes Angebot interoperabler und

benutzerfreundlicher PKI-Komponenten SigG-Konformität keine Bedingung Registrierungsprozeß ist zentraler Kostenfaktor Naming und Integration in Verzeichnisdienst häufig

aufwendig Organisatorischer Aufwand wird oft unterschätzt

© Secorvo

LinksLinks Informationen zu Signaturgesetz und EU-Richtlinie:

http://www.pca.dfn.de/dfnpca/sigg.html

„The PKI page“:

http://www.pki-page.org/

Secorvo Security Consulting GmbHAlbert-Nestler-Straße 9D-76131 Karlsruhe

Tel. +49 721 6105-500Fax +49 721 6105-455E-Mail info@secorvo.dehttp://www.secorvo.de