Gefahren der Datenmanipulation und des Datendiebstahls
Knotenrechner
Durchschnittlicher Weg einer E-Mail via Internet von Benutzer A zu Benutzer B
Washington D.C.
Provider von A
Paris
A BProvider von B
Berlin
New York
Sydney
potentielle Gefahren
Mitlesen
Verändern
Kopieren
UnterschlagenKapstadt
Rom
Helsinki
Elektronische Signatur
Elektronische Signatur11
Anwendungsfelder für elektronische Signaturen
Kommunikation mit der Justiz • z.B. Rechtsanwalt erstellt Klage auf dem PC, signiert, verschlüsselt (Wahrung von
Mandantengeheimnissen) und übersendet per Email an das zuständige Gericht
Kommunikation mit Behörden• z.B. Bürger erstellt Steuererklärung am PC, signiert, verschlüsselt und übersendet an Steuerbehörde• z.B. Bauunternehmer beteiligt sich an Ausschreibung, signiert, verschlüsselt das Angebot und versendet es auf
elektronischem Weg
Kommunikation im privaten Bereich• z.B. Endkunde zu Firma, z.B. Bankkommunikation• z.B. Kommunikation im Internet (Fremder zu Fremder)• z.B. Signieren von elektronischer Post (E-Mail)
Überall dort, wo rechtsverbindliche Willenserklärungen eine Unterschrift erfordern und es auf– vertrauenswürdige Kommunikation, – sichere Identifikation und – Integrität elektronischer Daten ankommt, ist die
gesetzeskonforme elektronische Signaturgesetzeskonforme elektronische Signatur einsetzbar.
Elektronische Signatur
22
Elektronische Signatur
intern oder extern
• PC und Chipkartenleser
• Chipkarte mit Signaturschlüssel
• Kommunikationsanbindung
• geeignete Software
Welche Komponenten benötigt der Anwender?33
Eine elektronische Signatur stellt das elektronische Äquivalent zur handschriftlichen Unterschrift
dar, d.h., sie kann dazu benutzt werden, um:
Elektronische Signaturen können nichtnicht die Vertraulichkeit
elektronischer Dokumente sicherstellen.
• die Unverfälschtheit eines elektronischen Dokumentes
sicher zu überprüfen,
• den Unterzeichner eines elektronischen Dokumentes
sicher zu identifizieren,
• sowohl die INTEGRITÄT eines elektronischen
Dokumentes als auch die IDENTITÄT seines
Unterzeichners über lange Zeiträume zu verifizieren.
INTEGRITÄT
IDENTITÄT
VERIFIZIERBARKEIT
Elektronische Signatur
44
Was leistet eine elektronische Signatur?
Elektronische Signatur
IDENTITÄTINTEGRITÄT VERIFIZIERBARKEIT
Die INTEGRITÄT eines Dokumentes wird in zwei Schritten sichergestellt:
1. Aus dem elektronischen Dokument wird ein digitaler Fingerabdruck berechnet,
der so genannte HASHWERT.
Die wichtigsten Eigenschaften eines HASHWERTES sind:
a. Errechnet man zum identischen Dokument den Hashwert erneut,
so ergibt sich immer der identische Hashwert.
b. Unterschiedliche Dokumente besitzen (mit an Sicherheit grenzender
Wahrscheinlichkeit) unterschiedliche Hashwerte.
2. Der HASHWERT wird an das Dokument angehängt, aus dem er berechnet wurde.
55
Elektronische Signatur
IDENTITÄTINTEGRITÄT VERIFIZIERBARKEIT66
1. Der Original-HASHWERT wird vom Dokument getrennt.
2. Aus dem Dokument wird wieder der HASHWERT berechnet,
der so genannte Referenz-HASHWERT.
überprüfen
Ob ein Dokument unverändert ist, wird wie folgt überprüft:
Stimmen Original- und Referenz-
HASHWERT überein, so wurde das
Dokument nicht verändert.
Wurde das Dokument manipuliert,
so stimmen Original- und Referenz-
HASHWERT nicht überein.
INTEGRITÄT unverletzt INTEGRITÄT verletzt
Elektronische Signatur
IDENTITÄTINTEGRITÄT VERIFIZIERBARKEIT
Elektronische Signatur
Ein HASHWERT ist unpersönlich, d.h., • identische Dokumente führen immer zum gleichen HASHWERT, auch wenn sie von
unterschiedlichen Personen erzeugt wurden.
Einen HASHWERT zu personalisieren, heißt:• aus dem HASHWERT mit einem mathematischen Verfahren und einem geheim zu
haltenden (privaten) Schlüssel einen neuen Wert zu berechnen (auch als „elektronisches
Signieren“ bezeichnet), wobei der Schlüssel eindeutig einer bestimmten Person
zugeordnet ist. Dadurch ist auch der personalisierte HASHWERT einer bestimmten
Person eindeutig zuordenbar.
Der geheim zu haltende Schlüssel heißt SIGNATURSCHLÜSSEL.
Ein mit einem SIGNATURSCHLÜSSEL personalisierter HASHWERT wird auch
ELEKTRONISCHE SIGNATUR
genannt.
77
Elektronische Signatur
INTEGRITÄT VERIFIZIERBARKEIT
Zertifikat
88
Um eine ELEKTRONISCHE SIGNATUR einer bestimmten, natürlichen Person zuzuordnen, wird
das digitale Äquivalent eines Ausweisdokumentes, ein so genanntes ZERTIFIKAT, eingesetzt:
Das ZERTIFIKAT enthält Angaben,
welche den Inhaber des
SIGNATURSCHLÜSSELS identifizieren,
eine Gültigkeitsdauer sowie
einen Verweis auf den Aussteller des
Zertifikates.
Name, Vorname
ggf. Pseudonym
gültig von:
gültig bis:
Ausgestellt vom
Zertifizierungsdienste-
anbieter (ZDA) xy
ZERTIFIKATZERTIFIKAT
IDENTITÄT
Elektronische Signatur
INTEGRITÄT VERIFIZIERBARKEIT
Signaturprüfschlüssel
99
Darüber hinaus enthält das ZERTIFIKAT eine Angabe darüber,
welcher SIGNATURSCHLÜSSEL der im ZERTIFIKAT genannten Person zugeordnet ist.
Dies geschieht mit Hilfe eines (öffentlichen)
SIGNATURPRÜFSCHLÜSSELS,
der zum SIGNATURSCHLÜSSEL gehört
und öffentlich bekannt ist.
Um das ZERTIFIKAT vor Manipulationen zu
schützen, wird es vom Aussteller elektronisch
signiert.
Name, Vorname
ggf. Pseudonym
gültig von:
gültig bis:
Ausgestellt vom
Zertifizierungsdienstanbieter xy
ZERTIFIKATZERTIFIKAT
SIGNATURPRÜFSCHLÜSSEL
IDENTITÄT
Elektronische Signatur
INTEGRITÄT VERIFIZIERBARKEIT
Wurzelzertifizierungs-diensteanbieter
1010IDENTITÄT
Der Aussteller eines ZERTIFIKATES heißt ZERTIFIZIERUNGSDIENSTEANBIETER (ZDA).
Im elektronischen Geschäftsverkehr spielen ZERTIFIKATE die Rolle (amtlicher)
Ausweisdokumente, welche die Identität des Inhabers eines SIGNATURSCHLÜSSELS
bestätigen.
Den ZERTIFIZIERUNGSDIENSTENANBIETERN kommt daher eine besondere Bedeutung und
Verantwortung im elektronischen Geschäftsverkehr zu.
Die Vertrauenswürdigkeit einer ZDA wird in einem ZERTIFIKAT verbrieft.
Der Aussteller dieser ZERTIFIKATE für ZERTIFIZIERUNGSDIENSTEANBIETER ist die
Bundesnetzagentur (WURZELZERTIFIZIERUNGS-DIENSTEANBIETER).
Elektronische Signatur
1111INTEGRITÄT VERIFIZIERBARKEIT
Prüfung
IDENTITÄT
Ein elektronisch signiertes Dokument wird im Wesentlichen wie folgt geprüft:
DOKUMENT
ZERTIFIKATUnterzeichnerAUSSTELLER
ZDA xy
Dem ZERTIFIKAT des Unterzeichners wird der SIGNATURPRÜFSCHLÜSSEL
entnommen, um die INTEGRITÄT des Dokumentes zu überprüfen.
SIGNATURPRÜF-SCHLÜSSEL
INTEGRITÄT
Elektronische Signatur
1212INTEGRITÄT VERIFIZIERBARKEIT
Prüfung
IDENTITÄT
Ein elektronisch signiertes Dokument wird im Wesentlichen wie folgt geprüft:
DOKUMENT
SIGNATURPRÜF-SCHLÜSSEL
INTEGRITÄT
ZERTIFIKATZDA xy
AUSSTELLERBNetzA
INTEGRITÄT
Dem ZERTIFIKAT des Ausstellers wird der SIGNATURPRÜFSCHLÜSSEL
des ZERTIFIZIERUNGSDIENSTEANBIETERS entnommen und
damit die INTEGRITÄT des ZERTIFIKATES geprüft.
ZERTIFIKATUnterzeichnerAUSSTELLER
ZDA xy
Elektronische Signatur
1313INTEGRITÄT VERIFIZIERBARKEIT
Prüfung
IDENTITÄT
Ein elektronisch signiertes Dokument wird im Wesentlichen wie folgt geprüft:
DOKUMENT
SIGNATURPRÜF-SCHLÜSSEL
INTEGRITÄT
ZERTIFIKATZDA xy
AUSSTELLERBNetzA
INTEGRITÄT
ZERTIFIKATUnterzeichnerAUSSTELLER
ZDA xy
IDENTITÄT
Da im ZERTIFIKAT der SIGNATURPRÜFSCHLÜSSEL dem Unterzeichner zugeordnet wird,
ist mit der INTEGRITÄT des ZERTIFIKATES auch die IDENTITÄT des Unterzeichners bestätigt.
Elektronische Signatur
1414INTEGRITÄT VERIFIZIERBARKEIT
Prüfung
IDENTITÄT
Die Vertrauenswürdigkeit von ZERTIFIKATEN wird entsprechend geprüft:
SIGNATURPRÜF-SCHLÜSSEL
INTEGRITÄT
ZERTIFIKATBNetzA
AUSSTELLERBNetzA
INTEGRITÄT
ZERTIFIKATZDA xy
AUSSTELLERBNetzA
IDENTITÄTIDENTITÄT
ZERTIFIKATUnterzeichnerAUSSTELLER
ZDA xy
Um die IDENTITÄT des ZERTIFIZIERUNGSDIENSTEANBIETERS zu prüfen,
wird das ZERTIFIKAT der Bundesnetzagentur (BNetzA) verwendet.
Elektronische Signatur
INTEGRITÄT
ZERTIFIKATBNetzA
AUSSTELLERBNetzA
INTEGRITÄT
ZERTIFIKATZDA xy
AUSSTELLERBNetzA
IDENTITÄTIDENTITÄT
ZERTIFIKATUnterzeichnerAUSSTELLER
ZDA xy
INTEGRITÄT
IDENTITÄT
Das ZERTIFIKAT der Bundesnetzagentur (WURZELZERTIFIKAT)
kann direkt überprüft werden.
1515INTEGRITÄT VERIFIZIERBARKEIT
Prüfung
IDENTITÄT
Die Vertrauenswürdigkeit von ZERTIFIKATEN wird entsprechend geprüft:
Elektronische Signatur
ZERTIFIKATBNetzA
AUSSTELLERBNetzA
INTEGRITÄT
IDENTITÄT
1616INTEGRITÄT VERIFIZIERBARKEIT
Gültiges Dokument
IDENTITÄT
Ein gültig signiertes Dokument liegt also vor, wenn die INTEGRITÄT von:
DOKUMENT
ZERTIFIKATUnterzeichnerAUSSTELLER
ZDA xy
INTEGRITÄT
IDENTITÄT
INTEGRITÄT INTEGRITÄT
IDENTITÄT
ZERTIFIKATZDA xy
AUSSTELLERBNetzA
überprüft worden ist. Diese Prüfungen erfolgen automatisch.
Elektronische Signatur
1717INTEGRITÄT VERIFIZIERBARKEIT
Verzeichnisdienst Trustcenter
IDENTITÄT
Alle zur Prüfung eines elektronisch signierten Dokumentes notwendigen ZERTIFIKATE
werden in einer Liste geführt.
Neben der Liste der ZERTIFIKATE wird auch eine Liste von gesperrten ZERTIFIKATEN geführt, die so genannte SPERRLISTE.
ZERTIFIKATE können z.B. gesperrt werden, wenn der SIGNATURSCHLÜSSEL des im ZERTIFIKAT ausgewiesenen Inhabers gestohlen wurde. Mit einem gesperrten ZERTIFIKAT kann ab dem Zeitpunkt der Sperrung keine gültige elektronische Signatur mehr geleistet werden.
Der VERZEICHNISDIENST und die technischen Komponenten für die Zertifikatsproduktion eines ZERTIFIZIERUNGSDIENSTEANBIETERS befinden sich in einer besonders gesicherten Umgebung, dem TRUST-CENTER.
Die Liste der ZERTIFIKATE bildet zusammen mit der SPERRLISTE den VERZEICHNISDIENST, über den jedermann jederzeit (24h) Auskunft zu ZERTIFIKATEN für Gültigkeitsprüfungen erhalten kann.
Elektronische Signatur
1818INTEGRITÄT VERIFIZIERBARKEIT
Infrastruktur
IDENTITÄT
Alle Teile, die zur VERIFIZIERBARKEIT von ELEKTRONISCHEN SIGNATUREN beitragen,
werden ZERTIFIZIERUNGSINFRASTRUKTUR genannt. Dazu zählen:
Nationaler WURZEL-ZERTIFIZIERUNGSDIENSTE-
ANBIETER - staatlich -
ZERTIFIZIERUNGSDIENSTE-ANBIETER- privat -
ANWENDERInstitutionen, Firmen
Privatpersonen
stellt Zertifikate aus für
stellt Zertifikate aus für
ROOT CAD
CA 1 CA n...
ROOTLand XY
Elektronische Signatur
1919INTEGRITÄT VERIFIZIERBARKEIT
Langzeitsignaturen
IDENTITÄT
Um das Äquivalent einer handschriftlichen Unterschrift abbilden zu können, muss gewährleistet sein, dass elektronisch signierte Dokumente auch über lange Zeiträume hinweg (Jahrzehnte) VERIFIZIERBAR bleiben:
Dazu muss der VERZEICHNISDIENST jedes ZERTIFIZIERUNGSDIENSTEANBIETERS über Jahre hinweg zuverlässig arbeiten und mit anderen VERZEICHNISDIENSTEN derselben INFRASTRUKTUR interoperabel sein.
Weiter müssen alle eingesetzten Verfahren und technischen Komponenten umfassend geprüft worden sein, damit der hohe Sicherheitswert elektronisch signierter Dokumente dauerhaft gewährleistet ist.
Das Signaturgesetz (SigG) trägt in seiner geltenden Fassung diesen Besonderheiten umfassend Rechnung, indem es Rahmenbedingungen schafft, unter denen elektronische Signaturen als sicher gelten können.
Das TRUST-CENTER der BNetzA erfüllte als erstes die hohen Sicherheitsanforderungen des SigG. Es ist das Herzstück der deutschen ZERTIFIZIERUNGSINFRASTRUKTUR für elektronische Signaturen.
Top Related