Studie - E-Government Innovationszentrum
Studie - E-Government Innovationszentrum
Studie - E-Government Innovationszentrum
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Evaluierung mobiler Signaturlösungen auf Smartphones<br />
<strong>Studie</strong> Standards<br />
3 Standards<br />
Um eine Vereinheitlichung mobiler Signaturlösungen zu erreichen wurde seit jeher versucht<br />
bewährte Ansätze zur mobilen Signaturerstellung über internationale Standards zu<br />
definieren. In diesem Abschnitt soll ein Überblick über einige relevante Spezifikationen<br />
gegeben werden. Hauptaugenmerk wird dabei auf internationale Standards gelegt. Auf<br />
nationale Spezifikationen, die ausschließlich für nationale Signaturlösungen des jeweiligen<br />
Herkunftslands Bedeutung haben, wird nicht näher eingegangen. Diese werden im Rahmen<br />
der Diskussion konkreter Implementierungen in Abschnitt 4 dieses Dokuments ergänzend<br />
erwähnt.<br />
In einer von SURFnet 14 durchgeführten <strong>Studie</strong> wurden Sicherheitsaspekte mobiler<br />
Signaturlösungen näher beleuchtet [14]. Diese <strong>Studie</strong> enthält auch eine umfassende<br />
Auflistung von Standards, die für die Erstellung mobiler Signaturen und die Installation<br />
mobiler PKI von Relevanz sind. Relevante Standards werden von den Autoren dieser<br />
<strong>Studie</strong>n in verschiedene Kategorien unterteilt. Diese und andere relevante Standards sollen<br />
in den folgenden Unterabschnitten näher diskutiert werden.<br />
3.1<br />
Standards zu serverbasierten Signaturen<br />
Obwohl es bereits zahlreiche Implementierungen serverseitiger Signaturlösungen gibt, sind<br />
diesbezügliche internationale Standards und Spezifikationen eher rar. Relevant ist in jedem<br />
Fall der von OASIS publizierte Digital Signature Service Standard (OASIS-DSS) 15 . Dieser<br />
Standard spezifiziert im Wesentlichen die Verwendung eines serverbasierten<br />
Signaturservices. Im Rahmen mobiler Signaturlösungen findet dieser Standard bis dato<br />
jedoch wenig Anwendung.<br />
3.2<br />
Smartcard-Standards<br />
Smartcard-Standards spielen vor allem bei clientseitigen mobilen Signaturlösungen, bei<br />
denen die elektronische Signatur direkt am Mobiltelefon (oder einem anderen mobilen Gerät)<br />
berechnet wird, eine zentrale Rolle. Sowohl bei der Kommunikation mit der SIM-Karte, als<br />
auch für die Interaktion mit zusätzlichen am mobilen Gerät vorhandenen Secure Elements<br />
kommen diese Standards zur Anwendung. Folgende Smartcard-Standards sind dabei von<br />
besonderer Relevanz:<br />
ISO 7816 Reihe: Die Standards der ISO 7816 Reihe 16 definieren Aufbau,<br />
Funktionalität und Kommunikationsschnittstellen von Smartcards. Diese Definitionen<br />
reichen von physikalischen Spezifikationen über die Spezifikation von<br />
Kommunikationsprotokollen bis hin zur möglichen Implementierung von PKI-Token.<br />
Java Card: Die Java Card Technologie 17 ermöglicht eine flexible Programmierung<br />
von Smartcards. Unterstützen Smartcards diese Technologie, können kleine<br />
Programme – sogenannte Java Card Applets – auf Smartcards installiert werden um<br />
deren Funktionalität zu erweitern. Die Programmierung dieser Applets erfolgt über die<br />
Programmiersprache Java, wobei allerdings nur ein Subset der gesamten Java-<br />
Funktionalität zur Verfügung steht. Im Rahmen mobiler Signaturlösungen spielt Java-<br />
14 http://www.surfnet.nl/nl/Pages/default.aspx<br />
15 http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=dss<br />
16 http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=54089<br />
17 http://www.oracle.com/technetwork/java/javacard/overview/index.html<br />
– 17 –