Remote Signing mit SuisseID

Die SuisseID ist eine Smartcard, die es einer Person ermöglicht, digitale Dokumente rechtsgültig zu unterschreiben. Für den Erwerb einer SuisseID muss sich der Antragsteller ausweisen, nur so kann der Antragsteller sicher identifiziert werden. Damit man nach dem Erwerb einer SuisseID rechtsgültige Unterschriften erstellen kann, ist es notwendig, die SuisseID bei sich zu tragen. Auf diesen Aspekt soll in dieser Studienarbeit eingegangen werden. Es wurde die Idee entwickelt, dass man die SuisseID zu Hause an einem Server einsteckt und anschliessend immer und von überall digital und rechtsgültig unterschreiben können soll.
Als Aufgabe dieser Studienarbeit ist ein Server geplant, welcher in Zukunft bei einem Endbenutzer zu Hause betrieben wird und bis zu vier SuisseIDs verwalten kann. Der Server soll an einen Monitor/TV angeschlossen werden. So kann der Admin die Verwaltung lokal durchführen und Benutzer können sich ebenfalls lokal am Server anmelden und Dokumente digital signieren. Um den Zugriff auf die SuisseID auch von extern zu ermöglichen, soll eine Android App entwickelt werden, welche über eine sichere TLS-Verbindung mit dem heimischen Server kommuniziert. Mittels dieser Android App kann der Endbenutzer von überall auf seine Dokumente auf dem Server zugreifen und diese bei Bedarf digital signieren.
Im Rahmen der Studienarbeit wurde ein Prototyp eines Servers entwickelt, der es bis zu vier registrierten Benutzern ermöglicht, ihre lokale Dateistruktur und die PDF-Dokumente darin anzuzeigen und einen Signaturprozess zu starten. Der Zugriff auf den Server erfolgt primär via Android App und alternativ – bei lokaler Anmeldung direkt am Server – mittels eines Desktop Client. Der Server sowie die beiden Clients sind in Java implementiert. Die Verbindung zwischen Server und mobiler Android App wird mit TLS v1.2 geschützt. Die Zielplattform des Servers ist der Raspberry Pi 2, welcher auf der ARM-Architektur basiert. Dieser Raspberry Pi 2 wird unter einem Raspbian-Linux-Betriebssystem betrieben. Zur Signatur sollte ein auf der SuisseID gespeichertes, qualifiziertes Zertifikat verwendet werden.
Aufgrund von Inkompatibilitäten der SuisseID API, welche offiziell von SwissSign zu Verfügung gestellt wird, mit der ARM-Architektur sowie Problemen im SuisseID-PKCS11-Modul, wurde die vollständige Integration in den Server verunmöglicht. Zudem ist die aktuelle Version der SuisseID API für Linux momentan fehlerbehaftet und nicht lauffähig. Da als Alternative dazu parallel eine zweite Implementation des Signing Backend entwickelt wurde, welche Softzertifikate zur Signierung anstelle der SuisseID verwendet, konnte das Projekt trotzdem erfolgreich fertiggestellt werden.
Wird unter Windows als Backend das SuisseID API selektiert, können aufgrund der technischen Voraussetzungen Signaturen nur lokal am Server komplett durchgeführt werden. Signaturen mittels Android App sind nicht vollständig möglich, da für die Komplettierung des Signierprozesses auf dem Server eine zusätzliche PIN-Abfrage benötigt wird, die nicht auf dem Android Device angezeigt werden kann. Mit der Verwendung des Softzertifikat-Backends können sowohl lokal als auch remote Signaturen durchgeführt werden.