ArchiSig

Das Konzept ArchiSig beschreibt ein Verfahren für die sichere und Beweiskraft-erhaltende, langfristige Archivierung von elektronischen Dokumenten im Kontext deutscher Gesetzgebung. In einem vom Bundesministerium für Wirtschaft und Arbeit im Rahmen des Vorhabens „VERNET – Sichere und verlässliche Transaktionen in offenen Kommunikationsnetzen“ geförderten Projekts „ArchiSig – Beweiskräftige und sichere Langzeitarchivierung digital signierter Dokumente“ wurden Archivierungskonzepte und entsprechende Technologien aufgegriffen und erweitert. Das Projekt lief von Juli 2001 bis Dezember 2003. Die Ergebnisse des Konzepts mündeten in den Standard Long-Term Archiving and Notary Service/Evidence Record Syntax (LTANS/ERS), der durch eine Working Group der Internet Engineering Task Force (IETF) vorangetrieben und 2007 freigegeben wurde.^[1]

Aus der im ArchiSig-Projekt gewonnenen Erkenntnis, dass im Zuge der Langzeitarchivierung auch die Problematik der Formattransformation gelöst werden muss, wurde das Folgeprojekt TransiDoc auf den Weg gebracht, dessen Ergebnisse Ende 2007 veröffentlicht wurden.^[2] Zu klären war hier, wie der Nachweis geführt werden kann, dass ein Dokument im aktuellen ISO-Standard TIFF- oder PDF/A-Format für die Langzeitarchivierung in ein Format in der Zukunft korrekt gewandelt wurde, inklusive der Berücksichtigung von elektronischen Signaturen.

Aufgabenstellung

Elektronische Dokumente sind nur mit elektronischer Signatur vor Gericht beweiskräftig. Die Beweiskraft elektronischer Dokumente ist jedoch über einen langen Zeitraum nicht ohne Weiteres gegeben. Digitale Signaturen verlieren im Laufe der Zeit ihre Beweiskraft, sie verblassen kryptographisch. Einerseits verlieren die bei der Signierung verwendeten Algorithmen und Schlüssel im Zeitverlauf ihre Beweiseignung, andererseits ist nicht sichergestellt, dass die verwendeten Zertifikate auch nach einem langen Zeitraum noch überprüft werden können. Die Veröffentlichung der Einstufung der Algorithmenstärken erfolgt im Januar jedes Jahres durch die Bundesnetzagentur (BNetzA) nach Vorschlag des Bundesamts für Sicherheit in der Informationstechnik (BSI), das für die Stärkenanalyse zuständig ist, und nach Konsultation von Industrievertretern und -verbänden.

Die fehlende Langzeiteignung sowie nicht vorhandene technische und organisatorische Empfehlungen hatten verhindert, dass in Bereichen wie dem Gesundheitswesen und der öffentlichen Verwaltung Dokumente, die für einen langen Zeitraum Beweiskraft haben müssen, elektronisch ausgetauscht und damit auch elektronisch archiviert wurden. Inzwischen gibt es einige ArchiSig-konforme Produkte am Markt, so dass immer mehr Firmen auf die effizienteren Prozesse mit rein elektronischen Dokumenten setzen.

Lösungsansatz

Um die langfristige Beweiskraft digital signierter Dokumente sowie die Integration in die praktische Anwendung zu erreichen, muss der gesamte Zyklus von der Erzeugung des Dokuments, der Signaturerzeugung, der Präsentation, der Kommunikation und der Archivierung bis hin zur späteren Verwendung betrachtet werden. Unter Berücksichtigung existierender Standards wurden technische Komponenten und Schnittstellen sowie organisatorische Konzepte spezifiziert und prototypisch implementiert.^[3]

Konzepte

Im Rahmen des Projektes wurden mehrere Konzepte entwickelt. Diese behandelten

• die Bestimmung, mit welchen Daten die Echtheit eines Dokuments erfolgreich bewiesen werden kann und wie diese Verifikationsdaten in signierte Dokumente integriert werden können,
• die Erneuerung von Signaturen durch elektronische Archivzeitstempelung, siehe Spezifikation der Evidence Record Syntax^[4]
• die Bestimmung der Sicherheitseignung kryptografischer Algorithmen,
• die Transformation existierender Papierdokumente in elektronische Dokumente mit öffentlicher Beglaubigung.

Umsetzung

Während des Projektes wurde seitens des Fraunhofer-Instituts für Sichere Informationstechnologie das Produkt Archisoft^[5] auf Basis des ArchiSig-Konzepts entwickelt, so dass sämtliche Prozesse von der Archivierung bis zur richterlichen Beweiswürdigung auch praktisch validiert werden konnte. Vergleichbare Produkte werden seitens bremen online services GmbH & Co. KG ^[6], OpenLimit SignCubes GmbH^[7], Mentana-Claimsoft AG^[8], procilon IT-Solutions GmbH^[9], SecCommerce Informationssysteme GmbH^[10] und der secrypt GmbH^[11] angeboten.

Die ArchiSig-Produkte dienen als Aufsatz für typische Archiv-Systeme, um eine ArchiSig-konforme Gesamtlösungen zu bieten. Die Dokumente werden mit ihren Signaturen im Archiv-System gespeichert und anschließend den ArchiSig-Produkten nach der Archivierung mit dem Pfad (DOCID) zur Registrierung übergeben. Dabei wird für jedes Datenobjekt (Dokument oder Signaturdatei) ein Hash-Wert berechnet und zusammen mit dem Pfad in einem Hash-Baum (siehe ERS) abgelegt. Die Aufgabe der ArchiSig-Produkte ist es, für die Neusignierung zu sorgen, wenn die Bundesnetzagentur einen der benutzten Algorithmen als schwach einstuft. Dabei dient der Pfad dazu, dass das ArchiSig-Produkt im Falle einer Neusignierung mit Neuverhashung das Dokument aus dem Archiv laden kann. Die Datenhaltung erfolgt typischerweise in einer sicheren SQL-Datenbank.

Zertifizierung

Weder für das ArchiSig-Konzept noch für den LTANS/ERS-Standard gibt es Stand heute ein Zertifizierungsverfahren. So ist es eine Sache des Vertrauens, einem Produkt-Hersteller die ArchiSig/LTANS/ERS-Konformität auf Basis seiner Präsentationen und Dokumentationen zu glauben. Ein probates Mittel mag die Beauftragung eines der Mitglieder der LTANS-Working-Group für eine Konformitätsprüfung des in Augenschein genommenen Produktes sein.

Erster Fall der Neusignierung in 2007

Im Februar 2007 wurde für Ende 2008 das erste Mal ein Signatur-Algorithmus als dann schwach angekündigt.^[12] Betroffen war der zu diesem Zeitpunkt häufig genutzte Signaturalgorithmus RSA mit Schlüssellänge 1024. Er dient zum Signieren des Hash-Werts des zu signierenden Dokuments mit dem persönlichen Schlüssel des Urhebers, der fest im Chip seiner Smartcard „eingebrannt“ ist. Das bedeutete, dass bis zum 31. Dezember 2007 alle Chipkarten ausgetauscht werden mussten, damit ab dem 1. Januar 2008 dann mit den neuen Karten weiter beweissicher signiert werden konnte. Ebenso mussten Kunden, die für sich den Bedarf der Beweiswerterhaltung erkannt haben, sämtliche bisher signierten Dokumente entsprechend dem Signaturgesetz (SigV) nachsignieren. Im November 2007 wurde kurzfristig zusätzlich der bis dahin ebenso gebräuchliche Hash-Algorithmus SHA-1 zum 1. April 2008 als schwach angekündigt. Da in vielen Fällen die Firmen noch nicht für den Fall der Nachsignierung gerüstet waren, hatte die Bundesnetzagentur am 17. Dezember 2007 allen etwas mehr Zeit gegeben und den Zeitpunkt für die Fertigstellung um jeweils 3 Monate verlängert.^[13]

Die derzeit gebräuchlichen Algorithmen sind für das Hashen der Dokumente SHA-256 und für das Verschlüsseln der Hash-Werte RSA mit Schlüssellänge 2048. Beide Algorithmen sind bis voraussichtlich Ende 2015 stark eingestuft.^[14] D.h. spätestens dann müssen alle elektronisch signierten Dokumente mit dem Bedarf der Beweiswerterhaltung erneut signiert werden.

Kritik

Das ArchiSig-Projekt ist der strengen Auslegung des Signaturgesetzes gefolgt und hat keinerlei Ausnahmen zum Neusignieren diskutiert. Kritische Stimmen meinen^[15][16][17], dass Dokumente, die in einem GoBS-konformen, elektronischen Archiv gespeichert sind, nicht neu signiert werden müssen. Zweck solcher Archive ist es, die Integrität von Dokumenten sicherzustellen. Da jedoch eine qualifizierte elektronische Signatur nicht nur die Integrität, sondern auch die Authentizität - die Echtheit der aufzubewahrenden Dokumente sicherstellt, geht ArchiSig über die Funktionalität GoBS-konformer Archivsysteme hinaus. Ein Neusignieren ist insbesondere dann nur für ein Dokument sinnvoll, das das Archiv verlässt, z.B. um als Beweismittel vor Gericht vorgelegt zu werden, bei einer Migration oder einer Übergabe an ein Zentralarchiv.

Weblinks

• ArchiSig-Projektseite
• TransiDoc-Projektseite

Einzelnachweise

1. ↑ IETF LTANS Working Group
2. ↑ Fachkonferenz zur Veröffentlichung der TransiDoc-Projektergebnisse
3. ↑ Empfehlung der allgemeinen Nutzung des ArchSig-Verfahrens für einen höheren Beweiswert in der Aufbewahrung auch unsignierter Dokumente in "Handlungsleitfaden zur Aufbewahrung elektronischer und elektronisch signierter Dokumente" , herausgegeben vom Bundeswirtschaftsministerium in 2007
4. ↑ RFC 4998 - Spezifikation der Evidence Record Syntax
5. ↑ ArchiSoft vom Fraunhofer Institut
6. ↑ Governikus LZA der bremen online services GmbH & Co. KG
7. ↑ OverSign der OpenLimit SignCubes GmbH
8. ↑ Hash-Safe der Mentana-Claimsoft AG
9. ↑ ProGOV archiv der procilon IT-Solutions GmbH
10. ↑ SecPKI-Server der SecCommerce Informationssysteme GmbH
11. ↑ digiSeal archive der secrypt GmbH
12. ↑ Veröffentlichung der Bundesnetzagentur vom 22. Februar 2007: „Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen)“
13. ↑ Veröffentlichung der Bundesnetzagentur vom 17. Dezember 2007: „Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen)“
14. ↑ Veröffentlichung der Bundesnetzagentur vom 17. November 2008: „Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen)“
15. ↑ Artikel „Nachsignieren versus revisionssichere Archivierung“ von Dr. Ulrich Kampffmeier in 2006
16. ↑ Artikel „Gültigkeit elektronischer Signaturen“ von Oliver Berndt in 2007
17. ↑ Foliensatz „Große Mythen der elektronischen Archivierung“ für VOI von Thorsten Brandt in 2009