Upload
cundry-langenberg
View
105
Download
0
Tags:
Embed Size (px)
Citation preview
© A-CERT 2011A-CERT CERTIFICATION SERVICE
e-billing, digitale Signatur, ein Statusbericht Hans G. Zeger, A-CERT
© A-CERT 2011A-CERT CERTIFICATION SERVICE
ARGE DATEN als Zertifizierungsdienstleister
Zertifizierungsdienste seit 1997
Zertifizierungsanbieter gem. SigG 2000
- A-CERT ADVANCEDfortgeschrittene Signatur gem. § 2 Z 3 SigG
- A-CERT GLOBALTRUSTtechnische Zertifikate (Serverzertifikate gem. X509v3)
- A-CERT COMPANYPublic Key Infrastructure (PKI) für Unternehmen
- A-CERT TIMESTAMPZeitstempeldienst für revisionssichere Archivierung
- A-CERT GOVERNMENTAmtssignaturzertifikate für die öffentliche Verwaltung gem. § 19 e-Government-Gesetz
- GLOBALTRUST QUALIFIED (in Planung)qualifizierte Signatur gem. § 2 Z 3a SigG
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Referenzen A-CERT Zertifizierungsprodukte
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Digitale Signaturen und Zertifikate sind Instrumente zur Herstellung von Vertrauen zwischen "unbekannten" Teilnehmern im Online-Rechtsverkehr
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Signaturgesetz 2000
- jeder kann Signaturverfahren nach eigenem Ermessen einsetzen
- jedes Signatur-Verfahren ist rechtlich gültig
- "qualifizierte" Signaturdienste für Dritte sind registrierungs- bzw aufsichtspflichtig
- Verschiedene Signaturformen- gewöhnliche (technische) Signatur- "fortgeschrittene" Signatur § 2 Z 3 SigG- Amtssignatur, Verwaltungssignatur- "qualifizierte" Signatur § 2 Z 3a SigG
- Umfang der Gültigkeit richtet sich nach gesetzlichen Bestimmungen oder privatrechtlicher Vereinbarung
- "qualifizierte" Signaturen müssen von Behörden als eigenhändig anerkannt werden
Grundlagen Signaturgesetz (SigG)
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Fortgeschrittene Signatur und Zertifikat (§ 2 Z 3 SigG)
Signatur ...
- ... ist ausschliesslich dem Signator zugeordnet (lit. a)
- ... erlaubt die Identifizierung des Signators (lit. b)
- ... steht unter alleiniger Kontrolle des Signators (lit. c)
- ... erlaubt nachträgliche Veränderung der Daten zu erkennen (lit. d)
Was tut A-CERT als Zertifizierungsstelle?
- identifiziert den Signator (lit.b)
- stellt Techniken zur Signatur bereit (lit. a,d)- unterstützt und berät Signator (lit.c)
Grundlagen Signaturgesetz (SigG)
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Wie die Signatur auf einem Dokument aufgebracht?
Rechnung
1
• 1. Dokument (Rechnung)
Hash
2• 2. Erzeugen eines
Hash des Dokuments (Rechnung)
Verschlüss.Hash
Priv. Schlüssel
3
• 3. Verschlüsseln des Hash mit privatem Schlüssel des Absenders
4Signator-Zertifikat
• 4. Signatorzertifikat + öffentlichen Schlüssel beifügen
5
• 5. signiertes Dokument (Rechnung) versenden
Grundlagen Signatur
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Wie wird die Signatur geprüft?
Rechnung
Verschlüss.Hash
Signator-Zertifikat
Hash1
• 1. Empfänger berechnet aus der Rechnung Hash
Öffent. Schlüssel
Entschlüss.Hash
2
• 2. Empfänger entschlüsselt den verschlüsselten Hash mit dem öffentlichen Schlüssel des Absenders
3=
• 3. Empfänger vergleicht die beiden Hashwerte
4
• 4. Empfänger prüft Online die Gültigkeit des Zertifikats
Grundlagen Signatur
© A-CERT 2011A-CERT CERTIFICATION SERVICE
kleine (Kultur-)Geschichte zu eBilling
- 2001: EU-RL 2001/115/EG (Mehrwertsteuerrichtlinie)
- 2003: Verordnung 583/2003 des BMF zur elektronischen Rechnungslegung
- 2004: Registrierung des fortgeschrittenen Zertifizierungsdienstes A-CERT ADVANCED bei RTR/TKK
- 2005-10: mehrere - im Kern gleichbleibende - Richtlinien des BMF zur Verordnung
- 2010: EU will weitere Authentisierungsverfahren zur elektronischen Rechnungslegung ermöglichen
- 20??: Ende der unsignierten Fax-Rechnung
alle Dokumente Online unter:http://www.a-cert.at/static/a-cert-advanced-praesentation-komplett.pdf
eBilling
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Inhalt der BMF-Richtlinie (Auszug)- Zustimmung des Empfängers erforderlich (reicht aber auch stillschweigende Billigung oder Praxis)
- es muss "fortgeschrittene" Signatur verwendet werden (Ausnahmen bei EDI und Rechnungsübermittlung an Bund)
- Signatur + Verfahren müssen leicht nachprüfbar sein, es dürfen aber externe Prüfstellen verwendet werden (etwa https://pruefung.signatur.rtr.at/)
- Ausdruck als vorläufiger Nachweis einer Rechnung zulässig
- Signatur mus auf eine natürliche Person ausgestellt sein
- Signatur durch Dritte (Dienstleister) ist zulässig
- mehrere Rechnungen können mit einer Signatur unterschrieben werden
derzeitige Version BMF-010219/0288-VI/4/2010 Stand 18.11.2010
eBilling
© A-CERT 2011A-CERT CERTIFICATION SERVICE
eBilling
Warum elektronische Rechnung?
Nutzen des Ausstellers
- Integration des Rechnungsversands in Rechnungslegung/Buchhaltung
- vereinfachtes Handling (Drucken, Kuvertieren, ...)
- raschere Zustellung frühere Bezahlung??
- geringere Zustell- und Materialkosten (Porto, Papier)
Nutzen des Empfängers
- Integration der Rechnungübernahme in Rechnungslegung/Buchhaltung (kein OCR, Scannen, ...)
- Automatisierung der Rechnungsprüfung
- vereinfachte Archivierung, bessere Terminkontrolle,
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Grenzen der elektronischen Rechnung- Konsumenten: erwarten Papierrechnung, sind mit
elektronischer Archivierung überfordert
- kleine Unternehmen, ohne integriertes Buchhaltungs- und Archivierungswesen haben keine Vorteile
- kleine Unternehmen, mit geringen Belegszahlen bei denen Papierhandling und Versand "nebenbei" erfolgen
- Unternehmen, bei denen Rechnung nur Teil des Gesamtbelegs ist (Parkhäuser, Eintrittskarten, Kinokarten, ...)
- Unternehmen, bei denen Rechnung persönlich übergeben wird: klassische Freizeitbetriebe, Restaurants, Taxis, ...
- Unternehmen, bei denen Rechnungen nicht üblich sind:Marktfahrer, "kalte Hand-Regel", ...
eBilling
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Fragen aus der täglichen Praxis
Jeder Mitarbeiter, der im Unternehmen beauftragt wurde
Jemand im Unternehmen der tatsächlich den technischen Prozess beaufsichtigt
Jeder Rechnungsleger kann sich eines Dritten für die Signatur der Rechnung bedienen
Nein, er muss nur fortgeschrittene Signaturverfahren verwenden
- Wer darf signieren?
- Wer sollte signieren?
- Ist Dienstleistersignierung zulässig?
- Muss der Dritte spezifische Anforderungen erfüllen?
- Darf automatisch signiert werden?Ja, die Willenserfordernis wie bei der "qualifizierten" Signatur ist nicht gegeben
eBilling
© A-CERT 2011A-CERT CERTIFICATION SERVICE
A-CERT ADVANCED
Einsatzmöglichkeiten fortgeschrittene Signatur
- elektronische Rechnungslegung, inkl. Gutschriften, Bestellungen, Auftragsbestätigungen, Lieferscheine, ....
- Signatur von Bescheiden, behördlichen Mitteilungen
- signieren von Mails
- Softwaresignatur
- Dokumentenmanagement (Vidierung elektronischer Dokumente)
- Vergabe von Zeitstempel für Dokumenteunabhängig vom Dateiformat einsetzbar
- beliebige Dokumentenformate, wie .xml, .pdf, .txt, .html, .doc, ....
.pdf ist bei Rechnungslegung derzeit beliebtestes Format
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Nischen und Märkte, abseits von eBilling ... - Verschlüsselte Mailübertragung durch Mailserver (TLS statt
Individualsignierung)- zertifizierte Webseiten, sichere Webkommunikation- longterm Dokumentenmanagement (Online-Tresore)
(Vidierung und Archivierung elektronischer Dokumente)- zeitliche Synchronisation von Geschäftsprozessen- Signatur von Programmen- Signatur von Protokollen (z.B. gem. §14 DSG erstellte
Protokolle)- Unternehmens-PKIs (z.B. Stromhandel,
Lebensmittelhandel)- "Web der Dinge", Ausstattung "smarter" Geräte mit
Zertifikaten zur sicheren Identifikation (z.B. SmartMeter, SmartPhones, ...)
... und wenn das alles funktioniert ...- Online-Identifikation von Maschinen und Menschen
("Single Sign On")
... danach kann man weiter schauen ...
Signaturmarkt im Umbruch
© A-CERT 2011A-CERT CERTIFICATION SERVICE
A-CERT fortgeschrittene Signatur
A-CERT ADVANCED LösungenFortgeschrittene Signatur gem. SigG in drei Varianten
- Version I: Crypto-DateiDie Signatur erfolgt mittels einer verschlüsselten Datei.Typischer Anwendungsfall: gesicherte IT-Umgebung, Serverlösung, Massensignatur
- Version II: eTokenDie Signatur erfolgt mittels Smart-Chip auf USB-Token.Typischer Anwendungsfall: mobile Anwendungen
- Version III: SmartcardDie Signatur erfolgt mittels Smartcard.Typischer Anwendungsfall: Workstations, Einzelsignatur
Signaturtechnisch sind alle Varianten gleichwertig, in den Zertifikaten ist vermerkt, welches Produkt
verwendet wurde
© A-CERT 2011A-CERT CERTIFICATION SERVICE
A-CERT Entwicklungen
A-CERT Projekte
GLOBALTRUST QUALIFIED
"Qualifizierte" digitale Signatur gemäß SigGderzeit Vorbereitung der österreichischen Registrierungspezifische Anwendungsbereiche, wie elektronische Ausschreibungen
A-CERT COMPANY
Unterstützung von Unternehmen im Aufbau eigener Public Key Infrastrucutures, insbesondere beim Einsatz in "smarten" GerätenSchwerpunkt sind Langzeitzertifikate bis 2036
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Kontaktinformationen
Vortragender: Hans G. Zeger, A-CERTA-1010 Wien, Vorlaufstraße 5
Tel.: 01 / 53 20 944Fax.: 01 / 53 20 974Mail A-CERT: [email protected] persönlich: [email protected]
Zertifizierung: http://www.a-cert.atWWW-Verein: http://www.argedaten.at
alle rechtlich relevanten Dokumente zu eBilling:http://www.a-cert.at/static/a-cert-advanced-praesentation-komplett.pdf
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Ich danke für Ihre Aufmerksamkeit
© A-CERT 2011A-CERT CERTIFICATION SERVICE
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Besonderheit des Signaturmarktes
- Abweichend von anderen IT-Lösungen (Buchhaltung, Archivierung, Kommunikationstechnik, ...) ist dieser Markt stark gesetzlich reguliert
Einige Lösungen jedoch wenig erfolgreich
- Akzeptanzgründe (Bürgerkarte)
- unklare gesetzliche Vorgaben, siehe GTelG
- wirtschaftliche Interessen und bestehende alternative Lösungen, siehe Online-Banking
- mangelnde Investitionssicherheit, kurze LaufzeitenIst damit die Idee der digitalen Signatur
gescheitert?
digitale Signatur vs. Unterschrift
© A-CERT 2011A-CERT CERTIFICATION SERVICE
NEIN - aber man sollte die Unterschiede zur "natürlichen" Unterschrift kennen
Fehlende unmittelbare Einsichtigkeit- einer konventionellen Unterschriftenleistung kann
man zuschauen, einer digitalen darf man nicht zuschauen
Wiederholbarkeit- konventionelle Unterschriften sind nicht
wiederholbar, Identität gilt als Beweis für eine Fälschung, bei der DigSig ist Wiederholbarkeit zentrales QualitätsmerkmalBeschränkte Gültigkeit
- konventionelle Unterschrift ist unbeschränkt gültig und kostenfrei, bei der DigSig ist die Gültigkeit unbestimmt
Möglichkeit der exakten Zeitinformation- konventionelle Unterschriften enthalten keine
sicheren Zeitinformationen, DigSig können diese enthalten
digitale Signatur vs. Unterschrift
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Signaturmarkt und Alternativen
... und man sollte die Alternativen zur digitalen Signatur kennen
- Applikationsplattformen, wie Portalverbund, eBilling-Plattformen, Zustell- und Validierungsservices
- propriäteres IT-Sicherheits-Management, wie derzeit bei den meisten DocumentManagementSystemen
- Token-Lösungen, wie Handy-PIN/TAN, SecurityCard, ...
- bestehende Anmeldeverfahren (Login/PSW) werden erhalten bleiben, insbesondere beim privaten Enduser, der vielleicht 3-5 Kennungen zu verwalten hat
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Warum wird sich digitale Signatur durchsetzen?
- Paradigmenwechsel: digitales Dokumentensiegel statt Unterschriftsersatz (Entemotionalisierung der Debatte)
- klare Definition von Anwendungen und Zielgruppen (digitale Signatur ist kein Allheilmittel)
- Bescheidenheit beim Sicherheitsbeitrag (digitale Signatur ist nicht die endgültige Sicherheitslösung)
- realistische technische Standards (Integration in bestehende IT-Prozesse)
- offene Lösungen und Einbindung von Partnern (digitale Signatur hat noch immer zu viele Sonderlösungen, ausschließende Angebote führen nicht zur Wahl des besten, sondern die Interessenten lassen es bleiben)
Digitale Signatur s
ollte
dort verw
endet und
gefördert werden, w
o
sie sc
hon funktio
niert
Signaturmarkt im Umbruch
© A-CERT 2011A-CERT CERTIFICATION SERVICE
SPAM-Problem - Ausmaß
Quelle: Symantec
Signaturanwendung Mailserver
© A-CERT 2011A-CERT CERTIFICATION SERVICE
SPAM-ENTWICKLUNG
1,0
0%
3,0
0%
7,0
0%
28
,00
%
51
,00
%
73
,20
%
81
,30
%
86
,20
%
84
,60
%
81
,20
%
93
,28
%
80
,00
%
97
,00
%
0
100
200
300
400
500
600
700
800
900
1.000
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 min max
0,00%
50,00%
100,00%
150,00%
200,00%
250,00%
300,00%
350,00%
400,00%
450,00%
500,00%
um 100 erwünschte Mails zu lesen müssen xxx Mails angesehen werden
Anteil Spam am Mailverkehr [in%]
100%
50%
Anteil Spam am Mailverkehr
SPAM-ENTWICKLUNG
1,0
0%
3,0
0%
7,0
0%
28
,00
%
51
,00
%
73
,20
%
81
,30
%
86
,20
%
84
,60
%
81
,20
%
93
,28
%
80
,00
%
97
,00
%
0
100
200
300
400
500
600
700
800
900
1.000
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 min max
0,00%
50,00%
100,00%
150,00%
200,00%
250,00%
300,00%
350,00%
400,00%
450,00%
500,00%
um 100 erwünschte Mails zu lesen müssen xxx Mails angesehen werden
Anteil Spam am Mailverkehr [in%]
um 100 erwünschte Mails zu lesen müssen xxx Mails angesehen werden
100 Mails erwünscht = 1488 Eingangsmails
100 Mails erwünscht = 3333 Eingangsmails
100%
50%
Anteil Spam am Mailverkehr [in%]
SPAM-Problem - Aufwand der Benutzer
Signaturanwendung Mailserver
© A-CERT 2011A-CERT CERTIFICATION SERVICE
TLS-Mailserver als Spam-Antwort?TLS = Transport Layer Security (TLS) :Standardisierung des sicheren Datenverkehrs auf Transportebene, Nachfolger von SSL (Secure Socket Layer)
Au
sgew
ert
et
wu
rde d
er
Mailv
erk
eh
r d
es
ein
es
Mon
ats
(M
ails
erv
er
au
s 9
10
at-
dom
ain
s)
Verteilung Mailserver bei at-Domainen
38%
62%
TLS UNSICHER
= sicherer Mailverkehr
= unsicherer Mailverkehr
Signaturanwendung Mailserver
© A-CERT 2011A-CERT CERTIFICATION SERVICE
... und was machen die Vorbilder?eGovernment-Sektor (*.gv.at-Mail-Server)
Verteilung Mailserver bei gv.at-Domainen
34%
66%
TLS UNSICHER
= sicherer Mailverkehr
= unsicherer Mailverkehr / eGov-
konform?
Signaturanwendung Mailserver
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Vorbilder II: Internet-Service Provider
Verteilung Mailserver bei at-Provider
60%
40%
TLS UNSICHER
= sicherer Mailverkehr
= unsicherer Mailverkehr
Signaturanwendung Mailserver
© A-CERT 2011A-CERT CERTIFICATION SERVICE
Sichere Übertragung vertraulicher DatenSeit 2002 schreibt EG-Richtlinie Telekommunikation sichere und identifizierte Datenübertragung vor
Au
sgew
ert
et
wu
rden
Fo
rmu
lare
von
etw
a 6
00
öst
err
eic
his
chen
O
rgan
isati
on
en
Verteilung Webserver bei Österreichorganisationen
20%
80%
unsicher sicher oder unbekannt
= sichere Übertragung Passwort
= unsichere Übertragung
Passwort
Signaturanwendung Web/eCommerceserver