Digitale Signaturen spielen eine immer größere Rolle im Web. Im Punkto Sicherheit hat sich sehr viel getan. Der Digitale Fingerabdruck macht nun schon Behördengänge fast überflüssig. Auch Onlinebanking soll sicherer werden. Na, wollen wirs hoffen.
Doch was ist überhaupt eine digitale Signatur?
Dabei handelt es sich um eine Art digitaler Unterschrift, mit der man z.B. Dateien oder eMails kennzeichnen kann. Verändern Dritte nachträglich etwas an Datei oder eMail, so kann der eigentliche Empfänger dies erkennen und weiss somit dass es sich nicht mehr um das Original handelt. Wurde nichts verändert, weiss der Empfänger, dass es sich um das Original handelt. Die sicherste Version ist dabei die qualifizierte digitale Signatur. Diese ist so sicher, dass damit sogar Verträge rechtskräftig online signiert werden können. Immer mehr Online-Dienste von Verwaltungen können darüber genutzt werden - viele Kommunen planen die Einführung einer Bürgerkarte (Berlin Friedrichshain-Kreuzberg), einige wie z.B. Reutlingen sind sogar noch eine Stufe weiter. Die Finanzämter übrigens ebenfalls - denn seit 01.07.04 sind nach Angaben von netpublisher nur noch Online-Rechnungen vorsteuerabzugsfähig, die digital signiert wurden.
Was benötigt man für eine qualifzierte digitale Signatur?
Als Empfänger einer signierten Mail oder Datei wird lediglich ein kostenloser Signatur-Reader benötigt, ähnlich wie bei Acrobat der Reader. Als Absender benötigt man die entsprechende Vollversion (analog dem Adobe Acrobat), eine personalisierte Signaturkarte und ein Kartenlesegerät.
Gesetze und Regulierung: Das SigG
Deutschland hatte als erstes Land eine Gesetzt (SigG) zu diesem Thema verabschiedet. Das Signaturgesetz hat den Zweck, Rahmenbedingungen für elektronische Signaturen zu schaffen. Ziel soll es sein, erhöhte Rechtssicherheit für das E-Commerce zu erhalten. Das Signaturgesetz reguliert den Markt der Anbieter von Zertifizierungsdienstleistungen, der Zertifizierungsdiensteanbieter. Dies jedoch nur insofern, als diese sog. qualifizierte Zertifikate ausstellen. Anbieter müssen die Aufnahme ihres Geschäftsbetriebs bei der Regulierungsbehörde für Telekommunikation und Post anzeigen und ein den Vorgaben des Gesetzes und der zugehörigen Signaturverordnung entsprechendes Sicherheitskonzept vorlegen, § 4 SigG.
PGP - Systeme
PGP steht für Pretty good Privacy und wurde 1986 von Phil Zimmermann initiiert. Digitale Signaturen werden durch sogenannte Algorythmen verschlüsselt. Hierzu verwendet man asymmetrische Verschlüsselungsverfahren, welche als sicher bekannt sind. Wie zum Beispiel RSA oder das Spezielle DSA.
PGP Systeme sind nicht die Verschlüsselungsalgorythmen selbst sondern Programme, welche die derzeit noch koplizierten Verfahren unter einer "einfachen" Bedieneroberfläche zusammenfasst. Mit Hilfe eiens PGP, soll jeder Kommunikationspartenr in der Lage sein, sich jederzeit ein Schlüßelpaar zu erzeugen. Das Vertrauen in die Zuordnung der Schlüssel zu einer Person wird durch gegenseitige Beglaubigungen realisiert.
Nutzung und Umsetzung
Die verbreiteten Implementierungen sind PGP und GnuPG. Das Gnu Privacy Projekt (GnuPP) pflegt ein auf GnuPG basierendes graphisches Frontent für alle gängigen Betriebssysteme. Das Programm WinPT (Windows Privacy Tools), das auch auf GnuPG aufsetzt, bietet unter Windows ebenfalls eine grafische Oberfläche zur komfortableren Bedienung digtaler Signierungen. Für die Mailclients Thunderbird und Netscape Mail gibt es das komfortable Plugin Enigmail , das es dem Benutzer erlaubt, die von GnuPG bereitgestellten Funktionen der Verschlüsselung und Signatur direkt im Mailprogramm zu nutzen. Das Plugin ist OpenSource und unter die GNU Licence sowie unter die Mozilla Public Licence gestellt. [MG]
Gnu Privacy Projekt: http://www.gnupp.org Enigmail: http://enigmail.mozdev.org Netscape Mail: http://www.netscape.de/ PGP für Outlook: http://www.pgp.com/downloads/index.html
Artikel eingetragen am: 27.01.2005
|