|
Die digitale Unterschrift
hat eine andere Aufgabe als die Verschlüsselung: Dabei muss die Nachricht
nicht unbedingt geheim sein, es geht hier vielmehr darum, den Absender
(Unterschreiber) eindeutig zu identifizieren. Hier wird dem Dokument eine
Information angefügt, die ausschließlich dem Absender bekannt ist.
Bei Bedarf kann man die Nachricht zusätzlich verschlüsseln, aber das
ist von der digitalen Unterschrift unabhängig.
|
 |
| Zur Unterschrift wird der
geheime Schlüssel des Absenders verwendet, denn nur er verfügt
über diesen Schlüssel. Der Empfänger kann nun mit dem
öffentlichen Schlüssel des Absenders die Nachricht (Unterschrift)
entschlüsseln und erkennt somit, dass der Absender tatsächlich der
Verfasser der Nachricht ist. |
|
| Die Unterschrift wird in
der Form erzeugt, dass zunächst aus dem Inhalt der Information ein
sogenannter Hashwert berechnet wird, der die Identität des Inhalts
bestätigt. Wird das Dokument nachträglich verändert, ergibt die
Berechnung des Hashwerts ein anderes Ergebnis, womit man erkennt, dass das
vorliegende Dokument mit dem unterzeichneten nicht mehr übereinstimmt.
Die Nachricht selbst wird dabei nicht verschlüsselt (das kann man
zusätzlich mit dem öffentlichen Schlüssel des Empfängers machen). |
|
| Dieser Hashwert wird mit
dem geheimen Schlüssel des Unterzeichners verschlüsselt und als
Anhang dem Dokument beigefügt. |
|
| Die digitale Unterschrift
ist also quasi eine Verschlüsselung (des Hashwerts) mit vertauschten
Schlüsseln. Während ein verschlüsselter Text nur vom
Empfänger entschlüsselt werden kann, ist die Überprüfung
der Echtheit einer Unterschrift mit dem frei zugänglichen Schlüssel
des Absenders jedem möglich. |
|
| Mit diesem Verfahren kann
man zwei Eigenschaften des Dokuments sicherstellen beziehungsweise
überprüfen. Einmal ist durch den Hashwert der Inhalt des Dokuments
festgelegt. Sobald im Inhalt nur ein Zeichen verändert wird, ergibt sich
ein anderer Hashwert, womit die digitale Unterschrift ungültig wird.
Zudem kann man mit dem öffentlichen Schlüssel des Unterzeichners und
dem an das Dokument angefügten verschlüsselten Hashwert prüfen,
dass das Dokument wirklich von der angegebenen Person unterschrieben wurde. |
|
| Sicherheitsaspekte |
|
Um die digitale
Unterschrift so weit abzusichern, dass sie auch rechtsgültig verwendet
werden kann und von Gerichten anerkannt wird, ist ein enormer technischer
Aufwand nötig. Das Verfahren an sich ist in jedem Fall umständlicher
als die Leistung einer Unterschrift mit einem Kugelschreiber auf einem Blatt Papier.
|
|
| Auch sind die
Sicherheitsprobleme ähnlich wie bei Bankomatkarten deutlich
größer: Während bei einer gefälschten händischen
Unterschrift mit graphologischen Methoden meist der Nachweis einer
Fälschung gelingt, kann eine verlorene Bankomatkarte (mit
zugehörigem PIN-Code) von jedem verwendet werden, ohne dass der
Eigentümer etwas davon merkt. |
|
| Eine digitale
Unterschrift wird im Prinzip gleich verwendet wird wie eine Bankomatkarte: Es
wird ein maschinenlesbares Kennzeichen benötigt, von dem man mit
größter Sicherheit annehmen kann, dass es dem Unterzeichner
gehört. Nach dem heutigen Stand der Technik ist das eine Chipkarte (also
dieselbe Technik wie eine Bankomatkarte), auf welcher der geheime
Schlüssel gespeichert ist, wobei die Verwendung der Karte meist
zusätzlich durch Passwort, PIN-Codes oder biometrische
Überprüfung abgesichert wird. |
|
| G�ltigkeitsdauer |
|
Die elektronische
Unterschrift basiert auf einem technischen Verfahren, das wie alle
Technologien einer ständigen Weiterentwicklung unterliegt. Es kann nicht
ausgeschlossen werden, dass heute als sicher geltende mathematische
Verschlüsselungsverfahren in einigen Jahren nicht mehr als
zuverlässig angesehen werden, weil inzwischen durch höhere
Rechnerleistung oder neu entwickelte Verfahren die Entschlüsselung oder
Manipulation durch Unbefugte möglich geworden ist. Die
Gültigkeitsdauer dieser Verfahren ist daher im allgemeinen auf sechs
Jahre begrenzt.
|
|
| Langfristig geltende
Vereinbarungen können daher auf elektronischem Weg nicht unterzeichnet
werden, weil nicht klar ist, ob die verwendete Technologie bis zum Ablauf des
Vertrags überhaupt sicher ist. |
|
| Der
Zeitstempeldienst |
|
Mit der digitalen
Signatur kann man zwar sicherstellen, dass ein bestimmtes Dokument von einer
bestimmten Person unterzeichnet wurde, es bleibt jedoch der Zeitpunkt der
Unterzeichnung offen.
|
|
| In vielen Fällen ist
jedoch der Zeitpunkt der Unterzeichnung von elementarer Bedeutung. Man muss
sich nur vorstellen, dass von einem Vertrag mehrere elektronisch
unterschriebene Versionen existieren, ohne dass man wei�, welche die zuletzt
gültige Ausfertigung ist. Jedenfalls kann man Vereinbarungen, Buchungen,
Dienstverträge oder sonstige Dokumente beliebig rückdatieren, ohne
dass dies aus der digitalen Unterschrift zu ersehen wäre. |
|
| Ein weiteres Problem
entsteht dadurch, dass die von den Zertifizierungsinstanzen ausgegebenen
Zertifikate für die digitale Signatur immer eine begrenzte
Gültigkeitsdauer (drei Jahre) haben. Ohne Zeitstempel ist bei einem an
sich ordnungsgemäß signierten Dokument nicht zu erkennen, ob die
Signatur mit einem gültigen Zertifikat erfolgt ist. |
|
| Wegen der begrenzten
Gültigkeit der Verfahren kann man bei Dokumenten ohne Zeitstempel meist
nachträglich auch nicht klären, ob ein Dokument eigentlich noch
gültig oder aber schon älter als sechs Jahre ist. |
|
| Insgesamt sind daher die
meisten elektronisch unterzeichneten Dokumente problematisch, wenn nicht
wertlos, falls der exakte Zeitpunkt der Unterzeichnung nicht bekannt ist. |
|
| Mit einem
Zeitstempeldienst werden die Dokumente mit einer Zeitsignatur auf der Basis
einer gesetzlich gültigen Zeit versehen, die unabhängig von der Zeit
auf dem zur Unterschrift genutzten Computersystem ist. Der Zeitstempel belegt,
wann ein Dokument mit einem bestimmten Inhalt vorgelegen ist und dass es seit
diesem Zeitpunkt nicht mehr verändert wurde. |
|
| Der Zeitstempeldienst
versieht nicht nur das Dokument mit einer entsprechenden Zeitmarkierung, diese
Aktion wird auch von der Zertifizierungsstelle protokolliert. Selbst bei
Fälschung der Signatur oder der Zeitstempel kann man über die
Protokolle beim Zertifizierungsdienst Echtheit und Zeitpunkt von Dokumenten
oder Signaturen vielfach noch prüfen. |
|
| Ein solcher Dienst wird
in Deutschland von der dortigen Zertifizierungsstelle TC TrustCenter AG
angeboten, in Österreich (A.-Trust) haben wir noch nichts davon gesehen. |
|
| Dazu kommt, dass
vorläufig kaum Software verfügbar ist, mit welcher diese
Zeitstempeldienste einfach genutzt werden könnten. Selbst wenn man
über ein offizielles Signaturzertifikat verfügt, hat man einigen
Aufwand, um Dokumente mit definitivem Beweiswert erzeugen zu können. |
|
| Wie
komme ich zur digitalen Unterschrift? |
|
Eine offizielle digitale
Signatur erhält man recht einfach, schwieriger ist schon deren Verwendung.
|
|
| Die staatlich anerkannte
Stelle für digitale Unterschriften ist die A-Trust Gesellschaft für
Sicherheitssysteme im elektronischen Datenverkehr GmbH im Wien. Um eine
digitale Signatur zu erhalten, muss man eine der Registrierungsstellen von
A-Trust aufsuchen (solche gibt es nach unseren Informationen derzeit nur in
Wien) und erhält dann eine entsprechende Chipkarte mit Zertifikat. Es
werden verschiedene Formen von digitalen Signaturen mit entsprechend
unterschiedlichen Kosten angeboten. Details erfährt man im Internet bei www.a-trust.at
(Link �ffnet neues Fenster). |
|
| Mit der Chipkarte allein
kann man noch nicht viel anfangen, man muss sich auch ein passendes
Lesegerät (derzeit werden nur zwei Modelle eine Herstellers von A-Trust
empfohlen) samt der zugehörigen Software besorgen. |
|
| Um die Chipkarte auch
unterwegs verwenden zu können, muss man natürlich eine Stelle
finden, welche über dieselbe Ausrüstung verfügt. |
|
| Insgesamt ist der Aufwand
für die digitale Unterschrift im Vergleich zur eigenhändigen
Unterschrift noch ziemlich hoch. Mit einigem Aufwand kann man sie zu Hause am
eigenen Computer verwenden, unterwegs ist die Nutzung vorläufig ziemlich
aussichtslos. Es wird noch einige Zeit dauern, bis sich dieses Verfahren -
vielleicht mit einer in Zukunft besseren und leichter anzuwendenden
Technologie - allgemein durchsetzt. |
|
| �berpr�fung
der digitalen Unterschrift |
| Erhält man ein mit
einer von A-Trust zertifizierten Signatur unterschriebenes Dokument, kann man
die Echtheit online bei A-Trust überprüfen lassen. Dazu schickt man
einfach mit einem Browser das unterschriebene Dokument an A-Trust und
erhält sofort das Ergebnis der Überprüfung. |
|
| Zusammenfassung |
| Im Vergleich zu einer
handschriftlichen Unterschrift ist die digitale Signatur derzeit noch relativ
umständlich und teuer sowie in vielen Bereichen wenig beweiskräftig,
weshalb es noch einige Zeit dauern wird, bis sie einigermaßen
verbreitet ist. |
News & Infos 
