Prüfung von EBICS-Zertifikaten in Frankreich ohne vertrauenswürdige Drittanbieter

Elektronisches Zertifikat und Anwendungen
Das elektronische Zertifikat ist ein wesentliches Element beim Aufbau von geschützten Bereichen. Es ermöglicht seinem Inhaber, sich zu authentifizieren (Authentifizierungszertifikat), eine Unterschrift zu leisten (Signaturzertifikat), eine sichere Verbindung herzustellen, usw. Für die Funktionen zur Zugangs- und Unterschriftskontrolle verwenden die Anwendungen ein Zertifikat für die Authentifizierung des Inhabers und für die Kontrolle der Informationsintegrität. Es gibt heute zahlreiche Zertifikatsaussteller (Bankensektor, Verwaltung, Unternehmen ...).

Die Anwendungen für die Digitalisierung von Datenströmen sind vielfältig und betreffen alle Wirtschaftsbereiche. Sie setzen die Einrichtung von geschützten Bereichen voraus, in denen es möglich sein muss, die verschiedenen Akteure technisch zu identifizieren und zu authentifizieren sowie die Qualität der Transaktionen und ihrer Aussteller zu überprüfen.
 
Eine Anwendung muss in der Regel Zertifikate von verschiedenen Zertifizierungsstellen akzeptieren können, denn in einer globalen Welt wäre es zu kostspielig und gleichermaßen zu restriktiv, von einem Inhaber ein Zertifikat pro Anwendung zu verlangen.

EBICS und signierte Zertifikate
Um mit Finanzinstituten zu kommunizieren, müssen EBICS-Teilnehmer mit einem T- oder TS-Profil X.509-Zertifikate verwenden. Wenn der Teilnehmer von einer Zertifizierungsstelle (CA) signierte Zertifikate verwendet, müssen diese beim Download der Schlüssel und beispielsweise bei Aufträgen der Auftragsart FUL validiert werden. Die Auftragsarten für die Einreichung und Änderung von Zertifikaten (INI, HIA, H3K, PUB, HCA und HCS) unterstützen sowohl ein einzelnes Zertifikat, als auch Zertifikatsketten.

Validierung des CA-basierten Zertifikats
Die Validierung des CA-basierten Zertifikats kann extern oder intern (für EBICS TS) durchgeführt werden. Ab sofort ist es möglich, intern eingereichte Zertifikate in TRAVIC-Corporate zu prüfen. Dazu werden die Anmerkungen der Sperrliste mithilfe von Zertifikatssperrlisten (Certificate Revocation Lists, CRL) überprüft. Die Zertifikatssperrlisten müssen aus dem Internet heruntergeladen werden. Um die SWIFT-Zertifikatssperrlisten herunterzuladen, ist in der Regel ein Client-Zertifikat für die TLS-Kommunikation erforderlich.

Schnittstelle zur Prüfung interner Zertifikate von TRAVIC-Corporate für EBICS TS

Neben anderen Parametern umfasst die Providerschnittstelle von TRAVIC-Corporate die Prüfung von Zertifikaten, eine Caching-Strategie, die Speicherung von Non-Repudiation-Dateien und die Vorabprüfung von EU-Berechtigungen (EBICS TS) gemäß den CFONB-Spezifikationen. Der Provider kann über den Namen seiner Klasse angegeben und aktiviert werden.

Die Zertifikate werden gegen einen in TRAVIC-Corporate gespeicherten Truststore geprüft. Die gesamte Zertifikatskette wird jeweils bis zum gültigen Root-Zertifikat geprüft. Es werden keine externen Dienste zur Prüfung von Zertifikaten verwendet.

Als Komponenten von TRAVIC-Corporate steuern ein Job-Server und ein Parser diese Verarbeitung. Der Zahlungsauftrag wird freigegeben, wenn das Signaturprofil des EBICS-Teilnehmers mit dem Signaturprofil übereinstimmt, das auf der Ebene der Auftragsart des Kunden konfiguriert wurde.

Das Finanzinstitut kann sich somit vollständig auf seine TRAVIC-Corporate-Lösung verlassen, ohne auf Dritte zurückgreifen zu müssen, wodurch die Systemarchitektur vereinfacht und Kosten gesenkt werden.

Zaher Mahfouz


Quellen: PPI TRAVIC-Corporate, CFONB, X.509-Standards

0 Kommentare:

Kommentar veröffentlichen