Büro: (0041)  26 670 0 670
Mail:  admin (at) d-bee ch

Die digitale Signatur

Begriffe und Definition

Die elektronische Signatur – Die Digitale Signatur

„Elektronische Unterschrift“ oder „Elektronische Signatur“ und „Digitale Unterschrift“ „Digitale Signatur“ meinen nicht unbedingt dasselbe[25]. In dieser Abhandlung wird der Gebrauch der Definitionen wie folgt festgelegt.

Elektronische Signatur

Von den vielen Definitionen wird in dieser Arbeit die Version des US-States New-York benutzt. Darin wird die Elektronische Signatur wie folgt definiert[26]:

The electronic signature is

  • „an electronic identifier, including without limitation a digital signature which is..
  • Unique to the person using it
  • Capable of verification ,
  • Under the sole control of the person using it
  • Attached to or associated with data in such a manner that it authenticates the attachment of the signature to particular data using it and the integrity of the data transmitted, and
  • Intended by the party using it to have the same force and effect as the use of a signature affixed by hand”

Digitale Signatur

Die Definition auf Deutsch:

  • Die Digitale Signatur ist ein elektronischer Identifikator der
  • einer und nur einer Person zugeteilt ist,
  • überprüft werden kann,
  • unter der Kontrolle der benutzenden Person ist,
  • den Absender und die Integrität einer Datei (beinhaltet auch den Typ Dokument) sicher stellt,
  • der Datei (-Dokument-) dieselbe rechtliche Beweiskraft eines konventionell unterzeichneten verleiht.

Sie ist eine Unterart der Elektronischen Signatur, basierend auf dem Prinzip der asymmetrischen Verschlüsselung.

Hierzu ist zu bemerken, dass die Elektronische Signatur auch symmetrische Verschlüsselungsarten  und SSL –Technologien einschliesst.

Das Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES) benutzt den erweiterten technologieneutralen Begriff.

Oft wird der Begriff „Digitale Unterschrift“ nicht gebraucht, um eine Verwechslung  mit der „Digitalisierten Unterschrift“ auszuschliessen. Im Folgenden wird der Begriff „Digitale Signatur“ wie oben beschrieben als Unterbegriff von „Elektronische Signatur“ verwendet.

Digitalisierte Unterschrift

Die digitalisierte Unterschrift hat keine Verwandtschaft mit der Digitalen Unterschrift. Die digitalisierte Unterschrift ist ein Punkt für Punkt mittels Scanner erstelltes Abbild einer manuellen Unterschrift, das digital gespeichert wurde.

Eine digitalisierte Unterschrift kann beliebig kopiert werden. Sie hat keinen Bezug zum Text. Ihr fehlen die charakteristischen Merkmale einer manuellen Unterschrift wie: Dynamik, Druck- und Formvariation.

Das schweizerische Gesetz anerkennt die digitalisierte Unterschrift, in Art. 14 Abs. 2 OR „die Nachbildung der eigenhändigen Schrift …wo deren Gebrauch im Verkehr üblich ist, insbesondere wo es sich um die Unterschrift auf Wertpapieren handelt, die in grosser Zahl ausgegeben werden“

Aufbau der Digitalen Signatur

Mathematische Grundlagen

Verschlüsselung und Entschlüsselung

Die Geheimhaltung eines Textes geschieht über eine Nichtzugänglich-Machung. Eine Möglichkeit dazu ist die Verschlüsselung dieses Textes.

Symmetrische Verschlüsselung

Die Kriegsherren waren sei je die eifrigsten Benutzer von Geheimhaltungstechniken. So soll Julius Cesar für die Verschlüsselung seiner Texte einen einfachen  Algorithmus benutzt haben:

Position Alphabet + 3. Der Klartext iimt wird zum verschlüsselten Text llpw, was damals als sicher gegolten haben mag. Das Dokument wurde mittels  eines Booten von Person zu Person (Punkt zu Punkt Verbindung) überbracht. Also hatten nur Wenige Einsicht. Während des 2.Weltkrieges war der Funk ein wichtiges Übermittlungsmedium bei welchem aber der Feind mithören konnte: entsprechend aufwändig war die Verschlüsselung. Auf der Gegenseite wurde mit noch grösserem Aufwand an der Entschlüsselung gearbeitet. Die berühmten Geschichten um die Enigma[27] faszinieren noch heute.

Das Übertragungssystem des Internets ist dem Funksystem ähnlich: Viele können mithören. Eine Möglichkeit, dieses Mithören zu verhindern, ist die symmetrische Verschlüsselung.

Bei der symmetrischen Verschlüsselung benutzen die Nachrichtensender und –empfänger den gemeinsamen Schlüssel. Dieser muss über einen geheimen Kanal allen Beteiligten zugestellt werden.

Abbildung 5        Symmetrische Verschlüsselung

Die Vorteile der symmetrischen Verschlüsselung:

  • grosse Verschlüsselungssicherheit in Abhängigkeit der Schlüsselkomplexität,
  • geringer Grössenzuwachs der Datei,
  • rechenaufwand klein.

Nachteile:

  • Der geheime Schlüssel muss über einen sichern Weg an die Teilnehmer gelangen.
  • Bei verschiedenen Partnern müssen verschiedene Schlüssel verwaltet werden.
  • Wenn für mehrere Partner der gleiche Schlüssel verwendet wird, können Echtheit, Herkunft und Authentizität nicht gewährleistet werden.

Die Schlüssellänge bestimmt die Sicherheit des verschlüsselten Textes. Gebräuchlich sind die Längen 40 Bit, 56 Bit, 128Bit und 256 Bit. Als sicher gelten im Jahr 2004 Schlüssellängen mit 128 Bit oder mehr. Bekannte Verschlüsselungsalgorithmen sind  DES, IDEA, AES und RCx.

Die Verschlüsselungsverfahren sind bekannt. Ausschlaggebend für die Sicherheit ist nicht so sehr dass Verfahren als vielmehr der Schlüssel mit seiner Länge.

Asymmetrische Verschlüsselung

Ihre Entstehung

Die mathematischen Grundlagen für die asymmetrische Verschlüsselung wurden 1976 von Whitefield Diffie und Martin Hellmann ausgearbeitet[28]. 1977 entwickelten R. Rivest, A. Shamir und L. Adlemann auf diesen Grundlagen basierend das RSA-Verfahren[29]. Die Normen für die Implementierung einer kryptographischen Umgebung basierend auf dem Prinzip des öffentlichen Schlüssels mit RSA Verschlüsselung sind öffentlich zugänglich[30]. Auf dem Markt sind  auch andere Verfahren erhältlich. Zum Teil sind sie patentrechtlich geschützt.

Vorteile

Die asymmetrische Verschlüsselung hat einige Vorteile:

  • Einfache Schlüsselverteilung: Da der öffentliche Schlüssel nicht geheim ist, kann er über unsichere Systeme, wie z.B. das Internet, verteilt werden.
  • Einfache Schlüsselverwaltung. Unabhängig von der Anzahl Kommunikationspartner existieren nur 2 Schlüssel.
  • Eindeutige Identifikation.
  • Nicht Abstreitbarkeit.
Nachteile:

Die asymmetrische Verschlüsselung hat folgende Nachteile:

  • Schlüssellänge: Um die gleiche Sicherheit wie bei einem symmetrischen 128 Bit-Schlüssel zu erreichen, muss der asymmetrische Schlüssel 3072 Bit lang sein.[31]
  • Rechenaufwand 30 bis 100 Mal grösser. Dies ist bei einigen Anwendungen im portablen Bereich ein Zeit fressender Nachteil.
  • Minimale Dateigrösse: 1000 Bits.
  • Grössenzuwachs der verschlüsselten Datei.

Bekannte Verschlüsselungsalgorithmen sind  RSA, Diffie-Hellmann, Elliptic Curve Cryptography.

Anwendung

Die asymmetrische Verschlüsselung wird kaum tel quel für die Übertragung von Dateien benutzt, da der Rechenaufwand wegen des langen Schlüssels zu gross ist. Alle Anwendungen benutzen ein hybrides Verfahren. Zuerst wird mit Hilfe des öffentlichen Schlüssels eine sichere Verbindung aufgebaut und ein Schlüssel ausgetauscht. Die Verschlüsselung der Daten geschieht anschliessen mit dem gemeinsamen Schlüssel mittels der symmetrischen Verschlüsselung.

Beispiele: PGP Pretty Good Privacy, ein weit verbreitetes Sicherheitsprogramm; PEM; S/MIME

Funktionsweise

Bei der asymmetrischen Verschlüsselung muss kein geheimer Schlüssel verteilt werden. Der Schlüssel besteht aus 2 Teilen, die miteinander mathematisch nicht rückschliessend verbunden sind.

Abbildung 6        Asymmetrische Verschlüsselung

Öffentlicher Schlüssel

Der öffentliche Schlüssel wird auf einem zugänglichen Server zur Benutzung frei gegeben. Wenn Benutzer A einen Text für Benutzer B verschlüsseln will, holt A den öffentlichen Schlüssel von B und verschlüsselt damit seine Datei. Diese Datei versendet A nun an B.  Sie kann nur mit dem privaten Schlüssel von B in Klartext umgewandelt werden.

Geheimer Schlüssel (Privater Schlüssel)

Der Geheime Schlüssel hat zwei Funktionen:

a) Entschlüsselung eines erhaltenen vertraulichen Textes.

b) Signieren eines Hash-Wertes

In der umgekehrten Richtung, von B nach A, kann B ein Dokument mit seinem geheimen Schlüssel verschlüsseln. Das Dokument ist jedoch nicht geheim, da der öffentliche Schlüssel von B vielen zugänglich ist.

A kann dieses Dokument mit dem öffentlichen Schlüssel von B entschlüsseln. Da nur B den geheimen Teil des Schlüsselpaares kennt, ist B als Absender eindeutig identifiziert. Würde die Datei nach der Verschlüsselung modifiziert, wäre die Entschlüsselung nicht möglich. Die Verschlüsselung mit dem geheimen Schlüssel von B erfüllt also 2 Zwecke:

- Der Ersteller/Verschlüsseler ist eindeutig identifiziert und die Nachricht ist authentisch.

- Änderungen der Datei werden erkannt. Die Integrität der Datei ist gewährleistet.

Abbildung 7        Signierung

In der Praxis wird jedoch nicht die Datei selber verschlüsselt sondern deren Hash-Wert[32]. Dies ist schneller und sicherer.

Dieser verschlüsselte Hash-Wert wird gemeinhin als Digitale Signatur bezeichnet.

Alle die den öffentlichen Schlüssel von B besitzen können die von B mit dem privaten Schlüssel verschlüsselten Dateien lesen. Hier wird absichtlich von privatem Schlüssel gesprochen, da damit keine Geheimhaltung erreicht wird. Will also B eine vertrauliche Datei an A schicken, muss B den öffentlichen Schlüssel von A benutzen. Die Praxis sieht auch hier anders aus. Die meisten Verfahren benutzen ein hybrides System. Das Prinzip des öffentlichen Schlüssels wird für die Übertragung des gemeinsamen symmetrischen Schlüssels gebraucht. Die vertrauliche Verbindung läuft dann über die effizientere symmetrische Verschlüsselung.

Die Digitale Signatur

Vorgang

B will ein Dokument signieren und an A übermitteln: 

B erzeugt aus diesem Dokument einen „Hash-Wert“ und kodiert ihn mit seinem privaten Schlüssel. Diese angehängte Datei ist die Digitale Signatur des Dokumentes. B schickt Beides an A. Da nur B seinen privaten Schlüssel kennt ist das Dokument von B und nur von B.

A erhält das Dokument von B mit dem signierten Hash-Wert. A berechnet den Hash-Wert des Dokumentes und entziffert die Signatur von B (= von B kodierter Hash-Wert des Dokumentes). mit dem öffentlichen Schlüssel von B. Dies sollte wieder den Hash-Wert vom Dokument ergeben. A vergleicht die beiden Hash-Werte. Sind sie identisch, so ist das Dokument von B und wurde nicht verändert.

Es wird also nicht das Dokument selbst verschlüsselt. Dies hat zwei Gründe. Zum Einen kann der Rechenaufwand sehr gross werden: zum anderen, und dies ist wichtiger, haben Dokumente die mit einem üblichen Textprogramm wie zum Beispiel Word geschrieben werden, immer den gleichen Anfang. Z.B.:[33] „ юя

  яяяя   [1]     А      F   Microsoft Word-Dokument    MSWordDoc    Word.Document.8 ф9Іq“

Diese bekannte und  gleich bleibende Zeichenfolge erleichtert die Entschlüsselung der Datei.

Abbildung 8        Kombinierte Verschlüsselung

Aufbau einer vertraulichen Verbindung.

Auch der umgekehrte Weg ist möglich, wenn A vertraulichen Text von B benötigt.

A erzeugt einen Schlüssel für eine symmetrische Verbindung und verschlüsselt diesen mit dem öffentlichen Schlüssel von B und schickt ihn an B. B berechnet den Hash-Wert seines Textes, verschlüsselt diesen mit seinem geheimen Schlüssel und schickt diesen an A, dies wäre optional die Signatur. Den Text selber, da gross, verschlüsselt B mit dem von A erhaltenen symmetrischen Schlüssel und schickt diesen an A. Die auf dem Markt befindlichen Programme integrieren diese und noch mehr Funktionen mit einer benutzerfreundlichen Oberfläche.

Ein Problem besteht nun für A darin, dass er sicher sein will, dass der öffentliche Schlüssel auch wirklich der von B ist. Um dies zu bestätigen fragt er die Zertifizierungsstelle an. Diese stellt  A ein Zertifikat aus, dass B als Besitzer des Schlüssels bestätigt. 

Die Zertifikation

Das Zertifikat

„Ein Zertifikat ist eine von einer dritten Instanz ausgestellte digitale Urkunde, die die Identität des Zertifizierten bestätigt“[34]. Diese dritte Instanz ist die Zertifizierungsstelle oder CA Certification Authority.

Ein Problem des öffentlichen Schlüssels ist die Ungewissheit, ob die Herausgeberin der Unterschrift wirklich diejenige ist, für die sie sich ausgibt. Bei der manuellen Unterschrift besteht dieselbe Ungewissheit. Ist die Unterschrift echt? Oft ist sie von früheren Dokumenten bekannt und sie sieht ähnlich aus. Bestehen trotzdem Zweifel, so kann ein Rückruf die Echtheit der Unterschrift bestätigen. Banken und Post haben für Kontrollzwecke eine Referenzunterschrift. Eine hundertprozentige Gewissheit besteht nur, wenn die Person bekannt ist und vor den Augen eines Zeugen unterschreibt. Bei der digitalen Unterschrift liegt das Problem ähnlich. Nur sind die Partner einander zudem vielleicht unbekannt oder nicht erreichbar. Auch könnte die digitale Unterschrift mit einem gestohlenen oder ungültigen geheimen Schlüssel erstellt worden sein. Die Verifikation der Unterschrift ist deshalb noch wichtiger als bei der handschriftlichen. Deshalb wird eine vertrauenswürdige Stelle benötigt, bei der diese Verifikation vorgenommen werden kann. Diese Stelle zertifiziert die Gültigkeit des öffentlichen Schlüssels. Dieses Zertifikat wiederum ist von der ausstellenden Behörde digital signiert. Weiter kommt erschwerend hinzu, dass die Verifikation der Unterschrift in einem zeitlich kurzen Rahmen möglich sein muss.

Zertifikate werden auch benutzt um die Identität von Software zu beweisen. Dabei handelt es sich um private Zertifikate. Zertifikate können von vielen Stellen ausgegeben werden. Die Glaubwürdigkeit ist deshalb unterschiedlich.

Fälschung von Zertifikaten

Zertifikate können auf verschiedene Arten gefälscht werden.  [35]

Einschleusen eines falschen Zertifikats bei CA

Erstellen eines eigenen Zertifikates und mit falscher Identität

Erschleichen eines Zertifikates unter falschem Namen

Knacken eines Zutrittschlüssels

Beispiel: „Nun hat sich allerdings herausgestellt, dass die Vergabestelle Verisign Inc. in zwei Fällen ungenau geprüft hat, denn es wurden zwei Zertifikate auf den Namen von Microsoft an eine unbekannte Person herausgegeben.  …..Es erscheint weiterhin die gewohnte Sicherheitsabfrage, aber da Microsoft als Inhaber der Zertifikate angegeben ist, werden viele Anwender den Code bedenkenlos starten“.[36]

Zertifizierungsstelle CA

Es gibt verschiedene Modelle für die Einrichtung einer CA. Für eine interne PKI kann eine CA auch selbst betrieben werden, hat dadurch aber wenig Glaubwürdigkeit gegen aussen.

Für öffentliche Anwendungen ist die Zertifizierungsstelle die zentrale Vertrauensinstitution.  Die Schweizerische Gesetzgebung ZertEs setzt deshalb die Anforderungen an eine anerkannte Zertifizierungsstelle sehr hoch. Damit eine qualifizierte Digitale Signatur der schriftlichen Unterschrift gleichgestellt ist, muss das Zertifikat einer Signatur von einer anerkannten CA stammen.

Zertifizierungsstellen sind: Swissign, Swisscert und Wisekey. Zurzeit, August 2004, besteht keine anerkannte schweizerische Zertifizierungsstelle. Der erste Anlauf mit Swisskey endete vorzeitig.

Auf der  Homepage der Swisskey, www.swisskey.ch, steht nur noch folgender Nachruf:

„Die Swisskey Dienstleistungen wurden per 31. Dezember 2001 definitiv eingestellt. Alle noch aktiven Zertifikate wurden nach dem 31. Dezember 2001 revoziert.
Die endgültigen Sperrlisten / CRL's (Certification Revocation List) für die verschiedenen Certification Authorities, können Sie hier runterladen:“

Die Zertifizierungstelle bestätigt also nicht nur, sondern verneint auch die Gültigkeit eines Zertifikates. Dies tut sie mittels so genannter Sperrlisten.

Beispiel einer Sperrliste:

Abbildung 9        Zertifikate

 

Eine Sperrliste ist die Negativseite der Zertifizierungsstelle. Denn ausgestellte Zertifikate können annulliert, verloren oder gestohlen werden und müssen deshalb zurückgezogen werden, da sie ihre Gültigkeit verloren haben. Auf der Positiv-Seite stehen die Bestätigungen. Sie enthalten dieselben Informationen wie die Sperrlisten sowie unter Umständen den öffentlichen Schlüssel.

Bei der Frage ob die Schweiz eine eigene Zertifizierungsstelle benötigt oder ob auf die von Swisskey empfohlenen ausländischen Anbieter zugegriffen werden soll, gehen die Meinungen auseinander.

PKI (Public Key Infrastructure)

Die „PKI“ umfasst „alles was benötigt wird um die Vision der Verschlüsselung mit öffentlichen Schlüsseln in die Praxis umzusetzen“[37]. Im Detail sind dies, Zertifizierungsstelle, Verwaltung der Zertifikate, Zeitstempeldienst, Autorisierungsbehörde, Programme, Rechtliche Grundlagen. Die PKI ist ein komplexes technisches und juristisches Gebilde.

Zeitstempeldienst

Ein digital signiertes Dokument ist „authentisch“, aber noch zeitlos. Die Zeitangaben des Systems können leicht manipuliert werden, weshalb deren Beweiswert gering ist. Da ein Zertifikat aber seine Gültigkeit verlieren kann, muss genau bestimmt werden können, wann die digitale Unterschrift erstellt wurde. Dieser Zeitpunkt des Erstellens der digitalen Unterschrift muss also bestimmbar sein. Dazu wird ein externer Dienst benötigt. Ein solcher Dienstanbieter muss folgenden Ansprüchen gerecht werden:

  • Er muss  vertrauenswürdig sein.
  • Die Zeitstempelungen müssen unabhängig vom zeitlichen Faktor mit externen nicht beeinflussbaren Vorgängen gekoppelt sein.
  • Muss langfristig erreichbar sein.
  • Die registrierten Zeitstempelungen von digitalen Signaturen müssen über Jahre gespeichert werden und jederzeit abrufbar sein.
  • Er muss leistungsfähig sein, weil die Nachfrage stark variieren kann. Grosse Zeitverzögerungen sind bei Zeitstempelungen nicht erlaubt.

Ein möglicher Anbieter eines solchen Zeitstempeldienstes könnte die Zertifizierungsstelle sein. Wegen der notwendigen Langfristigkeit wäre eine öffentliche Institution wünschenswert.

Die Nachfrage nach Zeitstempeldiensten kommt nicht nur von der PKI, Börsenhandel, Gesundheitswesen und andere Institutionen gehören auch zu den Dienstbenutzern[38].

Hash-Wert

Der Hash-Wert, oder einfach Hash, ist ein skalarer Wert der aus einer Datei mittels einer Hash-Funktion (einfaches Beispiel: Quersumme) gebildet wird. Dieser Wert ist die Identifikation der Datei. Jede Änderung der Datei ergibt einen anderen Hash-Wert. Ein identischer Hash-Wert gewährt also, dass das Dokument nicht verändert wurde.[39] 

Merkmale des Hash-Wertes

- Die Funktion ist nicht umkehrbar! Aus dem Hash-Wert kann also nicht auf die zu Grunde liegende Datei geschlossen werden.

 - Der Hash-Wert ist bedeutend kleiner als die Quelldatei.

Gebräuchliche Algorithmen zur Berechnung sind SHA-1, MD5. Die SHA-Berechnung führt zu einem 160-Bit-Hash,

>