institut für bibliothekswissenschaft an der humboldt-universität berlin 1 20.6.2001 signatur - web...

Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin

120.6.2001 Signatur - Web of trust - Vertrauensnetzwerke

Vertrauen – SS 2001 Inhalt

Vertrauen ein ökonomisches und ethisches Prinzip

elektronischer Märkte

Digitale Signatur – Digitale ZertifizierungWeb of trust

V8 - 20. Juni 2001 Dozent: Rainer Kuhlen

IB-HU-Berlin




Ausgangslage für Signatur und Vertrauensnetzwerke (Web of trust)

Selbstregulierung der Wirtschaft – Beispiel: Persönliche Zertifizierung über Thawte

Selbstregulierung über Verbände – Beispiel: WebTrust: American Institute of Certified Public Accountants

Inhalt

Grundlegende Literatur für Vertrauensnetzwerke: Rohit Khare and Adam Rifkin: Weaving a Web of Trust - http://www.cs.caltech.edu/~adam/local/trust.html

Staatliche Vorgaben: Digitale Signatur in Deutschland

Selbstregulierung aus der Internet-Community - Beispiel: PGP

Anwendung des Web of trust beim C2C – Beispiel Epinions.com




Ausgangslage für Signatur und Vertrauensnetzwerke (Web of trust)Bei allen elektronischen Kommunikationssituationen treten die Probleme der

Identität und Authentizität auf.

Wie kann man sicher sein, dass die Person auch

diejenige ist, die sie zu sein behauptet?

Wie kann man sicher sein, dass die Botschaft, die

angekommen ist, mit der identisch ist, die abgesandt

wurde?

Insbesondere tritt das Problem bei der Anwendung des Public-key-Verschlüsselungsverfahren.

Wie kann man sicher sein, dass der Public key wirklich von der Person stammt, die dies behauptet.




Überprüfungsmöglichkeit für den Public key einer Person x

In http://www.rubin.ch/pgp/weboftrust.de.html (Patrick Feisthammel) wird auf drei Möglichkeiten verwiesen:

Ich suche im offiziellen Telefonbuch nach seiner Telefonnummer, rufe x an und lasse mir von x seine Schlüsseldaten geben. Dazu muss ich aber x kennen (Stimmenidentifikation), denn es könnte sich ja eine andere Person als x ausgeben.

Ich gehe bei x vorbei, lasse mir seinen Ausweis zeigen und die Schlüsseldaten geben.

Ich schaue, ob jemand den ich kenne, die Identität von x elektronisch bestätigt.

Je mehr ich kenne, die die Identität von x – die Rechtmäßigkeit der

Bereitstellung seines Public key – bestätigen, desto mehr kann ich auf

seine Identität vertrauen.

Die Gesamtheit der Identitätszusichernden

macht das Vertrauensnetzwerk

aus




PGP Trust ModellGrundansatzA signiert das Public-Key-

Zertifikat von BB schickt dieses signierte

Zertifikat an C, der mit B vertraulich kommunizieren will, B aber nicht kennt, wohl aber A

C vertraut A und damit darauf, dass durch das von A signierte Zertifikat B wirklich die Person ist, mit der C kommunizieren will

Je mehr Personen B‘s Zertifikat signiert haben, denen C vertraut, desto höher steigt der Vertrauenslevel. So ensteht eine Vertrauensgemeinschaft

Signieren muss kein Ja-Nein-Entscheidung sein. Man unterscheidet häufig die folgenden KategorienUndefined – man kann nichts über die Gültigkeit des Public key sagenMarginal – kann gültig sein, vielleicht auch nichtComplete – man kann vollkommen sicher sein, dass der Public key gültig ist

Ähnliche Kategorien können auch darauf übertragen werden, inwieweit man einem Besitzer eines öffentlichen Schlüssels vertraut, dass er ein anderes Zertifikat signiert.

Beispiel




Absicherung der Identität und Authentizität über Signatur bei PGP durch Anwendung des Public-key-Verfahrens - Selbstregulierung aus der Internet-Community

Aus den FAQ/PGS - http://www.pgp.net/pgpnet/pgp-faq/faq-05.html

Let's imagine that you received a letter in the mail from someone you know named John Smith. How do you know that it was really John who sent you the letter and not someone else who simply forged his name? With PGP, it is possible to apply a digital signature to a message that is impossible to forge. If you already have a trusted copy of John's public encryption key, you can use it to check the signature on the message. It would be impossible for anybody but John to have created the signature, since he is the only person with access to the secret key necessary to create the signature. In addition, if anybody has tampered with an otherwise valid message, the digital signature will detect the fact. It protects the entire message.

Eine gut aufbereitete Foliendarstellung der Geschichte und Anwendung von PGB von L. und J. Rosenboom - http://math-www.uni-paderborn.de/~aggathen/S99sem/ausarbeitungen/rosenboom/sld001.htm




Absicherung der Identität über Signatur bei PGPdurch Anwendung des Web of trust Modells (Gegenzeichnung – Signing – eines Schlüssels)

Aus den FAQ/PGS - http://www.pgp.net/pgpnet/pgp-faq/faq-06.html#6.1

OK, you just got a copy of John Smith's public encryption key. How do you know that the key really belongs to John Smith and not to some impostor? The answer to this is keysignatures. They are similar to message signatures in that they can't be forged. Let's say that you don't know that you have John Smith's real key. But let's say that you DO have a trusted key from Joe Blow. Let's say that you trust Joe Blow and that he has added his signature to John Smith's key. By inference, you can now trust that you have a valid copy of John Smith's key. That is what key signing is all about. This chain of trust can be carried to several levels, such as A trusts B who trusts C who trusts D, therefore A can trust D. You have control in the PGP configuration file over exactly how many levels this chain of trust is allowed to proceed. [man signiert sich auch selber]




Absicherung der Identität über Signatur bei PGPdurch Anwendung des Web of trust Modells (Gegenzeichnung – Signing – eines Schlüssels)

Das Key signing wird oft auf sogenannten Key signing parties, z.B. bei einschlägigen Konferenzen, organisiert. Die PGP-Gemeinde hat auch ihre eigene Online Public Key Infrastructure aufgebaut: „It consists of a set of public key servers around the world which allow PGP users to register their keys and publicly sign each other's keys via email and WWW interfaces.“ (http://bcn.boulder.co.us/~neal/pgpstat/)

Publikationen zum Web of trust Ansatz (bei PGP): http://www.cs.ucl.ac.uk/staff/F.AbdulRahman/docs/

Web of trust bei PGP ist ein privat organisiertes „Amateur“-Verfahren – also ein Gegenmodell zu den (häufig staatlich legitimierten bzw. zertifizierten) professionellen Trust Center, die in der Regel nur von finanzkräftigen Institutionen betrieben werden können.




1. Allgemeine Zielsetzung – trusted third party2. Registrierung3. Namenszertifizierung4. Geschäftspolitik – Privacy-Zusicherung

Selbstregulierung der Wirtschaft Persönliche Zertifizierung über Thawte (Certifying Authority) https://www.thawte.com/




Thawte (Certifying Authority) Trusted third party - https://www.thawte.com/

A personal certificate is a digital identity document that can be used to sign digital messages like email and news. It can also be used by other people to encrypt information that is for your eyes only. Once you exchange certificates with your friends or business partners you can correspond over the

Internet in complete privacy.

Thawte is a global provider of digital certificate solutions that provide Internet users with peace of mind when sending information to web sites, sending emails, and downloading computer code over the Internet.

Thawte acts as a trusted third party on the Internet. We issue digital

certificates to companies, and individuals, that are used as proof of identity online, and provide for the protection of all information sent over the World Wide Web, using the most currently available encryption technology.




Persönliche Zertifizierung über Thawte (Certifying Authority) Verfahren: https://www.thawte.com/cgi/enroll/personal/step1.exe

Zur Registrierung für eine digitale Signatur bzw. ein digitales Zerifikat werden die folgenden Informationen benötigt, die, werden sie einmal eingebracht, nicht verändert werden können:

• Your identification number, passport number, social security number, driver licence number or tax number, depending on your nationality.

• Ihr kompletter Name und Geburtsdatum. • Der Name Ihrer Firma, die Grösse und Adresse(wenn sie angestellt sind). • Ihre Privatadresse und Kontaktdetails. • Your preferred currency.




Persönliche Zertifizierung über Thawte (Certifying Authority):

Ein persönliches Zertifikat ist ein digitales Dokument zur Identifizierung und Authentifizierung des Senders

Wozu kann das persönliche Zertifikat von Thawte verwendet werden:a) Sichere Email: Mit dem Zertifikat kann Email digitaliert signiert und verschlüsselt werden. Thrwates Zertifikate werden von der meisten S/MIME-Email-Anwendungern unterstützt, so auch von Microsoft Outlook Express and Netscape Communicator 4.x. b) Authentication to Web Servers: Most modern web browsers, such as Microsoft Internet Explorer 3.x and Netscape Navigator 3.x and later, allow you to use a personal certificate from Thawte to authenticate yourself to a web server. Certificate-based authentication is much stronger and more secure than password-based authentication.




Persönliche Zertifizierung über Thawte (Certifying Authority):

Ein persönliches Zertifikat ist ein digitales Dokument zur Identifizierung und Authentifizierung des Senders

Das Verfahren ist zweigeteilt:

Signatur zur Identifizierung – bestätigt durch die Bescheinigung von Thawte, dass die verwendete Email-Adresse der Person gehört, die die Signatur verwendet (bekanntlich können Email-Adresse gefälscht sein; die Zuordnung der Email-Adresse zu der Signatur geschieht aber nur durch den Besitzer des persönlichen Zertifikats, das auf dem Rechner des Inhabers gespeichert und dessen Verwendung über Passwort geschützt ist.Verschlüsselung zur Authentifizierung und Geheimhaltung: Geschieht nach dem Public-key-Verfahren; d.h. es funktioniert nur, wenn der Empfänger im Besitz des öffentlichen Schlüssels des Absenders ist.




Persönliche Zertifizierung über THAWTE - Namenszertifizierung

1. Man muss sich mit einem Web of Trust Notar persönlich treffen2. Man muss ein originales ID-Dokument (z.B. Pass; im Amerikanischen

häufig die „Social Security card“) vorweisen, bei dem der Name identisch ist mit dem Namen, den man im Thawte-System verwendet und in dem die ID-Nummer identich mit der im Thawte-System verwenden ist.

3. Das ID-Dokument muss ein Bild aufweise4. Von dem vorgelegten ID-Dokument muss eine Fotokopie bei dem Notar

hinterlegt werden, der es mindestens 5 Jahre sicher aufbewahrt.5. Man muss ein Kopie der Thawte's Statement of Notarization. Mitbringen

und vor Ort unterzeichnen. Die Kopie bleibt beim Notar.6. Wenn die Bedingungen erfüllt sind, vergibt der Notar 35 Vertrauenspunkte

an den Bewerber.7. Wenn man 100 Punkte zusammen hat, kann man selber Notar werden.

Eine weitergehende Identitätssicherung geschieht über den Namen.

Das verlangt eine komplizierte Prozedur, wobei das Web of trust ins Spiel kommt.




Thawte: Garantie der Vertraulichkeit und PrivatsphäreYour relationship with your CA is one of trust. In order to do our job effectively we need to know a considerable amount of information about you. You may rest assured that we will never, under any circumstances, voluntarily or willingly disclose that information to any third party. We regularly receive requests for information from our database. They get thrown away. That is our guarantee to you. We hold ourselves fully liable to our customers for the privacy of their personal information.

Es widerspricht der Idee des Web of Trust, dass solchermaßen privat organisierten Zertifizierungsinstitutionen den von staatlicher Seite häufig geforderten Key-escrow-Verfahren zustimmen, d.h. also einwilligen, dass auf (noch berechtigter) Nachfrage die Identität des Inhabers des Zertifikats offengelegt wird. Organisationen wie Thawte unterstützen solche Key-escrow-Verfahren nicht bzw. versuchen, entsprechende gesetzliche Vorhaben zu verhindern.




WebTrust: American Institute of Certified Public Accountants http://www.cpawebtrust.org/ und des Canadian Institute of Chartered Accountants (CICA) – Selbstregulierung über Verbände und Wirtschaft

Um das WebTRust/VeriSign-Siegel zu erhalten, muss man seine Website von einem lizensierten CPA or Chartered Accountant überprüfen lassen.Durch die Siegelvergabe wird von AICPA bestätigt (und alle Vierteljahr überprüft), dass die von der Website durchgeführten On-line Transaktionen sicher sind und dass alle AICPA-Richtlinie für „authenticity, security, and privacy“ (auch Verfügbarkeit) von der betreffenden Firma eingehalten werden.

Ist eine Initiative von VeriSign: http://www.verisign.com/webtrust/index.htmlDas Siegel wird ergänzt durch die von VEriSign vergebene Digital ID.

Privacy policy von WebTrust: http://www.webtrust.org/legal.htm

Durch Anklicken des Siegels kann sich ein Benutzer den Überprüfungsbericht und die WebTrust-Prinzipien und -

Kriterien anschauen. (Beispiel: Galaxiworld Casino)

Current browsers will not initiate a secure session without seeing a valid Digital

Liste von WebTrust-zerifizierten Institutuionen




Kriterienkatalog des American Institute of Certified Public Accountants und des CICA: http://www.aicpa.org/webtrust/wtpcbprinc.htm

A.Business and Information Privacy Practices—The entity discloses its business and information privacy practices for e-commerce transactions and executes transactions in accordance with its disclosed practices.

B.Transaction Integrity—The entity maintains effective controls to provide reasonable assurance that customers' transactions using e-commerce are completed and billed as agreed.

C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e-commerce Is protected from uses not related to the entity's business




Kriterienkatalog des American Institute of Certified Public Accountants und des CICA: http://www.aicpa.org/webtrust/wtpcbprinc.htm

A.Business and Information Privacy Practices—The entity discloses its business and information privacy practices for e-commerce transactions and executes transactions in accordance with its

disclosed practices.

A1 Description of goods and/or service. The entity discloses descriptive information about the nature of the goods that will be shipped or the services that will be provided, including, but not limited to, the following:A1.1 Condition of goods (meaning, whether they are new, used, or reconditioned).A1.2 Description of services (or service contract).A1.3 Sources of information (meaning, where it was obtained and how it was compiled).A2 Terms and Conditions The entity discloses the terms and conditions by which it conducts ist e-commerce transactions including but not limited to the following:A2.1 Time frame for completion of transactions (transaction means fulfillment of orderswhere goods are being sold and delivery of service where a service is being provided).A2.2 Time frame and process for informing customers of exceptions to normalprocessing of orders or service requests.




Kriterienkatalog AICPA und CICA: http://www.aicpa.org/webtrust/wtpcbprinc.htm

A.Business and Information Privacy Practices

A2.3 Normal method of delivery of goods or services, including customer options, whereapplicable.A2.4 Payment terms, including customer options, if any.A2.5 Electronic settlement practices and related charges to customers.A2.6 How customers may cancel recurring charges, if any.A2.7 Product return policies and/or limited liability, where applicable.A3 Customer support & service The entity discloses on its Web site (and/orin information provided with the product) where customers can obtain warranty, repairservice, and support related to the goods and services purchased on its Web site.A4 Customer communications The entity discloses information to enable customers to file claims, ask questions and register complaints, including, but not limited to, the following

*Street address (not a post office box or email address)* Telephone number (a number to reach an employee on a reasonably timely basis and not only a voice mail system or message machine)* Days and hours of operation* If there are several offices or branches, the same information for the principal office






A4.1 In the event outside dispute resolution is necessary, the process by which thesedisputes are resolved. These complaints may relate to any part of a customer's e-commerce transaction, including complaints related to the quality of services and products, accuracy, completeness, and distribution of private customer information and the consequences for failure to resolve such complaints. This resolution process shouldhave the following attributes:

* Management's commitment to use a specified third party dispute resolution service or other process mandated by regulatory bodies in the event the customer is not satisfied with the entity's proposed resolution of such a complaint together with a commitment from such third party to handle such unresolved complaints. * Procedures to be followed in resolving such complaints, first with the entity and, if necessary, with the designated third party. * What use or other action will be taken with respect to the private information, which is the subject of the complaint, until the complaint is satisfactorily resolved






A5 Information Privacy The entity discloses on its Web site ist information privacy practices. These practices include but are not limited to the following disclosures.A5.1 The specific kinds and sources of information being collected and maintained;the use of that information; and possible third party distribution of that information.A5.2 Choices regarding how individually identifiable information collected from anindividual online may be used and/or distributed. Individuals should be given the opportunity to opt out of such use, by either not providing such information or denying its distribution to parties not involved with the transaction.A5.3 The consequences, if any, of an individual's refusal to provide information or of anindividual's decision to opt out of a particular use of such information.A5.4 How individually identifiable information collected can be reviewed and, if necessary, corrected or removed.A5.5 If the Web site uses cookies, how they are used and the consequences, if any, of an individual's refusal to accept a cookie.






A6 MonitoringThe entity maintains monitoring procedures that provide reasonable assurance of thefollowing: Its business practice disclosures on its Web site remain current Reports of noncompliance are promptly addressed and corrective measures taken.






B1 Requesting goods and/or servicesThe entity maintains controls to provide reasonable assurance that:B1.1 Each request or transaction is checked for accuracy and completeness.B1.2 Positive acknowledgment is received from the customer before the transaction is processedB2 Processing requests for goods and/or services The entity maintains controls to provide reasonable assurance that:B2.1 The correct goods are shipped in the correct quantities in the time frame agreed, or services and information are provided to the customer as requested.B2.2 Transaction exceptions are promptly communicated to the customer.B3 Processing bill/payment The entity maintains controls to provide reasonable assurance that:






B3.1 Sales prices and all other costs/fees are displayed for the customer before processing the transaction.B3.2 Transactions are billed and electronically settled as agreed.B3.3 Billing or settlement errors are promptly corrected.B4 Transaction history The entity maintains controls that allow for subsequentfollow-up of transactions.B5 Entity monitoring of its transaction integrityThe entity maintains monitoring procedures that provide reasonable assurance of the following: * Its transaction integrity controls remain effective.

* Reports of noncompliance are promptly addressed and corrective measures taken.





C.Information Protection—The entity maintains effective controls to provide reasonable assurance that private customer information obtained as a result of e-commerce is protected from uses not related to the entity's business

C1 Transmission of private customer information The entity maintains controls to protect transmissions of private customer information over the Internet from unintended recipients.C2 Collecting customer informationThe entity maintains controls over the collection of data and has policies whichprovide customers with the following: A choice as to whether individually identifiable information collected from them online may be used for purposes other than completing the transaction in progress (an internal secondary use or external third-party use)

The opportunity to opt out of any particular internal secondary or external third-party usage of that information except those required by law or other regulatory agency






C3 Protection and use of private customer informationThe entity maintains controls to protect private customer information obtained as a result of e-commerce and retained in ist system from outsiders.C3.1 Systems that retain private customer information obtained as a result of e-commerce are protected from unauthorized outside access. C3.2 Customers entering through the Web page cannot access other customers' privateinformation.C3.3 Private customer information obtained as a result of e-commerce is not intentionally disclosed to parties not related to the entity's business unless (1) customers are clearly notified prior to their providing such information or (2) customer permissionis obtained after the customer has provided such information.C3.4 Private customer information obtained as a result of e-commerce is used by employees only in ways associated with the entity's business






C4 Accuracy and completeness of informationThe entity maintains controls so that individually identifiable information collected, created or maintained by it is accurate and complete for its intended useC5 Entity responsibility for third party informationThe entity maintains controls and carries out procedures to determine the adequacy ofinformation protection and privacy policies of third parties to whom information is transferred.C6 Protection of customers' computers and filesThe entity maintains controls to protect against its unauthorized access to customer's computers and its unauthorized modification of customer's computer files:






C6.1 Customer permission is obtained before storing, altering or copying information inthe customer's computer or the customer is notified with an option to prevent such activities.C6.2 Transmission of malicious computer code to customers is preventedC7 MonitoringThe entity maintains monitoring procedures that provide reasonable assurance regardingthe following:C7.1 Its information protection controls remain effective.C7.2 Reports of non-compliance are promptly addressed and corrective measures taken.




Anwendung des Web of trust beim C2C – Beispiel Epinions.com (Info- http://www.epinions.com/help/faq/show_~faq_wot)

1. What is the Web of Trust? Your Web of Trust is a network of reviewers whose opinions and ratings you haveconsistently found to be valuable.

The Web of Trust mimics the way people share word-of-mouth advice every day. Friends have a proven track record. If a friend consistently gives you good advice,you're likely to believe that person's suggestions in the future. You know which preferences you and your friend share. If you both like the sametypes of films, you're more likely to trust your friend's recommendations on what to see. 2. How do I add another member to my Web of Trust? When you are viewing another member's opinion or profile, simply click the link that says"Trust <membername>".

3. Why should I trust other members? Building your Web of Trust helps the Epinions.com system predict how helpful an opinion willbe to you. The Web of Trust promotes the opinions of trusted members so that you can findwhat you are looking for more easily and get the most out of your time on Epinions.com.

Epinion-Einschätzungen von Benutzern: http://www.epinions.com/user-1-topic-1-E




Beispiel Epinions.com

4. How do I decide whom to trust? You should be just as discriminating when "trusting" on Epinions.com as you are with anyone you meet. Your trusting patterns can significantly shape your experience on the site.Although you ultimately determine whom to trust and why, Epinions offers the followingguidelines. Before trusting other members... Read all or most of their opinions. Check out their profile pages. Evaluate their Webs of Trust.If you were trying to decide whether or not to buy a specific product and the member in question had reviewed it, would you want that review to be among the first you saw? If so, you have a good reason to add that member to your Web of Trust.

5 Does my Web of Trust affect other members? Yes. Your trust decisions affect other members in two ways: Members who trust you will inherit some of the effects of your Web of Trust. If you are careful about designating whom you trust, you will help improve the experience of those who trust you. Everyone's trust contributes to the Advisor selection process. Trust is an importantfeedback mechanism and indicator of how strongly the Epinions community values amember's contributions.

Epinions.com offers complex tools that enable you to interact with others - wichtig für Trust in C2C





6. Who can see my Web of Trust? The Epinions.com default settings allow any member to see whom you have added to your Web of Trust. You can change these settings by visiting the Edit Public Profile section of your Member Profile.

7. How can I find out who trusts me? In the Web of Trust section of your Member Profile, there is a list of all of the members who have added you to their Webs of Trust. If a member chooses to hide his or her Web of Trust, that name will not appear on the list of members who trust you.

8. What is the Block List? The Block List is a list of authors whose opinions you do not find valuable. If you encounter amember whose opinions are consistently offensive, inaccurate, or otherwise low quality, youcan add that member to your Block List. Just as the Web of Trust promotes the work of those members you trust, the Block List makes it less likely that you will encounter contributions you do not value in the future.

9. How do I add another member to my Block List? When you are viewing another member's opinion or profile, simply click the link that says"Block <membername>".




Beispiel Epinions.com (Info- http://www.epinions.com/help/faq/show_~faq_wot)

10. Who can see my Block List? Only you can see your Block List. Unlike the Web of Trust, there is no way you can displayyour Block List to others. This feature was designed to prevent hard feelings or retaliationwhen you add members to your Block List.

11. Can I change my mind about trusting or blocking another member? Yes. When you are viewing a trusted member's opinion or profile, you can remove thatmember from your Web of Trust by clicking the link that says "Remove <membername>from your Trust list". To remove a blocked member from your Block List, visit the member'sopinion or profile and click the link that says "Remove <membername> from your BlockList".

You can also edit your Web of Trust and Block List from your own profile. From your AccountSummary page, click Web of Trust or Block List. Then click Remove next to the name ofthe member you wish to remove.




Stand digitale Signatur in Deutschland - http://www.sicherheit-im-internet.de/download/sigg_konsolidiert_endg.pdf

Das Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz) trat am 22. Mai 2001 in Kraft.

Die Verwendung digitaler Signaturen ist nicht rechtsverbindlich vorgeschrieben (§1,2). Der Einsatz von digitalen Signaturen in de Verwaltung kann zusätzliche Anforderungen nötig machen (§1,3)

“Elektronische Signaturen” [sind] Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen. (§2,1)




Definitionen digitaler Signaturen

“fortgeschrittene elektronische Signaturen“ [sind] elektronische Signaturen ..., diea) ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind,b) die Identifizierung des Signaturschlüssel-Inhabers ermöglichen,c) mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigenKontrolle halten kann, undd) mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann

“qualifizierte elektronische Signaturen” [sind] elektronische Signaturen ..., diea) auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen undb) mit einer sicheren Signaturerstellungseinheit erzeugt werden,




Zertifizierungsdiensteanbieter

Der Betrieb eines Zertifizierungsdienstes ist im Rahmen der Gesetze genehmigungsfrei. (§4,1)

Einen Zertifizierungsdienst darf nur betreiben, wer die für den Betrieb erforderliche Zuverlässigkeit und Fachkunde sowie eine Deckungsvorsorge ... nachweist und die weiteren Voraussetzungen für den Betrieb eines Zertifizierungsdienstes nach diesem Gesetz und der Rechtsverordnung ... gewährleistet. Die erforderliche Zuverlässigkeit besitzt, wer die Gewähr dafür bietet, als Zertifizierungsdiensteanbieter die für den Betrieb maßgeblichen Rechtsvorschriften einzuhalten. Die erforderliche Fachkunde liegt vor, wenn die im Betrieb eines Zertifizierungdienstes tätigen Personen über die für diese Tätigkeit notwendigen Kenntnisse, Erfahrungen und Fertigkeiten verfügen.

Vertrauensbedingung

Vertrauensbedingung




Vergabe von qualifizierten Zertifikaten

Der Zertifizierungsdiensteanbieter hat Personen, die ein qualifiziertes Zertifikat beantragen, zuverlässig zu identifizieren. Er hat die Zuordnung eines Signaturprüfschlüssels zu einer identifizierten Person durch ein qualifiziertes Zertifikat zu bestätigen und dieses jederzeit für jeden über öffentlich erreichbare Kommunikationsverbindungen nachprüfbar und abrufbar zu halten. Ein qualifiziertes Zertifikat darf nur mit Zustimmung des SignaturschlüsselInhabers abrufbar gehalten werden. (§5,1)

Ein qualifiziertes Zertifikat kann auf Verlangen eines Antragstellers Angaben über seine Vertretungsmacht für eine dritte Person sowie berufsbezogene oder sonstige Angaben zu seiner Person (Attribute) enthalten. (aus §5,2)

Der Zertifizierungsdiensteanbieter hat auf Verlangen eines Antragstellers in einem qualifizierten Zertifikat anstelle seines Namens ein Pseudonym aufzuführen. (aus §5,3)




Vergabe von qualifizierten Zertifikaten

Der Zertifzierungsdiensteanbieter hat Vorkehrungen zu treffen, damit Daten für qualifizierte Zertifikate nicht unbemerkt gefälscht oder verfälscht werden können. Er hat weiter Vorkehrungen zu treffen, um die Geheimhaltung der Signaturschlüssel zu gewährleisten. Eine Speicherung von Signaturschlüsseln außerhalb der sicheren Signaturerstellungseinheit ist unzulässig. (§5,4)

Der Zertifizierungsdiensteanbieter hat den Antragsteller darüber zu unterrichten, dass eine qualifizierte elektronische Signatur im Rechtsverkehr die gleiche Wirkung hat wie eine eigenhändige Unterschrift, wenn durch Gesetz nicht ein anderes bestimmt ist. (§6,2)

Unterrichtungspflicht




§7 Inhalt von qualifizierten Zertifikaten - Ein qualifiziertes Zertifikat muss folgende Angaben enthalten und eine qualifizierte elektronische Signatur tragen:

1. den Namen des Signaturschlüssel-Inhabers, der im Falle einer Verwechslungsmöglichkeit mit einem Zusatz zu versehen ist, oder ein dem Signaturschlüssel-Inhaber zugeordnetes un-verwechselbares Pseudonym, das als solches kenntlich sein muss,2. den zugeordneten Signaturprüfschlüssel,3. die Bezeichnung der Algorithmen, mit denen der Signaturprüfschlüssel des Signaturschlüssel-Inhabers sowie der Signaturprüfschlüssel des Zertifizierungsdiensteanbieters benutzt werden kann,4. die laufende Nummer des Zertifikates,5. Beginn und Ende der Gültigkeit des Zertifikates,6. den Namen des Zertifizierungsdiensteanbieters und des Staates, in dem er niedergelassen ist,7. Angaben darüber, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder Umfang beschränkt ist,8. Angaben, dass es sich um ein qualifiziertes Zertifikat handelt, und9. nach Bedarf Attribute des Signaturschlüssel-Inhabers.




§14 DatenschutzDer Zertifizierungsdiensteanbieter darf personenbezogene Daten nur unmittelbar beim Be-troffenen selbst und nur insoweit erheben, als dies für Zwecke eines qualifizierten Zertifikates erforderlich ist. Eine Datenerhebung bei Dritten ist nur mit Einwilligung des Betroffenen zulässig. Für andere als die in Satz 1 genannten Zwecke dürfen die Daten nur verwendet werden, wenn dieses Gesetz es erlaubt oder der Betroffene eingewilligt hat. (§14,1)

Bei einem Signaturschlüssel-Inhaber mit Pseudonym hat der Zertifizierungsdiensteanbieter die Daten über dessen Identität auf Ersuchen an die zuständigen Stellen zu übermitteln, soweit dies für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden erforderlich ist oder soweit Gerichte dies im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen. Die Auskünfte sind zu dokumentieren. Die ersuchende Behörde hat den Signaturschlüssel-Inhaber über die Aufdeckung des Pseudonyms zu unterrichten, sobald dadurch die Wahrnehmung der gesetzlichen Aufgaben nicht mehr beeinträchtigt wird oder wenn das Interesse des Signaturschlüssel-Inhabers an der Unterrichtung überwiegt. ($14,2)




§ 15 Freiwillige Akkreditierung

Zertifizierungsdiensteanbieter können sich auf Antrag von der zuständigen Behörde akkreditieren lassen; die zuständige Behörde kann sich bei der Akkreditierung privater Stellen bedienen. ... Akkreditierte Zertifizierungsdiensteanbieter erhalten ein Gütezeichen der zuständigen Behörde. (aus §15,1)

§16 Zertifikate der zuständigen BehördeDie zuständige Behörde hat1. die Namen, Anschriften und Kommunikations-verbindungen der akkreditierten Zertifizierungs-diensteanbieter,2. den Widerruf oder die Rücknahme einer Akkreditierung,3. die von ihr ausgestellten qualifizierten Zertifikate und deren Sperrung und4. die Beendigung und die Untersagung des Betriebes eines akkreditierten Zertifizierungsdiensteanbieters jederzeit für jeden über öffentlich erreichbare Kommunikationsverbindungen nachprüfbar und abrufbar zu halten.

Wesentliche rechtliche Grundlagen für die Amtshandlungen der Regulierungsbehörde für Telekommunikation und Post sind: das Telekommunikationsgesetz (TKG), das Begleitgesetz zum TKG, ... ...das Gesetz zur digitalen Signatur (SigG), ...




§17 Produkte für qualifizierte elektronische Signaturen

Für die Speicherung von Signaturschlüsseln sowie für die Erzeugung qualifizierter elektro-nischer Signaturen sind sichere Signaturerstellungseinheiten einzusetzen, die Fälschungen der Signaturen und Verfälschungen signierter Daten zuverlässig erkennbar machen und gegen unberechtigte Nutzung der Signaturschlüssel schützen. (aus §17,1)

Für die Überprüfung signierter Daten sind Signaturanwendungskomponenten erforderlich, die feststellen lassen,

1. auf welche Daten sich die Signatur bezieht,2. ob die signierten Daten unverändert sind,3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte Attribut-Zertifikate aufweisen und5. zu welchem Ergebnis die Nachprüfung von Zertifikaten nach § 5 Abs. 1 Satz 2 geführt hat.Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu signierenden oder signierten Daten hinreichend erkennen lassen.




$23 Ausländische elektronische Signaturen und Produkte für elektronische Signaturen

Elektronische Signaturen, für die ein ausländisches qualifiziertes Zertifikat aus einem ande-ren Mitgliedstaat der Europäischen Union oder aus einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum vorliegt, sind, soweit sie Artikel 5 Abs. 1 der Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen (ABl. EG 2000 Nr. L 13 S.2) in der jeweils geltenden Fassung entsprechen, qualifizierten elektronischen Signaturen gleichgestellt.

Elektronische Signaturen aus Drittstaaten sind qualifizierten elektronischen Signaturen gleichgestellt, wenn das Zertifikat von einem dortigen Zertifizierungsdiensteanbieter öffentlich als qualifiziertes Zertifikat ausgestellt und für eine elektronische Signatur im Sinne von Artikel 5 Abs. 1 der Richtlinie 1999/93/EG bestimmt ist. (aus §23,1)

institut für bibliothekswissenschaft an der humboldt-universität berlin 1 20.6.2001 signatur - web...

Documents