1 / 52

ECM – Enterprise Content Management

ECM – Enterprise Content Management. Konzepte und Techniken rund um Dokumente. 2009 / 1. Auflage. Kapitel 4 / Deliver - Digitale Signatur. Weiteres Zusatzmaterial. Cryptool mit Simulationen zu allen Aspekten der Verschlüsselung und deren Verfahren. Agenda. Qualität/Anforderungen

vondra
Télécharger la présentation

ECM – Enterprise Content Management

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ECM – Enterprise Content Management Konzepte und Techniken rund um Dokumente 2009 / 1. Auflage Kapitel 4 / Deliver - Digitale Signatur

  2. Weiteres Zusatzmaterial • Cryptool mit Simulationen zu allen Aspekten der Verschlüsselung und deren Verfahren

  3. Agenda Qualität/Anforderungen Definition/Rechtliche Rahmenbedingungen Verfahren Sicherheit

  4. Unterschrift - Merkmale • Gegenstück zur handgeschriebenen Signatur • Bestätigung des Unterzeichnenden, sich des Inhalts des Schriftstückes bewusst zu sein • Leser stellt damit Authentizität und Verbindlichkeit fest

  5. Qualität der Unterschrift • Die angegebene Identität wird durch die Unterschrift authentisch • Der Signierende muss durch eine Aktion (nämlich die Unterschriftbildung) seinen Willen bekräftigen • Der Signierende bestätigt durch seine Unterschrift objektivden Gegenstand dessen, was unterschrieben werden soll, und zwar durch die Position, an der die Unterschrift angebracht wird • Der Signierende bestätigt durch seine Unterschrift subjektiv(also durch seine Interpretation des Inhaltes) die Integrität dessen, was er nach 3. unterschreibt.

  6. Prüfung der Unterschrift • Die beteiligten Identitäten werden erkannt • Die Unterschrift kann auf Echtheit und damit die Authentizität überprüft werden, da sie individuell ist • Die vom Unterzeichner geleistete Unterschrift kann nicht geleugnet werden • Der Inhalt kann auf Integrität (z. B. nachträgliche Änderungen) überprüft werden • Es kann festgestellt werden, ob das Originaldokument oder eine Kopie vorliegt.

  7. E-Commerce - Anforderungen • Zwei wesentliche Anforderungen werden an die übertragenen Informationen im Bereich des E-Commerce gestellt: • Der Empfänger der Daten muss zweifelsfrei feststellen können, wer der Absender ist – Authentizität und Nichtabstreitbarkeit • Es muss ausgeschlossen sein, dass die Daten durch die Beteiligten oder durch Dritte unbemerkt manipuliert oder verfälscht werden - Integrität

  8. Elektronische Signatur als Mittel Die Anforderungen können durch die elektronische Signatur erfüllt werden: • Identifikation des Absenders durch eine sichere Zuordnung der eingesetzten kryptographischen Schlüssel zum Kommunikationspartner • Sicherung der Integrität der Daten, d.h. jede Manipulation oder Verfälschung an den Originaldaten ist für den Empfänger sofort erkennbar • Festhalten eines Zeitpunktes durch Zeitstempel, wann Informationen in einer bestimmten Form vorgelegen haben • Vermittlung einer Willenserklärung

  9. Beschränkung elektronischer Signaturen • Elektronische Signaturen schützen nicht davor, dass Unbefugte Einblick in die Daten erhalten • Bei vertraulichen Daten ist daher der Einsatz einer Verschlüsselung unerlässlich

  10. Anwendung • Mit der qualifizierten elektronischen Signatur können Freigabeprozesse in einem Workflow unterstützt werden, so dass sich nachträglich rechtssicher nachweisen lässt, welcher Mitarbeiter welchen Schritt autorisiert oder welches Dokument verfasst hat.

  11. Signaturen vs. Zeitstempel Quelle: AuthentiDate

  12. Agenda Qualität Definition/Rechtliche Rahmenbedingungen Verfahren Sicherheit

  13. Digitale Signatur - Ziel Die digitale Signatur stellt die Integrität der Daten und die Echtheit ihrer Herkunft sicher.

  14. Digitale Signatur - Einordnung Die digitale Signatur ist eine „qualifizierte“ elektronische Signatur, die mit Hilfe von kryptographischen Verfahren arbeitet.

  15. Digitale Signatur - Definition Die digitale Signatur ist eine „qualifizierte elektronische Signatur“, die aufgrund technisch entwickelter Verfahren und rechtlich gesetzten Rahmenbedingungen äquivalent zur eigenhändigen Unterschrift verwendet werden kann.

  16. Ausprägungen elektronischer Signaturen

  17. Ausprägungen cont. • Es existieren drei Formen der elektronischen Signatur, die unterschiedliche Sicherheitsniveaus verkörpern: • Einfache elektronische Signatur • Fortgeschrittene elektronische Signatur • Qualifizierte elektronische Signatur

  18. Einfache elektronische Signatur • Die einfache elektronische Signatur dient dazu, den Urheber einer elektronischen Nachricht zu kennzeichnen, z.B. durch das Speichern einer gescannten Unterschrift. • Hierfür sind keine Anforderungen bezüglich der Sicherheit oder der Fälschungssicherheit definiert • Diese Signaturen haben folglich nur einen sehr geringen Beweiswert. • Das Signaturgesetz stellt keine Anforderungen an die Fälschungssicherheit

  19. Fortgeschrittene elektronische Signatur • Diese Form muss eine Manipulation der Daten erkennbar machen, sich eindeutig einer natürlichen Person durch ein elektronisches Zertifikat zuordnen lassen, mit den Daten auf die sie sich bezieht derart verknüpft sein, dass eine nachträgliche Änderung erkannt wird und es ermöglichen, dass nur diese Person die Mittel zur Signaturerzeugung unter alleiniger Kontrolle hat. • Die Sicherheit hängt von dem verwendeten Signaturverfahren und der Sorgfalt der Anwender bei der Signaturerstellung ab. • Für diese Form ist daher ein Schlüssel zwingend vorgeschrieben. Dieser ist jedoch nicht persönlich zugeordnet und auch kein Eigentum, sondern nur im Besitz. Der Unterzeichner muss im Zeitpunkt der Signierung nur im Besitz des Schlüssels sein.

  20. Qualifizierte elektronische Signatur • Bei dieser höchsten Sicherheitsstufe der elektronischen Signatur wird die Signatur ihrem Urheber über ein qualifiziertes Zertifikat zugeordnet. • Dieses Zertifikat, das von einem vertrauenswürdigen Diensteanbieter signiert wird, dokumentiert die Zusammengehörigkeit von dem öffentlich bekannten Signaturprüfschlüssel, der zur Prüfung der Signatur verwendet wird und der Identität des Signaturschlüsselinhabers • Der Diensteanbieter garantiert, dass die Angaben im qualifizierten Zertifikat korrekt sind und er die Anforderungen gemäß Signaturgesetz und Signaturverordnung erfüllt • Diese Form ist wegen ihres hohen Sicherheitsniveaus in der Regel der handschriftlichen Unterschrift gleichgestellt und kann grundsätzlich im Rechtsverkehr eingesetzt werden

  21. Zusammenfassung - Signaturarten Quelle: AuthentiDate

  22. Gesetzlicher Rahmen • Signaturgesetz (SigG) • Signaturverordnung (SigV) • Europäischen Rahmenbedingungen (EU-Richtlinien) • Weitere nationale Rechtsvorschriften

  23. präzisiert Anhänge [2003/511/EG] definiert Rahmenbedingungen führt ein löst ab löst ab ändert präzisiert präzisiert ändert Gesetze Europäische Rahmen- bedingungen [1999/93/EG] [IuKDG] Signatur- gesetzgebung [SigG97] [SigG01] [SigV97] [SigV01] [SigGÄndG] [JKomG] [FormAnpG] [VerwVfÄndG] Elektronische Rechtsverkehr ändert u.a. ändertu.a. [BGB] [VerwVfÄndG] [ZPO] [ZPO] 2005 1995 2000

  24. Gesetzliche Grundlagen • Die maßgeblichen Vorschriften zur Einführung der Elektronischen Signatur wurden in einem gesonderten Signaturgesetz (SigG) festgeschrieben und in der Signaturverordnung (SigV) explizit erläutert. • Das Formanpassungsgesetz regelt die Gültigkeit elektronischer Signaturen im herkömmlichen Rechtsverkehr, indem das Bürgerliche Gesetzbuch an den entsprechenden Stellen angepasst wird. • Die Kommunikation und der elektronische Geschäftsverkehr innerhalb der EU wurden oft durch unterschiedliche rechtliche Regelungen zur Anerkennung elektronischer Signaturen kompliziert. • Um diese Schranken aus dem Weg zu räumen, hat das Europäische Parlament zusammen mit dem Rat der EU am 19. Januar 2000 eine vereinheitlichende Richtlinie veröffentlicht.

  25. SigG • Abschnitt allgemeine Bedingungen • Zweck und Anwendungsbereich • Begriffsbestimmungen • Zuständige Behörde

  26. SigG cont Abschnitt Zertifizierungsdienstanbieter Allgemeinen Anforderungen Unterrichtspflicht Inhalt von qualifizierten Zertifikaten Sperrung von qualifizierten Zertifikaten Dokumentation Haftung Deckungsvorsorge Einstellung der Tätigkeit Datenschutz

  27. SigG cont Freiwilligen Akkreditierung Von Zertifizierungsdienstanbietern Zertifikate der zuständigen Behörde Technische Sicherheit Produkte für qualifizierte elektronische Signaturen Anerkennung für Prüf- und Bestätigungsstellen 5.Aufsicht Aufsichtsmaßnahmen Mitwirkungspflicht

  28. SigG cont 6. Schlussbestimmungen Bußgeldvorschriften Kosten und Beiträge Ausländische elektronische Signaturen und Produkte für elektronische Signaturen Rechtsverordnung Übergangsvorschriften

  29. Agenda Qualität Definition/Rechtliche Rahmenbedingungen Verfahren Sicherheit

  30. Signatur-Management Quelle: AuthentiDate

  31. Kryptographie Fortgeschrittene und qualifizierte elektronische Signaturen verwenden kryptographische Verfahren zum Verschlüsseln. Die Kryptographie bezeichnet die Anwendung mathematischer Algorithmen zur Ver- und Entschlüsselung elektronischer Daten beim Senden und Empfangen. Dadurch sollen die Forderungen nach Vertraulichkeit, Unversehrtheit und Authentizität erfüllt werden.

  32. Verschlüsselungsverfahren symmetrisch Sender und Empfänger benutzen den gleichen Schlüssel zum Ver- und Entschlüsseln. Damit besteht kein Nachweis, wer von den beiden die Unterschrift geleistet hat Kryptographie asymmetrisch Sender und Empfänger benutzen unterschiedliche Schlüssel.

  33. Asymmetrisches Verfahren • Verwendung eines asymmetrischen Verfahrens mit öffentlichem und privatem Schlüssel • Mit dem privaten Schlüssel - und nur mit diesem – kann eine digitale Signatur erzeugt und mit dem zugehörigen öffentlichen Schlüssel - und nur mit diesem – verifiziert werden • Zur Sicherstellung der Authentizität des öffentlichen Schlüssels bedarf es einer Sicherheitsinfrastruktur • Die Sicherheitsinfrastruktur (vertrauenswürdiger Dritter) bestätigt durch ein Zertifikatdie Zuordnung einer Person zum öffentlichen Schlüssel

  34. Voraussetzungen - Überblick • Der private Schlüssel wird zur Signaturerzeugung verwendet und vom Signaturersteller geheim gehalten • Der andere Schlüssel wird als öffentlicher Schlüssel allen Kommunikationspartnern zur Verfügung gestellt und dient zur Überprüfung der Signatur • Die Veröffentlichung der öffentlichen Schlüssel übernimmt der Diensteanbieter

  35. Voraussetzung - Asymmetrisches Verfahren Quelle: A. Reisen, BSI

  36. Voraussetzung - Hash-Funktion • H ist eine öffentlich bekannte Einwegfunktion • H ist kollisionsresistent (d.h. es ist praktisch unmöglich, systematisch eine Nachricht m´ zu finden, die denselben Hashwert h=H(m´) ergibt). Wäre diese Eigenschaft verletzt, ließen sich signierte Dokumente fälschen. • m kann beliebig lang sein, h hat eine feste Länge, z.B. 160 Bit • Die Berechnung des Funktionswertes h ist einfach

  37. Ablauf der digitalen Signatur graphisch

  38. Ablauf der digitalen Signatur verbal • Der Sender komprimiert die Datei und erzeugt einen Hash-Wert. Dabei wird die Datei verkleinert, um den Rechenaufwand für die eigentliche Signatur zu minimieren. • Der Sender wendet auf diesen Hash-Wert seinen privaten Schlüssel an und erzeugt so die digitale Signatur. • Die unverschlüsselte Datei und die digitale Signatur werden an den Empfänger gesandt – gemeinsam mit den für die Überprüfung der Signatur notwendigen Informationen. • Der Empfänger wendet auf die unverschlüsselte Datei zunächst dasselbe Komprimierungsverfahren an wie der Sender.

  39. Signaturprüfung • Empfänger berechnet aus dem erhaltenen Dokument (ohne die digitale Signatur) den Hashwert neu • Vergleich des erhaltenen entschlüsselten Hashwertes mit dem neu berechneten • Wurden die Daten verändert (Integritätsverlust) oder ein falscher oder ungültiger öffentlicher Schlüssel (Authentizitätsverlust) verwendet, so fällt diese Überprüfung negativ aus.

  40. Anwendung der digitalen Signatur - Rechnung • Hauptanwendungsgebiet der digitalen Signatur im Bereich des elektronischen Datenaustauschs ist die Rechnungsstellung, da durch Einsatz der Signatur auf zusätzliche Papierdokumente verzichtet werden kann. • Die Übermittlung von elektronischen Rechnungen mittels EDI und WebEDI gehört zu den Standardanwendungen in der Konsumgüterwirtschaft. • Grundsätzlich gibt es hier zwei Verfahren: • Elektronische Rechnung in Verbindung mit papierbasierter Sammelabrechnung • Elektronische Rechnung in Verbindung mit qualifizierter elektronischer Signatur • Das derzeit übliche Verfahren ist die Nutzung der Sammelabrechnung im Rahmen der Rechnungsdatenübertragung.

  41. Sammelabrechnung • In der Sammelabrechnung werden die Rechnungsentgelte und Steuerbeträge für die Umsätze eines Übertragungszeitraums (i. d. R. wöchentlich) in Summen zusammengefasst. • Soweit die vom Umsatzsteuergesetz (UStG) verlangten Rechnungsangaben nicht in der Sammelabrechnung enthalten sind, werden sie in den elektronischen Rechnungen (INVOIC) und den Lieferavisen (DESADV) aufgeführt. • Eine Sammelabrechnung ist ein Papierdokument, das beim elektronischen Rechnungsdatenaustausch die Dokumentenfunktion im Sinne des UStG übernimmt.

  42. Beispiel – Bedeutung für Rechnung • Der Einsatz der Signatur erlaubt den vollständigen Verzicht auf Papierbelege. • Bei elektronischen Rechnungen, die nicht im EDI- oder WebEDI-Verfahren – zum Beispiel per eMail – abgewickelt werden, ist die digitale Signatur Pflicht.

  43. Agenda Qualität Definition/Rechtliche Rahmenbedingungen Verfahren Sicherheit

  44. Sicherheitsanforderungen • Einfache elektronische Signatur- Keine Sicherheitsanforderungen • Fortgeschrittene elektronische Signatur-Zuordnung an den Signaturschlüsselinhaber- Signatur muss ausschließlich ihn identifizieren- Signatur muss durch Mittel erzeugt werden, die nur ihm zugänglich sind- Verknüpfung der von ihm genutzten Daten, die jede Veränderung sofort anzeigen

  45. Sicherheitsanforderungen 3.Qualifizierte elektronische Signatur (Digitale Signatur)- Verwendung eines qualifizierten Zertifikats für asymmetrische Schlüsselpaare- Sicherheitsmaßnahmen bei der Erzeugung, Speicherung und Verwendung der Schlüsselpaare -> Sicherheitskonzept- Verwendung des privaten Schlüssels zur Verschlüsselung des Hashwertes in einem verkapselten Bereich z.B. Chipkarte Akkreditierter Anbieter Nicht akkreditierter Anbieter

  46. Zertifizierungsstelle • Aufgabe dieser Instanz ist die Beglaubigung, dass der publizierte öffentliche Schlüssel dem angegebenen Inhaber gehört. • Diese Bestätigung erfolgt durch ein digitales Zertifikat. • Neben der Vergabe von Zertifikaten gehört auch das Publizieren und das Sperren ungültiger Zertifikate zu den Kernaufgaben dieser Instanz

  47. Typen von Zertifizierungsstellen • freiwillig akkreditierteundangemeldete Zertifizierungsstellen • Beide vergeben qualifizierte Zertifikate nach den Anforderungen der Signaturrichtlinie mit dem Unterschied, dass die freiwillig akkreditierte Zertifizierungsstelle von der Aufsichtsbehörde geprüft ist und die angemeldete Zertifizierungsstelle nur angemeldet ist. • Die ausgestellten Signaturen unterscheiden sich in einem wesentlichen Punkt: • die Qualität der elektronischen Signaturen der angemeldeten Zertifizierungsstelle beruht auf Erklärungen der Unternehmen, die die dafür benötigten Produkte und Dienstleistungen anbieten, während die Signaturen der freiwillig akkreditierten Zertifizierungsstelle durch unabhängige Dritte geprüft, bestätigt und dokumentiert sind.

  48. Zertifikat • Um ein Zertifikat zu erhalten, muss der Antragsteller sich bei einer behördlich genehmigten Zertifizierungsstelle ausweisen und einen schriftlichen Antrag einreichen. Vertretungsrechte, Vollmachten und berufsrechtliche Zulassungen können in einem zusätzlichen Attribut-Zertifikat aufgenommen werden. • Mit einem Zeitstempel bescheinigt die Zertifizierungsstelle, dass ihr bestimmte Daten zu einem bestimmten Zeitpunkt vorgelegen haben. Damit wird ein Vor- oder Rückdatieren verhindert, was im Streitfall beweiserheblich ist.

  49. Zertifikat - Aufbau

  50. Zertifikat - Beispiel

More Related