http  ://www.dendikty.de/  

Inhaltsverzeichnis

Inhaltsverzeichnis   I

Literaturverzeichnis   III

Abk  ürzungsverzeichnis  VII

1.  Einleitung  1

2.  Elektronische Willenserklärung, Computererklärung  1

a)  Definition  1

b)  Rechtliche Qualität  1

c)  Zurechnungsfragen bei aut. DV - Abläufen  3

d)  Anforderungen an digitale Signaturen  3

3.  Vertragsabschluss  3

a)  Die häufigsten Vertragsabschlüsse  3

b)  Ausnahmen  4

4.  Das Signaturgesetz  5

Grundlagen   5

  (1) Das Signaturgesetz  6

a)  Elektronische Signaturen  7

b)  Fortgeschrittene elektronische Signaturen  7

c)  Qualifizierte elektronische Signaturen  7

d)  Zertifikate  7

e)  Qualifizierte Zertifikate  7

f)  Betrieb eines Zertifizierungsdienstes  8

g)  Freiwillige Akkreditierung  8

h)  Weitere Neuerungen  8

  (2) Technische Grundlagen  10

  (3) Rechtlicher Aspekt  11

5.  Fälschungsrisiken  11

a)  Einführung  11

b)  Hard- und Software  12

c)  Verschlüsselungsalgorithmen  13

d)  Täuschung des Nutzers  14

e)  Der Nutzer  15

I

http://www.dendikty.de/

http://www.dendikty.de/

Literaturverzeichnis

Lehrbücher

Bizer, Johann

„Elektronische Signaturen im Rechtsverkehr“

Schneider, Jochen

„Handbuch des EDV - Rechts“

2. Aufl., München, 1997

Koch, Frank A.

„Internet - Recht“, München 1998

Medicus, Dieter

Allg. Teil des BGB,

6. Aufl. 1994

Kommentare

Palandt,

„Bürgerliches Gesetzbuch“

57. Auflage, München 1998 ( zitiert: Pal. - Bearbeiter )

Staudinger,

„Kommentar zum Bürgerlichen Gesetzbuch mit Einführungs- und Nebengesetzen“,

13. Aufl., München 1993( zitiert: Staudinger - Bearbeiter )

III

http://www.dendikty.de/

Monographien

Brauner, Karl - Ernst

„Das Erklärungsrisiko beim Einsatz von elektronischen Datenverarbeitungsanlagen“, Bonn 1988

Pudach, Sandra:

Digitale Signaturen im elektronischen Rechts- und Geschäftsverkehr Grundlagen, rechtliche Aspekte, Einsatzfelder und Anwendungen, 1. Auflage, Schmalkalden 2000

Aufsätze

Bergmann, Margarethe / Streitz, Siegfried

Beweisführung durch EDV-gestützte Dokumentation CR 2/94 S. 77 ff.

Bieser, Wendelin

Bundesregierung plant Gesetz zur digitalen Signatur CR 9/1996, 564 ff.

Ernst, Stefan

„Der Mausklick als Rechtsproblem - Willenserklärungen im Internet“, in NJW - CoR 1997, S.165

Fritzsche, Jörg, Malzer, Hans,

„Ausgewählte zivilrechtliche Probleme elektronisch signierter Willenserklärungen“ in DNotZ 1995 S.3ff.

IV

http://www.dendikty.de/

Geis, Ivo „Die digitale Signatur“ in NJW 1997, S. 3000ff.

Heun, Sven - Erik

„Die elektronische Willenserklärung“ in CR 1994, S. 595ff.

Köhler, Helmut

„Die Problematik automatisierter Rechtsvorgänge, insbesondere von Willenserklärungen“ in AcP 182, 126ff.

Kohl, Werner

„Telematikdienste im Zivilrecht“,

in : Scherer (Hrsg.), Telekommunikation und Wirtschaftsrecht, München, 1988

Kuner, Christopher

Rechtliche Aspekte der Datenverschlüsselung im Internet NJW-CoR 6/95, 413 ff.

Luckhardt, Norbert

„Privatissimo“,

in c’t ( Magazin für Computer Technik ) 23/98 S.102f

Mehrings, Josef

„Vertragsabschluß im Internet“ in MMR 1/1998 S. 30ff. und

„Internet - Verträge und internationales Vertragsrecht“ in CR 10/1998 S. 613ff.

V

http://www.dendikty.de/

Pordesch, Ulrich / Nissen, Kai Fälschungsrisiken elektronisch signierter Dokumente CR 9/95, S. 562 ff.

Pordesch, Ulrich

Risiken elektronischer Signaturverfahren Datenschutz und Datensicherheit (DuD) 10/93, S. 561 ff.

Rossnagel, Alexander:

Das neue Recht elektronischer Signaturen NJW 25/2001 Seite 1817 ff.

876).pdf

Signaturverordnung (SigV) (pdf)

VI

http://www.dendikty.de/

Abkürzungsverzeichnis

aaO am angegebenen Ort DV Datenverarbeitung /-s Pdf Dateiformat des Acrobat Readers PIN Geheimnummer RSA Verschlüsselungsverfahren SigG Signaturgesetz SigV Signaturverordnung WE Willenserklärung WWW World Wide Web

VII

Mit der zunehmenden Verbreitung des Internets weltweit und in Deutschland hat dieses große Bedeutung im Wirtschafts- und Rechtsverkehr gewonnen, dabei aber auch Probleme aufgeworfen. Vorliegend wird das Zusammentreffen des „alten“ BGB und des „neuen“ BGB mit der modernen Kommunikationstechnik, sowie das „neue“ SiG untersucht.

2. Elektronische Willenserklärung, automatisierte Willenserklärung, „Computererklärung“, die

Willenserklärung per Mausklick.

a) Definition „Computererklärung“, elektronische Willenserklärung,

automatisierte Willenserklärung, all dies sind Begriffe, die dasselbe Verfahren beschreiben: ¹ Die Beteiligung eines Computers bei der Herstellung, Erzeugung und Übermittlung von Erklärungen. ² Abzugrenzen ist dies jedoch von der Erstellung einer Erklärung durch einen Menschen, der sich lediglich zur Übermittlung der Erklärung eines Computers bedient. ³ Der klassische Fall einer solchen Computererklärung ist eine Erklärung, die von einer Maschine auf Grund ihrer Programmierung abgegeben wird. 4

b) Rechtliche Qualität

Zu fragen ist, welche Rechtsqualität diese Art von Erklärungen hat. Eine Willenserklärung erfordert schließlich die Erklärung eines Menschen. Sie ist die Äußerung eines auf Herbeiführung einer Willens. ⁵ Rechtswirkung gerichteten Hinsichtlich von

Computererklärungen bedient man sich hier der logischen

¹ Mehrings in MMR 1/1998 S.30 (31); Pudach S. 21.

² Mehrings aaO; Pudach aaO.

³ Mehrings aaO; Pudach aaO.

⁴ Schneider in Handbuch des EDV - Rechts Kap. B Rn. 692.

⁵ Pal. - Heinrichs Einf. v. § 116 Rn. 1.

1

http://www.dendikty.de

Konstruktion, dass jede Datenverarbeitungsanlage, welche die Ergebnisse ihrer Datenverarbeitung nach außen hin kundtut, dies nur auf Grund ihrer Programmierung macht. ⁶ Verwendet wird die Anlage entweder vom Programmierer selbst oder von einem Dritten, der sich der Programmierung bedient. Dies geschieht willentlich. Zwar werden die Erklärungen nicht im Einzelfall dem Verwender der DV ⁷ - Anlage bekannt, dennoch wird er sich aber hypothetisch über die Ergebnisse der Programmierung im Klaren sein, und die Erklärungen der DV - Anlage gehen deshalb auf zurück. ⁸ einen menschlichen Willen Somit sind

„Computererklärungen“ als Willenserklärungen zu qualifizieren. Auf die Problematik der Vereinbarkeit der gesetzlichen Schriftform mit elektronischen Willenserklärungen wird später eingegangen. Fraglich ist, ob der Begriff „Computererklärung“ auch auf eine Willenserklärung per Mausklick passt. Im Internet, genauer im World Wide Web (WWW) ⁹ begegnet man sehr häufig der Aufforderung, durch einen Mausklick eine Erklärung abzugeben. Dies geschieht in unterschiedlicher grafischer Form, ist jedoch immer ein sogenannter „Hyperlink“. ¹⁰ Diese Aufforderung ist sicher eine Computererklärung. Fraglich könnte jedoch sein, ob das Betätigen dieses „links“ eine Computererklärung ist. Dies wird dann zu bejahen sein, wenn das Betätigen des „links“ auf dem Computer desjenigen, der „klickt“, einen Programmablauf auslöst, der aus dem „Klick“ sowohl eine Erklärung erzeugt, als sie auch weiterleitet. Eine reine Weiterleitung hingegen wäre als direkte WE eines Menschen zu verstehen.

⁶ Medicus, AT Rn. 256.

⁷ = Datenverarbeitung.

⁸ Köhler in AcP 182, 126 (134), Kohl, „Telematikdienste“ in : Scherer,

„Telekommunikation und Wirtschaftsrecht“, S. 91.

⁹ Zum ganzen Koch, Internet - Recht Anhang I, S. 548ff mit weiteren Nennungen.

¹⁰ Koch, Internet - Recht S. 569.

2

http://www.dendikty.de

Die genaue Differenzierung mag hier kompliziert sein und hängt von technischen Abläufen ab. Da es sich jedoch in beiden Fällen um WE handelt, bedarf es hierzu keiner weitergehenden Untersuchung

c) Zurechnungsfragen bei automatisierten DV - Abläufen Da oben die „Computererklärung“ als Willenserklärung qualifiziert wurde, muss sie auch einem Menschen zurechenbar sein, da sie sonst wirkungslos wäre. Eine Zurechnung wird hier für den DV -Anlagenbetreiber bejaht, der den Computer zur Beschleunigung eines Geschäftsabschlusses einsetzt. ¹¹ Dies gelte auch dann, wenn die Herstellung der WE der DV - Anlage selbst überlassen sei und somit nicht auf dem konkreten Willen des Verwenders beruhe. ¹² Der Computer arbeite auf Grund eines generellen Geschäftswillens des Betreibers, einer Art

Generalwillenserklärung. ¹³ Dabei mache sich der Betreiber auch dann die Computererklärungen zu eigen, wenn er nicht einmal deren Inhalt und Adressaten kenne, einfach dadurch, dass er sie lässt. ¹⁴ in den Rechtsverkehr gelangen Somit sind

Computererklärungen dem jeweiligen Betreiber des Computers stets als eigene WE zuzurechnen.

Beim Vertragsabschluß über das Internet stellte sich ursprünglich die Frage, ob der Vertragsabschluß unter Anwesenden oder Abwesenden zustande kommt. Denn gem. § 147 I S.2 BGB (alte

¹¹ Staudinger - Dilcher , vor §§ 116 - 144 Rn.6.

¹² Brauner, „das Erklärungsrisiko beim Einsatz von elektronischen

Datenverarbeitungsanlagen“, S. 40ff.

¹³ Schneider in „Handbuch des EDV - Rechts“, Kap. B Rn. 692.

¹⁴ Köhler in AcP 182, 126 (134)., Kohl, „Telematikdienste“, in: Scherer,

„Telekommunikation und Wirtschaftsrecht“ , S. 91ff (96), Koch, Internet-Recht

S.131f.

3

http://www.dendikty.de

Fassung) galten Anträge, die mittels eines Fernsprechers von Person zu Person gemacht werden, als Anträge unter Anwesenden. Bei der Benutzung des Internets bedient man sich in der Regel der Telefonleitung. Diese ist ursprünglich zum „Fernsprechen“ eingerichtet worden. Die Erschaffer des BGB hatten jedoch sicher nicht an die Nutzung der Telefonleitung für andere Kommunikationsdienste gedacht. So fehlt bei der Benutzung des Internets meistens die unmittelbare

Kommunikation. Die Verbindung erfolgt stets durch komplizierte „Routing - Verfahren“ und ist in den meisten Fällen zeitverzögert und nicht unmittelbar. Deshalb war bisher bei den meisten Vertragsabschlüssen über das Internet, die beispielsweise per E -Mail erfolgten, § 147 I S. 2 BGB (alte Fassung) unanwendbar und war von einem Vertragsschluss unter Abwesenden auszugehen. ¹⁵ Hierauf hat der Gesetzgeber nun mit folgender Änderung reagiert: In § 147 Abs. 1 Satz 2 BGB (neue Fassung ¹⁶ ) werden nach den Wörtern „mittels Fernsprechers“ die Wörter „oder einer sonstigen technischen Einrichtung“ eingefügt.

Somit ist nun in der neuen Fassung des § 147 Abs. 1 Satz 2 von einem Vertragsschluss unter Anwesenden auszugehen!

b) Ausnahmen

Etwas anderes muss aber gelten, wenn Verträge in sog. Chat -Rooms geschlossen werden oder auch in bereitgestellten On -Line - Konferenzsystemen. Hier ist Interaktion und Unmittelbarkeit gegeben und ein Vergleich mit dem „Fernsprecher“, auch wenn vielleicht nicht „gesprochen“ wird, naheliegend. In solchen Fällen ist also von einem Vertragsabschluß unter Anwesenden auszugehen. ¹⁷ Derartige Verträge sind jedoch eher selten.

¹⁵ So die ganz h.M., siehe Ernst, NJW - CoR 97, 165 (166), Heun in CR 1994, 595

(597).

¹⁶ http://www.uni-frankfurt.de/fb01/bizer/rechtsquellen/Form/Form(BGBl2001-

1542).pdf

¹⁷ So auch Fritsche/Malzer in DnotZ 95, S. 3 (11), deren Ansicht von Mehrings in MMR

1/98 S. 30 (33) Fn. 46 verkannt wird.

4

elektronischen Willenserklärungen im deutschen Recht.

Grundlagen

Eine digitale Signatur ist mit einem elektronischen Siegel vergleichbar, welches einem Datensatz (Willenserklärung) beigefügt wird, um dessen Authentizität (Herkunft/Absender) und Integrität (Vollständigkeit und Unverfälschtheit) zu gewährleisten. Die elektronische Signatur ermöglicht es, im elektronischen Rechts- und Geschäftsverkehr den Urheber und die Integrität von Daten sicherzustellen. Die bisher im Rechts- und Geschäftsverkehr bekannten digitalen Signaturen sind im übrigen von dem neuen Begriff der elektronischen Signaturen mit umfasst.

Im Verfahren zur sogenannten asymmetrischen Verschlüsselung im Rahmen einer digitalen bzw. einer elektronischen Signatur werden mittels eines Zufallsgenerators zwei komplementäre Schlüssel generiert. Dabei ist der eine Schlüssel für die Öffentlichkeit zugänglich (public key); ein Rückschluss auf den private key ist durch ihn jedoch nicht möglich. Den eigenen Schlüssel, den private key, hält man geheim. Das Signaturgesetz regelt allerdings nur die technischen Anforderungen und die Administration des Signaturverfahrens (Rahmenbedingungen). Rechtliche Konsequenzen werden hieran nicht gebunden, auch die Anwendung elektronischer Signaturen in der Praxis wird nicht geregelt.

Derzeit stößt eine elektronische Willenserklärung an ihre Grenzen, sobald die gesetzliche Schriftform nach § 126 Abs. 2 BGB angeordnet wird. Ein elektronisches Dokument kann nicht die Qualität einer eigenhändig unterschriebenen Urkunde haben. An dieser Feststellung ändert sich nichts, wenn das Dokument mit einer digitalen Signatur versehen ist, da keine Rechtsfolgen mit

5

http://www.dendikty.de

der Signatur verbunden wurden. Im gerichtlichen Verfahren wird der Richter folglich im Rahmen der freien Beweiswürdigung nach § 286 Abs. 2 ZPO das elektronische Dokument im Wege des Augenscheinbeweises würdigen. Es ist ihm freigestellt, ob er die Daten für authentisch hält oder an eine Manipulation glaubt. Das gleiche gilt für die Frage, ob diese Daten tatsächlich in dieser Form von der Gegenseite abgegeben wurden.

Künftig sollen die notwendigen Voraussetzungen dafür geschaffen werden, dass die elektronische Signatur ein Substitut zur handschriftlichen Unterschrift darstellen und hierdurch eine entsprechende Rechtswirkung entfalten kann. Die Regelung der Rechtswirkung elektronischer Signaturen ist Gegenstand eines „Entwurfes eines Gesetzes zur Anpassung der Formvorschriften des Privatrechts an den modernen Rechtsgeschäftsverkehr", der gesondert im Bundestag beraten wird. Demnach ist die qualifizierte elektronische Signatur einer eigenhändigen

Unterschrift gleichgestellt, wenn das Gesetz nicht etwas anderes vorschreibt. Die Regelung der gesetzlichen Schriftform in § 126 BGB soll um einen entsprechenden Passus (§ 126 a) ¹⁸ ergänzt werden; ähnliche Formulierungen werden in anderen Gesetzen eingefügt.

(1) Das Signaturgesetz

Gem. § 1 SigG ist es das Ziel des Gesetzes, Rahmenbedingungen für elektronische Signaturen zu schaffen. Aus diesen Rahmenbedingungen ergeben sich keine Rechtsfolgen, weshalb das SigG nur einen gesetzgeberischen Torso darstellt. 19

¹⁸ http://www.uni-frankfurt.de/fb01/bizer/rechtsquellen/Form/Form(BGBl2001-

1542).pdf

¹⁹ Geis, NJW 1997, S. 3000 ff.

6

sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen ²⁰ .

b. Sogenannte fortgeschrittene elektronische Signaturen ²¹ unterliegen höheren Anforderungen als einfache elektronische Signaturen (ausschließliche Zuordnung zu dem Signaturschlüsselinhaber, Ermöglichung der Identifizierung des Signaturschlüsselinhabers, etc) erfüllen jedoch nicht die Anforderungen an digitale Signaturen nach geltendem Signaturgesetz oder die Anforderungen, die nach der EG-Richtlinie für die Anerkennung im Rechtsverkehr vorgegeben werden. Die fortgeschrittenen elektronischen Signaturen stellen damit eine Zwischenstufe im Verhältnis zu den einfachen elektronischen Signaturen und den qualifizierten elektronischen Signaturen dar.

c. Qualifizierte elektronische Signaturen sind fortgeschrittene elektronische Signaturen, die auf einem zum Zeitpunkt der Erzeugung gültigen qualifizierten Zertifikat beruhen und mit einer sicheren Signaturerstellungseinheit erzeugt werden ²² .

d. Zertifikate in diesem Sinne sind elektronische Bescheinigungen, mit denen Signaturprüfschlüssel (= elektronische Daten, die zur Überprüfung einer elektronischen Signatur verwendet werden) einer Person zugeordnet und die Identität dieser Person bestätigt wird.

e. Qualifizierte Zertifikate sind auf dieser Grundlage elektronische Bescheinigungen für natürliche Personen, die nach § 7 des

²⁰ Bizer, Elektronische Signaturen im Rechtsverkehr, S. 18.

²¹ Bizer, aaO.

²² Bizer, Elektronische Signaturen im Rechtsverkehr, S. 20.

7

http://www.dendikty.de

Gesetzes bestimmte inhaltliche Anforderungen (z.B. Namen des Signaturinhabers, den zugeordneten Signaturprüfschlüssel, die Bezeichnung der Algorithmen, mit denen der Signaturprüfschlüssel benutzt werden kann, etc.) erfüllen und von Zertifizierungsdienstesanbietern ausgestellt werden, die wiederum gewisse Anforderungen des Gesetzes (z.B. Fachkundenachweis, Deckungsvorsorge, Sicherheitskonzepte usw.) erfüllen müssen ²³ .

f. Der Betrieb eines Zertifizierungsdienstes im Rahmen des neuen Signaturgesetzes ist zwar genehmigungsfrei, das Signaturgesetz sieht jedoch die Einführung einer freiwilligen Akkreditierung ²⁴ für Zertifizierungsdienstanbieter vor, um den eingeführten und anerkannten Sicherheitsstandard nach dem bisherigen Verfahren für den Markt weiterhin anzubieten und zu erhalten ²⁵ .

g. Die freiwillige Akkreditierung ist ein Qualitätssicherungsverfahren zur Erteilung einer Erlaubnis für den Betrieb eines Zertifizierungsdienstes, mit der besondere Rechte und Pflichten verbunden sind. Zertifizierungsdienstanbieter erhalten mit der Akkreditierung quasi ein „Gütesiegel", mit dem der Nachweis der umfassend geprüften technischen und administrativen Sicherheit für die auf ihren qualifizierten Zertifikaten beruhenden elektronischen Signaturen zum Ausdruck gebracht wird. Das Akkreditierungsverfahren wird von der Regulierungsbehörde für Telekommunikation und Post durchgeführt.

h. Die Novellierung sieht darüber hinaus eine im bisherigen Signaturgesetz nicht vorgesehene Regelung zur Haftung der Zertifizierungsstellen bei Mängeln im Zertifizierungsablauf vor und

²³ Bizer, Elektronische Signaturen im Rechtsverkehr, S. 24.

²⁴ § 15 SigG.

²⁵ Bizer, Elektronische Signaturen im Rechtsverkehr, S. 21.

8

http://www.dendikty.de

stellt an Zertifizierungsdienstesanbieter eine Verpflichtung zur Deckungsvorsorge ²⁶ .

Gegenüber dem bisherigen Signaturgesetz wird eine Erweiterung auf „berufsbezogene oder sonstige Angaben" zu Personen (Attribute) in qualifizierten Zertifikaten vorgesehen, so dass alle potentiellen relevanten Angaben zu einer Person, z.B. Zugehörigkeit zu einer Institution, Aufgabenbereich, Berufsbezeichnung oder berufsrechtliche Zulassungen, in ein Zertifikat aufgenommen werden können. Künftig wird diesbezüglich eine Bestätigung seitens der für berufsbezogene oder sonstige Angaben zur Person zuständigen Stellen (z.B. Berufskammern) verlangt. Berufskammern hatten im Rahmen der Evaluierung des Signaturgesetzes Bedenken dahingehend geäußert, dass ein qualifiziertes Zertifikat mit Angaben über eine berufsrechtliche Zulassung auf ein Pseudonym ausgestellt und dadurch das Vertrauen in die berufsrechtliche Zulassung erschüttert werden konnte. Mit der neuen Regelung wird daher beispielsweise der Bundesnotarkammer oder den Ärztekammern als für die berufsbezogenen oder sonstigen Angaben zuständigen Stellen die Möglichkeit eingeräumt, auszuschließen, dass Ärzte medizinische Leistungen unter einen Pseudonym anbieten. Die sog. qualifizierten Attributzertifikate stellen daher zusätzlich eine Art Ausweis für elektronische Kommunikation dar. Wenngleich der Regelungsbereich des Signaturgesetzes nach dem Gesetzesentwurf und gem. Artikel 1 der EG-Richtlinie auf alle elektronischen Signaturen ausgedehnt wird, werden im Kern nur die materiellen Sicherheitsanforderungen an qualifizierte elektronische Signaturen, an die nach Artikel 5 Abs. 1 der EG-Richtlinie unmittelbare Rechtswirkungen geknüpft werden können, geregelt. Darüber hinausgehende materielle Anforderungen betreffen nur die speziellen Datenschutzbestimmungen in § 14 des Signaturgesetzentwurfs, die auch diejenigen

²⁶ § 12 SigG.

9

http://www.dendikty.de

Zertifizierungsanbieter erfassen, die keine qualifizierten Zertifikate erstellen.

Grundsätzlich wird auch nach der Neuregelung die Anwendung von elektronischen Signaturen, die nicht den materiellen Anforderungen des Signaturgesetzes entsprechen, freigestellt (§ 1). Es bedarf daher auch keiner gesetzlichen Regelung für elektronische Signaturen, die ausschließlich in Systemen verwendet werden, die auf freiwilligen privatrechtlichen Vereinbarungen zwischen einer bestimmten Anzahl von Teilnehmern beruhen.

Abschließend ist anzumerken, dass der Anwender einer digitalen Signatur von der komplexen Realisierung der Fälschungssicherheit nicht betroffen ist. Er muss vor allem sicherstellen, dass sein privater Signaturschlüssel nicht unberechtigt benutzt werden kann. Um eine digitale Signatur in der Praxis zu erzeugen, d.h. anzuwenden, bedarf es im Übrigen keiner aufwendigen Mittel und Vorgehensweisen. Es ist des weiteren zu beachten, dass die elektronische Signatur nicht die Vertraulichkeit des Inhaltes an sich vor unerwünschter Kenntnisnahme schützt. Ein derartiger Schutz kann nur durch eine geeignete Verschlüsselung des Inhalts erreicht werden, während die elektronische Signatur lediglich eine Sicherheit vor Verfälschung bietet.

(2) technische Grundlagen

Um Missverständnisse zu vermeiden, ist es notwendig zunächst auf die technischen Grundlagen der Signatur einzugehen. Die heute angewandten Signaturverfahren gehen zurück auf das asymmetrische -Verschlüsselungsprinzip der Krypotologie. Dieses hat seinen Ursprung in dem mathematisch sehr komplizierten RSA - Verfahren, das in den 70er Jahren entwickelt wurde. Es beinhaltet die Verschlüsselung von Daten anhand von Code -Schlüsseln. Dabei werden zunächst zwei Schlüssel errechnet. Die

10

http://www.dendikty.de

Besonderheit hieran ist, dass es bei ausreichender Länge ²⁷ dieser Schlüssel nicht möglich ist, aus einem Schlüssel den jeweils anderen zu errechnen. Nach gesicherter wissenschaftlicher Kenntnis wird dies auch mit Computern künftiger Generationen nicht möglich sein. ²⁸ Von diesen beiden Schlüsseln ist einer, der sogenannte „private Schlüssel“, nur dem Verwender bekannt. Der zweite Schlüssel, der „öffentliche Schlüssel“, wird bekannt gegeben. Es ist nun möglich, Daten, die mit einem der beiden Schlüssel codiert wurden, mit dem jeweils anderen wieder zu decodieren.

Eine elektronische Signatur besteht aber nicht in der Codierung der Daten an sich. Mit Hilfe des privaten Schlüssel ist es nämlich auch möglich, aus den Daten eine Art Kurzform dieser Daten zu erstellen. Die Decodierung dieser Kurzform mit dem öffentlichen Schlüssel gibt dann darüber Aufschluss, ob mit dem passenden privaten Schlüssel codiert wurde und ob die Daten verändert wurden. 29

(3) Rechtlicher Aspekt

Unter Zuhilfenahme der elektronischen Signatur kann also zunächst die Authentizität und Integrität von Willenserklärungen ermittelt werden.

Alles in allem erscheint dieses Verfahren sowohl technisch als auch von der Kontrollinfrastruktur her sehr sicher ³⁰ . Fraglich ist nur, ob es praktisch ist und welche praktischen Konsequenzen sich überhaupt daraus im Bezug auf das Beweisrecht ergeben.

²⁷ sog. 1024 Bit - Schlüssel ( tatsächlich 768 Bit ).

²⁸ zum ganzen, mit mathematischer Herleitung: Koch, Internet - Recht, S.180ff.

²⁹ zum technischen Stand im Nov. 1998 und der Möglichkeit der privaten Nutzung siehe

Luckhardt in c’t 23/98, S.102f.

³⁰ Risiken werden im folgenden angesprochen.

11

http://www.dendikty.de

Zwar bieten digital signierte Dokumente einen relativ hohen Schutz vor Manipulationen, doch ist ein absolutsicheres System nicht vorstellbar. Immerhin räumt das Bundeskriminalamt ein, dass - bei Einhaltung bestimmter Sicherheitsanforderungen - die Sicherheit der digitalen Signatur höher zu bewerten ist, als die der manuell geleisteten Unterschrift ³¹ , doch zeigten Versuche, dass die bisherigen Systeme auch neuartige Lücken eröffnen. Der technische Fortschritt, aber auch die Angreifbarkeit der Hardware und Software zur Erzeugung einer digitalen Signatur eröffnet jedoch Möglichkeiten auch die bisher bekannten Sicherungen zu umgehen oder zu manipulieren. Nicht zu vergessen ist schließlich das Problem der Zertifizierungsstellen. Es müsste sich dabei um absolut vertrauenswürdige und kompetente Stellen handeln.

Ungewiss bleibt auch, ob staatliche Interessen - zumindest bei völlig verschlüsselten Mitteilungen - auch in diesem Bereich durchschlagen und zu einer Einschränkung des technisch Machbaren führen, um ein „Mitlesen“ des Staates zu ermöglichen ³² , wie es beispielsweise im Telekommunikationsgesetz ³³ geschah. Nachfolgend sollen jedoch kurz einige Angriffspunkte für Manipulationen angesprochen werden:

b) Hard- und Software

Die Hard- und Software bietet viele Punkte des Angriffs. In der Regel gilt dies insbesondere dann, wenn der Signierer an einem fremden System arbeitet und ihm daher die normalen Eigenschaften, der Software oder die Ausstattung nicht vertraut ist. Dies heisst aber nicht, dass auch Programmfehler ³⁴ bekannt

³¹ vgl. Bieser CR 9/1996, 564, 656.

³² Das Verschlüsseln ist in manchen Staaten eingeschränkt oder verboten; vgl. Kuner

NJW-CoR 6/95, 413 ff.

³³ Abhörmöglichkeit durch § 89 TKV (vgl. http://www.inm.de/tkg/).

³⁴ sogenannte Bugs.

12

http://www.dendikty.de

werden und somit ein Einbrechen ermöglichen. Denkbar ist beispielsweise beim Signieren das Auslesen der Chipkarte mit dem zugehörigen eingegebenen PIN. Damit liessen sich anschließend beliebig viele Dokumente signieren. Diese Funktion können auch Viren übernehmen, welche die gewonnene Information über Netzwerke zu einem völlig Unbekannten transferieren. Es gibt daher bereits Systeme, welche zwischen der Tastatur und dem Computer gesetzt werden, so dass die Software des Computers an diesem Punkt nicht angreifen kann. Bei öffentlichen Anwendungen sollen technische Komponenten vorgeschrieben werden, die bestimmte Sicherheitskriterien erfüllen und sich vor jedem Signierungsvorgang automatisch auf ihre Sicherheit überprüfen. Ob nicht eine solche Selbstsicherung auch umgangen werden kann, bleibt abzuwarten. Daneben besteht jedoch auch die Möglichkeit, dass durch Programmanipulationen eine an sich falsche Signatur dem Benutzer gegenüber als korrekt angezeigt wird ³⁵ . Abhängig vom eingesetzten System und dem Stand der Technik dürfte es auch möglich sein - und ist auch bereits gelungen -, eine Smart-Card so auszulesen ³⁶ , dass diese Informationen von Unberechtigten zum Signieren verwendet werden können, oder zur Schaffung eines „neuen“ Schlüssels.

c) Die Verschlüsselungsalgorithmen

Die Verschlüsselungsalgorithmen hingegen gelten als hinsichtlich ihrer mathematischen Eigenschaften als gut untersucht, so dass nicht zu erwarten ist, dass etwa neue Verfahren gefunden werden, welche derzeit mit vertretbarem Aufwand und mit sehr

³⁵ Pordesch DuD 10/93, 561 565 f.

³⁶ Frankfurter Rundschau vom 12. November 1996: „Bellcore gelang durch absichtlich

produzierte Fehler, Rückschlüsse auf den Aufbau des Prozessors“.

13

http://www.dendikty.de

leistungsfähigen Computern geheime und den zugehörigen öffentlichen Schlüssel berechnen können ³⁷ . Dennoch, die rasch wachsende Leistung von Computern beim Berechnen von Schlüsseln will man durch Maßnahmen wie eine Verlängerung der zum Signieren verwendeten Schlüssel und eine Begrenzung der Gültigkeitsdauer der Schlüssel begrenzen bzw. verhindern.

Daraus folgt jedoch auch, dass alte Schlüssel mit dann zur Verfügung stehenden technischen Mitteln leicht zu berechnen sind und alte Dokumente hinsichtlich ihres Beweiswertes ihre Glaubwürdigkeit bzw. Beweiskraft verlieren. Die Signaturverordnung sieht einen solchen Ablauf des Schlüssels nach 5 Jahren vor ³⁸ . Demnach stellt sich noch die Frage nach einer zuverlässigen Archivierung von alten Dokumenten. Die Signaturverordnung sieht bislang das Anbringen einer weiteren digitalen Signatur vor ³⁹ . Eine endgültige und zufriedenstellende Lösung liegt somit nicht vor.

d) Täuschung des Nutzers

Wie bereits ausgeführt, erkennt das Prüfungsprogramm, ob das verschlüsselte Kommprimat des Dokumentes mit dem Klartext identisch ist und daher die Herkunft festgestellt ist. Allerdings braucht sich eine solche Signatur nicht auf das gesamte Dokument beziehen. Je nach Ausstattung des Anwenders ist es daher unter Umständen nicht sofort ersichtlich, auf welchen Teil sich die Signatur bezieht. Auch kann der signierte Teil in einem anderen Dokument eingebaut werden. Denkbar ist dies zum Beispiel bei strukturierten Dokumenten, welche von verschiedenen Partnern signiert werden.

³⁷ math. „ Faktorisierung“ stellt zur Zeit wohl den erfolgversprechendsten Angriff dar,

doch kann durch Schlüssellänge weitere Sicherheit „gewonnen“ werden.

³⁸ § 14 Nr. 3 SigV.

³⁹ § 17 SigV.

14

http://www.dendikty.de

In Versuchen gelang es, die vorhandene Signatur so abzuändern, dass die Software des Empfängers die Signatur als Text interpretierte.

Anschließend veränderte der Sender einen kleinen Teil des Dokumentes und signierte es neu. Der erste optische Eindruck und das Prüfungsergebnis des Verschlüsselungsprogramms deuteten nicht auf eine Veränderung hin.

Erst beim Betrachten des detaillierten Prüfergebnisses mit der angezeigten Struktur wurde die Täuschung deutlich ⁴⁰ . Ein weiteres Problem bei strukturierten Dokumenten, welche mit mehreren Signaturen versehen sind, ist dass jede Version für sich ein Original ist und demnach in Umlauf gebracht werden kann. Dadurch ist es beispielsweise möglich, ältere Dokumente als Beweismittel vorzubringen.

e) Der Nutzer

Nicht unbeachtlich ist auch der Bereich des Chipkarteninhabers. Seine Chipkarte mit dem entsprechenden PIN erlaubt die Signierung beliebiger Dokumente. Unproblematischer dürften dabei die Fälle sein, wenn der Inhaber die Karte mit PIN einem Familienmitglied oder Assistenten zur Vereinfachung von Arbeitsabläufen übergibt.

Problematischer sind jedoch die Fälle, wenn diese Informationen unberechtigten Dritten in die Hände fällt. Das Signaturgesetz sieht zwar eine Sperrung des Schlüssels ⁴¹ vor, doch kann bis zu diesem Zeitpunkt darüber verfügt werden. Ähnliche Probleme existieren bereits heute bei der Verwendung von EC-Karten am Geldautomat. Es genügt beispielsweise, dass dem Karteninhaber eine - nicht unbedingt funktionsfähige - Fälschung anstelle seiner korrekten Karte untergeschoben wird. Um auch diese Probleme zu lösen und damit auch eine größere Sicherheit im Bereich der

⁴⁰ Pordesch/Nissen CR 9/95, 562, 564; Bieser, CR 9/96, 564, 565.

⁴¹ § 8 SigG.

15

http://www.dendikty.de

Identität zu erreichen, stellt man sich anstelle oder zusätzlich zu der Eingabe einer PIN auch biometrische Verfahren, also beispielsweise das Abtasten ⁴² der Netzhaut vor ⁴³ .

f) Die Zertifizierungsstellen

Zweifelsfrei kommt den Zertifizierungsstellen eine besondere Verantwortung zu. Sie müssen den Antragsteller zuverlässig identifizieren, die ausgegebenen öffentlichen Schlüssel verwalten und jederzeit für jedermann diese Zertifikate zu Prüfungszwecken bereitzuhalten. Hier sind es mehrere Punkte, welche die Sicherheit des gesamten Systems gefährden können. Zunächst muss bereits bei der Schlüsselerzeugung ausgeschlossen sein, dass Dritte an den privaten Schlüssel kommen. Gelingt der unberechtigte Zugriff auf den geheimen Schlüssel, ist das gesamte System gelähmt ⁴⁴ .

Zwar stellt das Signaturgesetz ⁴⁵ und die Signaturverordnung ⁴⁶ bestimmte Anforderungen an die Zertifizierungsanbieter, die Ausstattung und das eingesetzte Personal, doch kann eine Weitergabe von Schlüsseln wohl nie völlig ausgeschlossen werden, wie man vor einiger Zeit bei den Karten des D1-Mobilfunknetzes sehen konnte. Als aktuelles Beispiel dient Premiere World, denn die kämpfen mit diesem Problem seit bestehen des Unternehmens.

Ferner muss ein zuverlässig erzeugtes Schlüsselpaar ebenso verlässlich einem eindeutig identifizierten Benutzer zugeordnet werden. Die Identifizierung muss dabei in zuverlässiger Weise, z.B. durch eine Zusammenarbeit mit den Meldebehörden, erfolgen ⁴⁷ .

⁴² Retinascan.

⁴³ Bergmann CR 2/94, 77, 81.

⁴⁴ So ein Bericht in der Wirtschaftswoche 36/96 über Kim Schmitz.

⁴⁵ §§ 4 - 14 SigG.

⁴⁶ §§ 1 - 5; 8; 10; 16; 18 SigV.

⁴⁷ §§ 5 - 7, 10 SigG; §§ 3, 6, 8 SigV.

16

http://www.dendikty.de

Daneben muss die Verknüpfung von Schlüsselpaar und Benutzidentität dauerhaft und möglichst manipulationssicher elektronisch versiegelt werden ⁴⁸ . Dies geschieht indem das Schlüsselpaar, die Benutzidentität und deren Verknüpfung mit einem eigenen geheimen Zertifizierungsstellen-Schlüssel digital signiert ⁴⁹ wird. Wird dieser Schlüssel bekannt, können damit falsche Identitäten erzeugt werden. Letztendlich ist die Führung eines Verzeichnisses sämtlicher gültiger und gesperrter Zertifikate unabdingbar. Diese Listen, auch „Directories“ genannt, bedürfen einer sorgfältigen Administration und Pflege, da andernfalls beispielsweise eine Sperrung nicht oder nur zeitlich verzögert möglich ist ⁵⁰ .

g) Zusammenfassung

Trotz all der aufgezeigten Manipulationsrisiken, zeigt sich die digitale Signatur im Vergleich zur handschriftlichen als sicherer und sie ist wohl die einzige Möglichkeit, die Echtheit und Urheberschaft von elektronischen Dokumenten klarzustellen. An Versuchen, Manipulationsmöglichkeiten zu finden, auch die digitale Signatur zu knacken, wird es freilich nicht fehlen. Doch sollte nicht vergessen werden, dass auch die handschriftliche Signatur solchen Angriffen ausgesetzt ist und somit die Urheberschaft sowie die Integrität eines papiergebundenen Dokumentes ebenfalls häufig fraglich ist, aber dennoch seit Jahrhunderten verwendet wird. Zu beachten ist jedoch, dass das Verfälschen eines elektronisch signierten Dokumentes für den Verbraucher der Fälschung in der Regel weniger riskant ist als bei konventionellen Verfahren.

⁴⁸ §§ 5 und 7 SigG.

⁴⁹ sogenanntes Zertifikat; Nach §§ 2 Nr.6 und 7; 5; 7 SigG.

⁵⁰ § 10 SigG; §§ 4 und 8 SigV.

17

http://www.dendikty.de

Zweifellos ist die rechtliche Anerkennung von gesicherten elektronischen Dokumenten als Beweismittel eine Grundvoraussetzung für die Anwendung der Informationstechnologie und den weiteren Siegeszug computergestützter Systeme. Nur das Vertrauen auf zuverlässige Systeme wird auch den privaten Nutzer von den Vorteilen eines elektronischen Datenaustausches überzeugen und somit nicht nur zu einer weiteren Verbreitung führen. Ferner sind die wirtschaftlichen Vorteile nicht zu übersehen. Elektronisch versandte Dokumente sind in der Regel bedeutend schneller beim Empfänger, verursachen meist geringere Kosten und erlauben unter Umständen auch eine automatische Auswertung, was zu der bereits angesprochenen Rationalisierung führen kann.

Mit dem neuen Signaturgesetz und der neuen Signaturverordnung hat die Bundesrepublik zumindest Rahmenbedingungen für die elektronische Signatur geschaffen.

Eine völlige Gleichsetzung von digital signierten elektronischen Dokumenten mit herkömmlichen Urkunden, mag zwar nun rein Rechtlich gegeben sein, allerdings schrecken schon die entstehenden Kosten einer elektronischen Signatur deren Nutzung ab.

Dennis Dikty

18

http://www.dendikty.de

Anlage I

Beispiele aus dem Trust Center ⁵¹ : private Nutzung TC Private

• Jahr gültig

• Vertrauensstufe Class 3: persönliche Identifizierung

• Überprüfung von Personalausweis oder Reisepass

• Überprüfung der E-Mail-Adresse

• Wahl zwischen internat. X.509-Standard oder PGP

• Aufnahme in den Verzeichnisdienst

(LDAP und HTTP)

• Sperrdienst

31,00 €

TC Express

• Unmittelbare Bereitstellung

• Sofort verwendbar in den E-Mail-Programmen von Microsoft und

Netscape

• 1 Jahr gültig

• Vertrauensstufe Class 1: Überprüfung der E-Mail-Adresse

• Internat. X.509-Standard

• Aufnahme in den Verzeichnisdienst

• Sperrdienst

0,- €

TC Code Signing

• Neu: 3 Jahre gültig

• Hohe Vertrauensstufe Class 3: persönliche Identifizierung

• Signieren von Java-Applets, ausführbaren Windows-Applikationen

(EXE-Files) und Windows Cabinet-Dateien

• Unveränderlicher Eintrag des Urhebers mit dem eigenen Namen und

dem Zusatz "Individual Software Publisher"

• Sicherung vor Manipulationen oder Übertragungsfehlern

• Aufnahme in den Verzeichnisdienst

(LDAP und HTTP)

• Sperrdienst

116,00 €

⁵¹ http://www.trustcenter.de/

19

http://www.dendikty.de

Beispiele aus dem Trust Center: geschäftliche Nutzung TC Entry PKI

• 25 Zertifikate

(X.509v3, Class 2)

• Weitere Zertifikate jeder Zeit online beantragen

• Web-Interface für die Verwaltung und Verwendung der Zertifikate

(Teilnehmer und Administrator)

• Ein Administrator-Zertifikat (auf Smartcard inkl. Lesegerät und

Software)

• Handbuch für den Administrator

• Regelmäßige Bereitstellung von Certificate Revocation Lists

ab 249,00 € im Monat Einmalige Einrichtungsgebühr:

2.250,00 EUR TC Server

• 1 Jahr gültig

• Freie Wahl der Vertrauensstufe:

Class 3: persönliche Identifizierung oder

Class 2: Überprüfung nur anhand von Dokumenten

• SSL-Verschlüsselung

• Offener X.509-Standard

• Aufnahme in den Verzeichnisdienst

(LDAP und HTTP)

• Sperrdienst

• Neu: "Certified by TC TrustCenter"-Service inklusive

260,00 € für den ersten Server 130,00 € für jeden weiteren Server

20

http://www.dendikty.de

Anlage II 52

⁵² http://www.datenschutz-und-datensicherheit.de/

21

http://www.dendikty.de

Anlage III

Die Fingerprints der TC TrustCenter-Schlüssel 53

Hinweis zur Überprüfung unserer Fingerprints:

Sie können zur Überprüfung der Fingerprints auch gerne bei uns anrufen oder sie lassen sich einen Bogen unseres Briefpapiers zusenden, auf dem unsere Fingerprints abgedruckt sind. Sie erreichen uns dazu unter Telefon +49 (0)40 / 80 80 26-0.

Unsere Fingerprints sind mit dem MD5-Verfahren erstellt worden.

PGP-Schlüssel (2048 Bits)

RSA Root Key

D7 1F FA A7 F6 0E 09 17 4A DC 04 6D 33 43 55 F1

Certificate Adminstration Key / Organization Key

4A BB 51 BA D5 06 97 13 3A CB CF 30 76 F0 AF 48

Class 0 CA

8E 76 34 27 A1 42 A4 B0 22 EE 4E C0 75 8B E6 6F

Class 1 Business CA

1E 74 14 CC E7 C6 F9 EF E4 92 81 09 A3 BB 68 7F

Class 2 Business CA

D6 4C 16 1B E9 38 F3 6D DE 0C 76 EA EA 07 29 07

Class 3 Business CA

D5 37 AC 99 72 55 A5 DA 52 72 71 2B A4 DF C5 0F

⁵³ http://www.trustcenter.de/set_de.htm

23

http://www.dendikty.de

Class 4 Business CA

DF CB C8 8B 72 70 98 A3 0A 92 F7 AC E1 B8 3A AB

Class 1 Private CA

00 49 28 89 87 B1 0C 86 36 00 AE C5 79 91 5D FF

Class 2 Private CA

76 FF 90 39 95 09 5E 09 5F 72 6A 1A C3 3A B7 64

Class 3 Private CA

6E D7 BF 1B 84 BE DE B5 EB 0E 92 40 48 7D B2 F8

Class 4 Private CA

0F 12 16 0E 4F 55 D5 9B BA 1B 27 3D 21 A9 65 83

X.509-Schlüssel

Class 0 CA (1024 Bits)

35 85 49 8E 6E 57 FE BD 97 F1 C9 46 23 3A B6 7D

Class 1 CA (1024 Bits)

64 3F F8 3E 52 14 4A 59 BA 93 56 04 0B 23 02 D1

Class 2 CA (1024 Bits)

E1 E9 96 53 77 E1 F0 38 A0 02 AB 94 C6 95 7B FC

Class 3 CA (1024 Bits)

62 AB B6 15 4A B4 B0 16 77 FF AE CF 16 16 2B 8C

Class 4 CA (1024 Bits)

24

http://www.dendikty.de

BF AF EC C4 DA F9 30 F9 CA 35 CA 25 E4 3F 8D 89

Demo Certificate (2048 Bits)

6D E7 10 EE DC 1C 03 0D 24 7D 84 29 20 28 F8 DD

Server Certificate (2048 Bits)

F0 1E 28 9D 7D FC B3 0E 85 93 FF CA 75 F9 71 2E

Proven Server Certificate (2048 Bits)

40 AF 94 67 02 5A 3B 1D B7 1A 01 54 CA BA AE 28

WTLS

Die Fingerprints für WTLS sind mit dem SHA-1-Verfahren erstellt worden.

Class 0 CA:

FF 33 DA E8 A7 49 A6 85 27 93 F8 EE 86 67 5D 0D 04 CC 2C 27

Class 2 CA:

75 60 58 A4 0F C8 BB D9 1F 59 35 9F D6 E1 C2 88 F6 D9 87 9D

Class 3 CA:

73 8C 47 75 55 24 89 7B ED 9B 65 B7 04 15 2A 2B EF 63 46 96

Was sind Fingerprints?

Fingerprints (englisch für "Fingerabdrücke") dienen dazu, die Verifizierung von Schlüsseln zu vereinfachen. Sofern Sie den öffentlichen Schlüssel desjenigen, mit dem Sie sicher kommunizieren wollen, nicht persönlich übergeben bekommen (beispielsweise auf Diskette), sondern von einem Public Key

25

http://www.dendikty.de

Server, aus einer Mailbox oder per E-Mail erhalten haben, dann müssen Sie sich in irgendeiner Weise davon überzeugen, dass Sie den richtigen Schlüssel vorliegen haben.

"Aber der Schlüssel ist doch vom TC TrustCenter zertifiziert!", werden Sie vielleicht sagen. Das bedeutet, dass der betreffende Schlüssel mit einem unserer privaten Schlüssel unterschrieben wurde. Zur Überprüfung der Unterschrift benötigen Sie den zugehörigen öffentlichen Schlüssel von uns. Und woher haben Sie diesen öffentlichen Schlüssel? Vielleicht auch aus einer Mailbox oder per E-Mail erhalten? Es wäre für einen Dritten kein allzu großes Problem, auch diesen Schlüssel auszutauschen und Sie so glauben zu machen, Sie hätten den richtigen Schlüssel von uns und Ihres Kommunikationspartners, und letzterer scheint zudem von uns zertifiziert zu sein, obwohl nichts von alledem zutrifft!

Auch wenn der Schlüssel von uns zertifiziert ist, so müssen Sie also immer noch sichergehen, dass Sie von uns die echten Schlüssel haben. Wenn der fragliche öffentliche Schlüssel Ihres E-Mail-Partners nicht zertifiziert ist, dann müssen Sie den Schlüssel auf irgendeine andere Weise überprüfen.

Die Lösung des Problems ist in beiden Fällen der Fingerprint des öffentlichen Schlüssels. Fingerprints sind eine Art Extrakt des Schlüssels, der diesen durch wenige Zeichen (16 Bytes) eindeutig identifiziert, ohne dass Sie den gesamten Schlüssel von 1024 (128 Bytes) oder gar 2048 Bits (256 Bytes) abgleichen müssen.

Sie könnten Ihren Partner beispielsweise anrufen und ihn darum bitten (wenn Sie sicher sind, dass wirklich er es ist, der mit Ihnen spricht), dass er Ihnen den Fingerprint seines öffentlichen Schlüssels vorliest. Mit PGP 2.x kann man sich diesen durch Eingabe von

26

http://www.dendikty.de

pgp -kvc Benutzername

anzeigen lassen. Benutzer von PGP 5.x starten stattdessen das Hilfsprogramm PGPKeys und führen einen Mausklick mit der rechten Maustaste auf den fraglichen Schlüssel aus. In dem Popup-Menü, das dann erscheint, klicken Sie bitte auf Key properties. Es öffnet sich ein Fenster, indem Sie unter anderem den Fingerprint ablesen können.

Stimmt der Fingerprint, den Ihnen Ihr Gegenüber vorliest, mit dem überein, der bei Ihnen angezeigt wird, dann können Sie sicher sein, den richtigen Schlüssel vorliegen zu haben.

27