eIDAS

eIDAS – EU-Verordnung über elektronische Identifizierungs- und Vertrauensdienste

Hardware-Sicherheitsmodule (HSM) als Vertrauensanker für Trusted Service Provider (TSP)

Die eIDAS-Verordnung fördert das Vertrauen in die digitale Welt und den digitalen europäischen Binnenmarkt mit dem Ziel, das Wirtschaftswachstum zu steigern. Die Basis dafür sind Transparenz und höchste Sicherheitsstandards. Als HSM-Hersteller steht Utimaco an vorderster Front bei der Definition der damit verbundenen technischen Anforderungen. Der Utimaco CryptoServer Se-Serie Gen2 erreicht aufgrund einer Common-Criteria-Zertifizierung nach EN 419221-5 eIDAS-Konformität.

Listen to Alexander Eßer from Bank-Verlag speak about Bank-Verlag as a Trust Service Provider (TSP), regulatory requirements set forward by eIDAS to offer qualified signatures and the role of cryptography and Utimaco HSMs.

eIDAS – Meilenstein für elektronische Identifikations- und Vertrauensdienste

Verabschiedet im Juli 2016, hat die EU-Verordnung Nr. 910/2014 über elektronische Identifikations- (eID) und Vertrauensdienste (elektronische Trust Services, eTS) einen Meilenstein für den Zugang zu öffentlichen Diensten und sicheren Online-Transaktionen über EU-Staatsgrenzen hinweg gesetzt. Die eIDAS-Verordnung soll die elektronische Interaktion zwischen Bürgern, Unternehmen (insbesondere KMUs) und Behörden erleichtern. Wesentliche Herausforderungen, die die Verordnung adressiert, beziehen sich größtenteils auf bisher national geregelte Vertrauensdienste. Die frühere EU-Signatur-Richtlinie konzentrierte sich auf Zertifikate für elektronische Signaturen. Dies schuf Systeme, die sich mit Blick auf Compliance-Anforderungen, Rechtsstatus und Gültigkeit von Vertrauensdiensten sehr stark unterscheiden.

So sind elektronische Vertrauensdienste grenzübergreifend definiert [eIDAS Art. 3 (16)]:

• „Erstellung, Überprüfung und Validierung von elektronischen Signaturen, elektronischen Siegeln oder elektronischen Zeitstempeln und Diensten für die Zustellung elektronischer Einschreiben sowie von diese Dienste betreffenden Zertifikaten oder
• Erstellung, Überprüfung und Validierung von Zertifikaten für die Website-Authentifizierung oder
• Bewahrung von diese Dienste betreffenden elektronischen Signaturen, Siegeln oder Zertifikaten.“

Für die Zukunft sind gemeinsame technische Standards sowie Datensicherungs- und Datenschutzstandards der Schlüssel zu einer transparenten und sicheren Umgebung für Online-Transaktionen über Grenzen hinweg.

Hardware-Sicherheitsmodule – Compliance-Motor für Trusted Service Provider

Um Systeme und Dienste abzusichern, können Trusted Service Provider auf kryptografische Module wie Smartcards oder Hardware-Sicherheitsmodule zurückgreifen. Sie sollen als qualifizierte elektronische Signaturerstellungsgeräte verwendet werden. „Die Konformität qualifizierter elektronischer Signaturerstellungseinheiten mit [EU] Anforderungen […] wird von geeigneten, von den Mitgliedstaaten benannten öffentlichen oder privaten Stellen zertifiziert.“ (nach eIDAS Art. 30 & 31).

Die detaillierten technischen Anforderungen sind noch nicht abschließend definiert (siehe Infobox). Die Common Criteria Protection-Profile EN 419221-5 „Cryptographic Modules for Trust Services“ und EN 419241-2 „Protection Profile for QSCD for Server Signing“ fordern ein nach EN 419221-5 zertifiziertes Kryptografie-Modul.

Als HSM-Hersteller steht Utimaco an vorderster Front bei

• der Festlegung dieser technischen Anforderungen durch die Teilnahme an der Arbeitsgruppe CEN TC 224 WG17.
• Damit sichert Utimaco Konformität mit den eIDAS-Anforderungen.

Die Common-Criteria-Zertifizierung gem. EN 419221-5, in dessen Prozess sich die Utimaco CryptoServer Se-Serie Gen2 befindet, greift den anstehenden gesetzlichen Änderungen sowie den damit verbundenen Partner- und Kundenanforderungen bereits vor.

Sie möchten mehr über eIDAS erfahren? Lesen Sie unseren Blogbeitrag.

Anforderungen an qualifizierte elektronische Signaturerstellungseinheiten [nach eIDAS Anhang II]

1. Qualifizierte elektronische Signaturerstellungseinheiten müssen durch geeignete Technik und Verfahren zumindest gewährleisten, dass
   1. die Vertraulichkeit der zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten angemessen sichergestellt ist,
   2. die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten praktisch nur einmal vorkommen können,
   3. die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können und die elektronische Signatur bei Verwendung der jeweils verfügbaren Technik verlässlich gegen Fälschung geschützt ist,
   4. die zum Erstellen der elektronischen Signatur verwendeten elektronischen Signaturerstellungsdaten vom rechtmäßigen Unterzeichner gegen eine Verwendung durch andere verlässlich geschützt werden können.
2. Qualifizierte elektronische Signaturerstellungseinheiten dürfen die zu unterzeichnenden Daten nicht verändern und nicht verhindern, dass dem Unterzeichner diese Daten vor dem Unterzeichnen angezeigt werden.
3. Das Erzeugen oder Verwalten von elektronischen Signaturerstellungsdaten im Namen eines Unterzeichners darf nur von einem qualifizierten Vertrauensdiensteanbieter durchgeführt werden.
4. Unbeschadet des Absatzes 1 Buchstabe d dürfen qualifizierte Vertrauensdiensteanbieter, die elektronische Signaturerstellungsdaten im Namen des Unterzeichners verwalten, die elektronischen Signaturerstellungsdaten ausschließlich zu Sicherungszwecken kopieren, sofern folgende Anforderungen erfüllt sind:
   1. Die kopierten Datensätze müssen das gleiche Sicherheitsniveau wie die Original-Datensätze aufweisen.
   2. Es dürfen nicht mehr kopierte Datensätze vorhanden sein als zur Gewährleistung der Dienstleistungskontinuität unbedingt nötig.