Schließen

Signatur mit dem elektronischen Siegel nach eIDAS


Mit einem elektronischen Siegel ist es möglich, dass eine Personengruppe eIDAS-konform (und damit in ganz Europa gültig) einen Firmenstempel oder ein behördliches Siegel auf einem elektronischen Dokument anbringen kann

Bei dem qualifizierten Siegel wird also das Zertifikat für das qualifizierte elektronische Siegel auf eine juristische Person ausgestellt im Gegensatz zu einer qualifizierten Signatur, wo es auf eine natürliche Person ausgestellt ist.

Dieses Zertifikat wird häufig auch auf einer Smartcard (Siegelkarte) ausgestellt. Doch auch Umsetzungen als HSM sind hier geplant. Der Vorteil des Siegels ist hierbei, dass der Server, der zum Siegeln genutzt wird, über sein Berechtigungsmanagement regeln kann und regeln sollte, wer wie auf das Siegel zugreifen kann. Somit muss auch kein Benutzer länger eine PIN für die Karte eingeben (zum Berechtigungsmanagement lesen Sie mehr weiter unten). Natürlich kann auch mit Client-Software (SecSigner) direkt mit dem Siegel am Arbeitsplatz signiert werden.

Mit dem elektronischen Siegel kann mindestens zweierlei zugesichert werden: Die Authentizität der Daten (also dass diese von der behaupteten juristischen Personen stammen) und die Integrität (dass die Daten nach dem Siegeln nicht verändert wurden (z.B. Kontoauszüge von einer Bank oder Bescheide von einer Behörde).

Das Besondere am qualifizierten Siegel ist, dass es extrem komfortabel für die serverseitige Signatur eingesetzt werden kann, um Dateien serverseitig zu siegeln (z.B. automatisierte Siegelung von E-Mails oder Kontoauszügen).

Glossar


Elektronische Vertrauensdienste
eIDAS
Fernsignaturdienst
Qualifizierte Signatur

Erstellung von qualifizierten Siegeln

Das qualifizierte elektronische Siegel ist möglich mit:

  • Siegelkarten (entweder Einzel- oder Multi-Siegelkarten)
  • HSMs (Hardware Security Modules): Ein Hardware Security Module (HSM) ist ist ein Datenverarbeitungsgerät, das digitale Schlüssel verwaltet und Kryptoverfahren bietet und hardwareseitig das Auslesen dieser Schlüssel verhindert.

Auf der Siegelkarte befindet sich der private Schlüssel sowie das Zertifikat der Behörde/des Unternehmens.

Möglich ist das qualifizierte Siegeln sowohl am Client als auch am Server:

  • Manuelles Siegeln von Einzeldokumenten oder Dokumentenstapeln mit dem SecSigner
  • Zentral automatisiertes und hochperformantes Siegeln von Einzeldokumenten, Dokumentenstapeln oder Massenbelegen
  • In Zukunft: Siegeln über einen Fernsignaturserver eines Trustcenters (validierter Vertrauensdienst)

Siegeln mit dem SecPKI-Server

Dateiübergabe mithilfe von:

  • REST, SOAP, JAVA, APIs
  • Custom Webservice, so dass Dateien bequem über eine Webseite per drag and drop gesiegelt werden können

Möglichkeit der feingranularen Steuerung der Zugriffsberechtigung von:

  • Benutzerauthentifizierung: Passwort und Zwei-Faktor-Authentifizierung
  • Prozessauthentifizierung : HTTP Basic Auth, oAuth, zertifikatsbasiert, u.v.m.

Siegeln

Für das qualifizierte Siegeln können Sie unseren SecPKI Server (SecSign ID Server) nutzen. Den SecPKI Server betreiben Sie in Ihrem eigenen Rechenzentrum, bzw. einem Rechenzentrum Ihrer Wahl.
Somit bleiben alle Dateien immer solange auf Ihrem Server, bis sie signiert sind und weiterverarbeitet werden.

Der SecPKI Server verwaltet das Siegel zentral und bietet ein Berechtigungsmanagement für die Siegelprozesse, so dass feingranular bestimmt werden kann, welcher Benutzer oder Prozess siegeln darf.

Es erfolgt eine automatische Dokumentenübergabe von externen Programmen über authentifizierte Prozesse an SecPKI. Der Prozess erhält z. B. in dem SecPKI Server das Recht, alle von ihm erzeugten Dateien siegeln zu lassen. Es gibt eine automatische Übergabe, z.B. E-Mail-Anhänge, Rechnungen, Rezepte, usw.

Die Siegelung erfolgt durch im SecPKI Server freigeschaltete Personen. Hier kann je nach Anwendungsfall entschieden werden, welches Niveau die Authentifizierung für die Siegelfreigabe haben soll. Dies alles wird über das interne Berechtigungsmanagement des SecPKI Servers gesteuert und konfiguriert (siehe auch „Benutzerverwaltung für den SecPKI Server“).

Das Ergebnis kann wie gewohnt eine PDF-Signatur mit schickem visuellem Siegelstempel und integrierter Signatur sein oder eine Datei mit externer Signaturdatei.
Das signierte PDF entspricht dann den europäischen Standards für qualifizierte Signaturen (eIDAS ). Im Fall einer innen liegenden Signatur spricht man dann von einer PAdES-Signatur. Wenn es eine externe Signatur sein soll, wäre es eine CAdES-Signatur.
Somit können Sie einfach die PDF Dateien aus Ihrem Prozess direkt per API-Aufruf (SOAP, REST, u.v.m.) oder über ein überwachtes Verzeichnis an den SecPKI Server übergeben und automatisiert siegeln. Die Position kann über die Properties oder über Formfelder (PDF-Unterschriftenfelder) festgelegt werden. Der SecPKI Server prüft im Anschluss die Signatur und kann auf Wunsch den Beweiswert für die gesiegelten Dokumente über einen Hashbaum (Langzeitarchiv) sicherstellen.

Die gesiegelten Dateien können dann direkt vom SecPKI Server an weiterverarbeitende Prozesse übergeben werden und z.B. im Kundenportal dem Benutzer zum Download bereitgestellt werden.
Darüberhinaus könnte der SecPKI Server Ihnen auch noch einen Webservice bereitstellen, über welchen Sie dann bequem per Upload Dateien manuell siegeln könnten.

Sie können darüberhinaus auch noch einen Webservice des SecPKI Servers für die Signaturprüfung benutzen, so dass Ihre Kunden jederzeit über Ihren Webservice nochmal prüfen können, ob das Dokument wirklich von Ihnen stammt.
Auch die Signaturprüfung könnte natürlich in Ihr Kundenportal über eine REST API integriert werden.

Benutzerverwaltung über den SecPKI-Server

Derjenige, der den Server betreibt, kann genau regeln, ob ein Prozess/ein Benutzer oder auch eine Benutzergruppe wann und wie siegeln darf und wann nicht. Auch kann der Zugriff darauf klar definiert werden, also z.B. ob er nur nach einer Zwei-Faktor-Authentifizierung oder von einem bestimmten Rechner aus erlaubt wird.
Wichtig: Die Faktoren für die Authentifizierung (wobei die Auslösung des Siegelprozesses direkt vom Arbeitsplatz des autorisierten Mitarbeiters erfolgen kann) sind nicht dieselben Faktoren wie die der Siegelkarte.
Die Authentifizierung wird dabei für jedes einzelne Dokument bzw. jeden Dokumentenstapel angefordert, wofür ein qualifiziertes Siegel erstellt werden soll.

Der SecPKI Server kann das Siegeln sogar über das Internet nach außen verfügbar machen und den Zugriff für die Mitarbeiter mit einer Zwei-Faktor-Authentifizierung schützen.

Der SecPKI Server und die Benutzerverwaltung können über standardisierte Schnittstellen direkt mit bestehenden Identity Management für ein leichteres Enrollment verknüpft werden.

Die Siegelkarte wird über die Admin-Oberfläche des SecPKI-Servers verwaltet.
Über das Berechtigungsmanagement kann ebenfalls geregelt werden, wenn ein Mitarbeiter nicht länger befugt sein soll, zu siegeln, und zwar ohne dass die Siegelkarte ausgetauscht werden muss.

Der Nutzer meldet sich bei beispielsweise einem Webservice an und lädt ein PDF-Dokument zum Siegeln hoch. Der Zugriff auf das Siegel ist zusätzlich durch feinmaschige und individuell zu bestimmende Zugriffsregeln geschützt, beispielsweise 2FA. Erst nach erfolgreicher Authentifizierung gegenüber dem SecPKI Siegel-Server, erhält das Dokument das Siegelzertifikat.

Die Rechnungen werden automatisch von Prozess, der die Rechnungen erstellt, an de SecPKI Siegel Server weitergegeben. Der Prozess wird durch beispielsweise SOAP, REST Api oder Java Api weitergereicht. Dabei authentifiziert sich der Prozess beispielsweise über Zertifikate, Passwort, oAuth oder andere Authentifizierungsprozesse. Erst nach erfolgreicher Authentifizierung des Rechnungsprozesses erhalten die Dokumente das Siegel.