310 likes | 420 Views
A-CERT - fortgeschritten signieren und zertifizieren Hans G. Zeger, ARGE DATEN SAP Wien, 3.10.2006. ARGE DATEN als Zertifizierungsdienstleister. Zertifizierungsdienste seit 1997 Zertifizierungsanbieter gem. SigG 2000 Produktfamilie A-CERT - A-CERT ADVANCED persönliche Zertifikate (X509v3)
E N D
A-CERT - fortgeschritten signieren und zertifizieren Hans G. Zeger, ARGE DATEN SAP Wien, 3.10.2006 A-CERT CERTIFICATION SERVICE
ARGE DATEN als Zertifizierungsdienstleister • Zertifizierungsdienste seit 1997 • Zertifizierungsanbieter gem. SigG 2000 • Produktfamilie A-CERT • - A-CERT ADVANCEDpersönliche Zertifikate (X509v3) • - A-CERT GLOBALTRUSTtechnische Zertifikate (Serverzertifikate) (X509v3) • - A-CERT COMPANYPublic Key Infrastructure (PKI) für Unternehmen • - A-CERT TIMESTAMPZeitstempeldienst für revisionssichere Archivierung • - A-CERT GOVERNMENTAmtssignaturzertifikate für die öffentliche Verwaltung gem. e-Government-Gesetz §19 A-CERT CERTIFICATION SERVICE
Referenzen A-CERT Zertifizierungsprodukte A-CERT CERTIFICATION SERVICE
Digitale Signaturen sind Instrumente zur Herstellung von Vertrauen zwischen Internetnutzern A-CERT CERTIFICATION SERVICE
Rechtliche Grundlagen Aufbau des Zertifikats Lösungsbeispiel pdf-Rechnung eBilling-Lösungsvarianten Certificate Policy A-CERT ADVANCED A-CERT CERTIFICATION SERVICE
Grundlagen SigG • Signaturgesetz 2000 • - jeder kann Signaturverfahren nach eigenem Ermessen einsetzen • - jedes Signatur-Verfahren ist rechtlich gültig • - Signaturdienste für Dritte sind registrierungs- bzw aufsichtspflichtig • - Verschiedene Signaturformen- gewöhnliche Signatur- "fortgeschrittene" Signatur §2 Z3 lit.a bis d SigG- Verwaltungssignatur, Amtssignatur- "sichere" (qualifizierte) Signatur • - Umfang der Gültigkeit richtet sich nach gesetzlichen Bestimmungen oder privatrechtlicher Vereinbarung A-CERT CERTIFICATION SERVICE
Grundlagen SigG • Signatur und Zertifikat (§ 2 Z 3 lit. a bis d SigG) • Signatur ... • - ... ist ausschliesslich dem Signator zugeordnet (lit. a) • - ... erlaubt die Identifizierung des Signators (lit. b) • - ... steht unter alleiniger Kontrolle des Signators (lit. c) • - ... erlaubt nachträgliche Veränderung der Daten zu erkennen (lit. d) Was tut A-CERT als Zertifizierungsstelle? • - identifiziert den Signator (lit.b) • - stellt Techniken zur Signatur bereit (lit. a,d) • - unterstützt und berät Signator (lit.c) A-CERT CERTIFICATION SERVICE
elektronische Rechnungslegung • Geschichte der elektronischen Rechnungslegung (eBilling) • - 2001: EU-RL 2001/115/EG (Mehrwertsteuerrichtlinie) • - 2003: Verordnung 583/2003 des BMF zur elektronischen Rechnungslegung • - 2004: Registrierung des fortgeschrittenen Zertifizierungsdienstes A-CERT ADVANCED bei RTR/TKK • - 2005: Erlass des BMF zur Verordnung • - 2007: Ende der unsignierten Fax-Rechnung • alle Dokumente Online unter:http://www.a-cert.at/static/a-cert-advanced-praesentation-komplett.pdf A-CERT CERTIFICATION SERVICE
elektronische Rechnungslegung Fragen aus der täglichen Praxis • - Wer darf signieren? • Jeder Mitarbeiter, der im Unternehmen beauftragt wurde • - Wer sollte signieren? • Jemand im Unternehmen der tatsächlich den technischen Prozess beaufsichtigt • - Ist Dienstleistersignierung zulässig? • Jeder Rechnungsleger kann sich eines Dritten für die Signatur der Rechnung bedienen • - Muss der Dritte spezifische Anforderungen erfüllen? • Nein, er muss fortgeschrittene Signaturverfahren verwenden • - Darf automatisch signiert werden? • Ja, die Willenserfordernis wie bei der "sicheren" Signatur ist nicht gegeben A-CERT CERTIFICATION SERVICE
Rechnung • 1. Rechnung • 2. Erzeugen eines Hash der Rechnung 2 • 3. Verschlüsseln des Hash mit privatem Schlüssel des Absenders Hash 1 • 4. Signatorzertifikat + öffentlichen Schlüssel beifügen Verschlüss. Hash 3 • 5. signierte Rechnung versenden Signator- Zertifikat Priv. Schlüssel 4 5 digitale Signatur Wie funktioniert die Signatur einer Rechnung? A-CERT CERTIFICATION SERVICE
Rechnung • 1. Empfänger berechnet aus der Rechnung Hash 1 Hash • 2. Empfänger entschlüsselt den verschlüsselten Hash mit dem öffentlichen Schlüssel des Absenders 3 • 3. Empfänger vergleicht die beiden Hashwerte 2 Verschlüss. Hash Entschlüss. Hash = • 4. Empfänger prüft Online die Gültigkeit des Zertifikats Signator- Zertifikat Öffent. Schlüssel 4 digitale Signatur Wie wird geprüft? A-CERT CERTIFICATION SERVICE
Offizielle Unternehmensbezeichnung Ländername gem. ISO-3166-1 Regionalangabe, optional Ortsangabe CN=Buchhaltung,.... / Person, alternativ Verwendungszweck oder Pseudonym Mailadresse Gültigkeitsdauer, kann auch frei vergeben werden Aufbau des Zertifikats • A-CERT ADVANCED Zertifikat • - entspricht ITU X509v3 - Standard • - für Internet in RFC3647 & RFC3280 geregelt • Zentrale Zertifikats-Merkmale • Subject: C=AT, ST=-, L=WIEN, O=Testzertifikat, • CN=Max Mustermann/emailAddress=muster@freenet.at ValidityNot Before: Jan 14 00:00:00 2005 GMTNot After : Jan 14 01:37:50 2009 GMT A-CERT CERTIFICATION SERVICE
Interpretation des Zertifikats Zertifikatsinterpretation bei Microsoft A-CERT CERTIFICATION SERVICE
Interpretation des Zertifikats Zertifikatsinterpretation bei Microsoft A-CERT CERTIFICATION SERVICE
A-CERT ADVANCED • Funktionalität A-CERT ADVANCED • - X.509v3 Standard • - firmenspezifische Erweiterungen möglich • - OCSP (Online Certificate Status Protocol) zur Onlineprüfung des Zertifikatwiderrufs • - LDAP-Services zur einfachen Integration von Benutzerdaten, Zertifikaten und öffentlicher Schlüssel A-CERT CERTIFICATION SERVICE
A-CERT ADVANCED Vorteile von A-CERT ADVANCED • - flexible Verwendung von Signaturerstellungs-einheiten • - unternehmerfreundliche Laufzeit von 4 Jahren (auch frei wählbare Zeiträume sind möglich) • - Möglichkeit Pseudonyme zu verwenden ("Buchhaltung" statt "Peter Müller") • - massensignaturfähig • - automatisierte Verwendung zulässig • - Zertifikat wird ins Haus geliefert (keine "Amtswege") • - rasches Ausstellungsprozedere • A-CERT ADVANCED ist Microsoft XP-Ready A-CERT CERTIFICATION SERVICE
A-CERT ADVANCED • Einsatzmöglichkeiten A-CERT ADVANCED • - elektronische Rechnungslegung, inkl. Gutschriften, Bestellungen, Auftragsbestätigungen, Lieferscheine, .... • - signieren von Mails • - Softwaresignatur • - Dokumentenmanagement (Vidierung elektronischer Dokumente) • - Vergabe von Zeitstempel für Dokumente • unabhängig vom Dateiformat einsetzbar • - beliebige Dokumentenformate, wie .xml, .pdf, .txt, .html, .doc, .... .pdf ist bei Rechnungslegung derzeit beliebtestes Format A-CERT CERTIFICATION SERVICE
Hinweis auf Rechtsgrundlage Hinweis auf Archvierungspflicht und Prüfmöglichkeit A-CERT ADVANCED Signaturbeispiel pdf-Rechnung A-CERT CERTIFICATION SERVICE
Hinweis auf technische Hilfe A-CERT ADVANCED Signaturbeispiel pdf-Rechnung A-CERT CERTIFICATION SERVICE
Prüfung der Unterschrift A-CERT ADVANCED Signaturbeispiel pdf-Rechnung A-CERT CERTIFICATION SERVICE
Benutzer aktiviert Rechnungsausgabe und Signatur BH-Applikation signiert Rechnungs-präsentation Posteingang Mailserver elektronische Rechnung Lösung I: Integration Rechnungslegung A-CERT CERTIFICATION SERVICE
Benutzer aktiviert Rechnungsausgabe BH-Applikation bleibt unverändert Rechnungs-präsentation Proxy-Administrator überwacht und steuert Signaturvorgang Posteingang pdf-Proxy-Signer Mailserver elektronische Rechnung Lösung II: pdf-Proxy-Lösung A-CERT CERTIFICATION SERVICE
Applikation I Applikation II Applikation III Benutzer ruft Rechnung ab Webserver .pdf .xml Applikation IV .txt Applikation V Rechnungs-präsentation Applikation VI .html Signer-Server unterstützt verschiedene Formate, veschiedene Signaturen, Archivierung, verschiedene Ausgaben, .... Posteingang Mailserver elektronische Rechnung Lösung IV: Signaturplattform A-CERT CERTIFICATION SERVICE
BH-Applikation erzeugt pdf-Output Rechnungs-präsentation Posteingang Benutzer aktiviert Signatur (einzeln oder als Batch-Lösung Mailserver elektronische Rechnung Lösung: pdf-Signer Workstation A-CERT CERTIFICATION SERVICE
A-CERT ADVANCED Certificate Policy • Aufsichtsbehörde verlangt verpflichtende Anwendung einer Certificate Policy • - Identitätsprüfung • - persönliche Ausstellung • - sichere Verwahrung • - Meldepflicht bei Missbrauch / Verlust • - effiziente minutenaktuelle Widerrufsverwaltung mittels Online Certificate Status ProtocolOCSP - URI:http://ocsp.a-cert.at • - Verwendung einer OID, Eintrag der Policy in ZertifikatPolicy: 1.2.40.0.24.1.1.1.3- CPS: http://www.a-cert.at/certificate-policy.html A-CERT CERTIFICATION SERVICE
Zeitstempeldienst • A-CERT TIMESTAMP • Elektronische Dokumente mit Zeitstempel versehen • - A-CERT garantiert, dass ein Dokument zu einem bestimmten Zeitpunkt existierte • - 50 Zeitstempel bei A-CERT ADVANCED - Zertifikaten inkludiert • - Zeitgenauigkeit von einer Sekunde wird garantiert • - laufende Synchronisation mit Frankfurter Atomuhr • - Implementierung gemäß RFC3161, Datenübertragung zusätzlich SSL-verschlüsselt • - kostenloser Klient für das Erstellen der Zeitstempel A-CERT CERTIFICATION SERVICE
Zeitstempeldienst A-CERT TIMESTAMP - Client A-CERT CERTIFICATION SERVICE
A-CERT fortgeschrittene Signatur • Kosten Signatur / Zertifikat • - 2jähriges Zertifikat: 80,- EUR (+Ust.) • - 4jähriges Zertifikat: 140,- EUR (+Ust.) • Hardware-Token • Aladdin Cryptotoken mit evaluiertem Signaturbetriebssystem • + 20,- EUR (+Ust.) • Keine Kosten für Rechnungssignatur, Signaturprüfung oder Widerruf A-CERT CERTIFICATION SERVICE
eBilling Ausblick • Entwicklung der elektronischen Rechnung • - Elektronische Rechnungslegung wird 2006/07 im B2B-Bereich Top-Thema bleiben • - Archivierung und Weiterverarbeitung der Rechnunge werden zentrale Themen • - Kunden werden eBilling gegenüber Lieferanten forcieren • - zeitliche Synchronisation von Geschäftsprozessen (TIMESTAMP) wird an Bedeutung gewinnen A-CERT CERTIFICATION SERVICE
Kontaktinformationen Vortragender: Hans G. Zeger ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: 0676 / 9107032 Fax.: 01 / 4803209 Mail A-CERT: info@a-cert.at Mail persönlich: hans.zeger@a-cert.at Zertifizierung: http://www.a-cert.at e-commerce: http://www.e-rating.at WWW-Verein: http://www.argedaten.at alle rechtlich relevanten Dokumente zu eBilling:http://www.a-cert.at/static/a-cert-advanced-praesentation-komplett.pdf A-CERT CERTIFICATION SERVICE
Ich danke für Ihre Aufmerksamkeit A-CERT CERTIFICATION SERVICE