NPA: Signaturfunktion

From
Revision as of 12:32, 5 October 2010 by Grunewal (talk | contribs)
Jump to navigation Jump to search

Signatrufunktion des künftigen Personalausweises

Einleitung

Der neue Personalausweis enthält die Möglichkeit, ihn für eine qualifizierte elektronische Signatur (QES) zu verwenden, wofür er vor der Schlüsselerzeugung und der Speicherung eines Zertifikats eines entsprechenden Diensteanbieters (ZDA) dafür vorbereitet werden muss: es muss die sogenannte eSign-PIN gesetzt werden. Dies soll medienbruchfrei geschehen, also komplett online über einen PC möglich sein. Im Security Workshop sollten die rechtlichen und technischen Grundlagen bzw. Richtlinien hierfür betrachtet werden und im Rahmen des Anwendungstests der Vorgang des Aktivierens der Signaturfunktion ausprobiert werden.

Rechtliche Grundlagen

Als rechtliche Grundlagen sind vor allem das Signaturgesetz, die Signaturverordnung und das Personalausweisgesetz ausschlaggebend.

Das Signaturgesetz legt unter anderem fest, was unter qualifizierten elektronischen Signaturen zu verstehen ist, nämlich:

  • Daten in elektronischer Form, die mit anderen elektronischen Daten so verknüpft sind, dass eine nachträgliche Änderung der Daten erkannt werden kann,
  • die ausschließlich dem Signaturschlüsselinhaber zugeordnet sind und
  • die Identifizierung desselben ermöglichen,
  • die mit Mitteln erzeugt werden, die der Signaturschlüsselinhaber unter seiner alleinigen Kontrolle halten kann und
  • auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen,
  • und mit einer sicheren Signaturerstellungseinheit (SSEE) erzeugt werden.

nach § 2 SigG

Der neue Personalausweis muss für eine QES also einen Signaturschlüssel gespeichert haben, als auch ein Zertifikat besitzen. Dieses wird von ZDAs angeboten, die eine entsprechende Möglichkeit für den nPA bereitstellen müssen. So muss ein ZDA nach § 5 des SigG Personen, die ein Zertifikat beantragen, zuverlässig zu identifizieren, und die Zuordnung eines Signaturprüfschlüssels zu einer identifizierten Person durch ein qualifiziertes Zertifikat zu bestätigen. Diese Zertifizierungsdiensteanbieter können sich von der zuständigen Behörde für diesen Dienst akkreditieren lassen, dies ist jedoch freiwillig.
Da das Signaturgesetz nur einen rechtlichen Rahmen für Signaturen allgemein bereitstellt, fehlen Angaben über das genaue Wie der einzelnen Vorgänge. So heißt es bspw. in Satz 4 von § 5 des Signaturgesetzes:
"Der Zertifizierungsdiensteanbieter hat Vorkehrungen zu treffen, damit Daten für qualifizierte Zertifikate nicht unbemerkt gefälscht oder verfälscht werden können. Er hat weiter Vorkehrungen zu treffen, um die Geheimhaltung der Signaturschlüssel zu gewährleisten. Eine Speicherung von Signaturschlüsseln außerhalb der sicheren Signaturerstellungseinheit ist unzulässig."

Die Signaturverordnung ist eine Ergänzung zum Signaturgesetz und führt Einzelregelungen und Anforderungen auf.
So wird auch § 5 des SigG ein wenig konkretisiert. In Satz 2 von § 5 des SigV heißt es:
"Der Zertifizierungsdiensteanbieter hat von ihm bereitgestellte Signaturschlüssel und Identifikationsdaten dem Signaturschlüssel-Inhaber auf der sicheren Signaturerstellungseinheit persönlich zu übergeben und die Übergabe von diesem schriftlich oder als mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehenes elektronisches Dokument bestätigen zu lassen, es sei denn, es wird eine andere Übergabe vereinbart."

Da der elektronische Personalausweis einerseits als SSEE genutzt werden können soll, andererseits auf Grund der Optionalität der Signaturschlüssel erst nachträglich erzeugt wird, wenn gewünscht, muss nach oben stehendem Satz eine andere Übergabe vereinbart werden. Dies läuft darauf hinaus, dass der elektronische Identitätsnachweis (eID) genutzt wird, um sich bei einem ZDA nachträglich ein qualifiziertes Zertifikat zu besorgen, damit der Vorgang medienbruchfrei abläuft und der Nutzer ihn bequemer durchführen kann.

Technische Richtlinien

noch in Bearb...