|
|
 |
 |
Hierarchische Zertifizierungsstrukturen
Das Prinzip einer hierarchischen Zertifizierungsstruktur basiert auf dem Vertrauen der Teilnehmer in eine hohe Instanz, beispielsweise eine staatliche Einrichtung, die - direkt oder über Zwischenebenen - alle Zertifizierungsstellen kontrolliert. Die Sicherheitsbestimmungen für die Erstellung und Verwaltung der Schlüssel können im Gesetz verankert werden. Auf diese Weise werden rechtlich verbindliche Signaturen ermöglicht.
Die Infrastruktur nach dem Signaturgesetz
Das Signaturgesetz sieht eine zweistufige Zertifizierungshierarchie vor. Oberste Instanz ist die sogenannte zuständige Behörde, deren Rolle von der Regulierungsbehörde für Telekommunikation und Post (RegTP) eingenommen wird. Die zweite Ebene stellen die Zertifizierungsstellen, auch Trustcenter genannt, dar.
Eine Firma, die eine Zertifizierungsstelle betreiben möchte, muss gewährleisten, dass sie gewisse Sicherheitsstandards einhalten kann. Dazu legt sie ein Konzept mit baulichen, organisatorischen, personellen und technischen Maßnahmen vor. Die zuständige Behörde prüft, ob das Konzept die in der Signaturverordnung vorgegebenen Kriterien erfüllt, und entscheidet über die Genehmigung. Ausserdem ist sie dafür verantwortlich, die Einhaltung der Sicherheitsstandards durch die Zertifizierungsstellen zu überwachen.
Die Zertifizierungsstellen haben folgende Aufgaben:
 |
Erzeugung des Schlüsselpaares der Zertifizierungsstelle, das für die Signierung der Teilnehmerzertifikate verwendet wird |
|
|
Überprüfung der Identität einer Person, die ein Zertifikat beantragt |
|
|
Zertifizierung der öffentlichen Schlüssel der Teilnehmer |
|
|
Erzeugung von Schlüsselpaaren, falls ein Teilnehmer sein Schlüsselpaar nicht selbst generieren kann |
|
|
Ausgabe eines Trägermediums (Smartcard) mit den Teilnehmerdaten, dem Schlüsselpaar des Teilnehmers und dem öffentlichen Schlüssels der Zertifizierungsstelle |
|
|
Verzeichnisdienst: Die öffentlichen Schlüssel der Teilnehmer und eine Liste der ungültigen (abgelaufenen/diskreditierten) Zertifikate müssen abrufbar gehalten werden. |
|
|
Zeitstempeldienst: Digitale Signaturen können mit einem Zeitstempel versehen werden, um sicherzustellen, dass das Dokument zu einem bestimmten Zeitpunkt signiert wurde. |
Die Zuteilung eines zertifizierten Schlüsselpaares beantragt man bei einer Registrierungsstelle eines Trustcenters. Nachdem die Identität des Antragstellers überprüft wurde, wird durch die Zertifizierungsstelle ein Schlüsselpaar erzeugt. Wenn der Teilnehmer bereits ein Schlüsselpaar besitzt, wird überprüft, ob sich im Verzeichnis ein identisches Paar befindet, und ggf. ein neues erzeugt.
Anschließend werden die Daten des Teilnehmers im Verzeichnisdienst abgelegt und zusammen mit dem Schlüsselpaar und einigen weiteren Daten auf einer Smartcard gespeichert.
|
|
