Nov
25
2010

Der neue Personalausweis ist in der Welt der elektronischen Unterschrift noch nicht ganz angekommen

Seit dem 1. November gibt es wie berichtet nur noch den neuen Personalausweis, den ich dann hoffentlich nächste Woche auch in Empfang nehmen kann. Eine der schönen neuen Funktionen, das elektronische Unterschreiben, kann ich dann leider noch nicht nutzen. Es fehlt sowohl ein Anbieter für das notwendigen Zertifikat als auch ein schon zertifiziertes Komfort-Kartenlesegerät.

Ich hatte zwar schon berichtet, dass ich mit meinem Testausweis signiert habe (siehe Die AusweisApp kann auch Dokumente signieren und Signaturen verifizieren), aber das war auch nur ein Testzertifkat der D-Trust sowie ein noch nicht zertifizertes Kartenlesegerät von ReinerSCT, das aber als erstes in Bälde zur Verfügung stehen soll. Bisher hat aber noch keiner der einschlägigen Zertifizierungsdiensteanbieter ein Zertifikat für den Personalausweis im Angebot, auch die D-Trust nicht. Diese Woche habe ich aber noch erfahren, dass die D-Trust an einem einmal Zertifkat arbeitet, das von den Anwendungsanbietern für ein einmaliges Unterschreiben für den Kartenbesitzer kostenlos beschafft auf ihrer Plattform genutzt werden kann. Mal schauen, was das wird.

Bisher war mir nur bekannt, dass das Signieren mit der AusweisApp in der Testphase ging. Von keinem der herstellererklärten Signaturwanwendungen war etwas bzgl. der Unterstützung des neuen Personalausweises zu hören. Die Meisten wollten warten, ob überhaupt eine Nachfrage kommen wird. Inzwischen habe ich aber von Dr. Bernd Wild, Geschäftsführer der intarsys consulting GmgH und so wie ich Mitglied des Competence Centers Elektronische Siganturen des VOI,  erfahren, dass sie in der Testphase mit einem Prototypen ihres Produkts Sign Live! das Signieren ohne die AusweisApp gezeigt haben. Hier der O-Ton:

Dass dies (Signieren) auch gänzlich ohne die Mitwirkung der AusweisApp erfolgen kann und dazu noch eingebettet in einen komplexen Geschäftsprozess hat am 30.9.2010 die Firma Fritz & Mazciol als einer der 30 Teilnehmer am geschlossenen Anwendungstest des nPA vor dem BMI und dem BMU in Berlin demonstriert. Dabei wurden mit Hilfe von Sign Live!, der Signaturanwendung von intarsys XML-Formulare im Rahmen des elektronischen Abfallnachweisverfahrens (eANV) qualifiziert elektronisch mit dem nPA signiert. … Dies ermöglicht eine wesentlich schnellere und bessere Einbindung in bestehende Geschäftsprozesse, da seitens Sign Live! auf dem Client in Verbindung mit dem Reiner SCT Klasse-3 Komfortleser nur ein Java-Applet und keine Vorinstallation anderer Komponenten benötigt wird.

Die nPA-Signatur wird vom Produkt Sign Live! CC voraussichtlich in einer der nächsten Versionen standardmäßig unterstützt werden. Das bedeutet dann, dass sowohl am Client als auch server- und webbasierte qualifizierte Signaturen mit Sign Live! und dem nPA dann problemlos möglich sein werden.

Nun, ob Jemand den neuen Personalausweis am Server nutzen wird? Vermutlich eher nicht. Aber der Personalausweis ist ja eine Technik, die zukünftig vielleicht auch in anderem Lool & Feel ausgegeben und genutzt werden mag …

Herr Wild sieht noch die folgenden, gravierende Defizite im Gesamtsystem nPA-Signatur:

Durch die verhältnismäßig lange Gültigkeit des nPA von 10 Jahren (übliche Signaturkarten meist 3 Jahre) kommen andere kryptographische Verfahren für die Schlüsselberechnung zum Einsatz als bei gewöhnlichen Signaturkarten. So verwendet der nPA hierfür elliptische Kurven (ECC), während in der etablierten Welt der qualifizierten elektronischen Signatur in Deutschland ausschließlich RSA zum Einsatz kommt. Dadurch sind mit dem nPA erstellte Signaturen mit vielen handelsüblichen Signaturvalidierprogrammen (noch) nicht prüfbar. Als Folge müssen bei einer Verbreitung der nPA-Signatur (noch) viele Software-Programme angepasst werden.

Durch die ECC-basierte Signatur wird auch eine vollständige ECC-basierte Zertifikatshierarchie bis hin zur BNetzA vorausgesetzt. Diese Zertifikatskette besteht heute nur zu Testzwecken und ist außerhalb des Anwendungstests nicht bekannt. Will man ein mit dem nPA qualifiziert signiertes Dokument an jemanden in Deutschland oder gar in Europa senden, so kann (noch) nicht von einer Prüfbarkeit am Ort des Empfängers ausgegangen werden. Dies konterkariert etwas das Bild des nPA als eines auf internationalen Standards beruhenden fortschrittlichen eID- und Signaturinstruments.

Obwohl ECC kein brandneues Verfahren ist und vom BSI als zugelassener Algorithmus schon länger gelistet wird, hinkt die Standardisierung bei den Dokumentenformaten hinsichtlich der ECC-Unterstützung deutlich hinterher. So ist weder bei PDF in der ISO32000-1, in PDF/A in ISO19005-1 und absehbar ISO19005-2 als auch bei XML laut ETSI TS101903 (XMLDSig) die Einbindung von ECC-basierten Zertifikaten und Signaturen vorgesehen. So verlangt eine eingebettete Signatur in PDF (und PDF/A) die Angabe des sogenannten CryptFilter in Verbindung mit einem SubFilter. In den relevanten Standardisierungsunterlagen werden hier nur RSA und DSA-basierte Filter aufgeführt. Zwar kann sich jeder einen eigenen Filter definieren, was intarsys im vorliegenden Fall auch getan hat, doch ist damit eine Austauschbarkeit und weltweite Prüfbarkeit der Signatur verständlicherweise in Frage gestellt.

Das eben Gesagte gilt auch für XML und XML-basierte Signaturen. Was diesen Umstand noch bedeutsamer macht ist die Tatsache, dass gerade bei dem neuen eANV-Verfahren ausnahmslos XML-Dokumente signiert werden. Erfolgt dies wie im Demonstrator erfolgreich bewiesen, so bleibt immer noch die Frage nach einem öffentliche Standard für die Einbettung ECC-basierter Zertifikate und Signaturen in XML. International wird bereits an einer Fortschreibung der XMLDsig-Standards gearbeitet, finalisiert und damit publiziert sind sie aber noch nicht.

Damit wird offensichtlich, dass die Entscheidung, den Personalausweis schleichend und nicht per Big Bang einzuführen, alle Anbieter zur Einsicht gebracht hat, kein Business Case zu sehen, und damit abgehalten hat, zügig entsprechende Siganturangebote auf den Markt zu bringen.

Also wird es mit der Anwendung des Signierens erst einmal weniger. Bleibt die Hoffnung, dass zumindest die eID-Funktion zum Tragen kommen könnte. Hier sehe ich großes Potential für alle öffentlichen Cloud und SaaS Dienste, die per Zugang kontrolliert werden. Und wer einen geschützten PC hat, kann auch das Basisgerät zum Einloggen benutzen :-)

Siehe auch: Liebe verunsicherte Bundesbürger: mit dem neuen Personalausweis bekommt Ihr mehr Datensicherheit als uns die Pessimisten weismachen wollen

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Dr. Martin Bartonitz in: deutsch,general | Tags: , ,

4 Comments »

  • Neuer Personalausweis: Die Medien listen “Pleiten, Pech und Pannen”.

    - Die AusweisApp komme frühestens am 3.1.11. Apple-Nutzer bleiben erst mal außen vor.
    - Die elektronische Signatur könne frühestens zur Cebit 2011 genutzt werden.

    http://www.welt.de/print/die_welt/politik/article11382848/Personalausweis-mit-Pannen.html

    Comment | 10 December 2010
  • Dr. Martin Bartonitz

    Ja, so geht dann doch langsam die Luft raus. Ich warte nun auch schon länger als die vorausgesagten 3 Wochen auf meinen neuen Personalausweis. Aber wenn ich eh erst am Januar die AusweisApp bekommen kann, um ihn dann auch im Internet zu nutzen …

    Comment | 10 December 2010
  • Noch ein Buchtipp:

    Europäische eID-Ansätze tendieren zur Weltfremdheit meinen die Autoren Kubiceck/Noack:

    “Die IT-Sicherheitsexperten arbeiten jedoch mit der Fiktion eines Menschen, der alle Sicherheitsempfehlungen streng befolgt. Man könnte analog zum Homo Oeconomicus als Fiktion der Wirtschaftswissenschaft von der Annahme des Idealtypus eines Homo Securitis sprechen.”

    Mit fiktiven Nutzern lassen sich allerdings nicht gut Geschäfte machen…
    http://www.amazon.de/Sicherheit-Internet-durch-elektronischen-Identitätsnachweis/dp/3643109164/

    Comment | 10 December 2010
  • Dr. Martin Bartonitz

    Hoffentlich wird da nicht der Teufel an die Wand geamlt, sonst wird es doch nichts mit der Auflösung des Henne-Ei-Problems, sprich dem Angebot genügender Anwendungen zur Nutzung des Ausweises. Autoren kommen zu folgendem Schluss:

    “Über Sinn und Zweck, Chancen und Risiken sowie Akzeptanz des elektronischen Identitätsnachweises auf dem neuen deutschen Personalausweis wird heftig diskutiert – zumeist notgedrungen spekuliert. Dieses Buch liefert empirische Befunde aus einem Vergleich mit nationalen Identity-Management-Systemen in sieben anderen europäischen Ländern. Die Studie kommt zu überraschenden Ergebnissen: Alle bereits eingeführten und analysierten Systeme erreichen trotz erheblicher Unterschiede in Inhalt und Form nicht das Ziel, durch eine sicherere Authentisierung die Sicherheitsbedenken der Nutzer bei Online-Transaktionen zu zerstreuen und damit deren Anteil am E-Government zu steigern. Dem neuen Personalausweis dürfte dies kaum besser gelingen.”

    Comment | 10 December 2010

RSS feed for comments on this post. TrackBack URL

Leave a comment


5 − = four

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions