Aktueller Überblick über die Standardisierungsaktivitäten der EU auf dem Gebiet der Elektronischen Signaturen

Transkript

1 Aktueller Überblick über die Standardisierungsaktivitäten der EU auf dem Gebiet der Elektronischen Signaturen Arno Fiedler Nimbus Technologieberatung GmbH Geschäftsführer

2 Grundlagen zur Signaturstandardisierung Elektronische Signaturen und Zertifikate entfalten nur ihren Nutzen, wenn durch eine hinreichend große Zahl an potenziellen darauf Vertrauenden der Netzwerkeffekt eintritt. Im Europäischen Kontext des elektronischen Geschäftsverkehres ist der Bedarf an starker Authentisierung und einer Nicht- Abstreitbarkeit von Willenserklärungen größer als im nationalen System mit gewachsen Kundenbeziehungen. Die Europäische Dienstleistungsrichtlinie fördert die berufliche Freizügigkeit und fordert die nationalen E-Government-Systeme heraus, übergreifende Konzepte und Lösungen für ein elektronisch gestütztes Identitätsmanagement zu schaffen. 2

3 Facetten der eid-standardisierung eid-standardisierung betrifft immer mindestens drei Ebenen: Herausgeber bzw. Trust Service Provider Inhaber bzw. Nutzer Vertrauende Instanz bzw. Empfänger Standardisierung DARF NICHT Selbstzweck sein. Wer finanziert, bestimmt die (hoffentlich offenen) "Standards". Standardisierung ohne Konformität und Testung ist nicht sinnvoll. 3

4 Facetten der eid-standardisierung Standardisierung findet lokal, national (TR eid, ecard, OSCI), europäisch (CEN versus ETSI ) und international (ISO/ITU) statt, selten global einheitlich(icao, OSI X.509). Standardisierung erfolgt durch offizielle Gremien in großer Menge und Vielzahl durch Inoffizielle Allianzen mit großem Erfolg (RFC s, CAB/Forum, OASIS, pdf ) Es gibt für fast alles mindestens einen Standard! Die Entwicklung "neuer" Standards ist selten sinnvoll, bei vielen ist aber eine Aktualisierung und Harmonisierung dringend erforderlich. 4

5 EU esignature Standardisation Work overview ( SEALED, 2007) Survey results: overview of EU ES stds Guidelines for implementation of SSCDs CWA CWA CWA CWA CWA CWA Conformity Assessment CWA CWA CWA Guide on ES use CWA /2 einvoicing & Digital Signatures CWA (intro) assessment guidance of assessment guidance of complements assessment guidance of Digital Accounting domain ETSI TR ETSI TS Directive 1999/93/EC Decision 2003/511/EC stipulates CWA SSCDs EAL 4+ CWA CSP Trustworthy systems CWA Crypto Modules CWA CWA March 2002 March 2004 March 2003 June 2003 March 2002 May 2004 complements 2000/709/EC ETSI TS /2 ALGO CSP Practices ETSI TS ETSI TS ETSI TS Certificates ETSI TS ETSI TS ETSI TR Signature creation Signature verification Signature format CWA CWA ETSI TS Best practices TSP Pol. reqts Registered Electronic Mail ETSI TR DTS/ESI /3 Existing practices DRAFT Mobile signature standards (mcommerce) Algorithms & Param. ETSI TS Signature profiles (egov, einv, Generic) ETSI TS ETSI TS Harmonised TSP status information ETSI TS International harmonisation of Certificate Policies ETSI TR ETSI TR on TS ETSI TS TSA Practices ETSI TS TimeStamping Profile ETSI TS International harmonisation of ES format ETSI TS Signature policy ETSI TS ETSI TR Page ETSI TS ETSI TR

6 Facetten der eid-standardisierung Die EU-Kommission hat den Harmonisierungsbedarf in Bezug auf die Signaturstandardisierung erkannt und im Mandate 460 CEN/CENELEC und ETSI damit beauftragt. Die geplanten Standardisierungsaktivitäten sind in folgendem Dokument beschrieben: ETSI draft Special Report V0.0.2 ( ): <Rationalised Framework for Electronic Signature Standardisation> Dieses Dokument ist nun in der öffentlichen Kommentierung, die nachfolgenden Folien mögen dazu motivieren, sich daran zu beteiligen. 6

7 Struktur des Standardisierungsrahmen 6 Trust Service Status Lists Providers TSPs supporting esignature 4 5 Trust Application Service Providers 1 Signature Creation & Validation Signature Creation Devices 2 3 Cryptographic Suites 7

8 Geplante Typen von Dokumenten 8

9 Detaillierte Struktur des Rahmens Trust Service Status (Lists) Providers TSPs supporting esignature Trust Application Service Providers TSP QC TSP PKC TSSP SGSP SVSP REM & edelivery Information Preservation Signature Creation & Validation CAdES XAdES PAdES ASiC Signature Creation Devices Cryptographic Suites 21 SSCD SCD used by TSPs Other SCDs Suites Requirements ETSI All rights reserved 9

10 Teilbereich Signaturerzeugung -Validierung TR EN EN EN EN EN EN EN EN EN TS TS TS TS TS TS Signature Creation and Validation Sub-areas Business Driven for Signature Creation and Validation for Signature Creation and Validation Protection Profiles for Signature Creation & Validation Applications Procedures for Signature Creation and Validation CAdES - CMS Advanced Electronic Signature Formats XAdES - XML Advanced Electronic Signature Formats PAdES - PDF Advanced Electronic Signature Formats ASiC - Associated Signature Containers Signature Policies for Signature Creation & Validation Applications (& Procedures) General requirements on of SC&V CAdES XAdES PAdES ASiC of Signature Policies 10

11 Signaturerstellungseinheiten (Token, HSM) Signature Creation Devices Sub-areas TR Business Driven for Signature Creation Devices EN Protection Profiles for Secure Signature Creation Devices EN Protection Profiles for Signature Creation Devices used by TSPs EN Protection Profiles for other Signature Creation Devices EN APIs for SSCDs EN General requirements for Signature Creation Device EN for SSCDs EN for Signature Creation Devices used by TSPs EN for other Signature Creation Devices no requirement identified 11

12 Kryptographie (Maßnahmenkatalog?) Cryptographic Suites Sub-areas TR Business Driven for Cryptographic Suites EN Cryptographic Suites for Secure Electronic Signatures TS Testing of implementations of cryptographic algorithms 12

13 "Trust Service Provider" Typen TSPs Supporting Electronic Signatures Sub-areas TR Business Driven for TSPs Supporting Electronic Signatures EN General for TSPs Supporting Electronic Signatures EN for TSPs Issuing Qualified Certificates EN for TSPs issuing Public Key Certificates EN for TSPs providing Time-Stamping Services EN for TSPs providing Signature Generation Services EN for TSPs providing Signature Validation Services EN Profiles for TSPs issuing Qualified Certificate EN Profiles for TSPs issuing Public Key Certificates EN Profiles for TSPs providing Time-Stamping services EN Profiles for TSPs provding Signature Generation Services EN Profiles for TSPs providing Signature Validation Services EN General requirements and guidance for of TSPs supporting e-signatures EN for TSPs Issuing Qualified Certificates EN for TSPs Issuing Public Key Certificates EN for TSPs providing Time-Stamping Services EN for TSPs providing Signature Generation Services EN for TSPs providing Signature Validation Services no requirement identified for such a document 13

14 Spezifischen Trustcenterdienste Trust Application Service Providers Sub-areas TR Business Driven for Trust Application Service Providers EN General for Trust Application Service Providers EN for Registered Electronic Mail (REM) and Registered Electronic Delivery (RED) Ser EN for Information Preservation Service Providers (IPSPs) EN Registered Electronic Mail (REM) and Registered Electronic Delivery (RED) Services EN Information Preservation Services through signing EN General requirements and guidance for of TASPs EN of REM and RED Service Providers EN of Information Preservation Service Providers TS General requirements for of TASPs TS of REM and RED Service Providers 14

15 Trustservice Status List Trustcenter Trust Service Status Lists Providers Sub-areas TR Business Driven for Trust Service Status Lists Providers EN General for Trust Service Status Lists Providers EN for Trusted Lists Providers EN Trust Service Status Information Formats EN Trusted Lists EN General requirements and guidance for of TSSLPs EN of Trusted List Providers TS General requirements for of TSSLPs TS of Trusted Lists 15

16 Schnittmenge zwischen TSP und CSP TSP TSPs supporting esignatures CSP as per Dir 1999/93/EC Trust Application Service Provider 16

17 Fazit Geplante Fertigstellung der EU-Signaturbaumaßnahme bis Ende 2012: Viele gut verständliche Standards in neuer Struktur, somit "Alter, aber guter Wein in neuen Schläuchen" allerdings Papier ist geduldig, "epaper" wird noch geduldiger. 17

18 Spannungsfeld der Anforderungen Kosten/ Nutzen 1999 Arno Fiedler

19 Bedarf an Regulierung? Murphy s Laws on Justice (Bureaucracy?): If the government hasn t taxed, licensed or regulated it, isn t probably worth anything. 19

20 Dipl. Wirtsch.- Ing. Arno Fiedler Nimbus Technologieberatung GmbH Reichensteiner Weg Berlin Mobil: