Cryptography Reference
In-Depth Information
■
Qualifizierte elektronische Signatur
: Eine solche entspricht der fortgeschritte-
nen elektronischen Signatur mit qualifiziertem Zertifikat und sicherer Signa-
turerstellungseinheit aus der EU-Richtlinie.
■
Qualifizierte Signatur mit Anbieterakkreditierung
: Das deutsche Signaturge-
setz von 1997 forderte, dass sich ein signaturgesetzkonformes Trust Center
eine staatliche Genehmigung einholen musste. Die EU-Signaturrichtlinie
schreibt jedoch fest, dass eine solche Genehmigung nicht notwendig ist. Des-
halb erfand der deutsche Gesetzgeber die freiwillige Trust-Center-Akkreditie-
rung. Besitzt ein Trust Center eine solche Akkreditierung, dann wird aus einer
qualifizierten Signatur eine qualifizierte Signatur mit Anbieterakkreditierung
- verwirrend, aber wahr.
Gesetz, Verordnung, Rahmenwerk
Das deutsche Signaturgesetz besteht aus 25 Paragrafen und ist recht abstrakt
gehalten. Darin werden Begriffe wie »digitale Signatur«, »Zeitstempel« und
»Zertifizierungsstelle« (Behördendeutsch für Trust-Center) definiert. Konkretere
Angaben wurden aus dem Signaturgesetz in die aus 19 Paragrafen bestehende
Signaturverordnung
ausgelagert, die von der Bundesregierung beschlossen wurde
und von dieser geändert werden kann [SigV]. In der Signaturverordnung werden
beispielsweise Angaben zum Betrieb von Trust-Centern, Genehmigungsverfah-
ren, Sicherheitskonzepten und Kosten für die Genehmigung gemacht. Weitere
Informationen finden sich im sogenannten
Rahmenwerk
[SigR].
Welche Krypto-Verfahren im Zusammenhang mit dem Signaturgesetz ver-
wendet werden dürfen, wird im Bundesanzeiger veröffentlicht [SigB]. Laut Veröf-
fentlichung vom 18. Januar 2012 sind RSA, DSA und drei ECDSA-Varianten
zulässig. Als kryptografische Hashfunktionen werden RIPEMD-160, SHA-1,
SHA-224, SHA-256, SHA-384 und SHA-512 genannt. Schließlich äußert sich die
Veröffentlichung noch zum Thema Zufallsgenerierung, wobei sowohl echte
Zufallsgeneratoren als auch Pseudozufallsgeneratoren unter jeweils bestimmten
Umständen zulässig sind.
Der Standard, der die Anforderungen des Signaturgesetzes in konkrete Formate
und Verfahren umsetzen soll, ist der in Abschnitt 26.4.3 erwähnte Common-PKI-
Standard [Common]. Wer also ein Trust Center betreiben will, das qualifizierte
Zertifikate ausstellt, muss sich durch einen dicken Papierstapel kämpfen: Gesetz,
Verordnung, Rahmenwerk, Bundesanzeiger-Veröffentlichungen und die Common-
PKI-Spezifikation - die deutsche Gründlichkeit überließ nichts dem Zufall.
Will der Betreiber einer PKI qualifizierte Zertifikate nach dem deutschen Sig-
naturgesetz ausstellen, dann muss er für die CA einen besonders hohen Sicher-
heitsstandard einhalten. Dazu gehören bauliche Maßnahmen (etwa Sicherheits-
türen, Vereinzelungsschleusen an den Eingängen und dicke Wände) und organi-
satorische Maßnahmen (Vier-Augen-Prinzip, Dokumentation aller Vorgänge).
