Studie - E-Government Innovationszentrum
Studie - E-Government Innovationszentrum
Studie - E-Government Innovationszentrum
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Evaluierung mobiler Signaturlösungen auf Smartphones<br />
<strong>Studie</strong> Analyse<br />
microSD basierte Ansätze: Diese haben bisher keine bzw. wenige produktive<br />
Anwendungen gefunden, sollen jedoch in diesem Abschnitt ebenfalls näher<br />
betrachtet werden.<br />
5.3.1 Kriterien<br />
Eine Reihe von Kriterien sind für die sichere Erstellung elektronischer Signaturen auf<br />
mobilen Geräten von Bedeutung. Diese sollen im Folgenden näher beschrieben werden.<br />
Anhand dieser Kriterien sollen die einzelnen mobilen Signaturerstellungsverfahren in<br />
weiterer Folge analysiert und evaluiert werden.<br />
5.3.1.1 Aufbewahrungsort des Signaturschlüssels<br />
Der Aufbewahrungsort des privaten Signaturschlüssels des Benutzers spielt eine<br />
entscheidende Rolle für die Sicherheit des eingesetzten Verfahrens. Die Signatur-Richtlinie<br />
definiert als Anforderung an sichere Signaturerstellungseinheiten (die für die Erstellung<br />
qualifizierter Signaturen verpflichtend sind), dass diese die Signaturerstellungsdaten des<br />
Benutzers vor einer Verwendung durch andere verlässlich schützen müssen. Prinzipiell<br />
kann zwischen den folgenden Möglichkeiten der Speicherung von Signaturerstellungsdaten<br />
(Schlüssel) unterschieden werden:<br />
Software: Diese Variante wird aufgrund ihrer inhärenten Unsicherheit von keinem der<br />
diskutierten Verfahren verwendet, und wird hier nur aus Gründen der Vollständigkeit<br />
genannt. Bei diesem Verfahren befindet sich der private Signaturschlüssel auf einem<br />
Standard-Speicher (z.B. SD Karte), der dem Gerät zur Verfügung steht. Diese<br />
Möglichkeit bietet geringen bis keinen Schutz vor einem Kopieren und einer<br />
unerlaubten Verwendung des Schlüssels durch einen Angreifer.<br />
Secure Element (SE): Bei den genannten Mobilsignaturlösungen kommt durchwegs<br />
ein Secure Element (oder entsprechendes Hardware Security Module) für den Schutz<br />
der verwendeten Signaturschlüssel zum Einsatz. Auf abstrakter Ebene ist dessen<br />
Verwendung dabei immer gleich: Mit Hilfe einer Art von Benutzerauthentifizierung<br />
(PIN, Passwords, TANs etc.) wird der Signaturvorgang am SE autorisiert und<br />
ausgelöst. Das SE selbst kann sich dabei prinzipiell an unterschiedlichen Positionen<br />
befinden:<br />
o Smartphone: In diesem Fall befindet sich das SE direkt im Smartphone.<br />
Dabei kann wiederum zwischen den unterschiedlichen Technologien<br />
unterschieden werden, die für die Bereitstellung des SEs verwendet werden:<br />
SIM Karte: Das SE befindet sich auf der SIM Karte. Diese wird über<br />
das Smartphone angesprochen. Diese Lösung wird von gängigen<br />
MSS basierten Lösungen verwendet.<br />
Im Gerät: Das SE ist direkt im Gerät integriert.<br />
Andere: SEs können auch in andere Komponenten wie microSD<br />
Karten integriert werden.<br />
o Extern: Bei der österreichischen Mobilsignaturlösung befindet sich das SE<br />
nicht am Smartphone sondern beim Betreiber des Dienstes. Die<br />
Zugangskontrolle und Signaturautorisierung erfolgt dabei über das vorher<br />
beschriebene System und basiert auf den beiden Kommunikationskanälen<br />
Internet (Web) und SMS.<br />
5.3.1.2 PIN-Eingabe<br />
Alle oben genannten Signaturlösungen verlangen eine Authentifizierung des Benutzers beim<br />
SE, um den Signaturvorgang durchzuführen. Dabei kann es sich um eine einzelne PIN, um<br />
ein Passwort oder ein mehrschichtiges PIN/TAN Verfahren handeln.<br />
PIN Code: Hier wird über die Smartphone-Tastatur die benötigte PIN eingegeben.<br />
Die Sicherheit basiert darauf, dass nur der Benutzer diese PIN kennt.<br />
– 37 –