LTANS/ERS-konforme Archivierung oder "Verjüngungskur alternder Signaturen"
Gastbeitrag von Dr. Martin Bartonitz, Product Manager Workflow
SAPERION AG
Mit dem explosionsartig steigenden E-Mail-Auf-kommen werden immer mehr Geschäftsdokumente elektronisch ausgetauscht. Parallel dazu werden immer mehr Papierdokumente in ein elektronisches Abbild transformiert. Noch ist der überwiegende Teil der E-Mails nach dem Signaturgesetz nur mit einer einfachen Signatur versehen, einer Information über den Absender am Ende des Textkörpers, und unterliegt damit vor Gericht „nur“ dem Anscheinsbeweis. Damit der Richter ein elektronisch unterschriebenes Dokument nach § 371 ZPO als Beweis anerkennen muss, werden zunehmend qualifizierte Signaturen für das elektronische Unterschreiben genutzt. Im Gegensatz zum geduldigen Papier, auf dem auch noch nach Jahrhunderten eine Unterschrift gesichert erkannt werden kann, altern elektronische Signaturen. Für gealterte Signaturen kann nicht mehr mit Sicherheit davon ausgegangen werden, dass sie nicht gefälscht wurden.
Warum altern Signaturen und was kann/muss man dagegen tun?
Elektronische Signaturen im Zusammenspiel mit Zertifikaten dienen der Sicherung des Nachweises, dass ein elektronisches Dokument nach der Unterschrift nicht mehr verändert wurde (Integrität), wer der Urheber ist (Authentizität), und ob das Zertifikat zum Zeitpunkt der Unterschrift gültig war. Insgesamt dient sie also der Vertrauensbildung in den elektronischen Geschäftsverkehr, besonders aufgrund der Nichtabstreitbarkeit der Willenskundgebung.
Die Nachweissicherheit einer elektronischen Signatur ist so lange gegeben, bis die Bundesnetzagentur einen der Algorithmen als geschwächt erklärt, die zur Erstellung der Signatur genutzt wurde. Die Schwächung wird ausgesprochen, weil davon ausgegangen werden kann, dass die verwendeten kryptografischen Verfahren angegriffen werden können. D.h. es könnten Dokumente oder Unterschriften gefälscht werden, ohne dass dies erkannt wird. Dass diese Möglichkeit besteht, liegt an der rasanten Entwicklung von schnelleren Rechnern, die entsprechend schneller Varianten berechnen können, die eine unerkennbare Fälschung wären.
Um den Zusammenhang besser zu verstehen, soll im Folgenden kurz beschrieben werden, wie das qualifizierte, elektronische Signieren abläuft. Zuerst wird für das zu signierende Dokument ein so genannter Fingerabdruck – technisch ein Hash-Wert – mit einem Hash-Algorithmus berechnet. Dieser sehr viel kleinere Wert, der zwar für jedes Dokument gleich lang, dennoch immer anders ist, wird anschließend auf eine Chipkarte geschickt. Auf der Chipkarte befinden sich ein Betriebssystem, der nur hier einmalig vorhandene private Schlüssel sowie das den Besitzer auszeichnende Zertifikat. Mithilfe des Schlüssels wird der Hash-Wert mit einem symmetrischen (es liegt ein Schlüsselpaar vor) Verschlüsselungsalgorithmus verschlüsselt. Dieser neue Wert wird zusammen mit dem Zertifikat in eine Datei, dem sogenannten Signaturkontainer gespeichert. Im Zertifikat ist zusätzlich der öffentliche Schlüssel enthalten, mit dem später u.a. die Verifikation durchgeführt werden kann.
Abbildung 1: Erstellung einer personenbezogenen Signatur
Die beiden heute seit Anfang 2008 im Allgemeinen genutzten Algorithmen sind mit heutiger Technologie nicht angreifbar, selbst wenn viele Rechner parallel arbeiten würden. D.h. es wird kein anderes Dokument konstruiert werden können, das den gleichen Hash-Wert besitzt. Und es wird kein anderer privater Schlüssel erstellt werden können, der zu dem öffentlichen Schlüssel des Originals passt, wodurch sonst die Authentizität gefälscht wäre. Da die Technologien aber immer weiter voran schreiten, werden die Algorithmen immer unsicherer, sprich sie altern.
In der Praxis ist auch bei einem gebrochenen Algorithmus noch lange keine gezielte Manipulation möglich, sprich dass an einer bestimmten Stelle im Dokument anstelle einer 10.000.000 eine 100.000.000 eingebaut werden kann und die Integrität dennoch als nicht verletzt ausgewiesen wird.
In Kenntnis dieser theoretischen Möglichkeit nimmt der Gesetzgeber im Signaturgesetz im § 6 (1) indirekt Bezug auf die Konsequenz, nämlich auf ein Neusignieren im Bedarfsfall. Die begleitende Signaturverordnung wird dann zwar etwas präziser im § 17 und verlangt, dass signierte Dokumente vor der Schwächung aufgrund nicht mehr garantierter Sicherheit der ursprünglich verwendeten Algorithmen mit einer weiteren qualifizierten Signatur neusigniert werden müssen. Wie das Verfahren genau auszusehen hat, ist nicht näher spezifiziert.
Wie häufig muss neusigniert werden?
Diese Antwort kann nur relativ zur Gesamtaufbewahrungszeit eines signierten Dokuments gegeben werden. Grundsätzlich ist der voraussichtlich nächste Zeitpunkt, bis zu dem spätestens neusigniert werden muss, Ende 2015. Der Zeitpunkt kann früher liegen, sobald entsprechende Angriffstechnologien bekannt sind, um den derzeit genutzten Hash-Algorithmus SHA-256 oder den Verschlüsselungsalgorithmus RSA mit Schlüssellänge 2048 Bit zu kompromittieren. Seitdem das Signaturgesetz 2001 in Kraft trat, ist erst einmal neusigniert worden. D.h. wenn wir alle 7 bis 10 Jahre einmal neusignieren, so müsste ein Dokument, das 100 Jahre aufbewahrt werden muss, mindestens 10 Mal nachbearbeitet werden.
Interpretationen zum Bedarfsfall
Ist die Algorithmenschwächung seitens der Bundesnetzagentur erfolgt, so muss jede Organisation für sich entscheiden, ob sie einen Bedarf hat. Ein Bedarf liegt laut Bundesfinanzministerium z.B. im Falle elektronischer Rechnungen, die nach § 14 des Umsatzsteuergesetzes für den Vorsteuerabzug qualifiziert zu signieren sind, steuerrechtlich nicht vor. Zivilrechtlich ist die Situation jedoch wieder individuell zu entscheiden. Demnach liegt der Bedarf dann vor, wenn ein Dokument mit entsprechend hoher Wahrscheinlichkeit für einen Rechtsstreit als Beweis benötigt wird und es zu hohen Kosten kommen kann, wenn der Fall verloren wird. D.h. es könnte sich rechnen, nicht die Neusignierung durchzuführen, wenn nur sehr wenige Fälle mit geringem Streitwert zu sichern sind. Ein besonderer Bedarf liegt bei solchen Dokumenten vor, die auch noch nach Jahren als Beweis benötigt werden könnten. Beispiele sind Dokumentationen, die in Krankenhäusern während des Verlaufs von Behandlungen anfallen. Solche Patientenakten müssen z.T. 30 Jahre nach dem Tod des Patienten aufbewahrt werden.
Da das Signaturgesetz als auch die Verordnung keine Ausnahmen formulieren, interpretieren Rechtsanwälte ein Muss für das Nachsignieren im Bedarfsfall, egal wie die Dokumente gespeichert werden, insbesondere im Falle einer Sorgfaltspflicht. Es gibt eine Reihe kritischer Stimmen, die ein Neusignieren elektronisch archivierter Dokumente als nicht notwendig erachten (siehe auch Dr. Ulrich Kampffmeyer). Schließlich dienen elektronische Archive genau dazu, Dokumente vor Änderungen zu schützen. Demnach würde es reichen, wenn ein geschwächtes Dokument erst neusigniert wird, wenn es das Archiv verlässt, d.h. wenn dieser „Bedarf“ besteht.
Die Verjüngungskur – kostengünstig und schnell
Um die Interpretationslücken des Signaturgesetztes hinsichtlich eines konkreten Verfahren des Neusignierens zu schließen, hat das Bundesministerium für Wirtschaft und Arbeit im Rahmen des Vorhabens "VERNET - Sichere und verlässliche Transaktionen in offenen Kommunikationsnetzen" das Projekt "ArchiSig - Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumente" von Juli 2001 bis Dezember 2003 gefördert. In dem Projekt wurden Archivierungskonzepte und entsprechende Technologien aufgegriffen und erweitert. Die Ergebnisse des Konzepts mündeten in den Standard Long-Term Archiving & Notary Services / Evidence Record Syntax (LTANS/ERS), der durch eine Working Group der Internet Engineering Task Force (IETF) vorangetrieben und 2007 freigegeben wurde.
An dieser Stelle sei auch auf das Folgeprojekt TransiDoc hingewiesen. Im ArchiSig-Projekt wurde erkannt, dass im Zuge der Langzeitarchivierung auch die Problematik der Formattransformation gelöst werden muss. Zu klären war also, wie der Nachweis geführt werden kann, dass ein Dokument im aktuellen ISO-Standard TIFF- oder PDF/A-Format für die Langzeitarchivierung in ein Format in der Zukunft korrekt transformiert wurde, inklusive der Berücksichtigung von elektronischen Signaturen. Die Ergebnisse wurden Ende 2007 veröffentlicht.
Um die langfristige Beweiskraft digital signierter Dokumente sowie die Integration in die praktische Anwendung zu erreichen, wurde der gesamte Zyklus von der Erzeugung des Dokuments, der Signaturerzeugung, der Präsentation, der Kommunikation und der Archivierung bis hin zur späteren Verwendung betrachtet werden. Unter Berücksichtigung existierender Standards wurden technische Komponenten und Schnittstellen sowie organisatorische Konzepte spezifiziert und prototypisch implementiert.
Die anschließend sich konzipierende Working Group in der IETF hat dann nach der Spezifikation der Anforderungen an ein Long-Term Archiving Service (RFC4810) in 2005 die Evidence Records Syntax (RFC4998) in 2007 freigegeben. Der Evidence Record dient dem vollständigen Integritätsnachweis eines mehrfach neusignierten Dokuments. Dabei ist das Verfahren des Neusignierens in Bezug auf Schnelligkeit und Kosten optimiert worden. Schließlich kostet jeder Zeitstempel je nach Mengenabnahmen zwischen 3 und 30 Cent, und im Falle großer Mengen aufbewahrter Dokumente kann das Einzelsignieren Monate dauern.
Der Nutzen von Hash-Bäumen
Um den grundsätzlichen Aufbau des Evidence Records zu verstehen, muss zuerst die Art der Speicherung signierter Dokumente für eine Langzeitarchivierung besprochen werden. Die Neusignierung nutzt qualifizierte Zeitstempel. Damit aus Kosten- und Zeitgründen nicht jedes Dokument einzeln mit einem Zeitstempel versorgt werden muss, wird mit so genannten Hash-Bäumen gearbeitet. Für jedes in einem Content Repository neu gespeicherten Dokument (Abbildung 2: d1 bis d4) wird ein Hash-Wert auf Basis des jeweils aktuellen, stärksten Hash-Algorithmus berechnet und in einem Hash-Baum auf der ersten Ebene aufgenommen (Abbildung 2: h1,1 bis h1,4, die "erste Ziffer nummeriert den Hash-Baum, die zweite die laufende Nummer des Hash-Werts im Baum).
Abbildung 2: Hash-Baum mit Archivzeitstempel A1
Ein Hash-Baum kann beliebig viele Hash-Werte aufnehmen. In der Praxis scheint sich ein tageweise gebildeter Hash-Baum zu bewehren. Die Bildung des Hash-Baums erfolgt, indem zuerst 2 bis n Hash-Werte der 1. Ebene konkateniert und diese Byte-Folge zu einem neuen Hash-Wert (Kind) berechnet werden (Abbildung 2: h1,5=H(h1,1|h1,2)). Dieses Verfahren wird solange fortgesetzt, bis in der letzten Ebene nur noch ein Hash-Wert übrig bleibt. Dieser Hash-Wert wird dann mit einem qualifizierten Zeitstempel signiert. Das gesamte Konstrukt, Hash-Baum und Signatur wird dann Archivzeitstempel (Abbildung 2: A1, mit der 1 für den ersten Hash-Baum) genannt.
Abbildung 3: Reduzierter Archivzeitstempel
Wird nun eins der Dokumente für die Beweisführung vor Gericht benötigt, so wird eine Kopie des Dokuments aus dem Content Repository geholt und sein Evidence Record erstellt. Da die Datenmenge des gesamten Hash-Baums sehr groß sein kann, wird ein sogenannter reduzierter Archivzeitstempel (Abbildung 3: rA1) gebildet und neben den Prüfergebnissen der Signaturen im Evidence Record gespeichert. Der reduzierte Archivzeitstempel enthält jeweils nur die Hash-Werte, um das jeweils nächste Kind wieder berechnen zu können, sowie den Zeitstempel über den Hash-Wert der höchsten Ebene. Die Evidence Record Syntax ist im Format ASN.1 aufgebaut und ist für ungeübte Augen wenig lesbar und soll daher an dieser Stelle nicht weiter ausgeführt werden. Derzeit wird an einer XML-basierten Variante gearbeitet, die dann lesbarer ist.
Ergänzende Hinweise:
Das qualifizierte Signieren von Dokumenten kann in drei Varianten erfolgen:
| | | |
| | 1. | Das Dokument wird von einer Signaturdatei begleitet |
| | 2. | Die Signaturdatei ist in einem PDF/A-formatierten Dokument eingebettet |
| | 3. | Das Dokument ist in der Signaturdatei eingebettet |
Während in Fall 2 und 3 für nur ein Objekt ein Hash-Wert im Baum enthalten ist, müssen im ersten Fall 2 Objekte, das Dokument und die begleitend Signaturdatei behandelt werden. Da im Fall 3 für die Ansicht des Dokuments dieses erst aus dem Container extrahiert werden muss, spricht für eine einfachere Handhabung die Nutzung von in PDF/A eingebetteten Signaturen.
Der oben genannte Zeitstempel sollte die gleiche Stärke besitzen wie die Signaturdateien, für die entsprechende Hash-Werte im Baum enthalten sind. Andernfalls wird die Auslegung der Neusignierung komplizierter.
Die zwei Verfahren der Neusignierung
Grundsätzlich müssen zwei Verfahren der Neusignierung unterschieden werden, je nachdem, welcher der beiden kryptografischen Algorithmen als geschwächt erklärt wurde.
Wenn der Verschlüsselungsalgorithmus des oben genannten Zeitstempels als bald geschwächt eingestuft ist, so muss nur der Zeitstempel des Hash-Baums erneut mit einem Zeitstempel signiert werden. Dabei kann so verfahren werden, dass für alle vorhandenen Archivzeitstempel ein Hash-Wert berechnet wird und dieser in einem neuen Hash-Baum aufgenommen wird, für den abschließend ein Archivzeitstempel erzeugt wird.
Abbildung 4: Neusignierung des Archivzeitstempels im Fall der geschwächten Verschlüsselung
Der Evidence Record für ein Dokument muss nun auch die Daten des reduzierten Archivzeitstempels des neuen Hash-Baums mit den Hash-Werten der alten Archivzeitstempel mit berücksichtigen, so wie es die Abbildung 5 zeigt.
Abbildung 5: Reduzierter Archivzeitstempel nach der Neusignierung im Fall der geschwächten Verschlüsselung
Wenn der verwendete Hash-Algorithmus als bald geschwächt eingestuft ist, wird das Verfahren aufwändiger, da dann sämtliche Dokumente nochmals aus dem Content Repository geholt und erneut verhasht werden müssen. Dabei wird so verfahren, dass für die neuen Hash-Werte mit den ebenfalls neu erstellten Hash-Werten seiner reduzierten Archivzeitstempel konkateniert wird und für diese Byte-Folge ein weiterer Hash-Wert berechnet wird. Dieser wird dann in einen neuen Hash-Baum aufgenommen, der abschließend wieder mit einem Zeitstempel signiert wird (Abbildung 6).
Abbildung 6: Neusignierung mit Neuverhashung
Es ist selbsterklärend, dass der Evidence Record nach jeder Neusignierung umfangreicher wird.
Da der Evidence Record selbst nicht lesbar ist, wird seitens LTANS-ERS-konformen Anwendungen ein menschlich lesbarer Prüfbericht im PDF- oder XML-Format erstellt.
Hinweis: Die Grafiken sind Abbildungen aus dem Buch "Beweiskräftige elektronische Archivierung" von Roßnagel und Schmücker entlehnt.
Interoperabilität
Da der Evidence Record den Nachweis der Integrität über einen langen Zeitraum ermöglichen soll, ist eine Interoperabilität zwischen Systemen, die einen solchen Record erzeugen, zwingend. Die Betreiber von Langzeitarchiven müssen damit rechnen, dass das aktuelle System durch ein anderes zu ersetzen ist. D.h. die enthaltenen Daten müssen exportiert und wieder importiert werden. Da nicht nur die Dokumente und ihre Signaturdateien sondern auch ihre Evidence Records übertragen werden müssen, ist ein Einlesen auch der Records in die interne Datenstruktur des Zielsystems zwingend erforderlich.
Zertifizierung
Stand heute gibt es keine Zertifizierungskriterien und -prozesse, um Produkte auf eine LTANS/ERS-Konformität zu prüfen und als LTANS/ERS-konform auszuzeichnen.
Zusammenfassung
Inzwischen sind einige Produkte auf dem Markt verfügbar, die eine relativ kostengünstige Verjüngung alternder Signaturen nach dem vorgestellten Verfahren erlauben. Damit sollten bisherige Vorbehalte zur Anwendung von elektronischen Signaturen für die Ausschöpfung der Potentiale komplett digitaler Prozesse nicht mehr bestehen.
Wünschenswert wäre über eine Novellierung des Signaturgesetzes die Notwendigkeit der Neusignierung auf signierte Dokumente zu beschränken, die nicht in einem revisionssicheren Archiv aufbewahrt werden.
Metadata
