Die digitale Signatur.
XiTrust > Ressourcen > Die digitale Signatur
E-Signatur, digitale Signatur, elektronische Signatur:
Was steckt dahinter?
E-Signatur, digitale Signatur, elektronische Signatur: Was steckt dahinter?
Die digitale Signatur: Begriff, Funktion, Anwendung
Wer ein Dokument unterschreibt, bekundet damit seinen Willen. Die Unterschrift repräsentiert die unterzeichnende Person. Die wichtigste Voraussetzung dafür ist, dass der Unterzeichner identifizierbar ist und die Unterschrift ihm zweifelsfrei zugeordnet werden kann. Bei papiergebundenen Unterschriften ist die individuelle, von der Handschrift geprägte Signatur der wesentliche Echtheitsbeweis. Bei Unterschriften, die auf digitalem Weg geleistet werden, wird dieser Beweis elektronisch geführt: Durch die digitale Signatur lassen sich elektronische Dokumente digital unterschreiben. Nach geltendem Recht kann die digitale Signatur die handschriftliche Signatur gleichwertig ersetzen.
Digitale Signaturen und elektronische Signaturen werden häufig synonym verwendet. Korrekt ist das eigentlich nicht. Während die elektronische Signatur einen rechtlichen Begriff darstellt, ist die digitale Signatur an das sie erzeugende Verfahren gekoppelt und daher als technischer Terminus zu verstehen. Die eIDAS-Verordnung definiert elektronische Signaturen als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet” (Definition gemäß Art. 3 Z 10 eIDAS-VO).
Digitale Signaturen und elektronische Signaturen werden häufig synonym verwendet. Korrekt ist das eigentlich nicht. Während die elektronische Signatur einen rechtlichen Begriff darstellt, ist die digitale Signatur an das sie erzeugende Verfahren gekoppelt und daher als technischer Terminus zu verstehen. Die eIDAS-Verordnung definiert elektronische Signaturen als „Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet” (Definition gemäß Art. 3 Z 10 eIDAS-VO).
Verschlüsselung: Grundlage der digitalen Signatur
Die digitale Signatur in der heutigen Form wird möglich durch ein kryptographisches Verfahren, das Mitte der 70er Jahre von den US-Informatikern Whitfield Diffie und Martin Hellman in Stanford entwickelt worden ist. Sie bauten dazu auf einer Arbeit des Kollegen Ralph Merkle auf. Das Resultat dieser Arbeit ist das DHM-Protokoll, das ein asymmetrisches Verschlüsselungsverfahren beschreibt und Datenintegrität und -authentizität gewährleistet.
Die Idee eines doppelten Chiffrierschlüssels ist zentral für die Innovation kryptographischer Verfahren seit Mitte der 70er Jahre. Witz des Verfahrens ist der Austausch eines privaten und eines öffentlichen Schlüssels innerhalb einer standardmäßigen Public Key Infrastructure (PKI): Hierbei erzeugt jeder Nutzer sein eigenes Schlüsselpaar, nämlich einen geheimen (Private Key) und einen nicht geheimen (Public Key).
In diesem kryptographischen Szenario brauchen die kommunizierenden Parteien keinen gemeinsamen geheimen Schlüssel, wie er für symmetrische Verschlüsselungsverfahren kennzeichnend ist. Der Public Key ermöglicht es jedem, Daten für den Besitzer des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der Private Key wiederum ermöglicht es seinem Besitzer, mit dem öffentlichen Schlüssel verschlüsselte Daten zu entschlüsseln. Er kann damit digitale Signaturen erzeugen und sich authentisieren.
Die Vorteile des asymmetrischen Verschlüsselungsverfahrens liegen in ihrer relativ hohen Datensicherheit. Es werden weniger Schlüssel benötigt als bei einem symmetrischen Verfahren, was einen deutlich geringeren Aufwand bei der Geheimhaltung der Schlüssel bedeutet. Im asymmetrischen Verschlüsselungsverfahren wird zudem die zentrale Anforderung an digitale Signaturen erfüllt: Dokumente lassen sich eindeutig einer Person zuordnen und der Inhalt des Dokuments kann nicht unbemerkt verändert werden. Jede Abweichung, jede nachträgliche Änderung, bricht die angebrachte digitale Signatur und entwertet das Dokument grundsätzlich.
Die Idee eines doppelten Chiffrierschlüssels ist zentral für die Innovation kryptographischer Verfahren seit Mitte der 70er Jahre. Witz des Verfahrens ist der Austausch eines privaten und eines öffentlichen Schlüssels innerhalb einer standardmäßigen Public Key Infrastructure (PKI): Hierbei erzeugt jeder Nutzer sein eigenes Schlüsselpaar, nämlich einen geheimen (Private Key) und einen nicht geheimen (Public Key).
In diesem kryptographischen Szenario brauchen die kommunizierenden Parteien keinen gemeinsamen geheimen Schlüssel, wie er für symmetrische Verschlüsselungsverfahren kennzeichnend ist. Der Public Key ermöglicht es jedem, Daten für den Besitzer des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der Private Key wiederum ermöglicht es seinem Besitzer, mit dem öffentlichen Schlüssel verschlüsselte Daten zu entschlüsseln. Er kann damit digitale Signaturen erzeugen und sich authentisieren.
Die Vorteile des asymmetrischen Verschlüsselungsverfahrens liegen in ihrer relativ hohen Datensicherheit. Es werden weniger Schlüssel benötigt als bei einem symmetrischen Verfahren, was einen deutlich geringeren Aufwand bei der Geheimhaltung der Schlüssel bedeutet. Im asymmetrischen Verschlüsselungsverfahren wird zudem die zentrale Anforderung an digitale Signaturen erfüllt: Dokumente lassen sich eindeutig einer Person zuordnen und der Inhalt des Dokuments kann nicht unbemerkt verändert werden. Jede Abweichung, jede nachträgliche Änderung, bricht die angebrachte digitale Signatur und entwertet das Dokument grundsätzlich.
So funktioniert die digitale Signatur
Aus der zu unterzeichnenden Nachricht bzw. dem Dokument wird ein eindeutiger, nicht manipulierbarer Hashwert erzeugt. Der Sender/Unterzeichner verschlüsselt diesen Wert mit seinem Private Key und versieht die Nachricht mit seiner Signatur. Der Empfänger entschlüsselt nun die so erzeugte Signatur mit dem Public Key des Unterzeichners. Er vergleicht den erhaltenen Hashwert mit dem aus der Nachricht selbst berechneten Wert. Nur wenn diese übereinstimmen, ist die digitale Signatur gültig – was eben bedeutet, dass die Authentizität des Senders und die Integrität der Nachricht durch digitale Signaturen gesichert sind.
Ein einfaches Praxis-Beispiel veranschaulicht dieses Prinzip: Ein Unternehmen unterzeichnet einen Lieferauftrag digital mit seinem Private Key. Der Lieferant bekommt mit dem Dokument gleichzeitig eine Kopie des Public Key. Falls dieser dann das Dokument nicht entschlüsseln kann, ist dies der Beweis, dass es sich nicht um die Signatur des Auftraggebers handelt und das Dokument verändert worden ist. Die digitale Signatur wird ungültig und das Geschäft verzögert sich.
Ein einfaches Praxis-Beispiel veranschaulicht dieses Prinzip: Ein Unternehmen unterzeichnet einen Lieferauftrag digital mit seinem Private Key. Der Lieferant bekommt mit dem Dokument gleichzeitig eine Kopie des Public Key. Falls dieser dann das Dokument nicht entschlüsseln kann, ist dies der Beweis, dass es sich nicht um die Signatur des Auftraggebers handelt und das Dokument verändert worden ist. Die digitale Signatur wird ungültig und das Geschäft verzögert sich.
Entdecken Sie MOXIS für Ihr Unternehmen.
Lernen Sie die führende E-Signatur-Plattform kennen – nutzen Sie die Vorteile der rechtssicheren digitalen Unterschrift, sparen Sie Zeit und Kosten ein.
Erstellung einer digitalen Signatur: Zertifikate
Zur Erstellung einer digitalen Signatur ist immer ein Zertifikat erforderlich, also eine elektronische Bescheinigung, die die Identität einer bestimmten Person mit einem öffentlichen Schlüssel (Public Key) verbindet. Erzeugt werden Zertifikate durch eine sichere Signaturerstellungseinheit (SSEE). Zertifikate unterscheiden sich durch unterschiedliche rechtliche Anforderungen, das Sicherheitsniveau des Ausstellungsprozesses und durch die Vertrauenswürdigkeit des Ausstellers, dem Vertrauensdiensteanbieter – auch Zertifizierungsstelle genannt.
Die eIDAS-Verordnung formuliert deshalb in Kapitel III einen präzisen Anforderungskatalog für Vertrauensdiensteanbieter. Sie stellen die digitale Identität sicher und sind verantwortlich für digitale Zertifikate und Signaturen. Ausschließlich Vertrauensdiensteanbieter, die die ab Artikel 13 aufgeführten Voraussetzungen erfüllen, gelten als qualifiziert. Qualifizierte und damit staatlich anerkannte Trust Center sind zum Beispiel A-Trust, D-Trust oder Swisscom Trust Services.
Die eIDAS-Verordnung formuliert deshalb in Kapitel III einen präzisen Anforderungskatalog für Vertrauensdiensteanbieter. Sie stellen die digitale Identität sicher und sind verantwortlich für digitale Zertifikate und Signaturen. Ausschließlich Vertrauensdiensteanbieter, die die ab Artikel 13 aufgeführten Voraussetzungen erfüllen, gelten als qualifiziert. Qualifizierte und damit staatlich anerkannte Trust Center sind zum Beispiel A-Trust, D-Trust oder Swisscom Trust Services.
Verschiedene Signaturarten
Digitale Signaturen differenzieren sich entsprechend in unterschiedliche Sicherheitsniveaus und durch die in der eIDAS-Verordnung präzise formulierten Anforderungen an die jeweiligen Zertifikate und die sie ausstellende Zertifizierungsstelle.
Einfache elektronische Signatur
Die einfachste Form einer digitalen Unterschrift ist vom Gesetzgeber mit „Daten in elektronischer Form“ beschrieben, „die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“ Das heißt konkret, dass zum Beispiel auch ein eingescanntes und damit digitalisiertes, von Hand signiertes Dokument eine einfache elektronische Signatur aufweist. Denn es ist das elektronische Pendant einer händischen Unterschrift, mit der der Unterzeichner sein Einverständnis mit Inhalten des jeweiligen Dokuments zum Ausdruck bringt. Diese Form der elektronischen Signatur weist ein niedriges Sicherheitsniveau auf.
Fortgeschrittene elektronische Signatur
Die Anforderungen an die fortgeschrittene Signatur, wie sie in Artikel 26 der eIDAS-Verordnung beschrieben sind, gehen darüber hinaus. Diese substanzielle Form der elektronischen Signatur ist eindeutig einem Unterzeichner zugeordnet, denn sie stellt sicher, dass der Unterzeichner identifiziert werden kann. Gleichzeitig muss gewährleistet sein, dass der Inhalt eines signierten Dokuments nicht nachträglich verändert werden kann, ohne dass dies sofort ersichtlich wird, wodurch das Dokument ungültig würde. Man kann zusammenfassen, dass die fortgeschrittene elektronische Signatur sowohl die Integrität des Dokuments sichert, als auch die die Authentizität des Unterzeichners zweifelsfrei belegt.
Qualifizierte elektronische Signatur
Die qualifizierte elektronische Signatur ist die hochwertigste Form der digitalen Unterschrift. Sie besitzt die höchste Rechtsverbindlichkeit und ist in allen EU-Mitgliedsstaaten der handgeschriebenen Unterschrift zu 100 Prozent gleichgestellt. Die maßgebende eIDAS-Verordnung definiert eine qualifizierte elektronische Signatur in Artikel 3 als „eine fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht”. Gefordert sind konkret:
1. Das Vorliegen einer digitalen Identität, wie sie in verschiedenen Identifikationsverfahren durch privatwirtschaftliche und staatliche Anbieter erlangt werden kann.
2. Ein qualifiziertes Zertifikat eines staatlich anerkannten Vertrauensdiensteanbieters, eines so genannten Trust Centers, das dem signierten Dokument seinen eindeutigen Rechtsstatus verleiht.
1. Das Vorliegen einer digitalen Identität, wie sie in verschiedenen Identifikationsverfahren durch privatwirtschaftliche und staatliche Anbieter erlangt werden kann.
2. Ein qualifiziertes Zertifikat eines staatlich anerkannten Vertrauensdiensteanbieters, eines so genannten Trust Centers, das dem signierten Dokument seinen eindeutigen Rechtsstatus verleiht.
Anwendung der digitalen Signatur
Das Anwendungsspektrum von digitalen Signaturen ist breit gefächert und praktisch in allen gesellschaftlichen Feldern zu finden. Unternehmen nutzen die digitale Signatur für interne und externe Unterschriftenprozesse. Diese Prozesse nennt man „medienbruchfrei“, weil sie im Unterschied zu analogen Unterschriftsprozessen ohne Papier, Scanner und Drucker auskommen. Der Prozess ist durch die digitale Signatur komplett digitalisierbar.
Eine weit verbreitete Anwendungsform der digitalen Signatur sind einfache Freigaben in geschäftlichen Prozessen. Für diesen Zweck reicht oft die einfache elektronische Signatur. Arbeitsverträge, Auftragsvergaben und gemeinhin alles, was im Zweifel einen hohen juristischen Streitwert besitzt, wird dagegen mit einem qualifizierten Zertifikat digital unterschrieben. Die so erzeugten Signaturen halten weltweit rechtlich stand, da sie der handschriftlichen Signatur in allen Belangen gleichgestellt sind.
Das Anwendungsspektrum digitaler Signaturen umfasst darüber hinaus private, öffentliche und geschäftliche Räume. Diese lassen sich unterteilen in privat, geschäftlich und behördlich.
Eine weit verbreitete Anwendungsform der digitalen Signatur sind einfache Freigaben in geschäftlichen Prozessen. Für diesen Zweck reicht oft die einfache elektronische Signatur. Arbeitsverträge, Auftragsvergaben und gemeinhin alles, was im Zweifel einen hohen juristischen Streitwert besitzt, wird dagegen mit einem qualifizierten Zertifikat digital unterschrieben. Die so erzeugten Signaturen halten weltweit rechtlich stand, da sie der handschriftlichen Signatur in allen Belangen gleichgestellt sind.
Das Anwendungsspektrum digitaler Signaturen umfasst darüber hinaus private, öffentliche und geschäftliche Räume. Diese lassen sich unterteilen in privat, geschäftlich und behördlich.
Private und geschäftliche Nutzung digitaler Signaturen
1. Business to Business (B2B) – Rechtsgeschäftliche Kommunikation zwischen Unternehmen
2. Customer to Customer (C2C) – Rechtsgeschäftliche Kommunikation zwischen Bürger*innen
3. Business to Customer (B2C) – Rechtsgeschäftliche Kommunikation zwischen Unternehmen und Bürger*innen
2. Customer to Customer (C2C) – Rechtsgeschäftliche Kommunikation zwischen Bürger*innen
3. Business to Customer (B2C) – Rechtsgeschäftliche Kommunikation zwischen Unternehmen und Bürger*innen
Digitale Signaturen im E-Government
1. Administration to Business (A2B) – Kommunikation zwischen Verwaltung und Unternehmen
2. Administration to Citizen (A2C) – Kommunikation zwischen Verwaltung und Bürger*innen
3. Administration to Administration (A2A) – Kommunikation von Behörden untereinander
2. Administration to Citizen (A2C) – Kommunikation zwischen Verwaltung und Bürger*innen
3. Administration to Administration (A2A) – Kommunikation von Behörden untereinander
Weitere Ressourcen.
Die eIDAS-Verordnung
Die maßgebliche rechtliche Grundlage in Bezug
auf die E-Signatur für die Europäische Union.
Die qualifizierte elektronische Signatur
E-Signatur mit der Rechtsgültigkeit
einer händischen Unterschrift.
Digitale Identität – FAQ
Alles, was Sie zum Thema digitale Identität wissen müssen,
auf einen Blick.