Digital IDs and Identity Management

• About this group
• Forums

• Home
• Groups
• Digital IDs and Identity Management
• Forums
• Standards
• generelle frage zum thema digitale signaturen

• 
  Frank Boldewin    Premium Member

  The company name is only visible to registered members.

  generelle frage zum thema digitale signaturen

  hallo zusammen,
  
  dieser bereich ist nicht mein spezialgebiet und daher weiss ich nur sehr
  wenig zu digitalen signaturen.
  
  soweit mir bekannt ist, hat sich die digitale signatur/unterschrift ja noch
  nicht im email verkehr durchgesetzt, d.h. noch keine rechtsverbindlichkeit.
  
  wenn ich das richtig sehe müsste es doch ähnlich wie bei SSL eine
  anerkannte root ca geben, die eindeutig nachweisst, dass eine signatur
  zum versender passt oder ?
  
  desweiteren können emails ja auch gefälscht werden und daher könnte
  jemand mit geklauter signatur und gefälschter email adresse, in meinem
  namen dann auch rechtsverbindliche geschäfte machen, oder ?
  
  und ist es bei der signatur nicht viel schwieriger als bei ssl root CAs einen einklang zwischen den einzelnen rechtsstaaten zu finden.
  
  wäre nett, wenn mir mal jemand ein wenig dazu schreiben würde,
  da ich zu wenig zeit habe, dicke wälzer durchzuackern.
  
  • 18 Jan 2005, 2:31 pm
  Frank Boldewin wrote: > hallo zusammen, > > dieser bereich ist nicht mein spezialgebiet und daher weiss ich nur > sehr > wenig zu digitalen signaturen. > > soweit mir bekannt ist, hat sich die digitale signatur/unterschrift > ja noch > nicht im email verkehr durchgesetzt, d.h. noch keine > rechtsverbindlichkeit. > > wenn ich das richtig sehe müsste es doch ähnlich wie bei SSL eine > anerkannte root ca geben, die eindeutig nachweisst, dass eine signatur > zum versender passt oder ? > > desweiteren können emails ja auch gefälscht werden und daher könnte > jemand mit geklauter signatur und gefälschter email adresse, in meinem > namen dann auch rechtsverbindliche geschäfte machen, oder ? > > und ist es bei der signatur nicht viel schwieriger als bei ssl root > CAs einen einklang zwischen den einzelnen rechtsstaaten zu finden. > > wäre nett, wenn mir mal jemand ein wenig dazu schreiben würde, > da ich zu wenig zeit habe, dicke wälzer durchzuackern.
• 
  Dieter Winkelhausen    Premium Member

  The company name is only visible to registered members.

  Re: generelle frage zum thema digitale signaturen

  Hallo Frank
  
  ich setze gerade intensiv mit diesem Thema auseinander. Es ist wahr, die Signaturgesetze der einzelnen Länder sind noch Jung und es fehlen Präzedenzfälle. Jedoch ist es so, das Signaturzertifikate der Klasse 3 (Schlüsselpaar wird auf einem USB-Token oder auf einer Smartcard erzeugt, mit Passsatz geschütz; der private Schlüssel kann das Token nicht verlassen, die CA bestätigt durch unterschriebene Passkopie oder perönliche Vorsprache die Integrität des Inhabers) bei digitalen Rechtsgeschäften recht hohes Gewicht haben.
  Die selben CA, welche übrigens SSL Zertifikate ausstellen, stellen eben auch diese S/MIME Zertifiakte zur digitalen Signatur aus.
  http://www.trustcenter.de
  http://www.swisssign.ch
  
  Ich hoffe, kann dir mit diesen Aussagen behilflich sein.
  
  • 18 Jan 2005, 2:46 pm
  Dieter Winkelhausen wrote: > Hallo Frank > > ich setze gerade intensiv mit diesem Thema auseinander. Es ist wahr, > die Signaturgesetze der einzelnen Länder sind noch Jung und es fehlen > Präzedenzfälle. Jedoch ist es so, das Signaturzertifikate der Klasse > 3 (Schlüsselpaar wird auf einem USB-Token oder auf einer Smartcard > erzeugt, mit Passsatz geschütz; der private Schlüssel kann das Token > nicht verlassen, die CA bestätigt durch unterschriebene Passkopie > oder perönliche Vorsprache die Integrität des Inhabers) bei digitalen > Rechtsgeschäften recht hohes Gewicht haben. > Die selben CA, welche übrigens SSL Zertifikate ausstellen, stellen > eben auch diese S/MIME Zertifiakte zur digitalen Signatur aus. > www.trustcenter.de > www.swisssign.ch > > Ich hoffe, kann dir mit diesen Aussagen behilflich sein.
• Post visible to registered members
• 
  Dr. Peter Gergen    Premium Member

  The company name is only visible to registered members.

  Re^3: generelle frage zum thema digitale signaturen

  Dr. Hannes Lubich schrieb am 22.01.2005, 17:43:
  Noch zwei Anmerkungen zum Thema aus meiner Erfahrung mit diesem Thema:
   
  1) Viele der heutigen Verfahren haben eine latente Schwachstelle bezüglich der Bindung eines Zertifikats an eine handelnde Person. Wenn ich mit jemandem so sicher agieren will, dass eine digitale Signatur vonnöten ist, wäre es für mich eben gerade wichtig, dass die Gegenpartei tatsächlich die Person ist, zu der das Zertifikat hzugeordnet ist, und nicht jemand, der die Zugangsdaten zum Zertifikatsspeicher der Gegenpartei gestohlen oder missbraucht hat. Garade dieses "missing link" zur echten Person ist aber das, was mich interessiert.. Nur wenn zum Zertifikatsmechanismus die Vertrauenskette bis zu den handelnden Personen spannt (z.B. via biometrischen Zugang zum Zertifikatsspeicher), ist das Gesamtsystem für diese Art von Beziehung sicher genug.
  Das bindende Glied eines digitalen Zertifikates an den Eigentümer ist dessen Kenntnis des Passwortes, um den Private Key freizuschalten. Diese Verifikation kann auch über andere Authentifikations-Systeme wie biometrische Erkennung geschehen.
  Wenn der Public Key einmal bekannt wurde, sind alle Digitalen Unterschriften der betreffenden Person obsolete. Daher ist das Geheimnis um den Private Key geknüpft. Dieser sollte auf einem sicheren Medium platziert sein und er sollte dieses Medium auch nie verlassen. Damit sind die Smart Card so nützlich: Der verschlüsselte Datenstrom oder das zu signierende Dokument wandern auf die Card, werden dort verschlüsselt bzw. signiert und gehen wieder über den Card-Reader nach außen. Und der Karteninhaber ist derjenige, der dessen Verwendung mittels Eingabe beispielsweise eines Pins aktiviert.
  
  
  2) Auch bei der initalen Bindung einer Identität an ein Zertifikat bei der Registration Authority bestehen meiner Erfahrung nach prozesurale Schwachstellen. Als ehemaliger Kunde von Swisskey weiss ich noch, wie schwach die Kontrolle war - ich musste die Registration Authority erst darauf hinweisen, dass sie meinen Pass prüfen und eine Passkopie anfertigen sollte. Danach wurden mir die Anmeldeunterlagen wieder übergeben mit dem Hinweis, ich sollte das direkt der Certification Authority zusenden - natürlich hätte ich die Unterlagen auf diese Weise schon bei der Anmeldung beliebig manipulieren können. Das gleiche gilt natürlich noch in stärkerem Masse bei Certification Authorities, die eine nicht-persönliche Anmeldung (z.B. bei E-Mail) anbieten.
  Richtig. Dafür gibt es verschiedene Qualitäts-Stufen, die sich eine Certificate Authority (CA) unterschiedlich bezahlen lässt:
  
  * Die Angabe einer Email-Adresse ist eine der untersten Verifikationen durch die CA und kostet in der Regel nix. Damit ist sie aber auch nicht viel wert.
  
  * Dass man bei einem Notar antanzen muss, seinen Ausweis zücken soll oder sich sonstwie eindeutig zu erkennen geben muss... das ist dann eine der besseren Verifikationen und die kostet dann auch richtig Geld.
  Die unterschiedlichen Klassen des Nachweises, dass man der ist, der man zu sein vorgibt, spiegeln sich in den Klassen der Zertifikate wider:
  Class1 (low) bis Class3 (high). Die Klassifizierung wird in den Zertifikaten vermerkt .
  
  PG
  
  • 23 Jan 2005, 2:11 pm
  Dr. Peter Gergen wrote: > Dr. Hannes Lubich schrieb am 22.01.2005, 17:43: > > Noch zwei Anmerkungen zum Thema aus meiner Erfahrung mit diesem Thema: > > > > 1) Viele der heutigen Verfahren haben eine latente Schwachstelle > > bezüglich der Bindung eines Zertifikats an eine handelnde Person. > > Wenn ich mit jemandem so sicher agieren will, dass eine digitale > > Signatur vonnöten ist, wäre es für mich eben gerade wichtig, dass die > > Gegenpartei tatsächlich die Person ist, zu der das Zertifikat > > hzugeordnet ist, und nicht jemand, der die Zugangsdaten zum > > Zertifikatsspeicher der Gegenpartei gestohlen oder missbraucht hat. > > Garade dieses "missing link" zur echten Person ist aber das, was mich > > interessiert.. Nur wenn zum Zertifikatsmechanismus die > > Vertrauenskette bis zu den handelnden Personen spannt (z.B. via > > biometrischen Zugang zum Zertifikatsspeicher), ist das Gesamtsystem > > für diese Art von Beziehung sicher genug. > > Das bindende Glied eines digitalen Zertifikates an den Eigentümer ist > dessen Kenntnis des Passwortes, um den Private Key freizuschalten. > Diese Verifikation kann auch über andere Authentifikations-Systeme > wie biometrische Erkennung geschehen. > Wenn der Public Key einmal bekannt wurde, sind alle Digitalen > Unterschriften der betreffenden Person obsolete. Daher ist das > Geheimnis um den Private Key geknüpft. Dieser sollte auf einem > sicheren Medium platziert sein und er sollte dieses Medium auch nie > verlassen. Damit sind die Smart Card so nützlich: Der verschlüsselte > Datenstrom oder das zu signierende Dokument wandern auf die Card, > werden dort verschlüsselt bzw. signiert und gehen wieder über den > Card-Reader nach außen. Und der Karteninhaber ist derjenige, der > dessen Verwendung mittels Eingabe beispielsweise eines Pins aktiviert. > > > > 2) Auch bei der initalen Bindung einer Identität an ein Zertifikat > > bei der Registration Authority bestehen meiner Erfahrung nach > > prozesurale Schwachstellen. Als ehemaliger Kunde von Swisskey weiss > > ich noch, wie schwach die Kontrolle war - ich musste die Registration > > Authority erst darauf hinweisen, dass sie meinen Pass prüfen und eine > > Passkopie anfertigen sollte. Danach wurden mir die Anmeldeunterlagen > > wieder übergeben mit dem Hinweis, ich sollte das direkt der > > Certification Authority zusenden - natürlich hätte ich die Unterlagen > > auf diese Weise schon bei der Anmeldung beliebig manipulieren können. > > Das gleiche gilt natürlich noch in stärkerem Masse bei Certification > > Authorities, die eine nicht-persönliche Anmeldung (z.B. bei E-Mail) > > anbieten. > > Richtig. Dafür gibt es verschiedene Qualitäts-Stufen, die sich eine > Certificate Authority (CA) unterschiedlich bezahlen lässt: > > * Die Angabe einer Email-Adresse ist eine der untersten > Verifikationen durch die CA und kostet in der Regel nix. Damit ist > sie aber auch nicht viel wert. > > * Dass man bei einem Notar antanzen muss, seinen Ausweis zücken soll > oder sich sonstwie eindeutig zu erkennen geben muss... das ist dann > eine der besseren Verifikationen und die kostet dann auch richtig > Geld. > Die unterschiedlichen Klassen des Nachweises, dass man der ist, der > man zu sein vorgibt, spiegeln sich in den Klassen der Zertifikate > wider: > Class1 (low) bis Class3 (high). Die Klassifizierung wird in den > Zertifikaten vermerkt . > > PG
• 
  Eberhard Wegener

  The company name is only visible to registered members.

  Re^4: generelle frage zum thema digitale signaturen

  Dr. Peter Gergen schrieb am 23.01.2005, 15:11:
  Dr. Hannes Lubich schrieb am 22.01.2005, 17:43:
  ...
  Class1 (low) bis Class3 (high). Die Klassifizierung wird in den Zertifikaten vermerkt .
  Frage eines Halbwissenden:
  Wo werden diese Klassen (Class1 bis Class 3) eigentlich definiert?
  Weder bei der RegTP noch beim ZKA und im Signaturgesetz bzw in der Signaturverordnung schon gar nicht habe ich eine Definition bzw. Beschreibung gefunden.
  
  Für einen Hinweis wäre ich dankbar
  
  Eberhard Wegener
  
  • 13 Feb 2005, 12:22 pm
  Eberhard Wegener wrote: > Dr. Peter Gergen schrieb am 23.01.2005, 15:11: > > Dr. Hannes Lubich schrieb am 22.01.2005, 17:43: > > ... > > Class1 (low) bis Class3 (high). Die Klassifizierung wird in den > > Zertifikaten vermerkt . > > Frage eines Halbwissenden: > Wo werden diese Klassen (Class1 bis Class 3) eigentlich definiert? > Weder bei der RegTP noch beim ZKA und im Signaturgesetz bzw in der > Signaturverordnung schon gar nicht habe ich eine Definition bzw. > Beschreibung gefunden. > > Für einen Hinweis wäre ich dankbar > > Eberhard Wegener
• Post visible to registered members
• 
  Eberhard Wegener

  The company name is only visible to registered members.

  Re^6: generelle frage zum thema digitale signaturen

  Kaspar Brönnimann schrieb am 17.02.2005, 12:31:
  Guten Tag
   
  Zum Thema Klassierung von Zertifikaten kann ich eventuell weiterhelfen. Dafür herzlichen Dank
   
   
  Meines Wissens gibt es diesbezüglich keinen etablierten Standard, solche Fragen werden in einer CP (Certificate Policy) einer Zertifikatsanbieterin geregelt. Das bedeutet aber, die Einstufung in eine "Class-x" ist vom Zertifikatsanbieter abhängig. Wenn der es bei der Identifizierung der Person nicht so genau nimmt, aber Class-2 oder gar Class-3 vergibt, bin ich als derjenige, der Signatur vertraut der Dumme, oder?
  
  Mit freundlichen Grüßen
  Eberhard Wegener
  
  • 17 Feb 2005, 7:12 pm
  Eberhard Wegener wrote: > Kaspar Brönnimann schrieb am 17.02.2005, 12:31: > > Guten Tag > > > > Zum Thema Klassierung von Zertifikaten kann ich eventuell > > weiterhelfen. > Dafür herzlichen Dank > > > > > > Meines Wissens gibt es diesbezüglich keinen etablierten Standard, > > solche Fragen werden in einer CP (Certificate Policy) einer > > Zertifikatsanbieterin geregelt. > Das bedeutet aber, die Einstufung in eine "Class-x" ist vom > Zertifikatsanbieter abhängig. Wenn der es bei der Identifizierung > der Person nicht so genau nimmt, aber Class-2 oder gar Class-3 > vergibt, bin ich als derjenige, der Signatur vertraut der Dumme, oder? > > Mit freundlichen Grüßen > Eberhard Wegener
• Post visible to registered members
• 
  Dr. Peter Gergen    Premium Member

  The company name is only visible to registered members.

  Re^8: generelle frage zum thema digitale signaturen

  Grundsätzlich kann jeder eine CA "aufmachen" und class 1-3-Zertifikate ausstellen. Die Software hierfür ist bereits seit einigen Jahren auf dem Markt und niemand hindert einen daran, dies zu tun.
  
  Was aber "bringt" es? Eine CA lebt und stirbt mit ihrer Reputation. Wenn also eine CA ein class3- Zertifikat ausstellt, dann können damit technische Prüfprozesse verbunden sein oder auch nicht, die Vertrauenswürdigkeit liegt in der Reputation der CA.
  
  PG
  
  • 21 Mar 2005, 5:49 pm
  Dr. Peter Gergen wrote: > Grundsätzlich kann jeder eine CA "aufmachen" und class > 1-3-Zertifikate ausstellen. Die Software hierfür ist bereits seit > einigen Jahren auf dem Markt und niemand hindert einen daran, dies zu > tun. > > Was aber "bringt" es? Eine CA lebt und stirbt mit ihrer Reputation. > Wenn also eine CA ein class3- Zertifikat ausstellt, dann können damit > technische Prüfprozesse verbunden sein oder auch nicht, die > Vertrauenswürdigkeit liegt in der Reputation der CA. > > PG
• Post visible to registered members

• Back
• Next