Die Bedeutung des Signaturalgorithmus RSASSA-PSS bei E-Mail-Zertifikaten ist vielfach noch nicht angekommen. Immer wieder kontaktieren uns Unternehmen, die zur Verschl\u00fcsselung verpflichtet sind: Sie verstehen die Anforderungen nicht. Um etwas Licht ins Dunkle zu bringen, kl\u00e4rt dieser Blogbeitrag \u00fcber die wichtigsten Fragen auf.<\/p>\n
Die Abk\u00fcrzung \u201ePSS\u201c steht f\u00fcr \u201eProbabilistic Signature Scheme\u201c (auf Deutsch: probabilistisches Signaturverfahren). Es steht f\u00fcr ein von Mihir Bellare und Phillip Rogaway erstelltes kryptografisches Paddingverfahren. RSASSA-PSS<\/a> ist ein verbessertes Signaturschema, welches einen Anhang enth\u00e4lt. Es nutzt einen privaten RSA-Schl\u00fcssel, um die Daten zu signieren. Der Empf\u00e4nger ist anschlie\u00dfend dazu in der Lage, mithilfe des \u00f6ffentlichen RSA-Schl\u00fcssels diese Signatur zu \u00fcberpr\u00fcfen.<\/p>\n Der Bundesverband der Energie- und Wasserwirtschaft e. V. (BDEW) ver\u00f6ffentlichte neue Regelungen zum Austausch von EDIFACT-\u00dcbertragungsdateien. Betroffen ist vor allem der elektronische Datenaustausch per E-Mail zwischen verschiedenen Marktpartnern der deutschen Energiewirtschaft. Das EDIFACT-Dateiformat erm\u00f6glicht Unternehmen den schnellen Versand von bspw. Rechnungen oder Bestellungen aus dem ERP-Programm. Da diese EDIFACT-Dateien sensible und personenbezogene Daten enthalten, muss der Austausch dieser digital signiert und verschl\u00fcsselt erfolgen.<\/p>\n Sp\u00e4testens seit dem Durchsetzen der neuen Regelung zum Versand von EDIFACT-Nachrichten innerhalb der Strom- und Gasbranche durch die Bundesnetzagentur ist dieser Signaturalgorithmus \u00e4u\u00dferst relevant. Die Bundesnetzagentur schreibt eine RSA-Schl\u00fcssell\u00e4nge von mindestens, 2048 Bit vor. Als Hash-Funktion sind SHA-256 oder SHA-512 zu verwenden.<\/p>\n <\/p>\n Netzbetreiber in den Bereichen Strom und Gas sind schon seit dem 01. Oktober 2017 dazu verpflichtet, s\u00e4mtliche E-Mails mit EDIFACT-\u00dcbertragungsdateien digital zu signieren und zu verschl\u00fcsseln. Dies geht aus den Richtlinien des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) hervor. Das bedeutet, dass zum einen die E-Mail, die versendet wird, mit dem RSASSA-PSS-Algorithmus signiert sein muss. Dies m\u00fcssen Sie in Ihrer Signatursoftware oder E-Mail-Gateway einstellen. Zum anderen muss das Zertifikat, welches von einer Zertifizierungsstelle ausgestellt wird, mit dem Signaturalgorithmus RSASSA-PSS signiert worden sein.<\/p>\n <\/p>\n Die Bundesnetzagentur legte zum 20. Dezember 2016 ein Interimsmodell fest. Darin wurde die Vorgabe festgehalten, dass seit Juni 2017 s\u00e4mtliche \u00dcbertragungen von EDIFACT-Dateien per S\/MIME verschl\u00fcsselt und signiert sein m\u00fcssen. Festgehalten sind die Regelungen in den EDI@Energy \u201cRegelungen zum \u00dcbertragungsweg\u201d (PDF). Zum Januar 2017 liefen diverse von BSI und Bundesnetzagentur gew\u00e4hrte \u00dcbergangsregelungen aus; wir berichteten<\/a>.<\/p>\n Die zum Verschl\u00fcsseln und Signieren ben\u00f6tigten elektronischen Zertifikate konnten bis zum Jahresende 2018 entweder mit dem Verfahren SHA-256-RSA oder SHA-512-RSA oder auch mit dem neueren Verfahren RSASSA-PSS signiert werden. Zu dieser Zeit war das Einsetzen von RSASSA-PSS-signierten Zertifikaten lediglich nach beidseitigem Einverst\u00e4ndnis m\u00f6glich. In der Mitteilung 8 der Bundesnetzagentur wurde erkl\u00e4rt, dass diese Zustimmungspflicht ab 13. Juli 2018 entf\u00e4llt.<\/p>\n Die Bundesnetzagentur musste diese Regelung aktualisieren. Grund war, dass es zu diesem Zeitpunkt nicht gen\u00fcgend vertrauensw\u00fcrdige Zertifizierungsstellen gab, die die ben\u00f6tigten Zertifikate ausstellen konnten. Zudem hatte der BDEW auf weniger strenge Fristen gepocht. Die aktuelle Fassung der Bundesnetzagentur besagt, dass jegliche Zertifikate, welche ab dem 01.01.2019 ausgegeben werden, durch RSASSA-PSS signiert werden m\u00fcssen.<\/p>\n F\u00fcr Marktteilnehmer greift demnach die Pflicht zur Nutzung der RSASSA-PSS signierten Zertifikate.<\/p>\n <\/p>\n Sie k\u00f6nnen die RSASSA-PSS-Zertifikate<\/a> direkt bei uns erwerben. M\u00f6chten Sie dazu beraten werden, nehmen Sie gerne Kontakt<\/a> zu uns auf.<\/p>\n <\/p>\n Sie haben die Wahl aus folgenden Zertifikaten:<\/p>\n W\u00e4hrend die CA Atos aus Frankreich stammt, sitzt proTECTr in Deutschland und SwissSign in der Schweiz. Damit Sie mehr \u00fcber die Zertifizierungsstellen erfahren k\u00f6nnen, stellen wir Ihnen diese in unserem Blog vor. Die Atos IT Solutions and Services GmbH<\/a> machte den Anfang, die restlichen CAs folgen in den n\u00e4chsten Wochen.<\/p>\n <\/p>\n In unserem SSL-Wiki haben wir Ihnen einen Artikel bereitgestellt<\/a>, der Ihnen eine bebilderte Anleitung zur Installation eines solchen E-Mail-Zertifikats in Outlook bietet. Eine \u00dcbersicht zu allen Artikeln \u00fcber E-Mail-Zertifikate finden Sie an dieser Stelle<\/a>.<\/p>\n Sofern Sie RSASSA-PSS signierte Zertifikate verwenden m\u00f6chten, ist zu beachten, dass Ihre Software diese unterst\u00fctzt.<\/p>\n <\/p>\n Sie k\u00f6nnen in Ihrem E-Mail-Client pr\u00fcfen, welches E-Mail-Zertifikat Sie nutzen. In Outlook klicken Sie daf\u00fcr in der Registerkarte \u201eDatei\u201c auf \u201eOptionen\u201c. Klicken Sie nun auf „Trust Center“. Im rechten Bereich klicken Sie auf \u201eEinstellungen f\u00fcr das Trust Center\u201c. Nun klicken Sie im linken Bereich auf \u201eE-Mail-Sicherheit\u201c. Unter \u201eVerschl\u00fcsselte E-Mail-Nachrichten\u201c klicken Sie auf \u201eEinstellungen\u201c. Gehen Sie unter \u201eZertifikate und Algorithmen\u201c auf \u201eAusw\u00e4hlen\u201c. Suchen Sie das gew\u00fcnschte Zertifikat und klicken Sie auf \u201eZertifikat anzeigen\u201c.<\/p>\n Im Zweifel sind auch wir f\u00fcr Sie da! Fragen Sie sich, ob Sie das richtige Zertifikat verwenden, oder haben Sie allgemeine Fragen zu RSASSA-PSS? Nehmen Sie Kontakt<\/a> zu uns auf – wir stehen Ihnen Rede und Antwort!<\/p>\nWer ist zur Verschl\u00fcsselung mit RSASSA-PSS verpflichtet?<\/h3>\n
Wie kam es zur RSASSA-PSS-Pflicht?<\/h3>\n
Wo k\u00f6nnen RSASSA-PSS-Zertifikate erworben werden?<\/h4>\n
Welche RSASSA-PSS-Zertifikate gibt es?<\/h4>\n
\n
Wie installiere ich ein solches Zertifikat?<\/h4>\n
Woher wei\u00df ich, ob ich das richtige Zertifikat verwende?<\/h2>\n