SOA-API für die Signaturprüfung

Die schweizer Firma e.siqia ergänzt ihren "Silent Verifier" um eine SOA (Service Oriented Architecture)-Schnittstelle. Das Produkt besteht aus einer Appliance, die ein Unternehmen in der demilitarisierten Zone aufstellt. Sie lädt in regelmäßigen Abständen die Sperrlisten (CRL (Certificate Revocation List)s) von rund 190 europäischen Zertifierungsdiensteanbietern (ZDA) herunter. Ein hinter der Firewall stehender Verifizierungsserver prüft die ihm übergebenen Dokumente und Signaturen anhand dieser CRLs auf Gültigkeit. Er ist in Java geschrieben und läuft deshalb nach Auskunft des Anbieters auf Windows, Unix, Linux und Mac OS X. Als Signaturformate akzeptiert er PKCS#7 (detached und Container) sowie eingebettete PDF-Signaturen.

Bislang erfolgte die Signaturprüfung nur via Dateisystem: Anwender verschoben die zu kontrollierenden Daten auf ein Netzlaufwerk und bekamen vom Verifizierungsserver den Prüfbericht. Die SOA-API soll es nun ermöglichen, Dateien und Signaturen direkt von Fachanwendungen prüfen zu lassen. Sie akzeptiert REST-Nachrichten oder ein ebenfalls per HTTP transportiertes, proprietäres Format.

Nach Auffassung von e.siqia ist die lokale Verwendung von Sperrlisten gegenüber der Online-Abfrage des Zertifikatsstatus via OCSP (Online Certificate Status Protocol) schneller, zudem stellten nicht alle ZDAs einen OCSP-Server bereit. Zur Prüfung kann das in Deutschland übliche Ketten- oder das Schalenmodell verwendet werden. Beim Kettenmodell gilt eine Signatur als gültig, wenn die Zertifikatskette zum Zeitpunkt ihrer Erstellung gültig war. Das Schalenmodell verlangt, dass alle Zertifikate während der Prüfung gültig sind. (ck)