RSASSA-PSS: Was Sie über den Signaturalgorithmus wissen müssen
Die Bedeutung des Signaturalgorithmus RSASSA-PSS bei E-Mail-Zertifikaten ist vielfach noch nicht angekommen. Immer wieder kontaktieren uns Unternehmen, die zur Verschlüsselung verpflichtet sind: Sie verstehen die Anforderungen nicht. Um etwas Licht ins Dunkle zu bringen, klärt dieser Blogbeitrag über die wichtigsten Fragen auf.
Was ist RSASSA-PSS?
Die Abkürzung „PSS“ steht für „Probabilistic Signature Scheme“ (auf Deutsch: probabilistisches Signaturverfahren). Es steht für ein von Mihir Bellare und Phillip Rogaway erstelltes kryptografisches Paddingverfahren. RSASSA-PSS ist ein verbessertes Signaturschema, welches einen Anhang enthält. Es nutzt einen privaten RSA-Schlüssel, um die Daten zu signieren. Der Empfänger ist anschließend dazu in der Lage, mithilfe des öffentlichen RSA-Schlüssels diese Signatur zu überprüfen.
Der Bundesverband der Energie- und Wasserwirtschaft e. V. (BDEW) veröffentlichte neue Regelungen zum Austausch von EDIFACT-Übertragungsdateien. Betroffen ist vor allem der elektronische Datenaustausch per E-Mail zwischen verschiedenen Marktpartnern der deutschen Energiewirtschaft. Das EDIFACT-Dateiformat ermöglicht Unternehmen den schnellen Versand von bspw. Rechnungen oder Bestellungen aus dem ERP-Programm. Da diese EDIFACT-Dateien sensible und personenbezogene Daten enthalten, muss der Austausch dieser digital signiert und verschlüsselt erfolgen.
Spätestens seit dem Durchsetzen der neuen Regelung zum Versand von EDIFACT-Nachrichten innerhalb der Strom- und Gasbranche durch die Bundesnetzagentur ist dieser Signaturalgorithmus äußerst relevant. Die Bundesnetzagentur schreibt eine RSA-Schlüssellänge von mindestens, 2048 Bit vor. Als Hash-Funktion sind SHA-256 oder SHA-512 zu verwenden.
Wer ist zur Verschlüsselung mit RSASSA-PSS verpflichtet?
Netzbetreiber in den Bereichen Strom und Gas sind schon seit dem 01. Oktober 2017 dazu verpflichtet, sämtliche E-Mails mit EDIFACT-Übertragungsdateien digital zu signieren und zu verschlüsseln. Dies geht aus den Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. Das bedeutet, dass zum einen die E-Mail, die versendet wird, mit dem RSASSA-PSS-Algorithmus signiert sein muss. Dies müssen Sie in Ihrer Signatursoftware oder E-Mail-Gateway einstellen. Zum anderen muss das Zertifikat, welches von einer Zertifizierungsstelle ausgestellt wird, mit dem Signaturalgorithmus RSASSA-PSS signiert worden sein.
Wie kam es zur RSASSA-PSS-Pflicht?
Die Bundesnetzagentur legte zum 20. Dezember 2016 ein Interimsmodell fest. Darin wurde die Vorgabe festgehalten, dass seit Juni 2017 sämtliche Übertragungen von EDIFACT-Dateien per S/MIME verschlüsselt und signiert sein müssen. Festgehalten sind die Regelungen in den EDI@Energy “Regelungen zum Übertragungsweg” (PDF). Zum Januar 2017 liefen diverse von BSI und Bundesnetzagentur gewährte Übergangsregelungen aus; wir berichteten.
Die zum Verschlüsseln und Signieren benötigten elektronischen Zertifikate konnten bis zum Jahresende 2018 entweder mit dem Verfahren SHA-256-RSA oder SHA-512-RSA oder auch mit dem neueren Verfahren RSASSA-PSS signiert werden. Zu dieser Zeit war das Einsetzen von RSASSA-PSS-signierten Zertifikaten lediglich nach beidseitigem Einverständnis möglich. In der Mitteilung 8 der Bundesnetzagentur wurde erklärt, dass diese Zustimmungspflicht ab 13. Juli 2018 entfällt.
Die Bundesnetzagentur musste diese Regelung aktualisieren. Grund war, dass es zu diesem Zeitpunkt nicht genügend vertrauenswürdige Zertifizierungsstellen gab, die die benötigten Zertifikate ausstellen konnten. Zudem hatte der BDEW auf weniger strenge Fristen gepocht. Die aktuelle Fassung der Bundesnetzagentur besagt, dass jegliche Zertifikate, welche ab dem 01.01.2019 ausgegeben werden, durch RSASSA-PSS signiert werden müssen.
Für Marktteilnehmer greift demnach die Pflicht zur Nutzung der RSASSA-PSS signierten Zertifikate.
Wo können RSASSA-PSS-Zertifikate erworben werden?
Sie können die RSASSA-PSS-Zertifikate direkt bei uns erwerben. Möchten Sie dazu beraten werden, nehmen Sie gerne Kontakt zu uns auf.
Welche RSASSA-PSS-Zertifikate gibt es?
Sie haben die Wahl aus folgenden Zertifikaten:
- Atos EDI Basic: RSASSA-PSS-Standard und Signatur-Hashalgorithmus SHA256. Zusätzliche Option: Clientauthentifizierung. Laufzeit: 1, 2 oder 3 Jahre.
- proTECTr EDI Standard: Wahlweise mit Signatur-Hashalgorithmus RSASSA-PSS oder SHA256/SHA512. Dieses Zertifikat sichert ausschließlich personenbezogene E-Mail-Adressen ab. Client-Authentifizierung: Ja. Laufzeit: 1, 2 oder 3 Jahre.
- proTECTr EDI Standard Gateway: Wahlweise mit Signatur-Hashalgorithmus RSASSA-PSS oder SHA256/SHA512. Vorteil: Bei diesem Zertifikat muss keine personenbezogene E-Mail-Adresse eingetragen werden, sondern eine abteilungs- oder unternehmensweite E-Mail-Adresse. Client-Authentifizierung: Ja. Laufzeit: 1, 2 oder 3 Jahre.
- SwissSign EDI Pro: Verwendet RSASSA-PSS-Standard und den Signatur-Hashalgorithmus SHA256. Client-Authentifizierung: nein. Laufzeit: 1 Jahr.
Während die CA Atos aus Frankreich stammt, sitzt proTECTr in Deutschland und SwissSign in der Schweiz. Damit Sie mehr über die Zertifizierungsstellen erfahren können, stellen wir Ihnen diese in unserem Blog vor. Die Atos IT Solutions and Services GmbH machte den Anfang, die restlichen CAs folgen in den nächsten Wochen.
Wie installiere ich ein solches Zertifikat?
In unserem SSL-Wiki haben wir Ihnen einen Artikel bereitgestellt, der Ihnen eine bebilderte Anleitung zur Installation eines solchen E-Mail-Zertifikats in Outlook bietet. Eine Übersicht zu allen Artikeln über E-Mail-Zertifikate finden Sie an dieser Stelle.
Sofern Sie RSASSA-PSS signierte Zertifikate verwenden möchten, ist zu beachten, dass Ihre Software diese unterstützt.
Woher weiß ich, ob ich das richtige Zertifikat verwende?
Sie können in Ihrem E-Mail-Client prüfen, welches E-Mail-Zertifikat Sie nutzen. In Outlook klicken Sie dafür in der Registerkarte „Datei“ auf „Optionen“. Klicken Sie nun auf „Trust Center“. Im rechten Bereich klicken Sie auf „Einstellungen für das Trust Center“. Nun klicken Sie im linken Bereich auf „E-Mail-Sicherheit“. Unter „Verschlüsselte E-Mail-Nachrichten“ klicken Sie auf „Einstellungen“. Gehen Sie unter „Zertifikate und Algorithmen“ auf „Auswählen“. Suchen Sie das gewünschte Zertifikat und klicken Sie auf „Zertifikat anzeigen“.
Im Zweifel sind auch wir für Sie da! Fragen Sie sich, ob Sie das richtige Zertifikat verwenden, oder haben Sie allgemeine Fragen zu RSASSA-PSS? Nehmen Sie Kontakt zu uns auf – wir stehen Ihnen Rede und Antwort!
Schreibe einen Kommentar