Amtssignatur – was dermaßen verstaubt klingt, kann weder innovativ noch nützlich sein. Weit gefehlt, denke ich als großer Fan der digitalen Bescheide, die durch das E-Government-Gesetz ermöglicht wurden. Mit dem Finanzamt kommuniziere ich inzwischen ausschließlich via Web und digital signierter PDF-Datei.
An der WU verwenden wir seit Kurzem auch die Amtssignatur mit einigen Besonderheiten, die in Österreich wahrscheinlich einzigartig sind. In meinen Augen ein mehr als nur spannendes Projekt…
Die WU Wirtschaftsuniversität Wien stellt im Jahr weit über 100.000 Erfolgsnachweise und verwandte Dokumente aus, wobei der überwiegende Teil davon automatisiert abläuft. (Über das Selbstbedienungs-Terminal zum Zeugnisdruck habe ich bereits gebloggt.) Die Echtheit der ausgestellten Dokumente wird jedenfalls entweder durch spezielles Unterdruckpapier samt Staatswappen oder mittels händischer Unterschrift bescheinigt. Spätestens mit dem Schritt hin zu Online-Services bedarf es allerdings anderer Sicherheitsmerkmale – eine PDF-Datei kann schließlich (fast) jeder fälschen.
Was ist eine Digitale Signatur?
Auch wenn’s Wikipedia besser erklärt: Die Digitale Signatur ist ein Verschlüsselungsverfahren, das gemeinsam mit so genannten Zertifikaten Echtheit des Ausstellers (Authentizität) sowie Unverfälschtheit der Daten (Integrität) sicherstellt.
Wie bei einer händischen Unterschrift lässt sich somit auf elektronischem Weg feststellen, dass ein Jemand ein Dokument in dieser und jener Form unterzeichnet hat. In Österreich besteht aufgrund des Signaturgesetzes Gleichwertigkeit zur händischen Unterschrift, wobei aber einige Ausnahmen bestehen, so etwa für die Eheschließung, welche (noch?) nicht digital über die Bühne gehen darf.
Amtssignatur
Der Schritt von der Digitalen Signatur zur Amtssignatur ist jedenfalls kein technischer. Vielmehr sind einige Punkte seitens des E-Government-Gesetzes gefordert, um dem hoheitlichen Anspruch Rechnung zu tragen und Überprüfbarkeit durch Dritte (etwa durch das Bundesrechenzentrum) zu gewährleisten:
- Jedes mit der Amtssignatur versehene Dokument (PDF) ist digital mit einem für die Amtssignatur geeigneten Zertifikat zu unterschreiben.
- Auf der letzten Seite des Dokuments muss der gesetzlich vorgeschriebene Sichtvermerk angebracht werden, der Informationen zum Unterzeichner sowie Hinweise zur Überprüfbarkeit beinhaltet.
Mit Anfang 2012 ging mit den Studierendenrankings eine Anwendung in Betrieb, die erstmals unsere hauseigene Infrastruktur zum amtlichen Signieren verwendet. Das Bild unten zeigt die letzte Seite eines signierten Dokuments (natürlich anonymisiert).
Amtssignatur an der WU: Das Dokument besitzt einen Sichtvermerk mit gesetzlich geforderten Daten sowie Hinweis zur Überprüfbarkeit. Der Datenblock darunter ist eine technische Raffinesse unserer hauseigenen Signatur-Infrastruktur.
Bis hierher also ein hilfreiches Service der WU, aber zugegebenermaßen auch keine Raketenphysik. Wäre da nicht Mathias Ziehmayer, Held aller Programmiersprachen, der die Aufgabe der Dokumenten-Validierung auf die Spitze getrieben hat…
Datenrückführung
Die Überprüfung (Validierung) eines signierten PDF-Dokuments ist auf der Seite signaturpruefung.at oder dem Pendant der WU kein Problem. Anders ist das allerdings bei ausgedruckten Dokumenten, die im Normalfall für eine Weiterverarbeitung “verloren” sind.
Bei der Umsetzung an der WU sollte dies aber nicht so sein: Im Sichtvermerk ist ein DATENBLOCK untergebracht, aus dem – vor allem auch von einem Ausdruck – der Inhalt des Dokuments rekonstruiert werden kann. Dieser Datenblock ist ebenfalls mit dem Amtssignaturzertifikat der WU unterschrieben, sodass nach erfolgreicher Rekonstruktion die Identität der Datenerstellerin (WU) sichergestellt ist.
Technisch gesprochen: Das Dokument wird zunächst um irrelevante Daten bereinigt; daher fehlen Fußnoten, Seitenangaben, o.ä.
- Die Nutzdaten werden mit
bzip2komprimiert. - Diese komprimierten Daten werden anschließend mit dem Zertifikat der WU signiert.
- Die signierten Daten werden im Format
PKCS#7/CMS signedData (DER)repräsentiert. - Diese Datenstruktur ist klein genug, um sie codiert als
base32imDATENBLOCKder Amtssignatur unterzubringen.
(Interessanter Nebeneffekt der letzten Codierung ist, dass es beispielsweise keine Ziffern “1″, “0″ oder “8″ geben kann, die mit ähnlichen Buchstaben verwechselt werden könnten. Ein etwaiger “1″er wird jedenfalls durch ein “I” ersetzt, usw. Ein für Texterkennung optimierter Font verringert zusätzlich die Wahrscheinlichkeit von Lesefehlern beim Einscannen des Dokuments.)
Führt man die Schritte in umgekehrter Reihenfolge durch, erhält man den relevanten Inhalt des Dokuments. Natürlich bieten wir ein Web-Service, welches diese Rückführung automatisch durchführt.
Das Ergebnis einer Rückführung sieht wie angeführt aus. Damit ist es folglich möglich, die Echtheit eins WU-Dokuments mit geringem Aufwand selbst festzustellen:
--------------------------------------------------------- Confirmation of grade point average Name: [NAME] Program: Bachelor Program in Business, Economics and Social Sciences Total ECTS of the program: 180 Date of calculation: February 09, 2012 [NAME] has completed courses and exams worth a total
of 133.0 ECTS credits with a grade point average of 1.59. This information is valid as of the date of calculation given above. ---------------------------------------------------------
Dank der Offenheit unseres Verschlüsselungs- und Komprimierungs-Algorithmus ist es auch ohne dem oben genannten Web-Service von heute bis in alle Ewigkeit möglich, Dokumente der WU (offline) zu validieren.
Wer in den kommenden Monaten also über eine Amtssignatur stolpert, der soll sich freuen, dass Österreich – entgegen aller Vorurteile – über zunehmend moderne Verwaltung verfügt. Am Coolsten aber machen’s wir an der WU. Ich darf das sagen, weil es in diesem Fall kein Eigenlob, sondern Ehrerbietung unter Kollegen ist;-)
About
