M 2.265 Geeigneter Einsatz digitaler Signaturen bei der Archivierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Archivverwalter, IT-Sicherheitsbeauftragter, Leiter IT

Digitale Signaturen sind für die elektronische Archivierung eine Herausforderung, da sie technisch bedingt eine begrenzte Lebensdauer haben, die vorher nicht immer bekannt ist. Andererseits sind sie aber auch erforderlich, wenn elektronische Dokumente wirklich beweissicher archiviert werden müssen. Die Aussagekraft digitaler Signaturen hängt sehr stark von deren Interpretation zum Zeitpunkt der Prüfung und damit vom so genannten Gültigkeitsmodell ab. Es bestehen derzeit auch noch keine langfristigen praktischen Erfahrungen mit der Archivierung digital signierter Dokumente, da digitale Signaturen erst seit wenigen Jahren praktisch eingesetzt werden.

Gültigkeit und Beweiskraft

Diese beiden Eigenschaften einer digitalen Signatur werden üblicherweise wie folgt definiert: Eine digitale Signatur ist genau dann gültig,

Eine digitale Signatur ist genau dann beweiskräftig,

Aussagekraft digitaler Signaturen

Digitale Signaturen können zu unterschiedlichen Zwecken eingesetzt werden, unter anderem

Der Einsatz und die Aussagekraft digitaler Signaturen sind anwendungsspezifisch im Rahmen einer Sicherheitsrichtlinie (Policy) vorzugeben. In dieser Policy sollte unter anderem festgelegt werden,

Die Policy muss schriftlich dokumentiert und archiviert werden, damit bei einer späteren Prüfung der digitalen Signatur klar ist, was die Signatur aussagt (d. h. beweisen soll) und was nicht. Außerdem sollte sie auch in geeigneter Form veröffentlicht werden, damit alle, die auf die Signaturen vertrauen müssen bzw. wollen, sich darauf beziehen können.

Lebensdauer digitaler Signaturen

Die Lebensdauer digitaler Signaturen wird durch die technische Entwicklung von Hard- und Software sowie Fortschritte der Kryptographie beschränkt (siehe G 2.79 Unzureichende Erneuerung von digitalen Signaturen bei der Archivierung und G 4.47 Veralten von Kryptoverfahren). Es muss davon ausgegangen werden, dass digitale Signaturen nach einem Zeitablauf von ca. 5 Jahren als veraltet gelten, da ihre Aussagekraft nachlässt. Schlüsselzertifikate und Zeitstempel sollten von einem Trust Center daher in der Regel für maximal 5 Jahre ausgestellt werden. Sie können aber auch kurzfristig für ungültig erklärt werden, wenn dies notwendig sein sollte. Dies wird als Sperrung bezeichnet.

Sperrung von Schlüsselzertifikaten

Wenn Schlüsselzertifikate durch die Zertifizierungsinstanz gesperrt werden, weil z. B. die Signaturschlüssel kompromittiert sind, muss schnell gehandelt werden. Alle ab diesem Zeitpunkt mit dem betreffenden Schlüssel erfolgten Signaturen haben ihre faktische Aussagekraft (z. B. Beweiskraft) verloren. Die Gültigkeit der Signaturen hängt jedoch auch vom Gültigkeitsmodell ab. Im Gegensatz zum Schalenmodell sind beim Kettenmodell im Grunde zunächst keine weiteren Aktionen bei der Kompromittierung von Schlüsseln erforderlich.

Dies kann unmittelbare Folgen für die Aussagekraft archivierter Dokumente haben. Wenn die betroffenen archivierten Dokumente nur mit dem nun ungültigen Schlüssel signiert sind, so ist diese Signatur je nach verwendetem Gültigkeitsmodell nicht mehr beweiskräftig.

Empfehlung

Für die Archivierung digital signierter Dokumente gibt es derzeit keine erprobten Standards, durch deren Anwendung eine langfristige Gültigkeit und Beweiskraft der Signaturen sichergestellt werden kann. Bis sich entsprechende Standards etablieren, sollten daher unter Berücksichtigung der bei der Langfristarchivierung auftretenden Gefährdungen folgende Empfehlungen beachtet werden:

Archivierungsmodelle

Im Folgenden werden verschiedene Modelle für die Archivierung digital signierter Dokumente beschrieben. Dabei bleibt zunächst die Archivierung von Schlüsselverwaltungsinformationen, wie Zertifikaten oder Sperrlisten, unberücksichtigt.

Solange es bei den beschriebenen Modellen unwesentlich ist, ob das Originaldokument nur eine oder mehrere Signaturen enthält, wird von einer Originalsignatur gesprochen. Mehrere Originalsignaturen werden nur dann erwähnt, wenn die Funktionsweise der Archivierung sich dadurch ändert.

Die Beschreibungen der Modelle sind nach folgenden Punkten strukturiert:

An die Beschreibung schließt sich eine kurze Diskussion der unterschiedlichen Modelle an.

Modell 1: Archivierungsstelle mit Eingangsstempelung

Modell 2: Archivierungsstelle mit Bestätigungsstempelung

Modell 3: Trust Center mit Zeitstempeldienst

Modell 4: Trust Center mit Archivstempeldienst

Diskussion der Modelle

Je geringer das Vertrauen der Benutzer in die Archivierungsstelle ist, desto höher ist der Aufwand für die beweiskräftige Archivierung digital signierter Dokumente.

Bei vollem Vertrauen in die Archivierungsstelle ist Modell 2 anwendbar. Es ist für einen Benutzer das "bequemste" Modell, da dieser bei der Abfrage des archivierten Dokuments über die Beweiskraft der Originalsignatur informiert wird. Der Benutzer vertraut darauf, dass die Angaben der Archivierungsstelle stimmen. Über diese hinaus hat er keine Kontrollmöglichkeit. Will er einen Dritten von der Beweiskraft der Originalsignatur überzeugen, kann er lediglich auf die Antwort der Archivierungsstelle verweisen und auf deren durch Archivierungsrichtlinien belegte Vertrauenswürdigkeit.

In Modell 1 muss der Benutzer selbst die Beweiskraft der Originalsignatur des abgefragten Dokuments prüfen. Die Archivierungsstelle liefert ihm lediglich den Zeitpunkt, an dem das Dokument bei ihr einging. Ein Dritter kann ebenso wie der Benutzer die Prüfung der Beweiskraft durchführen, muss allerdings der Zeitangabe der Archivierungsstelle vertrauen.

Beide Modelle haben den Vorteil, dass der organisatorische Aufwand der Archivierungsstelle minimal ist: Nach der Archivierung ist keine weitere Behandlung des Dokuments erforderlich. Die Archivierung selbst dient als Versiegelung der Originalsignatur für die gesamte Archivierungsdauer. Entsprechend kritisch ist die Integrität des Datenbestandes des Archivs. Unberechtigtes Hinzufügen von Daten kann dazu führen, dass gefälschte Signaturen als beweiskräftig anerkannt werden.

In den Modellen 3 und 4 sind archivierte Daten selbst wiederum durch digitale Signaturen integritätsgeschützt. Dadurch wird verhindert, dass gefälschte signierte Dokumente als beweiskräftig anerkannt werden, wenn sie unberechtigt in das Archiv eingebracht werden.

Eine weitere vertrauensfördernde Maßnahme in den Modellen 3 und 4 ist die Möglichkeit, die Zuständigkeiten für die Dokumentenspeicherung einerseits und die Signaturversiegelung andererseits auf unterschiedliche Stellen zu verteilen: Archivierungsstelle und Trust Center.

Das notwendige Vertrauen in die Archivierungsstelle beschränkt sich dabei, wie es üblicherweise bei der Archivierung der Fall ist, auf die Speicherung von Dokumenten. Darüber hinaus erfordert die erfolgreiche Archivierung digital signierter Dokumente die regelmäßige Kommunikation mit dem Trust Center. Zunächst muss jedes eingehende Dokument durch das Trust Center zeitgestempelt werden, da der Zeitpunkt des Dokumenteneingangs bei der Archivierungsstelle für die nachträgliche Prüfung der Beweiskraft entscheidend ist.

In Modell 4 bestätigt das Trust Center regelmäßig die ordnungsgemäße Archivierung bis zum aktuellen Zeitpunkt, indem es die Beweiskraft der bisherigen Archivsignatur des Dokuments verifiziert und diese Signatur durch eine neue Archivsignatur ersetzt. Der zeitliche Abstand zwischen dem Ende der Beweiskraft des Zeitstempels und dem Zeitpunkt der letzten Archivstempelung vergrößert sich dadurch laufend. Die Archivsignatur bestätigt daher die Beweiskraft des Zeitstempels nur, solange die Archivstempelung im Trust Center ordnungsgemäß verläuft. Insbesondere betrifft dies die Überprüfung der Beweiskraft der bisherigen Archivsignatur. Ohne diese Prüfung kann die Archivierungsstelle gefälschte signierte Dokumente zur Archivstempelung vorlegen, die dann Beweiskraft erhalten. Der Benutzer muss also der ordnungsgemäßen Ausführung der Archivstempelung durch das Trust Center vertrauen.

Bei Modell 3 kann der Benutzer den zeitlich lückenlosen Ablauf der regelmäßigen Signaturversiegelung kontrollieren. Als Dienstleistung des Trust Centers ist lediglich eine Zeitstempelung erforderlich. Diese Zeitstempelung ist nicht spezifisch für die Archivierung und umfasst keine Überprüfungen. Ein vorliegendes Dokument wird ohne vorhergehende Betrachtung, sozusagen "blind" mit der aktuellen Zeit versehen und signiert. Eine vertrauenswürdige Realisierung einer Zeitstempelung ist daher im Allgemeinen einfacher als eine vergleichbar vertrauenswürdige Realisierung einer Archivstempelung.

Die Modelle 3 und 4 bieten zwar im Vergleich zu den Modellen 1 und 2 eine höhere Vertrauenswürdigkeit, hierbei ist es jedoch für die Benutzer komplizierter, die Beweiskraft der Originalsignatur zu überprüfen. Zusätzlich zur Beweiskraft der Originalsignatur zum Zeitpunkt des ersten Zeitstempels ist in Modell 3 eine ganze Kette von Zeitstempeln auf Beweiskraft zu prüfen, in Modell 4 hingegen nur die Beweiskraft der Archivsignatur.

Für die Langzeitarchivierung digitaler Signaturen gibt es noch keine erprobten Standards. Hier müssen sich noch einheitliche Konzepte und Standards durchsetzen, daher sollten sich die Verantwortlichen für die elektronische Archivierung regelmäßig über die Entwicklungen auf diesem Bereich informieren. Die zuvor beschriebenen Modelle sind somit als Beispiele zu verstehen, zur Archivierung digital signierter Dokumente sind durchaus auch andere Verfahren denkbar.

Ergänzende Kontrollfragen: