Komfortsignatur

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von Stapelsignatur)

Sowohl Komfortsignatur als auch Stapelsignatur sind Spezialfälle der digitalen Signatur (oder qualifizierten elektronischen Signatur), ausgeführt beispielsweise unter Zuhilfenahme einer Smartcard.

In diesem Szenario wird grundsätzlich in einer (zertifizierten) Signaturanwendungskomponente ein zu signierendes Dokument gehasht und dieser Hashwert einer Smartcard (=Sichere SignaturerstellungsEinheit (SSE)) zur Signatur mit einem in der Karte befindlichen privaten Schlüssel präsentiert. Nach Eingabe bspw. einer PIN signiert die Karte (SSE) den ihr präsentierten Hash, und damit das der Signaturanwendungskomponente präsentierte Dokument. Der private Schlüssel der Karte verlässt dabei die Karte nicht.

In der Smartcard befindet sich – je nach Betriebssystem – ein Zähler, der festlegt, wie viele Daten (hier: Hashes) nach Eingabe einer PIN signiert werden dürfen, oder die Signaturfunktion unbegrenzt freischaltet; im Regelfall wird dieser Zähler auf eine niedrige Zahl (1) eingestellt sein, damit der Karteninhaber eine Gewähr dafür hat, dass nur von ihm gewollte Daten signiert werden. Jeder Signaturvorgang ist durch Eingabe einer PIN zu bestätigen. Der hierdurch erzielten Sicherheit steht ein Verlust an Bedienungsfreundlichkeit – und überhaupt Anwendbarkeit – gegenüber, wenn eine große Zahl an Signaturen in kurzer Zeit durchzuführen ist. Beispielsweise ist die Ausstellung von Rezepten für praktizierende Ärzte derart wegen des Zeitaufwandes nicht durchführbar.

Abhilfe schafft die Stapelsignatur (n:1 = Sammeln mehrerer Dokumente und quasi gleichzeitiges Abarbeiten des "Stapels" nach einmaliger PIN-Eingabe) oder die Komfortsignatur (1:n = einmalige PIN-Eingabe, danach selbständige Signatur der Signatureinheit für eine größere Zahl von Vorgängen). Die Systemumgebung kann festlegen, dass jede einzelne Signatur in diesem Falle durch eine kurze PIN oder durch einen Fingerabdruck ausgelöst wird (bspw. VERSA-Konzept der Apotheken).

Problematisch dabei ist, dass der oben erwähnte Zähler auf der Smartcard für diese Anwendung auf einen höheren Wert gesetzt werden muss. Bei Einsatz der Karte in einer fremden Umgebung würde diese aber ebenfalls potentiell eine größere Anzahl von Daten signieren, als dem Karteninhaber recht ist. Der einzelnen Signatur ist im Nachhinein nicht anzusehen, in welcher Umgebung sie angefertigt wurde, so dass der Einsatz einer solchen Smartcard (für Komfort- oder Stapelsignatur) in einer fremden Umgebung dazu führen kann, dass ungewollt Daten signiert und damit rechtsgültig unterschrieben werden.

Im November 2007 wurde eine technische Richtlinie von Bundesamt für Sicherheit in der Informationstechnik veröffentlicht, die für das Gesundheitswesen eine Umgebung definiert, die die Komfortsignatur zertifizierungsfähig und damit rechtssicher im Sinne einer qualifizierten elektronischen Signatur nach Signaturgesetz macht.

Weblinks