e-Vergabe im Öffentlichen Sektor - infodienst-ausschreibungen.at
e-Vergabe im Öffentlichen Sektor - infodienst-ausschreibungen.at
e-Vergabe im Öffentlichen Sektor - infodienst-ausschreibungen.at
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Bild: a.trust<br />
24 Die Welt der e-<strong>Vergabe</strong><br />
INFO<br />
Die Sign<strong>at</strong>ur kann nur auf jenen<br />
Rechnern zum Eins<strong>at</strong>z kommen, auf<br />
denen die Software installiert ist.<br />
Bestehende Firewalls müssen meist<br />
durch eine/n IT-TechnikerIn angepasst<br />
werden, da sonst die Sign<strong>at</strong>ursoftware<br />
Systemkonflikte hervorruft.<br />
Funktionen und Ablauf einer sicheren digitalen Sign<strong>at</strong>ur<br />
<br />
Sign<strong>at</strong>ursoftware<br />
Die Sign<strong>at</strong>ursoftware wird am Arbeitspl<strong>at</strong>z-PC benötigt, um<br />
die digitale Sign<strong>at</strong>ur durchführen zu können. Sie beinhaltet<br />
einen so genannten "Secure Viewer", der sicherstellt, dass<br />
der/die BenutzerIn nur das unterschreibt, was er/sie t<strong>at</strong>sächlich<br />
auf dem Bildschirm sieht. Mit der Sign<strong>at</strong>ursoftware können<br />
Dokumente/Angebote so verschlüsselt werden, dass<br />
sie vor offizieller Angebotsöffnung nicht eingesehen werden<br />
können. Produkt-Empfehlungen werden auch hier von<br />
a.trust und den <strong>Vergabe</strong>pl<strong>at</strong>tformen gegeben.<br />
Kernelement der sicheren elektronischen Sign<strong>at</strong>ur ist die<br />
asymmetrische Verschlüsselung mittels priv<strong>at</strong>em und öffentlichem<br />
Schlüssel. Dies ist ein Zahlencode mit derzeit 1024<br />
Bits Länge. Der priv<strong>at</strong>e Schlüssel ist die "elektronische<br />
Identität" und befindet sich auf der Sign<strong>at</strong>urkarte der<br />
Sign<strong>at</strong>orin bzw. des Sign<strong>at</strong>ors. Der öffentliche Schlüssel wird<br />
von der Senderin bzw. vom Sender mit übermittelt, oder<br />
kann altern<strong>at</strong>iv vom Zertifizierungsdienst geholt werden.<br />
Der Ablauf<br />
Wird ein geeignetes Dokument - nur best<strong>im</strong>mte Form<strong>at</strong>e lassen<br />
eine Sign<strong>at</strong>ur direkt zu, z.B. pdf, xml, txt - signiert, wird<br />
von der Sign<strong>at</strong>ursoftware der so genannte Hashwert für das Dokument errechnet. Dieser Hashwert<br />
wird mit dem priv<strong>at</strong>en Schlüssel von der Sign<strong>at</strong>urkarte verschlüsselt. Der Hashwert wird dann von<br />
dem/der SenderIn, gemeinsam mit dem Dokument und dem Zertifik<strong>at</strong> in einem best<strong>im</strong>mten Form<strong>at</strong><br />
(z.B. PKCS#7) versendet. Der/die EmpfängerIn bekommt zur Nachricht <strong>im</strong> Hintergrund den öffentlichen<br />
Schlüssel des Senders/der Senderin übermittelt und sein Programm errechnet hiermit einen zweiten<br />
Hashwert, der zur Verifizierung des Dokuments unbedingt mit dem ersten Hashwert übereinst<strong>im</strong>men<br />
muss, ansonsten wird die Nachricht als ungültig klassifiziert. Im Rahmen eines <strong>Vergabe</strong>verfahrens<br />
bedeutet eine Nichtverifizierung den Ausschluss vom Verfahren, weil das versandte Angebot nicht mit<br />
dem bei der/dem AuftraggeberIn Eingetroffenen ident ist. Der Nachweis in welcher Umgebung die<br />
Verfälschung erfolgt ist, wird der/dem BieterIn schwer fallen.