Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Teil I Aufbau und Betrieb einer Zertifizierungsinstanz - DFN-CERT
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
32 Kapitel 3. Public-Key-Zertifizierung in der Praxis<br />
Sperrung [eines Zertifikats] ermöglicht werden, da eine Telefonverbindung praktisch jederzeit<br />
hergestellt werden kann. Die Bekanntgabe weiterer Telekommunikationsanschlüsse (z.B. Fax)<br />
bleibt unbenommen. Als Authentisierungsverfahren kommt z.B. ein Paßwortverfahren in Be-<br />
tracht.“<br />
§ 9 Abs. 1 SigV schreibt letztlich eine Schnittstelle vor, mit der die Bestimmungen von § 13 Abs. 5<br />
SigG besonders schnell durchgesetzt werden können. Dort ist zwar vorgesehen, daß Zertifikate <strong>einer</strong><br />
Zertifizierungsstelle ihre Gültigkeit behalten, selbst wenn die Wurzelinstanz die Genehmigung<br />
für den <strong>Betrieb</strong> dieser Stelle widerruft; die „zuständige Behörde“ kann aber eine Sperrung von<br />
Zertifikaten anordnen, „wenn Tatsachen die Annahme rechtfertigen, daß Zertifikate gefälscht oder<br />
nicht hinreichend fälschungssicher sind oder ... zur Anwendung der Signaturschlüssel eingesetzte<br />
technische Komponenten Sicherheitsmängel aufweisen, die eine unbemerkte Fälschung digitaler<br />
Signaturen oder eine unbemerkte Verfälschung signierter Daten zulassen.“<br />
Auch die Signaturverordnung bleibt noch bewußt allgemein <strong>und</strong> unspezifisch, was geeignete technische<br />
Sicherungsverfahren <strong>und</strong> Schutzmaßnahmen angeht; derartige Festlegungen wurden aus der<br />
SigV in eine mehrteilige SigG-Interoperabilitätsspezifikation („Schnittstellenspezifikation zur Entwicklung<br />
interoperabler Verfahren <strong>und</strong> Komponenten nach SigG/SigV“, SigI), die zur Zeit noch<br />
entwickelt wird, <strong>und</strong> zwei Maßnahmenkataloge für technische Komponenten <strong>und</strong> für Zertifizierungsstellen<br />
[RTP98] ausgelagert (§ 12 Abs. 2 <strong>und</strong> § 16 Abs. 6), die von der Regulierungsbehörde<br />
geführt <strong>und</strong> im B<strong>und</strong>esanzeiger veröffentlicht werden. (Siehe auch Abschnitt 4.19.4 in Kapitel 4 zu<br />
Details der Anforderungen.)<br />
3.5.3 EU-Richtlinie zu Rahmenbedingungen elektronischer Signaturen<br />
Die EU hat die Gefahr divergierender nationaler Regelungen der digitalen Signatur sowie unterschiedlicher<br />
Maßnahmen auf dem Gebiet der Kryptographie <strong>und</strong> drohender daraus resultierender<br />
Hemmnisse für den freien Waren- <strong>und</strong> Dienstleistungsverkehr frühzeitig erkannt <strong>und</strong> bereits 1997<br />
die Mitteilung der EU-Kommission zu „Sicherheit <strong>und</strong> Vertrauen in elektronische Kommunikation<br />
– ein europäischer Rahmen für digitale Signaturen <strong>und</strong> Verschlüsselung“ [EUK97] vorgelegt. Zuvor<br />
waren bereits vorbereitende Gutachten <strong>und</strong> Studien zu diesem Gebiet eingeholt worden. In dieser<br />
Mitteilung heißt es – im Kontrast zum deutschen Signaturgesetz:<br />
„Da die Lizenzierungspflicht für CAs nicht der einzige Weg ist zu <strong>einer</strong> Übereinstimmung zwi-<br />
schen den Aktivitäten der CA <strong>einer</strong>seits <strong>und</strong> den Vorstellungen der Öffentlichkeit, wie Vertrauen<br />
in digitale Signaturen gefördert werden kann andererseits, müßte ein Regulierungsrahmen auf<br />
EU-Ebene die Koexistenz sowohl lizenzierter als auch unlizenzierter CAs vorsehen.“ [EUK97]<br />
Mit dem ersten Entwurf <strong>einer</strong> EU-Richtlinie über gemeinsame Rahmenbedingungen für elektronische<br />
Signaturen [EUK98b] vom 13. Mai 1998 wurden die Ziele der Mitteilung von 1997 dann<br />
konkretisiert. Im Unterschied zum deutschen Signaturgesetz sah der erste Richtlinienentwurf die<br />
Durchsetzung konkrete Haftungsanforderungen vor, die als marktwirtschaftliches Steuerungsinstrument<br />
ein hohes Sicherheitsniveau sicherstellen sollten. Der Entwurf blieb bewußt funktional<br />
gehalten statt technisch, um eine Offenheit für zukünftige Verfahren zu gewährleisten. In einigen