Digitale Signatur

Mithilfe einer digitalen Signatur lassen sich Nachrichten oder Daten digital unterzeichnen. Es handelt sich um ein mathematisches Schema: Für die versendeten Daten wird ein geheimer Signaturschlüssel berechnet, der mit einem Verifikationsschlüssel überprüft werden kann.

Die digitale Signatur dient also der Authentifizierung digitaler Nachrichten. Das heißt, sie bestätigt, dass eine Nachricht von einem oder einer bekannten Absender:in erstellt wurde (Authentizität) und während der Übertragung nicht geändert wurde (Integrität).

Digitale Signatur in der Anwendung

Digitale Signaturen werden standardmäßig in den meisten kryptografischen Übertragungsprotokollen eingesetzt: Das heißt, beim Aufruf von sicheren Internetseiten, in Vertragsverwaltungssoftware oder für Finanztransaktionen – also in den Fällen, in denen Fälschungen oder Manipulationen erkannt werden müssen.

Wenn eine digitale Signatur ordnungsgemäß implementiert ist, kann der oder die Empfänger:in davon ausgehen, dass die Nachricht von dem oder der angegebenen Absender:in gesendet wurde.

Bei der digitalen Signatur spricht man von der asymmetrischen Kryptographie beziehungsweise der asymmetrischen Verschlüsselung. Das heißt, die beteiligten Parteien haben keinen gemeinsamen geheimen Schlüssel, sondern jeweils einen privaten (Private Key) und einen öffentlichen (Public Key). Der Private Key dient zum Signieren der Inhalte - mit dem Public Key kann die digitale Signatur dann verifiziert werden. Bei den Schlüsseln handelt es sich um digitale Zahlenfolgen.

Zur Erstellung dient ein spezielles Protokoll, das „Public Key Infrastructure“ bzw. die PKI-Verschlüsselung. Bei der Erstellung einer digitalen Signatur geschieht Folgendes:

1. Zuerst unterschreibt der oder die Benutzer:in ein digitales Dokument. Dabei wird das Dokument mithilfe eines Hash-Algorithmus in eine eindeutige Zeichenkette (Hashwert) umgewandelt. Dieser Hashwert ist wie ein digitaler Fingerabdruck des Dokuments.
2. Der Hashwert wird anschließend verschlüsselt, indem er einen privaten Schlüssel erhält - den Private Key. Das Ergebnis aus Hashwert und Private Key ist die digitale Signatur. Digitale Signaturen sind immer einzigartig, vergleichbar mit einer handschriftlichen Unterschrift.
3. Die digitale Signatur und die ursprüngliche Nachricht werden gemeinsam mit der verwendeten Hashfunktion versendet. Die empfangende Person kann mit dem öffentlichen Schlüssel (Public Key) die digitale Signatur überprüfen. Aus der unverschlüsselten Nachricht wird mithilfe der Hashfunktion ebenfalls ein Hashwert zum Abgleichen erstellt.
4. Die digitale Signatur ist gültig, wenn beide Zeichenfolgen übereinstimmen. Die Integrität des Sendenden sowie der Nachricht ist also gegeben. Tritt eine Fehlermeldung auf, wurde die Nachricht entweder geändert oder es wurde ein fremder Private-Key verwendet - in diesem Falle ist die digitale Signatur ungültig.

Authentifizierung

Digitale Signaturen können zur Authentifizierung der Nachrichtenquelle verwendet werden. Die Bedeutung eines hohen Vertrauens in die Absenderauthentizität ist insbesondere im finanziellen Kontext offensichtlich.

Integrität

Absender:in und Empfänger:in einer Nachricht müssen darauf vertrauen, dass die Nachricht während der Übertragung nicht geändert wurde. Eine Verschlüsselung verbirgt zwar den Inhalt einer Nachricht, eine Änderung einer verschlüsselten Nachricht ist aber unter Umständen auch möglich, ohne sie zu verstehen. Wenn eine Nachricht digital signiert ist, führt jede Änderung der Nachricht nach der Signierung dazu, dass die Signatur ungültig wird, da sie auf Basis der genauen Zeichenfolge der originalen Nachricht berechnet wurde.

Unwiderruflichkeit

Die Unwiderruflichkeit ist ein wichtiger Aspekt der Definition digitaler Signaturen. Dank dieser Eigenschaft kann eine Instanz, die Informationen signiert hat, zu einem späteren Zeitpunkt nicht abstreiten, sie signiert zu haben. Ebenso ermöglicht der Zugriff auf den öffentlichen Schlüssel einer betrügerischen Instanz nicht, eine gültige Signatur zu fälschen.

Solange ein Schlüsselpaar, bestehend aus privatem und öffentlichem Schlüssel, nicht nachweisbar widerrufen wurde, kann von der Authentizität des Besitzers beziehungsweise der Besitzerin ausgegangen werden. Über das Netzwerkprotokoll Online Certificate Status Protocol (OCSP) kann geprüft werden, ob Schlüssel als gesperrt gemeldet wurden.

In Ländern der Europäischen Union, in den Vereinigten Staaten, der Schweiz, der Türkei, in Indien, Brasilien, Indonesien, Mexiko und Saudi-Arabien haben digitale Signaturen rechtliche Bedeutung.

Die eIDAS-Verordnung (EU Nr. 910/2014) ist die zentrale europäische Rechtsgrundlage für elektronische Signaturen und gilt seit 2016 unmittelbar in allen Mitgliedstaaten. Sie stellt sicher, dass insbesondere die qualifizierte elektronische Signatur der handschriftlichen Unterschrift rechtlich gleichgestellt ist und EU-weit anerkannt wird. In Deutschland wird sie durch das Vertrauensdienstegesetz (VDG) ergänzt, das nationale Details regelt.

Die Bundesnetzagentur veröffentlicht jährlich eine Liste mit einer Definition der Mindestanforderungen für kryptographische Algorithmen und für die Erzeugung digitaler Signaturen.

Digitale Signaturen sind bei Anbieter:innen von elektronischen Signaturen erhältlich. Sie bieten spezielle Lösungen an, mit denen sich Dokumente digital unterzeichnen lassen. Häufig geschieht dies über Plattformen, auf denen das Dokument hochgeladen, online unterschrieben und versendet wird. In der Regel arbeiten diese Anbieter:innen mit Zertifizierungsstellen zusammen, um vertrauenswürdige Zertifikate einzufügen.

Signaturverfahren und Software

Das mit Abstand am häufigsten eingesetzte Signaturverfahren ist RSA, ein asymmetrisches kryptographisches Verfahren, das gleichermaßen zum Verschlüsseln wie auch zum digitalen Signieren angewandt werden kann. Software wie PGP (Pretty Good Privacy) bietet dieses und weitere Verfahren zur symmetrischen und asymmetrischen Verschlüsselung sowie zur elektronischen Signatur an.