Author: Ingolf Rauh

Neue CA4 in Oktober

Die neue Stammzertifizierungsinstanz CA4 Die neuen Vorschriften und Regularien verpflichten die Zertifizierungsdiensteanbieter und Vertrauensdiensteanbieter dazu bessere Algorithmen zu verwenden, um die Vertrauenswürdigkeit der Signaturen auch in der Zukunft sicherzustellen. Swisscom wird zunächst für die Schweiz (ZertES Rechtsraum) und später auch für die EU (eIDAS Rechtsraum) die Stammzertifizierungsinstanz auswechseln und damit die gesamte Zertifikatskette anpassen und die neuen Algorithmen vorsehen. Das betrifft zum einen den sogenannten „Padding Algorithmus“ der von derzeit SASSA-PKCS1-v1_5 auf RSASSA-PSS wechseln wird, zum anderen die Schlüssellänge, die von 2048 auf 3072 erhöht wird. Was sind die Auswirkungen?
  • Die Grösse der Signatur im unterzeichneten Dokument ändert sich, d.h. die Signatur beansprucht mehr Platz. Da Signaturapplikationen vorher Abschätzungen nach bestem Wissen machen, wieviel Platz eine Signatur benötigt, kann es sein, dass diese Abschätzung nicht mehr stimmt und daher eine Signatur nicht mehr möglich ist.
  • Sofern Sie Standardanwendungen verwenden, die vertrauenswürdige Signaturen anzeigen, wie z.B. Adobe Reader, wird dieser auch in Zukunft die Signaturen als vertrauenswürdig einstufen. Sofern Sie aber spezielle Applikationen haben, die für die Vertrauenswürdigkeit zunächst das Wurzelzertifikat der Zertifikatskette benötigen, müssen Sie dieses neu installieren.
Wann treten die Änderungen in Kraft? Wir planen mit einer Umstellung in Q1/Q2 2021. Wir werden an die Kunden zusätzlich zu dem bereits bestehenden Anschluss („ClaimedID“) eine neue ClaimedID herausgeben, die auf die neue Zertifikatskette basiert. Nach 2-3 Monaten werden wir dann die alten Anschlüsse abschalten. Insofern kann in dieser Zeit kundenindividuell getestet und umgeschaltet werden. Was müssen Sie tun? Sofern Sie selber Entwickler der verwendeten Signaturapplikation sind, sollten Sie die Hinweise auf der Entwicklungsinformationsseite https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 beachten. Ansonsten sollten Sie hierüber den Partner informieren, der Ihnen die Signaturapplikation zur Verfügung gestellt hat. Wir werden parallel aber auch alle Partner informieren. Genauere Informationen wird es im Februar 2021 zu den Aufschaltzeiten geben.

Share this article

printer Kopiert! copy email facebook linkedin twitter