Neue Empfehlungen zur digitalen Signatur

RTR empfiehlt neue technische Standards

Die für die elektronische Signatur und die Umsetzung des Signaturgesetzes zuständige Aufsichtsbehörde, die RTR Gmbh (Rundfunk- und Telekom-Regulierungsbehörde) hat in den jährlich erscheinenden Technologieempfehlungen neue Standards zur digitalen Signatur bekannt gegeben.

Der am meisten verwendete Verschlüsselungsalgorithmus RSA-1024bit wird zum gegenwärtigen Zeitpunkt als sicher eingestuft. Zweifel an der Sicherheit wurden bei Schlüssellängen unter 768bit geäußert, bei diesen ist ein "knacken" bei genügend langer Probezeit bzw. Rechnerleistung möglich.

Längerfristig als sicher wurden RSA-1536bit-Schlüssel (bis 31.12.2011) bzw. RSA-2048bit-Schlüssel (bis 31.12.2012). Über das Jahr 2012 hinaus wurden von der RTR keine Empfehlungen abgegeben, da die technologische Entwicklung im Signaturbereich als zu dynamisch und daher unprognostizierbar angesehen wird.


A-CERT hat Empfehlungen schon umgesetzt

Die RTR-Empfehlung gilt für alle Signaturverfahren gemäß § 2 Z3 lit. a bis d SigG (landläufig als "fortgeschrittene Signaturverfahren" bezeichnet). A-CERT hat schon im Vorfeld zur Diskussion um diese Empfehlung reagiert und die Standardschlüssellänge für von A-CERT ausgestellte Signatureinheiten auf 1536bit umgestellt.

Da manche IT-Lösungen derzeit nur Schlüssel bis 1024bit verarbeiten können, werden von A-CERT grundsätzlich auch noch Anträge mit 1024bit akzeptiert.


Voller Erfolg für A-CERT ADVANCED

Bei elektronisch übermittelten Rechnungen (eBilling/e-Rechnung) ist seit 2004 eine fortgeschrittene digitale Unterschrift erforderlich. Fehlt diese Signatur, dann ist die Rechnung nicht zum Vorsteuerabzug berechtigt und kann dem Empfänger Zusatzkosten von bis zu 20% der Rechnungssumme verursachen.

Die Gültigkeit der Unterschrift wird durch A-CERT ADVANCED bestätigt. Mit A-CERT ADVANCED dem Zertifikat für die fortgeschrittene elektronische Signatur gelang ein voller Erfolg. Dieser Zertifizierungsdienst ist nunmehr bestimmend im Bereich elektronischer Rechnungslegung. Mehr als 25 Lösungspartner, mehr als 1000 Unternehmen die mit A-CERT ADVANCED elektronisch Rechnungen abwickeln und rund 5 Millionen Rechnungen (für 2006, Schätzung) bestätigen das Konzept.


A-CERT als Spezialist für individuelle Signaturlösungen

Dieser Erfolg bestärkt uns in der Weiterentwicklung neuer Signaturdienste. Es soll auch die unbestrittene Technologieführerschaft erreicht werden.

Immer mehr Unternehmen stellen ihre internen und externen Informations- und Kommunikationsstrategien auf digital signierte Lösungen um. Egal ob als SingleSignOn-Lösung zum Zugang zu vertraulichen Applikationen, als eMail-Signatur, zur zeitlichen Dokumentation von Geschäftsprozessen oder als Vidierungskonzept im Dokumentenmanagment, überall haben Signaturlösungen ihren Platz.

A-CERT bietet dazu individuell entwickelte Signaturverfahren (egal ob Paßwortgeschützt, SmartCard- oder CyberToken-gesichert) und individuelle Zertifikatslösungen an. Die Unternehmen können damit ihre eigene Signatur- und Security-Policy entwickeln und erhalten trotzdem eine Zertifikatslösung die weltweit unter Microsoft-Betriebssystemen sofort als vertrauenswürdig erkannt wird.


Portierbarkeit im Dokumentenmanagment ist das nächste Thema

Mehrere dutzend Dokumentenmanagementsysteme ringen derzeit um die Marktführerschaft. Welche Archivsysteme sich letztlich durchsetzen werden ist ungewiss. Sicher ist jedoch, dass im 20, 30 oder 60 Jahre dauernden Lebenszyklus (Lifecycle) der Dokumente mehrere Wechsel der Archivsysteme und der verwendeten Hardware notwendig werden. Die unversehrte und unverfälschte Portierung der Dokumente über die Systemgrenzen hinaus wird die größte Herausforderung der Archivsysteme werden.

Bisher wurde die Unverfälschtheit von Dokumenten systemintern durch komplexe berechtigungs- und Speicherverwaltungen garantiert. Bei einem Programmwechsel gingen jedoch diese Kontrollmechanismen verloren und mussten kompliziert neu erstellt werden.

Mit der digitalen Signatur jedes einzelnen Dokuments wird auch die Unversehrtheit bei System- und Hardwarewechsel garantiert.

Kunden von Archivsystemen sollten daher verstärkt Signier- und Zeitstempelfunktionen anfordern, die unabhängig vom eingesetzten Archivsystem funktionieren. Nur damit erreichen sie langfristige Portierungssicherheit und damit Investitionssicherheit.