Versand von EDIFACT-Nachrichten
Für Netzbetreiber der Strom- und Gasbranche: RSASSA-PSS ist Pflicht
E-Mails mit EDIFACT-Übertragungsdateien digital signieren und mit dem Signaturalgorithmus RSASSA-PSS verschlüsseln
Seit 1. Januar 2019 müssen alle neu ausgegebenen S/MIME-Zertifikate durch RSASSA-PSS signiert werden. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam und verweisen auf eine entsprechende Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI). Demnach sind Netzbetreiber in den Bereichen Strom und Gas verpflichtet, sämtliche E-Mails mit EDIFACT-Übertragungsdateien digital zu signieren und mit dem Signaturalgorithmus RSASSA-PSS zu verschlüsseln.
"Das bedeutet, dass eine versendete E-Mail mit dem RSASSA-PSS-Algorithmus signiert sein muss. Dies wird entweder in der Signatursoftware oder im E-Mail-Gateway eingestellt. Außerdem muss auch das Zertifikat selbst, welches von einer Zertifizierungsstelle ausgestellt wird, mit dem Signaturalgorithmus RSASSA-PSS signiert worden sein", erklärt Christian Heutger, Geschäftsführer der PSW Group. RSASSA-PSS ist ein verbessertes Signaturschema, welches einen Anhang enthält.
Es nutzt einen privaten RSA-Schlüssel, um die Daten zu signieren. Der Empfänger ist anschließend dazu in der Lage mithilfe des öffentlichen RSA-Schlüssels diese Signatur zu überprüfen. Die Abkürzung "PSS" steht dabei für "Probabilistic Signature Scheme" zu Deutsch: probabilistisches Signaturverfahren und ist ein kryptographisches Paddingverfahren.
Bereits im Oktober 2017 hatte der Bundesverband der Energie- und Wasserwirtschaft e. V. (BDEW) neue Regelungen zum Austausch von EDIFACT-Übertragungsdateien veröffentlicht. Betroffen ist vor allem der elektronische Datenaustausch per E-Mail zwischen verschiedenen Marktpartnern der deutschen Energiewirtschaft. Das EDIFACT-Dateiformat ermöglicht Unternehmen den schnellen Versand von Rechnungen oder Bestellungen aus dem ERP-Programm. Da diese EDIFACT-Dateien sensible und personenbezogene Daten enthalten, muss der Austausch dieser digital signiert und verschlüsselt erfolgen.
"Mit der Durchsetzung der neuen Regelung zum Versand von EDIFACT-Nachrichten wurde auch der verbesserte Signaturalgorithmus äußerst relevant. Denn die Bundesnetzagentur schreibt eine RSA-Schlüssellänge von mindestens 2048 Bit vor. Als Hash-Funktion sind SHA-256 oder SHA-512 zu verwenden", erläutert Heutger. Es gibt verschiedene RSASSA-PSS-Zertifikate, die von unterschiedlichen Zertifizierungsstellen (CA) aus ganz Europa ausgestellt und beispielsweise über PSW Group erworben werden können. Die französische Zertifizierungsstelle Atos beispielsweise stellt so genannte Atos EDI Basic Zertifikate mit einer Laufzeit von 1, 2 oder 3 Jahren aus. Sie entsprechen dem RSASSA-PSS-Standard und weisen einen Signatur-Hashalgorithmus SHA256 auf.
"Mit proTECTr stellt auch eine deutsche CA RSASSA-PSS-Zertifikate aus. Wer ausschließlich personenbezogene E-Mail-Adressen absichern möchte, findet in den proTECTr EDI Standard-Zertifikaten das passende E-Mail-Zertifikat. Dabei besteht übrigens die Wahl zwischen dem Signatur-Hashalgorithmus RSASSA-PSS oder SHA256/SHA512, jeweils mit einer Laufzeit zwischen ein und drei Jahren", so Christian Heutger.
Alternativ können Unternehmen auch zu proTECTr EDI Standard Gateway-Zertifikaten greifen. Bei ihnen wird keine personenbezogene E-Mail-Adresse eingetragen, sondern lediglich eine abteilungs- oder unternehmensweite E-Mail-Adresse. Auch diese Zertifikate werden sowohl mit Signatur-Hashalgorithmus RSASSA-PSS oder mit SHA256/SHA512, jeweils mit einer Laufzeit von ein, zwei oder drei Jahren, ausgestellt. Zertifikate, die den RSASSA-PSS-Standard und den Signatur-Hashalgorithmus SHA256 verwenden stellt auch die Schweizer CA SwissSign aus allerdings gibt es die SwissSign EDI Pro-Zertikate mit einer Laufzeit von einem Jahr. Vor der Installation sollten Anwender erst einmal in ihrem E-Mail-Client prüfen, welches E-Mail-Zertifikat sie nutzen. Dazu klicken Sie in Outlook "Trust Center", zu finden in der Registerkarte "Datei und dort unter "Optionen . In den Einstellungen unter E-Mail-Sicherheit gibt es dafür das Untermenü "Zertifikate und Algorithmen . Dort wählt man das gewünschte Zertifikat aus und lässt es sich per Klick anzeigen", gibt Christian Heutger einen Tipp. (PSW Group: ra)
eingetragen: 08.02.19
Newsletterlauf: 22.03.19
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.