UNTERSCHRIFTSREGLEMENT der WizzAir Hungary Kft.für das
Transcription
UNTERSCHRIFTSREGLEMENT der WizzAir Hungary Kft.für das
UNTERSCHRIFTSREGLEMENT der WizzAir Hungary Kft.für das elektronische System zur Ausstellung von Rechnungen Individuelle Objekt-ID-Nummer (OID): 1.3.6.1.4.1.18665.1.2 Version: 1.0 Datum des Inkrafttretens: 01-10-2005 2 Handhabung von Änderungen Version Datum Beschreibung der Änderung Draft1 01-07-2005 Erste Arbeitsversion. Draft2 29-08-2005 Erweiterte und spezifizierte Arbeitsversion. 1.0 01-10-2005 Erster gültiger Zustand. Unterschriftsreglement Unterschriftsreglement 3 Inhaltsverzeichnis HANDHABUNG VON ÄNDERUNGEN .......................................................................................................................... 2 1. EINLEITUNG............................................................................................................................................................. 5 2. ANGABEN BEZÜGLICH DES UNTERSCHRIFTREGLEMENTS.................................................................. 6 3. 2.1. UNTERSCHRIFTSREGLEMENT-ID .......................................................................................................................... 6 2.2. GELTUNGSBEREICH DES UNTERSCHRIFTSREGLEMENTS ...................................................................................... 6 2.2.1. Gegenständlicher Geltungsbereich des Reglements ..................................................................................... 6 2.2.2. Territorialer Geltungsbereich des Reglements ............................................................................................. 6 2.2.3. Zeitlicher Geltungsbereich des Reglements .................................................................................................. 6 2.2.4. Personeller Geltungsbereich des Reglements ............................................................................................... 6 2.3. INSTANDHALTUNG DES UNTERSCHRIFTREGLEMENTS (HANDHABUNG VON ÄNDERUNGEN)............................... 7 2.4. BEKANNTGABE DES REGLEMENTS ....................................................................................................................... 7 2.5. VERBUNDENE REGLEMENTS UND DOKUMENTE ................................................................................................... 8 REGLEMENT DER GELTENDMACHUNG VON UNTERSCHRIFTEN....................................................... 9 3.1. ART DER ÜBERNAHME VON VERPFLICHTUNGEN IM FALLE 3.2. REGELN BEZÜGLICH DER GELTENDMACHUNGSDATEN ........................................................................................ 9 3.2.1. Verpflichtungen der unterzeichnenden Partei............................................................................................... 9 3.2.2. Verpflichtungen der die Unterschrift kontrollierenden Partei ................................................................... 10 3.3. REGELN BEZÜGLICH DES FORMATS ................................................................................................................... 10 3.3.1. Formate, die elektronisch unterzeichnet werden können............................................................................ 10 3.3.2. Format der elektronischen Unterschrift...................................................................................................... 10 3.4. REGELN BEZÜGLICH DER INANSPUCHNAHME VON AUTHENTIZITÄTS-DIENSTLEISTERN ................................... 11 3.4.1. Regeln bezüglich der Zertifizierungskette ................................................................................................... 11 3.4.2. Widerrufsregeln ........................................................................................................................................... 12 3.5. REGELN BEZÜGLICH DER INANSPRUCHNAHME VON ZEITSTEMPEL-DIENSTLEISTERN ....................................... 12 3.5.1. Regeln bezüglich der Zertifizierungskette ................................................................................................... 12 3.5.2. Widerrufsregeln ........................................................................................................................................... 13 3.5.3. Regeln bezüglich der Wartezeit ................................................................................................................... 13 3.5.4. Regeln bezüglich der Verzögerung des Zeitstempelns................................................................................ 13 3.6. 4. ELEKTRONISCHER UNTERSCHRIFTEN ...................... 9 REGELN BEZÜGLICH DER ALGORITHMUSBINDUNGEN UND CHIFFRELÄNGEN ................................................... 13 ERSTELLUNG DER UNTERSCHRIFT .............................................................................................................. 16 4.1. VORBEREITUNGEN ZUR ERSTELLUNG DER UNTERSCHRIFT ............................................................................... 16 4.1.1. Installation des Integrierten Unterschriftmoduls Marketline ..................................................................... 16 4.1.2. Chiffregenerierung....................................................................................................................................... 16 4 4.1.3. 4.2. PROZESS DER ERSTELLUNG DER UNTERSCHRIFT ............................................................................................... 17 Angabe der Aktivierungsdaten..................................................................................................................... 17 4.2.2. Erstellung der Unterschrift.......................................................................................................................... 17 4.2.3. Anfängliche Kontrolle der Unterschrift durch die unterzeichnende Partei ............................................... 17 4.2.4. Gültigkeit der Unterschrift .......................................................................................................................... 17 BESONDERE REGELN DES WIDERRUFS UND DER AUSSERKRAFTSETZUNG ......................................................... 18 KONTROLLE DER UNTERSCHRIFT................................................................................................................ 19 5.1. VORBEREITUNGEN ZUR KONTROLLE DER UNTERSCHRIFT ................................................................................ 19 5.1.1. Installation von Verify.................................................................................................................................. 19 5.1.2. Installation der Dienstleistungs- und Root-Zertifikate ............................................................................... 19 5.2. 6. Installation der Dienstleistungs- und Root-Zertifikate ............................................................................... 16 4.2.1. 4.3. 5. Unterschriftsreglement PROZESS DER UNTERSCHRIFTKONTROLLE ......................................................................................................... 20 5.2.1. Geltendmachungsdaten der Unterschrift .................................................................................................... 20 5.2.2. Gültigkeit der Unterschrift .......................................................................................................................... 20 BEGRIFFSBESTIMMUNGEN .............................................................................................................................. 22 5 1. Unterschriftsreglement Einführung Das vorliegende Dokument ist das Unterschriftreglement des elektronischen Systems zur Ausstellung von Rechnungen der WizzAir Hungary Kft. und dessen Transaktionsumfeldes. Das Dokument bezieht sich auf die Tätigkeit der Unterzeichnung und Kontrolle von Unterschriften derjenigen Parteien, die an der Ausstellung und Akzeptierung von Rechnungen teilnehmen. Das vorliegende Unterschriftsreglement bestimmt im Systems zur Ausstellung von Rechnungen in erster Linie Anforderungen bezüglich der zwei untenstehenden Module: • bezüglich des qualifizierten Produktes der T-Online Magyarország Részvénytársaság mit dem Namen Marketline Integrált Aláíró Modul (Integriertes Unterschriftsmodul Marketline, im Weiteren: MIAM), das die Unterzeichnung der elektronischen Rechnungen, deren anfängliche Kontrolle, die die nachträgliche Kontrolle der Unterschrift unterstützt, sowie die Archivierung dieser verrichtet, sowie • bezüglich des kostenlos herunterladbaren (nicht qualifizierten) Produktes mit dem Namen MultiSigno Verify (im Weiteren: Verify), mit dessen Hilfe der Adressat der Rechnung die Unterschrift der elektronischen Rechnung kontrollieren kann. Unterschriftsreglement 6 2. Angaben bezüglich des Unterschriftreglements 2.1. Unterschriftreglement-ID Individuelle ID des Unterschriftreglements: siehe den auf dem Deckblatt angeführten Wert Ausstellungsdatum des Unterschriftreglements: siehe das auf dem Deckblatt angeführte Datum Aussteller des Unterschriftreglements: WizzAir Hungary Kft. 2.2. Geltungsbereich des Unterschriftreglements 2.2.1. Gegenständlicher Geltungsbereich des Reglements Der gegenständliche Geltungsbereich des Unterschriftsreglements erstreckt sich auf das elektronische Systems zur Ausstellung von Rechnungen der WizzAir Hungary Kft. und der damit realisierten Transaktionen, insbesondere auf das Integrierte Unterschriftsmodul Marketline und auf das Programm MultiSigno Verify. 2.2.2. Territorialer Geltungsbereich des Reglements Der territoriale Geltungsbereich des Unterschriftreglements ist das gesamte Gebiet Ungarns. 2.2.3. Zeitlicher Geltungsbereich des Reglements Das Unterschriftreglement gilt für unbestimmte Zeit ab dem Datum des Inkrafttretens, das für die vorliegende Version gilt und auf dem Deckblatt, sowie in der Tabelle über die Handhabung der Änderungen angeführt ist. Der zeitliche Geltungsbereich des Unterschriftreglements erlischt im Falle des Widerrufs des Unterschriftreglements bzw. im Falle des Inkrafttretens einer neueren Version. 2.2.4. Personeller Geltungsbereich des Reglements Der personelle Geltungsbereich des Unterschriftreglements erstreckt sich auf die Personen, die das elektronische Systems der WizzAir Hungary Kft zur Ausstellung von Rechnungen. benutzen (die für das elektronische Unterzeichnen Lassen der Rechnungen verantwortlich sind), sowie auf die 7 Unterschriftsreglement Adressaten der ausgestellten Rechnungen (auf die Kunden, die die elektronischen Rechnungen der WizzAir Hungary Kft. akzeptieren und die elektronische Unterschrift der Rechungen kontrollieren). 2.3. Instandhaltung des Unterschriftreglements (Handhabung von Änderungen) Das Unterschriftreglement kann von der WizzAir Hungary Kft. ohne vorherige Information zu jeder Zeit modifiziert werden. Das modifizierte Reglement wird von der WizzAir Hungary Kft. mindestens 2 Tage vor Inkrafttreten zur Information ihrer Kunden, die die unterschriebenen Rechnungen akzeptieren, bekanntgegeben. Die Kunden werden davon benachrichtigt. Die früheren Versionen des außer Kraft gesetzten Reglements werden von der WizzAir Hungary Kft. aufbewahrt. Den interessierten Parteien wird auf Ersuchen ein Exemplar zur Verfügung gestellt. Das aktuelle (vorliegende) Unterschriftreglement wird von den Kunden der WizzAir Hungary Kft., die die elektronischen Rechnungen annehmen, akzeptiert und als für sie geltend angesehen. Im Falle der Modifizierung des Reglements dürfen die Kunden der WizzAir Hungary Kft., die die elektronischen Rechnungen akzeptieren, bis zum Inkrafttreten des neuen Reglements Einwände formulieren. Das Versäumen der Formulierung von Einwänden ist gleichbedeutend mit der Akzeptierung des Reglements. 2.4. Bekanntgabe des Reglements Die aktuelle Version des Unterschriftsreglements wird von der WizzAir Hungary Kft. auf ihrer Homepage bekannt gegeben. Das Reglement wird im PDF-Format veröffentlicht. 8 2.5. Unterschriftsreglement Verbundene Reglements und Dokumente Das vorliegende Unterschriftreglement wurde entsprechend des AuthentifikationsDienstleistungsreglements der Matáv (Matáv Hitelesítési Szolgáltatási Szabályzata), den Zertifikationsreglements der Zertifikatarten der Matáv (Matáv tanúsítványtípusok Tanúsítvány Szabályzatai), sowie der Zeitstempel-Dienstleistungspolitik der Zeitstempel-Dienstleistung der Matáv (Matáv időbélyegzés-szolgáltatás Időbélyegzés Szolgáltatási Politikája) erstellt. Für die Regeln der Generierung und Speicherung von bestimmten kryptografischen Chiffren, die im elektronischen Unterschriftssystem der WizzAir Hungary Kft. verwendet werden, gilt ein eigenes internes Reglement (Chiffre-Handhabungsreglement des elektronischen Systems zur Ausstellung von Rechnungen der WizzAir Hungary Kft.). Die Verwendung des Integrierten Unterschriftmoduls Marketline wird in der Betriebsniederschrift des MIAM erörtert. Die Verwendung von Verify wird in der pdf-Datei vorgestellt, die der Applikation beigefügt wurde. Matáv-Reglements Die Ausstellung und Handhabung von Zertifikaten, die von der WizzAir Hungary Kft. zur Ausstellung der Rechnungen verwendet werden, werden entsprechend des AuthentifikationsDienstleistungsreglements der Matáv Rt. und des Gesteigerten Geschäfts-Zertifikationsreglements e-Szignó (e-Szignó Fokozott Üzleti Tanúsítvány Szabályzata) verrichtet. Die Zeitstempel-Dienstleistung wird von der Matáv Rt. entsprechend der ZeitstempelDienstleistungspolitik der Zeitstempel-Dienstleistung von Matáv sowie des Qualifizierten Authentifikations- und Zeitstempel-Dienstleistungsreglements e-Szignó (Minősített e-Szignó Hitelesítés- és Időbélyegzés-szolgáltatási Szabályzata) verrichtet. Die oben genannten öffentlichen Reglements sind über die Homepage von e-Szignó zu erreichen. Unterschriftsreglement 9 3. Reglement der Geltendmachung von Unterschriften 3.1. Art der Übernahme von Verpflichtungen im Falle elektronischer Unterschriften Jede elektronische Unterschrift bedeutet auch gleichzeitig die Übernahme von Verpflichtungen. Das vorliegende Unterschriftreglement verordnet bezüglich sämtlicher elektronischer Unterschriften, für die das vorliegende Reglement gilt, die folgende Art der Übernahme von Verpflichtungen: Mit der Unterzeichnung der elektronischen Rechnungen bestätigt der Unterzeichner (die WizzAir Hungary Kft., in deren Namen die unterzeichnende Person ein hierzu ermächtigter Mitarbeiter ist), dass die Rechnung zu dem Zeitpunkt, der in der Unterschrift vermerkt ist, und im Namen der WizzAir Hungary Kft., die im Zertifikat zur Kontrolle der Unterschrift angeführt ist, vom Unterzeichner erstellt, gebilligt und verschickt wurde. Die so erstellte elektronische Rechnung gilt als offizielle Firmenzeichnung der WizzAir Hungary Kft. Da das Unterschriftreglement für sämtliche Unterschriften, auf die sich das Reglement bezieht, eine einzige Übernahme von Verpflichtungen bestimmt, beziehen sich im Weiteren die Regeln bezüglich der Gültigkeit (Erstellung und Kontrolle) der Unterschriften einheitlich auf die Unterzeichnung aller elektronischen Rechnungen. 3.2. Regeln bezüglich der Geltendmachungsdaten Unterschriften erstellende und akzeptierende Parteien, auf die sich das vorliegende Unterschriftreglement bezieht, müssen hinsichtlich ihrer Verantwortung mit folgenden Anforderungen rechnen: 3.2.1. Verpflichtungen der unterzeichnenden Partei Die Partei, die die elektronische Rechnung unterzeichnet (WizzAir Hungary Kft.), muss außer der Erstellung der Unterschrift auch die anfängliche Kontrolle der Unterschrift durchführen. Mit diesen beiden Tätigkeiten muss sie sämtliche Geltendmachungsdaten gewährleisten, die dazu notwendig sind, dass die elektronische Unterschrift im Nachhinein nicht abgestritten werden kann. Die unterzeichnende Partei muss die elektronische Unterschrift bei der Erstellung dieser mit Folgendem ergänzen: • ID-Nummer des vorliegenden Unterschriftreglements (als unterzeichnetes Unterschriftsmerkmal), • Anwenderzertifikat, das Unterschriftsmerkmal), • Zeitstempel (als nicht unterzeichnetes Unterschriftsmerkmal). zur Unterschrift verwendet wird (als unterzeichnetes 10 Unterschriftsreglement Die unterzeichnende Partei muss bei der anfänglichen Kontrolle der Unterschrift (die nach Ablauf der unter Punkt 3.5.3 festgelegten Wartezeit durchgeführt werden muss) die elektronische Unterschrift durch Folgendes ergänzen: • innerhalb von 24 Stunden nach dem Zeitpunkt der Unterzeichnung ausgestellte gültige Widerrufsliste, • zur Unterzeichnung der Widerrufsliste verwendetes Dienstleistungszertifikat (als nicht unterzeichnetes Unterschriftmerkmal). Die Erstellung der Unterschrift wird in Kapitel 4 erläutert. 3.2.2. Verpflichtungen der die Unterschrift kontrollierenden Partei Die Parteien, die die elektronische Rechnung akzeptieren (die Unterschrift kontrollieren), können die Gültigkeit der elektronischen Unterschrift nach Eingehen der Rechnung kontrollieren. Im Laufe dieser Kontrolle müssen die kontrollierenden Parteien keine Geltendmachungsdaten einholen. Sie können die Kontrolle der Unterschrift ausschließlich auf Grund der Geltendmachungsdaten, die in der Unterschrift zu finden sind und vom Unterzeichner dort bereits angebracht wurden, bzw. auf Grund der verlässlichen Zertifikate durchführen, die bereits früher in den Zertifikationsspeichern installiert wurden (sie müssen also keine anfängliche Kontrolle durchführen, sondern nehmen direkt eine nachträgliche Kontrolle vor). Der Prozess der Kontrolle der Unterschrift wird in Kapitel 5 erläutert. 3.3. Regeln bezüglich des Formats 3.3.1. Formate, die elektronisch unterzeichnet werden können Im elektronischen Systems zur Ausstellung von Rechnungen der WizzAir Hungary Kft. können ausschließlich elektronische Rechnungen (Rechnungsbilder) im pdf-Format unterzeichnet werden. 3.3.2. Das Format der elektronischen Unterschrift Die unterzeichnende Partei muss die Unterschrift in einem Format erstellen, die der Norm XMLSignature RFC 3275 (XML-Signature Syntax and Processing) entspricht. Die elektronische Rechnung enthält lediglich eine Unterschrift; auf die mehrfache Erstellung von Unterschriften muss man sich im System nicht vorbereiten. Die anfängliche Kontrolle, die von der unterzeichnenden Partei im Anschluss an die Erstellung der Unterschrift, nach Ablauf der Wartezeit (siehe Punkt 3.5.3), durchgeführt wird, darf das obige normgerechte Format nicht modifizieren. Sie tauscht lediglich die Widerrufsliste gegen die aktuelle Widerrufsliste aus. Die kontrollierenden Parteien müssen die nachträgliche Kontrolle der Unterschrift auf eine elektronische Unterschrift hin durchführen, die der erhaltenen Norm XML-Signature RFC 3275 entspricht und eine einmalige Unterschrift enthält. 11 Unterschriftsreglement 3.4. Regeln bezüglich der Inanspruchnahme von AuthentizitätsDienstleistern 3.4.1. Regeln bezüglich der Zertifizierungskette Im elektronischen Rechnungsausstellungssystem der WizzAir Hungary Kft. dürfen ausschließlich Anwenderzertifikate angewandt werden, die von der Matáv Rt. im Rahmen ihrer Dienstleistung eSzignó ausgestellt werden und deren Registrierung von der Matáv Rt. durchgeführt wurde. Die Anwenderzertifikate sind mit Hilfe von Folgendem identifizierbar: • Aussteller (Issuer: CN = Matav Shared CA / OU = Matav Trust Center / O = Matav Rt. / C = HU), • Seriennummer (SerialNumber: Seriennummer). Die Anwenderzertifikate verfügen über ein erhöhtes Sicherheitsmaß und eine Gültigkeitsdauer von einem Jahr. Die im System ausgestellten Anwenderzertifikate werden mit dem Dienstleistungszertifikat der Ausstellungs-Authentifizierungseinheit der Matáv unterzeichnet (authentifiziert). Das Dienstleistungszertifikat ist auf Grund folgender Daten identifizierbar: • Seriennummer (SerialNumber: 0084) • Aussteller (Issuer: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) • Subjekt (Subject: CN = Matav Shared CA / OU = Matav Trust Center / O = Matav Rt. / C = HU) • SHA1 Abdruck: DF62 0A85 75A4 62AC 77E6 CDA0 AD5D AB2A A41B 0B2A Das Dienstleistungszertifikat verfügt über ein erhöhtes Sicherheitsmaß und eine Gültigkeitsdauer von 5 Jahren. Das Zertifikat der Ausstellungs-Authentifizierungseinheit der Matáv wird mit der eigenen Unterschrift des Zertifikats der Root-Authentifizierungseinheit der Deutschen Telekom authentifiziert. Das Root-Zertifikat ist auf Grund folgender Daten identifizierbar: • Seriennummer (SerialNumber: 0024) • Aussteller (Issuer: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) • Subjekt (Subject: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) • SHA1 Abdruck: 9E6C EB17 9185 A29E C606 0CA5 3E19 74AF 94AF 59D4 12 Unterschriftsreglement Das Root-Zertifikat verfügt über ein erhöhtes Sicherheitsmaß und eine Gültigkeitsdauer von 20 Jahren. 3.4.2. Widerrufsregeln Zur Kontrolle der Gültigkeit der Anwenderzertifikate müssen auch die Widerrufslisten angewandt werden. Die Widerrufslisten werden von der Ausstellungs-Authentifizierungseinheit unterschrieben und ausgestellt, höchstens alle 24 Stunden. der Matáv Die Widerrufslisten sind für die unterzeichnende Partei aus dem Zertifikatsspeicher der Matáv über die in den Anwenderzertifikaten angegebene Adresse erreichbar. Die Widerrufsliste ist für die kontrollierende Partei aus der elektronischen Unterschrift zu gewinnen. Die Widerrufslisten werden vom selben Zertifikat der Ausstellungs-Authentifizierungseinheit authentifiziert wie die der Anwenderzertifikate (siehe Dienstleistungszertifikat unter Punkt 3.3.1). Die zu den Anwenderzertifikaten gehörigen Widerrufslisten können und müssen mit diesem Zertifikat kontrolliert werden. Zur Kontrolle der Gültigkeit des Dienstleistungszertifikats und des Root-Zertifikats müssen keine Widerrufslisten angewandt werden. 3.5. Regeln bezüglich der Inanspruchnahme von ZeitstempelDienstleistern Das vorliegende Unterschriftsreglement verlangt auch die Anwendung von Zeitstempeln. 3.5.1. Regeln bezüglich der Zertifizierungskette Im elektronischen Rechnungsausstellungssystem der WizzAir Hungary Kft. dürfen ausschließlich die durch die Matáv Rt. erteilten Zeitstempel angewandt werden. Das zur Unterzeichnung von Zeitstempeln verwendete Dienstleistungszertifikat der Matáv Rt. ist auf Grund folgender Daten identifizierbar: • Aussteller (Issuer: CN = Matav Minositett Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) • Erweiterte Chiffre-Nutzung (ExtendedKeyUsage: 1.3.6.1.5.5.7.3.8 /Zeitstempel/) Das zur Unterzeichnung der Zeitstempel verwendete Dienstleistungszertifikat wird vom RootZertifikat vom Qualifizierten Authentifizierungs-Dienstleister Matáv als RootAuthentifizierungseinheit (mit seiner Unterschrift) authentifiziert. Unterschriftsreglement 13 Dieses Root-Zertifikat ist auf Grund folgender Daten identifizierbar: • Seriennummer (SerialNumber: 01) • Aussteller (Issuer: CN = Matav Minositett Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) • Subjekt (Subject: CN = Matav Minositett Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) • SHA1 Abdruck: 691D 25F1 298B 8ECC EF4E FC77 04CE D79F BDCA AE2D 3.5.2. Widerrufsregeln Zur Kontrolle der Gültigkeit des zur Unterzeichnung der Zeitstempel verwendeten Dienstleistungszertifikats und des dieses authentifizierenden Root-Zertifikats müssen keine Widerrufslisten angewandt werden. 3.5.3. Regeln bezüglich der Wartezeit Die unterzeichnende Partei führt die anfängliche Kontrolle erst nach Erstellung der Unterschrift, nach Ablauf einer Wartezeit von 24 Stunden durch. Die unterzeichnende Partei darf den kontrollierenden Parteien die unterzeichnete elektronische Rechnung erst nach Durchführung der anfänglichen Kontrolle (in der während dieser Kontrolle mit Geltendmachungsdaten endgültig ergänzten Form) zur Verfügung stellen. 3.5.4. Regeln bezüglich der Verzögerung des Zeitstempelns Das vorliegende Unterschriftreglement erwartet nicht, dass der Zeitunterschied zwischen dem in der Unterschrift angebrachten Zeitpunkt der Unterzeichnung und dem im Zeitstempel angegebenen Zeitpunkt untersucht wird. Sowohl während der anfänglichen, als auch während der nachträglichen Kontrolle muss als Zeitpunkt der Erstellung der Unterschrift der im Zeitstempel angegebene Zeitpunkt angesehen werden. (Die kontrollierenden Parteien müssen die Gültigkeit der Zertifikate bei der Kontrolle der Unterschrift gemäß diesem Zeitpunkt untersuchen.) 3.6. Regeln bezüglich der Algorithmusbindungen und Chiffrelängen Im elektronischen Systems zur Ausstellung von Rechnungen der WizzAir Hungary Kft. dürfen für die Unterschriften ausschließlich folgende Algorithmen bei folgender Mindestchiffrenlänge angewandt werden: Zur Unterzeichnung von elektronischen Rechnungen (Anwenderzertifikate): • RSA Unterzeichnungsalgorithmus mit einer Chiffrelänge von 1024 Bit, 14 • • SHA-1 Abdruck bildender Algorithmus, PKCS #1 (emsa-pkcs1-v1_5) Ladealgorithmus. Zur Unterzeichnung von Anwenderzertifikaten (Dienstleistungszertifikat): • • • RSA Unterzeichnungsalgorithmus mit einer Chiffrelänge von 2048 Bit, SHA-1 Abdruck bildender Algorithmus, PKCS #1 (emsa-pkcs1-v1_5) Ladealgorithmus. Zur Unterzeichnung von Widerruflisten (Dienstleistungszertifikat): • • • RSA Unterzeichnungsalgorithmus mit einer Chiffrelänge von 2048 Bit, SHA-1 Abdruck bildender Algorithmus, PKCS #1 (emsa-pkcs1-v1_5) Ladealgorithmus. Zur Unterzeichnung von Zeitstempeln (Dienstleistungszertifikat): • • • RSA Unterzeichnungsalgorithmus mit einer Chiffrelänge von 2048 Bit, SHA-1 Abdruck bildender Algorithmus, PKCS #1 (emsa-pkcs1-v1_5) Ladealgorithmus. Unterschriftsreglement 15 Unterschriftsreglement Zur Unterzeichnung der zur Unterzeichnung der Anwenderzertifikate und Widerruflisten verwendeten Dienstleistungszertifikate (1. Root-Zertifikat): • RSA Unterzeichnungsalgorithmus mit einer Chiffrelänge von 1024 Bit, • MD5 Abdruck bildender Algorithmus, • PKCS #1 (emsa-pkcs1-v1_5) Ladealgorithmus. Zur Unterzeichnung des zur Unterzeichnung des Zeitstempels Dienstleistungszertifikats (2. Root-Zertifikat): • RSA Unterzeichnungsalgorithmus mit einer Chiffrelänge von 2048 Bit, • SHA-1 Abdruck bildender Algorithmus, • PKCS #1 (emsa-pkcs1-v1_5) Ladealgorithmus. verwendeten 16 4. Unterschriftsreglement Erstellung der Unterschrift 4.1. Vorbereitungen zur Erstellung der Unterschrift Im zentralen System der unterzeichnenden Partei (WizzAir Hungary Kft.) sind zahlreiche Vorbereitungen notwendig, um die Unterzeichnung der elektronischen Rechnungen durchführen zu können. 4.1.1. Installation des Integrierten Unterschriftmoduls Marketline Im zentralen System, das die Unterzeichnung und anfängliche Kontrolle der elektronischen Rechnungen durchführt, muss unter Mitwirkung der Programmentwickler das Integrierte Unterschriftmodul Marketline installiert werden. Im Laufe der Installation muss die Versionsnummer des durch das Integrierte Unterschriftmodul Marketline verwendeten MultiSigno Developers kontrolliert werden. 4.1.2. Chiffregenerierung Die durch das Integrierte Unterschriftmodul Marketline verwendeten Chiffren werden von denjenigen Personen auf Softwareweg in ihrem Browser generiert und auf den Server, der das Integrierte Unterschriftmodul Marketline ausführt (DigSig), hinaufgeladen, die im Namen der WizzAir Hungary Kft. unterzeichnen. Die Regeln der Chiffregenerierung und Speicherung werden detailliert im „Chiffre-Handhabungsreglement des elektronischen Systems zur Ausstellung von Rechnungen der WizzAir Hungary Kft.“ erörtert. 4.1.3. Installation der Dienstleistungs- und Root-Zertifikate Die zur Erstellung und anfänglichen Kontrolle der Unterschriften notwendigen Dienstleistungs- und Root-Zertifikate müssen als verlässliche Zertifikate im Zertifikatsspeicher des WindowsOperationssystems desjenigen Rechners gespeichert werden, der das Integrierte Unterschriftmodul Marketline ausführt. Dadurch kann gewährleistet werden, dass diese bei der Kontrolle der Unterschrift nicht jedes Mal manuell kontrolliert werden müssen. Die sichere Auswahl und Speicherung dieser Zertifikate ist hinsichtlich der Sicherheit des Systems von herausragender Bedeutung. Der Zertifikatsspeicher darf nur diejenigen Dienstleistungs- und Root-Zertifikate als verlässliche Zertifikate enthalten, die zum Betrieb des Systems notwendig sind und die gemäß dem unter Punkt 3.4.1 und 3.5.1 Festgehaltenen eindeutig identifizierbar sind. Sämtliche sonstigen, vorab installierten Zertifikate müssen aus dem Zertifikatsspeicher gelöscht werden und auch später darf kein anderes Zertifikat auf den jeweiligen Rechner installiert werden. Auf dem Rechner, der das Integrierte Unterschriftmodul Marketline ausführt, muss über den logischen und physischen Schutz des Operationssystems sowie des Rechners die Sicherheit des Zertifikatsspeichers gewährleistet werden. Dieser Schutz muss sicherstellen, dass es auf unbefugte Unterschriftsreglement 17 Art und Weise unmöglich ist, Zertifikate aus dem Zertifikatsspeicher zu löschen und Zertifikate in den Zertifikatsspeicher aufzunehmen. 4.2. Prozess der Erstellung der Unterschrift 4.2.1. Angabe der Aktivierungsdaten Das Integrierte Unterschriftmodul Marketline führt die elektronischen Unterschriften automatisch, ohne menschliche Beteiligung und Bestätigung aus. Für die Aktivierung der Privatchiffren müssen gemäß den Vorschriften des „ChiffreHandhabungsreglements des elektronischen Systems zur Ausstellung von Rechnungen der WizzAir Hungary Kft.“ beim Beginn der Tätigkeit diejenigen Eigentümer sorgen, die die Aktivierungsdaten kennen. 4.2.2. Erstellung der Unterschrift Das Integrierte Unterschriftmodul Marketline erstellt die Unterschriften auf Softwareweg, ohne ein eigenes Unterzeichnungsmittel. 4.2.3. Anfängliche Kontrolle der Unterschrift durch die unterzeichnende Partei Nach Ablauf der Wartezeit nach Erstellung der Unterschrift (siehe Punkt 3.5.3) führt das Integrierte Unterschriftmodul Marketline auf die Unterschrift hin auch eine anfängliche Kontrolle durch. Die Unterschrift (und dadurch die unterzeichnete elektronische Rechnung) können nur dann finalisiert werden, wenn diese anfängliche Kontrolle der Unterschrift ein gültiges Ergebnis ergibt. 4.2.4. Gültigkeit der Unterschrift Die Kontrolle der anfänglichen Unterschrift und damit die Erstellung der Unterschrift sind „gültig“, wenn die untenstehenden Bedingungen alle gleichzeitig erfüllt werden: • Das Unterzeichnungsdokument ist kein leeres Dokument. • Der Unterzeichner verfügt über Unterschrift erstellende Daten (Privatchiffre). • Der Unterzeichner verfügt über ein Zertifikat. • Falls der Unterzeichner über mehrere Zertifikate und über Unterschrift erstellende Daten verfügt, so wählt er vorab eine von diesen aus. • Die Kontrolle der Unterschrift ergibt ein „gültiges“ Ergebnis. Die Erstellung der Unterschrift ist „ungültig“, wenn auch nur eine der untenstehenden Bedingungen erfüllt wird: • Das Unterzeichnungsdokument ist eine leere Datei. • Der Unterzeichner verfügt über keine Unterschrift erstellenden Daten (Privatchiffre). 18 Unterschriftsreglement • Der Unterzeichner verfügt über kein Zertifikat. • Der Unterzeichner verfügt über mehrere Zertifikate und auch über Unterschrift erstellende Daten und hat vorab keine von diesen ausgewählt. • Die Kontrolle der Unterschrift ergibt ein „ungültiges“ Ergebnis. • Der Download der Widerrufsliste ist nicht erfolgreich und die Kontrolle der Unterschrift ergibt deshalb ein „unbeendetes“ Ergebnis. Falls die Erstellung der Unterschrift ungültig ist, so werden die zu unterzeichnenden Daten aus dem System nicht weitergeleitet und der Unterzeichner wird darauf hingewiesen. 4.3. Besondere Regeln des Widerrufs und der Außerkraftsetzung Die unterzeichnenden Parteien (die im Namen der WizzAir Hungary Kft. unterzeichnenden Personen) müssen im Falle des Widerrufs oder der Außerkraftsetzung ihres Zertifikates unter Befolgung des im Zertifikatsreglement der Matáv (Matáv Tanúsítvány Szabályzata) den Kundendienst der Matáv Rt. und diejenige Organisationseinheit der WizzAir Hungary Kft. benachrichtigen, die das elektronische Systems zur Ausstellung von Rechnungen betreibt. Falls der Widerruf bzw. die Außerkraftsetzung aus einem Grund eingetreten ist, als dessen Folge nicht auszuschließen ist, dass die Unterschrift des Unterzeichners missbraucht wird, muss die unterzeichnende Partei alles daran setzen, einen eventuellen Missbrauch auszuschließen. 19 5. Unterschriftsreglement Kontrolle der Unterschrift 5.1. Vorbereitungen zur Kontrolle der Unterschrift Auch auf dem Computer der kontrollierenden Partei (Empfänger der elektronischen Rechnung) sind mehrere Vorbereitungen notwendig, um die Unterschrift der elektronischen Rechnungen kontrollieren zu können. 5.1.1. Installation von Verify Auf den Computer, der die elektronische Kontrolle der Rechnungen durchführt, muss das Programm Verify von MultiSigno installiert werden. Das Programm kann unter der Adresse http://www.kopdat.hu/multisigno oder http://www.multisigno.hu heruntergeladen werden. 5.1.2. Installation der Dienstleistungs- und Root-Zertifikate Die zur Erstellung und anfänglichen Kontrolle der Unterschriften notwendigen Dienstleistungs- und Root-Zertifikate müssen als verlässliche Zertifikate im Zertifikatsspeicher des WindowsOperationssystems desjenigen Rechners gespeichert werden, der Verify ausführt. Dadurch kann gewährleistet werden, dass diese bei der Kontrolle der Unterschrift nicht jedes Mal manuell kontrolliert werden müssen. Die sichere Auswahl und Speicherung dieser Zertifikate ist hinsichtlich der Sicherheit des Systems von herausragender Bedeutung. Der Zertifikatsspeicher darf nur diejenigen Dienstleistungs- und Root-Zertifikate als verlässliche Zertifikate enthalten, die zum Betrieb des Systems notwendig sind und die gemäß dem unter Punkt 3.4.1 und 3.5.1 Festgehaltenen eindeutig identifizierbar sind. Diese Zertifikate können von der Homepage und aus dem Zertifikatsspeicher der Matáv unter folgender Adresse heruntergeladen werden (im Format PKCS#7 und CRT): http://www.eszigno.matav.hu unter dem Menüpunkt „Tanúsítványtár és nyilvántartások“ („Zertifikatsspeicher und Verzeichnisse“). Der Zertifikatsspeicher, der die Kontrolle durchführt, darf auch andere Zertifikate enthalten, die für die kontrollierende Partei aus irgendeinem anderen Grund notwendig sind. Für die Instandhaltung des Zertifikatsspeichers ist die kontrollierende Partei verantwortlich. Auf dem Rechner, der das Programm Verify ausführt, muss durch den logischen und physischen Schutz des Operationssystems sowie des Rechners die Sicherheit des Zertifikatsspeichers gewährleistet werden. Dieser Schutz muss sicherstellen, dass es auf unbefugte Art und Weise unmöglich ist, Zertifikate aus dem Zertifikatsspeicher zu löschen oder Zertifikate in den Zertifikatsspeicher aufzunehmen. 20 5.2. Unterschriftsreglement Prozess der Kontrolle der Unterschrift 5.2.1. Geltendmachungsdaten der Unterschrift Die zur Kontrolle der Unterschriften notwendigen untenstehenden Geltendmachungsdaten werden als Teil der Unterschrift an die kontrollierende Partei weitergeleitet: • • • Anwenderzertifikat, Zeitstempel, Widerrufsliste. Die zur Kontrolle der Unterschriften notwendigen untenstehenden Geltendmachungsdaten stehen der kontrollierenden Partei infolge der früheren Installation der Dienstleistungs- und RootZertifikate (siehe Punkt 5.1.2) zur Verfügung: • • • • Dienstleistungszertifikat, das zur Chiffre gehört, die das Anwenderzertifikat und die Widerrufsliste unterzeichnet (siehe Punkt 3.4.1), 1. Root-Zertifikat, das zur Chiffre gehört, die das obige Dienstleistungszertifikat unterzeichnet (siehe Punkt 3.4.1), Dienstleistungszertifikat, das zur Chiffre gehört, die den Zeitstempel unterzeichnet (siehe Punkt 3.5.1), 2. Root-Zertifikat, das zur Chiffre gehört, die das obige Dienstleistungszertifikat unterzeichnet (siehe Punkt 3.5.1). 5.2.2. Gültigkeit der Unterschrift Die durch die kontrollierenden Parteien durchgeführte Kontrolle der Unterschriften ergibt dann ein „gültiges Ergebnis“, wenn die untenstehenden Bedingungen alle gleichzeitig erfüllt werden: • • • • • • • • Das Anwenderzertifikat, der Zeitstempel und die Widerrufsliste können aus der unterzeichneten Datenmenge gewonnen werden. (Im Weiteren müssen diese zur Kontrolle verwendet werden). Die mit der öffentlichen Chiffre und dem Algorithmus, die im Anwenderzertifikat gefunden wurden, durchgeführte Kontrolle der Unterschrift ergibt ein „gültiges Ergebnis“. In der Zertifikatskette des Anwenderzertifikats kann das entsprechende Dienstleistungs- und Root-Zertifikat aus dem örtlichen Zertifikatsspeicher eingeholt werden. (Im Weiteren müssen diese zur Kontrolle verwendet werden). Die Kontrolle der Unterschriften auf dem Anwender-, Dienstleistungs- und Root-Zertifikat ergibt ein „gültiges“ Ergebnis. Der Ausstellungszeitpunkt der Widerrufsliste, die sich auf das Anwenderzertifikat bezieht, ist ein späterer, als der Zeitpunkt der Unterzeichnung (das heißt, als der Zeitpunkt im Zeitstempel). Die zur Kontrolle der Widerrufsliste notwendigen Dienstleistungs- und Root-Zertifikate können aus dem örtlichen Zertifikatsspeicher eingeholt werden. (Im Weiteren müssen diese zur Kontrolle verwendet werden). Die Kontrolle der zur Kontrolle der Widerrufsliste notwendigen Unterschriften auf den Dienstleistungs- und Root-Zertifikaten ergibt ein „gültiges“ Ergebnis. Die Widerrufsliste enthält das kontrollierte Anwenderzertifikat weder in außer Kraft gesetztem noch in widerrufenem Status. 21 • • • Unterschriftsreglement Das zur Kontrolle des Zeitstempels notwendige Dienstleistungs- und Root-Zertifikat kann aus dem örtlichen Zertifikatsspeicher eingeholt werden. (Im Weiteren müssen diese zur Kontrolle verwendet werden). Die Kontrolle der zur Kontrolle des Zeitstempels notwendigen Unterschriften auf dem Dienstleistungs- und Root-Zertifikat ergeben ein „gültiges“ Ergebnis. Der im Zeitstempel zu findende Abdruckwert ist mit dem Abdruck in der Unterschrift identisch. Im Laufe des obigen Kontrollprozesse muss die Anwendung bei der Kontrolle sämtlicher Zertifikate folgende Daten des Zertifikats kontrollieren: • • Gültigkeit (Kommt der Zeitpunkt des Unterzeichnens unter den Gültigkeitsdaten des Zertifikates vor?) Subjekt (Entspricht es dem im Unterschriftreglement Festgelegten?) Das im Zertifikat eventuell erscheinende finanzielle Limit muss von der Anwendung nicht untersucht und beachtet werden. Bei der Kontrolle und Deutung der Zertifikate ist gemäß dem in den Authentifizierungs- und Zertifikatsreglements der Matáv (Matáv Hitelesítési és Tanúsítvány Szabályzatai) Festgehaltenen vorzugehen. Unterschriftsreglement 22 6. Begriffsbestimmungen Im Unterschriftsreglement kommen folgende Termini in untenstehender Bedeutung vor: Zu unterzeichnende Daten Unterzeichnungsdokument zusammen mit den Unterschriftmerkmalen und optional mit sonstigen zu unterzeichnenden Informationen. Prozess der Kontrolle der Prozess, der den Anforderungen des Unterschriftsreglements Unterschrift (eventuell des Authentifizierungs- oder Dienstleistungsreglements) entsprechend eine elektronische Unterschrift authentifiziert. Unterschriftmerkmale Ergänzende Daten der Unterschrift, die dem Unterschriftreglement entsprechend zusammen mit dem Unterzeichnungsdokument unterzeichnet werden. Unterschrift handhabende Anwendung, die die Durchführung und/oder Kontrolle der Anwendung Unterschrift unterstützt. Unterschrift erstellende Privatchiffre, die zur Erstellung einer elektronischen Unterschrift Daten geeignet ist. Unterschreibender Kryptografischer Vorgang mit öffentlicher Chiffre, die mit Hilfe der Algorithmus Privatchiffre die Kodierung des Abdrucks durchführt. Unterschreibendes Mittel Hardware-Mittel, das mit Hilfe der auf dem Mittel gespeicherten Unterschrift erstellenden Daten die Erstellung der elektronischen Unterschrift durchführt. Typischer Weise eine intelligente Karte. Unterzeichnende Partei Natürliche Person oder Anwendung, die eine Transaktion bzw. ein Dokument unterzeichnet. Unterzeichnungsdokument Dokument mit beliebigem Inhalt, das die unterzeichnende Partei mit ihrer Unterschrift versehen möchte. Unterschriftsreglement 23 Unterzeichnete Datenmenge Elektronische Unterschrift und die Felder der formatierten, zu unterzeichnenden Daten, sowie sonstige, mit keiner Unterschrift versehene Informationen zusammen. Applet Anwendung, die auf den Rechner des Benutzers heruntergeladen und vom Browser ausgeführt wird. Vertrauenspunkt Der Vertrauenspunkt ist das höchste Element der Zertifizierungskette. Im Grunde besteht er aus der Gesamtheit eines Root-Zertifikats und sonstigen ergänzenden Daten. Das Vertrauen zum Vertrauenspunkt bedeutet auch Vertrauen hinsichtlich sämtlicher (Dienstleistungs- und Anwender-) Zertifikate, die von ihm authentifiziert werden. Digitale Unterschrift Mit dem Unterschriftsalgorithmus kodierter Wert des Abdrucks. Kontrollierende Partei Natürliche Person oder Anwendung, die eine Unterschrift auf einer Transaktion bzw. einem Dokument kontrolliert. Geltendmachungsdaten Daten, die die Unterschrift ergänzen und die dazu notwendig sind, entscheiden zu können, ob eine elektronische Unterschrift den Anforderungen des Unterschriftsreglements entspricht. Sie können Zertifikate, Widerrufs-Zustandsinformationen (bezüglich des Unterzeichners und des Authentifizierungs-Dienstleisters) sowie Zeitstempel und Zeitsignale enthalten, die von den ZeitstempelDienstleistern stammen. Die Geltendmachungsdaten müssen nachweisen, dass bei der Erstellung der Unterschrift die gesamte dabei verwendete Zertifizierungskette gültig war. Formatierte, zu Zu unterzeichnende Daten formatiert gemäß dem Reglement. unterzeichnende Daten Root- (Hardware-Software) Einheit des Authentifizierungs-Dienstleisters, Unterschriftsreglement 24 Authentifizierungseinheit die die Ausstellung der eigenen Zertifikate des Dienstleisters und der damit verbundenen Widerruflisten durchführt. Root-Zertifikat Zertifikat, das nicht von einem weiteren Zertifikat authentifiziert wird. Mit der darin enthaltenen Chiffre kann das Zertifikat kontrolliert werden, weshalb es auch selbst authentifiziertes Zertifikat genannt wird. Authentifizierungs- Organisation, die elektronische Zertifikate ausstellt und das Dienstleister Management von Zertifikaten unterstützt (im Falle des vorliegenden Unterschriftssystems die Matáv Rt.). Zeitstempel-Dienstleistung Mit der elektronischen Unterschrift zusammenhängende Dienstleistung, im Laufe derer der Dienstleister das elektronisch unterzeichnete elektronische Dokument mit einem Zeitstempel verbindet. Zeitstempel Einem elektronischen Dokument endgültig zugeordnete oder damit logisch verbundene Daten, die nachweisen, dass das elektronische Dokument zum Zeitpunkt der Anbringung des Zeitstempels in unveränderter Form existierte. Anfängliche Kontrolle Im Anschluss an die Erstellung der Unterschrift durchzuführendes Verfahren zur Bestätigung der Unterschrift, verbunden mit der Einholung der ergänzenden Informationen, die zur Unterstützung der nachträglichen Informationen notwendig sind. Wartezeit Eine elektronische Unterschrift kann dann als gültig angesehen werden, wenn sich die kontrollierende Partei vergewissert, ob der Unterzeichner zum Zeitpunkt der Unterzeichnung tatsächlich im Besitz der Privatchiffre war. Zwischen der Kompromittierung, dem Verlust der Chiffre und des Berichtes hierüber vergeht zwangsläufig eine gewisse Zeit. Deshalb muss die sogenannte „Wartezeit“ (deren Unterschriftsreglement 25 Wert durch das Unterschriftsreglement bestimmt wird) abgewartet werden. Erst nach deren Ablauf ist es möglich, die anfängliche Kontrolle der Unterschrift erfolgreich durchzuführen. Abdruck Für das Unterzeichnungsdokument eindeutig typische, aus diesem mit einem hash Algorithmus gebildete kurze Daten. Privatchiffre Zur Erstellung der Unterschrift notwendige Chiffre, die im Grunde den individuellen Datenbestand bedeutet. Siehe Unterschrift erstellende Daten. MultiSigno Developer In diesem in Form von DLL implementierten Application Programming Interface (API) wurden die Grundverfahren zur Unterzeichnung und zur Kontrolle der Unterschrift realisiert. Der MultiSingo Developer ist ein Produkt der Kopint-Datorg Rt. Ausstellungs- (Hardware-Software) Einheit des Authentifizierungsdienstleiters, die Authentifizierungseinheit die Ausstellung des Zertifikats und der Widerrufsliste durchführt. des Dienstleisters Dienstleistungszertifikat Datenmenge, die die zur Kontrolle der Unterschrift des Anwenderzertifikats notwendige öffentliche Chiffre und die dazu notwendigen Daten enthält und von der ausstellenden RootAuthentifizierungseinheit unterzeichnet wurde. Zertifizierungskette Hierarchie (Kette) von einander authentifizierenden Zertifikaten. Unten in der Hierarchie steht das Zertifikat des Unterzeichners, darüber das eigene Zertifikat der Authentifizierungseinheit, die dieses Zertifikat unterzeichnet hat und darüber das eigene Zertifikat der anderen Authentifizierungseinheit, die diese Authentifizierungseinheit authentifiziert hat. Diese Reihe kann sich bis zur Root- Authentifizierungseinheit wiederholen, die das obere Ende der Kette darstellt. Unterschriftsreglement 26 Transaktion Geschäftsoperation, die im Informatiksystem als Nachricht erscheint (für die gültigen Arten im Falle eines Zeitstempel- Anwendung einer Unterschrift Dienstleistungssystems siehe Kapitel 3). Nachträgliche Kontrolle Nach der anfänglichen durchzuführendes, auf die Auswertung der Gültigkeit der Unterschrift gerichtetes Verfahren, das auf denjenigen Daten basiert, die im Laufe der anfänglichen Kontrolle eingeholt wurden. Anwenderzertifikat Datenmenge, die die zur Kontrolle der Unterschrift notwendige öffentliche Chiffre und die zu ihrer Verwendung notwendigen Daten enthält und vom Ausstellungs-Authentifizierungsdienstleister unterzeichnet wurde. Widerrufsliste Elektronische Liste, die die ID-Nummern von Anwenderzertifikaten enthält, die aus irgendeinem Grund außer Kraft gesetzt oder widerrufen wurden. Die Liste wird vom Authentifizierungsdienstleister unterzeichnet, herausgegeben und regelmäßig aktualisiert.