SIGN LIVE! CC und der Algorithmenkatalog

 

Was bedeutet „Sign Live! CC implementiert den jeweils gültigen Algorithmenkatalog“?

Ein Algorithmenkatalog definiert, welche kryptografischen Algorithmen aktuell und für einen Zeitraum in der Zukunft als sicher betrachtet werden. Damit legt er maßgeblich das Sicherheitsniveau einer PKI fest.
SigG/SigV definieren für qualifizierte elektronische Signaturen eine PKI und fordern dazu einen Algorithmenkatalog, der ständig aktualisiert wird.

Die für das SigG zuständige Behörde, die Bundesnetzagentur, veröffentlicht den SigG-Algorithmenkatalog jedes Jahr über das Bundesamtsblatt bzw. auf der eigenen Homepage. Das BSI erstellt diesen Katalog und legt dabei jeweils eine Vorausschau von 7 Jahren zu Grunde. D. h. die betrachteten Algorithmen sind heute und mit aller Wahrscheinlichkeit mindestens die nächsten 7 Jahre noch als sicher zu betrachten. Sehr oft werden diese Zeiträume jahresweise verlängert. Wenn zu erwarten ist, dass ein Algorithmus unsicher wird, haben die Nutzer außer in Ausnahmefällen also eine Vorwarnzeit von 7 Jahren. Dass bekannt gewordene Angriffe das Sicherheitsniveau von Kryptoalgorithmen so plötzlich gefährden, dass ein Gültigkeitszeitraum verkürzt werden musste, ist seit der Existenz des SigG-Algorithmen-Katatalogs nicht vorgekommen.

Sign Live! CC implementiert die Vorgaben des jeweils zum Veröffentlichungszeitpunkt der Software gültigen SigG-Algorithmenkatalogs. Welcher dies ist, entnehmen Sie der zugehörigen Herstellererklärung. Z. B. wurden in SLCC 6.x RSA-Signaturen noch mit dem Padding-Algorithmus PKCS#1-v1.5 erstellt. Erst ab Version 7.x wird der sicherere PSS-Padding-Algorithmus verwendet. Diese Umstellung wurde so spät wie möglich durchgeführt, weil aktuelle Adobe Programme Signaturen mit PSS-Padding nicht prüfen können (s. auch FAQ „Adobe“).

Insbesondere bei der Validierung werden die Ablauffristen von Algorithmen berücksichtigt! Validierungen können zu einem falschen Ergebnis führen, wenn die eingesetzte Software nicht aktuell ist. Genau hier setzt die Verantwortung von Hersteller und Betreiber ein, stets aktuelle Software zur Verfügung zu stellen und einzusetzen.

Ausnahme in Sign Live! CC 7.0

Mit SLCC 7.0 weichen wir von der o.g. Regel leicht ab und erweitern in Vorausschau auf den noch nicht veröffentlichten, jedoch bereits abgestimmten  Algorithmenkatalog 2017 den Ablauftermin von PKCS#1-1.5 Padding auf den 31.12.2017 und die durch den Betrachtungszeitraum von 7 Jahren bedingten Ablauftermine auf den 31.12.2023 (s. auch BSI-Seite https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/ElektronischeSignatur/TechnischeRealisierung/Kryptoalgorithmen/kryptoalgorithmen_node.html )

Was passiert mit dem Algorithmenkatalog, wenn die eIDAS-VO umgesetzt wird?

Um die eIDAS-Verordnung in Deutschland umzusetzen, werden SigG/SigV Ende 2017 durch das Vertrauensdienstegesetz und die zugehörige Verordnung abgelöst. Ein Algorithmenkatalog ist z. Zt. noch nicht in der eIDAS-VO verankert. Es ist noch offen, ob bis dahin die EU-Verwaltung die notwendigen Regeln auf EU-Ebene beschließen wird oder Deutschland weiterhin am deutschen Katalog festhält, solange kein EU-Katalog existiert. Wir werden Sie zu diesem Thema weiter informieren.

 

Stand: Dezember 2016