Da nach Aktivieren der e-card als Bürgerkarte zeitweise die Frage kommt, warum damit PDF-Signatur aus Acrobat, Signieren von E-Mails, o.ä. nicht geht, eine "kurze" Erklärung, nachdem Standardsoftware wie Office-Anwendungen (Word, Acrobat, ?), Mailclients (Outlook, Thunderbird, ....) zunehmend Signatur und/oder Verschlüsselung intergriert haben.
Vor der (etwas ausführlicher ausgefallenen) Erklärung, ob und wie die Bürgerkarte da verwendet werden kann, eine Zusammenfassung:
- die e-card funktioniert zur e-mail Signatur/Verschlüsselung etc. nicht. Die neue Generation (ab 2010) soll dies können (sieh eAktualierung weiter unten)
- Bei Bankomatkarte, Studentenausweis, etc. geht das über den a-sign Client
- Bei allen (e-card, Bankomatkarte, ?) mit der qualifizierten Signatur leider nicht ohne weiteres
- Es gibt aber kostenlose Tools zur Signatur von Dokumenten oder Verschlüsselung mit Bürgerkarte
Aktualisierung 6.2.2010: Die e-cards der neuen Generation ("G3" mit Braille Blindeschrift-Zeiche "SV" rechts oben) können über den a-sign client zru email-Signatur verwendet werden. Aktuell gibt es aber einen Bug - verfolgen Sie am besten den thread im A-Trust Forum dazu.
In der Kürze ist dies keine exakte Erklärung, ignoriert z.B. Speziallösungen und beschränkt sich auf die Situation mit der gängigsten Software.
Technisch haben die gängigen Bürgerkarten (e-card, Bankomatkarte, Dienstausweis, Studentenkarte, ?) zwei allgemein verwendbare Schlüsselpaare ? (1) für die qualifizierte Signatur und (2) für sonstige Anwendungen. Österreichische Anbieter haben früh auf so genannte elliptische Kurven als modernes Verschlüsselungsverfahren gesetzt. Dabei verwendet die e-card diese elliptischen Kurven für beide Schlüsselpaare, andere Karten (z.B. Bankomatkarte) haben elliptische Kurven für die qualifizierte Signatur, das ältere RSA-Verfahren am 2. Schlüsselpaar.
Die Entscheidung für elliptische Kurven war innovativ und wird nicht zuletzt dadurch bestätigt, dass in den jüngsten Empfehlungen der US NSA mit den sog. Suite B Algorithmen nur mehr elliptische Kurven vorgesehen sind, RSA gar nicht mehr. Soweit so gut. Nachteil der Vorreiterrolle ist aber, dass das ältere RSA Verfahren in Standardsoftware weiter verbreitet ist, österreichische Anbieter mit schleppender Marktdurchdringung elliptischer Kurven konfrontiert waren und sind. Mit der ?Suite B? Entscheidung in USA ist hier seit einigen Monaten Bewegung im Markt gegeben. Vista, Office 2007 o.ä. unterstützen seit kurzem bereits elliptische Kurven. Es sind die derzeit von e-card etc. verwendeten Parameter (für Interessierte: NIST P-192 / secp192r1) praktisch noch kaum zu finden, die Hersteller beschränken sich in den aktuellen Integrationen noch auf die Suite B Auswahl der USA (wieder für Interessierte: auch NIST-Kurven, ab P-256 / secp256r1. D.h. ähnliche Auswahl, aber mit der Jahre späteren Entscheidung längere Schlüssel gewählt.)
Es kann keine Prognose gegeben werden, welche Software wann welche Kurven erweitern werden. Jedenfalls sollen die kommenden Kartengenerationen (z.B. die e-card ab Anfang 2010) die Suite B Parameter unterstützen. Zum aktuellen Stand elliptischer Kurven bei gängigster Standardsoftware hat A-SIT eine Studie erstellt, welches Produkt welche Kurven unterstützt.
Die Konsequenz dieser technischen Rahmenbedingungen ist, dass A-Trust Karten (Bankomat, Studentenausweis, ?) mit den 2. Schlüsselpaar (RSA-Verfahren) über den a-sign client technisch in Outlook, Thunderbird integrierbar sind. Bei der qualifizierten Signatur dieser Karten bzw. beiden Schlüsselpaaren der e-card geht das nicht ohne weiteres.
Zur qualifizierten Signatur gibt es noch die rechtliche Anforderung an die zu signierenden Daten, dass die Spezifikationen allgemein verfügbar sein müssen, der Inhalt beim Signieren und beim Prüfen zweifelsfrei und gleich darstellbar sein müssen, und dass dynamische Elemente nicht verwendet werden dürfen. Dies ist eine Sicherheitsanforderung aus der Signaturverordnung, immerhin geht es hier ja um eine Qualität, die rechtlich der handschriftlichen Unterschrift gleichgestellt ist, z.B. einer Privaturkunde.
Die Mächtigkeit aktueller Software kann zu Darstellbarkeit und dynamischen Inhalten (z.B. javascript in PDF, Makros in Word, ?) ein Hemmnis sein. Vor allem aber sind es allgemein oft wenig bekannte technische Details, die bei Standardsoftware und qualifizierte Signatur zu Effekten führt, die dem Signator oder der EmpfängerIn oft nicht bewusst sind. Wussten Sie etwa, dass in einer signierten e-mail die Betreff-Zeile nicht mit-signiert ist? Oder wissen Sie, ob Ihr Mail-Client teilweise signierte Mails richtig bearbeitet? (teilweise signierte Mails ? z.B. nur der Anhang signiert ? lässt die Spezifikation zu. Und nein, nicht alle Mail-Clients können das bearbeiten). Oder wussten Sie, dass sich viele Mailclients bei der Prüfung, ob eine Signatur gültig ist auf den Prüfzeitpunkt beziehen? (Rechtlich relevant ist aber, wann der Signator die Signatur erstellt hat ? ein Vertrag wird ja nicht dadurch ungültig, weil das Zertifikat nach Wochen oder Monaten ausläuft ? genau das (Signatur ungültig) wird dann aber oft angezeigt.
Für die Bürgerkarte wurde deshalb auf die zu signierenden Dokumente, z.B. PDF-Dateien, abgestellt. Diese können als Anhang versandt werden, behalten auch die Signatur, wenn die Mail weitergeleitet oder nur das signierte Dokument archiviert wird. Tools dazu bzw. auch zur Verschlüsselung finden sie unter anderem im Bürgerkarten-Web oder bei den A-SIT Demos