eIDAS QSeal + QSCD

Ein Hardware-Sicherheitsmodul (Hardware Security Module – HSM) ist ein internes oder externes Peripheriegerät für die effiziente und sichere Ausführung kryptographischer Operationen oder Applikationen. Dies ermöglicht zum Beispiel, die Vertrauenswürdigkeit und die Integrität von Daten und den damit verbundenen Informationen in geschäftskritischen IT-Systemen sicherzustellen. Spezifische HSMs können darüberhinaus qualifizierte E-Signaturen und E-Siegel – QES – kreieren. Diese nennt man QSCD (Qualified Signature – oder seal – Creation Device).

Seit einer Richtlinienänderung vom März 2019 ist es eIDAS-konform inzwischen auch erlaubt, entsprechend zertifizierte und gesicherte QSCDs zur Massenversiegelung von Dokumenten im eigenen Rechenzentrum zu nutzen, wie es SIGNIUS als eines der weltweit ersten Unternehmen mit seinen Partnern gemäß der Q-local-mass-sealing Lösung technisch möglich macht.

E-Sealing mit SIGNIUS

  • Als Teillösung von Q-LMS liefern wir das QSCD, nehmen die Konfigurationen vor, erzeugen in Kooperation mit einem qualifizierten TrustCenter ein oder mehrere qualifizierte E-Siegel und installieren diese auf dem QSCD.
  • Im Rahmen von RemoteSigning-Lösungen werden ein oder mehrere Cloud-Siegel erzeugt und bereitgestellt.
KONTAKT

HSM/QSCD-ANWENDUNGEN

  • Key Injection, das Einbringen kryptografischer Schlüssel in einen Chip, um diesen mit einer eindeutigen Identität zu versehen (z. B. zum Schutz vor Produktpiraterie oder um Transparenz in der Wertschöpfungskette sicherzustellen)
  • Zeitstempel für Codes oder Dokumente sowie kryptografische Signatur von Dokumenten, um jede Änderung sichtbar zu machen
  • Verschlüsselung von Schnittstellen (APIs), wie sie zum Beispiel Finanzdienstleister im Zuge von PSD2 einrichten müssen
  • Sichere Speicherung von qualifizierten E-Siegeln, QWACS und anderen sensiblen und geschäftskritischen Daten und Informationen
  • Lokale Massenversiegelung von Dokumenten gemäß des Q-LMS-Verfahrens, wie es SIGNIUS mit seinen Partnern ermöglicht
  • Definition und Initialisierung eines Ökosystems, z. B. eine Public-Key-Infrastruktur (PKI), dessen Zugang via Authentifizierung und Identitätsprüfung gesichert ist
  • Zugangsberechtigungssysteme
  • Datenbankverschlüsselung als bewährte Methode zur Sicherung gespeicherter Daten
  • Echte Zufallszahlen für hochqualitative Schlüssel und eindeutige Identifizierung ausgeführter Transaktionen

WAS IST EIN QUALIFIZIERTES E-SIEGEL?

Vorläufer des E-Siegels war die E-Signatur.

Die E-Signatur ist die elektronische Unterschrift einer natürlichen Person.

Nach eIDAS-Verordnung entspricht die qualifizierte elektronische Signatur (QES) – im Unterschied zu einfach (etwa eingescannte geschriebene Unterschrift) und fortgeschritten – dem höchsten Sicherheitsniveau. Sie ist das digitale Äquivalent zur handschriftlichen Unterschrift und damit in vielen Fällen – bei haftungsrelevanten Dokumenten mit Schriftformerfordernis – zwingende Voraussetzung für Rechtsverbindlichkeit und Beweiskraft.

Liegt keine gesetzliche Vorschrift vor, können bei kalkulierbarem Haftungsrisiko fortgeschrittene Zertifikate ausreichend sein, während sich bei hohem Haftungsrisiko qualifizierte Signaturen empfehlen. SIGNIUS-Lösungen bieten beide Sicherheitslevel, auch in Kombination.

Das qualifizierte elektronische Siegel ist das höchsten Rechtsansprüchen genügende Signaturwerkzeug einer juristischen Person, also eines Unternehmens, eines Vereins, einer Behörde (digitaler Firmenstempel). Im Zusammenhang mit qualifizierten elektronischen Zeitstempeln erreichen mit qualifizierten Signaturen oder Siegeln versehene Dokumente ein digitales Sicherheitsniveau, das dem einer analogen notariellen Beglaubigung vergleichbar ist.

Qualifizierte E-Siegel, E-Signaturen und Zeitstempel können nur in Kooperation mit solchen Trust Service Providern erzeugt und verwendet werden, die von nationalen Aufsichtsbehörden zertifiziert und in der EU Trust Service List (EU TSL) geführt werden und daher das EU-Vertrauenssiegel verwenden dürfen, um sich als qualifiziert zu kennzeichnen.

eIDAS & CEN/TS 419221-6

Die Veröffentlichung der technischen Spezifikation vom 1. März 2019 (CEN/TS 419221-6) legt Bedingungen  zur lokalen Verwendung von EN 419221-5 als qualifizierte elektronische Signatur- oder Siegelerstellungseinheit fest, für den Fall also, dass der Unterzeichner oder Siegelersteller direkte lokale Kontrolle über das kryptografische Modul hat. Ziel ist es, dass die Einheiten als qualifizierte Siegelerstellungseinheit und/oder Signaturerstellungseinheit (QSealCD / QSignatureCD) nach Verordnung (EU) 910/2014 anerkannt werden. Voraussetzung der organisationsinternen Massenversiegelung ist eine entsprechende Zertifizierung des genutzten HSM/QSCD und seine Unterbringung in einem (u.a. durch Zutrittskontrollen) gesicherten Serverraum bzw. Rechenzentrum.

Hardware Security Module (HSMs) zur qualifizierten digitalen Versiegelung von Dokumenten im eigenen Haus (als QSCD) zu betreiben, ist damit rechtlich und technisch nicht mehr allein qualifizierten Trust Service Providern vorbehalten.