|
Digital Signieren |
Top Previous Next |
|
PDF-Dateien elektronisch unterschreiben
Mit dem Aloaha PDF Saver können Sie PDF-Dateien digital signieren wenn man auch über einen Signator-Lizenzschlüssel verfügt. Es wird eine elektronische Unterschrift nach den Vorgaben des Signaturgesetzes (SigG) der Bundesrepublik Deutschland unterstützt.
Eine digitale Signatur im Sinne des Gesetzes ist „ein mit einem privaten Signaturschlüssel erzeugtes Siegel zu digitalen Daten, das mit Hilfe eines zugehörigen öffentlichen Schlüssels, der mit einem Signaturschlüssel-Zertifikat einer Zertifizierungsstelle versehen ist, den Inhaber des Signaturschlüssels und die Unverfälschtheit der Daten erkennen lässt“ (SigG). Mit der Entwicklung der digitalen Signatur wurde das Ziel verfolgt, eine der persönlichen Unterschrift äquivalente Signierungsmethode zu entwickeln, mit der auf elektronischem Wege Daten unterzeichnet werden können. Denn das Hauptproblem bei der Übermittlung elektronischer Daten ist die leichte Manipulierbarkeit. Erst durch die elektronische Signatur kann dieses Problem behoben werden, da eine unbemerkte Datenmanipulation nun nicht mehr möglich ist. Voraussetzung hierfür ist, dass die elektronische Signierung wie eine handschriftliche untrennbar mit dem jeweiligen Dokument verbunden ist. Sie kann von jedem eingesehen, aber nur vom Unterzeichner selbst geändert werden. Der Unterzeichner kann somit eindeutig identifiziert werden und die Signatur macht jede eventuelle Manipulation, wie das nachträgliche Streichen oder Ändern von Textpassagen eines Dokuments, sofort erkennbar. Durch die Zertifikatsprüfung kann zudem bewiesen werden, dass die Signatur nicht gefälscht wurde, der Zertifikatsinhaber also echt ist. Dabei werden außer seinem Namen keine persönlichen Daten preisgegeben.
Gesetzliche Regelungen
Definitionen der unterschiedlichen Arten der digitalen Signatur finden sich im Signaturgesetz (SigG) und in der Verordnung zum Signaturgesetz (SigV). Außerdem werden darin Anforderungen an die elektronischen Unterschriften dargestellt sowie Zertifizierungsdiensteanbieter (ZDA) definiert. Es wird unterschieden in einfache, fortgeschrittene und qualifizierte digitale Signaturen. Jede Signatur steht für eine bestimmte Qualitätsstufe. Je höherwertiger die Signatur, desto mehr Bedeutung hat sie für den Rechtsverkehr, und desto größer ist ihre Funktionalität. Nur qualifizierte Signaturen erfüllen die Anforderungen in Bezug auf elektronische Daten genauso wie die handschriftliche Unterschrift Anforderungen in Bezug auf Daten in Papierform erfüllt. Sie sind sogar vor Gericht als Beweismittel zugelassen. Die für qualifizierte elektronische Signaturen zugelassenen kryptografischen Algorithmen werden von der Bundesnetzagentur genehmigt und veröffentlicht. Unter www.bundesnetzagentur.de finden Sie zudem eine Liste aller akkreditierten Zertifizierungsdiensteanbieter (Trustcenter). Dort sind auch die für eine qualifizierte elektronische Signatur zugelassenen Produkte aufgelistet. Die Voraussetzungen für eine qualifizierte Signatur sind dann gegeben, wenn sie ausschließlich dem Unterzeichner zugeordnet werden kann, die eindeutige Identifizierung des Unterzeichners zulässt, mit Mitteln erstellt wird, die nur der Unterzeichner kontrolliert, jede nachträgliche Änderung der signierten Daten ersichtlich macht und auf einem qualifizierten Zertifikat beruht. Ein qualifiziertes Zertifikat kann nur von einem akkreditierten Zertifizierungsdiensteanbieter ausgestellt werden. Dabei gelten ganz besonders strenge Anforderungen hinsichtlich der Sicherheit der Schlüsselerstellung und der Organisation des Trustcenters. Die Einhaltung der gesetzlichen Vorschriften durch die Trustcenter wird in Deutschland ebenfalls von der Bundesnetzagentur kontrolliert.
Public Key Verfahren
Digitale Signaturen basieren auf asymmetrischen Kryptosystemen und verwenden ein Schlüsselpaar, das aus einem privaten (geheimen) und einem öffentlichen (nicht geheimen) Signaturschlüssel besteht und sich gegenseitig ergänzt. Daten, die mit dem einen Schlüssel geschlossen wurden, können nur mit dem anderen wieder geöffnet werden.Beim Signieren wird der private Schlüssel verwendet. Dieser befindet sich auf dem Chip der Karte und lässt sich nicht auslesen. Die zu verarbeitenden Daten werden auf den Chip geladen, dort ver- oder entschlüsselt und wieder in den Computer übertragen. Um den privaten Schlüssel zu benutzen, wird die richtige PIN benötigt, die zusätzliche Sicherheit gewährleistet. Die Signatur kann also nur vom Karteninhaber sein, denn nur er ist in Besitz von Karte und PIN. Der öffentliche Schlüssel ist in ein Zertifikat integriert und steht jedermann in Verzeichnisdiensten im Internet zur Verfügung oder kann per E-Mail versandt werden. Um zu gewährleisten, dass dieses Zertifikat und somit der Schlüssel nicht gefälscht wurde, lässt sich die Signatur des Herausgebers prüfen. Beim Prüfen der Signatur wird der öffentliche Schlüssel des Empfängers verwendet, so dass nur dieser die Daten mit seinem privaten Schlüssel wieder entschlüsseln kann. Beim Signieren einer Datei wird ein Hashwert gebildet, der mit einem Fingerabdruck vergleichbar ist. Zwei verschiedene Dokumente können so nie denselben Hashwert haben. Der Hashwert wird nach dem RSA Verfahren unter Verwendung eines Schlüssels mit einer Länge von mindestens 1024 Bit (abhängig von der verwendeten Karte) verschlüsselt. Die Verschlüsselung des Hashwerts findet auf dem Chipkartenprozessor statt, welcher kleinere Datenmengen verarbeiten kann. So wird sichergestellt, dass der private Schlüssel die Karte nicht verlässt. Die verschlüsselten Daten werden anschließend wieder in den Computer zurückgeschickt. Vorher muss der private Schlüssel durch die richtige PIN (Personal Identification Number) freigegeben werden. |