Signatur

Erstellung einer qualifizierten Signatur

Nach erfolgter Durchführung eines Registrierungsprozesses stehen dem Bürger bzw. der Bürgerin zahlreiche Optionen zur Verwendung seines E-ID zur Verfügung. Eine Option ist die Verwendung des E-ID bzw. des damit verknüpften Zertifikats zur Erstellung einer qualifizierten Signatur (z.B. PDF-Signatur).

Das dafür nötige qualifizierte Zertifikat bzw. der mit diesem Zertifikat verknüpfte private Signaturschlüssel werden zentral und sicher durch den VDA verwaltet. Zur Erstellung einer qualifizierten Signatur authentifiziert sich der Benutzer mit den für seinen E-ID registrierten Authentifizierungsfaktoren am VDA, woraufhin dieser die Signatur für den Bürger/die Bürgerin erstellt. Zu beachten ist, dass Prozesse der Signaturerstellung für Benutzer mit einem ausländischen eIDAS-konformen E-ID nicht unterstützt werden.
Für die Erstellung einer qualifizierten Signatur mit einem Web Browser ergeben sich keine Änderungen, was bedeutet, dass qualifizierte Signaturen weiterhin mittels Security Layer 1.0 erstellt werden können.

Der Austausch von Informationen erfolgt, gemäß dem Security Layer 2.0 Protokoll, auf Basis des RFC7159 (https://tools.ietf.org/html/rfc7159) JavaScript Object Notation (JSON) Data Interchange Formats.
Der Austausch von Informationen, welche durch den E-ID Inhaber signiert werden, erfolgt auf Basis der RFC7515 (https://tools.ietf.org/html/rfc7515) JSON Web Signature (JWS) Spezifikation.

Das Security Layer 2.0 Protokoll definiert generische Transportcontainer, welche zur Übertragung von Kommandos der Kommunikationsschnittstellen verwendet werden.

Beispiel (zur besseren Lesbarkeit wurden die Anführungszeichen („) für String-Werte entfernt:

1) Service 1 -> Service 2: {v=10, reqID=1234545abcedf, payload={name=qualifiedSig, params={……..}}}
2) Service 2 -> Service 1: {v=10, respID=975814zctrb, inResponseTo=1234545abcedf, payload={name=qualifiedEIDConsent, result={……..}}}

Folgende Kommandos stehen hierbei zur Verfügung:

  1. Kommandoname: qualifiedEIDConsent
  2. Dieses Kommando weist die Gegenstelle an, einen eID Prozess zur Identifikation und Authentifizierung des Benutzers durchzuführen. Dieser Prozess besteht im Allgemeinen aus den folgenden internen Schritten:

    • QC-Bind (MDS /vSZ / Publik-Key/ MDS ) des Benutzer auslesen. Das Minimal Dataset (MDS) des Benutzers, ist ein Daten-Set, welches bei der Registrierung durch das Identitätsdokumentenregister übermittelt wurde und nach Rechtslage vom 27.01.2020 dem E-ID System vom VDA bereitgestellt wird.
    • Visualisierung des Consent zur Signaturdatenanzeige generieren
    • CAdES Signatur des Consent durch Benutzer
    • Returnierung MDS, vSZ und des signierten Consent

    Bei diesem Kommando handelt sich es sich um eine privilegierte Funktion und MUSS somit durch den aufrufenden Service Provider signiert werden.
    Unsignierte oder ungültig signierte qualifiedEIDConsent Kommandos oder Kommandos von nicht vertrauenswürdigen Quellen MÜSSEN vom VDA verworfen werden.
    Wenn das Kommando ein Verschlüsselungszertifikat oder einen öffentlichen Schlüssel (Element x5cEnc oder jwkEnc) beinhaltet, muss das Ergebnis des Kommandos als JSON Web Encryption verschlüsselt encryptedResult returniert werden.

    Das Signaturformat wird durch ein Security Layer 2.0 Kommando bestimmt, welches der Service Provider an den Identity Provider übermittelt.

  3. Kommandoname: createCAdES
  4. Dieses Kommando weißt den VDA an, ein CAdES entsprechend der im Kommando übergebenen Parameter zu erstellen.

  5. Kommandoname: createXAdES
  6. Dieses Kommando weist den VDA an, eine XADES Signature entsprechend der im Kommando übergebenen Parameter zu erstellen.

Unter diesem Link ist der detaillierte Prozessfluss für die Erstellung einer qualifizierten Signatur für PDFs beschrieben:

Detaillierter Prozessfluss für die Erstellung einer qualifizierten Signatur