Signing Service

Nein. Sie haben damit ein neues Authentifizierungsmittel, welches initial nicht mit der Identifikation erfasst wurde. D.h. Sie müssen sich neu identifizieren lassen unter Nutzung der MobileID.

Für die qualifizierte Signatur ist eine 2-Faktor Authentisierung vorgeschrieben: “Besitz” und “Wissen”, d.h. nur der Besitz (SMS) reicht nicht.

Nein, für fortgeschrittene Signatur reicht OTP.

Im Passwort/Einmalcodeverfahren bilden das Passwort und der Einmalcode die zwei Faktoren, die notwendig sind für die Ausstellung einer qualifizierten Signatur. Sobald ein Faktor nicht mehr vorhanden ist, ist die zwei-Faktoren Authentisierung nicht mehr gegeben und damit muss das neue Authentisierungsverfahren an eine neue Registrierung gebunden werden.

Mit einem Faktor (Einmalcode) ist aber eine fortgeschrittene Signatur weiterhin möglich.

In den Anfängen der Signatur gab es lokale Registrierungsstellen, die dann das neue Passwort wieder an die Registrierung knüpfen konnten – diese Projekte laufen nun aus und das Verfahren des Passwort Rücksetzens wird in Q1/2022 auch entsprechend entfernt.

Bereits im Popup Bildschirm nach Betätigen der Taste zum Passwort Rücksetzen wird angezeigt, dass eine neue Registrierung mit dem Rücksetzen des Passwortes verbunden ist, d.h. sobald Sie das Passwort zurücksetzen, müssen Sie bestätigen, dass Sie sich neu registrieren lassen.

Da beide Methoden sowohl neben dem Besitz der Rufnummer auch die Eingabe ein Geheimnis verlangen, kann nach Übernahme der Rufnummer keine Signatur für die vorgängig bestehende digitale Identität ausgelöst werden. D.h. die Person muss neu identifiziert werden.

Da eine Festnetznummer praktisch nicht einer Person zugeordnet werden kann, ist das nicht möglich. Mit der SMS soll ja sichergestellt werden, etwas zu erreichen, was alleinig und ohne Ausnahme der signierenden Person zugeordnet ist.

Moderne Geräte verfügen über WIFIcalling. Mit diesen kann auch in einer WIFI Zone signiert werden. Ohne Internet ist hingegen keine Fernsignatur möglich.

Im Falle einer MobileID können Sie mit einem Wiederherstellungscode die MobileID auf die neue SIM übertragen (https://www.mobileid.ch/de/login). Im Falle von PWD/OTP und gleicher Rufnummer bleibt ebenfalls Ihre Möglichkeit zur Authentifikation bestehen.

Im Standardfall erhält der Kunde nach der Identifikation zunächst die Nutzungsbestimmungen zum Signaturservice der Swisscom. Diese bestätigt er und löst damit eine erstmalige Signatur dieser Bedingungen aus, in dessen Kontext er auch erstmalig das Passwort festlegen kann. Sogenannte “step-up” Authentisierung.

Standardmässig werden von Seiten Swisscom im Moment nur diese Methoden angeboten. Das Angebot wird aber in Zukunft ausgearbeitet, so dass – sofern die Zulassung vorliegt – auch biometrische Methoden möglich sein können. Des weiteren begleitet Swisscom optional auch den Kunden, falls dieser mit einer auditierten Lösung bei der Anerkennungsstelle eine weitere Signatur zulassen möchte. Hierbei fallen weitere Kosten an.

Basis der 2-Faktor Authentisierung ist die Tatsache, dass beide Faktoren im Zusammenhang mit der Authentisierung erfasst werden müssen, d.h. es darf dann kein Passwort gewählt werden, welches nur die Teilnehmerapplikation kennt, der Teilnehmer selber wurde aber mit RA-App identifiziert. D.h. so ein Ausnahmetatbestand könnte man sich höchstens vorstellen, wenn der Teilnehmer selber eine freigegebene Identifikation per RA-Delegation durchführt und darüber hinaus das Authentisierungsverfahren so gestaltet, dass in einer kurzen Session beide Faktoren (Login, SMS-Freigabe) durchgeführt werden. Sowohl das eigene Identifikationsverfahren als auch dieser Session Ablauf ist in einem Umsetzungskonzept detailliert zu beschreiben und benötigt eine Freigabe. Es fallen hier zusätzliche Kosten an.

Sofern Sie identifiziert wurden und bisher PWD/OTP genutzt haben:

• Wenn Sie die Mobile ID App nutzen wollen, müssen Sie sich in jedem Fall neu mit dieser identifizieren
• Wenn Sie Mobile ID (Schweizer Mobilnummer) nutzen wollen, müssen Sie sich in jedem Fall neu mit dieser identifizieren

Sofern Sie identifiziert wurden und bisher die Mobile ID genutzt haben:

• Wenn Sie jetzt die Mobile ID App nutzen wollen (das wird nur möglich sein auf einer SIM Karte, die nicht Mobile ID unterstützt) und dabei den Recovery Code der Mobile ID nutzen, können Sie weiter signieren
• Sofern Sie die App aktivieren OHNE Recovery Code, müssen Sie sich neu identifizieren lassen
• Sofern Sie PWD/OTP nutzen wollen, müssen sie sich neu identifizieren lassen

Sofern Sie identifiziert wurden und bisher die Mobile ID App genutzt haben:

• Wenn Sie jetzt die Mobile ID der SIM Karte nutzen wollen (das wird nur möglich sein auf einer Schweizer SIM Karte) und dabei den Recovery Code der Mobile ID App nutzen, können Sie weiter signieren
• Sofern Sie die Mobile ID der SIM Karte aktivieren OHNE Recovery Code, müssen Sie sich neu identifizieren lassen
• Sofern Sie PWD/OTP nutzen wollen, müssen sie sich neu identifizieren lasse

D.h. Mobile ID und Mobile ID App sind aufeinander abgestimmte Authentisierungsverfahren, PWD/OTP ist ein komplett anderes Authentisierungsverfahren. Die Fernsignatur verlangt immer, dass während der Registrierung (also während der Identifikation) auch das Authentisierungsmittel aufgenommen wird. Daher wird in manchen Fällen eine neue Identifizierung notwendig sein.

Als RA-Agent sollten Sie über die Support Seite Swisscom informieren, sofern das Gerät nicht korrekt gegen Zugriff geschützt war (8-stelliges Passwort etc.) oder Sie noch eingeloggt in der RA-App waren, da hier auch datenschutzrechtliche Probleme entstehen. Für Signaturen müssen Sie die SIM Karte sperren lassen, ihre Zugangsdaten ggfs. Ändern und bis zur Ausstellung einer neuen SIM Karte die Signatur unterlassen.

Swisscom kann die Zustellqualität der SMS nur ungenügend beeinflussen: der einzige Faktor, den Swisscom beeinflussen kann, ist dass die SMS abgesetzt wurde. Ob aber die Empfangsvoraussetzungen vor Ort ausreichend sind oder der binnenländische oder ausländische Roamingpartner die Zustellung durchgeführt hat, kann nur unzureichend garantiert warden und richtet sich nach den nationalen und internationalen Zusammenarbeit der Telekommunikationsfirmen.

Eine Nutzung des Absenders “Swisscom” oder eines anderen kurzen Absenders wäre sicherlich hilfreich. Wir haben allerdings festgestellt, dass solche SMS häufig als SPAM eingestuft werden.

Ja nach 5 Jahren müssen auch für fortgeschrittene Signaturen identifizierte Personen neu identifiziert werden. Allerdings reicht es bei fortgeschrittenen Signaturen aus, wenn zum Zeitpunkt der Antragstellung der Ausweis gültig war. Läuft dieser binnen der 5 Jahre ab, ist keine Neuidentifizierung notwendig. Bei qualifizierten Signaturen ist eine Identifizierung hingegen längstens so lange gültig, wie der Ausweis gültig war oder bis maximal 5 Jahre nach dieser Identifizierung. Bei bestimmten Verfahren (z.B. Bankidentifikation) können auch kürzere Gültigkeiten regulatorisch notwendig sein.

Ja, das ist alleinige Aufgabe der Teilnehmerapplikation, die dann immer wieder den Hash mit dem Signaturwunsch zum All-in Signing Service sendet. Es können damit beliebig viele Signaturen für das digitale Dokument erzeugt werden.

Ja, aber das verlangt 2 Kommunikationskanäle und Setups, d.h. die Signatur muss zunächst authentisiert durch den Signierenden über den einen Kanal personensigniert werden (on Demand) und dann geschützt durch ein SSL Authentisierungszertifikat über einen zweiten Kanal organisationssignert (mit zuvor angelegtem statischen Zertifikat).

Ja, mit einer Freigabe können mehrere Dokumente signiert werden. Maximal ca. 250.

Mit Siegeln können XML Signaturen nach dem XADES Standard durchgeführt werden. Clientseitig muss der XADES Standard vorbereitet werden. Hierzu ist in der Implementierung der Aufruf der “plain signature” zu  beachten. Personensignaturen nach dem XML Standard sind vorerst (noch) nicht möglich.

Für Signaturen im Rechtsraum Schweiz: www.validator.ch (Achtung, der Validator entspricht nicht immer dem neuesten Stand). Für Signaturen im Rechtsraum EU: https://www.signatur.rtr.at/de/vd/Pruefung.html

Es gilt zu beachten, dass die Validatoren EU weit noch nicht harmonisiert sind. D.h. Prüfportale können eine elektronische qualifizierte Signatur als “ungültig” darstellen, obwohl diese den Anforderungen an die eIDAS Verodnung genügt. Seitens der EU wird an der Harmonisierung gearbeitet.

Nur QES Signaturen können validiert werden. FES kann nicht validiert werden.

Ja, z.B.:

https://www.seantis.ch/blog/digitale-signatur-onegov-cloud/

https://www.bcge.ch/pdf/conditions-self-en.pdf

Viele Beispiele finden sich auch auf unseren Partnerseiten: https://trustservices.swisscom.com/partner

Grundsätzlich wird bei einem Zeitstempel die Zone mitgespeichert (das Offset). Insofern werden alle lokale Programme die tatsächliche Ortszeit anzeigen.

Grundsätzlich liefert Swisscom einen signierten Hash und unterstützt damit PADES (PDF) Formate und bei Organisationszertifikaten auch XADES (XML) Formate. Worddateien werden nicht signiert, sind aber auch gesetzlich hierfür nicht vorgesehen.

Nein.

Nein, derzeit gibt es nur einen gemeinsamen Zeitstempel.

Jede Signatur wird einzeln berechnet, d.h. in diesem Beispiel werden 5 Signaturen abgerechnet.

Nein diese werden über zwei verschiedene ClaimedIDs angebunden und verrechnet.

Swisscom berechnet keine Kosten beim Versand der Mobile ID oder SMS. Allenfalls im Roaming können je nach Tarif des Roaming Partners ggfs. Kosten anfallen.

Hierbei müssen 2 Benutzeraccounts (ClaimedIdentity) eröffnet werden, jeder Account ist mit einer Abrechnungsmethode verbunden. Beide Accounts können über eine Schnittstelle, d.h. dem gleichen Endpunkt angesprochen werden. D.h. die Teilnehmerapplikation muss selber entscheiden, über welchen Account sie eine Signaturanfrage sendet. Pro Account fällt eine Servicegebühr an. Es werden am Monatsende 2 Rechnungen ausgestellt. Es fallen daher die Servicegebühren im Vertrag doppelt an.

Hier fallen keine Kosten an.