Die eidas-verordnung und ihre (technische) Umsetzung

Ähnliche Dokumente
(Text von Bedeutung für den EWR)

Die eidas-verordnung und ihre Umsetzung

Die digitale Signatur. Einführung in die rechtlichen Grundlagen der elektronischen Signatur

AK E-Zustellung Verordnung des Europäischen Parlament. Markus Knasmüller

Unterschrift unterwegs

Elektronische Signaturen. LANDRATSAMT BAUTZEN Innerer Service EDV

Welche technischen Voraussetzungen sind für die Nutzung von Zertifikaten notwendig?

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

A-CERT Certificate Policy

Beweiswerterhaltende Aufbewahrung von Dokumenten Anforderungen und Gestaltungsvorschläge

Elektronische Signaturen & Zeitstempel

10 W-Fragen im Umgang mit elektronischen Rechnungen (erechnung)

Anleitung zur Kontrolle der qualifizierten elektronischen Signatur mit Hilfe des Adobe Readers Version 8.0

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Ihren Kundendienst effektiver machen

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises

2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften

Akkreditierung gemäß D -Gesetz

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Mit dem Tool Stundenverwaltung von Hanno Kniebel erhalten Sie die Möglichkeit zur effizienten Verwaltung von Montagezeiten Ihrer Mitarbeiter.

Sicherheitsbestätigung und Bericht. T-Systems SE Zertifizierungsdiensteanbieter Bundesnotarkammer

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

ELViS. Bedienungsanleitung für Bewerber/Bieter. Angebotsabgabe mit qualifizierter Signatur und Softwarezertifikat

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Leichte-Sprache-Bilder

Signieren mit dem AnA für Bieter

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Sind elektronische Unterschriften bindend? Was muss ich tun, um DocuSign anzuwenden: Wenn eine DocuSign ankommt: Q & A:

Statuten in leichter Sprache

Outlook 2013 Ablauf des Einrichtens in Outlook, um s zu signieren und/ oder verschlüsseln zu können

Elektronische Signatur

Rechtssicheres dokumentenersetzendes Scannen Entwicklung einer Technischen Richtlinie

Fragenkatalog 2 vom 3. Juli 2015:

"Umsetzung der Richtlinie Modularer Anforderungskatalog" Dr. Astrid Schumacher/Dietmar Bremser, BSI

EUROCERT. Rahmenvereinbarung

Das Experiment mit der Digitalen Signatur

Signaturgesetz und Ersetzendes Scannen

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

ELBA-business Electronic banking fürs Büro. Digitale Signatur. ELBA-business 5.7.0

SuisseID Risiken und Haftungsfragen

SharePoint Demonstration

Loggen Sie sich in Ihrem teamspace Team ein, wechseln Sie bitte zur Verwaltung und klicken Sie dort auf den Punkt Synchronisation.

REACH-CLP-Helpdesk. Zulassung in der Lieferkette. Matti Sander, Bundesanstalt für Arbeitsschutz und Arbeitsmedizin

Umfrage zur Einführung des elektronischen Abfallnachweisverfahrens

Elektronische Signaturen in der Schweiz. The Business Designers The Technology Designers

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Digital signierte Rechnungen mit ProSaldo.net

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

HANDBUCH ZUR AKTIVIERUNG UND NUTZUNG DER HANDY-SIGNATUR APP

Mindestanforderungen an. Inland ECDIS Geräte im Informationsmodus und vergleichbare Kartenanzeigegeräte. zur Nutzung von Inland AIS Daten

Elektronisches Abfallnachweisverfahren (eanv): die qualifizierte elektronische Signatur (qes)

GPP Projekte gemeinsam zum Erfolg führen

Cloud Computing mit IT-Grundschutz

Was meinen die Leute eigentlich mit: Grexit?

das usa team Ziegenberger Weg Ober-Mörlen Tel Fax: mail: lohoff@dasusateam.de web:

Vorschlag für eine DURCHFÜHRUNGSVERORDNUNG DES RATES

DGN Deutsches Gesundheitsnetz Service GmbH

D , neue Perspektiven für die elektronische Kommunikation

Hinweisblatt zur elektronischen Signatur des WP-Prüfungsvermerks. im Antragsjahr 2015

Gesetzliche Aufbewahrungspflicht für s

Lernaufgabe Industriekauffrau/Industriekaufmann Angebot und Auftrag: Arbeitsblatt I Auftragsbeschreibung

Entwicklung und Einsatz von Signaturserverdiensten

EUROPÄISCHE KOMMISSION

Einrichtung eines Zugangs mit einer HBCI-Chipkarte bei der Commerzbank

Vorbereitung. Kartenlesegerät installieren und bei Bedarf dessen Firmware aktualisieren.

Attribut-Zertifikat importieren zur Nutzung in Sign Live! CC

Anleitung Typo3-Extension - Raumbuchungssystem

Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) (Auszug)

BSI Technische Richtlinie

Die Post hat eine Umfrage gemacht

Mobile qualifizierte elektronische Signatur Fact or Fiction?

Die Umsetzung der Richtlinie gegen unlautere Geschäftspraktiken in Deutschland. Dr. Birte Timm-Wagner, LL.M. Bundesministerium der Justiz

1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die

Vodafone Conferencing Meeting erstellen

Kurzeinstieg in VR-Ident personal

How to do? Projekte - Zeiterfassung

Benutzerhandbuch für die Wirtschaftsteilnehmer

Wir machen neue Politik für Baden-Württemberg

Säuglingsanfangsnahrung und Folgenahrung Was ändert sich? Was bleibt?

Vertrauen in Banken. Bevölkerungsrepräsentative Umfrage. PUTZ & PARTNER Unternehmensberatung AG. Partner der Befragung

61a - 61h Unterabschnitt 1 Erfassung und Übermittlung von Antragsdaten zur Herstellung von Dokumenten

Lehrer: Einschreibemethoden

D i e n s t e D r i t t e r a u f We b s i t e s

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Hinweise zum Umgang mit elektronischen Signaturen

Step by Step Webserver unter Windows Server von Christian Bartl

Lösungshinweise zur Einsendearbeit 2 SS 2011

Maintenance & Re-Zertifizierung

Muster für den Antrag auf Durchführung eines Gütestellenverfahrens

Digitales Rechnungsmanagement as a Service Lösungen für ALLE TEXTILER (Handel und Industrie)

Kundenregistrierung am egeodata Austria Portal

Stellvertretenden Genehmiger verwalten. Tipps & Tricks

Verbrauchertipp! Gesetz zur Button-Lösung

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Installationsanweisung Gruppenzertifikat

Bedienungsanleitung für den SecureCourier

RECHT AKTUELL. GKS-Rechtsanwalt Florian Hupperts informiert über aktuelle Probleme aus dem Beamten- und Disziplinarrecht

Transkript:

Die eidas-verordnung und ihre (technische) Umsetzung Jens Bender Bundesamt für Sicherheit in der Informationstechnik EDV-Gerichtstag / 30.06.2015

eidas-verordnung Allgemeine Bestimmungen Elektronische Identifizierung Vertrauensdienste Allgemeine Bestimmungen (Q F) Signatur (Q F) Siegel (Q F) Zeitstempel (Q nq) Zustelldienst Q Webseitenzertifikate Elektronische Dokumente Schlussbestimmungen Anhänge Jens Bender Folie 2

Heute: (qualifizierte) Signaturen Komponenten und Anforderungen Signaturerstellungseinheiten Signaturanwendungskomponenten Signaturerstellung Jens Bender Folie 3

Regelungshierachie Vertrag von Lissabon eidas-verordnung Unmittelbar geltendes Recht in allen MSen Enthält Ermächtigungen für 1 Delegierter Rechtsakt (Anforderungen Zertifizierungsstellen) 28 Implementierungsrechtsakte Nur 4 verpflichtend zur erlassen, die anderen optional Bisher noch nicht klar, welche optionalen IAs kommen werden Bedarf des Marktes als Hauptkriterium Erstellung wird von Expert Group unterstützt Komitologie-Gruppe gibt Meinung zu den Entwürfen der KOM ab Erlass durch KOM Dritte Ebene: Standardisierung Jens Bender Folie 4

Trust Mark: EUSAFE Logo für qualfizierte TSPs Obligatorische IA Trust List (ETSI TS 119 612 draft) (Nationale) XML-Liste der (q)tsps Signatur- und Siegelformate (ETSI) Die gelisteten Formate müssen vom öffentlichen Sektor akzeptiert werden Ausgenommen: Formate für Langzeitarchivierung ETSI hierbei nicht kompatibel zu TR-ESOR Weitere Formate möglich, dann muss Aussteller Link zu einem Validierungsservice mitliefern Zu diesen IA hat Komitologie positive Meinung abgegeben Zur Zeit Übersetzung, Jens Bender Folie 5

Exkurs: Normen und Standards Jens Bender Folie 6

Normen Viele Durchführungsrechtsakte erlauben nur Kennnummern von Normen als Inhalt Sehr starke Stellung der (Industrie-)Normung als tertiäres Recht Normen erstellt durch internationale / Europäische / nationale Standardisierungsgremien ISO / IEC, CEN / CENELEC, ETSI, DIN, Technische Richtlinien des BSI oder der BNetzA können nicht unter diesen Rechtsakten referenziert werden Jens Bender Folie 7

Viele Normungsgremien... Vienna-Agreement: Koordination / Widerspruchsfreiheit Internationale Normen ISO / IEC Internationale Normen ITU z.t. gleicher Scope Europäische Normen CEN / CENELEC Europäische Normen ETSI Müssen übernommen werden Nationale Normen DIN / DKE Müssen übernommen werden Jens Bender Folie 8

und ihre Wirkung Verweis auf Normen Größere Präzision der technischen Umsetzung Europäische Normen haben Vorrang vor DE-Normen Kein Vorrang internationaler Normen, abhängig von Referenzierung Bei Erfüllung der Norm wird davon ausgegangen, dass die Anforderungen [der VO] erfüllt sind Weniger Ermessen der Aufsichtsbehörde Aber keine Verpflichtung, Norm einzuhalten! Norm = Stand der Technik Ein (q)tsp kann die VO auch anders einhalten muss dies ggfs. gegenüber Aufsichtsbehörde nachweisen Viele Durchführungsrechtsakte optional KOM: nur, falls Bedarf des Marktes / Stakeholder Jens Bender Folie 9

Heute: (qualifizierte) Signaturen Komponenten und Anforderungen Signaturerstellungseinheiten Signaturanwendungskomponenten Signaturerstellung Jens Bender Folie 10

Signaturerstellungseinheiten SigG (bestätigte) Sichere Signaturerstellungseinheiten eidas-vo (zertifizierte) Qualifizierte Signaturerstellungseinheiten Anforderungen zwischen SigRL und eidas i.w. unverändert Erweiterungen um Anforderungen für Server-Signaturen Offen: Was genau ist die Signaturerstellungseinheit? Jens Bender Folie 11

Signaturanwendungskomponenten Aufgaben Anzeige der zu signierenden Daten PIN-Eingabe (oder andere Authentisierung des Anwenders) Signaturprüfung Üblicherweise in DE Kartenleser mit PIN-Eingabemöglichkeit Lokale Software **** 1 2 3 4 5 6 7 8 9 0 Jens Bender Folie 12

Signaturanwendungskomponenten SigG vs. eidas SigG 15(7) [Akkreditierte ZDAs] Bei Produkten für qualifizierte elektronische Signaturen muss die Erfüllung der Anforderungen nach 17 Abs. 1 bis 3 [...] bestätigt worden sein; 17(2) [Produkte für QES] Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten erforderlich [ ] Die Signaturschlüssel-Inhaber sollen solche Signaturanwendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elektronischer Signaturen treffen. eidas-verordnung Erwägungsgrund (56) [...] der Anwendungsbereich der Zertifizierungspflicht [soll] Signaturerstellungsanwendungen aus schließen. Jens Bender Folie 13

Signaturanwendungskomponenten Keine Anforderungen an SAKs Keine Zertifizierung / Bestätigung für SAKs Keine Anwendungsempfehlung guter SAKs Immerhin [eidas & SigRL]: Qualifizierte elektronische Signaturerstellungseinheiten dürfen [...] nicht verhindern, dass dem Unterzeichner diese Daten vor dem Unterzeichnen angezeigt werden. Es ist dem Anwender überlassen wie (und ob!) er sich zu signierende Daten anzeigen lässt Was bedeutet das für die Willenserklärung? Jens Bender Folie 14

Signaturerstellung Lokal Übertragung sicher per Annahme Signaturkarte Direkte Kontrolle über Schlüssel Sign? 1 2 3 4 5 6 7 8 9 0 Jens Bender Folie 15

Signaturerstellung Entfernt Übertragung der Daten und Authentisierung unsicher Vertrauensdiensteanbieter Signaturerstellungseinheit (HSM) Keine direkte Kontrolle über Schlüssel Vertrauen in Anbieter ersetzt Kontrolle Jens Bender Folie 16

SigRL Artikel 2(2): Anforderungen nach SigG fortgeschrittene elektronische Signatur : eine elektronische Signatur, die folgende Anforderungen erfüllt:[...] c) sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann; Der Zertifizierungsdiensteanbieter hat [ 5 SigG] Sich [...] zu überzeugen, dass der Antragsteller die zugehörige sichere Signaturerstellungseinheit besitzt. Keine entfernte Signatur Signaturschlüssel- Inhaber Auth. Signatur Server QES Jens Bender Folie 17

Anforderungen nach eidas-vo Anforderungen an qualifizierte elektronische Signaturerstellungseinheiten Kontrolle mit einem hohen Maß an Vertrauen unter [...] Kontrolle qualifizierte Vertrauensdiensteanbieter Speicherung und Verwaltung privater Signaturschlüssel durch Vertrauensdiensteanbieter explizit möglich Kein Besitznachweis notwendig Keine Anforderungen an Signaturanwendungskomponenten Keine Anforderungen an Anzeige (Browser statt SAK) Signaturschlüssel- Inhaber Auth. Signatur Server QES Jens Bender Folie 18

Signaturerstellung Übertragung der Daten Weder SigG noch eidas-vo machen hierzu Vorgaben Authentisierung SigG: Besitz SSEE + PIN/Biometrie, Bestandteil der Bestätigung eidas: Anhang II (1) d [Anforderungen an QSEEs] [QSEEs müssen gewährleisten, dass der Schlüssel] vom recht mäßigen Unterzeichner gegen eine Verwendung durch andere verlässlich geschützt werden können. Gehört die Authentisierung zur QSEE? Preisfrage: Signiere ich das, was ich glaube zu signieren? Jens Bender Folie 19

(Technisches) Fazit Viele verschiedene Verfahren auf sehr unterschiedlichem Sicherheitsniveau Harmonischer als SigRL, aber bunter als SigG SigRL: Artikel 3 (7) Die Mitgliedstaaten können den Einsatz elektronischer Signaturen im öffentlichen Bereich möglichen zusätzlichen Anforderungen unterwerfen. eidas: Artikel 27 (3) Die Mitgliedstaaten verlangen [...] keine elektronische Signatur mit einem höheren Sicherheitsniveau als dem der qualifizierten elektronischen Signatur. Rechtliche Folgerungen? Jens Bender Folie 20

Weitere Fragen... Neue Dienste: (q) Siegel ( Signatur für juristische Personen ) (q) Elektronische Einschreiben (z.b. De-Mail) qzertifikate für Webseitenauthentisierung (=SSL-Zertifikate) Organisatorische Fragen, z.b. Aufsicht für nicht-q Vertrauensdienste Technische Fragen, z.b. Ketten- oder Schalenmodell oder beides? DE bisher Kettenmodell, die meisten anderen Länder (und die meisten anderen PKIen) Schalenmodell Gibt es weiter eine zentrale Root in DE? Alle qtsps müssen (direkt) in einer Trusted List eingetragen werden Jens Bender Folie 21

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Jens Bender Godesberger Allee 185-189 53175 Bonn jens.bender@bsi.bund.de www.bsi.bund.de www.bsi-fuer-buerger.de Jens Bender Folie 22

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback