Eine elektronische Signatur bezieht sich immer auf genau eine Datei. Sie kann in der Datei selbst enthalten sein oder als zusätzliche Datei erstellt werden. Bei elektronischen Signaturen werden die folgenden Typen unterschieden, von denen nur die letzte rechtlich einer eigenhändigen Unterschrift weitestgehend gleichgestellt ist.
· Einfache elektronische Signaturen (beispielsweise eine Unterschrift, die gescannt und als Bilddatei in eine Datei eingefügt wurde)
· Fortgeschrittene elektronische Signaturen (beispielsweise erstellt mit einem Software-zertifikat)
· Qualifizierte elektronische Signaturen (erstellt mit einer Signaturkarte)
Authentizität und Integrität
Ziel der elektronischen Signatur ist es, die Authentizität und Integrität von Daten nachzuweisen. Nachdem Sie eine Datei signiert haben, ist es möglich, festzustellen, ob diese Datei wirklich von Ihnen signiert wurde (Authentizität) und ob sie seit dem Anbringen der Signatur verändert wurde (Integrität).
Wie entsteht eine qualifizierte elektronische Signatur?
Eine elektronische Signatur entsteht in drei Schritten. Im ersten Schritt wird für die Datei, die signiert werden soll, das Zertifikat des Schlüssels (Signaturkarte oder Keystore) ausgewählt, mit dem die Signatur erstellt werden soll. Dieses Zertifikat wird der Datei hinzugefügt. Über den Inhalt der Datei samt Zertifikat wird ein Hashwert errechnet, im zweiten Schritt wird der Hashwert mit dem privaten Schlüssel verschlüsselt und im dritten wird der verschlüsselte Hashwert dem Dokument hinzugefügt, wodurch die Signatur entsteht.
1. Berechnung des Hashwerts
Für eine elektronische Signatur wird zunächst eine Funktion angewendet, die für eine Datei einen eindeutigen Wert erzeugt. Die Funktion wird Hash-Funktion genannt und der Wert Hashwert. Ein Hashwert benötigt deutlich weniger Speicherplatz als die Datei, aus der er erzeugt wurde. Beispiel für einen Hashwert, der mit dem Secure Hashing Algorithm (SHA) mit 256 Zeichen Schlüssellänge erstellt wurde. Hashwerte, die mit SHA256 errechnet werden, haben im 64 alphanumerische Zeichen:
0D9C3ECDFBE036E1750DE82A7863F1E6B6AC336B
Ein Hashwert ist für jede Datei einmalig. Wenn für eine Datei immer dieselbe Hash-Funktion zur Hashwert-Erzeugung benutzt wird, dann kommt bei derselben Datei auch immer derselbe Hashwert heraus. Wird die Datei verändert, entsteht ein anderer Hashwert. Mit diesem Hashwert kann also die Integrität der Datei nachgewiesen werden. Bei der Integritätsprüfung wird der Hashwert für die Datei neu berechnet und mit dem verschlüsselten Hashwert der Signatur verglichen. Sind beide Hashwerte gleich, wurde die Datei nicht verändert. Diese Integritätsprüfung wird auch mathematische Prüfung genannt.
2. Verschlüsselung des Hashwerts
Für die Verschlüsselung des Hashwerts wird ein so genanntes asymmetrisches Schlüsselpaar benutzt. Es besteht aus einem privaten (geheimen) und einem öffentlichen Schlüssel. Der private Schlüssel ist nur auf der Signaturkarte oder im Keystore enthalten und kann von dort nicht entfernt werden. Der öffentliche Schlüssel kann jedem zugänglich gemacht werden. Mit dem privaten Schlüssel wird der Hashwert verschlüsselt. Dazu wird vom Programm, also von Governikus DATA Boreum, der Hashwert der Datei errechnet. Dieser wird dann an die Signaturkarte übergeben. Innerhalb der Signaturkarte wird dieser Hashwert verschlüsselt und danach wird der verschlüsselte Hashwert an das Programm zurückgegeben.
Um den Missbrauch einer Signaturkarte zu verhindern, wird vor dem Verschlüsseln mit dem privaten Schlüssel die persönliche Identifikationsnummer (PIN) abgefragt. Erst bei korrekter PIN-Eingabe wird verschlüsselt.
Signierte Datei
Die oben erklärten Bestandteile - verschlüsselter Hashwert, Verschlüsselungszeitpunkt und Zertifikat mit öffentlichem Schlüssel - sind die elektronische Signatur. Die elektronische Signatur zu einer Datei kann entweder in der signierten Datei selbst enthalten sein, was z. B. bei PDF-Dokumenten möglich ist. Oder andersherum kann die Signatur auch die signierte Datei beinhalten. Diese Signatur heißt dann "enveloped". Ist die Signatur in einer eigenen, gesonderten Datei enthalten, dann heißt die Signatur "detached". Das Zertifikat kann bis zur qualifizierten Vertrauensdiensteanbieter (qVDA), der das Zertifikat herausgegeben hat, nachvollzogen werden. Der qVDA bestätigt auf Anfrage die Identität, womit die Authentizität nachgewiesen werden kann.
|
Achtung: Der Inhalt einer Datei, die "nur" elektronisch signiert wurde, also nicht verschlüsselt ist, kann durch Dritte angeschaut werden. Mit der elektronischen Signatur können Authentizität und Integrität bewiesen werden, aber ohne Verschlüsselung ist keine Geheimhaltung möglich. |