Die beiden Schlüsselelemente sicherer digitaler Signaturen

Robert Rogenmoser, Securosys, mit Ingolf Rauh, SwissSign (v.l., Foto Michael Rogenmoser)
Wie signiert man, so dass es auch gesetzlich qualifiziert ist? Das war eines der beiden Hauptthemen beim Launch der Securosys E-Series Primus HSMs diese Woche in Zürich. Ingolf Rauh vom Schweizer Certificate Service Provider (CSP) SwissSign zeigte in einem Referat die gesetzlichen Vorgaben und die Sicherheitsherausforderungen auf. Grundvoraussetzung ist gemäss dem Bundesgesetz über die elektronische Signatur (ZertES) eine sichere Signatur- und Siegel-Erstellungseinheit und das muss eine zertifizierte Hardware sein.
 
Ohne Hardware Security Modul (HSM) und den richtigen Zertifikaten geht nichts, wurde klar gestellt. Und die Zertifikate müssen von einem autorisierten CSP herausgegeben werden. Sind diese Grundvoraussetzungen einmal erfüllt, so hat der Anwender ein Zertifikat mit einem privaten und einem öffentlichen Schlüssel. Kommt der private Schlüssel in falsche Hände, so kann ein Dritter damit gesetzlich qualifiziert digital signieren. Der private Schlüssel muss also entsprechend sicher aufbewahrt werden.
 
In Firmen werden Zertifikate in unterschiedlichen Bereichen eingesetzt: SSL, E-Mail, Personal ID, Code Signing, Signatur und Zeitstempel sind nur ein paar der Anwendungsgebiete. Das sind viele Zertifikate und damit auch viele private Schlüssel, die sicher aufbewahrt werden müssen.
 
Schlüssel sicher erstellen und aufbewahren
Wer den Schlüssel hat, dem steht das Tor offen. Die Sicherheit von privaten Schlüsseln muss deshalb jederzeit gewährleistet sein. Am besten geht das, wenn man sie in einem Safe verstaut. Das Äquivalent zu einem Safe sind Hardware-Security-Module (HSM).
 
Wie ein guter Safe sind auch die nicht gerade billig. Das gilt speziell für netzwerkbasierte HSMs. Die günstigere Variante sind HSMs, die auf einer PCI-Karte implementiert sind und in einen Rechner gesteckt werden. Mit der zunehmenden Virtualisierung von Servern wird diese Option immer mehr impraktikabel. Securosys, Schweizer Anbieter von Sicherheitssystemen, lancierte die Primus HSM E-Series. Als netzwerkgestütztes HSM kommen die Produkte des Zürcher Startups auch mit virtualisierten Umgebungen gut zurecht. Die Kosten für ein Gerät entsprechen in etwa den Kosten für einen PC mit HSM-Karte. (cj)