Büro: (0041)  26 670 0 670
Mail:  admin (at) d-bee ch

Die digitale Signatur mit biometrischer Absicherung

Management Summary

Im letzten Jahrzehnt hat die elektronische Speicherung und Übermittlung von Informationen die papiergebundene Art in vielen Bereichen abgelöst. Doch die eigenhändige Unterschrift, der mechanische Akt auf ein physisches Dokument, ist nicht nur ein symbolhafter Vorgang, sondern auch von bestechender Einfachheit, den das elektronische Pendant, die digitale Unterschrift, kaum zu ersetzen vermag.  

Die Übertragung eines papiergebundenen Dokumentes ist jedoch langsam und teuer. Dem gegenüber ist die elektronische Übermittlung schnell und kostengünstig. Der Nachteil ist eine gewisse Unsicherheit betreffend Absender und Beweiskraft. Dies hat zu einem wachsenden Bedürfnis geführt, den elektronischen Dokumenten eine Eindeutigkeit bezüglich Absender und Inhalt zu geben, die der papiergebunden Version entspricht.

Digitale Signatur

Eine Möglichkeit dieses Problem zu lösen, ist der Einsatz der so genannten Digitalen Unterschrift. Sie basiert auf dem Prinzip der asymmetrischen Verschlüsselung. Die Kernelemente sind ein Schlüsselpaar, bestehend aus öffentlichem und privatem Teil, sowie einer Zertifizierungsstelle, die die Identität des Inhabers beglaubigt.

Das Gesetz spricht von der „elektronischen Signatur“ und erweitert damit den Begriff der Digitalen Signatur auf Anwendungen die nicht auf der asymmetrischen Verschlüsselung basieren aber gleiche oder bessere Eigenschaften haben könnten.

PKI

Die Digitale Signatur benötigt eine Infrastruktur. Diese ist sie unter dem Namen PKI, Public Key Infrastructure bekannt und sie wird zum Teil mit der Digitalen Signatur gleich gesetzt.

Im Detail sind dies Zertifizierungsstelle, Verwaltung der Zertifikate, Zeitstempeldienst, Autorisierungsbehörde, Programme, Rechtliche Grundlagen.

=> Die PKI ist ein komplexes technisches und juristisches Gebilde.

Rechtliche Anerkennung

Sie ist Voraussetzung für die Anerkennung der Digitalen Singnatur als Ersatz für die handschriftliche Signatur. In der Schweiz und in Europa sind die rechtlichen Anpassungen zum Teil vollzogen worden oder werden es demnächst.

CH-1:  Angepasste Gesetze

Zurzeit gilt die Verordnung SR 784.103 ZertDV vom 12. April 2000 über die Dienste der elektronischen Zertifizierung. Sie soll am per 01. 05 durch SR 784.103.1 ersetzt werden. Die ZertES entspricht inhaltlich der ZertDV und berücksichtigt zusätzlich die Revison des OR betreffend Produktehaftung und Schutz der Konsumenten[1].

CH-2: Anwendung gemäss den geltenden Gesetzen.

Anerkennung der Digitalen Signatur durch die Gesetzgebung

Die schweizerische Gesetzgebung, in Anlehnung an die deutsche Gesetzgebung, unterscheidet 3 Stufen der Digitalen Unterschrift. Die (einfache) elektronische Signatur, die Fortgeschrittene Signatur und die Qualifizierte Elektronische Signatur. Letztere entspricht den gesetzlichen Anforderungen an die Schriftlichkeit mit  einigen Ausnahmen. Die einfache Signatur und die Fortgeschrittene Signatur werden wohl die meist eingesetzten Arten im Geschäftsleben sein.

CH-3: Formfreiheit

Das schweizerische Vertragsrecht baut auf dem Grundsatz der Vertragsfreiheit auf. Teil der Vertragsfreiheit bildet die Formfreiheit (Art. 11 Abs. 1 OR). Das bedeutet, dass Verträge, die keiner Formvorschriften unterstehen, mit der einfachen Signatur gültig sind.

Beweiswert

Eine offene Frage ist der Beweiswert von mit nicht öffentlichen Schlüsseln zertifizierten Dokumenten in einem Streitfall. Hierzu: „Dieser Nachweis ist im Prinzip nur durch aufwändige Sachverständigengutachten zu erbringen, was die Praxistauglichkeit digitaler Signaturen stark verschlechtert. …. Dennoch sind elektronische Signaturen gerade in offenen Benutzergruppen das einzige Mittel, um die schlechte Beweislage bei der elektronischen Kommunikation wesentlich zu verbessern“[2].

Zertifizierungsstelle

Die Zertifizierungsstelle kann eine öffentliche oder private Institution sein. Sie stellt die Bestätigung, das Zertifikat, aus. Sie ist die Garantin für eine sichere Identifikation des Inhabers des öffentlichen Schlüssels und sollte langfristig Bestand haben. Die Ansprüche an die Zertifizierungsstelle sind hoch und deren Einkommen ist ungewiss. Für die Qualifizierte Elektronische Signatur bedarf es einer anerkannten Zertifizierungsstelle.

Bisher war die Identifikation juristischer und natürlicher Personen Aufgabe des Staates. So gesehen wäre es auch die Aufgabe des Staates neben seinen traditionellen Zertifizierungsstellen, wie Gemeindebehörden, Notare und Passbehörden eine Stelle zu schaffen die die elektronische Identifikation liefert.

Doch das Errichten einer Zertifizierungsstelle hat sich in der Schweiz als sehr schwierig erwiesen. Swisskey ist gescheitert und für eine staatliche Lösung fehlt der politische Wille.

Die private Schlüssel

Dieser Teil des Schlüssels, auch geheimer Schlüssel oder  Zertifizierungsschlüssel genannt, dient zum Entschlüsseln einer mit dem öffentlichen Schlüssel verschlüsselten Botschaft und auch zur Signierung. Der Besitzer ist weit gehend verantwortlich und haftbar für seinen Gebrauch. Deshalb ist die sichere Aufbewahrung sehr wichtig. Eine Möglichkeit den privaten Schlüssel an den Besitzer zu binden, ist der Einsatz biometrischer Funktionen.

Biometrische Erkennungssysteme

Für eine Personen-Identifikation können Parameter aus den Kreisen Haben, Wissen und Sein benutzt werden. Ein Zertifikat ist ein Haben, ein Passwort sollte ein Wissen sein. Obwohl das Sein, die biometrischen Eigenschaften, die ältesten Erkennungsmerkmale bilden, wurden sie, da nicht einfach maschinenlesbar, wenig eingesetzt. Einige markante Ereignisse der letzten Jahre haben das gesellschaftspolitische Umfeld verändert. Dem Recht oder dem Anspruch auf Anonymität wird das Recht auf Sicherheit der Gesellschaft gegenüber gesetzt. So ist die Akzeptanz, persönliche biometrische Daten als Identifikationsmerkmal herzugeben gestiegen. Die Erkennungstechnik hat in Folge der steigenden Rechnerleistungen und der effizienteren Erkennungsalgorithmen grosse Fortschritte gemacht, so dass immer mehr Produkte erhältlich sind, die unveränderbare biometrische Merkmale eindeutig identifizieren können.

Biometrische Merkmale sind einzigartig und bringen zusätzliche Sicherheit. Das Problem liegt darin, diese Einzigartigkeit reproduzierbar zu erfassen. Sie können im Gegensatz zu Passwörtern nicht vergessen werden und sind auch nicht einfach weiter zu geben wie Identifikationskarten. Es liegt also auf der Hand biometrische Merkmale in die digitale Unterschrift zu integrieren.

Für den Einsatz eines biometrischen Systems als personengebundenes zusätzliches Authentifikationsmuster sind einige Attribute von besonderer Bedeutung: Sicherheit, Mobilität, Lebenderkennung. Von den bekannten biometrischen Systemen Gesichtserkennung, Handgeometrie, Retinascan, Venenmuster, Stimme, Tippverhalten eignen sich die Daktyloskopie (Fingerabdruck), Iriserkennung und elektronische Unterschrift für die Authentifizierung mit der Digitalen Signatur. Auf dem Markt befinden sich schon Produkte mit SMART-Card-Technologie und intgrierter „Fingerprint“-Erkennung. Ein weiterer interessanter Ansatz sind die Tablets für die „Elektronische Unterschrift“, auf der die eigenhändige Unterschrift graphisch erfasst und gleichzeitig biometrisch analysiert wird. Bei diesem Verfahren ist die Willentlichkeit, die bewusste Handlung der Signierung ausgeprägt. Der Signierschlüssel wäre dadurch nicht übertragbar und wie die Handunterschrift an „den Schreibenden gebunden“[3]

Die gewünschte Anbindung des digitalen Signierens an den Schlüsselinhaber könnte mit der Einbindung biometrischer Eigenheiten verwirklicht werden.

Kombinierte Authentifikation

Um die Sicherheit zu erhöhen können verschiedene Erkennungssysteme kombiniert werden. Problematisch wird dabei die steigende Komplexität für den Anwender.

Private PKI-Anwendungen

Diese Anwendungen beschränken sich auf eine geschlossene Benutzergruppe. In rechtlicher Hinsicht stellen sie wenig Probleme und sie brauchen keine öffentlich anerkannte Zertifizierungsstelle. Diese Gegebenheiten vereinfachen den Einsatz der Digitalen Unterschrift. In der Schweiz betreiben verschiedene Banken und Privatfirmen eine private PKI-Struktur. (UBS  Novartis ) Der Bund ist nach dem Scheitern der Firma Swisskey[4] ebenfalls am Aufbau einer eigenen PKI. Ein europäisches Beispiel ist TACAR. TACAR ist die CA, Certification Authority, von TERENA[5]. Dieses Projekt startet Anfangs 2004. Auch Systemhersteller bringen verschiedene Produkte und integrierte Anwendungen auf den Markt. Hier als Beispiel die neue Microsoft Server-Version 2003, die in Zusammenarbeit mit WISekey ein Zertifizierungssystem anbietet.

Öffentliche Anwendungen

Als einer der ersten Staaten hat Finnland beschlossen eine elektronische Identitätskarte mit öffentlicher PKI einzuführen. Der Verkauf dieser Identitätskarte, die „FINEID“[6] legt nur langsam zu. Er lag bei 6500 Stück im Jahr 2000 und blieb die folgenden Jahre bei 3.500 Stück. Dies obwohl die FINEID von Anfang an nicht nur für e-Government sondern auch für private Anwendungen vorgesehen war[7]. Als Grund wird der Mangel an Anwendungsmöglichkeiten im Verkehr mit den staatlichen Behörden angegeben und die Hersteller von Anwendungen, respektive Softwarehersteller geben als Grund für ihr geringes Interesse die fehlenden Authentfifikationsmöglichkeiten[8] an. Finnland hat nun reagiert und den Support für private Anwendungen mit der Karte erweitert[9]. Estonien hat das finnische System übernommen und auf breiter Basis eingeführt. In Estonien, mit 1.3 Millionen Einwohnern, wurden 0.4 Millionen PKI ID-Karten verkauft[10].

Diskussion

Als Gradmesser für den Erfolg der Digitalen Signatur wird allzu oft ihr Einsatz als Ersatz der eigenhändigen Unterschrift angesehen. Doch die Digitale Signatur kann „mehr“. Ihr Erfolg in geschlosser Umgebung bestätigt dies. Zwar wurden die Gesetze für die rechtliche Anerkennung geschaffen,  doch sind sie sehr stark auf die Ersatzfunktion ausgerichtet.

Die Biometrie ist eine aufstrebende Technologie. Die Anwendung zur Identifikation in den Pässen mittels der Gesichtserkennung, wird nach den bisherigen Erfahrungen nicht zu einem positiven Image beitragen. Doch andere biometrische Verfahren sind gut geeignet für die Authentifizierung, benötigen aber noch einige Entwicklungsarbeit bis sie zusammen mit der Digitalen Signatur eingesetzt werden können.

Die Digitale Signatur wird eingeführt. In Ermangelung einer öffentlichen Zertifizierungsstelle haben sich die privaten Lösungen durchgesetzt. Bei diesen privaten Lösungen werden auch mehr und mehr biometrische Erkennungssystem angewandt, jedoch zur Identifikation und Authentifikation am Computer. In der Folge ist der Benutzer genügend authentifiziert um interne Digitale Signatursysteme zu benützen.

Die Einführung der digitalen Signatur im offenen Umfeld ist jedoch viel schwieriger. Das Scheitern der schweizerischen Zertifizierungsstelle ist ein Hinweis auf die Komplexität der Materie. Der Gesetzgeber hat die notwendigen Grundlagen geschaffen, aber der Markt hat schneller reagiert. Es bleiben der öffentlichen digitalen Signatur viele mögliche Anwendungen vorbehalten, die jedoch viel Koordinationsarbeit unter den potentiellen Benutzern verlangt.

„Die Digitale Signatur kann weniger als nur die handschriftliche Unterschrift ersetzen.“


Fragestellung

Mit der digitalen Signatur steht ein Werkzeug zur Verfügung, das es ermöglicht Dateien im Allgemeinen und Dokumente im Speziellen elektronisch zu unterzeichnen. Für diese Unterschrift wird ein Signierschlüssel benötigt. Dieser Signierschlüssel oder private Schlüssel ist ein elektronischer Identitätsausweis und kann in der Digitale Signatur zum rechtlich gültigen Unterschreiben von Dokumenten benutzt werden. Deshalb ist dessen Sicherung „eLebenswichtig“. Die eindeutige Bindung dieses Signierschlüssels an den rechtmässigen Besitzer ist von entscheidender Bedeutung für die Verbreitung der Digitalen Signatur über die geschlossenen Benutzerkreise hinaus.

Es gilt also ein sicheres Aufbewahrungssystem für den Privaten Schlüssel zu finden.

Eine viel versprechende Möglichkeit ist die Einbindung eines biometrischen Erkennungszeichens zur Sicherung des Schlüssels. Die Biometrie hat in den letzten Jahren grosser Fortschritte gemacht und die Frage ist, ob ein biometrisches System die rechtlichen und technischen Bedingungen erfüllen kann und welche Probleme juristischer und technischer Natur bei der Integration biometrischer Daten in die digitale Unterschrift zu erwarten sind.

Welche biometrischen Systeme können die Anforderungen der Digitalen Signatur erfüllen?

 


 

 

Die Digitale Signatur

  •  Seit Jahren als Zukunftslösung für die Identifikation im Internet und bei der Übertragung elektronischer Dokumente angepriesen, fristet sie immer noch ein Schlummerdasein.
  •  Die Schweizerische Post bietet ein günstiges Produkt an. Die Installation ist nicht sehr einfach. Aber die Lösung arbeitet gut mit Outlook und Windows, auch mit Vista.
  • Wir organisieren und installieren Ihnen die Anwendung.
>