Der eGov Signaturvalidator des Bundes (Validator) wurde 2008 im Zusammenhang mit der Einführung elektronisch signierter Strafregisterauszüge vom Bundesamt für Justiz entwickelt und bereitgestellt. Mit dem von der Schweizerischen Eidgenossenschaft betriebenen Service Validator soll das Vertrauen in elektronisch signierte Dokumente gestärkt werden, indem diese auf einfache Weise auf ihre Echtheit bzw. auf die Gültigkeit der Signatur gemäss schweizerischem Recht überprüft werden können.
Der Validator überprüft ein- und mehrfach elektronisch signierte und gesiegelte Dokumente gemäss den Vorgaben des ZertES (RS 943.03) und EÖBV (RS 211.435.1).Die Prüfung einer elektronischen Signatur, die auch mit Werkzeugen wie etwa dem Adobe Acrobat Reader erfolgen könnte, wurde mit dem Validator um die Dimension der Prüfung bestimmter Eigenschaften der Signatur und auch der Echtheit des Dokumentes erweitert. Das Ziel des Validators ist es, auch dem Laien die Möglichkeit zu eröffnen, auf einfache, aber sichere Art die Gültigkeit eines Dokumentes und der darin enthaltenen Signaturen und Siegel festzustellen.
Der Validator wird in zwei Anwendungsformen angeboten:
- Als Web-Validator, bei dem mit einem handelsüblichen Webbrowser das zu validierende Dokument hochgeladen und geprüft werden kann. Diese Form der Anwendung steht Jederfrau/-mann (also allen Bürgerinnen und Bürger, aber auch Firmen) gratis zur Verfügung.
- Als sogenannter diskreter Validator, bei dem eine gesicherte Verbindung aus einer Fachanwendung über einen Java-Client zum Validator aufgebaut wird. Darüber werden aber lediglich der Hashwert des zu validierenden Dokumentes und die Extraktion der elektronischen Signatur(en) übermittelt, nicht aber das eigentliche Dokument hochgeladen. Deshalb der Begriff des diskreten Validators.
Der diskrete Validator steht nur zur Validierung von PDF-Dokumenten der Bundesverwaltung aber auch den Kantonen (und Gemeinden) zur Verfügung. Die Kantone (und Gemeinden) schliessen dazu einen Nutzungsvertrag mit dem für sie als «Single Point-of-Contact» agierenden eOperations Schweiz ab.
Der Zugriff auf den diskreten Validator kann auch Drittfirmen eingeräumt werden, welche im Auftrag der Bundesverwaltung oder der Kantone (und Gemeinden) Softwarelösungen für sie betreiben.
Welche Dokumente validiert der Validator
Der Validator dient primär dem Zweck, von schweizerischen Behörden erstellte elektronisch signierte Dokumente wie auch bei schweizerischen Behörden eingehende elektronisch signierte Dokumente zu überprüfen und zu validieren. Der Validator überprüft ein- und mehrfach elektronisch signierte und gesiegelte Dokumente gemäss den Vorgaben des ZertES (RS 943.03) und der EÖBV (RS 211.435.1). Dabei werden fortgeschrittene Signaturen (FES) der Swiss Government PKI (SG-PKI) und Schweizer qualifizierte elektronische Signaturen (QES) sowie geregelte elektronische Siegel validiert.
Der eGov Signaturvalidator überprüft ein elektronisch signiertes Dokument hinsichtlich Authentizität (ist das Dokument gültig elektronisch signiert worden?) und Integrität (ist das Dokument nach seiner Signatur inhaltlich nicht verändert worden?). Er prüft weiter, ob die in einem Dokument enthaltenen elektronischen Signaturen den der geprüften Dokumentenart zugrundeliegenden Kriterien entsprechen. Die Kriterien können sich auf die Gültigkeit des Dokuments als Ganzes (z. B. gültiger Strafregisterauszug) oder auf die Gültigkeit aller darin enthaltenen Signaturen beziehen (z.B. nur qualifizierte Signaturen im Dokument?). Enthält das Dokument, aufgrund der automatisch ermittelten Dokumentart, ungültige Signaturen oder Zeitstempel, kann im Detailreport nachgesehen werden, bei welcher Signatur welche Eigenschaft nicht als gültig überprüft werden kann. Die Überprüfung im Adobe Acrobat Reader erfolgt dagegen direkt auf Stufe der einzelnen Signaturen.
Je nach Dokumentenart werden vom Validator folgende Kriterien überprüft:
- Unverändertheit der signierten Datei (immer)
- Signaturprüfung zum Zeitpunkt der Signatur (immer)
- Revozierungsstatus des signierenden Zertifikats (immer)
- Gültigkeit des Zeitstempels gemäss ZertES
- Für diesen Dokumenttyp ermächtigtes (vorgesehenes) Zertifikat
Je nach Dokumentenart werden weitere Subvalidierungen vorgenommen:
- Signatur deckt das ganze Dokument ab
- Warnung, falls für Signatur ein Pseudonym verwendet worden ist
Im Validator können derzeit die folgenden signierten Dokumente (Dokumentarten) validiert werden:
- Ausfertigung einer notariellen Urkunde, d.h. Dokumente mit qualifizierter elektronischer Signatur (QES) gemäss ZertES einer Urkundsperson, die zusätzlich mit dem geregelten elektronischem Siegel des Urkundspersonenregisters (sog. Funktionsnachweis des UPReg) versehen sind.
- Dokumente, welche mit einer oder mehreren qualifizierte Signature(n) mit qualifiziertem(n) Zeitstempel(n) versehen sind, deren Zertifikate von einem der in der Schweiz anerkannten Vertrauensdiensteanbieter (CSP) gemäss ZertES stammen.
- Dokumente, die mit geregeltem elektronischem Siegel gemäss ZertES versehen sind.
- Dokumente, die mit Signature(n) und Zeitstempeln der Swiss Government PKI (SG-PKI) versehen sind.
- Dokumente der Publikationsplattform des Bundes (www.bundesrecht.admin.ch), die mit geregeltem elektronischem Siegel gemäss ZertES, ausgestellt auf die schweizerische Bundeskanzlei, Abteilung für amtl. Veröffentlichungen, versehen sind.
- Dokumente e-dec des Bundesamtes für Zoll und Grenzsicherheit (BAZG), die mit einer fortgeschrittenen elektronischen Signatur (FES) der Swiss Government PKI (Klasse C) versehen sind.
- Dokumente des Betreibungswesens (eSchKG), die mit fortgeschrittener elektronischer Signatur der Swiss Government PKI (Klasse C) versehen sind.
- Strafregisterauszüge, die mit geregeltem elektronischem Siegel gemäss ZertES, ausgestellt auf das Bundesamt für Justiz (Klasse A der SG-PKI) versehen sind.
- Amtliche Publikationen des Amtsblattportals, die mit geregeltem elektronischem Siegel gemäss ZertES versehen sind.
- Dokumente, die von Verwaltungsbehörden, Gemeinden und dem Verwaltungsgericht des Kantons Zug ausgestellt wurden.
Der Validator kann keine Dokumente mit sog. einfachen elektronischen Signaturen (EES), keine Dokumente mit fortgeschrittenen elektronischen Signaturen anderer Anbieterinnen als der Swiss Government PKI und keine Dokumente mit Signaturen ausländischer Anbieterinnen überprüfen. Letztere sind in der Schweiz rechtlich nicht anerkannt.
Adobe Acrobat Reader validiert Signaturen im Gegensatz zum Validator einzeln und nur in einem technischen Sinne. Er kennt eine Vielzahl von Anbieterinnen (bzw. Roots) von Zertifikaten. Er weiss jedoch nicht, ob diese im jeweiligen Herkunftsland Zertifikate ausgeben, die als qualifiziert, als geregelt, als fortgeschritten, als sicher hinsichtlich Identität des/der Inhaberin etc. eingestuft sind. Gleiches gilt für deren Zeitstempel.
Der Adobe Acrobat Reader wurde von Adobe mit 2 sog. Trustlists ausgestattet, der AATL (Adobe Approved Trustlist) und der EUTL (European Union Trustlist), die die Wurzelzertikate (Roots) der Anbieterinnen enthält, mit denen die Benutzerzertifikate signiert sind, die zum Signieren von Dokumenten verwendet werden. Bei Installation des Adobe Acrobat Readers sind sowohl die AATL wie auch die EUTL aktiviert. Damit können auch die vom schweizerischen ZertES nicht geregelten einfachen (EES) und fortgeschrittenen (FES) Signaturen, viele EU-Signaturen wie auch einige aussereuropäische Signaturen rein technisch überprüft und ggf. als gültig validiert werden. Diese Art von Überprüfung lässt allerdings offen, ob die entsprechenden Signaturen qualifizierte oder geregelte sind (rechtlicher Status), wie sicher diese technisch sind und ob deren Zertifikate aufgrund einer zuverlässigen Identifikation des/der Inhaberin erstellt wurden.
