Das geregelte Ableben meines Fax-Ger\u00e4tes ermuntert zu einer Recherche wie es denn um elektronische Unterschriften steht. M\u00f6glichst solche die juristisch auch eine Beweiskraft entfalten.<\/p>\n
Das Verfahren f\u00fcr solche Signaturen lehnt sich stark an die Sicherung von Webseiten an – man generiert ein Schl\u00fcsselpaar – privat und \u00f6ffentlich – und unterschreibt mit dem privaten Schl\u00fcssel. Der Gegenpart pr\u00fcft die Signatur mit dem \u00f6ffentlichen Schl\u00fcssel und wenn es kryptographisch passt, dann stammt die Unterschrift vom Inhaber des Schl\u00fcsselpaares.<\/p>\n
Die Frage, die sich hier aufdr\u00e4ngt ist nat\u00fcrlich wie man davon ausgehen kann, das der Unterzeichnende tats\u00e4chlich derjenige ist f\u00fcr den er sich ausgibt. Diese Verbindung von Identit\u00e4t zu dem abstrahiertem Objekt eines \u00f6ffentlichen Schl\u00fcssels ist das Zertifikat, welches den \u00f6ffentlichen Schl\u00fcssel zu einem Subjekt (Identit\u00e4t) zuordnet. In der Praxis, erstellt man oft ein solches Zertifikat einfach selber (self-signed) – das hat aber weder Beweiskraft, noch hat es ein Mehrwert zu solch einfachen Techniken wie das Einf\u00fcgen einer Unterschriftengrafik in ein Dokument. Vertr\u00e4ge ben\u00f6tigen im Allgemeinen aber eine qualifizierte elektronische Signatur<\/strong> – der h\u00f6chste Sicherheitslevel im Jargon von eIDAS<\/em>. Das Zertifikat (+privater Schl\u00fcssel), muss von einer CA<\/strong> (Certification Authority<\/em>) erstellt werden, welches Punkt a) f\u00fchrt normalerweise dazu, dass die CA ein Root-Zertifikat besitzt, welches sich in der Liste der vorinstallierten Root-Zertifikate befindet. Beim Punkt 3 eignet sich der nPA<\/strong> (neue Personalausweis<\/em>) der Bundesrepublik Deutschland. Gerade der Zwang zu SSEE macht die qualifizierte Unterschrift teuer, denn es reicht nicht, dass die CA dem Unterzeichner seinen privaten Schl\u00fcssel aush\u00e4ndigt, da dann eine Unterzeichnung mittels SSEE nicht mehr garantiert werden kann. F\u00fcr private Zwecke ist der Fernsignaturdienst www.sign-me.de<\/em> der Bundesdruckerei quasi umsonst. Qualifizierte Signaturen kosten sog. „5 Coins“, wobei man mit der Registrierung „60 coins“ geschenkt bekommt.<\/p>\n","protected":false},"excerpt":{"rendered":" Das geregelte Ableben meines Fax-Ger\u00e4tes ermuntert zu einer Recherche wie es denn um elektronische Unterschriften steht. M\u00f6glichst solche die juristisch auch eine Beweiskraft entfalten. Das Verfahren f\u00fcr solche Signaturen lehnt sich stark an die Sicherung von Webseiten an – man generiert ein Schl\u00fcsselpaar – privat und \u00f6ffentlich – und unterschreibt mit dem privaten Schl\u00fcssel. Der … Elektronisch unterschreiben – digitale Signaturen<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[34],"class_list":["post-702","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-pdf"],"_links":{"self":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts\/702","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=702"}],"version-history":[{"count":5,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts\/702\/revisions"}],"predecessor-version":[{"id":749,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts\/702\/revisions\/749"}],"wp:attachment":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=702"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=702"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=702"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nTrotzdem z\u00e4hlt eine solche Unterschrift laut der aktuellen EU Verordnung eIDAS<\/a>, bereits als einfache elektronische Signatur. Wird bei einer solchen Technik noch die M\u00f6glichkeit geschaffen, den Unterzeichner zu identifizieren und wird das Dokument gegen nachtr\u00e4gliche \u00c4nderungen gesch\u00fctzt, so spricht man im Anwendungsbereich von eIDAS<\/em> bereits von einer fortgeschrittenen elektronischen Signatur<\/strong>.
\nDie Sicherung der Datei – i.A. reden wir von pdf-Dokumenten – erreicht man mit einer Speicherung im PDF\/A Format (ISO19005). Die Identifizierung wird dadurch erreicht, dass der Aussteller bereits mit einem Zertifikat signiert, dass eine Kette zu einem vertrauensw\u00fcrdigem Root-Zertifikat bildet. In Adobe Reader DC bspw. werden auf Anforderung weitere Root-Zertifikate, denen Adobe vertraut heruntergeladen. So benutzt das, f\u00fcr die fortgeschrittene Signatur, benutzte Zertifikat von sign-me<\/strong> (Herausgeber: Bundesdruckerei) das D-TRUST CA 1-1 2017<\/em> Zertifikat, welches von dem Root-Zertifikat<\/strong> D-TRUST Root CA 3 2013<\/em> ausgestellt wurde, welches aber durch das Client Programm nachgeladen werden muss, da meist nur das D-TRUST Root Class 3 CA 2 2009<\/em> Zertifikat in den Programmen fest verankert ist.<\/p>\n
\nHierbei m\u00fcssen mehrere Vorbedingungen erf\u00fcllt werden.<\/p>\n
\na) akkredidiert sein muss
\nb) den Unterschreiber zweifelsfrei identifizieren kann, bevor er Ihm ein Zertifikat + privatem Schl\u00fcssel aush\u00e4ndigt.<\/p>\n
\nPunkt b) muss die CA durch ein geeignetes Verfahren sicherstellen, bspw.<\/p>\n\n
\nDesweiteren, darf die Unterschrift, welche ja den privaten Schl\u00fcssel erfordert nur \u00fcber eine sichere Signaturerstellungseinheit<\/em> (SSEE<\/strong>) \u2013 zum Beispiel ein spezielles Kartenleseger\u00e4t \u2013 erfolgen.
\nNat\u00fcrlich muss auch hier die Unver\u00e4nderbarkeit des Dokuments nach der Unterschrift gew\u00e4hrleistet sein – bspw. durch PDF\/A – und zudem muss beim Unterschreiben ein vertrauensw\u00fcrdiger Zeitstempeldienst (keine lokale Uhr) bem\u00fcht werden (z.B. Zeitstempeldienst der DFN-PKI<\/a>)<\/p>\n
\nStattdessen verkaufen akkredidierte CA’s sog. qualifizierte Signaturkarte, auf denen der private Schl\u00fcssel enthalten ist und mit einem Leseger\u00e4t (mit Tastatur) ausgelesen und zur Unterzeichnung verwendet werden kann. M\u00f6glich f\u00fcr die Speicherung des privaten Schl\u00fcssels w\u00e4re auch der Zertifikatsspeicher auf dem nPA – allerdings gibt es f\u00fcr diese L\u00f6sung momentan keinen Anbieter, nachdem die Bundesdruckerei mit dem \u00f6ffentlichen Service sign-me<\/em><\/a> diese Dienst eingestellt hat und auf eine andere L\u00f6sung setzt.
\nDiese L\u00f6sung nennt sich Fernsignatur. Dazu ist die SSEE samt Zertifikaten auf eine sicheren Ebene im Netz. Der Unterzeichner, hat weder seinen privaten Schl\u00fcssel noch eine SSEE, benutzt aber diese nach einem Login auf dem sicheren Webserver des Diensteanbieter.
\nNachteil dieser L\u00f6sung ist, dass einem nicht die gewohnten Tools (eigenes pdf Programm) f\u00fcr die Unterschrift zur Verf\u00fcgung steht. Der Webservice bietet in der Regel nur ein einfaches Frontend mit wenig Einstellungsm\u00f6glichkeiten. Daf\u00fcr spart man sich die ganze Infrastruktur, die f\u00fcr eine qualifizierte elektronische Signatur n\u00f6tig ist.<\/p>\n