Qualifizierte Signatur

Nach erfolgreicher Aktivierung eines E-ID stehen dem Benutzer zahlreiche Optionen zur Verwendung seines E-ID zur Verfügung. Eine Option ist die Verwendung des mit dem E-ID verknüpften Zertifikats zur Erstellung einer qualifizierten Signatur (z.B. PDF-Signatur).

Das dafür nötige qualifizierte Zertifikat bzw. der mit diesem Zertifikat verknüpfte private Signaturschlüssel werden zentral und sicher durch den VDA verwaltet. Zur Erstellung einer qualifizierten Signatur authentifiziert sich der Benutzer mit den für seinen E-ID registrierten Authentifizierungsfaktoren am VDA (bspw. User-ID/Passwort und Fingerprint in der App), woraufhin dieser die Signatur für den Benutzer erstellt.

Prinzipiell ist die Erstellung einer qualifizierten Signatur mit einem Web Browser oder einer nativen App möglich. Im Gegensatz zu einer nativen Applikation bietet ein Browser nur jene Funktionen, welche durch die Implementierung des jeweiligen Browserherstellers und durch das unterstützte http(s) Protokoll inkl. Zusatzfunktionalität (JavaScript, CSS, …) unterstützt wird. Native Apps haben keine Einschränkung in ihrer Funktionalität und werden durch den Ersteller der Anwendungssoftware entsprechend den benötigten Funktionen individuell angepasst.

Für die Erstellung einer qualifizierten Signatur mit einem Web Browser ergeben sich keine Änderungen, was bedeutet, dass qualifizierte Signaturen weiterhin mittels Security Layer 1.0 erstellt werden können.

Für die Erstellung qualifizierter Signaturen müssen prinzipiell unterschiedliche Varianten berücksichtigt werden. Diese Varianten unterscheiden sich darin, von welcher Client-Komponente in der Domäne des Benutzers der initiale Signaturerstellungsprozess ausgeht und wie dieser an den VDA geleitet wird. Dabei ergeben sich folgende Varianten:

  • Signaturerstellung über Digitales-Amt-App mit integrierter und aktivierter VDA-Komponente.
  • Signaturerstellung über Third-Party-App, die am selben Endnutzergerät wie die VDA-Komponente (d.h. am selben Gerät wie die Digitales-Amt-App) verwendet wird.
  • Signaturerstellung über mobilen Web-Browser, der am selben Endnutzergerät wie die VDA-Komponente (d.h. am selben Gerät wie die Digitales-Amt-App) verwendet wird.
  • Signaturerstellung über Third-Party-App oder Third-Party-Applikation, die auf einem anderen Endnutzergerät als die VDA-Komponente verwendet wird.
  • Signaturerstellung über (Mobiler) Web-Browser, der auf einem anderen Endnutzergerät als die VDA-Komponente verwendet wird.

Dadurch ergeben sich auch unterschiedliche Möglichkeiten der Erstellung und Übermittlung eines Signaturerstellungs-Requests:

  • Signaturerstellung über Client-Komponente: Die verwendete Client-Komponente erstellt selbstständig einen Signaturerstellungs-Request und übermittelt diesen direkt an den VDA. Am Ende des Prozesses wird die beim VDA erstellte Signatur direkt an die Client-Komponente retourniert.
  • Signaturerstellung über serverseitigen Service Provider: Die verwendete Client-Komponente dient nur der als User-Interface für einen serverseitigen SP. Der Signaturerstellungsprozess wird durch eine Interaktion des Benutzers mit der Clientkomponente getriggert. Der Signaturerstellungs-Requests wird jedoch in der serverseitigen SP-Komponente erstellt und von dort an den VDA übermittelt. Nach erfolgter Benutzerauthentifizierung über die Client-Komponente wird die erstellte Signatur an den serverseitigen SP retourniert
  • Signaturerstellung über Digitales-Amt-App: In dieser Variante bietet die Digitales-Amt-App eine lokale Signaturerstellungs-API an. Client-Komponenten, die sich am gleichen Gerät wie die Digitales-Amt-App befinden, können Signatur-Requests an diese API schicken. Zur Erstellung der qualifizierten Signatur übermittelt die Digitales-Amt-App einen entsprechenden Signaturerstellungs-Request an den VDA. Die erstellte Signatur wird vom VDA zunächst an die Digitales-Amt-App retourniert, welche die Signatur über die lokale API dann an die aufrufende Client-Komponente weiterleitet.