ETSI-Experte: Sebastian Elfors, Senior Architect bei IDnow und CSO bei IDnow Trust Services AB — Sebastian Elfors, Senior Architect bei IDnow und CSO bei IDnow Trust Services ABIDnow Trust Services AB

Im Dezember 2024 hat das Europäische Institut für Telekommunikationsnormen (ETSI) eine aktualisierte Version der Norm TS 119 431 veröffentlicht, die die Notwendigkeit eines Einmalpassworts (OTP) innerhalb eines qualifizierten Fernsignaturprozesses aufhebt. Sebastian Elfors, Senior Architect bei IDnow und CSO bei IDnow Trust Services AB, gibt in diesem Artikel eine ausführliche Zusammenfassung der Norm, analysiert die Änderungen sowie deren Vorteile für einen benutzerfreundlicheren Prozess.

von Sebastian Elfors, Senior Architect bei IDnow und CSO bei IDnow Trust Services AB

Bei einer Fernsignatur werden der private Schlüssel und das qualifizierte Zertifikat des Benutzers in einem Remote Qualified Signature Creation Device (RQSCD) generiert und geschützt. Das RQSCD wird wiederum von einem qualifizierten Vertrauensdiensteanbieter (Qualified Trust Service Provider, QTSP) betrieben. Der Nutzer kann auf seinen privaten Schlüssel und sein qualifiziertes Zertifikat zugreifen, indem er sich gegenüber einem Signaturauthentifizierungsmodul (Signature Authentication Module, SAM) authentifiziert. Das löst dann wiederrum die Erstellung einer qualifizierten elektronischen Signatur in der RQSCD aus. Der QTSP, der das SAM und die RQSCD betreibt, wird auch als Fernsignaturdienst bezeichnet.

Autor Sebastian Elfors, Senior Architect IDnow

Sebastian Elfors ist Senior Architect, IDnow & CSO, IDnow Trust Services AB (Website). In seiner derzeitigen Funktion als Senior Architect bei IDnow ist Sebastian Elfors Mitglied von CEN TC224 und ETSI ESI. Im Bereich der Standardisierung ist er der Main Editor des ETSI Technical Report (ETSI TR 119 476) über Selective Disclosure und Zero-Knowledge Proofs für die EUDI-Wallet. Darüber hinaus hat er an ETSI-Standards zur Fernsignatur und zum Identity Proofing sowie an CEN TC224-Standards zur Zertifizierung und zum Onboarding von persönlichen Identifikationsdaten in EUDI-Wallets mitgearbeitet. Elfors hat einen Master of Science in Angewandter Physik und Elektrotechnik der Universität Linköping in Schweden.

Mit anderen Worten: Der Nutzer kann die Verwendung seines privaten Schlüssels und seines qualifizierten Zertifikats an einen Fernsignaturdienst auslagern, der im Namen des Nutzers qualifizierte elektronische Signaturen „in der Cloud“ erstellt. Dieser Ansatz bietet mehrere Vorteile: Am wichtigsten ist vermutlich, dass der Nutzer von jedem Gerät –- vorausgesetzt es unterstützt die erforderliche Authentifizierung – auf den Fernsignaturdienst zugreifen kann. Im Vergleich zu Smartcards (lokale QSCDs), die über USB oder NFC (Near Field Communication) mit dem Gerät des Nutzers verbunden werden müssen, ist dies die nutzerfreundlichere Lösung.

Relevante Vorschriften und Normen

Gemäß eIDAS1 (Verordnung (EU) Nr. 910/2014) können die RQSCD-Vorgänge als Modul durchgeführt werden. Voraussetzung ist, dass der QTSP für einen anderen qualifizierten Vertrauensdienst zertifiziert ist, zum Beispiel als Zertifizierungsstelle. Im Rahmen von eIDAS2 (Verordnung (EU) 2024/1183) sind die RQSCD-Vorgänge rechtlich als qualifizierter Vertrauensdienst definiert. Es besteht daher ein Bedarf an Standards, die technisch definieren, wie der Fernsignaturdienst eine RQSCD betreiben soll.

Das Europäische Komitee für Normung (CEN) hat drei Normen für Fernsignaturdienste veröffentlicht:

CEN EN 419241-1: Vertrauenswürdige Systeme zur Unterstützung der Serversignatur – Teil 1 – Allgemeine Systemanforderungen
CEN EN 419241-2: Vertrauenswürdige Systeme zur Unterstützung der Serversignatur – Teil 2 – Schutzprofil für QSCD zur Serversignatur
CEN EN 419221-5: Schutzprofile für TSP Kryptographische Module – Teil 5 – Kryptographisches Modul für Vertrauensdienste

Zusätzlich zu den CEN-Normen hat das Europäische Institut für Telekommunikationsnormen (ETSI) drei ergänzende Normen für Fernsignaturdienste veröffentlicht:

ETSI TS 119 431-1: Richtlinien- und Sicherheitsanforderungen für Vertrauensdiensteanbieter; Teil 1: TSP-Servicekomponenten, die einen Remote QSCD / SCDev betreiben
ETSI TS 119 432: Elektronische Signaturen und Infrastrukturen (ESI); Protokolle für die Erstellung digitaler Fernsignaturen
ETSI TS 119 431-2: Richtlinien und Sicherheitsanforderungen für Vertrauensdiensteanbieter; Teil 2: TSP-Servicekomponenten zur Unterstützung der Erstellung digitaler AdES-Signaturen

Eine Übersicht über einen Fernsignaturdienst nach CEN EN 419241-1 ist in der folgenden Abbildung (1) dargestellt.

Abbildung 1: Übersicht über einen Fernsignaturdienst nach CEN EN 419241-1, Quelle: IDnow (adaptiert von CEN EN 419241-1) / ETSI — Abbildung 1: Übersicht über einen Fernsignaturdienst nach CEN EN 419241-1, Quelle: IDnow (adaptiert von CEN EN 419241-1)IDnow

Langfristige versus Einmalzertifikate

Diese CEN- und ETSI-Normen sind die Eckpfeiler für den eIDAS1/eIDAS2-konformen Betrieb von Fernsignaturdiensten.

Die CEN- und ETSI-Normen wurden jedoch für die Verwendung mit langfristigen qualifizierten Zertifikaten konzipiert. Das bedeutet, dass das Zertifikat im RQSCD zwei bis drei Jahre lang gültig ist und die Benutzer ihre Zertifikate mehrfach verwenden können. Daher spezifizieren die CEN-Normen ein Authentisierungs-Framework, das aus einem SAP (Signature Activation Protocol) mit SAD (Signature Activation Data) auf SCAL2 (Sole Control Access Level 2) besteht. Diese Lösung ist vor allem für Nutzer von Vorteil, die mehrere elektronische Dokumente unterzeichnen müssen – dazu gehören Geschäftsführer, die jede Woche mehrere Verträge in elektronischer Form unterzeichnen.

Es gibt jedoch auch ein anderes Szenario, in dem qualifizierte Einmalzertifikate (oder Zertifikate mit kurzer Laufzeit) besser geeignet sind. Dies ist zum Beispiel der Fall, wenn eine Privatperson einen Vertrag mit einer Bank oder einem Telekommunikationsanbieter digital unterzeichnen muss. Dabei handelt es sich um einen einmaligen Vorgang: Der Nutzer wird einmalig von der Bank oder dem Telekommunikationsanbieter identifiziert und unterschreibt dann den Vertrag im PDF-Format. Ein erneuter Vertragsabschluss mit der Bank oder dem Telekommunikationsanbieter und damit eine ‚digitale Rückkehr‘ des Kunden ist in der Regel nicht erforderlich.

Um den CEN- und ETSI-Normen zu entsprechen, muss der QTSP erstens den Nutzer identifizieren, um das Zertifikat auszustellen. Zweitens muss er ihn authentifizieren, um die Signatur mit dem RQSCD zu erstellen. Dies ist dann sinnvoll, wenn es sich um ein Zertifikat mit langer Laufzeit handelt und der Benutzer sich mehrfach authentifizieren muss, um mehrere Signaturen erstellen zu können.

Bei Einmalzertifikaten ist der zweite Authentifizierungsschritt jedoch überflüssig, da der Nutzer bereits innerhalb desselben Prozesses identifiziert wurde.

Änderungen an der ETSI TS 119 431-Norm

Vor diesem Hintergrund hat IDnow der CEN TC224 WG17 und ETSI ESI vorgeschlagen, die entsprechenden Normen dahingehend zu aktualisieren, dass bei Verwendung von Einmalzertifikaten eine Fernsignatur nur mit Identifizierung möglich ist. ETSI ESI griff den Vorschlag auf und aktualisierte die ETSI Norm TS 119 431-1 im Dezember 2024 auf Version v1.3.1. In dieser überarbeiteten Version der ETSI TS 119 431-1 wird das Konzept der Einmalzertifikate definiert. Dabei ist es nun ausreichend, den Nutzer für (1) die Ausstellung des Zertifikats und (2) die Erstellung der Signatur im RQSCD zu identifizieren, sofern diese beiden Vorgänge innerhalb derselben Sitzung und während eines begrenzten Zeitraums durchgeführt werden.

ETSI: Weitere Implementierungen und Normung

Mit der Überarbeitung der ETSI TS 119 431-1 v1.3.1 ist es für QTSPs in der EU nun möglich, ihre Fernsignaturprozesse mit Einmalzertifikaten zu gestalten, die nur auf der Identifizierung basieren. Dies sorgt für einen nutzerfreundlicheren Prozess ohne Einmalpasswort. Der Nutzer wird nur einmal identifiziert.

Die Spezifikation des Cloud Signature Consortium (CSC API) kann ebenfalls angepasst werden, um solche Fernsignaturverfahren zu ermöglichen. Dies ist in der folgenden Abbildung (2) dargestellt.

Abbildung 2: Fernsignaturprozess mit Einmalzertifikaten, Quelle: IDnowIDnow

Diese Änderung der ETSI TS 119 431-1 wird zu nutzerfreundlicheren und gleichzeitig sicheren Fernsignaturabläufen für die QTSP und die EU-Bürgerinnen und -Bürger führen.Sebastian Elfors, IDnow/ aj

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/223760

Neue ETSI-Norm ermöglicht Fernsignatur ohne Einmalpasswort – Praxis- & Hintergrund Know-How

Relevante Vorschriften und Normen

Langfristige versus Einmalzertifikate

Änderungen an der ETSI TS 119 431-Norm

ETSI: Weitere Implementierungen und Normung

Schreiben Sie einen Kommentar Antworten abbrechen

Anstehende Veranstaltungen

Payment Exchange 2025 – Pextraordinary Tales

E-Invoicing Exchange Summit in Miami 2025

Bankenkongress KURS 2025: IT in Banken

CIBI Innovationstag 2025

Crypto Assets Conference (CAC25A) – 26. März 2025

Fit für DORA – das Informationsregister in der Praxis

IT-Anforderungen für die Interne Revision in Kreditinstituten

FIBE Berlin 2025 – das führende Fintech-Festival

Embedded Finance Review Event

data:unplugged – Das Festival für Daten & KI