Home   Profil   Projekte   Archiv   Downloads  

SC/ISA

Smart-Card basierte Identifizierung, Signatur und Authentifizierung

Abstract

Mit SC/ISA können bestehende oder neue Webanwendungen sehr einfach und relativ kostengünstig mit Identifizierungs-, Signatur- und Authentifizierungsfunktionen ausgestattet werden, die nicht nur dem neuesten Stand der Technik entsprechen (Zukunftssicherheit), sondern auch rechtgültige Transaktionen (Verträge etc.) über das Internet ermöglichen.

Einleitung

Es gibt wohl kaum mehr eine Geldbörse, in der sich keine Chipkarte findet. Bankomatkarten sind ebenso mit Chips versehen wie die e-Cards der Sozialversicherung.

Die Chipkarten könnten für eine große Anzahl von "sicheren" Anwendungen eingesetzt werden, neben den e-Government-Funktionen (Stichwort "Bürgerkarte") sind das:

• Die "qualifizierte" digitale Signatur d.h. "rechtsgültige Unterschrift" von elektronischen Dokumenten, auch bzw. gerade im WWW.
• Die eindeutige Identifizierung einer Person (z.B. für Bestellungen oder andere Vertragsabschlüsse im Internet, Stichwort "Fernabsatzrichtlinie")
• Authentifizierung bei Anwendungen, der/die User/in müsste sich nicht mehr zig Usernamen und Passwörter merken (bzw. notieren).
• Elektronische Zustellung: rechtssichere Übermittlung von elektronischen Dokumenten (nicht nur behördlich, auch privatwirtschaftlich), umgangssprachlich als "eingeschriebene e-Mail" bezeichnet.
• Absicherung von firmeninternen IT-Systemen (Single-SignOn, Verschlüsselung ...)
  

Alle technischen und rechtlichen Grundlagen sind gegeben, sowohl in Österreich (SigG, eGovG, ZustG ...), als auch in anderen Ländern Europas.

Trotzdem ist die öffentliche Verbreitung heute noch sehr gering. Die wenigen e-Governmentfunktionen, die eine Bürgerkarte erfordern, sind zuwenig Motivation für den Bürger/die Bürgerin, sich eine "Signaturumgebung zu beschaffen".

Durch Einsatz dieser Technologien bei Webanwendungen (Portalen etc.) im privatwirtschaftlichen Bereich könnten einerseits die Unternehmen von den Vorteilen der digitalen Signatur enorm profitieren, andererseits könnten dadurch jene "Killerapplikationen" geschaffen werden, die die öffentliche Verbreitung der "Signaturumgebungen" massiv steigern.

Das Problem

Die Integration der Funktionen rund um die digitale Signatur in Webanwendungen ist allerdings nicht ganz trivial und damit aufwändig und teuer. Die folgende Abbildung zeigt ein Beispiel für eine Webapplikation, die Funktionen der digitalen Signatur selbst implementiert:

Die Applikation muss eine Reihe von Schnittstellen implementieren und um einige Funktionen erweitert werden. Dieser Aufwand ist nicht unerheblich und führt neben technischen Herausforderungen auch zum wirtschaftlichen Problem der Kosten/Nutzen Relation.

Die Lösung: SC/ISA

SC/ISA ermöglicht Webanwendungen die Integration von Signatur-/Bürgerkartenfunktionen, indem es die komplexen Funktionen und Schnittstellen, wie

• Kommunikation mit der Signaturumgebung (sog. "Security-Layer") auf Clientseite die u.a. den Chipkartenleser ansteuert
• Kommunikation mit dem entsprechenden Server bei Einsatz der Handy-Signatur
• Prüfung von Benutzerzertifikaten (zeitliche Gültigkeit bzw. Status)
• Prüfung von digitalen Signaturen (in unterschiedlichen Formaten)
• Archivierung der signierten Dokumente
• etc.

autark abwickelt. Die folgende Abbildung verdeutlicht den Systemaufbau mit SC/ISA:

Alle notwendigen Funktionen und Schnittstellen werden von SC/ISA abgedeckt. Die Anwendung kommuniziert mit SC/ISA über eine relativ einfache Schnittstelle (z.B. https/XML), die in allen gängigen Programmiersprachen und auf allen gängigen Systemumgebungen (Betriebssysteme, Webservern) implementiert werden kann. Für einige Plattformen stehen Programmbibliotheken und Beispiel im Sourcecode zur Verfügung.

Siehe auch: "Elektronische Signatur - Security-Trend 2006?"

Wenn Sie an weiteren Details interessiert sind oder Fragen haben, kontaktieren Sie uns!

Das Projekt SC/ISA wurde beim Ideenwettbewerb Genius 2005 prämiert ...