Speichern Sie Ihre Signaturzertifikate und -schlüssel in einem HSM, um zu verhindern, dass andere Dokumente mit Ihren Schlüsseln signieren.
Ein HSM als Vertrauensanker für das sichere Signieren und Zeitstempeln von Dokumenten
Wozu dient Document Signing?
Wenn Ihre Organisation mehrere Mitarbeiter hat, die mit Dokumenten arbeiten, ist es wichtig zu wissen, wer ein Dokument erstellt hat und ob die Person die richtige Autorität dafür besitzt. Falls Änderungen vorgenommen werden, sollten Sie wissen, wer die Änderungen vorgenommen hat und wer diese Änderungen überprüft hat. Das Signieren von Dokumenten kann eine sehr effektive Methode der Dokumentenverwaltung sein. Falls Ihre Signaturdaten jedoch in die falschen Hände gelangen, könnte dies fatale Folgen haben.
Das Signieren von Dokumenten & seine Grundlagen
Jede Organisation erstellt zahlreiche Dokumente, die im Geschäftsprozess verwendet werden. Einige dieser Dokumente enthalten wichtige Unternehmensinformationen und Details zu Geschäfts- und Finanztransaktionen. Es ist wichtig, diese als offizielle Dokumente zu behandeln und zu wissen, wer sie erstellt und wer den Inhalt bearbeitet hat. Beispiele für Dokumentenverwaltungssysteme mit digitaler Signatur sind Adobe Sign, OpenOffice, LibreOffice, DocuSign oder PrimeKey SignServer. Die Software übernimmt die Erstellung der Dokumente, die Verarbeitung der digitalen Signaturen und die Speicherung dieser Dokumente. Die Software erzeugt auch den Hash-Wert, welcher ein eindeutiger numerischer Wert ist, der den Inhalt der Datei identifiziert. Anschließend wird das Zertifikat / der private Schlüssel der Organisation verwendet, um das Dokument zu signieren. Der Empfänger weiß, dass das Dokument von genau dieser Organisation erstellt wurde wenn er die Signatur mit dem öffentlichen Schlüssel der Organisation überprüft.
Im konkreten Fall von Handelsrechnungen, muss die Rechnung mit dem amtlich ausgestellten Zertifikat der Steuer- oder Bankenbehörde unterzeichnet werden. In einigen Ländern müssen alle Bestellungen zur Einhaltung der Steuervorschriften registriert werden. Dies geschieht mit der Steuer-ID. Wenn ein Unternehmen ein Produkt an einen Kunden verkauft, muss diese Rechnung die tatsächliche Kostenbasis für Steuerzwecke widerspiegeln. Es muss sichergestellt werden, dass nur diese Firma diese Rechnungen erstellen kann und dass sie nicht gefälscht werden können um eine Haftung gegenüber der Organisation zu erwirken.
Eine weitere Option zur Signatur von Dokumenten: Timestamping
Die digitale Signatur von Dokumenten kann Signieren und optionales Timestamping umfassen. Das Dokument würde zuerst einen Zeitstempel erhalten, der die offizielle Zeit festhält, zu der das Dokument erstellt wurde. Dies ist wichtig beim Erstellen von Verträgen oder beim Ausstellen von Rechnungen. Der Erstellungszeitpunkt des Dokuments ist genauso wichtig wie die Information darüber, wer das Dokument erstellt hat.
Warum sollten Sie Hardware-Sicherheitsmodule (HSM) in diesem Zusammenhang verwenden?
Falls Ihre Organisation kein HSM verwendet, werden die Zertifikate und Schlüssel auf Ihrem Server in einem Dateiordner oder einer Datenbank gespeichert. Wenn die digitale Signatur-Software das Dokument signieren soll, werden die Zertifikate und Schlüssel aus dem Ordner oder der Datenbank abgerufen und der Signiervorgang wird auf dem Server abgeschlossen. Falls nun jemand diese Zertifikate und Schlüssel entdeckt, kann er Kopien erstellen und anschließend Dokumente erstellen, die mit Ihrem Schlüssel signiert sind. Damit hätte man effektiv die Identität Ihrer Organisation gestohlen und könnte Dokumente und Rechnungen erstellen, die scheinbar von Ihnen stammen.
Utimaco bietet den Vertrauensanker, der Ihre kryptografische Identität zur Signatur und für das Zeitstempeln offizieller Dokumente sicher speichert. Diese Identität ist im Utimaco HSM hinterlegt. Alle Signiervorgänge werden innerhalb der sicheren Grenze des HSM ausgeführt, so dass das Schlüsselmaterial nirgendwo außerhalb des HSM sichtbar ist. Wenn Sie ein Utimaco HSM verwenden, wird der Dokumentinhalt an das Utimaco HSM übergeben, wo das sicher hinterlegte offizielle Zertifikat verwendet wird, um das Dokument zu signieren, nachdem ein Hash-Wert des Dokuments erstellt und an das Dokument angehängt wurde. Dieser Prozess beweist, dass das Dokument von Ihnen erstellt und nicht geändert wurde.
Darüber hinaus stellt Utimaco ein speziell konfiguriertes HSM zur Verfügung, das als Timestamping Authority (TSA) für Ihre Organisation dient. Dieses spezielle HSM enthält eine Kopie des Zeitstempelzertifikats Ihres Unternehmens. Timestamping ist unabdingbar, um das Dokumenterstellungsdatum und die Zeit festzulegen, sowie Veränderungen festzuhalten, die an diesem Dokument vorgenommen wurden. Handelt es sich um ein Garantiedokument, so kann der Erstellungszeitpunkt verwendet werden, um die Gültigkeit eines Gewährleistungsanspruchs innerhalb der vereinbarten Frist zu bestimmen. Wenn ein neues Dokument als Ersatz für ein früheres Dokument erstellt wird, kann sichergestellt werden, dass das neue Dokument das aktuell gültige Dokument ist. Für die Bereitstellung von TimestampServer und SecurityServer sind zwei HSM-Geräte erforderlich, von denen eines als TimestampServer und das andere als „reguläres“ HSM konfiguriert ist.
