Kann ein QTSP die Fälschung elektronischer Signaturen verhindern?

In der digitalen Welt gibt es keinen Notar. Die Frage ist, ob es trotzdem einen Weg gibt, um sicherzustellen, dass Dokumente auch echt sind. Die Antwort ist: Ja, es gibt einen Weg, die Fälschung digitaler Signaturen zu verhindern - der Zeitstempel. Damit ergibt sich gleich die nächste Frage: Sollten Sie besser einen Anbieter von Vertrauensdiensten (TSP) oder einen qualifizierten Anbieter (QTSP) wählen, der diese ausstellt?

Es ist einfach zu herauszufinden wie spät es an einem aktuellen Zeitpunkt ist. Allerdings ist es schwieriger einer Angabe über einen Zeitpunkt zu vertrauen, der bereits in der Vergangenheit liegt. Die Zeitstempelung eines elektronischen Dokuments durch eine qualifizierte Drittpartei ermöglicht Ihnen einem Zeitpunkt zu vertrauen, zu dem ein Dokument signiert wurde. Diese Sicherheit ist für viele rechtsverbindliche Dokumente von entscheidender Bedeutung.

sundial

Die Genauigkeit der Zeit – jedes Zeitalter hat seine Lösungen

Wie spät ist es jetzt? Dies ist eine einfache Frage mit einer einfachen Antwort, die die Menschen seit Jahrhunderten stellen. Die ersten Sonnenuhren stammen aus dem Alten Ägypten des 13. Jahrhunderts v. Chr. Und auch diese Varianten einer Uhr beantworten die Frage mit ziemlicher Genauigkeit, zumindest bis auf den Bruchteil einer Stunde.

undefined-Aug-18-2020-01-55-28-62-PM

Die ersten Wanduhren entstanden ca. im 14 Jahrhundert und zeigten die Zeit auf die Minute genau an. Ich besitze glücklicherweise noch immer die alte Wanduhr aus meiner Kindheit mit ihrem beruhigenden Tick/Tack, die früher in der Hütte meines Großvaters hing.

Diese alten Uhren waren jedoch nicht immer ganz genau und mussten ständig nachgestellt werden, um die korrekte Zeit anzuzeigen. Diese Uhren waren natürlich nicht zwischen den verschiedenen Orten synchronisiert (z. B. in Deutschland gab es bis 1893 zehn verschiedene Zeitzonen, die in der geografischen Länge der einzelnen Orte begründet waren. Die Zeitdifferenz je Längengrad beträgt 4 Minuten).

Diese Synchronisation wurde erst dann wirklich benötigt, als die nationalen Zugfahrpläne dies erforderten. Mit der Einführung der ersten Eisenbahnzeit wurde die Zeitangabe (über den Telegraphen) mit dem Greenwich Royal Observatory synchronisiert. Auch heute noch verwenden wir die Abkürzung GMT (Greenwich Mean Time).

Genauigkeit bekommt man nicht automatisch

Bis 2010 schickte der norwegische Rundfunk (NRK) im Radio ein Zeitsignal an seine Zuhörer, damit diese Ihre Uhr stellen können. Dabei handelte es sich um eine Reihe von Signaltönen mit einer Verzögerung von einer Sekunde und dann eine Pause von 5 Sekunden vor der vollen Stunde -das klang so. Dadurch konnte man die Uhr innerhalb von etwa einer Sekunde so genau stellen, dass es für die meisten Zwecke völlig ausreichend war.

Wenn Sie zufällig ein altes Langwellenradio in der Nähe haben, können Sie das Zeitsignal von der DFC77 in Deutschland (einem Radiosender) empfangen. Mittlerweile beinhaltet dieses Signal auch die Codierung von Datum und anderen Informationen.

Heute denken wir nicht mehr über solche Herausforderungen nach. Die meisten Uhren werden automatisch eingestellt, typischerweise von einem Network Time Protocol (NTP)-Server. Ihr Computer, Ihr Telefon und Ihr Tablet synchronisieren die Uhrzeit automatisch und angepasst an Ihren geografischen Standort, so dass sie bis auf Sekundenbruchteile korrekt ist.

Die einwandfreie Nutzung eines Time-Based One-Time-Password (TOTP), ist davon abhängig, dass die Uhr Ihres lokalen Gerätes mit dem Server synchronisiert wird. Das liegt daran, dass der Code eines TOTP (in der Regel) alle 30 Sekunden geändert wird. Die problemlose Nutzung des TOTP ist entscheidend, denn es wird bei der Zwei-Faktor-Authentifizierung eingesetzt.

Das Fälschen von elektronischen Signaturen ist einfacher als Sie denken

Wenn ich einen Zettel erhalte, auf dem ein Datum geschrieben oder aufgedruckt ist oder wenn ich eine PDF-Datei erhalte, auf der das Datum Teil des Textes ist, wie kann ich darauf vertrauen, dass dieses Datum jeweils korrekt ist? Bei den genannten Fällen kann ich leider nicht darauf vertrauen, dass das angegebene Datum korrekt ist. Der Autor des Dokuments hätte jedes beliebige Datum in das Dokument einfügen können. Sogar einem elektronisch signierten Dokument kann nicht vertraut werden, wenn die Signatur auf dem PC eines Benutzers hinzugefügt wurde. Es ist leicht möglich, die Uhr eines PC´s zu manipulieren, bevor die Signatur hinzugefügt wird.

Alles Gründe warum die Fälschung einer elektronischen Signatur eigentlich recht einfach ist. Sogar zu einfach! Es besteht daher Bedarf an einer Vertrauensperson, die den korrekten Zeitpunkt der Dokumente bestätigen kann.

Ein qualifizierter Vertrauensdienstleister ist in der digitalen Welt wie ein Notar

undefined-Aug-18-2020-01-54-29-83-PM

Sie können ein physisches Dokument zu einem Notar bringen. Sie weisen sich aus und der Notar versieht das Dokument mit Stempel und Unterschrift. Damit bestätigt er, dass Sie derjenige sind, für den Sie sich ausgeben. Möglicherweise fügen sie auch noch weitere Sicherheitsmaßnahmen hinzu, wie etwa ein Siegel. Ein wichtiger Bestandteil einer notariellen Beglaubigung ist das Datum, welches der Notar bei der Unterzeichnung hinzufügt. Merkwürdigerweise wird dies selten erwähnt, wenn man sich die Leistungen des Notars ansieht. Dennoch ist dies ein entscheidender Teil seiner Dienstleistung.

Was ist der Unterschied zwischen einem Vertrauensdienstleister (TSP) und einem QTSP?

Einer der in eIDAS definierten Vertrauensdienste ist die Time Stamping Authority (TSA). Durch die Verwendung einer TSA oder noch besser einer QTSA (einer Qualified TSA), wird dem Dokument ein vertrauenswürdiger Zeitstempel hinzugefügt. Eine QTSA kann nur von einem Qualified Trust Service Provider (QTSP) betrieben werden.

Der QTSP ist kein Titel, den jede Organisation einfach tragen kann: Er unterliegt einer strengen Kontrolle und wird regelmäßig von einer extern akkreditierten Organisation überprüft, um sicherzustellen, dass alle Verfahren bei der Anbringung des Zeitstempels eingehalten werden. Darüber hinaus muss die Zeit von einer vertrauenswürdigen Zeitquelle abgenommen werden, was eine Manipulation nahezu unmöglich macht. Ein QTSP ist darüber hinaus im Falle eines falschen Zeitstempels haftbar.

Wie kann ein QTSA sicherstellen, dass er die richtige Zeit nutzt?
Ein QTSA muss immer mit der richtigen Zeitangabe arbeiten. Zahlreiche Mechanismen helfen Ihm dabei genau das sicher zu stellen. Zum einen, ist ein vertrauenswürdiger NTP-Server erforderlich, der die UTC(k)-Zeit zur Verfügung stellt. Signicat verwendet den NTP-Server des Norwegischen Metrologiedienstes. Neben der automatischen Aktualisierung der Uhr durch das Betriebssystem gibt es einen separaten Prozess, der ebenfalls die Zeit aus der UTC(k)-Quelle bezieht und beide vergleicht. Darüber hinaus gibt es einen externen Server, der überwacht, dass sich die Zeit auf dem QTSA-Server jede Sekunde um eine Sekunde erhöht. Wenn einer dieser Mechanismen auf ein Problem hinweist, wird der Dienst angehalten und ein Alarm wird ausgelöst.

Beim Hinzufügen einer elektronischen Signatur überprüft der Anbieter des Vertrauensdienstes die Identität des Unterzeichners. Wird hingegen ein Zeitstempel hinzugefügt, überprüft der Anbieter des Vertrauensdienstes die Uhrzeit. Aus technischer Sicht sind diese Prozesse nicht sehr unterschiedlich und beide sind manipulationssicher. Das bedeutet, dass alle Änderungen an den signierten oder mit einem Zeitstempel versehenen Daten bei der Validierung gekennzeichnet werden.

Um sicherzustellen, dass es auch in Zukunft möglich ist den Zeitpunkt eines Dokumentes zu validieren, werden Langzeit-Validierungsdaten (LTV) hinzugefügt. Darüber hinaus müssen die signierten oder zeitgestempelten Daten periodisch aufbewahrt werden. Auf diese Weise wird es immer möglich sein, die jeweilige Identität oder den Zeitpunkt zu validieren.

"Ein Zeitstempel ist für die Uhrzeit, was eine elektronische Signatur für die Identität ist".

 

undefined-1

 

Wenn Sie ein Dokument erhalten, das einen von einem QTSP hinzugefügten Zeitstempel enthält, können Sie sehr sicher sein, dass die Zeitangabe korrekt ist und die Daten seit dem Hinzufügen des Zeitstempels nicht geändert wurden.

WITZIGE TATSACHE: Die von den GPS-Satelliten empfangene Zeit liegt 18 Sekunden vor UTC. Ab und zu wird die UTC mit einer Schaltsekunde angepasst, sodass die UTC so nahe wie möglich an der Sonnenzeit liegt, während dies beim GPS nicht der Fall ist.

Es ist wichtig zu erkennen, dass es bei der Zeitstempelung hauptsächlich um Vertrauen, Verantwortung und Haftung geht und weniger um die Technologie. Es können verschiedene Technologien verwendet werden, um einen Zeitstempel hinzuzufügen (einschließlich PKI und Blockchain). Aber unabhängig davon welche Technologie verwendet wird, es wird immer ein Anbieter von Vertrauensdiensten benötigt.

„Bei einem Zeitstempel geht es mehr um Vertrauen als um die Technologie.“

Wann spielt die digitale Signatur mit einem Zeitstempel eine Rolle?

Warum ist es wichtig zu wissen, wann ein Dokument signiert wurde? In einigen Fällen mag dies nicht wichtig sein, in anderen ist es essentiell.

undefined-Aug-18-2020-01-53-50-87-PM

- Denken Sie an ein Testament. Der Verfasser des Testaments kann seine Meinung ändern und ein neues Testament aufsetzen. Dies kann mehrere Male geschehen. Wenn der Verfasser verstirbt, ist es wichtig zu wissen, welches Testament das letzte war. Einige Begünstigte könnten gute Gründe haben, dies anzufechten.

- Im Falle von geistigem Eigentum kann es wichtig sein, wenn man beweisen kann, dass ich zu einem bestimmten Zeitpunkt im Besitz bestimmter Informationen war. Möglicherweise muss ich beweisen können, dass ich eine Idee hatte, bevor sie von jemand anderem gestohlen wurde, der nun behauptet, es sei seine Idee gewesen.

- In einem Vertrag können bestimmte Bedingungen festgelegt werden, die sich auf den Zeitpunkt der Unterzeichnung beziehen, d. h., dass der Vertrag nur ein Jahr ab dem Zeitpunkt der Unterzeichnung gültig ist.

- Ein Vertrag kann auch Abhängigkeiten von preisvolatilen Parametern haben, z. B. von der Lieferung von Erdöl, Wertpapieren, Zinsen usw. In diesem Fall ist der Zeitpunkt wichtig, um die korrekte gegenseitige Abhängigkeit zu bestimmen.

- Wetten und Auktionen sind weitere Beispiele, bei denen der Zeitpunkt sehr wichtig ist, z. B. zu wissen, dass eine Wette *vor* dem Ende eines Rennens eingegangen ist oder zu wissen, wann die Gebote in einer Auktion eingegangen sind.

Mehr entdecken?

Erfahren Sie mehr über das Angebot von Signicat zum Thema "Elektronisches Signieren". Langzeitvalidierung (LV) und Langzeitarchivierung sind dabei wichtige Themen.

John Erik Setsaas

John Erik Setsaas

VP of Identity and Innovation at Signicat

August 26 2020