Signaturprüfung

Massenverifikation von elektronischen Signaturen

 

 
Mit Hilfe einer digitalen Signatur lässt sich Integrität (Unverändertheit) und Authentizität (verbindliche Zuordnung der Nachricht zu einer Person) erreichen. Der Verifikation einer digitalen Signatur kommt damit eine entscheidende Bedeutung zu. Sie muss den Empfänger von der Integrität und der Authentizität des Absenders überzeugen und dieses beweisbar protokollieren. Gerade im Bereich der Langzeitarchivierung kommt diesem Punkt besondere Bedeutung zu.

Welche Informationen enthält eine Signatur?
Die Signatur enthält Informationen über den Unterzeichner, den Zeitpunkt der Signatur und weitere kryptographische Daten (u.a. den Hashwert), die gewährleisten, dass weder Basisdokument noch Signatur unbemerkt verändert wurden. Zusätzlich beinhaltet die Signatur zusätzlich Zertifikate, die zur Verifizierung benötigt werden.

Was ist ein Zertifikat?
Ein Zertifikat ist ein elektronisches Dokument, das den Bezug zwischen einer Person und der von ihr erstellten kryptographischen Informationen herstellt. Das Zertifikat des Unterzeichners wird für die Verifizierung der qualifizierten elektronischen Signatur benötigt. Eine übergeordnete Instanz, ein Zertifizierungsdiensteanbieter (Trustcenter), hat vorab die Identitätsprüfung dieses Unterzeichners festgestellt und dies durch digitales Signieren seines Zertifikats belegt. Das dafür nötige Zertifikat des Anbieters wiederum wurde vorab von der Bundesnetzagentur (vormals Regulierungsbehörde für Telekommunikation und Post) unterzeichnet, die das so genannte "Wurzelzertifikat" als Ursprung dieser Zertifizierungskette innehält.

Was passiert bei der Verifizierung qualifizierter elektronischer Signaturen?
Die Verifikationssoftware führt verschiedene Prüfungen durch. Zunächst wird der ursprüngliche Hashwert auf Änderungen überprüft um sicherzustellen, dass die signierten Daten nicht geändert wurden. Auch der Zeitpunkt der Signaturerstellung wird auf Plausibilität geprüft. So ist eine Signatur in der Zukunft nicht möglich. Außerdem wird die Zertifizierungskette verifiziert, d.h. die korrekte Verbindung zwischen dem Zertifikat des Unterzeichners bis zum Wurzelzertifikat des Trustcenters.. Ist diese Kette unterbrochen oder nicht auf das Wurzelzertifikat zurückzuführen, erfolgt eine Fehlermeldung.

Wie werden qualifizierte elektronische Zertifikate überprüft?
Um das Zertifikat eines Unterzeichners verifizieren zu können, benötigt man alle Zertifikate bis hin zum Wurzelzertifikat. Ziel der Verifizierung des Zertifikats ist der Nachweis, dass dieses selbst und insbesondere die Identität des Unterzeichners nicht verändert wurden. So können Sie sicher sein, von wem Sie ein Dokument mit qualifizierter elektronischer Signatur erhalten haben.

Warum wird die Gültigkeit des Zertifikats überprüft?
Theoretisch wäre es möglich, dass der zur Verschlüsselung genutzte private Schlüssel bekannt wird. Dies könnte z.B. durch Hacker geschehen oder wenn die eingesetzten Smartcards gestohlen würden. So könnten Unbefugte Dokumente im fremden Namen unterzeichnen. Um hier eine Absicherung zu schaffen, wurde ein Sperrdienst (CLR/OSCP) für unsicher gewordene Zertifikate eingerichtet. Mit der eingerichteten Onlineverbindung werden diese Sperrlisten gegen geprüft. Die Verifizierung ist nicht erfolgreich wenn:
  • das Dokument verändert wurde. Jede Änderung am Dokument wie z.B. bereits die Entfernung von Leerzeichen oder unsichtbarer Zeichen ergibt eine ungültige Signatur.
  • die Signaturdatei bei der Übertragung beschädigt wurde, z.B. bei einer externen Signaturdatei,
  • das genutzte Zertifikat von einem unbekannten Zertifizierungsdiensteanbieter stammt.
  • Alle Stammzertifikate und Zertifikate von Zwischenzertifizierungsstellen deutscher und internationaler Trustcenter müssen für eine erfolgreiche Verifikation vorhanden sein.
  • Das Zertifikat beim zuständigen Trustcenter gesperrt wurde, der verwendete Algorithmus als unsicher eingestuft wurde oder die Internetverbindung gestört ist.

Bei der Verifikation der elektronischen Signatur wird überprüft:

Certification_Icon

Ist die Datei signiert?

 

Process

War das Signaturzertifikat zum Zeitpunkt der Signatur gültig?

Adressdatenbank

Ist das Dokument seit Anbringung der Signatur verändert worden?

Bild8

Ist die Zertifikatskette gültig?

 

Pc

Ist der verwendete Hash-Algorithmus noch sicher?

 

Umfassende, serverbasierte Auswertung der Signaturinformationen in elektronischen Dokumenten

 

Unsere Lösung AutoVerifier überprüft automatisiert alle signierten Dateien und erstellt ein Verifikationsprotokoll nach eIDAS, TR-ESOR und ERV-Gesetz und ermöglicht eine umfassende, serverbasierte Auswertung der Signaturinformationen in PDF- Dokumenten und für sonstige Dokumententypen jeglichen Formats insbesondere XML und PKCS#7 bzw. S/MIME.

AutoVerifier realisiert einen Durchsatz von mehr als 1000 Verifikationen pro Stunde, wobei sämtliche Anforderungen deutscher und europäischer Signaturgesetze erfüllt werden.

Die gewonnenen Signaturinformationen können direkt in Workflow- oder DMS- Systemen weiterverarbeitet werden, um Dritte über den Dokumentenstatus zu informieren.

Bei der Verifikation der Signaturen können Zertifikate und Sperrlisten (CRLs) gegen akkreditiere Trustcenter oder firmeninterne PKI´s geprüft werden.

Mit AutoVerifier haben Sie die Möglichkeit, PDF- und andere Dokumente automatisch "On-the-Fly" oder im Batchbetrieb zu prüfen. AutoVerifier wird auf einem zentralen Server installiert und bietet damit eine zentrale Signaturprüfinstanz. Er ist im Rechenzentrum als Dienst verfügbar und lässt sich per Management-Konsole aus dem LAN steuern und über Web-Interface konfigurieren:

  • durch den parallelen Einsatz mehrerer Verifikations-Threads erhöht sich der Durchsatz bei der   Verifikation erheblich
  • Stapelbildung bei gleichartigen Signaturen beschleunigt die Verifikation um ein Vielfaches (bis zu 3600 Signaturen/Stunde)
  • für den Einsatz in Rechenzentren geeignet
  • fernwartbar über Management-Konsole
  • integriertes Web-Interface zur Konfiguration per Webbrowser
  • erweiterte Optionen zur Erstellung von Verifikationsprotokollen, z. B. in PDF-Containern
 

Ausführliche Informationen finden Sie hier

 

Warum AutoVerifier?

Certification_Icon

 Beweiskräftige Vorlage vor Gericht durch Verifikationsprotokolle

 

Post

Überprüfung von Mehrfachsignaturen in PDF-Dokumenten

Bild5

Einbindung der Prüfergebnisse in die Scan-Metadaten nach TR-RESISCAN

Bild4

Prüfung qualifizierter und fortgeschrittener  Signaturen auf Gültigkeit

 

Pc

Verifikation von eSiegel-Signaturen

Haken

 Archiveingangsprüfung nach TR-ESOR

 

Zur Anbindung an einen bestehenden SMTP-Versandprozess kann zusätzlich das SMTP-Add-on eingesetzt werden. Es handelt sich dabei um einen transparenten E-Mail-Proxy, der E-Mails entgegennimmt, alle Anlagen dieser E-Mails verifiziert und diese dann an den eigentlichen Empfänger weitersendet. Die Verifikationsprotokolle werden zusätzlich in einem Verzeichnis abgelegt, damit sie intern zur Verfügung stehen.
 
Der Verifikationsserver ist auch per Webservice erreichbar. Es wird eine asynchrone und eine synchrone SOAP-Schnittstelle zur Verfügung gestellt. Der Verifikationsserver übernimmt die signierten Dateien per SOAP-Call entgegen, verifiziert diese und liefert das Verifikationsprotokoll unter gleichem Namen zurück.
 
Optional kann das Tool IsSigned eingesetzt werden. Es sortiert unter Linux eingehende Mails nach signierten und unsignierten Anhängen.

deutsche-bundesbank-logo lufthansa UKT_logo uk_berlin_logo hdw_logo DSiE Bayern aok-allgemeine-ortskrankenkasse
Wir haben das FP Konzept mit dem Bundesversicherungsamt besprochen und gefragt, ob das in Ordnung sei. Wenn man in einem derartig sensiblen Bereich arbeitet, will man keine Fehler machen, denn das kann teuer werden.
Markus Haas
stellvertretender Leiter DSiE Bayern

Nehmen Sie Kontakt mit uns auf!