Frage zu digitalen Zertifikaten und deren Kompromittierung
Lars.Bostelmann
2011-11-18 10:29Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
Lars.Bostelmann
2011-11-18 10:29Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
3 Kommentare
Kommentare als Feed abonnierenBostelmann kommentiert am Permanenter Link
Guten Morgen,
bei heise.de habe ich unter http://www.heise.de/security/meldung/Kompromittierte-Zertifikate-Sperren-allein-genuegt-nicht-1380802.html
folgendes gelesen und vielleicht nicht richtig verstanden:
"Das Zurückziehen (Revoke) eines digitalen Zertifikats führt nicht automatisch dazu, dass damit alle getätigten Signaturvorgänge etwa für Software ungültig werden. Entscheidend ist vielmehr das Revocation Date, das festlegt, ab welchem Zeitpunkt ein Unterschriftsvorgang als ungültig eingestuft wird."
Soweit so gut aber was ist, wenn das Revocation Date beim Bekanntwerden eines kompromittierten Zertifikats nur sehr knapp gesetzt wird (wie es wohl häufige Praxis ist).
Beispiel:
Bedeutet, dass das Revocation Date lange vor dem Zeitpunkt des Bekanntwerdens gesetzt werden muss, z.B. auf den 01.01.2011?
Ist das die gleiche Problematik wie das Schalen-/ Kettenmodell bei der qES?
Dr. Thomas Lapp kommentiert am Permanenter Link
Hallo Herr Bostelmann,
in dem von Ihnen zitierten Bericht geht es um die Frage, welches Datum bei einem kompromittieren Zertifikat als Datum des Widerrufs eingetragen werden soll. Das ist auf den ersten Blick eher eine technische als eine juristische Frage. Es stellt sich die Frage, bis zu welchem Zeitpunkt das Zertifikat noch als vertrauenswürdig einzustufen war. Dieser Zeitpunkt sollte eingetragen werden.
Zu bedenken ist allerdings auch, dass auch nach diesem Zeitpunkt ohne großen Aufwand Signaturen mit einem Datum vor diesem Zeitpunkt erstellt werden können. Da jeder Benutzer Datum und Uhrzeit an seinem Rechner selbst einstellen kann, stellt das Datum einer Signatur ähnlich wie das Datum in einem Brief nur die Behauptung des Ausstellers dar, an diesem Datum sei das Dokument signiert worden. Vertrauenswürdig ist diese Datumsangabe nur mit einem Zeitstempel oder wenn auf andere Weise sichergestellt ist, dass die Signatur an diesem Tag erstellt wurde.
§ 8 des Signaturgesetzes regelt für qualifizierte Zertifikate lediglich eine Sperrung, die mit dem Datum der Wirksamkeit zu versehen ist. Eine rückwirkende Sperrung ist danach unzulässig. Lediglich wenn das Zertifikat mit falschen Angaben ausgestellt wurde, kann dies im Sperrverzeichnis zusätzlich kenntlich gemacht werden.
Beste Grüße
Thomas Lapp
Bostelmann kommentiert am Permanenter Link
Hallo Herr Lapp,
vielen Dank für die Erläuterung. Sie haben mir damit weitergeholfen.
Beste Grüße
Lars Bostelmann