Thought Leadership
Seit 1. Januar 2019 müssen alle neu ausgegebenen S/MIME-Zertifikate durch RSASSA-PSS signiert werden. Darauf machte die PSW Group aufmerksam und verweisen auf eine entsprechende Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Demnach sind Netzbetreiber in den Bereichen Strom und Gas verpflichtet, sämtliche E-Mails mit EDIFACT-Übertragungsdateien digital zu signieren und mit dem Signaturalgorithmus RSASSA-PSS zu verschlüsseln. „Das bedeutet, dass eine versendete E-Mail mit dem RSASSA-PSS-Algorithmus signiert sein muss. Dies wird entweder in der Signatursoftware oder im E-Mail-Gateway eingestellt. Außerdem muss auch das Zertifikat selbst, welches von einer Zertifizierungsstelle ausgestellt wird, mit dem Signaturalgorithmus RSASSA-PSS signiert worden sein“, erklärt Christian Heutger, Geschäftsführer der PSW GROUP.
RSASSA-PSS ist ein verbessertes Signaturschema, welches einen Anhang enthält. Es nutzt einen privaten RSA-Schlüssel, um die Daten zu signieren. Der Empfänger ist anschließend dazu in der Lage mithilfe des öffentlichen RSA-Schlüssels diese Signatur zu überprüfen. Die Abkürzung „PSS“ steht dabei für „Probabilistic Signature Scheme“ – zu Deutsch: probabilistisches Signaturverfahren – und ist ein kryptographisches Paddingverfahren.
Bereits im Oktober 2017 hatte der Bundesverband der Energie- und Wasserwirtschaft e. V. (BDEW) neue Regelungen zum Austausch von EDIFACT-Übertragungsdateien veröffentlicht. Betroffen ist vor allem der elektronische Datenaustausch per E-Mail zwischen verschiedenen Marktpartnern der deutschen Energiewirtschaft. Das EDIFACT-Dateiformat ermöglicht Unternehmen den schnellen Versand von Rechnungen oder Bestellungen aus dem ERP-Programm. Da diese EDIFACT-Dateien sensible und personenbezogene Daten enthalten, muss der Austausch dieser digital signiert und verschlüsselt erfolgen.
„Mit der Durchsetzung der neuen Regelung zum Versand von EDIFACT-Nachrichten wurde auch der verbesserte Signaturalgorithmus äußerst relevant. Denn die Bundesnetzagentur schreibt eine RSA-Schlüssellänge von mindestens 2048 Bit vor. Als Hash-Funktion sind SHA-256 oder SHA-512 zu verwenden“, erläutert Heutger.
Vor der Installation sollten Anwender erst einmal in ihrem E-Mail-Client prüfen, welches E-Mail-Zertifikat sie nutzen. Dazu klicken Sie in Outlook „Trust Center“, zu finden in der Registerkarte “Datei” und dort unter “Optionen”. In den Einstellungen unter E-Mail-Sicherheit gibt es dafür das Untermenü “Zertifikate und Algorithmen”. Dort wählt man das gewünschte Zertifikat aus und lässt es sich per Klick anzeigen“, gibt Christian Heutger einen Tipp.
www.psw-group.de/blog/
