qualifiziertes Zertifikat zum PDF signieren in Windows importieren

  • Hallo!


    Ich verwende die Aloahe PDF Suite zum Signieren von PDFs.
    Dazu hätte ich das qualifizierte Zertifikat mittells MOCCA von meiner e-card exportiert und in Windows importiert.
    Die Aloaha bietet mir dieses Zertifikat jedoch nicht zur Auswahl an.
    Daher habe ich mich direkt beim Ersteller der Software erkundigt und der meinte, dass meinem Zertifikat kein öffentlicher Schlüssel zugewiesen ist und daher wird es nicht angeboten.
    Schaut man in den Windows Zertifikatsmanager ist es richtig, dass bei diesem Zertifikat das Schlüsselsymbol fehlt.


    Was habe ich da falsch gemacht?


    Danke & bG.


    Paul

  • Zum Signieren benötigen sie den privaten Schlüssel. Der öffentliche Schlüssel wird zum Überprüfen der Signatur benötigt.
    Der private Schlüssel darf nur in einer sog. "sicheren Signaturerstellungseinheit", z.B. die e-card, gespeichert sein und kann nicht exportiert werden. D.h. Sie benötigen eine spezielle Software um den Schlüssel auf der Karte anzusprechen. Der PKCS#11 Treiber der A-Trust (wird bei der Installation des a.sign Clients mitinstalliert) ermöglicht ein Ansprechen der Schlüssel auf der Karte.
    Der Zugriff über den PKCS#11 Treiber auf den privaten Schlüssel des qualifizierten Zertifikats ist allerdings aus Haftungsgründen nur für bestimmte - von der A-Trust freigegebene Software - möglich (siehe dazu auch: http://www.a-trust.at/docs/VER…premium/sec_Verfahren.pdf). D.h. Standardsoftware kann über den PKCS#11 Treiber nur auf den privaten Schlüssel des Geheimhaltungszertifikats (bei der e-card von der CA "a-sign-Token-03" ausgestellt) zugreifen.
    Wie ggf. ein Zugriff für andere Software freigeschalten werden kann, erfahren sie beim Support der A-Trust (http://www.a-trust.at/Support.aspx).
    Bei der Nutzung des qual. Zertifikates ist dabei zu beachten, dass die Anforderungen der Signaturverordnung für die Umgebung der sicheren Signaturerstellungseinheit eingehalten werden:

    Zitat

    Technische Sicherheitserfordernisse für die Systemumgebung der Signaturerstellungseinheit bei qualifizierten Signaturen
    § 4. (1) Die Spezifikation eines Formats für zu signierende Daten muss allgemein verfügbar sein und sicherstellen, dass die signierten Daten sowohl bei der Signaturerstellung als auch bei der Signaturprüfung zweifelsfrei und mit gleichem Ergebnis darstellbar sind. Können in einem Format dynamische Änderungen codiert werden, so dürfen jene Elemente, die dynamische Änderungen hervorrufen können, nicht verwendet werden.
    (2) Die Signaturfunktion in der Signaturerstellungseinheit des Signators darf nur nach Verwendung von Autorisierungscodes (zB PIN-Eingabe, Fingerabdruck) auslösbar sein. Die eingegebenen Autorisierungscodes dürfen von den verwendeten Systemelementen nicht über den Signaturvorgang hinaus im Speicher verbleiben. Eingabeerleichterungen bei wiederholter Eingabe von Autorisierungscodes müssen ausgeschlossen sein. Das unbefugte Erfahren der Autorisierungscodes muss durch dessen Gestaltung und durch Sperrmechanismen wirksam ausgeschlossen sein.


    Weiters ist zu beachten, dass das qualifizierte Zertifikat auf dem ECDSA und nicht - wie das Geheimhaltungszertifikat - auf dem RSA Algorithmus basiert. D.h. die Software muss Kryptographie basierend auf elliptischen Kurven (ECC) unterstützen.