Elektronische Signaturen auf PDFs oder anderen Dokumenten erfüllen zwei Zwecke: Sie garantieren die Echtheit und Integrität des Dokuments und ermöglichen es, den Unterzeichner des Dokuments zu identifizieren. Regulatorische Auflagen und Schutzmaßnahmen machen das möglich: Für jede elektronische Signaturlösung ist ein Zertifikat erforderlich, das wiederum auf einem sogenannten privaten Schlüssel beruht. Wird der nicht geschützt, sind Identitätsdiebstahl und anderen Attacken Tür und Tor geöffnet. Treffen Sie angemessene Sicherheitsvorkehrungen, um Ihre privaten Schlüssel geheim zu halten – mit cloudbasierten Key-Management-Systemen (KMS) beispielweise.

Die gute alte Cryptodatei – bitte nur Lightweight-Policy!

Sehr verbreitet sind private Schlüssel als Cryptodateien (PKCS12-Standard, .pfx und .p12). Sie sind einfach in der Handhabung und finden die breiteste Unterstützung in gängiger Software. Aber: Wird der private Schlüssel nur als passwortgeschützte Datei erzeugt, besteht das Risiko, dass ein Angreifer den Schlüssel kopiert missbräuchlich einsetzt. Konsequenterweise werden daher auch Signaturen, die mit einem derartigen Mechanismus erzeugt werden, von Adobe-Produkten nicht als gültig angesehen.

Streng geheim: Zertifikate und dazugehörige Schlüssel auf sicheren Chipkarten

Für gehobene Sicherheitsanforderungen haben sich Smartcards in verschiedenen Erscheinungsformen etabliert. Hier wird der private Schlüssel auf nicht-exportierbare Weise in einer Chipkarte erzeugt. Üblicherweise erfordert die einzelne Signaturfreigabe dann noch die Eingabe einer PIN. Der Sicherheitsgewinn liegt auf der Hand: Im Gegensatz zur bloßen Datei kann man die Karte auch physisch wegsperren. Manche Smartcards sind sogar als qualifizierte Signaturerstellungseinheiten bescheinigt. Zu den Nachteilen zählen sicherlich die erhöhte Komplexität bei Installation und Betrieb – die nach Suche kompatiblen Kartenlesern, Treibersoftware-Herausforderungen, Kartenverlust und physische Defekte inklusive.

Viele Unserer Kunden lehnen daher den Aufbau eines „Kartenhauses“ ab.

HSM, der Ferrari in Sachen Schlüsselverwaltung

Die sicherste Methode, private Schlüssel auch wirklich privat zu halten, ist der Einsatz von besonders manipulationssicheren Geräten, sogenannten Hardware Security Modulen (HSMs) in einem geschützten Rechenzentrum. HSMs sind äußerst effektiv und performant, erfordern aber Spezialkenntnisse. Dadurch klettern die Kosten für die Verwaltung schnell in lichte Höhen. HSMs sind deshalb fast ausschließlich bei großen Organisationen beispielweise in den Bereichen Finanz, kritische Infrastruktur, Verteidigung usw. im Einsatz.

Schlüsseldienst „Key-Management-System“

Für Unternehmen gibt es günstigere Wege, die Herausforderungen einer sicheren Schlüsselverwaltung zu meistern. Google, Amazon, Microsoft und Co. bieten mit Ihren cloudbasierten Key-Management-Systemen (KMS) einen einfachen Zugang. Nutzer können sich ein Plätzchen in deren HSM-Infrastruktur „mieten“. Die grafische Benutzeroberfläche gibt´s obendrauf und die Kosten sind überschaubar.

Wir bei Globaltrust unterstützen die gängigen Key Management Systeme:

• Amazon Web Services Key Management Service (AWS KMS)
• Google Cloud KMS
• Microsoft Azure Key Vault
• IBM Key Protect for IBM Cloud

Das heißt, wir stellen Zertifikate zu Schlüsseln aus, die Sie in diesen Systemen erstellen und verwalten. Sie nutzen den Schlüssel in Ihrer gewohnten Infrastruktur und können jederzeit sicher sein, dass die höchsten Sicherheitsstandards erfüllt sind. Auch und insbesondere auf FIPS 140-2 Level 3 – dem US-Standard zur Validierung von Kryptomodulen, wie er beispielsweise vom Adobe Reader verlangt wird, der ein elektronisch signiertes Dokument überprüft.

Um welche Signaturlösungen geht’s?

Unterstützt werden in dem KMS die einfachen und die fortgeschrittenen e-Signaturen. Wenn Sie allerdings mit qualifizierten Signaturen und Firmensiegeln arbeiten wollen – oder nicht wollen, dass Ihr Schlüssel in Übersee verwaltet wird – gelten andere Regeln.

Entscheiden Sie sich etwa für TRUST2GO®, unsere qualifizierte Cloud-Signatur gemäß EU-eIDAS-Verordnung, wird als zugrundeliegende Hardware eine HSM mit Bescheinigung als qualifizierte Signatur- und Siegelerstellungseinheit verwendet.

Zertifikat anfordern

Um ein Zertifikat zu einem im KMS erzeugten Schlüssel zu erhalten, einen Certificate Signing Request (CSR). Außerdem müssen Sie nachweisen, dass Ihr CSR im Key-Management-System erzeugt wurde. Man spricht in diesem Zusammenhang von einer Key Attestation. Manches KMS bieten die Möglichkeit, diese Key Attestation selbst zu erzeugen. Bitte nehmen Sie in jedem Fall vorab mit uns Kontakt auf!

Kosten kalkulieren

Je nach Produkt verrechnen wir Ihnen nur die spezifischen Zertifikatskosten sowie einen Aufpreis für die Key Attestation. Unabhängig davon können beim KMS-Anbieter auch noch fixe oder transaktionsbezogene Kosten anfallen.

Sie hier und Ihre Daten in Übersee?

Sie wollen nicht, dass Google und Co. Ihre privaten Schlüssel in den USA verwalten?

Dann setzen Sie auf sicher aufbewahrte kryptografische Hardwaregeräte wie

• Smartcard
• USB-Token
• HSM (Hardware Security Modul)

Wenn Sie eine Cloudlösung bevorzugen, die in Österreich beheimatet ist, empfehlen wir Ihnen unser Produkt  TRUST2GO® – hier steht das HSM bei uns im zertifizierten Rechenzentrum, auf Wiener Boden.

Alternative in PHP

Sie wollen ein KMS verwenden, von uns das Zertifikat beziehen und benötigen eine Lösung in PHP? Dann empfehlen wir Ihnen die SetaPDF-Signer-Komponente des deutschen Unternehmens SetASign: Hier finden Sie dazu Informationen.

Kontaktieren Sie uns, wenn Sie mehr über Key-Management-Systeme wissen wollen.

Das könnte Sie noch interessieren…