Image

Common PKI - Signatur API

Der T7 e.V. hat in einer gemeinsamen Initiative mit  den  führenden Herstellern von Signaturanwendungen eine einheitliche und interoperable Signatur-Schnittstelle zur Integration in beliebige Anwendungen definiert.  Diese Common-PKI API ist das Bindeglied zwischen einer Anwendung und der Signaturkarte und ermöglicht es, Anwendungen auf einfache Art signaturfähig zu machen. Die fertiggestellte Spezifikation der Schnittstelle wird bereits von dem Anwendungsanbietern in Produkte umgesetzt, die ab Januar in bestätigter Form zur Verfügung  stehen. Damit ist es dem T7 e.V. gemeinsam mit seinen Partnern gelungen, die  Integration von qualifizierten elektronischen Signaturen  in Software deutlich  zu erleichtern und  zu vereinheitlichen. Die folgenden Firmen wirken an der Bereitstellung der Common PKI Signatur API mit: Bremen Online Service (BOS), Intarsys, Mentana, OpenLimit, Secrypt, DATEV, Deutsche Post Com (Signtrust), Deutsche Telekom (T-Systems), D-Trust, Sparkassenverlag (S-Trust), TC-Trustcenter.

Die Common PKI Signatur API basiert auf der eCardAPI Spezifikation des Bundes, ist aber weniger komplex, da sie sich auf die Anwendung der qualifizierten elektronischen Signatur (QES) beschränkt, sie ist performanter und bedient die Besonderheiten der QES. Insbesondere bereits bestehende Anwendungen (z.B. Warenwirtschaft, Dokumentenmanagement) können nun leicht und in einheitlicher Form von den Anbietern um die nützliche Funktion der QES ergänzt werden.

Die  Auslieferungstermine einer bestätigten Version der  Common PKI Signatur API sind:

  • BOS:         März 2009
  • Intarsys:   Januar 2009
  • Mentana:   März 2009
  • OpenLimit: in 2009, Datum noch nicht festgelegt
  • Secrypt:    Januar 2009 (als Bibliothek)


Seit Frühjahr 2007 wurden die  Festlegungen getroffen, die für diese einheitliche Schnittstelle erforderlich waren:

Die Common PKI Signatur API basiert auf der eCardAPI für die Kartenprojekte des Bundes. Die Umsetzung  der Anwendungen für die QES konzentriert sich auf die Teile dieser Spezifikation  , die für die Erzeugung und  Verarbeitung von elektronischen Signaturen erforderlich sind. 

Die Zahl der zu unterstützenden Formate  ist auf die aktuell am Markt gebräuchlichen Signaturformate beschränkt. Dabei handelt es sich zunächst um PDF-A und Cryptografic Message Syntax (CMS). 

Für den Einsatz der Software mit der QES ist es erforderlich, dass diese von den anerkannten Bestätigungsstellen bestätigt wird. Erklärtes Ziel war aber nicht nur die einmalige Bestätigung der Schnittstelle, sondern eine Architektur, die es erlaubt, dass Änderungen bei den Karten der ZDA nicht jedesmal zu einer erneuten langwierigen und teuren Prüfung und Bestätigung der Anwendung oder Schnittstelle führt. Dazu wurde die Idee der eCardAPI des Bundes umgesetzt, dass nur eine neue Beschreibung der Karte durch den ZDA mitgeteilt werden muss. Dazu wurden ISO-konforme Card-Info-Files (CIF) ausgearbeitet und von den ZDA bereits bereitgestellt.

Für die Besonderheiten, die diese Architektur hinsichtlich der Rahmenbedingungen des Signaturgesetzes mit sich bringt, wurden in enger Abstimmung mit der Bestätigungsstelle des Bundsamtes für Informationssicherheit in der Informationstechnik (BSI) Lösungen ausgearbeitet.

Die Einbindung in die Ausführungs-Umgebung (also z.B. den Computer des Signierers) wurde  für  lokale  Benutzerumgebungen optimiert, während die eCardAPI eher auf eine verteilte Benutzung wie z.B. in der Gesundheitstelematik zugeschnitten ist. Durch diese Fokussierung auf eine lokale Benutzung  ist es möglich, lokal laufende  Anwendungen deutlich performanter werden zu lassen (z.B. für Massensignaturen).

Während der Implementation auftretende Fragen werden einvernehmlich im Arbeitskreis gelöst und die Ergebnisse für Alle festgelegt.

Interoperabilität wird von Anfang an durch Cross-Tests der Beteiligten sichergestellt.  Es besteht die Option, dafür nach Verfügbarkeit auch das Testbett des BSI zur eCardAPI zu nutzen.

Alle Ergebnisse werden dem BSI zur Nutzung in der weit umfangreicheren und komplexeren eCARD API des Bundes übermittelt. Die hiermit definierte Signatur-API wird in die Common PKI 2.0 (www.common-pki.org) als Profil der eCardAPI und der dort referenzierten Standards aufgenommen. Damit ist eine nachhaltige Pflege des Profils und Verwaltung der Ergebnisse sichergestellt.

Image

Für Anwendungsanbieter

Der T7 e.V. hat in einer gemeinsamen Initiative mit den führenden Herstellern von Signaturanwendungen eine einheitliche und interoperable Signatur-S[...] ...mehr
Wir bieten den Anbietern von Anwendungssoftware ab dem 01. Oktober 2006 für die Qualifizierte Elektronische Signatur technische Informationen zu den S[...] ...mehr
Image
Image