Um im Internet eine rechtsverbindliche Unterschrift abgeben zu können, benötigt man eine digitale Signatur.

Die Welt der elektronischen Medien ermöglicht auch einen rechtsverbindlichen Handel im Onlinebereich. Doch woran erkennt man, dass es sich bei der Person, mit der wir kommunizieren auch tatsächlich um diejenige Person handelt, die wir als Empfänger wollen? Eine Hilfestellung ist die sogenannte digitale Signatur, die seit 2001 der Unterschrift per Hand rechtlich gleichgestellt ist. Sie ist ein Garant für die Identität des Kommunikationspartners, den wir nicht immer unbedingt persönlich kennen, und der Unversehrtheit der übermittelten Daten. Die digitale Signatur ist jedoch keine Verschlüsselung. Es ist immer noch möglich, dass die Daten beim Transfer noch ausgespäht werden können. Um ein Ausspähen zu verhindern, wird oftmals eine Verschlüsselung zusätzlich eingesetzt. Die Entschlüsselung kann dann nur ein dazu Berechtigter vornehmen.

Die Technik der digitalen Signatur

Vereinfacht ausgedrückt ist die digitale Signatur ein asymmetrisches Verfahren, das auf zwei elektronische Schlüssel aufbaut. Der Unterzeichner nutzt einen privaten Schlüssel, auch Private Key genannt. Geöffnet wird die Datei mittels eines öffentlichen Schlüssels oder Public Keys. Während der öffentliche Schlüssel, wie der Name schon sagt, jedem zugänglich ist, ist der private Schlüssel immer geheim. Er ist Teil einer Chipkarte und kann nur in Verbindung mit einer PIN-Nummer verwendet werden. Der Inhaber dieses Schlüssels kann damit jederzeit Dokumente rechtsverbindlich unterschreiben. Der öffentliche Schlüssel garantiert hingegen die Urheberschaft und manipulationsfreie Übermittlung der Nachricht.
Mathematisch gesehen, wird aus der Nachricht mittels einer Hashfunktion ein Hash-Wert (Quersumme) berechnet. Zudem wird sichergestellt, dass keine Nachricht mit dem identischen Hash-Wert existiert. Der so erzeugte Hash-Wert wird nun durch den privaten Signaturschlüssel verschlüsselt. Beim Datentransfer wird sowohl das verschlüsselte Dokument als auch das Originaldokument versandt. Der Empfänger ermittelt nun aus dem Originaldokument den Hash-Wert, entschlüsselt das codierte Dokument und vergleicht beide Hash-Werte miteinander. Stimmen die beiden Hash-Werte überein, ist der Beweis der Echtheit der Daten erbracht.

Sowohl hinter dem privaten als auch den öffentlichem Schlüssel muss sich eine natürliche Person verbergen. Daher bekommt nie eine Firma allgemein eine Signaturkarte sondern ein Mitarbeiter der Firma erhält den jeweiligen Schlüssel. Jeder Schlüssel besitzt ein digitales Zertifikat. Dieses Zertifikat wird von einem Trustcenter ausgestellt und ist einer natürlichen Person zugeordnet. In dem Trustcenter ist der Namen des Zertifikatsinhabers als auch dessen Zeichnungsberechtigung gespeichert. Bei jeder Datenübermittlung wird das Zertifikat überprüft.

Teil 2 der Serie, der am 15. April 2015 erscheint, beschäftigt sich mit den Arten der digitalen Signatur und deren Anwendung.

 

Tags: