Doch wie rechtsverbindlich ist dieses Verfahren und vor allem wie sicher ist es? Im Mai 2001 trat in Deutschland das "Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften" in Kraft. Darin werden die inhaltlichen und die organisa- torischen Voraussetzungen zur Gestaltung und Nutzung elektronischer Signaturen geregelt.
Das neue Gesetz, das den Vorgaben der europäischen Richtlinie entspricht, löst das deutsche Signaturgesetz von 1997 ab. Damit ist eine mindestens europaweite Nutzung der elektronischen Signatur vorbereitet. Der Gesetzgeber definiert in Paragraf 2, Absatz 1 die elektronische Signatur als "ein mit einem privaten Signaturschlüssel erzeugtes Siegel zu elektronischen Daten, das mit Hilfe eines zugehörigen öffentlichen Schlüssels, der mit einem Signaturschlüssel-Zertifikat einer Zertifizierungsstelle versehen ist, den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen lässt".
Im Juli 2001 wurde außerdem das Gesetz zur Anpassung der Formvorschriften des Privat- rechts verabschiedet, in dem die elektronische Signatur im Bereich des BGB in vielen Fällen der eigenhändigen Unterschrift gleichgestellt wird. Verfahrensgesetze und sonstige Gesetze und Vorschriften werden folgen, so dass die elektro- nische Signatur in E-Commerce und E-Government umfassend eingesetzt werden kann.
Die elektronische Signatur ist nichts anderes als eine Art elektronischer Code, mit dem der Inhalt eines Dokumentes geschützt und der Signierende eindeutig erkennbar ist. Dieser Code ist genauso rechtsverbindlich wie der persönliche Namenszug auf dem Papier und ermöglicht es, elektronische Dokumente (und andere Daten) rechtsverbindlich zu unterzeichnen. Für den Inhalt der (elektronischen) Nachricht kann der Absender somit genau- so verantwortlich gemacht werden, wie bei einem von Hand unterschriebenen Dokument (Verbind- lichkeit).
Mit der elektronischen Signatur lässt sich zudem feststellen, ob die Nachricht vom angegebenen Absender kommt (Authentizität) und dass sie auf ihrem Weg durch das Internet nicht manipuliert wurde (Integrität).
Die Technik
Die Technik der elektronischen Signatur - ein asymmetrisches Verschlüsselungsverfahren aus dem Bereich der Kryptographie - beruht auf mathematischen Berechnungen mit zwei elektronischen Schlüsseln, dem privaten (private key) und dem öffentlichen Schlüssel (public key). Mit dem privaten Schlüssel werden Dokumente sig- niert, mit dem öffentlichen Schlüssel kann die Signatur und die Unversehrtheit des Dokumentes geprüft werden. Dieses System, das öffentliche und private Schlüssel nutzt, nennt man Public Key Verfahren.
Eine Zertifizierungsstelle - auch Trust-Center genannt - erzeugt für eine bestimmte Person ein Paar korrespondierender Schlüssel und bindet die persönlichen Daten dieser Person über ein Zertifikat an dieses Schlüsselpaar. Auf einem Zertifikat wird die Zuordnung von Personen zu öffentlichen Schlüsseln beglaubigt. Der öffentliche Schlüssel wird allgemein bekannt gegeben. der private Schlüssel darf nur einmal existieren und ist absolut geheim zu halten. Denn nur mit dem privaten Schlüssel kann eine elektronische Signatur erzeugt werden. Der öffentliche Schlüssel, der "public key", muss verteilt werden, da mit ihm die Signatur überprüft - verifiziert - wird.
Der private Schlüssel wird normalerweise auf einer Chipkarte gespeichert. Er ist so geheim, dass ihn nicht einmal sein Benutzer kennen darf beziehungsweise auslesen kann. Er kann ihn nur anwenden. Die zum Schlüsselpaar gehörenden Daten aus dem Zertifikat zeigen die Identität des Signierenden. Verbreitet werden der öffentliche Schlüssel und das zugehörige Zertifikat über ein öffentliches Verzeichnis, das so genannte "Public Key Directory" (PKD), vergleichbar mit dem Telefonbuch. Von diesem können alle gültigen öffentlichen Schlüssel mit den zugehörigen Zertifikaten abgefragt werden.
Möchte eine Person nun eine elektronische Signatur erzeugen, so benutzt sie dazu ihren privaten Schlüssel. Zunächst wird die Nachricht, die unterschrieben werden soll, mit dem Hash-Verfahren komprimiert (vergleichbar mit einer Summenzeile). Ohne dieses Hash-Verfahren würde die Übertragung zu dem heute üblichen Speichermedium, einer Chipkarte, zu lange dauern. Die Hash-Funktion verkleinert Eingabedaten beliebiger Länge zu einem Ausgabewert fester Länge. Aus diesem Wert kann man nicht auf die Ausgabedaten schließen.
Mathematisch gesehen ist dies eine Einweg-Funktion - für die Daten also eine Einbahnstraße. Das so entstandene "Komprimat" wird nach einem vorgegebenen Algorithmus mit dem geheimen Schlüssel des Absenders verschlüsselt. Das Ergebnis wird als elektronische Signatur zusammen mit dem zugehörigen Zertifikat und dem öffentlichen Schlüssel den Daten bzw. dem Dokument angehängt.
Um die Signatur zu prüfen, komprimiert der Rechner des Empfängers die Nachricht mit derselben Hash-Funktion und vergleicht dieses Ergebnis mit dem Prüfwert, der sich aus der Entschlüsselung der Signatur ergibt. Diese Entschlüsselung erfolgt mit Hilfe des öffentlichen Schlüssel des Absenders. Stimmen beide Werte überein, weiß der Empfänger, dass die Datei unverfälscht übertragen wurde (Integrität), es also weder Manipulationen noch Übertragungsfehler gegeben hat. Außerdem kann er sich sicher sein, dass nur der im Zertifikat genannte Absender die Signatur erzeugt haben kann, weil sonst dessen öffentlicher Schlüssel nicht zum Entschlüsseln "passen" würde. Die Echtheit (Au- thentizität) des Absenders ist somit nachgewiesen.
Beim RSA-Verfahren*, einem der am häufigsten gebrauchten Kryptografieverfahren, hat ein für Signaturen nach Signaturgesetz verwendeter Schlüssel heute eine Länge von 1024 Bit. Derzeit gilt diese Schlüssellänge als absolut sicher. Sie entspricht einer mehr als 300stelligen Zahl von möglichen Schlüsseln. "Knacken" kann man die Verschlüsselung nur, wenn man Schlüssel für Schlüssel probiert, bis man den Richtigen gefunden hat. Bei 1024 Bit kann das einige (tausend) Jahre dauern. Da sich niemand einen so langen Schlüssel merken kann, braucht man ein absolut sicheres Speichermedium für diesen privaten Schlüssel. Dies kann zum Beispiel eine Chipkarte sein, die über ihren "Kryptoprozessor" auch den Signiervorgang selbst ausführt.
Zum Starten des Signiervorganges muss man zusätzlich die richtige, mindestens 6-stellige PIN-Nummer eingeben, die mit der auf der Karte gespeicherten (und ebenfalls nicht auslesbaren) PINNummer verglichen wird.
Trustcenter
Digitale Signaturen werden von den bereits erwähnten Zertifizierungsstellen - oder auch Trustcentern - ausgegeben. Diese Trustcenter erhalten bei einem Antrag die persönlichen Daten für die Zertifikate. Sie erstellen die elektronischen Schlüssel, speichern den privaten Schlüssel und das Zertifikat mit dem öffentlichem Schlüssel auf einer Chipkarte und geben Auskünfte über die Gültigkeit von elektronischen Signaturen. Um rechtsgültige Signaturen ausgeben zu dürfen, müssen Trust- center sehr hohe technische und organisatorische Anforderungen erfüllen.
Verliert eine Person ihre Chipkarte oder wird diese gestohlen, so kann sie ihre Karte vom Trustcenter sperren lassen. Die elektronische Signatur ist dann nicht mehr gültig. Ein Empfänger kann und muss die Gültigkeit unter Nutzung so genannter Sperr- listen überprüfen, die von den Trustcentern regelmäßig erstellt werden; er kann aber auch direkt nach der Gültigkeit einer ihm vorliegenden elektronischen Unterschrift fragen.
Quelle: about IT
