Die digitale Signatur. Das Äquivalent zur eigenhändigen Unterschrift

Inhaltsverzeichnis

1 Einleitung

2 Kategorien der elektronischen Signatur
2.1 Einfache elektronische Signatur
2.2 Fortgeschrittene elektronische Signatur
2.3 Qualifizierte elektronische Signatur

3 Die kryptographischen Grundziele

4 Verschlüsselungsverfahren
4.1 Symmetrische Verschlüsselung
4.2 Asymmetrische Verschlüsselung
4.3 Hybride Verfahren

5 Hash-Funktionen

6 Signaturen

7 Zertifikate

8 Fallbeispiel

9 Zusammenfassung

Literaturverzeichnis

1 Einleitung

Als ich vor einigen Jahren das erste Mal meine Steuererklärung gemacht habe, benutzte ich dafür noch Formulare, die ich im örtlichen Bürgerbüro bekam. Sorgfältig ausgefüllt und eigenhändig unterschrieben habe ich diese dann in einem verschlossenen Umschlag an mein zuständiges Finanzamt geschickt. Das hat viel Zeit gekostet, bedingte eine leserliche Handschrift und natürlich eine Briefmarke. Der Finanzbeamte musste all meine Daten dann anschließend in seinen Rechner eintippen. Heute habe ich meine Steuererklärung für das letzte Jahr abgegeben. Ich brauchte kein Papier, keinen Umschlag, keinen Stift und keine Briefmarke. Meine Erklärung ist außerdem nach wenigen Minuten beim Finanzamt eingetroffen. Es funktioniert alles digital - auch die Unterschrift. Im früheren Fall, man würde ihn heutzutage wohlmöglich schon als altmodisch bezeichnen, bestätigte ich mit meiner eigenhändigen Unterschrift, dass die Erklärung korrekt und vollständig ist und von mir selbst angefertigt wurde. Die Post stellte sicher, dass kein Dritter meine Sendung öffnet und so meine Steuererklärung lesen oder abändern konnte. Im heutigen Fall musste all das auf informationstechnische Weise umgesetzt werden.

Nicht nur meine Steuererklärung sondern viele weitere Dokumente erfordern aus rechtlichen oder organisatorischen Gründen eine Unterschrift. Diese Dokumente in elektronischer Form erstellen, versenden, speichern und verarbeiten zu können, spart Kosten ein und beschleunigt Arbeitsabläufe. Die digitale Signatur ermöglicht uns diesen Fortschritt, indem sie an die Stelle der eigenhändigen Unterschrift tritt. Das Signaturgesetz¹ definiert die verschiedenen Kategorien für elektronische Signaturen und legt weitere Rahmenbedingungen fest, wie zum Beispiel Vorgaben zur „technischen und organisatorischen Anforderungen an Zertifizierungsstellen sowie an die Sicherheit der technischen Komponenten“ (Bertsch 2002, 23).

Diese Arbeit bezieht sich auf das grundlegende kryptographische Verfahren mit dem die qualifizierte elektronische Signatur, als Äquivalent zur eigenhändigen Unterschrift umgesetzt wird. Auf die Rechtslage wird deshalb nur im nötigen Rahmen eingegangen. Es werden keine mathematischen Grundlagen und Algorithmen thematisiert. Es soll lediglich ein Einstieg in das Thema „Digitale Signatur“ ermöglicht werden. Sofern das Interesse über diese Inhalte hinausgeht, bieten sich die verwendeten Literaturquellen für die weitere Informationsbeschaffung an.

2 Kategorien der elektronischen Signatur

Wie bereits in der Einleitung benannt, wird für die digitale Signatur im Rechtsbereich der synonyme Begriff „elektronische Signatur“ benutzt. Es werden im deutschen Signaturgesetz verschiedene Kategorien definiert, die sich in erster Linie im Sicherheitsniveau unterscheiden:

2.1 Einfache elektronische Signatur

Einfache Signaturen sind laut Signaturgesetz „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen“ (Bundesministerium der Justiz und für Verbraucherschutz 2001, § 2 (1)). Eingescannte und als Bild unter ein Dokument gesetzte Unterschriften oder auch die bloße Absenderangabe können beispielhaft als einfache Signaturen genannt werden (Gruhn, et al. 2007, S. 7). An die einfache elektronische Signatur werden keine besonderen Anforderungen gestellt, sie sind gemäß § 127 BGB² geeignet für formfreie Vereinbarungen. Im Ernstfall muss ein Gericht einzelfallabhängig die Beweiswürdigkeit der einfachen Signatur beurteilen (Gruhn, et al. 2007, S. 18).

2.2 Fortgeschrittene elektronische Signatur

Durch einige Erweiterungen wird die einfache zur fortgeschrittenen Signatur. Diese bestehen darin, dass die Signatur ausschließlich dem Unterzeichner zugeordnet ist, die Identifizierung des Unterzeichners ermöglicht und dass die Mittel zur Erstellung der Signatur in dessen alleiniger Kontrolle zu halten sind. Außerdem muss sie so mit den Daten, auf die sie sich bezieht, verknüpft sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann (Bundesministerium der Justiz und für Verbraucherschutz 2001, § 2 (2)). Bezüglich der weiteren Ausgestaltung hat der Gesetzgeber keine Vorschriften erlassen. Diese Kategorie ist ebenfalls für alle formfreien Rechtsgeschäfte anwendbar (Gruhn, et al. 2007, S. 8). Es gilt im Rechtsstreit für die fortgeschrittene das selbige wie für die einfache elektronische Signatur (Gruhn, et al. 2007, S. 18).

2.3 Qualifizierte elektronische Signatur

Die qualifizierte Signatur ist der eigenhändigen Unterschrift rechtlich gleichgestellt (Bundesministerium der Justiz und für Verbraucherschutz 2001, § 6 (2)). Im Vergleich mit den beiden bereits genannten Kategorien, hat sie eine deutlich höhere Beweiskraft. Sie übertrifft darin sogar die eigenhändige Unterschrift. Denn während die herkömmliche Unterschrift angefochten werden kann, solange die Echtheit nicht nachgewiesen ist, ist die Beweislast bei der qualifizierten elektronischen Signatur umgekehrt. Sie gilt als authentisch, sofern nicht das Gegenteil gezeigt werden kann (Gruhn, et al. 2007, S. 9). Die qualifizierte elektronische Signatur muss die Anforderungen der einfachen und der fortgeschrittenen Signatur erfüllen, zudem auf einem zum Zeitpunkt ihrer Erstellung gültigen Zertifikat beruhen und mit einer sicheren Signaturerstellungseinheit erzeugt werden (Bundesministerium der Justiz und für Verbraucherschutz 2001, § 2 (3)). Die kryptografischen Verfahren zur Umsetzung dieser Vorgaben werden in den nächsten Kapiteln beschrieben.

3 Die kryptographischen Grundziele

Die Kryptographie bezeichnet ursprünglich die Lehre von der Datenverschlüsselung. Mittlerweile bieten die modernen kryptographischen Techniken jedoch mehr als nur diese Funktion. Das Schutzbedürfnis der Internetteilnehmer steigt mit den wachsenden Möglichkeiten der elektronischen Kommunikation und entsprechend ihrer gesteigerten Nutzung und Erschließung weiterer Anwendungsbereiche. Die heutige Kryptographie verfolgt im Wesentlichen die vier im folgenden Abschnitt erläuterten Ziele zur sicheren Datenübertragung.

Das Ziel der ursprünglichen Kryptographie ist die Vertraulichkeit oder Geheimhaltung. Es soll keinem unbefugten Dritten möglich sein, den Inhalt der Nachricht oder einer Datei zu erkennen (Bundesamt für Sicherheit in der Informationstechnik 2009, S. 2292). Um dies zu erreichen, muss die Nachricht so verändert werden, dass sie für einen Außenstehenden unverständlich ist. Dafür werden verschiedene Verschlüsselungsverfahren (Vgl. Kapitel 4) eingesetzt.

Die moderne Kryptographie verfolgt zudem die Ziele der Integrität, Authentizität und Verbindlichkeit. Unbefugte Manipulationen der Nachricht oder Datei in Form von Einfügen, Weglassen oder Ersetzen zu verhindern bzw. diese erkenntlich zu machen, ist das Ziel der Integrität (Bundesamt für Sicherheit in der Informationstechnik 2009, S. 2292). Die Authentizität beschreibt das sichere Feststellen des Urhebers bzw. Absenders der Daten durch den Empfänger, während bei einer Identifikation der Sender dem Empfänger nur sagt, wer er ist und keinen sicheren Anhaltspunkt dazu liefert. Unter dem vierten Schutzziel, der Verbindlichkeit, versteht man die Beweisbarkeit der Urheberschaft, also die mögliche Feststellung des Absenders durch einen Dritten.

Um Integrität einer Nachricht zu erreichen, kann bis zu einem gewissen Grad ebenfalls die Verschlüsselung eingesetzt werden. Ohne den Schlüssel ist eine zielgerichtete Veränderung der Nachricht nicht möglich, da zum einen eine veränderte verschlüsselte Nachricht i.A. nicht fehlerfrei zu entschlüsseln ist oder eine Entschlüsselung eine unverständliche

[...]

¹ Gesetz über die Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) von 2001

² Bürgergesetzbuch