Public Key Verfahren

 Top  Previous  Next

Digitale Signaturen basieren auf asymmetrischen Kryptosystemen und verwenden ein Schlüsselpaar, das aus einem privaten (geheimen) und einem öffentlichen (nicht geheimen) Signaturschlüssel besteht und sich gegenseitig ergänzt.

 

Daten, die mit dem einen Schlüssel verschlüsselt wurden, können nur mit dem anderen wieder geöffnet werden.

 

Beim Signieren wird der private Schlüssel verwendet. Dieser befindet sich auf dem Chip einer Chipkarte und lässt sich nicht auslesen. Die zu verarbeitenden Daten werden auf den Chip geladen, dort ver- oder entschlüsselt und wieder an den Computer übertragen.

 

Um den privaten Schlüssel zu benutzen, wird die richtige PIN benötigt, die zusätzliche Sicherheit gewährleistet. Die Signatur kann also nur vom Karteninhaber sein, denn nur er ist in Besitz von Karte und PIN.

 

Der öffentliche Schlüssel ist in ein Zertifikat integriert und steht jedermann zur Verfügung. Normalerweise kann dieser auch von Verzeichnisdiensten via LDAP oder HTTP abgerufen werden. Natürlich kann er auch per E-Mail versandt werden.

 

Um zu gewährleisten, dass dieses Zertifikat und somit der Schlüssel nicht gefälscht wurde, ist jedes Zertifikat vom Herausgeber signiert. Somit lässt sich überprüfen ob das Zertifikat von einer vertrauenswürdigen Stelle herausgegeben wurde.

 

Beim Prüfen der Signatur wird der öffentliche Schlüssel des Empfängers verwendet. Damit wird der verschlüsselte Hashwert des entschlüsselt und mit dem Hash des Dokumentes verglichen. Wenn beide Werte übereinstimmen wurde das Dokument nicht modifiziert.

 

Beim Signieren einer Datei wird ein Hashwert gebildet, der mit einem Fingerabdruck vergleichbar ist. Zwei verschiedene Dokumente können so nie denselben Hashwert haben. Der Hashwert wird nach dem RSA Verfahren unter Verwendung eines Schlüssels mit einer Länge von mindestens 1024 Bit (abhängig von der verwendeten Chipkarte) verschlüsselt.

 

Die Verschlüsselung des Hashwerts findet auf dem Chipkartenprozessor statt, welcher kleinere Datenmengen verarbeiten kann. So wird sichergestellt,  dass der private Schlüssel die Karte nicht verlässt. Der verschlüsselte Hash wird anschließend wieder an den Computer zurückgeschickt und in das zu signierende Dokument eingebaut. Vorher muss der private Schlüssel durch die richtige PIN (Personal Identification Number) freigegeben werden.