1 / 32

Digitale Signatur - Bürgerkarte Hans G. Zeger, ARGE DATEN Gratkorn, GPA 25.11.2003

Digitale Signatur - Bürgerkarte Hans G. Zeger, ARGE DATEN Gratkorn, GPA 25.11.2003. Die ARGE DATEN als PRIVACY-Organisation. Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: 30-45.000 Besucher/Monat - Newsletter: 3.500 Abonnenten

oliver-livingston
Télécharger la présentation

Digitale Signatur - Bürgerkarte Hans G. Zeger, ARGE DATEN Gratkorn, GPA 25.11.2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Digitale Signatur - Bürgerkarte Hans G. Zeger, ARGE DATEN Gratkorn, GPA 25.11.2003 ARGE DATEN

  2. Die ARGE DATEN als PRIVACY-Organisation • Aktivitäten der ARGE DATEN • Öffentlichkeitsarbeit, Informationsdienst: • - Web-Service: 30-45.000 Besucher/Monat • - Newsletter: 3.500 Abonnenten • - 2003: rund 350 Medienanfragen/-publikationen • Rechtsschutz, PRIVACY-Services • - 2003: 60 betreute Fälle • Durchführung von Studienprojekten • Mitgliederbetreuung bei individuelleninformationsrechtlichen Fragen • - 2003: ca. 600 Anfragen • Signatur- und Zertifizierungsservice seit 1996 ARGE DATEN

  3. Privatsphäre muß auch im Zeitalter globaler Vernetzung ein Recht für alle bleiben. ARGE DATEN

  4. Problemstellung Auswirkungen und Handlungsbedarf Technik digitale Signatur natürliche vs. digitale Signatur rechtliche Regelungen Signatur - Zertifikat - Chipcard Spezialgebiete ARGE DATEN

  5. Problemstellung • Vertrags- und Formfreiheit in Österreich • [Ausnahmen: Ehe-/ Familienrecht, ...] • Sonderstellung der eigenhändigen Unterschrift • Unterschiede im elektronischen Rechtsverkehr • - Örtliche Trennung der Rechtsteilnehmer • - Nicht Gleichzeitigkeit des Geschäftsabschlusses • - fehlender materieller Träger • - Notwendigkeit technischer Mittel für Rechtsabschluss und die Einschaltung von Dienstleistern (Beglaubigungsstellen, Zustelldienste, Prüfstellen, ...) • - mangelnde Durchschaubarkeit für Teilnehmer ARGE DATEN

  6. Problemstellung • Ziel(e) digitaler Signatur • - Nicht Bestreitbarkeit eines Rechtsvorgangs • - Vermeidung von Medienbrüchen • - weitesgehend automatisierte Abwicklung (Bestellungen, Sachbearbeitung, ...) • - Nachweisbarkeit der Durchführung / Zustellung / Hinterlegung ARGE DATEN

  7. Technik digitale Signatur • Technische Beschreibung • Schritt I: Hashverfahren • Schritt II: Personenbindung • Schritt III: Verifikation • Digitale Signatur ist nicht mit Verschlüsselung zu verwechseln! ARGE DATEN

  8. Technik digitale Signatur • technischer Ablauf - Schritt I • Hashverfahren • Aus einem digitalen String (z.B. Vertragstext) wird ein Hashcode "Fingerprint" generiert • - Typische Techniken: SAH1, RIPEMD-160, MD5, ....) • - Typische Länge: 40 Byte und mehr • - kleine Änderungen im Text sollen starke Änderungen im Hashcode bewirken • Einsatzgebiete • - Sicherung der Authentizität eines Dokuments • - Änderungskontrolle • Einsatz nicht notwendigerweise personenbezogen! ARGE DATEN

  9. Technik digitale Signatur Beispiel ARGE DATEN

  10. Technik digitale Signatur • Probleme bei Hash-Erzeugung • - Sicherheit des Hash-Verfahrens • - Authentizität des Dokuments • - Beweisbarkeit des Zeitpunkts der Dokumentenprüfung • - Durchschaubarkeit des unterschriebenen digitalen Textes • - Empfindlich gegenüber Medienwechsel / Programmwechsel / Darstellungswechsel • - ein sicherer Hash-Code ist nicht merkbar (Länge und Aufbau) ARGE DATEN

  11. Technik digitale Signatur • technischer Ablauf - Schritt II • Personenbindung • Hashcode wird mit persönlichem Code ("privater Schlüssel") verknüpft • - Methode: asymetrische Verschlüsselung • - Typische Techniken: RSA (eingesetzt in Programmen wie PGP, sMIME, ...), DSA ARGE DATEN

  12. Technik digitale Signatur Beispiel ARGE DATEN

  13. Technik digitale Signatur • Probleme bei Personenbindung • - Sicherstellung der Identität des Unterzeichners • - Sicherstellung der Willenserklärung • - Keine Nachahmbarkeit/Verfälschbarkeit des Schlüssels • Personenbindung wird praktisch immer durch Kombination von Besitz und Wissen erreicht ARGE DATEN

  14. Technik digitale Signatur • technischer Ablauf - Schritt III • Verifikation (Übermittlung / Prüfung) • Originaltext und Anhang werden gemeinsam (oder auch getrennt) übermittelt • - öffentliche Schlüssel zur Prüfung notwendig • - öffentliche (sekundenaktuell) geführte Vrezeichnisse notwendig • - vertrauenswürdige Bestätigungsstellen notwendig • - einheitlicher Zeitstandard notwendig ARGE DATEN

  15. Technik digitale Signatur Beispiel Zertifikat Beispiel öffentlicher Schlüssel ARGE DATEN

  16. Technik digitale Signatur • Probleme bei Prüfung • - Durchschaubarkeit der Authentisierung • - Zuverlässigkeit des Betreibers öffentlicher Verzeichnisse • Authentisierungsstelle und Verzeichnisverwalter müssen nicht ident sein! ARGE DATEN

  17. digitale Signatur - Grundlagen • Grundsätzliche Unterschiede digitaler/natürlicher Signatur • - keine unmittelbare Einsichtigkeit (technische Vermittlung) • - Ablaufdatum • - Abhängigkeit von technicher Infrastruktur Dritter • digitale Unterschriften werden niemals persönlichen Unterschriften gleichzusetzen sein ARGE DATEN

  18. digitale Signatur - Umsetzung • Realisierung digitale Signatur • Variante A: • - Entwicklung kompletter, geschlossener Systeme, bei denen Textgenerierung, Signatur, Übertragung, Empfang, Anzeige und Prüfung mit einem einheitlichen System erfolgt • Variante B: • - Verwendung von gemeinsamen technischen Spezifikationen und Standards (Beispiel: Bürgerkarte) • Neue Gefahr(en): Überwachung und Monopolisierung durch wenige Anbieter ARGE DATEN

  19. digitale Signatur - Typisierung • Unterschiedliche Signaturarten • (1) Gewöhnliche digitale Signaturen • (2) Sichere digitale Signaturen • (3) Verwaltungssignaturen • (4) sonstige Bestätigungsverfahren • Unterschiedliche Zertifikats-Typen • (1) persönliche Zertifikate • - gewöhnliche Zertifikate (Signatur verwenden Menschen und Geräte) • - qualifizierte Zertifikate (nur Menschen dürfen Sitgnatur benutzen) • (2) technische Zertifikate • - Serverzertifikate (Geräte benutzen Sitgnatur, z.B. SSL-Verbindungen • - Zeitzertifikate (Geräte benutzen Sitgnatur) ARGE DATEN

  20. Chipkarte und digitale Signatur • Chipkarte und Signatur • - e-government / e-commerce-Lösungen benötigen weder Signaturverfahren und Zertifizierungen, noch Chipkartenlösungen • PIN/TAN-Lösungen wie im Telebanking mit mehr als 1,5 Millionen Anwendungen sind auch ausreichend • - Signaturverfahren benötigen weder Zertifizierungen, noch Chipkarten • - die technischen Verfahren haben Vor- aber auch Nachteile • Die in der Öffentlichkeit präsentierten Junktimierungen haben (auch) ihre Basis in partiellen wirtschaftlichen Interessen ARGE DATEN

  21. Chipkarte und digitale Signatur • Drei potentielle Aufgaben von Chipkarten • - Identifikation • Ein elektronisches Zertifikat, dass den Inhaber der Chipkarte als bestimmte Persondefiniert. • - Authorisierung • Codierte Informationen, meist Nummern/Kennzeichen, die den Inhaber der Chipkarte als Leistungsberechtigten ausweist (Kopierkarte, Bankomatkarte, Zutrittskarte, Fahrschein, Kundenkarten, ...) • - Informationsträger • Die Chipkarte enthält Informationen zu einer Person • Protokollfunktion impliziert Eignung zur Überwachung ARGE DATEN

  22. Chipkarte und digitale Signatur Problemkreis e-card (SV-Karte) Ist grundsätzlich ein Leistungs-Berechtungsnachweis, der an eine Person gebunden ist (im Gegensatz zu vielen anderen Karten, inkl. Bankomatkarte) Die Identifikation (etwa beim Arzt) erfolgt durch Parallelstrukturen bzw. ist noch nicht geklärt. ARGE DATEN

  23. Technik digitale Signatur • Konzept der Bürgerkarte[nfunktion] • Ein "orwellsches" Kunstwort, besser: Personenidentifikationsstandard • - technische Personenbindung ist zentraler Teil des Konzepts • - Integration der Funktionen (Identifikation, Authorisierung und Informationsträger) für unbestimmte Zahl von Verwaltungs- und Geschäftsfällen • keine praktischen technischen Realisierungen vorhanden • - OCG-Ausweis • - a-trust-Zertifikat • Der Kartenbesitzer IST die auf der Karte registrierte Person ARGE DATEN

  24. e-government und digitale Signatur • Geplantes e-government-Gesetz I • Was regelt es? • - eindeutige Identifikation der Bürger • - Vergabe von Stammzahlen auf Grund der ZMR-Zahl • - Generieren von Bereichskennzahlen • - Zugriff der Unternehmen auf ZMR • - Zustellung elektronischer Unterlagen • e-government-Gesetz erster Schritt • - Einführung eines zentralen Namens- und Dokumentenregisters geplant • Gesetz eigentlich ein Bürgerkennzeichnungsgesetz ARGE DATEN

  25. e-government und digitale Signatur • Geplantes e-government-Gesetz II • Worin bestehen die Probleme des Entwurfs? • - finanzielle Benachteiligung des persönlichen Amtsbesuchs • - Unternehmen erhalten direkten Zugriff auf ZMR-Daten • - fehlende Kosten- und Risikoanalysen • - bisherige Signatur-Standards werden unterschritten • - Bereichskonzept in sich unlogisch, besondere Rolle des Bereichskennzeichen "Zustellung" • - Kontrollbehörde wird gleichzeitig Durchführungsbehörde (DSK) • - Zustellanbieter erhalten Einblick in Behördenkontakte (nicht Inhalte) • Details www.argedaten.at/news/20030915.html ARGE DATEN

  26. e-government und digitale Signatur • Geplantes e-government-Gesetz III • Was regelt es nicht? • - Kompetenzverteilungen und Verwaltungsvereinfachung • - e-government auf Länder- und Gemeindeebene • - Definition der "Bereiche" • - Kommunikation der Behörden untereinander • - Zeitplan/Reihenfolge, welche Amtswege tatsächlich elektronisch angeboten werden • - kein Rechtsanspruch auf elektronische Erledigung • - Zulassungsverfahren der Verwaltungssignatur (nur Empfehlungen) • Was könnte e-government bewirken? ARGE DATEN

  27. e-government und digitale Signatur • Probleme des derzeitigen e-Government-Konzeptes • - Behinderung des Zugangs zu Behörden, Märkten und Informationen aufgrund technischer und formaler Rahmenbedingungen • - Grundsätzliche Undurchschaubarkeit des Systems • - Verlust der Rollen-Autonomie • - System ist technisch und administrativ extrem aufwändig • Droht bei e-government das nächste "MUPID"-Desaster? ARGE DATEN

  28. digitale Signatur und Betrieb • Betriebliche Konsequenzen • Verschiedene Einsatzbereiche von Signaturverfahren • - hausinterne Kommunikation (Geschäftsführung/Mitarbeiter, Mitarbeiter untereinander) • - langfristige Beweissicherung (Archivierung) • - Gegenüber Kunden • - Gegenüber Lieferanten • Änderungen gegenüber heutigen Arbeitsabläufen • Strategien • - defensive Strategien: Betriebsvereinbarungen • - offensive Strategien: verstärkte Förderung von und Forderung nach verträglichen Systemen, Diskussion zu den Grenzen der Rationalisierung ARGE DATEN

  29. elektronischer Rechtsverkehr • Perspektive • - derzeitige e-government-Strategie zu kompliziert und undurchschaubar • - enorme Akzeptanzprobleme, wird nicht freiwillig angenommen werden, "nicht marktfähig" • - kann nur durch Zwangsmaßnahmen im Behördenbereich durchgesetzt werden • - bisherige Zertifikatsanbieter hatten hohe Investitionen ohne echten ROI • - Österreichs e-government-Weg ist eine klassische Sackgasse • Warten auf internationale Vorgaben? ARGE DATEN

  30. rechtliche Grundlagen digitale Signatur • Geltende rechtliche Regelungen • (1) Gesetz zur digitalen Signatur (1.1.2000) • (2) Signatur-Verordnung (2.2.2000) • (3) EU-Richtlinie zur digitalen Signatur (13.12.1999) • (4) e-government-Gesetz (Regierungsvorlage, Stand: 24.11.2003) • Derzeit 6 Zertifikatsanbieter • aktuelle Liste unter www.signatur.rtr.at/de/providers/services.html ARGE DATEN

  31. Weitere Informationen • Links- und Informationen zu e-government • Beispiele zu e-government • - www.wko.at/wp/extra/e-government/e-government_2.htm • Zulassungsstelle A-SIT Zentrum f. sichere Informationstechnologie • Aufsichtsstelle RUNDFUNK UND TELEKOM REGULIERUNGS-GMBH (RTR-GMBH) • Bundeskanzleramt • Anbieterinformationen • - www.a-cert.at (ARGE DATEN) • - www.a-trust.at (A-TRUST/A-SIGN/Telekom Austria) ARGE DATEN

  32. Ich danke für Ihre Aufmerksamkeit ARGE DATEN

More Related