Sicherheit

Signaturschlüssel und Zertifikate für qualifizierte elektronische Signaturen (für natürliche Personen) und geregelte elektronische Siegel (für Organisationssignaturen), die gemäss den rechtlichen Normen des ZertES von einer anerkannten Anbieterin von Zertifizierungsdiensten, ausgestellt wurden, sind kryptographisch als sehr sicher einzustufen.

Der private Signaturschlüssel kann sich dabei entweder auf einer speziell zertifizierten, lokal einzusetzenden Chip-Karte oder speziell gesichert auf einem sog. HSM (Hardware Security Module) beim Informatik-Leistungserbringer (Architektur in der Bundesverwaltung) befinden. Oder er befindet sich allenfalls in einer anderen Architektur, bei einer anderen ausgebenden Anbieterin von Zertifizierungsdiensten.

Das Zertifikat, eine von der Anbieterin signierte und zum Schlüsselpaar gehörende Datenstruktur, die den öffentlichen Schlüssel (aber nicht den privaten) enthält, kann in Verzeichnissen öffentlich zugänglich gemacht werden.

Fortgeschrittene, von anerkannten Anbieterinnen ausgegebene Signaturschlüssel und Zertifikate können ebenfalls als sicher betrachtet werden, falls deren Signaturschlüssel eine Länge von 2048 Bit oder höher aufweist und sich auf einer lokalen Smartcard befindet, oder in einem Hardware Security Module (HSM) gesichert hinterlegt ist. Sie entfalten aber keine Rechtswirkung gemäss ZertES.

Alle Mitarbeitenden der Bundesverwaltung verfügen – nebst einem Authentisierungs- und einem Verschlüsselungszertifikat – auch über ein fortgeschrittenes Signaturzertifikat (Klasse B) auf einer Smartcard. Dieses Signaturzertifikat fällt jedoch nicht in die Kategorie der gemäss ZertES geregelten Zertifikate. Es wird nur intern für die Willensbekundung und zum Signieren von E-Mails genutzt.

Als nicht sicher gelten dagegen fortgeschrittene, von anerkannten Anbieterinnen ausgegebene Signaturschlüssel und Zertifikate, die in Form eines Software-Zertifikates ausgegeben werden, was bedeutet, dass deren privater Signaturschlüssel sich zusammen mit dem Zertifikat in einer Datei befindet und damit beliebig dupliziert werden kann.

Siehe dazu auch die Liste der Swiss Government PKI der von ihr an Mitarbeitende von Bund und Kantonen zu verschiedenen Zwecken ausgegebenen Zertifikatstypen.

Sigi klein
https://www.bit.admin.ch/content/bit/de/home/themen/elektronische-signatur/elektronische-signatur/sicherheit.html