Digitale Signatur |
| |
|
|
|
Eine digitale Signatur ist eine Anwendung von asymmetrischer Kryptographie, dazu mehr in kryptographische Grundlagen einer Signatur
|
Public Key Zertifikate |
Um die Verifizierbarkeit einer digitalen Signatur sicherzustellen ist die Verteilung der zugehörigen öffentlichen Schlüssel notwendig. Ein Public-Key-Zertifikat ist ein "Credential", eine Art Ausweis, dass einen öffentlichen Schlüssel verlässlich an die Identität seines Inhabers bindet.
Die Datenstruktur des digitalen Zertifikats enthält einen von einer vertrauenswürdigen dritten Partei signierten öffentlichen Schlüssel. So werden „Man-in-the-middle“-Angriffe bei der Verteilung von öffentlichen Schlüsseln vermieden. Neben dem Schlüssel sind auch weitere Daten, wie natürlicherweise der Name, die Gültigkeitsdauer, die Versions- und Seriennummer, Identitätsinformationen der dritten Partei und Angaben über den Verwendungszweck in der Datenstruktur. Ein Zertifikat besteht immer zumindest aus dem Namen, dem öffentlichen Schlüssel, sowie einer digitalen Signatur über beiden. Mehr dazu in den Zertifikatsformaten.
|
 |
 |
|
Zertifikat |
|
Signatur und Verschlüsselungsschlüsselpaar |
Die übliche Trennung von Verschlüsselungs- und Signierschlüsselpaar, obwohl ein Schlüsselpaar für beide Sicherheitsziele bzw. Einsatzzwecke benutzt werden kann, hat gute Gründe.
1. das kryptographische Material, das für eine Kryptanalyse zur Verfügung steht wird reduziert, da ein Schlüsselpaar nicht so oft benutzt wird
2. die Folgen einer Kompromittierung und/oder Widerrufs eines Schlüsselpaares fallen weniger gravierend aus.
3. Eine Angriffsmöglichkeit über das Unterjubeln eines Hash-Wertes fällt weg: Da eine Anwendung des privaten Schlüssels entweder eine Signierung oder eine Entschlüsselung sein kann, könnte eine angeblich verschlüsselte Nachricht eigentlich ein Hash-Wert sein. Nachdem man als Empfänger die Nachricht entschlüsseln will und den privaten Schlüssel darauf anwendet erhält man als Ergebnis ... entschlüsselten Kauderwelsch oder einen signierten Hash-Wert - je nach Betrachtungsweise.
|
Verifikation einer digitalen Signatur |
Die Verifikation einer Digitalen Signatur besteht aus der eigentlichen Signaturprüfung und der Prüfung auf die Gültigkeit des signierenden Zertifikates. Bei der Signaturprüfung wird mit dem öffentlichen Schlüssel, dem man aus dem Zertifikat kennt, der verschlüsselte Hash-Wert entschlüsselt. Über die signierten Daten wird ebenfalls ein Hash-Wert gerechnet und mit dem entschlüsselten Wert verglichen. Sind diese Werte identisch, ist klargestellt, dass die Daten unverändert sind und der, zum öffentlichen Schlüssel gehörende, private Schlüssel für die Signatur verwendet wurde.
Die Identität und die Gültigkeit des Schlüsselpaares werden mit Hilfe der Trusted Third Party, der Zertifizierungsstelle, überprüft. Anhand des Widerrufsdienstes wird die Gültigkeit des Zertifikates geprüft und der Zertifizierungspfad bis zu einem Stammzertifikat aufgebaut. Die Zertifikate im Pfad werden natürlich ebenfalls einer Widerrufsprüfung unterzogen. Die Prüfung des Zertifizierungspfades ist eine Kaskade weiterer Signatur und Widerrufsprüfungen.
Zusätzlich ist auch die Prüfung weiterer Eigenschaften der Zertifikate im Zertifizierungspfad sinnvoll, z.B. ist anhand der "Basic Constraints"
zu überprüfen ob mit diesem Zertifikat weitere Zertifikate ausgestellt werden dürfen.
|
|
|
|
|
|
Bei der rechtlichen Betrachtung von Signaturen muss die Signaturerstellungseinheit
bzw. deren Sicherheit betrachtet werden.
In der europäischen Signaturrichtlinie wurde nach dem Grundsatz der Technologieunabhängigkeit der Terminus "elektronische Signatur" eingeführt, der mehr umfassen soll als der Begriff der "digitalen Signatur", der auf asymmetrische Verfahren gemünzt ist. Mehr dazu in der Signaturgesetzgebung
.
|
Lösungen für die digitale Signatur |
|
|
|
Impressum