FAQ

In dieser FAQ finden Sie die am häufigsten gestellten Fragen zu unseren Services. Wenn Sie keine passende Antwort finden, kontaktieren Sie uns bitte direkt über das Kontaktformular. Geben Sie in das Suchfeld einen Begriff ein und scrollen Sie dann langsam herunter. Alle Fragen und Antworten, die Ihr Suchwort enthalten werden dann gelb markiert hervorgehoben.

A | Fehlerbilder

Was bedeutet die Fehlermeldung: “Serial Number Mismatch. We strongly advise to go through the Pre-Signing Process in order to retrieve the actual StepUp SerialNumber“. Diese Fehlermeldung deutet darauf hin, dass bei einem PWD/OTP Prozess das Passwort zurückgesetzt und neu gewählt wurde ohne eine neue Identifikation mit entsprechendem Step-up Process gemäss Reference Guide durchzuführen. Häufig passiert dieser Fehler, wenn die SIM Karte gewechselt wird oder auf Mobile ID App gewechselt wird. Es ist sehr wichtig, dass bei einer Aktivierung einer neuen SIM Karte oder der Aktivierung der Mobile ID App (sofern man vorher Mobile ID genutzt hat) die Wiederherstellungsoption gewählt wird (mobileid.ch).

Ich habe korrekt mich mit PWD/OTP, Mobile ID oder Mobile ID App authentifiziert – dennoch funktionierte die Signatur nicht … was kann die Ursache sein?

Ursachen sind:

  • Sie haben beim PWD/OTP Verfahren ein neues Passwort gesetzt. Das darf nur in Ausnahmesituationen bei einer internen Registrierungsstelle durchgeführt werden und muss sonst immer im Rahmen einer Neuidentifikation stattfinden.
  • Sie hatten bisher mit PWD/OTP authentifiziert und haben nun mit einer Schweizer Mobilfunknummer ihre Mobile ID oder international die Mobile ID App freigeschaltet. In diesem Fall muss auch eine Neuidentifikation stattfinden, da sich das zur Identität gehörende Authentifizierungsmittel geändert hat.
  • Sie haben die SIM gewechselt, bzw. den Mobilfunkprovider. Dadurch hat sich bei einem MobileID Einsatz die MobileID Authentifizierung geändert. Hierfür ist ebenfalls eine Neuidentifikation notwendig
  • Liegt keiner dieser Ursachen vor, sollten Sie ein Ticket eröffnen.

Häufig beziehen sich die Meldungen auf die fehlende Integrität, d.h. das Dokument weist Änderungen nach Setzen der Signatur auf. Z.B. wurden Elemente aus dem Netz nachträglich noch eingesetzt. Das kann vermieden werden, indem konsequent der PDF/A Standard PADES in letzter Ausprägung zur Signatur verwendet wird. Hinweise zur korrekten Bildung eines PADES Dokumentes finden Sie hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Es gilt zu beachten, dass die Validatoren EU weit noch nicht harmonisiert sind. D.h. Prüfportale können eine elektronische qualifizierte Signatur als “ungültig” darstellen, obwohl diese den Anforderungen an die eIDAS Verodnung genügt. Seitens der EU wird an der Harmonisierung gearbeitet.

“Unterschrift ist gültig jedoch konnte die Sperrung der Identität des Unterzeichners nicht überprüft werden” lautet die Aussage von Adobe, wenn kein LTV Format verwendet wurde. Hintergrund ist, dass dann Adobe bei einem 10 Minuten Zertifikat noch versucht die Gültigkeit zu prüfen. Wurde kein Langzeitvalidierungsformat verwendet, welches die Gültigkeitsinformationen zum Zeitpunkt der Signatur abspeichert, kann auf diese nach einiger Zeit nicht mehr zugegriffen werden. Daher sind Signaturen mit Kurzzeitzertifikaten (aber auch langzeitbeweisbare Signaturen) immer im LTV Format abzuspeichern. Hinweise finden Sie unter https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Diese Nachricht wird in zwei Fällen ausgelöst:

a) wenn Sie gerade mit der Swisscom RA App identifiziert wurden und vorgängig bei Ihrem Authentisierungsmittel eine Änderung stattgefunden hat (SIM Karte/Vertrags- Wechsel, Mobile ID Reset, Passwort für die Signatur wurde geändert, Wechsel von PWD/OTP auf Mobile ID)

In diesem Fall ist alles OK und Sie können weiter wie gewohnt bis zu stufe qualifiziert signieren. Sie müssen nichts tun.

b) wenn neue Nutzungsbestimmungen zur Verfügung stehen, die akzeptiert werden müssen und seit der letzten erfolgreichen Signatur bei Ihrem Authentisierungsmittel eine Änderung stattgefunden hat (SIM Karte/Vertrags- Wechsel, Mobile ID Reset, Passwort für die Signatur wurde geändert, Wechsel von PWD/OTP auf Mobile ID)

In dem Fall müssen Sie zwingend neu identifiziert werden um Qualifiziert signieren zu können.

Der verify Call zur Überprüfung, ob eine Person dem RA-Service bekannt ist, gibt folgende Fehlermeldung zurück:

{

“statusCode”: 404,

“message”: “Cannot check jurisdiction of unknown user with msisdn XXXXXXXXX”,

“exceptionClass”: “EvidenceVerificationException”

}

Das ist ein Zeichen, dass diese Person dem RA-Service nicht bekannt ist. Es kann sein, dass sie zwar identifiziert wurde, aber die per SMS zugesandten Nutzungsbedingungen nicht akzeptiert hat. Dann wird die Person nach kurzer Zeit (ca. 2 Wochen) gelöscht.

B | Identifikation allgemein

Swisscom baut sein Netz an Swisscom Shops kontinuierlich aus, in denen Sie sich identifizieren lassen können. Wir werden auf dem Webauftritt laufend informieren. Im Ausland wird es Identifikationen nur über Partner geben, die das anbieten. Mittelfristig sucht Swisscom die Anbindung an bestehende Identitäten (z.B. Identitätsfeststellung online durch eine Bank oder eine staatliche eID).

Bei der Identifizierung wird das Authentisierungsmittel (z.B. konkret die Mobilfunknummer) abgefragt. Mit dieser wird bereits eine erste Signatur durchgeführt, typischerweise die Signatur der Nutzungsbestimmungen, die akzeptiert wurden (step-up Authentication). Diese Signatur wird zum All-in Signing Service übertragen. Damit kennt das All-in Signing System genau das Authentisierungsmittel.

Eine RA-Agentur erhält einen Speicherbereich (einen sogenannten “Tenant”), in dem nur die Personen verwaltet werden, die vom RA-Master Agenten oder anderen RA-Agenten seiner Agentur identifiziert wurden. Die identifizierten Personen in diesem Tenant kann der RA-Master Agent auch verwalten und z.B. als RA-Agent benennen.
Hat sich nun eine Person durch ein anderes Verfahren des Smart Registration Service identifiziert (z.B. Videoidentifikation in der EU), so kann der RA-Master Agent diese Person nicht zum RA-Agenten ernennen, sie ist einem anderen Tenant zugeordnet. Sie muss durch ihn neu identifiziert werden.
Die einzige Ausnahme ist der allererste RA-Master Agent: Dieser wird sowieso durch eine Person von Swisscom oder z.B. eine Videoidentifizierung identifiziert und landet damit standardmässig im “falschen” Tenant. Bei der Einrichtung der Agentur wird der benannte RA-Master Agent gesucht und dann in den korrekten neuen Tenant der RA-Agentur verschoben. Weitere Verschiebungen sind aber nicht möglich.

C | RA-App

Indirekt geschieht das. Praktisch ist der Ablauf folgender: Die RA Agentur ernennt zuerst einen RA-Master Agenten. Dieser wird von Swisscom oder einem Swisscom Partner identifiziert und durchläuft eine Schulung. Anschliessend erhält er eine Bedienoberfläche mit der er weitere alleinig von ihm identifizierte Personen zu RA-Agenten oder RA-Master Agenten machen kann. Diese müssen aber ebenfalls eine automatisiert ausgelöste e-Learning Schulung durchlaufen.

Grundsätzlich muss Swisscom die Daten bei geleisteter Signatur sehr lange (11 Jahre in der Schweiz oder 35 Jahre in der EU) behalten. Aber Personen können vom RA-Master Agenten oder von der Swisscom inaktiv gesetzt werden, so dass diese nicht mehr signieren können.

Im Durchschnitt wird eine Identifizierung binnen 2 Minuten abgeschlossen.

Halten Sie die Kamera so hoch, dass das komplette Ausweisdokument vom Ausschnitt (ggfs. noch unscharf) erfasst wird. Führen Sie die Kamera langsam an den Ausweis näher, er fängt dann wieder an zu fokussieren.

RA Agenturen sind tätig im Auftrag der Registrierungsstelle von Swisscom. Neben den Pflichten zur gewissenhaften Durchführung der Registrierungsstellentätigkeit steht auch der Datenschutz im Vordergrund. Hier gelten die Datenschutzgrundsätze aus Art. 28 DSGVO, die sich in genauer Form in den technisch-organisatorischen Massnahmen (TOM) im RA-Agentur Vertrag wiederfinden. Sie basieren insbesondere auf 2 Abschnitte des Art. 28, die den Einsatz der App auf dem Mobilgerät reflektieren:

  • Die Massnahme muss “die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen” und
  • “ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung” einschliessen.
  • Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

D.h. neben dem Einsatz von gewissenhaften und geschulten Mitarbeitern muss insbesondere der Schutz der App auf dem Mobilgerät und auch der Schutz des Zugangs gewährleistet sein. Werden die Geräte geeignet gegen Viren geschützt? Wird der Download von Programmen aus fremden App-Stores, die nicht ausreichenden Schutz bieten untersagt? Halten die Mitarbeiter ihre PINs, Passwörter geheim? Werden Geräte nicht gerootet?

Die wichtigste Aufgabe des RA-Agenten ist dann auch die gewissenhafte Prüfung der ihm vorgelegten Ausweisdokumente und insbesondere die gewissenhafte Überprüfung der per OCR ausgelesenen Feldinformationen aus dem Ausweis sowie die korrekte Erfassung der Mobilnummer.

Aus Datenschutzgründen schliessen wir derzeit keinen RA-Agenturvertrag mit Firmen ausserhalb der genannten Rechtsgebiete und lehnen auch eine Verarbeitung durch RA-Agenten von Personen mit Wohnsitz in diesen Ländern ab

D | Akzeptanz Nutzungsbestimmungen und Initiierung der Authentifizierungsmethode

Benachrichtigen Sie Ihren RA-Master Agenten und bitten ihn im Portal nach der Mobilnummer zu suchen. Sie können die SMS mit den Nutzungsbestimmungen erneut aussenden durch Betätigen des Links mit dem PDF Symbol:

Stellen Sie sicher, dass Sie die Person nicht im RA-App Demo Mode (Mobilnummer +41001234567, Firma “demo”) registriert haben.

Prüfen Sie auf der Service Status Seite (https://trustservices.swisscom.com/service-status/), ob irgendwelche Störungen vorliegen. Sollte nach nochmaligem Versuch keine SMS ankommen, informieren Sie den Support.

Sofern Sie bereit identifiziert sind (mit RA-App oder dem Smart Registration Service) haben Sie folgendes zu beachten:

  • Sofern Sie bei der Identifikation die Nutzungsbestimmungen mit PWD/OTP bestätigt haben, haben sie diese Methode als Willensbekundeung festgelegt. Sofern Sie nun die Mobile ID App als Methode aktivieren, können Sie nicht mehr signieren, bis Sie sich neu haben identifizieren lassen.
  • Sofern Sie bereits die Mobile ID auf SIM Karte nutzen und die Mobile ID App nutzen wollen, müssen Sie darauf achten, bei der Aktivierung den Wiederherstellungscode zu verwenden oder sich mit der Mobile ID SIM bei der Aktivierung zu authentisieren und nicht als “neue Mobile ID” zu aktivieren. Andernfalls wird auch diese App als neue Willensbekundungsmethode angesehen und Sie müssen sich neu identifizieren lassen.
  • Das gleiche passiert auch umgekehrt, wenn man von einer installierten Mobile ID App auf die Mobile ID SIM Karte wechseln will.

Typische Fehlermeldung in einem solchen Fall ist eine Error Meldung mit “serial mismatch”.

Grundsätzlich wird alle 3 Tage 5 mal versucht, die SMS zuzustellen. Erst wenn alle Versuche scheitern ist eine Neuidentifikation notwendig.

Sofern Sie die Nutzungsbestimmungen noch nicht akzeptiert haben, können Sie diese ablehnen. Sofern Sie diese bereits akzeptiert haben und unseren Service genutzt haben, sind wir verpflichtet, Ihre Daten gesetzlich für 35 Jahre in der EU bzw. 11 Jahre in der Schweiz aufzuheben. Sie müssen einfach den Signaturservice nicht weiter in Anspruch nehmen

E | Authentifizierung und Willensbekundung allgemein

In der Schweiz schalten wir standardmässig Mobile ID auf mit einem automatischen Rückfall auf PWD/OTP, falls die SIM Karte nicht für Mobile ID freigeschaltet ist. Im eIDAS Raum arbeiten wir standardmässig mit der Mobile ID App (https://play.google.com/store/apps/details?id=com.swisscom.mobileid, https://apps.apple.com/de/app/mobile-id/id1500393675), lassen aber auch PWD/OTP zu.

Die Mobile ID App nutzt die Mobile ID Schnittstelle eine Authentifizierungsapp an, die auch Authentifizierungen mit Fingerprint oder Face Recognition anbietet. Diese App benötigt während der Authentifizierung nur eine Internetverbindung und kann damit international eingesetzt werden. Eine internationale SIM Karte (Mobilfunknummer) ist aber weiterhin notwendig für das Setup der App. Siehe https://mobileid.ch.

Generell sind auch andere Authentifizierungsmethoden möglich, diese müssen aber von KPMG zugelassen werden. Das erfordert den Abschluss eines Onboarding Support Vertrages, der die Erstellung eines Umsetzungskonzeptes und die Durchführung des Audits regelt. Neue Methoden müssen getrennt für ZertES und eIDAS zugelassen werden.

Nein. Sie haben damit ein neues Authentifizierungsmittel, welches initial nicht mit der Identifikation erfasst wurde. D.h. Sie müssen sich neu identifizieren lassen unter Nutzung der MobileID.

Keine Garantie, aber es sollte in fast allen Fällen funktionieren – man kann sich an dieser Auskunft orientieren:

https://www.swisscom.ch/en/residential/plans-rates/inone-mobile/roaming.html

(Go to “Tarriff Check”, beliebiges Abo für die Information auswählen und Land auswählen)

Mit der MobileID App als Authentisierungsmittel ist man unabhängig von der SMS Aussendung.

Für die qualifizierte Signatur ist eine 2-Faktor Authentisierung vorgeschrieben: “Besitz” und “Wissen”, d.h. nur der Besitz (SMS) reicht nicht.

Nein, für fortgeschrittene Signatur reicht OTP.

Der Verlust des Passworts führt zu einer neuen digitalen Identität. Die Applikationsanbieter können darauf reagieren und ggf. eine neue Identifikation des Signierenden verlangen, z.B. mit der RA-App.

Da beide Methoden sowohl neben dem Besitz der Rufnummer auch die Eingabe ein Geheimnis verlangen, kann nach Übernahme der Rufnummer keine Signatur für die vorgängig bestehende digitale Identität ausgelöst werden. D.h. die Person muss neu identifiziert werden.

Da eine Festnetznummer praktisch nicht einer Person zugeordnet werden kann, ist das nicht möglich. Mit der SMS soll ja sichergestellt werden, etwas zu erreichen, was alleinig und ohne Ausnahme der signierenden Person zugeordnet ist.

Moderne Geräte verfügen über WIFIcalling. Mit diesen kann auch in einer WIFI Zone signiert werden. Ohne Internet ist hingegen keine Fernsignatur möglich.

Im Falle einer MobileID können Sie mit einem Wiederherstellungscode die MobileID auf die neue SIM übertragen (https://www.mobileid.ch/de/login). Im Falle von PWD/OTP und gleicher Rufnummer bleibt ebenfalls Ihre Möglichkeit zur Authentifikation bestehen.

Mobile ID wird immer in Kombination mit einer Rückfalllösung PWD/OTP konfiguriert, d.h. es wird automatisch ein Passwortfenster gesendet. Eine MobileID kann unter https://mobileid.ch aktiviert werden.

Im Standardfall erhält der Kunde nach der Identifikation zunächst die Nutzungsbestimmungen zum Signaturservice der Swisscom. Diese bestätigt er und löst damit eine erstmalige Signatur dieser Bedingungen aus, in dessen Kontext er auch erstmalig das Passwort festlegen kann. Sogenannte “step-up” Authentisierung.

Standardmässig werden von Seiten Swisscom im Moment nur diese Methoden angeboten. Das Angebot wird aber in Zukunft ausgearbeitet, so dass – sofern die Zulassung vorliegt – auch biometrische Methoden möglich sein können. Des weiteren begleitet Swisscom optional auch den Kunden, falls dieser mit einer auditierten Lösung bei der Anerkennungsstelle eine weitere Signatur zulassen möchte. Hierbei fallen weitere Kosten an.

Basis der 2-Faktor Authentisierung ist die Tatsache, dass beide Faktoren im Zusammenhang mit der Authentisierung erfasst werden müssen, d.h. es darf dann kein Passwort gewählt werden, welches nur die Teilnehmerapplikation kennt, der Teilnehmer selber wurde aber mit RA-App identifiziert. D.h. so ein Ausnahmetatbestand könnte man sich höchstens vorstellen, wenn der Teilnehmer selber eine freigegebene Identifikation per RA-Delegation durchführt und darüber hinaus das Authentisierungsverfahren so gestaltet, dass in einer kurzen Session beide Faktoren (Login, SMS-Freigabe) durchgeführt werden. Sowohl das eigene Identifikationsverfahren als auch dieser Session Ablauf ist in einem Umsetzungskonzept detailliert zu beschreiben und benötigt eine Freigabe. Es fallen hier zusätzliche Kosten an.

Sofern Sie identifiziert wurden und bisher PWD/OTP genutzt haben:

  • Wenn Sie die Mobile ID App nutzen wollen, müssen Sie sich in jedem Fall neu mit dieser identifizieren
  • Wenn Sie Mobile ID (Schweizer Mobilnummer) nutzen wollen, müssen Sie sich in jedem Fall neu mit dieser identifizieren

Sofern Sie identifiziert wurden und bisher die Mobile ID genutzt haben:

  • Wenn Sie jetzt die Mobile ID App nutzen wollen (das wird nur möglich sein auf einer SIM Karte, die nicht Mobile ID unterstützt) und dabei den Recovery Code der Mobile ID nutzen, können Sie weiter signieren
  • Sofern Sie die App aktivieren OHNE Recovery Code, müssen Sie sich neu identifizieren lassen
  • Sofern Sie PWD/OTP nutzen wollen, müssen sie sich neu identifizieren lassen

Sofern Sie identifiziert wurden und bisher die Mobile ID App genutzt haben:

  • Wenn Sie jetzt die Mobile ID der SIM Karte nutzen wollen (das wird nur möglich sein auf einer Schweizer SIM Karte) und dabei den Recovery Code der Mobile ID App nutzen, können Sie weiter signieren
  • Sofern Sie die Mobile ID der SIM Karte aktivieren OHNE Recovery Code, müssen Sie sich neu identifizieren lassen
  • Sofern Sie PWD/OTP nutzen wollen, müssen sie sich neu identifizieren lasse

D.h. Mobile ID und Mobile ID App sind aufeinander abgestimmte Authentisierungsverfahren, PWD/OTP ist ein komplett anderes Authentisierungsverfahren. Die Fernsignatur verlangt immer, dass während der Registrierung (also während der Identifikation) auch das Authentisierungsmittel aufgenommen wird. Daher wird in manchen Fällen eine neue Identifizierung notwendig sein.

Als RA-Agent sollten Sie über die Support Seite Swisscom informieren, sofern das Gerät nicht korrekt gegen Zugriff geschützt war (8-stelliges Passwort etc.) oder Sie noch eingeloggt in der RA-App waren, da hier auch datenschutzrechtliche Probleme entstehen. Für Signaturen müssen Sie die SIM Karte sperren lassen, ihre Zugangsdaten ggfs. Ändern und bis zur Ausstellung einer neuen SIM Karte die Signatur unterlassen.

Swisscom kann die Zustellqualität der SMS nur ungenügend beeinflussen: der einzige Faktor, den Swisscom beeinflussen kann, ist dass die SMS abgesetzt wurde. Ob aber die Empfangsvoraussetzungen vor Ort ausreichend sind oder der binnenländische oder ausländische Roamingpartner die Zustellung durchgeführt hat, kann nur unzureichend garantiert warden und richtet sich nach den nationalen und internationalen Zusammenarbeit der Telekommunikationsfirmen.

Eine Nutzung des Absenders “Swisscom” oder eines anderen kurzen Absenders wäre sicherlich hilfreich. Wir haben allerdings festgestellt, dass solche SMS häufig als SPAM eingestuft werden.

F | Gültigkeit von Zertifikaten

Ja nach 5 Jahren müssen auch für fortgeschrittene Signaturen identifizierte Personen neu identifiziert werden. Allerdings reicht es bei fortgeschrittenen Signaturen aus, wenn zum Zeitpunkt der Antragstellung der Ausweis gültig war. Läuft dieser binnen der 5 Jahre ab, ist keine Neuidentifizierung notwendig. Bei qualifizierten Signaturen ist eine Identifizierung hingegen längstens so lange gültig, wie der Ausweis gültig war oder bis maximal 5 Jahre nach dieser Identifizierung. Bei bestimmten Verfahren (z.B. Bankidentifikation) können auch kürzere Gültigkeiten regulatorisch notwendig sein.

G | Einsatzmöglichkeiten

Ja, das ist alleinige Aufgabe der Teilnehmerapplikation, die dann immer wieder den Hash mit dem Signaturwunsch zum All-in Signing Service sendet. Es können damit beliebig viele Signaturen für das digitale Dokument erzeugt werden.

Ja, aber das verlangt 2 Kommunikationskanäle und Setups, d.h. die Signatur muss zunächst authentisiert durch den Signierenden über den einen Kanal personensigniert werden (on Demand) und dann geschützt durch ein SSL Authentisierungszertifikat über einen zweiten Kanal organisationssignert (mit zuvor angelegtem statischen Zertifikat).

Ja, mit einer Freigabe können mehrere Dokumente signiert werden. Maximal ca. 250.

Mit Siegeln können XML Signaturen nach dem XADES Standard durchgeführt werden. Clientseitig muss der XADES Standard vorbereitet werden. Hierzu ist in der Implementierung der Aufruf der “plain signature” zu  beachten. Personensignaturen nach dem XML Standard sind vorerst (noch) nicht möglich.

Für Signaturen im Rechtsraum Schweiz: www.validator.ch (Achtung, der Validator entspricht nicht immer dem neuesten Stand). Für Signaturen im Rechtsraum EU: https://www.signatur.rtr.at/de/vd/Pruefung.html

Es gilt zu beachten, dass die Validatoren EU weit noch nicht harmonisiert sind. D.h. Prüfportale können eine elektronische qualifizierte Signatur als “ungültig” darstellen, obwohl diese den Anforderungen an die eIDAS Verodnung genügt. Seitens der EU wird an der Harmonisierung gearbeitet.

Nur QES Signaturen können validiert werden. FES kann nicht validiert werden.

Grundsätzlich wird bei einem Zeitstempel die Zone mitgespeichert (das Offset). Insofern werden alle lokale Programme die tatsächliche Ortszeit anzeigen.

Grundsätzlich liefert Swisscom einen signierten Hash und unterstützt damit PADES (PDF) Formate und bei Organisationszertifikaten auch XADES (XML) Formate. Worddateien werden nicht signiert, sind aber auch gesetzlich hierfür nicht vorgesehen.

Nein.

Nein, derzeit gibt es nur einen gemeinsamen Zeitstempel.

H | Schnittstellenintegration und Setup

Ja, auf dem Markt sind verschiedene Libraries vorhanden, die eine schnelle Implementierung einer Teilnehmerapplikation ermöglichen. Alle haben speziell auch für den Swisscom Service einen besonderen Support:

Intarsys ist Premium-Partner der Swisscom und kennt technisch den AIS Service sehr gut und kann hier im Consulting unterstützen.

Grundsätzlich lehnt Swisscom jegliche Verantwortung für das Funktionieren dieser Libraries ab. Diese können Fehler enthalten und bedürfen besonderes Wissen und Fachkenntnisse. Die Verwendung geschieht auf eigene Verantwortung durch den Teilnehmer.

Nein. Swisscom hat sogar die Auflage, bei der Einbindung des PWD/OTP Screens als “iFrame” eine Möglichkeit zu geben, dass eine externe Person prüfen kann, dass diese von Swisscom stammt. Hier können z.B. die Standard Browser Funktionen genutzt werden, die Swisscom unter seinem Webseitenlink gemäss Kapitel 4 der Nutzungsbestimmungen publiziert. Weitere Informationen auch hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide 

Ja. Allerdings nur als iFrame, siehe Anleitung unter https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Ja. Im Rahmen des Protokolls kann, wie im Reference Guide (www.swisscom.com/signing-service ) unter “Step-Up Methode” beschrieben, im “Message” Feld der Textblock mit der Überschrift zur Nachricht für die Willensbekundung und mit “Language” die Spracheinstellung konfiguriert werden. Für das SMS Eingabefenster kann ebenfalls die Sprache mit dem “Language” Parameter eingestellt werden.

Grundsätzlich dient der verifyCall dazu, zu prüfen, ob ein Signierender bereits registriert ist. Wählt man im verify call das Pseudonym, so reicht die Angabe von Land und Mobilnummer.

https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

Screen Scrapping wird als Interface nicht unterstützt. Entwickler müssen damit rechnen, dass die Screens verändert werden. Zudem widerspricht es dem “Sole Control” Gedanken des direkten Zugriffs des Signierenden auf das Unterschriftenzertifikat. Weitere Informationen zur Einbettung eines iFrames auch hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Im Prinzip ja. Sofern im Signaturzertifikat genau der Name erscheinen soll, wie im Ausweisdokument, muss auch die Anfrage den genauen Namen mit allen Zunamen wie im amtlichen Dokument enthalten. Wenn das zu aufwändig ist, kann das “Template” Feature genutzt werden (https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes). Es ermöglicht die exakte Übernahme des Namens, Vornamens etc. so wie dieser im RA-Service (SRS) abgespeichert wurde.

Swisscom kann den Dienst aber auch so konfigurieren, dass anstelle des Namens im Zertifikat die Mobilnummer als Pseudonym genommen wird. Es steht dann weiterhin dem Anwender frei im “Common Name” (CN) den gewöhnlichen Vor- und Zunamen (unabhängig vom Ausweisdokument) zu nutzen. Der RA-Service VerifyCall verifiziert in diesem Falle nur die Mobilnummer, die während der Identifikation angegeben wurde und das Heimatland gemäss Ausweisdokument. Die Nutzung des Pseudonyms im VerifyCall ist unabhängig davon, ob das Pseudonym auch im Signing Request genutzt wurde.

Das Zugangszertifikat kann ein selbst signiertes Zertifikat sein. Beispielweise mit openssl Software.

Anforderungen an den Distinguished Name:

  • CN=<URL des Teilnehmersystems, welches die Kommunikation mit AIS durchführt oder andere eindeutige Identifikation des Teilnehmersystems>
  • O=<Name der Organisation>
  • Email=<E-Mail Adresse für Informationen am Ende des Gültigkeitszeitraumes>
  • C=<Land der Organisation>

 

Folgende weitere Anforderungen sind bei der Erstellung des Zertifikates zu berücksichtigen:

  • Maximale Laufzeit 3 Jahre
  • Hashalgorithmus minimum SHA-256
  • Key length minimum 2048 bit

 

Für Zugangszertifikate im Rahmen der geregelten (ZertES) oder qualifizierten (eIDAS) Siegelerstellung gelten noch besondere Bedingungen: Der private Schlüssel des Zugangszertifikates muss in einer gemeinsamen Zeremonie eines Registrierungsstellenvertreters von Swisscom auf einem kryptographischen Modul erstellt werden. Dieses Modul muss den Anforderungen an FIPS 140-2 level 2 entsprechen oder ähnlichen Sicherheitsstufen, z.B. Yubikey, Feitan Key oder Microsoft Key Vault. Alternativ kann auch ein Konzept eingereicht werden, wie die Zuordnung des Zugangszertifikates zum Verantwortlichen der Organisation anderweitig erzielt werden kann.

Die Einbettung von signierten Hashes sollte man PDF Spezialisten oder entsprechenden Libraries überlassen. Der Platz für die Signatur muss vorausberechnet werden (siehe hierzu https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4).

Eine folgende Lösung kann eine Lösung bieten. Diese stellen wir hier ohne Garantie vor, da Swisscom sich nur auf den Service und nicht auf die Signaturapplikation fokussiert:

  • Erzeuge ein PDF mit leerem und vorausgefülltem Signaturfeld
  • Der Byterange sollte mit Nullen bis zur erwarteten Grösse gefüllt werden
  • Bilde den Hash des Dokumentes
  • Signiere den Hash mit dem All-in Signing Service
  • Fülle den signierten Hash in das leere Signaturfeld
  • Iteriere bis zum leeren Signaturfeld
  • Ermittele den Byte range des leeren Signaturfeldes
  • Berechne den Offset des byte range
  • Öffne das Dokument mit dem leeren Signaturfeld im read-write mode und suche den Offset, wo der Hash eingefügt wurde

Wichtig ist auch die Einhaltung des PADES Standards und der LTV Vorgaben. Siehe hierzu https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Es gibt einen Test- und Demomode, mit dem man die App ausprobieren kann, bei der aber keine Daten übermittelt werden. Hierzu muss in der Anmeldung die Mobilfunknummer +41001234567 eingegeben werden und als Firmenbezeichnung “demo”.

In den zurückgegebenen Paramtern des Verify Call wird der sogenannte “Serial” mit zurückgegeben. Sollte dieser mit “SAS” beginnen (also SASxxxxxxx), so nutzt der Kunde das PWD/OTP Verfahren. Sollte dieser mit “MID” beginnen (also MIDxxxxxx), so nutzt der Kunde das Mobile ID Verfahren. Dabei kann aber nicht zwischen Mobile ID App und Mobile ID SIM Card unterschieden werden.

Dennoch können die Ergebnisse verwendet werden, um z.B. besondere Hilfetexte (z.B. bei vergessenem Passwort etc.) dem Kunden mitzugeben, oder bestimmt auf die Bestätigung auf dem Handy zu verweisen.

Voraussetzung für die Inbetriebnahme ist eine vom Kunden unterzeichnete und von der globalen Registrierungsstelle geprüften “Konfigurations- und Annahmeerklärung”. In dieser werden die Pflichten des Betreibers einer Signaturapplikation festgehalten (z.B. die Möglichkeit der vollständigen Anzeige des zu unterzeichnenden Dokuments, Absicherung des Zugangs zum Service), aber auch die Ausprägung des Service.

Weitere Voraussetzung ist ein Zugangszertifikat, welches die Kommunikation der Signaturapplikation zum Signaturservice absichert.

Nach der Prüfung des Dokumentes erhält unser Setup Service den Auftrag zur Aufschaltung des Service mit dem zugesendeten Zugangszertifikat und der gewählten Ausprägung in der Konfigurations- und Annahmeerklärung. Bei qualifizierter Signatur wird der Service zunächst immer nur auf dem Niveau “fortgeschritten” freigeschaltet. Anschliessend wird der in der Konfigurations- und Annahmeerklärung genannte Ansprechpartner um eine Beispielsignatur mit der fortgeschrittenen Signatur gebeten. Ist diese einwandfrei, wird der Service umgeschaltet auf das Niveau “qualifiziert”, sofern dieses verlangt wurde. Hierüber wird der Kunde ebenfalls benachrichtigt. Er hat nun 10 Tage Zeit etwaige Unregelmässigkeiten direkt an das Setup Team zurückzumelden. Sollten diese in dieser Zeit nicht aufgetreten sein, ist der Anschluss an der Service abgenommen. Weitere Incidents können dann über den 1st Level Support an Swisscom gemeldet werden im Falle eines Direktvertrages mit Swisscom, andernfalls an den Reselling Partner.

Im Falle eines Siegels benötigt es neben der Konfigurations-  und Annahmeerklärung durch den Betreiber der Signaturplattform noch einen Zertifikatsantrag für das Siegelzertifikat, ein Organisationszertifikat. Im Gegensatz zum Zertifikat für die Personensignatur wird das Siegelzertifikat für drei Jahre ausgestellt. Der Zertifikatsantrag muss unterzeichnet werden von berechtigten Personen der Organisation. Die Berechtigung kann sich aus dem Register ergeben (z.B. Prokura) oder auch eine eingeschränkte Handlungsvollmacht sein, die Prokurist z.B. für die Operatoren im Rechenzentrum ausgestellt hat. Hierbei müsste Swisscom dann einen Nachweis dieser Vollmacht erhalten. Diese Personen werden vorab auch noch durch einen Vertreter der Registrierungsstelle von Swisscom persönlich mit RA-App identifiziert. Das kann z.B. auch ein RA-Agent sein, der die persönliche Identifikation vorgenommen hat. Dadurch kann die Person den Antrag mittels elektronischer Unterschrift unterzeichnen. Der Antrag wird hierzu unsigniert an Swisscom zugesendet und Swisscom lädt die Personen zur elektronischen Signatur ein. Jetzt unterscheiden sich die weiteren Schritte je nach Art des Siegels:

Fortgeschrittene Signatur: Der Antragsteller sendet Swisscom ein SSL Zertifikat zu, welches er als Zugangszertifikat für die Schnittstelle zum Siegel verwenden will.

Qualifizierte/Geregelte Signatur: Der Antragsteller vereinbart mit Swisscom einen Termin für eine gemeinsame Erstellung eines privaten Schlüssels. Dieser muss auf einem kryptographischen Device der Qualifizierung FIPS 140-2 level 2 oder ähnlich erstellt werden (z.B. Yubikey, Feitan key, Key Vault HSM Microsoft, etc.) Basierend auf diesen Schlüssel wird dann ein Zugangszertifikat erstellt. D.h. für den Signaturvorgang muss der Zugang mittels diesem Zertifikat freigegeben werden. Alternativ kann auch ein Konzept eingereicht werden, wie die Zuordnung des Zugangszertifikates zum Verantwortlichen der Organisation anderweitig erzielt werden kann.

Nein, nur PADES/CADES im Bereich von Siegeln und PADES für persönliche Signaturen.

Sie dient Swisscom als Unterstützung für die Namensfindung der ClaimedID, also des Zugangs zum Signing Service.

Sind optional immer möglich (einfach hierfür das Feld ankreuzen)

I | Leistung

Im Moment sind wir dabei die Kapazitäten durch andere Algorithmen (Vorerzeugung von Schlüsseln) und HW Ausbau stark auszubauen. Da mehrere Kunden den Service nutzen gehen wir pro Kunde durchschnittlich von einer Maximallast von einer Anfrage pro Sekunde aus. Höhere Performance, d.h. besonders reservierte Kapazitäten sind optional möglich.

Ca. 250. Die Beschränkung ergibt sich weniger aus dem Service als aus den Security Systemen.

Bitte beachten Sie, dass wir eine WAF im Einsatz haben, um unseren Service vor Denial-of-Service Attacken zu schützen. Bitte kontaktieren Sie uns vor einem solchen Test.

Für die Signatur muss eine Willensbekundung (Authorisierung) mit Mobile ID (SIM/App) oder PWD/OTP abgegeben werden. Nach Anfrage hat der Nutzer in der Regel 80 Sekunden Zeit die Authorisierung einzugeben. Der Wert ist nicht einstellbar.

J | Abrechnung

Jede Signatur wird einzeln berechnet, d.h. in diesem Beispiel werden 5 Signaturen abgerechnet.

Nein diese werden über zwei verschiedene ClaimedIDs angebunden und verrechnet.

Swisscom berechnet keine Kosten beim Versand der Mobile ID oder SMS. Allenfalls im Roaming können je nach Tarif des Roaming Partners ggfs. Kosten anfallen.

Hierbei müssen 2 Benutzeraccounts (ClaimedIdentity) eröffnet werden, jeder Account ist mit einer Abrechnungsmethode verbunden. Beide Accounts können über eine Schnittstelle, d.h. dem gleichen Endpunkt angesprochen werden. D.h. die Teilnehmerapplikation muss selber entscheiden, über welchen Account sie eine Signaturanfrage sendet. Pro Account fällt eine Servicegebühr an. Es werden am Monatsende 2 Rechnungen ausgestellt. Es fallen daher die Servicegebühren im Vertrag doppelt an.

Hier fallen keine Kosten an.

K | Datenschutz

Ja, es wird unterschieden, ob die Signierenden zu den Nutzungsbedingungen der Schweiz oder der EU oder beiden zugestimmt haben. Alle Daten werden von der Swisscom (Schweiz) AG auch für die Swisscom IT Services Finance S.E. in Wien verarbeitet.

Der Distinguished Name enthält entweder den Vornamen, Nachnamen und das Geburts-/Registrierungs- oder Heimatland der Person oder ein Pseudonym mit einer Seriennummer, die sich durch die Registrierungsstelle eindeutig auf eine Person zurückführen lässt. Organisationsnamen werden nur in Sonderfällen zugelassen.

Die Schweiz ist nicht in der EU und hat somit national nicht die Gesetzgebung der EU, die sogenannte Datenschutz-Grundverordnung (DSGVO) eingeführt. Grundsätzlich ist die DSGVO auch dann anwendbar, wenn die Unternehmen ihren Sitz in der Schweiz haben und Dienstleistungen in der EU anbieten.

Somit gelten für Swisscom die gleichen Pflichten im Umgang mit den Daten wie für alle anderen Organisationen, die die DSGVO einhalten müssen:

  • informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
  • “Privacy by design” und “Privacy by default” garantieren
  • einen Vertreter für Datenschutzfragen benennen
  • ein Verzeichnis der Verarbeitungstätigkeiten erstellen
  • Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
  • eine Datenschutz-Folgenabschätzung durchführen

Alle Applikationen, die den Datenschutz betreffen und zur Datenverarbeitung eingesetzt werden, z.B. auch die RA-App müssen DSGVO konform sein. Swisscom gibt hierfür auf seinen Seiten:
Schweiz: www.swisscom.com/signing-service

Österreich: www.swisscom.at

Entsprechende Datenschutzerklärungen gemäss DSGVO ab.

Schweiz galt immer schon und gilt gemäss Art. 45 DSGVO (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschluss) als sicheres Drittland, d.h. die üblichen Genehmigungen wie bei anderen Drittländern (z.B. USA) sind hier nicht notwendig. Die Schweiz verfügt dank ihres Datenschutzgesetzes und der laufenden Anpassung an die DSGVO über ein “angemessenes Schutzniveau für die Übermittlung von personenbezogenen Daten” nach EU-Kriterien, d.h. ist faktisch bei der Datenübertragung so wie ein EU Land zu behandeln:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Swisscom muss im Rahmen seiner fortlaufenden Auditierungen sowohl gegenüber der Anerkennungsstelle in der Schweiz als auch gegenüber der Konformitätsbewertungsstelle in Österreich, dass alle für die Ausstellung von digitalen Signaturen notwendigen strengen Datenschutzauflagen eingehalten werden. D.h. über einer Selbstdeklaration hinaus sind Vertrauensdienstanbieter und Zertifizierungsdienste durch die Gesetzgebung und den angewandten internationalen Normen, wie z.B. ETSI 319 401, verpflichtet einen angemessenen Datenschutz aller persönlichen Daten nachzuweisen und auditieren zu lassen.

Die nachzuweisenden und zu auditierenden Datenschutzanforderungen gelten auch für die Registrierungsstellentätigkeit – einer Aufgabe eines Vertrauensdienstanbieters und Anbieters von Zertifizierungsdiensten. Damit ist auch der Datenschutz auf der RA-App als Teil des Registrierungsprozesses gewährleistet. Die RA-App selber speichert keine persönlichen Daten permanent. Es können auch keine Daten exportiert werden. Sobald die Identifikation abgeschlossen wurde, werden die Daten vom RA-Agenten signiert übermittelt als sogenannte Evidenz. Diese Evidenzen werden bei Swisscom im RA-Service unter strengen Sicherheitsauflagen (z.B. 4-Augen Zugang) aufbewahrt. Nur wenige Personen haben Zugang zu diesen Daten und dürfen diese nur aufgrund eines richterlichen Beschlusses weitergeben oder in Bezug auf die Qualität der Identifikation prüfen. Swisscom haftet nach dem Gesetz für die ordnungsgemässe Durchführung der Signatur und damit auch der Identifikation unbegrenzt.

RA Master Agenten haben einen Webzugang auf ein Portal, in welchem sie alle von den RA-Agenten identifizierten Personen mit Namen, Vornamen, Ablaufdatum des ID Dokumentes und Mobilfunknummer einsehen können. Die Ausweisdokumente und Fotos (sogenannte “Evidenzen”) sind nicht zugreifbar oder exportierbar.

Swisscom ist gesetzlich verpflichtet, für die Signatur Personendaten aufzunehmen. Sie ist damit für diese Daten verantwortlich. Somit kann Swisscom auch nicht die Rolle eines Auftragsverarbeiters spielen, auch wenn es für die Signatur z.B. Mitarbeiterdaten eines Kundenunternehmens erhält. Ähnlich wie Telekom- oder Postdienstleister hat hier Swisscom einen gesetzlichen Auftrag. Swisscom hat wiederum mit den Nutzungsbestimmungen ein gesetzliches Vertragsverhältnis mit den Signierenden. Hierin akzeptiert der Signierende auch die Datenverwendung.

Mit der RA-App verlagert Swisscom die Aufnahme von Identitätsdaten an einen externen Dienstleister, der in den Verträgen “RA-Agentur” genannt wird. Hierfür sieht die Datenschutzgrundverordnung die Auftragsverarbeitung vor. Die RA-Agentur muss die Vorgaben der Auftragsdatenverarbeitung daher einhalten.

Auch in rein Schweizer Projekten wird die Einhaltung der DSGVO Auftragsdatenverarbeitung eingefordert. Das hat zwei Gründe:

  • Einerseits kann selten garantiert werden, dass in der Schweiz identifizierte Personen nicht EU Bürger sind, die dem Marktprinzip der DSGVO unterliegen,
  • Andererseits kann die RA-App nicht so eingesetzt werden, dass nur Personen für die Schweiz identifiziert werden, d.h. es findet immer eine Auftragsdatenverarbeitung auch für Swisscom IT Services Finance S.E. in Wien statt.

Es gibt Projekte, in denen Swisscom auf gesetzlich anerkannte Identifikationsverfahren bei Dritten aufsetzt und diese auch auditieren lässt. Typisches Beispiel ist hier eine Bank, die im Rahmen ihres KYC Prozesses eine Präsenzidentifikation einer Person durchführt. In diesem Falle erhält Swisscom eine Kopie dieser Daten für ihre eigene Geschäftszwecke (Signatur). Eine Auftragsdatenverarbeitung ist hier nicht notwendig, da zwei verantwortliche Parteien für die Daten vorhanden sind. Umgekehrt wird hierbei auch nicht das Joint Controllership Prinzip der DSGVO herangezogen, da die Aufnahme nicht einem gleichen Geschäftszweck dient und beide im Sinne des gemeinsamen Geschäftszwecks verantwortlich handeln. Die Bank handelt für ihren Geschäftszweck, z.B. Kontoeröffnung und Swisscom verfolgt seinen Geschäftszweck, die Ausstellung von Signaturen. Dennoch beinhalten unsere Verträge zur “Delegation der Registrierungsstellentätigkeit” in diesem Fall auch ein Minimum an Regelungen, wie in Bezug auf Datenschutz und DSGVO vorgegangen wird.

Bei einer Fernsignatur verwaltet Swisscom treuhänderisch die Schlüssel zu den Signaturzertifikaten. Bei einer Personensignatur werden die Signaturzertifikate nur für die Signatur erzeugt und verlieren nach ca. 10 Minuten ihre Gültigkeit. Unternehmenszertifikate für Siegel haben Gültigkeiten von bis zu 3 Jahren. Der private Schlüssel muss dabei laut Gesetz auf einer (qualifizierten) Signaturerstellungseinheit gespeichert werden. Der Speicher hierfür ist ein Gerät, welches hauptsächlich nur für die Schlüsselspeicherung konzipiert ist, das HSM (Hardware Security Modul). Es unterliegt einer strengen Regulierung, Auditierung, in Bezug auf Fähigkeiten und Zugang zu diesem Gerät. Für Signaturen in der EU und in der Schweiz gelten besonders hohe Fähigkeiten, die nur von wenigen HSM Herstellern weltweit zur Verfügung gestellt werden.

L | Rechtliche und regulatorische Themen

Beides sollten Personen aus der IT sein, die die Applikation kennen. Es muss nicht eine Person mit der offiziellen Rolle “Datenschutz” sein. Swisscom will hier einfach das 4-Augen Prinzip beibehalten. Die Rollen sind: Auskünfte geben können über die Administration der Benutzerapplikation (wer hat Zugang, was könnte ein Administrator manipulieren, wo hakt es ggfs., SSL Connection zu Swisscom) und beim Sicherheitsverantwortlichen Themen wie Virenschutz, Zugangskontrolle allgemein, etc.

Zum einen kann eine interne Gesellschaft bei entsprechendem Volumen “Reselling Partner” von Swisscom werden für andere Gesellschaften. Dann geht der Zahlungsfluss direkt nur über diese einzelne Gesellschaft. Es kann auch eine Gesellschaft die komplette Verantwortung für den Betrieb der Teilnehmerapplikation übernehmen. Auch dann gehen Rechnungen nur über diese Gesellschaft. Sie kann dann Mitarbeiter der anderen Gesellschaften identifizieren.

Sofern alle Gesellschaften unabhängig die Teilnehmerapplikation betreiben wollen (mit jeweils eigener Haftung und Verantwortung) und auch selber RA-Agenten stellen wollen, bedarf es für jede Gesellschaft einen eigenen Vertrag.

Swisscom investiert jährlich hohe Summen in die fortwährenden Audits. Um dennoch das Angebot eines Trust Service Providers am Markt preisgünstig platzieren zu können, wird dieser Service in einer standardisierten Form angeboten. Es findet pro Kunde kein “Projekt” statt, sondern Signaturen werden als Plattformgeschäft verkauft. Das heisst insbesondere:

  • Es ist der Standardprozess der Bestellung mit den durch die Auditoren mitgeprüften Vertragstexten einzuhalten.
  • Weitere Assessments durch Teilnehmer und die Prüfung und Annahme eigener Vertragstexte sind im Angebot nicht inbegriffen.

Viele Aspekte des Trust Service Providers unterliegen nicht nur Auflagen in der Ausführung des Services sondern auch in der Festschreibung wichtiger Pflichten, Haftungsregelungen und Mitwirkungsleistungen in den Vertragsunterlagen. Daher unterliegen diese Vertragsunterlagen auch der Auditierung bzw. werden auch den staatlichen Konformitätsbewertungsstellen vorgelegt. Daher können weder Änderungen des Rechtssystems akzeptiert werden, noch vertragliche Beilagen des Teilnehmers insbesondere, wenn diese fremden, anwendbaren Recht unterliegen.

Ist es dennoch notwendig, vertragliche Texte anzupassen, vertragliche Regelungen hinzuzufügen (z.B. eigene Code of Conducts, Data Protection Declaration etc.), besondere Assessmentfragebögen zu bearbeiten oder haben Sie gar Fehler oder unklare Formulierungen entdeckt, so melden sie diese bitte an unser Produktmanagement.

Sofern allfällige Fehler oder Unklarheiten ersichtlich sind, wird ein entsprechender Change Prozess seitens Produktmanagement hierzu angestossen und schnell möglichst umgesetzt.

Für die Bewertung anderer Fragen wird ein Bearbeitungsteam gebildet, dass die entsprechenden Experten (z.B. Rechtsabteilung, Sicherheitsverantwortlicher, Compliance Officer, etc.) heranzieht und eine Bewertung der Anfrage durchführt. Hierfür wird eine Bearbeitungsgebühr von CHF 6’000 fällig. Sofern das Expertenteam nicht direkt eine Lösung erarbeiten konnte, wird dieses eine Antwort und Angebot erarbeiten, welche weiteren Schritte seitens Swisscom vorstellt und abschätzt.

Nein, nur für den Betrieb der Signaturapplikation benötigt es keine Zertifizierung und kein offizielles Audit mit Zertifikat. Der Kunde gibt im Rahmen einer “Konfigurations- und Annahmeerklärung” eine Selbstdeklaration ab, die Signaturapplikation ordnungsgemäss zu betreiben, d.h. z.B. den Hash eines Dokumentes nicht auszutauschen und dem Kunden das zu signierende Dokument auch tatsächlich anzuzeigen (WYSIWYS = “What you see is what you sign”). Auch der Datenverkehr sollte verschlüsselt zur Swisscom erfolgen und der Grundschutz in Bezug auf Viren und Angriffe sollte wie bei jedem anderen System gewährleistet sein. Nur eine eigene Identifikation insbesondere auch in Bezug mit einer eigenen Authentisierungsmethode kann ein Audit mit Zertifikat notwendig machen. In der Schweiz kann eine Identifikation mit Authentisierungsmethoden von Swisscom vereinfacht durch ein geeignetes vom Kunden vorgelegtes und von Swisscom abgenommenes “Umsetzungskonzept” abgehandelt werden, in der EU ist in der Regel ein Audit notwendig. Eine Authentisierungsmethode muss in der Regel immer zertifiziert werden, da hierdurch der “alleinige Zugriff” (im ETSI Kontext “Sole Control” genannt) sichergestellt werden sollte.

Grundsätzlich muss das Unternehmen Vertreter benennen. Diese Vertreter sollten entweder die eingetragenen Vertreter gemäss Handels- oder Unternehmensregister sein, oder Vollmachten von diesen vorweisen können. Die Personen müssen in jedem Fall persönlich identifiziert werden mit unserer RA-App. In der Schweiz können nur im UID Register eingetragene Unternehmen Siegel bestellen. Beim Siegel dient das SSL Zugangszertifikat zwischen Signaturapplikation beim Kunden und Swisscom als Authentisierung des Unternehmens. Daher muss das Zugangszertifikat vom Vertreter der Organisation übergeben werden. Beim fortgeschrittenen Siegel reicht die einfache Zusendung, beim qualifizierten Siegel findet eine gemeinsame Übergabezeremonie statt, bei der das Zugangszertifikat gemeinsam erzeugt wird. Der private Schlüssel muss dabei auf einem Kryptodevice abgespeichert werden (FIPS 140-2 level 2 minimum).

Grundsätzlich ist nach dem Gesetz Swisscom unbegrenzt haftbar für die Falschausstellung von qualifizierten Zertifikaten. Im Rahmen der fortgeschrittenen Zertifikate kann diese Haftung begrenzt werden. Swisscom schliesst hierfür auch entsprechende Pflichtversicherungen ab. Im Rahmen von Fehlern auf der Signaturapplikation (z.B. der Austausch eines Hashes eines Dokumentes) oder bei Fehlern bei der Identifikation durch dritte Registrierungsstellen, wird Swisscom seinerseits diese Dritte in Haftung nehmen. Um die Risiken einer Haftung zu vermeiden, werden an den Ausstellungs- und Vertragsprozess hohe Anforderungen gestellt und generell auch die Möglichkeit einer Auditierung der beteiligten Dritten gefordert.

Die schweizerische Gesetzgebung, d.h. das Schweizerische Bundesgesetz über die elektronische Signatur (ZertES), sieht die Einzelheiten vor, nachdem Unternehmer als Zertifizierungsdienst anerkannt sind. Die akkreditierte Anerkennungsstelle für die Anerkennung von Swisscom als Zertifizierungsdienst in der Schweiz ist die KPMG (Akkr. Nr. SCESm 0071). Sie stellt eine Konformitätsbewertungsbestätigung aus (zu finden unter www.swisscom.com/signing-service).  Die Schweizerische Akkreditierungsstelle SAS führt eine Liste der akkreditierten Zertifizierungsdiensten: https://www.sas.admin.ch/sas/de/home/akkreditiertestellen/akkrstellensuchesas/pki.html

Mit dem Inkrafttreten der Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt der Europäischen Union (eIDAS) wurde die Basis für eine europaweite, rechtsgültige elektronische Kommunikation und sichere elektronische Identifizierung geschaffen. Mit Hilfe der Vertrauensdienste, wie elektronischen Signaturen, Siegeln, Zeitstempeln, Zustelldiensten und Zertifikaten zur Authentifizierung, können Unternehmen, Verwaltungen und Privatpersonen digitale Dokumente wie Angebote, Bestellungen, Verträge u.v.m. innerhalb der Europäischen Union auf einer einheitlichen Rechtsbasis austauschen. Damit löst die neue EU Verordnung das nationale Signaturgesetz und Signaturverordnungen ab.

Nach dieser EU-Verordnung (EU) Nr. 910/2014/EU (eIDAS-Verordnung) haben sogenannte nationale Vertrauenslisten eine konstitutive Wirkung. Mit anderen Worten, ein Vertrauensdienst und die von ihm erbrachten Vertrauensdienstleistungen werden nur dann qualifiziert und überall in der EU als qualifiziert betrachtet, wenn sie in den sogenannten “Trusted Lists” erscheinen. Folglich profitieren die Nutzer (Bürger, Unternehmen oder öffentliche Verwaltungen) nur dann von der Rechtswirkung eines bestimmten qualifizierten Vertrauensdienstes, wenn dieser in den Vertrauenslisten als qualifiziert aufgeführt ist. Swisscom ist mit seiner Tochtergesellschaft in Österreich “Swisscom IT Services Finance S.E.”, Wien in dieser Vertrauensliste aufgenommen worden mit qualifizierten Zertifikaten und Siegeln:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance S.E. hat Swisscom (Schweiz) AG mit dem Betrieb des Vertrauensdienstes beauftragt und auch die Registrierungsstellentätigkeit an Swisscom (Schweiz) AG delegiert. Swisscom(Schweiz) AG bietet somit den Dienst am Markt an und nimmt auch vertragliche Dokumente im Auftrag der Swisscom IT Services Finance S.E. entgegen.

Swisscom kann grundsätzlich nur bestätigen, dass es nach der eIDAS Verordnung der EU und nach dem ZertES Gesetz der Schweiz in beiden Rechtssystemen qualifizierte Signaturen ausstellen kann. Hierbei werden die qualifizierten Schweizer Signaturen nur in der Schweiz qualifiziert anerkannt und die eIDAS qualifizierten Signaturen in der EU.

Ob die qualifizierte Signatur für einen beliebigen Vertrag zulässig ist, muss in jedem Falle von einem Juristen geprüft werden. Swisscom darf hierzu keinerlei Rechtsauskunft geben. Das hängt nicht nur mit der Signatur zusammen, sondern auch aufgrund ggfs. anderer Punkte, die in Verträgen vereinbart werden können. Beispielsweise kann die Forderung einer “Rücksendung per Einschreiben” dazu führen, dass eine elektronische Signatur gar nicht geleistet werden kann, da ein postalischer Papierweg vorgeschrieben ist.

Grundsätzlich gilt in beiden Rechtssystemen EU und Schweiz die Beweisumkehr (bzw. in Deutschland auch Anscheinsbeweis gegenüber dem Augenscheinsbeweis) in Bezug auf qualifizierte Signaturen. D.h. eine Gegenseite muss beweisen, dass die qualifizierte Signatur nicht ordnungsgemäss erfolgt ist, falls diese angefochten wird. Und natürlich kann Swisscom anhand der von KPMG testierten Überprüfungen nachweisen, dass die qualifizierte Signatur ordnungsgemäss erfolgt.

Die Aufbewahrungsfristen der Identitätsfeststellung und des Tätigkeitjournals und damit auch die Beweisfristen betragen in der Schweiz 11 Jahre und in der EU 35 Jahre. Swisscom verwendet grundsätzlich den Langzeitvalidierungsstandard von ETSI (LTV).

Long Term Validation bedeutet eine Signatur so zu validieren, dass sie für lange Zeit valide bleibt. Die LTV Validierung lässt eine Validierung aber nur so lange zu, wie das Wurzelzertifikat für den Zeitstempel nicht abgelaufen ist. Es empfiehlt sich daher bei Langzeitbeweiserhaltung die Dokumente vor Ablauf nochmals mit einem Zeitstempel zu versehen, damit die Integrität und Aussagekraft des Signaturbeweises weiterhin gegeben ist.

Grundsätzlich sollten PDF Dokumente auch in sicheren Archiven verwaltet werden. Es kann eine Situation in 5, 10 oder 20 Jahren kommen, dass die Signaturalgorithmen “geknackt” werden, d.h. es könnte damit die Unversehrtheit oder Authentizität nicht mehr gewährleistet sein. Gute Archivsysteme sehen daher regelmässige Resignatur z.B. mit einem Zeitstempel vor, der immer den neuesten Algorithmus nutzt und damit die Integrität des Dokumentes sicherstellt.

Im WWW findet man hierzu verschiedene optimierte Verfahren, z.B. “Archisig”. Das deutsche BSI hat auch eine technische Richtlinie „Beweiswerterhaltung kryptographisch signierter Dokumente“ herausgebracht. Sie ist die Spezifikation sicherheitstechnischer Anforderungen für den langfristigen Beweiswerterhalt von kryptographisch signierten elektronischen Dokumenten und Daten nebst zugehörigen elektronischen Verwaltungsdaten (Metadaten).

Eine für diese Zwecke definierte Middleware (TR-ESOR-Middleware) im Sinn dieser Richtlinie umfasst alle diejenigen Module und Schnittstellen, die zur Sicherung und zum Erhalt der Authentizität und zum Nachweis der Integrität der aufbewahrten Dokumente und Daten eingesetzt werden.

Nein.

Mit der Vertragskündigung werden noch existierende, gültige Siegelzertifikate widerrufen (revoziert).

Gesetzlich ist geregelt, wie so ein “shutdown” Scenario abzulaufen hat: In der CP/CPS des Zertifizierungsdienstes bzw. Vertrauensdienstes sind die genauen Abläufe beschrieben. Es muss einen Shut-Down Plan geben und die benachrichtigte Aufsichtsstelle bzw. das BAKOM benennt dann in der Regel einen Nachfolger, der den Dienst für die Kunden anbieten könnte. Dieser Nachfolger erhält dann in der Regel auch die Certificate Revocation List und damit die Liste über die Gültigkeiten der Zertifikate, sofern Swisscom die nicht weiter noch selber publiziert. Die Liste wird weiterhin für Jahre betrieben, so dass die Gültigkeit von Unterschriften auch weiterhin geprüft werden kann. Die Evidenzen zu den Registrierungen für den Service müssen entsprechend den Aufbewahrungsfristen auch nach einer Beendigung über 11 oder sogar 35 Jahre aufbewahrt werden, Swisscom oder ein benannter Nachfolger müssen ein Archivierungssystem dafür erstellen, damit in juristischen Verhandlungen auch auf diese Information zurückgegriffen werden kann. Die geleisteten Identifikationen können bei einem eventuellen Nachfolger nicht mehr genutzt werden, d.h. neue Registrierungen sind in diesem Falle notwendig.

Elektronische Unterschriften können in einem Rechtsstreitverfahren als Beweismittel vorgelegt werden. In der Regel – mit Ausnahme der qualifizierten Signatur – unterliegen sie der freien Beweiswürdigung. Da “einfache” und “fortgeschrittene” elektronische Signaturen kaum oder nur sehr grob gesetzlich definiert sind, obliegt es dem Gericht, so eine Signatur zu akzeptieren oder nicht. Die Partei, die diese Signaturen als gültig vorweisen möchte, muss hierzu die entsprechenden Beweise herbeiführen. Im Falle von Swisscom ist es hilfreich, dass auch die fortgeschrittenen Signaturen einer sehr strengen Prüfung nach dem ETSI Standard für “NCP+” Signaturen unterliegen und somit solche Auditreports herangezogen werden können. Im Falle einer qualifizierten Signatur gilt die Beweisumkehr. Da diese genau gesetzlich bestimmt ist und z.B. sowohl die Schweiz als auch Österreich im Web Validatoren für die Gültigkeiten solcher Signaturen anbieten, werden diese Signaturen erstmal als gültig angesehen, bis eine Partei das Gegenteil beweist und damit auch beweist, dass die Aufsichtsstelle oder das BAKOM sowie die Auditoren ihren Pflichten nicht nachgekommen ist.  Nach 11 Jahren in der Schweiz oder 35 Jahren in Österreich kann eine Beweisführung auch im qualifizierten Bereich Schwierigkeiten machen, da die Unterlagen zur Registrierung vernichtet werden müssen. Dennoch ist die Unterschrift immer noch als “qualifiziert” ersichtlich.

Im Rahmen einer Beweisführung nach vielen Jahren sollte auch beachtet werden, dass elektronisch archivierte Dokumente von Zeit zu Zeit immer wieder mit Zeitstempel versehen werden sollten. Es kann passieren, dass Algorithmen entschlüsselt werden und nicht mehr so robust sind. Ein Zeitstempel versiegelt das Dokument wieder mit den neuesten Algorithmen und schützt damit die Integrität des Dokumentes inklusive der Unterschriften.

Qualifizierte eIDAS Signaturen gelten nur im EU (und EWR) Raum als “qualifiziert”, genauso gelten ZertES Signaturen auch nur im Schweizer Raum als qualifiziert. D.h. bei der Rechtswahl eines dritten Staates können diese Signaturen nicht mehr ihre “qualifizierte” Wirkung erzielen oder werden ggfs. sogar nicht anerkannt.

Schweiz (QES), ZertES:

Die CP/CPS sieht vor, dass die durchgeführte Identifikation und die hinterlegte Dokumentation während max. 5 Jahren verwendet werden kann, kürzer, wenn die Gültigkeitsdauer des vorgelegten Ausweises vor der Fünfjahresfrist endet oder das Identifikationsverfahren seitens des Auditors keine 5 Jahre zulässt.

Die Aufbewahrungsfrist gemäss Art. 11. Abs. 1 VZertES (Tätigkeitsjournal) gilt: “Die anerkannten Anbieterinnen bewahren die Eintragungen betreffend ihre Tätigkeiten sowie die dazugehörenden Belege während elf Jahren auf.” Swisscom versteht diese Frist auch als Aufbewahrungsfrist für die im ID-Prozess vorgelegten Unterlagen, insbesondere Ausweiskopie.

1 Jahr Reserve wurde als “Sicherheitspuffer” hinzugerechnet, um zu vermeiden, dass Swisscom RA-Stellen die 11 Jahre anders berechnen könnten, wodurch Swisscom in Grenzfällen keine Dokumentation mehr hätte, wichtig insbesondere in Anwendung von Art. 17 ZertES (Unbeschränkte Haftung).

  • So kommt man bei QES CH auf die 17 Jahre, welche in den Nutzungsbestimmungen  auch offengelegt werden.

Europa, (QES), eIDAS:

Gleiche Begründung und Herleitung wie bei der QES in der Schweiz nur mit dem Unterschied, dass in Österreich die gesetzliche Aufbewahrungsfrist 30 Jahre beträgt.  Der Artikel 10.1 aus dem SVG (Signatur- und Vertrauensdienstegesetz) lautet:

Zugangsrechte und Aufbewahrungsdauer

  • 10. (1) Auf Ersuchen von Gerichten oder anderen Behörden hat ein qualifizierter VDA Zugang zur Dokumentation nach Art. 24 Abs. 2 lit. h eIDAS-VO und seiner Zertifikatsdatenbank zu gewähren.

(2) […].

(3) Die Dokumentation ist vom qualifizierten VDA 30 Jahre, gerechnet ab dem im qualifizierten Zertifikat eingetragenen Ende der Gültigkeit oder, mangels eines solchen, 30 Jahre ab dem Zeitpunkt des Anfallens von einschlägigen Informationen über die von dem qualifizierten VDA im Rahmen seiner Tätigkeit ausgegebenen und empfangenen Daten, aufzubewahren.

  • So kommt man bei einer QES in Österreich auf die 36 Jahre, welche in den eIDAS Nutzungsbestimmungen auch offengelegt werden.

Fortgeschrittene Signaturen (eIDAS, ZertES)

Die CP/CPS sieht vor, dass die durchgeführte Identifikation und die hinterlegte Dokumentation während max. 5 Jahren verwendet werden kann, kürzer, wenn die Gültigkeitsdauer des vorgelegten Ausweises vor der Fünfjahresfrist endet oder das Identifikationsverfahren keine 5 Jahre zulässt.

Es gibt im Bereich FES keine gesetzliche Aufbewahrungsfristen, da die Aufbewahrungsfristen  nicht gesetzlich geregelt sind. Die ETSI-Normen sehen aber eine Frist von 7 Jahren vor. Diese Angabe ergibt sich aus der ETSI Richtlinie EN 319 411-01:

6.4.6 Records archival

The following particular requirements apply:

NOTE: ETSI TS 101 533-1 [i.13] suggests provisions on how to preserve digital data objects.

  1. a) The TSP shall retain the following for at least seven years after any certificate based on these records ceases to be valid:
  2. i) log of all events relating to the life cycle of keys managed by the CA, including any subject key pairs

generated by the CA (see clause 6.4.5, item g));

  1. ii) documentation as identified in clause 6.3.4.

1 Jahr Reserve wurde als “Sicherheitspuffer” hinzugerechnet, um zu vermeiden, dass die Swisscom RA-Stellen die 11 Jahre anders berechnen könnten.

  • So kommt man bei FES auf die 13 Jahre, welche in den Nutzungsbestimmungen offengelegt werden.

Swisscom gibt bei Personenzertifikaten nur Kurzzeitzertifikate (sogenannte “one-shot” Zertifikate) aus, die eine Lebensdauer von 10 Minuten haben, und nur für einen Signaturvorgang verwendet werden. Die Wahrscheinlichkeit, dass während dieser 10 Minuten das Zertifikat kompromittiert wurde, ist praktisch nicht vorhanden. Danach ist das Zertifikat ungültig und kann auch nicht mehr kompromittiert werden. Dank der Langzeitvalidierung bleiben natürlich die Signaturen mit diesem Zertifikat gültig und können auch Zeiträume nach Ablauf noch als gültig validiert werden.

Sofern die komplette CA (d.h. das Rootzertifikat) des Zertifizierungs- und Vertrauensdienstes kompromittiert wurde, gibt es einen Prozess, den Swisscom in seiner CP/CPS (siehe Downloads Area – Repository) beschreibt.

Sollte ein Signierender sein Authentisierungsmittel verlieren oder feststellen, dass seine Identität falsch ermittelt wurde, so ist unser Support sofort darüber zu informieren. In einem Vertragsverhältnis mit einem Partner von uns melden Sie sich bei dem Partner, bei dem Sie ihre Signatur oder Identifikation geleistet haben. Er wird dann weitere Schritte zum Sperren dieser Identifikation einleiten. Sie müssen sich dann neu mit ggfs. einem neuen Authentisierungsmittel identifizieren lassen.

Sofern ein Siegelzertifikat kompromittiert wurde, kann eine Meldung unter den Kontaktmöglichkeiten von https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung erfolgen.

  1. Mündlicher Vertragsabschluss: Sehr schwierig zu beweisen (nur mit Zeugen)
  2. Signiert mit einer einfachen Signatur, z.B. eingescanntes Signaturbild: Die Generierung dieser Signatur muss im Zweifelsfalle vor Gericht geprüft werden. Da das Verfahren sehr leicht gefälscht werden kann, kommt es auch hier auf andere Beweismittel an, z.B. Zeugen.
  3. FES: Für eine endgültige Feststellung des Signaturbeweises müssen auch hier beide Parteien vor Gericht gehen. Das Gericht wird einen Spezialisten beauftragen, die fortgeschrittene elektronische Signatur von Swisscom zu untersuchen. Aufgrund der Audits auch im fortgeschrittenen Bereich, kann eine sehr gute Beweisführung gelingen. Dennoch ist eine FES in der Beweiskraft schlechter als eine QES, z.B. aufgrund der 1-Faktor Authentisierung bei der Signatur (ein gestohlenes Smartphone könnte ggfs. eine Signatur auslösen), der Art und Weise der Registrierung und die Archivzeiten der Evidenzen und Logs sind auf 7 Jahre begrenzt.
  4. QES: Die Verifikation der Signatur kann direkt via https://validator.ch oder https://www.signatur.rtr.at/de/vd/Pruefung.html erfolgen. Die Parteien müssen dafür nicht vor Gericht gehen. Eine Beweisführung, dass diese Feststellung eine Fälschung ist, wird schwierig sein. QES Signaturbelege werden so lange aufbewahrt, wie es auch in den Geschäftsbüchern vorgesehen ist, mehr als 10 Jahre in der Schweiz und 35 Jahre in der EU.

Aufgrund der DSGVO Bestimmungen und der Tatsache, dass es dort kein Konzernprivileg gibt, muss es im Rahmen des RA-Agenturvertrages zwischen jeder Firma des Konzerns und Swisscom einen eigenen RA-Agenturvertrag geben.

Für die Langzeitvalidierung einer Signatur empfehlen wir unbedingt den PAdES LTA Standard (siehe ETSI TS 103 172). Weitere Hinweise dazu auch hier: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . PDFs selber sollten dem PDF/A Standard erfüllen.

Bei einer Fernsignatur verwaltet Swisscom treuhänderisch die Schlüssel zu den Signaturzertifikaten. Bei einer Personensignatur werden die Signaturzertifikate nur für die Signatur erzeugt und verlieren nach ca. 10 Minuten ihre Gültigkeit. Hiermit vermeiden wir die Meldung einer Kompromittierung des Zertifikates, d.h. ein Zertifikat kann nicht kompromittiert werden. Das Verfahren hat mehrere Vorteile:

Der Endnutzer muss nicht mit Swisscom Kontakt haben (z.B. ein Userkonto, um Zertifikate zu Revozieren)

Auf Seiten der Empfänger von signierten Dokumenten entfällt das Handling mit Sperrlisten und OCSP (online Überprüfung von Gültigkeit von Zertifikaten)

Security Probleme bei Applikationen, die nur auf regelmässigen Sperrlisten Update setzen, werden vermieden

OCSP Abfragen führen zu zeitlichen Verzögerungen beim Empfänger

Zudem liefert ein Kurzzeitzertifikat immer eine positive Antwort – eine OCSP Abfrage kann immer nur eine negative Antwort geben.

 

Wichtig, die Unterschrift welche mit der QES geleistet wurde ist natürlich weiterhin gültig, unabhängig vom Zertifikat.

 

Die Kurzzeitzertifikate werden aufgrund von Registrierungen des Registrierungsservice ausgestellt, d.h. sie basieren auf Registrierung und Authentisierungsmittel. Ein Kurzzeitzertifikat wird nur erzeugt, sofern eine Authentisierung (Freigabe) im 2FA Verfahren vorliegt.

 

Beispiel zur Analogie im Papierumfeld: Ich unterschreibe einen Vertrag mit einem Tintenschreiber. Die Tinte im Schreiber ist nach der Unterschrift leer. Der Vertag bleibt natürlich gültig.

Bei der Unterschrift mit einer QES gelten folgende Beweisfristen:

Die Aufbewahrungsfristen der Identitätsfeststellung und des Tätigkeitjournals und damit auch die Beweisfristen betragen für EU Signaturen in Österreich (hier sind wir akkreditiert) 35 Jahre in der Schweiz 10 Jahre.

Durch die PAdES B LTA Norm können Signaturen aufgrund von Kurzzeitzertifikaten auch lange Zeit nach Ablauf validiert werden.

Die Algorithmen zur Hashbildung (Prüfsummenbildung) und Verschlüsselung des Hashes richten sich nach den Empfehlungen des ETSI Standards ETSI TS 119 312, die wiederum auch die NIS Standards befolgen. Diese Algorithmen haben bestimmte Annahmen über Zeiträume von 1->6 Jahren, in denen sie stabil sind. Entwicklungen (z.B. Cracken von Algorithmen) können hier aber schnell auch zu Änderungen führen. Swisscom Trust Services ändert z.B. jetzt wieder seine Wurzel CA, um den Anforderungen > 6 Jahren zu befolgen. Im Herbst dieses Jahres wird wiederum eine Neuauflage der Spezifikation erwartet.

Für eine Langzeitvalidierung ist es daher notwendig regelmässig die Integrität auf Basis neuester Algorithmen zu gewährleisten, z.B. jährliches Zeitstempeln aller Dokumente oder Verwendung entsprechender Archivierungslösungen. Stichwort «Beweiswerterhaltung» – siehe hierzu die DIN 31647:2015-05.

M | Mobile ID und Mobile ID App

Auf der Website von Mobile ID finden Sie ein detailliertes FAQ für ihre Problembehandlung.

N | Docusign Connector

Neben einer Docusign Lizenz, muss von Docusign oder seinem Reseller das Produkt “Docusign Express SKU” erworben werden und ein Ticket für die Erstellung des Swisscom Pens (des Auswahlfeldes für die Swisscom Signatur) muss beim Docusign Support eingereicht werden. Bei Swisscom müssen Sie den Docusign Connector bestellen und einen Servicevertrag zur Signatur abschliessen.

You don’t have the correct assurance level to sign this document. Please contact the RA Agent of your company” wird als Fehlermeldung herausgegeben.

Die Gesamtprüfung im Validator zeigt die Nichtgültigkeit an, sofern eine Signatur nicht den Erfordernissen von eIDAS respektive ZertES entspricht. Da Docusign neben der QES von Swisscom ebenfalls noch ein eigenes Siegel der Firma Entrust hinzufügt, welches die Erfordernisse der Gesetzgebung nicht erfüllt wird neben der gültigen QES Signatur das Siegel moniert und führt insgesamt zu einer negativen Bewertung. Dennoch ist vor Gericht natürlich die QES gültig. Mit einem Ticket an den Docusign Support kann dieses Siegel auf Wunsch auch unterdrückt werden.

Der Docusign Validator wird selber derzeit nicht weiter gepflegt und akzeptiert keine Signaturen der Schweiz.

Bitte mit dem Docusign Support besprechen: Swisscom berechnet jeweils einen Connector pro “Docusign Customer Account ID”

Zoom