320 likes | 490 Views
Digitale Signatur - Bürgerkarte Hans G. Zeger, ARGE DATEN Gratkorn, GPA 25.11.2003. Die ARGE DATEN als PRIVACY-Organisation. Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: 30-45.000 Besucher/Monat - Newsletter: 3.500 Abonnenten
E N D
Digitale Signatur - Bürgerkarte Hans G. Zeger, ARGE DATEN Gratkorn, GPA 25.11.2003 ARGE DATEN
Die ARGE DATEN als PRIVACY-Organisation • Aktivitäten der ARGE DATEN • Öffentlichkeitsarbeit, Informationsdienst: • - Web-Service: 30-45.000 Besucher/Monat • - Newsletter: 3.500 Abonnenten • - 2003: rund 350 Medienanfragen/-publikationen • Rechtsschutz, PRIVACY-Services • - 2003: 60 betreute Fälle • Durchführung von Studienprojekten • Mitgliederbetreuung bei individuelleninformationsrechtlichen Fragen • - 2003: ca. 600 Anfragen • Signatur- und Zertifizierungsservice seit 1996 ARGE DATEN
Privatsphäre muß auch im Zeitalter globaler Vernetzung ein Recht für alle bleiben. ARGE DATEN
Problemstellung Auswirkungen und Handlungsbedarf Technik digitale Signatur natürliche vs. digitale Signatur rechtliche Regelungen Signatur - Zertifikat - Chipcard Spezialgebiete ARGE DATEN
Problemstellung • Vertrags- und Formfreiheit in Österreich • [Ausnahmen: Ehe-/ Familienrecht, ...] • Sonderstellung der eigenhändigen Unterschrift • Unterschiede im elektronischen Rechtsverkehr • - Örtliche Trennung der Rechtsteilnehmer • - Nicht Gleichzeitigkeit des Geschäftsabschlusses • - fehlender materieller Träger • - Notwendigkeit technischer Mittel für Rechtsabschluss und die Einschaltung von Dienstleistern (Beglaubigungsstellen, Zustelldienste, Prüfstellen, ...) • - mangelnde Durchschaubarkeit für Teilnehmer ARGE DATEN
Problemstellung • Ziel(e) digitaler Signatur • - Nicht Bestreitbarkeit eines Rechtsvorgangs • - Vermeidung von Medienbrüchen • - weitesgehend automatisierte Abwicklung (Bestellungen, Sachbearbeitung, ...) • - Nachweisbarkeit der Durchführung / Zustellung / Hinterlegung ARGE DATEN
Technik digitale Signatur • Technische Beschreibung • Schritt I: Hashverfahren • Schritt II: Personenbindung • Schritt III: Verifikation • Digitale Signatur ist nicht mit Verschlüsselung zu verwechseln! ARGE DATEN
Technik digitale Signatur • technischer Ablauf - Schritt I • Hashverfahren • Aus einem digitalen String (z.B. Vertragstext) wird ein Hashcode "Fingerprint" generiert • - Typische Techniken: SAH1, RIPEMD-160, MD5, ....) • - Typische Länge: 40 Byte und mehr • - kleine Änderungen im Text sollen starke Änderungen im Hashcode bewirken • Einsatzgebiete • - Sicherung der Authentizität eines Dokuments • - Änderungskontrolle • Einsatz nicht notwendigerweise personenbezogen! ARGE DATEN
Technik digitale Signatur Beispiel ARGE DATEN
Technik digitale Signatur • Probleme bei Hash-Erzeugung • - Sicherheit des Hash-Verfahrens • - Authentizität des Dokuments • - Beweisbarkeit des Zeitpunkts der Dokumentenprüfung • - Durchschaubarkeit des unterschriebenen digitalen Textes • - Empfindlich gegenüber Medienwechsel / Programmwechsel / Darstellungswechsel • - ein sicherer Hash-Code ist nicht merkbar (Länge und Aufbau) ARGE DATEN
Technik digitale Signatur • technischer Ablauf - Schritt II • Personenbindung • Hashcode wird mit persönlichem Code ("privater Schlüssel") verknüpft • - Methode: asymetrische Verschlüsselung • - Typische Techniken: RSA (eingesetzt in Programmen wie PGP, sMIME, ...), DSA ARGE DATEN
Technik digitale Signatur Beispiel ARGE DATEN
Technik digitale Signatur • Probleme bei Personenbindung • - Sicherstellung der Identität des Unterzeichners • - Sicherstellung der Willenserklärung • - Keine Nachahmbarkeit/Verfälschbarkeit des Schlüssels • Personenbindung wird praktisch immer durch Kombination von Besitz und Wissen erreicht ARGE DATEN
Technik digitale Signatur • technischer Ablauf - Schritt III • Verifikation (Übermittlung / Prüfung) • Originaltext und Anhang werden gemeinsam (oder auch getrennt) übermittelt • - öffentliche Schlüssel zur Prüfung notwendig • - öffentliche (sekundenaktuell) geführte Vrezeichnisse notwendig • - vertrauenswürdige Bestätigungsstellen notwendig • - einheitlicher Zeitstandard notwendig ARGE DATEN
Technik digitale Signatur Beispiel Zertifikat Beispiel öffentlicher Schlüssel ARGE DATEN
Technik digitale Signatur • Probleme bei Prüfung • - Durchschaubarkeit der Authentisierung • - Zuverlässigkeit des Betreibers öffentlicher Verzeichnisse • Authentisierungsstelle und Verzeichnisverwalter müssen nicht ident sein! ARGE DATEN
digitale Signatur - Grundlagen • Grundsätzliche Unterschiede digitaler/natürlicher Signatur • - keine unmittelbare Einsichtigkeit (technische Vermittlung) • - Ablaufdatum • - Abhängigkeit von technicher Infrastruktur Dritter • digitale Unterschriften werden niemals persönlichen Unterschriften gleichzusetzen sein ARGE DATEN
digitale Signatur - Umsetzung • Realisierung digitale Signatur • Variante A: • - Entwicklung kompletter, geschlossener Systeme, bei denen Textgenerierung, Signatur, Übertragung, Empfang, Anzeige und Prüfung mit einem einheitlichen System erfolgt • Variante B: • - Verwendung von gemeinsamen technischen Spezifikationen und Standards (Beispiel: Bürgerkarte) • Neue Gefahr(en): Überwachung und Monopolisierung durch wenige Anbieter ARGE DATEN
digitale Signatur - Typisierung • Unterschiedliche Signaturarten • (1) Gewöhnliche digitale Signaturen • (2) Sichere digitale Signaturen • (3) Verwaltungssignaturen • (4) sonstige Bestätigungsverfahren • Unterschiedliche Zertifikats-Typen • (1) persönliche Zertifikate • - gewöhnliche Zertifikate (Signatur verwenden Menschen und Geräte) • - qualifizierte Zertifikate (nur Menschen dürfen Sitgnatur benutzen) • (2) technische Zertifikate • - Serverzertifikate (Geräte benutzen Sitgnatur, z.B. SSL-Verbindungen • - Zeitzertifikate (Geräte benutzen Sitgnatur) ARGE DATEN
Chipkarte und digitale Signatur • Chipkarte und Signatur • - e-government / e-commerce-Lösungen benötigen weder Signaturverfahren und Zertifizierungen, noch Chipkartenlösungen • PIN/TAN-Lösungen wie im Telebanking mit mehr als 1,5 Millionen Anwendungen sind auch ausreichend • - Signaturverfahren benötigen weder Zertifizierungen, noch Chipkarten • - die technischen Verfahren haben Vor- aber auch Nachteile • Die in der Öffentlichkeit präsentierten Junktimierungen haben (auch) ihre Basis in partiellen wirtschaftlichen Interessen ARGE DATEN
Chipkarte und digitale Signatur • Drei potentielle Aufgaben von Chipkarten • - Identifikation • Ein elektronisches Zertifikat, dass den Inhaber der Chipkarte als bestimmte Persondefiniert. • - Authorisierung • Codierte Informationen, meist Nummern/Kennzeichen, die den Inhaber der Chipkarte als Leistungsberechtigten ausweist (Kopierkarte, Bankomatkarte, Zutrittskarte, Fahrschein, Kundenkarten, ...) • - Informationsträger • Die Chipkarte enthält Informationen zu einer Person • Protokollfunktion impliziert Eignung zur Überwachung ARGE DATEN
Chipkarte und digitale Signatur Problemkreis e-card (SV-Karte) Ist grundsätzlich ein Leistungs-Berechtungsnachweis, der an eine Person gebunden ist (im Gegensatz zu vielen anderen Karten, inkl. Bankomatkarte) Die Identifikation (etwa beim Arzt) erfolgt durch Parallelstrukturen bzw. ist noch nicht geklärt. ARGE DATEN
Technik digitale Signatur • Konzept der Bürgerkarte[nfunktion] • Ein "orwellsches" Kunstwort, besser: Personenidentifikationsstandard • - technische Personenbindung ist zentraler Teil des Konzepts • - Integration der Funktionen (Identifikation, Authorisierung und Informationsträger) für unbestimmte Zahl von Verwaltungs- und Geschäftsfällen • keine praktischen technischen Realisierungen vorhanden • - OCG-Ausweis • - a-trust-Zertifikat • Der Kartenbesitzer IST die auf der Karte registrierte Person ARGE DATEN
e-government und digitale Signatur • Geplantes e-government-Gesetz I • Was regelt es? • - eindeutige Identifikation der Bürger • - Vergabe von Stammzahlen auf Grund der ZMR-Zahl • - Generieren von Bereichskennzahlen • - Zugriff der Unternehmen auf ZMR • - Zustellung elektronischer Unterlagen • e-government-Gesetz erster Schritt • - Einführung eines zentralen Namens- und Dokumentenregisters geplant • Gesetz eigentlich ein Bürgerkennzeichnungsgesetz ARGE DATEN
e-government und digitale Signatur • Geplantes e-government-Gesetz II • Worin bestehen die Probleme des Entwurfs? • - finanzielle Benachteiligung des persönlichen Amtsbesuchs • - Unternehmen erhalten direkten Zugriff auf ZMR-Daten • - fehlende Kosten- und Risikoanalysen • - bisherige Signatur-Standards werden unterschritten • - Bereichskonzept in sich unlogisch, besondere Rolle des Bereichskennzeichen "Zustellung" • - Kontrollbehörde wird gleichzeitig Durchführungsbehörde (DSK) • - Zustellanbieter erhalten Einblick in Behördenkontakte (nicht Inhalte) • Details www.argedaten.at/news/20030915.html ARGE DATEN
e-government und digitale Signatur • Geplantes e-government-Gesetz III • Was regelt es nicht? • - Kompetenzverteilungen und Verwaltungsvereinfachung • - e-government auf Länder- und Gemeindeebene • - Definition der "Bereiche" • - Kommunikation der Behörden untereinander • - Zeitplan/Reihenfolge, welche Amtswege tatsächlich elektronisch angeboten werden • - kein Rechtsanspruch auf elektronische Erledigung • - Zulassungsverfahren der Verwaltungssignatur (nur Empfehlungen) • Was könnte e-government bewirken? ARGE DATEN
e-government und digitale Signatur • Probleme des derzeitigen e-Government-Konzeptes • - Behinderung des Zugangs zu Behörden, Märkten und Informationen aufgrund technischer und formaler Rahmenbedingungen • - Grundsätzliche Undurchschaubarkeit des Systems • - Verlust der Rollen-Autonomie • - System ist technisch und administrativ extrem aufwändig • Droht bei e-government das nächste "MUPID"-Desaster? ARGE DATEN
digitale Signatur und Betrieb • Betriebliche Konsequenzen • Verschiedene Einsatzbereiche von Signaturverfahren • - hausinterne Kommunikation (Geschäftsführung/Mitarbeiter, Mitarbeiter untereinander) • - langfristige Beweissicherung (Archivierung) • - Gegenüber Kunden • - Gegenüber Lieferanten • Änderungen gegenüber heutigen Arbeitsabläufen • Strategien • - defensive Strategien: Betriebsvereinbarungen • - offensive Strategien: verstärkte Förderung von und Forderung nach verträglichen Systemen, Diskussion zu den Grenzen der Rationalisierung ARGE DATEN
elektronischer Rechtsverkehr • Perspektive • - derzeitige e-government-Strategie zu kompliziert und undurchschaubar • - enorme Akzeptanzprobleme, wird nicht freiwillig angenommen werden, "nicht marktfähig" • - kann nur durch Zwangsmaßnahmen im Behördenbereich durchgesetzt werden • - bisherige Zertifikatsanbieter hatten hohe Investitionen ohne echten ROI • - Österreichs e-government-Weg ist eine klassische Sackgasse • Warten auf internationale Vorgaben? ARGE DATEN
rechtliche Grundlagen digitale Signatur • Geltende rechtliche Regelungen • (1) Gesetz zur digitalen Signatur (1.1.2000) • (2) Signatur-Verordnung (2.2.2000) • (3) EU-Richtlinie zur digitalen Signatur (13.12.1999) • (4) e-government-Gesetz (Regierungsvorlage, Stand: 24.11.2003) • Derzeit 6 Zertifikatsanbieter • aktuelle Liste unter www.signatur.rtr.at/de/providers/services.html ARGE DATEN
Weitere Informationen • Links- und Informationen zu e-government • Beispiele zu e-government • - www.wko.at/wp/extra/e-government/e-government_2.htm • Zulassungsstelle A-SIT Zentrum f. sichere Informationstechnologie • Aufsichtsstelle RUNDFUNK UND TELEKOM REGULIERUNGS-GMBH (RTR-GMBH) • Bundeskanzleramt • Anbieterinformationen • - www.a-cert.at (ARGE DATEN) • - www.a-trust.at (A-TRUST/A-SIGN/Telekom Austria) ARGE DATEN
Ich danke für Ihre Aufmerksamkeit ARGE DATEN