ArchiSig. Für das Projekt ArchiSafe. Tobias Gondrom Senior Software Architekt IXOS Software AG Open Text Corporation

Transkript

1 ArchiSig Für das Projekt ArchiSafe Tobias Gondrom Senior Software Architekt IXOS Software AG Open Text Corporation Copyright Open Text Inc. All rights reserved.

2 Agenda Grundlagen Vorteile / Einsatzmöglichkeiten Projekt, Status & Prototyp Beispielszenario Information Appendix: Technologie, Universitätsklinikum Heidelberg, Zeitstempel und das Geld Slide 2

3 Elektronische Signatur - statt manueller Unterschrift? Elektronische Signatur basiert auf kryptografischen Algorithmen Kryptographische Algorithmen können mit der Zeit ihre Sicherheitseignung verlieren: - Public-Key Algorithmen - Schlüssellängen, Zertifikate (Verlust, Ablauf) - Hash-Algorithmen: MD5, SHA-1,... Zeitlich begrenzte Prüfbarkeit und Verfügbarkeit von Zertifikaten - 5 Jahre nicht akkreditierte Zertifizierungsdiensteanbieter - 30 Jahre akkreditierte Zertifizierungsdiensteanbieter Fazit: Elektronisch signierte Dokumente können im Laufe der Zeit an Beweiswert verlieren! Aber: Mit ArchiSig kann ihre Beweiskraft erhalten werden! Slide 3

4 ArchiSig: Voraussetzungen Um die Gültigkeit zu erhalten bedarf es einer Signaturerneuerung: 17 Zeitraum und Verfahren zur langfristigen Datensicherung Daten mit einer qualifizierten elektronischen Signatur sind nach 6 Abs. 1 Satz 2 des Signaturgesetzes neu zu signieren, wenn diese für längere Zeit in signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter als geeignet beurteilt sind. In diesem Falle sind die Daten vor dem Zeitpunkt des Ablaufs der Eignung der Algorithmen oder der zugehörigen Parameter mit einer neuen qualifizierten elektronischen Signatur zu versehen. Diese muss mit geeigneten neuen Algorithmen oder zugehörigen Parametern erfolgen, frühere Signaturen einschließen und einen qualifizierten Zeitstempel tragen. Slide 4

5 ArchiSig: Die Lösung ArchiSig: - Gesetzeskonforme Langzeitarchivierung digital signierter Dokumente Erhaltung der elektronischen Form Bewahrung des hohen Beweiswerts - Technologie: Signaturerneuerung mittel Aufbringen akkreditierter Zeitstempel Rechtliche Anforderungen - Aufbewahrungsfristen (retention management) - Datenschutz (Löschen von Dokumenten) - Wenn digital signierte Dokumente über einen mittleren oder längeren Zeitraum beweiskräftig aufbewahrt werden sollen ist diese Lösung ein notwendiger Teil. Ökonomisch & Performant: - da nicht 1 Zeitstempel pro Dokument benötigt wird, sondern große Dokumentmengen über sog. Hashbäume zusammengefasst werden und diese signiert werden => ca. nur 1 Zeitstempel pro x Dokumente (e.g. einmal pro Tag) Slide 5

6 Warum nur ein Zeitstempel für Dokumente? Hash-Baum - Besteht aus Hash-Werten von beliebig vielen Dokumenten - Pro Hash-Baum nur EIN akkreditierter Zeitstempel erforderlich - Reduzierbar zu Liste Beweis-Dokument - Reduzierter Hash-Baum + Zeitstempel Hash 1 (d 1 ) Hash 2 (d 2 ) Dokument d 1 Hash 5 (h 1 h 2 ) Dokument d 2 Zeitstempel Hash 7 (h 5 h 6 ) Hash 6 (h 3 h 4 ) Hash 3 (d 3 ) Hash 4 (d 4 ) Dokument d 3 Hashwert-Baum Zeitstempel-Siegel Fingerabdruck bzw. Hashwert Dokument d 4 Dokument d1 + Hash h 1 =H(d 1 ) Hash h 2 =H(d 2 ) Hash h 6 =H(h 3 h 4 ) Timestamp t=tsp(h 7 ) = Reduzierter Hash-Baum + Zeitstempel Beweis-Dokument Slide 6

7 Zeitstempel-Erneuerung Zeitstempel wird unsicher, z.b. - Schlüssellänge - Algorithmus - PublicKey Verfahren - Zertifikat läuft ab Häufigkeit - Ca. alle 5 Jahre Was ist zu tun: - Zeitstempel hashen & neuen Hash-Baum aus Zeitstempeln aufbauen - Baum erneut zeitstempeln 1 neuer Zeitstempel pro Baum Kein Zugriff auf Dokumente erforderlich h3 h3 h3 h3 h3 Reduzierter Hash-Baum + Akkred. Zeitstempel Slide 7

8 Hashbaum-Erneuerung Wenn Hash-Algorithmus unsicher wird - Relativ selten: Jahre Für jedes Dokument 1. Beweisdokument erstellen 2. Hashwert berechnen Dokument Beweisdokument 3. Neuer Archivzeitstempel Seltener als Zeitstempel- Erneuerung Jedes Dokument lesen ist aufwändig Hashwert H(d 1 ) Hashwert H(b 1 ) Document d 1 Dokument Beweis-Dokument Slide 8

9 Historie eines Beweisdokumentes Hash-Baum Erneuerung MD5 SHA-1 Schlüssellänge 512 Schlüssellänge 768 Schlüssellänge 1536 Schlüssellänge 768 Schlüssellänge 1024 Schlüssellänge 2048 Schlüssellänge 1536 RIPEMD160 Zeitstempel-Erneuerung Slide 9

10 Gesetzeskonformität & Rechtssicherheit Behebung der rechtliche Unsicherheit durch Mitarbeit, Rechtsgutachten und Simulationsstudie der Universität Kassel (provet) Die Durchführung einer Simulationsstudie mit unabhängigen Richtern, Anwälten und Gutachtern konnte das Konzept bestätigen - 12 beispielhafte Gerichtsverfahren zum Thema der Langzeitarchivierung digital signierter Dokumente - Beschleunigte Alterung: 1Tag = 1 Jahr, Erneuerung der Algorithmen im IXOS-Archiv Ergebnis: - Prof. Roßnagel: Dabei haben die mit ArchiSig aufbewahrten Dokumente durchweg ihre Beweistauglichkeit erwiesen. Dokumente, bei denen Neusignierungen oder Verifikationsdaten fehlten, konnten meist keinen Beweis erbringen. Slide 10

11 Einsatzmöglichkeiten Die digitale Signatur kann überall dort sinnvoll eingesetzt werden wo bisher eine manuelle Unterschrift notwendig war: - Vorsteuerabzug - Antragsverfahren - Genehmigungsverfahren - Patientenakten / Arztbrieferstellung (Uniklinik Heidelberg) - Elektronische Poststelle - DMS- und Verfahrensintegration - Staatsarchive (e.g. Trusted Archive Service, etc.) - Juristischer Bereich (z.b. ejure) -... Slide 11

12 Projekt ArchiSig: Status : ISSE 2003 (Wien): Vortrag 15./ : Presseveranstaltung mit simulierten Gerichtsverhandlungen die die Rechtskraft demonstrieren. Oktober/November 2003: Systems & Moderner Staat : erfolgreicher Projektabschluss Seit Probebetrieb im Universitätsklinikum Heidelberg Evaluierung der Staatskanzlei Niedersachsen IXOS / OpenText wird ArchiSig im Produkt in der zweiten Hälfte 2005 freigeben (auf allen Platformen, etc.) bis dahin als Projektlösung Standardisierung bei der IETF WG LTANS unter dem Arbeitsnamen: ERS (evidence record syntax) bis 05/2005 Slide 12

13 Weitere Projektpartner Uniklinik Heidelberg Niedersächsische Staatskanzlei, Archivverwaltung Universität Kassel SECUDE Sicherheitstechnologie Informationssysteme Fraunhofer Gesellschaft PERGIS Systemhaus DATEV Weitere: Fachhochschule Mannheim Informatikzentrum Niedersachsen T-Systems Slide 13

14 Noch Fragen? Slide 14

15 Zum Appendix: Technik Evaluation im Universitätsklinikum Heidelberg Zeitstempel und das Geld Slide 15

16 Beispielszenario: Klinikum Heidelberg Workflow: Arztbrieferstellung Sekretärin Assistenzarzt Oberarzt Chefarzt Derzeitiger Prozess der manuellen Abzeichnung wird vollständig digitalisiert Module: SAP: ISH-Med (implementiert von T-Systems Austria) IXOS: econserver mit ArchiSig-Erweiterung Secude - Clients zur Ansteuerung der Chipkartenlesegeräte - Neue Verifikationsbibliothek die von SAP ISH-Med angesprochen wird. DATEV: stellt akkreditierten Zeitstempelserver (Timeproof) Slide 16

17 Szenario: Signatur von Arztbriefen am Universitätsklinikum Heidelberg Sekretärin schreibt Arztbrief Stationsärztin signiert* Arztbrief Oberarzt signiert Arztbrief wird per Workflow an Oberarzt weitergeleitet SAP IS-H*Med Secude Security Library Zeitstempel Zweifach signierter Arztbrief wird automatisch an IXOS-eCONserver übergeben IXOS-eCONserver speichert Dokument & Signatur * Brief wird automatisch in PDF konvertiert Slide 17

18 Look & Feel Stationsarbeitsplatz in IS-H*Med 2. Assistenzarzt prüft Arztbrief (WORD) 3. Assistenzarzt signiert Arztbrief (PDF) 4. Info über Signatur wird im PDF Dokument angezeit Slide 18

19 Anzeige des Dokuments und der Prüfergebnisse 1. Das signierte Dokument 2. Prüfergebnis der Signaturen 3. Anzeige der Signaturerneuerung Slide 19

20 Scenario at Heidelberg SAPGUI SAP (ISH-Med) SSF (e.g. sign) verify Secude Security Library Actor1 AL: store document ext. AL: get ArchiveTimeStamp() get Timestamp() - for signing time IXOS-eCONserver get Timestamp() - for conservation of signatures Timest amp- Server renewal of timestamps / hashtrees Back Slide 20

21 Zeitstempel und das Geld Universitätsklinik Heidelberg Dokumente pro Jahr - 60% sind unterschrifts-relevant Dokumente Staatskanzlei Niedersachen Dokumente pro Jahr - 1 % unterschrifts-relevant Dokumente Signatur-Erneuerung ohne ArchiSig - Heidelberg: Dok. * 0, Niedersachsen: Dok. * 0, Signatur-Erneuerung mit ArchiSig - Heidelberg (1 ZS pro Dok.) * 0, Niedersachsen (1x pro Tag): 360 Zeit-Stmp * 0, Back Slide 21