Signaturerstellung
Nach erfolgreicher Aktivierung eines ID Austria stehen dem Benutzer zahlreiche Optionen zur Verwendung seines ID Austria zur Verfügung. Eine Option ist die Verwendung des mit dem ID Austria verknüpften Zertifikats zur Erstellung einer qualifizierten Signatur (z.B. PDF-Signatur).
Das dafür nötige qualifizierte Zertifikat bzw. der mit diesem Zertifikat verknüpfte private Signaturschlüssel werden zentral und sicher durch den Vertrauensdiensteanbieter (VDA) verwaltet. Zur Erstellung einer qualifizierten Signatur authentifiziert sich der Benutzer mit den für seinen ID Austria registrierten Authentifizierungsfaktoren am VDA (bspw. User-ID/Passwort und Fingerprint in der App), woraufhin dieser die Signatur für den Benutzer erstellt.
Der Prozess zur Erstellung einer qualifizierten Signatur kann sowohl im Web Browser als auch in einer nativen App abgebildet werden. Im Gegensatz zu einer nativen Applikation bietet ein Web-Browser nur jene Funktionen welche entweder durch die Implementierung des jeweiligen Browserherstellers (z.B. JavaScript) oder durch ein Backendservice des Service Providers (z.B. PDF-AS) im Web-Browser abgebildet werden können. Native Apps haben keine Einschränkung in ihrer Funktionalität und werden durch den Ersteller der Anwendungssoftware entsprechend den benötigten Funktionen individuell angepasst.
Für die Erstellung einer qualifizierten Signatur mit einem Web Browser ergeben sich keine Änderungen, was bedeutet, dass qualifizierte Signaturen weiterhin mittels Security Layer 1.0 erstellt werden können.
Für die Erstellung qualifizierter Signaturen müssen prinzipiell unterschiedliche Varianten berücksichtigt werden. Diese Varianten unterscheiden sich darin, von welcher Client-Komponente in der Domäne des Benutzers der Signaturerstellungsprozess gestartet und wie dieser an den VDA geleitet wird. Dabei ergeben sich folgende Varianten:
- Signaturerstellung über Digitales-Amt-App mit integrierter und aktivierter VDA-Komponente.
- Signaturerstellung über Third-Party-App, die am selben Endnutzergerät wie die VDA-Komponente (d.h. am selben Gerät wie die Digitales-Amt-App) verwendet wird.
- Signaturerstellung über mobilen Web-Browser, der am selben Endnutzergerät wie die VDA-Komponente (d.h. am selben Gerät wie die Digitales-Amt-App) verwendet wird.
- Signaturerstellung über Third-Party-App oder Third-Party-Applikation, die auf einem anderen Endnutzergerät als die VDA-Komponente verwendet wird.
- Signaturerstellung über (Mobiler) Web-Browser, der auf einem anderen Endnutzergerät als die VDA-Komponente verwendet wird.
Dadurch ergeben sich auch unterschiedliche Möglichkeiten der Erstellung und Übermittlung eines Signaturerstellungs-Requests:
- Signaturerstellung über Client-Komponente: Die verwendete Client-Komponente erstellt selbstständig einen Signaturerstellungs-Request und übermittelt diesen direkt an den VDA. Am Ende des Prozesses wird die beim VDA erstellte Signatur direkt an die Client-Komponente retourniert.
- Signaturerstellung über serverseitigen Komponente des Service Provider: Die verwendete Client-Komponente dient nur der als User-Interface für einen serverseitigen Komponente. Der Signaturerstellungsprozess wird durch eine Interaktion des Benutzers mit der Clientkomponente getriggert. Der Signaturerstellungs-Requests wird jedoch in der serverseitigen SP-Komponente erstellt und von dort an den VDA übermittelt. Nach erfolgter Benutzerauthentifizierung über die Client-Komponente wird die erstellte Signatur an den serverseitigen SP retourniert
- Signaturerstellung über Digitales-Amt-App: In dieser Variante bietet die Digitales-Amt-App eine lokale Signaturerstellungs-API an. Client-Komponenten, die sich am gleichen Gerät wie die Digitales-Amt-App befinden, können Signatur-Requests an diese API schicken. Zur Erstellung der qualifizierten Signatur übermittelt die Digitales-Amt-App einen entsprechenden Signaturerstellungs-Request an den VDA. Die erstellte Signatur wird vom VDA zunächst an die Digitales-Amt-App retourniert, welche die Signatur über die lokale API dann an die aufrufende Client-Komponente weiterleitet.