1 / 16

Digitale Signaturen - auf dem Weg zum Durchbruch? Stefan Kelm kelm@secorvo.de

Digitale Signaturen - auf dem Weg zum Durchbruch? Stefan Kelm kelm@secorvo.de. Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131 Karlsruhe Tel. +49 721 6105-500 Fax +49 721 6105-455 E-Mail info@secorvo.de http://www.secorvo.de. Inhaltsübersicht.

pennie
Download Presentation

Digitale Signaturen - auf dem Weg zum Durchbruch? Stefan Kelm kelm@secorvo.de

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Digitale Signaturen - auf dem Weg zum Durchbruch? Stefan Kelm kelm@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131 Karlsruhe Tel. +49 721 6105-500 Fax +49 721 6105-455 E-Mail info@secorvo.de http://www.secorvo.de

  2. Inhaltsübersicht • Einleitung, Begriffsbestimmung • Aktueller Stand des Signaturgesetzes (Deutschland) • Die Entwicklung in Europa • Was passiert außerhalb Europas? • PKIs in der Praxis • Fazit

  3. Einleitung • Was sind digitale/elektronische Signaturen ? • elektronisches Pendant zur handschriftlichen Unterschrift • meist basierend auf Public Key-Technologie, z.B. RSA • schützt damit Integrität und Authentizität der Nachricht • z.B. S/MIME- oder PGP-signierte E-Mails • Was sind Zertifikate ? • digital signierte Zuordnung eines öffentlichen Schlüssels (Public Key) zu einer Identität (nach Überprüfung derselben) • ausgestellt durch vertrauenswürdigen Dritten (CA, ZS, TC) • Was ist eine Public Key-Infrastruktur (PKI) ? • Hierarchie von Zertifizierungsinstanzen

  4. RCA ••• Wurzelzertifizierungsstelle RegTP Regulierungsbehörde für Telekommunikation und Post ••• RCA RCA RCA Zertifizierungs- stellen ••• ••• CA 2 CA 1 ••• ••• CA1 CA2 CA1 CA1 CA2 CA2 ••• ••• ••• ••• ••• ••• ••• ••• Person3 Person1 Person2 Person2 Zertifikatsinhaber Person 1 Person 2 Person 3 Public Key-Infrastruktur

  5. SigG: aktueller Stand • Signaturgesetz: in Kraft seit 1.8.1997 • „Rahmenbedingungen für elektronische Signaturen“ • Bislang drei Zertifizierungsstellen nach SigG • „Produktzentrum Telesec“ (Deutsche Telekom, 5.1.1999) • „Geschäftsfeld Signtrust“ (Deutsche Post, 3.3.2000) • Bundesnotarkammer (Deutsche Post, Januar 2001) • ca. 8 weitere seit längerem „in den Startlöchern“ • TC Trustcenter, G&D, DIHT, D-Trust, ... • Anwendung des SigG? • Bislang kaum Nachfrage nach Zertifikaten, Anwendungen • 6.400 Zertifikate für Finanzamt Niedersachsen • Anwendung: Zahlungsanweisungen

  6. Anpassung der Rechtslage • Gesetzlage wird derzeit an die 2 wichtigen EU-Richtlinien angepasst • E-Commerce Richtlinie • Richtlinie zur elektronischen Signatur • Inkrafttreten: 19.1.2000 • Umsetzung in nationales Recht: 19.7.2001 • Wichtigste Änderungen an BGB / ZPO • §126a BGB: „elektronische Form“ • Änderungen an der ZPO: „Beweis des ersten Anscheins“ • Zeitplan • neues SigG vom Bundestag am 15.02.2001 beschlossen • neue SigV wird derzeit erstellt • Mai: Inkrafttreten von SigG und SigV? • 1.8.2001: Inkrafttreten des BGB-E?

  7. Europäische Entwicklung • Probleme bei der Umsetzung • unterschiedlichste Interpretationen der EU-Richtlinie, insb. der mandatorischen Annexe • mangelnde Zusammenarbeit einzelner Arbeitsgruppen • sehr unterschiedliche Anforderungen • Aufgaben des „Artikel 9-Komitees“ ? • Gegenseitige Anerkennung in Europa? • prinzipiell durch die Richtlinie geregelt • keine Harmonisierung absehbar • Bevorzugung akkreditierter Signaturen problematisch

  8. Stand in Europa • In einigen Länder sind Signaturgesetze in Kraft • Deutschland, Italien • Portugal, Österreich • Spanien, Finnland • Frankreich, Belgien, UK, Dänemark, Irland, Luxemburg • Andere Länder bereiten Signaturgesetze vor • Griechenland • Niederlande • Schweden • Polen • Bislang keine komplette Umsetzung der Richtlinie

  9. Rest der Welt USA UETA UCITA Einzelstaaten E-SIGN 2000 Kanada Bill C-54 Australien ETA 1999 GPKA Singapur ETA 1998 Japan Internationale Organisationen UNCITRAL „model law“ „draft rules“ OECD crypto guidelines ICC Europarat WTO ITU GBO Andere Länder - andere SigG

  10. PKIs in Deutschland • Bayer • Bertelsmann • BMW • Commerzbank • DaimlerChrysler • Deutsche Bahn • Deutsche Bank • Dresdner Bank • HypoVereinsbank • Mannesmann • Siemens • Thyssen • Volkswagen • ...

  11. Sicherheit Durchsetzung eigener Richtlinien Kontrolle über die Dienstleistung Spezialisierung Integration in eigenen Verzeichnisdienst Anpassung von Prozessen und Arbeitsabläufen geringe Abhängigkeit Kosteneinsparung kurze Wege zur Registrierungsstelle Skalierung Anpassung der Dienstleistung bei Bedarf externes Risiko geringe Kosten bei kleinen Zertifikatszahlen (<10.000) Verfügbarkeit hohe Verfügbarkeit garantiert zügiger Auf- und Abbau Erfahrung Rückgriff auf eingespielte, optimierte Prozesse Erfahrungen aus unterschiedlichen Projekten „Make or Buy“ ?

  12. Trust Center in Deutschland • TeleSec (Deutsche Telekom AG) • SignTrust (Deutsche Post AG) • TC Trustcenter (Hamburg) • TeleCash (Stuttgart) • CCI (Meppen) • Datev • D-Trust (Berlin) • Identrus Öffentliche PKI-Projekte: • DFN-PCA (Hamburg) ! • IVBB („Sphinx“)

  13. Signaturgesetzkonforme PKI? • Geringe Flexibilität SigG-konformer PKIs • Keine Cross-Zertifizierung möglich • Keine eigene PKI-Hierarchie konstruierbar • Erhebliche Einschränkungen im Naming • Rechtslage „instabil“ • Anpassung des Signaturgesetzes und der nachgeordneten Dokumente (SigV, etc.) an EU-Richtlinie in Arbeit • Anerkennung Digitaler Signaturen nach SigG vor Gericht als Beweismittel ist nicht garantiert • Anerkennung im Ausland unklar • Hohe Kosten für Realisierung (Faktor 2-5) • Für fast alle Anwendungen ist SigG irrelevant !

  14. Fazit • Aufbau von PKIs insbesondere in Groß-unternehmen in vollem Gange • “Killer-Applikation”: E-Mail-Sicherheit • Großes Angebot interoperabler und benutzerfreundlicher PKI-Komponenten • SigG-Konformität keine Bedingung • Registrierungsprozeß ist zentraler Kostenfaktor • Naming und Integration in Verzeichnisdienst häufig aufwendig • Organisatorischer Aufwand wird oft unterschätzt

  15. Links • Informationen zu Signaturgesetz und EU-Richtlinie:http://www.pca.dfn.de/dfnpca/sigg.html • „The PKI page“:http://www.pki-page.org/

  16. Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131 Karlsruhe Tel. +49 721 6105-500 Fax +49 721 6105-455 E-Mail info@secorvo.de http://www.secorvo.de

More Related