Funktionsweise

Für die Erstellung von ZertES-konformen, anerkannten elektronischen Signaturen benötigt die signierende Person:

  • einen privaten Signaturschlüssel, der sich in einem SSCD (Secure Signature Creation Device), d.h. entweder nicht kopierbar im Chip einer lokal genutzten Signaturkarte (Smartcard) oder hoch abgesichert zentral in einem Hardware Security Module (HSM) befindet.
  • eine mit dem privaten Signaturschlüssel über eine Seriennummer verbundene elektronische Datenstruktur, das Zertifikat. Es enthält, nebst zusätzlichen Angaben,
    1. die Daten zur Person der Inhaberin bzw. des Inhabers des privaten Schlüssels
    2. den zum privaten Schlüssel passenden öffentlichen Signaturschlüssel;
    3. Daten zur Gültigkeitsdauer des Zertifikats;
    4. Daten zur Anbieterin von Zertifizierungsdiensten, welche das Zertifikat ausgestellt hat und die Richtigkeit aller Angaben der digitalen Signatur bestätigt.

Ausstellung eines Zertifikats

Um sich ein geregeltes oder qualifiziertes Zertifikat gemäss ZertES ausstellen zu lassen, muss sich die antragstellende Person persönlich bei der Anbieterin von Zertifizierungsdiensten oder einer von dieser bezeichneten Stelle unter Vorlage ihres Passes oder ihrer Identitätskarte präsentieren. Dabei werden die identifizierenden Daten zur Person bzw. der Inhalt der Ausweisschrift zwecks Nachvollziehbarkeit des Ausstellungsprozesses bei der Ausstellerin des Zertifikats in Form einer beglaubigten Fotokopie erhoben und während 11 Jahren archiviert. Die Ausstellerin stellt durch technische und organisatorische zertifizierte Vorkehren sicher, dass nur die Antragstellerin bzw. der Antragsteller den privaten Signaturschlüssel in Verbindung mit dem Zertifikat nutzen kann.

Die Swiss Government PKI übergibt dem Antragsteller die notwendige PIN, Passwörter, Authentifizierungszertifikate etc., und wenn nötig auch den privaten Signaturschlüssel (falls auf Smartcard). Andere Anbieterinnen versenden die entsprechenden Angaben, und wenn nötig auch die Smartcard, getrennt voneinander meist per eingeschriebenem Brief.

Bei der Erstellung einer elektronischen Signatur

  • wird mit einem Signierprogramm ein elektronischer Fingerabdruck (Hash) von einem Dokument errechnet.
  • wird der Hash mit dem privaten Signaturschlüssel der signierenden Person verschlüsselt.
  • wird zusätzlich ein qualifizierter Zeitstempel beigefügt, der den Zeitpunkt der Signierung/Siegelung zweifelsfrei festhält
  • werden diese Daten zusammen mit dem Zertifikat der signierenden Person, das auch den öffentlichen Signaturschlüssel enthält, meist direkt im Dokument abgespeichert (PDF) oder dem Dokument als separate Signaturdatei beigefügt.

Die das Dokument empfangende Person kann dieses mittels eines geeigneten Programms zur Anzeige und Validierung von elektronischen Signaturen überprüfen. Der vollautomatische Vorgang besteht aus den folgenden Schritten:

  1. Das Programm überprüft die Gültigkeit des Zertifikats und die Zuordnung des Zertifikates zur ausstellenden Anbieterin von Zertifizierungsdiensten.
  2. Das Programm entschlüsselt den verschlüsselten Hash im Dokument mit dem öffentlichen Signaturschlüssel im beigefügten Zertifikat und bildet seinerseits den Hash des Dokuments.
  3. Das Programm vergleicht anschliessend, ob beide Hashwerte gleich sind und ob auch das Zertifikat gültig ist. Sind beide Bedingungen erfüllt, so steht fest, dass das Dokument mit einem gültigen Zertifikat signiert und seither nicht verändert wurde.

Die Anbieterin von Zertifizierungsdiensten publiziert u. a. auch eine Liste aller z.B. bei Stellenwechsel, Tod oder Verlust widerrufenen (revozierten) Zertifikate zusammen mit dem Widerrufsdatum. Im Validierungsprozess wird automatisch kontrolliert, ob ein Zertifikat zum Zeitpunkt des Signierens noch gültig bzw. nicht revoziert war. Um diese zeitlichen Kontrollen durchführen zu können, wird der bei der Erstellung einer elektronischen Signatur vom Signierprogramm beigefügte Zeitstempel kontrolliert. Das Vorhandensein eines qualifizierten Zeitstempels ist für qualifizierte elektronische Signaturen gemäss Artikel 14 Absatz 2bis Obligationenrecht (OR, SR 220) ein Gültigkeitserfordernis.

Alle gemäss ZertES anerkannten Anbieterinnen von Zertifizierungsdiensten bieten auch einen qualifizierten Zeitstempeldienst an.

Siehe auch ZertES anerkannte Anbieterinnen von Zertifizierungsdiensten.

Sigi klein
https://www.bit.admin.ch/content/bit/de/home/themen/elektronische-signatur/elektronische-signatur/funktionsweise.html