Elektronische Signatur

Der Begriff elektronische Signatur ist Oberbegriff für verschiedene Formen der elektronischen Signatur. Oft werden auch die Begriffe elektronische Unterschrift oder digitale Signatur verwendet. Die elektronische Signatur ist jedoch in der Regel keine Schrift, beispielsweise eine digitalisierte eigenhändige Unterschrift. Eine digitalisierte Handschrift besitzt für sich alleine nur geringe Beweiskraft, da sie beliebig oft kopiert und an beliebig veränderte Dokumente angehängt werden kann. Die Kopien sind dabei vom Original nicht zu unterscheiden. Dennoch könnte auch eine digitalisierte Schrift als elektronische Signatur im Sinne des Signaturgesetz (SigG) angesehen werden. Die Anerkennung als Beweis ist jedoch sehr fraglich.

Die Begriffe digitale oder elektronische Signatur beziehen sich nicht ausschließlich auf Verfahren, die Zertifikate mit Public-Key-Infrastruktur (PKI) verwenden. Nach dem inzwischen überarbeiteten deutschen Signaturgesetz von 2001 benötigen nur fortgeschrittene und qualifizierte elektronische Signaturen derartige Zertifikate. Die Begriffe digitale und elektronische Signatur sind weitgehend synonym. In der englischsprachigen Fachliteratur wird der Begriff „Digital Signature“ benutzt (siehe auch DSS). Im Signaturgesetz wird nur der Begriff "elektronische Signatur" verwendet. In der EU-Richtlinie und im Signaturgesetz wurden die Begriffe einfache und fortgeschrittene elektronische Signatur eingeführt. Über die Rechtsfolgen einer "einfachen" oder "fortgeschrittenen" elektronischen Signatur im Unterschied zur qualifizierten elektronischen Signatur wird jedoch weder im Signaturgesetz noch anderen Gesetzen der EU, des Bundes oder der Länder etwas ausgesagt. Eine Anwendung der qualifizierten elektronischen Signatur findet sich in § 126a BGB, wonach die gesetzliche Schriftform unter bestimmten Voraussetzungen durch die qualifizierte elektronische Signatur ersetzt werden kann. Gemäß § 127 BGB ist die Regelung bei vereinbarter Form entsprechend anwendbar.

Zur Prüfung einer qualifizierten elektronischen Signatur wird ein öffentlich verfügbarer Signaturprüfschlüssel (Public Key) benutzt. Diesem Prüfschlüssel ist jedoch nicht anzusehen, ob er möglicherweise von einer nichtautorisierten Person stammt. Eine nichtautorisierte Person könnte einen Signaturschlüssel zur Erstellung einer Signatur und einen zugehörenden Prüfschlüssel z. B. mit einer Software wie PGP selbst erstellen und anschließend Signaturen mit dieser Software unter falschem Namen erstellen und als qualifizierte elektronische Signaturen einer anderen Person ausgeben.

Daher wird ein Nachweis der Echtheit des Prüfschlüssels benötigt. Zu diesem Zweck sieht das SigG für qualifizierte elektronische Signaturen ein qualifiziertes elektronisches Zertifikat vor, das eine qualifizierte elektronische Signatur des Ausstellers enthält.

Dies bedeutet für qualifizierte Zertifikate mit freiwilliger Anbieterakkreditierung (§15 SigG): Zertifizierungsdiensteanbieter wie beispielsweise D-TRUST oder die DATEV etc. erhalten ein Zertifikat vom Betreiber der obersten deutschen Root. Dieser Betreiber ist die Bundesnetzagentur. Sie ist auch gleichzeitig Aufsichtsstelle für alle Anbieter von Zertifikaten, Soft- und Hardware im Markt. Der jeweilige Zertifizierungsdiensteanbieter gibt nun seinerseits ein Zertifikat an eine Person aus die damit unterschreiben will. Somit kann nun jeder jede Unterschrift nachprüfen, da alle Zertifikatsketten auf die Bundesnetzagentur zurückzuführen sind.

Der zur Erstellung der Signatur verwendete Signaturschlüssel, umgangssprachlich auch als privater Schlüssel bezeichnet, darf selbstverständlich nicht in die Hände einer nichtautorisierten Person gelangen. Diese könnte ansonsten Signaturen im Namen des rechtmässigen Schlüsselinhabers setzen.

Für den Schutz des privaten Schlüssels gibt es im Wesentlichen zwei Möglichkeiten: Zum einen mittels Software-"Sicherheitscontainer" (Soft Personal Security Environment, z. B. entsprechend dem Standard PKCS#12) und zum anderen durch ein Stück Hardware (Chipkarte, USB-Stick o.dgl.), in dem bzw. auf dem der Signaturschlüssel gespeichert wird. Sowohl Soft-PSE als auch Chipkarte sind regelmässig mit Passwort oder PIN geschützt. Soft-PSEs bleiben indessen prinzipbedingt deutlich weniger sicher als Hardwarelösungen. Dies weil ein Soft-PSE im Gegensatz zu Chipkarten beliebig viele Angriffsversuche erlaubt (Brute-Force-Methode), und vor allem weil Soft-PSEs mangels Bindung an eine Chipkarte sehr einfach kopiert werden können (etwa durch bösartige Software).

Eine weitere Problematik liegt darin, dass eine Weitergabe mit Täuschungsabsicht bei Lösungen ohne biometrischen Schutz kaum wirksam zu verhindern ist: Ein Signaturschlüsselinhaber könnte seinen Signaturschlüssel an Komplizen weitergeben, die dann Fälschungen seiner elektronischen Signatur erstellen. Dies kann zu dem Zweck erfolgen, dass der Signaturschlüsselinhaber die Echtheit einer Signatur mit dem Argument bestreiten kann, sein Schlüssel sei kompromittiert worden.

Daher ist für ein höheres Maß an Sicherheit, wie etwa vom SigG gefordert, die Verwendung einer sicheren Signaturerstellungseinheit Chipkarte erforderlich, die das Auslesen des Schlüssels auch für den Inhaber selbst sicher verhindert.

Eine Fälschung der Signatur kann nur zuverlässig ausgeschlossen werden, falls geeignete Software zur Erstellung und zur Prüfung der Signatur verwendet wird. Die große Schwierigkeit dabei ist, dass kaum feststellbar ist, ob diese Voraussetzung tatsächlich erfüllt ist. Die gleichen mathematischen Operationen, die auf einer Chipkarte, der sicheren Signaturerstellungseinheit, ausgeführt werden, können auch mittels eines handelsüblichen Rechners und einer Software ähnlich PGP ausgeführt werden. Allein der Signatur kann daher nicht angesehen werden, ob sie tatsächlich mit sicheren technischen Komponenten erstellt wurde. Das Signaturgesetz definiert daher in §17 auch noch Anforderungen an Produkte für qualifizierte elektronische Signaturen.

Generell ist zur Prüfung der Signatur eine Software erforderlich. Die Software auf einem PC kann praktisch immer auch so genannte Malware enthalten. Eine tatsächlich zuverlässige Prüfung, ob die Software tatsächlich den Spezifikationen entspricht und nicht manipuliert wurde ist sehr aufwändig. Hier werden normalerweise Sicherheitsmechanismen des Betriebssystems und/oder Signaturen an der Software verwendet.

Die elektronische Signatur basiert auf mathematischen Verfahren oder Algorithmen und eventuell spezieller Hardware wie einer Chipkarte. Aus den zu signierenden Daten und dem Signaturschlüssel wird durch eine eindeutige Rechenvorschrift die Signatur berechnet. Jedes Dokument muss mit an Sicherheit grenzender Wahrscheinlichkeit zu einer anderen Signatur führen, der Signaturschlüssel darf nur einmalig vergeben werden und die Signatur muss für jeden Schlüssel einen anderen Wert ergeben. Zur Vereinfachung des Verfahrens wird die Signatur nicht direkt aus der Nachricht berechnet, sondern aus einem Hashwert der mittels einer Hash-Funktion wie SHA-1 berechnet wird. Das heißt, über die zu signierenden Daten wird der Hashwert berechnet und anschließend mit dem privaten Schlüssel verschlüsselt.

Die Prüfung erfolgt in umgekehrter Reihenfolge:

1. Die Signatur wird mit dem öffentlichen Schlüssel (Signaturprüfschlüssel) entschlüsselt.
2. Über die Signierten Daten wird erneut ein Hash berechnet.
3. der berechnete Hash und der aus der Signatur entschlüsselte Hash werden verglichen.

Die Algorithmen können grob in symmetrische und asymmetrische unterteilt werden. Bei symmetrischen Verfahren ist der Verschlüsselungsschlüssel identisch mit dem Entschlüsselungsschlüssel. Bei asymmetrischen Verfahren wird ein Schlüsselpaar verwendet. Ein Schlüssel wird für die Verschlüsselung (Signaturschlüssel) und ein Schlüssel für die Entschlüsselung (Signaturprüfschlüssel) verwendet. Für fortgeschrittene und qualifizierte Signaturen sind gemäß § 2 Abs. 4 SigG einmalige Codes erforderlich, daher werden ausschließlich asymmetrische Verfahren eingesetzt. Symmetrische Verfahren werden bei Signaturen meist nur als sogenannte Session Keys zur Verschlüsselung biometrischer Identifikationsmerkmale eingesetzt.

Für „fortgeschrittene“ Signaturen fordert das Signaturgesetz, dass diese:

• a) ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind,
• b) die Identifizierung des Signaturschlüssel-Inhabers ermöglichen,
• c) mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und
• d) mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann, ...

hier wird schon klar, dass dies nur mit asymmetrischen Verschlüsselungsverfahren sinnvoll möglich ist.

Die Forderung b) erfordert bei zertifikatsbasierten Signaturen einen bekannten, zugeordneten Prüfschlüssel und bei zertifikatsfreien Signaturen seit 11. Januar 2005 ein von dem Signierenden während des Signaturerstellungsprozesses abgegebenes Identifikationsmerkmal.

Die Forderung a) wird entweder durch ein Zuordnungszertifikat für ein Schlüsselpaar oder durch Verknüpfung von Signatur und Identifikationsmerkmal erfüllt und c) wird entweder durch Nutzung des PIN-Verfahrens oder Abgabe einer eigenhändigen Unterschrift als biometrisches Merkmal erfüllt.

Qualifizierte Signaturen unterliegen bei den Zuordnungen der Schlüssel und damit der Ausstellung eines Zertifikats zusätzlichen Anforderungen, die aber auf den Anforderungen für "fortgeschrittene Signaturen" basieren.

Bei asymmetrischen Verfahren soll es praktisch unmöglich sein, den Signaturschlüssel aus dem Prüfschlüssel zu berechnen. Dies ist auf lange Sicht, zumindest bei dem derzeit im qualifizierten Bereich üblichen RSA mit bisher üblichen Schlüssellängen von 1024 Bit, durchaus fragwürdig. Ein erster Schritt ist daher die Anhebung auf 2048 Bit Schlüssellänge (derzeit im qualifizierten Bereich nur von D-TRUST angeboten), welche jedoch massiv auf Kosten der Performance geht. Daher wird mittelfristig eine Umstellung auf andere Algorithmen auf Basis elliptischer Kurven erfolgen. Hier reichen für vergleichbare Sicherheiten deutlich kürzere Schlüssellängen (wenige hundert Bit) aus. Beispiele für andere asymmetrische Signaturalgorithmen sind DSA und El-Gamal.

PGP steht für Pretty good Privacy und wurde von 1986 bis 1991 von Phil Zimmermann entwickelt. PGP ist selbst kein Verschlüsselungsalgorithmus, sondern ein Softwareprodukt, das viele, zum Teil recht komplexe Verfahren, zur symmetrischen und asymmetrischen Verschlüsselung sowie zur elektronischen Signatur zusammenfasst.

PGP-Systeme ermöglichen es, dass sich jeder Kommunikationspartner jederzeit ein Schlüsselpaar erzeugen kann. Das Vertrauen in die Zuordnung der Schlüssel zu einer Person soll durch eine Art gegenseitiger elektronischer "Beglaubigungen" gewährleistet werden. Dadurch entsteht ein Web of Trust, das auf transitiven Vertrauensbeziehungen beruht. Dies bedeutet, dass die Person A der Person C vertraut sofern sie B vertraut und B die Person C als vertrauenswürdig einstuft. Der Vorteil dieses Verfahrens besteht in den geringen Voraussetzungen an den einzelnen Benutzer.

Verbreitete Varianten der ursprünglich von Phil Zimmermann entwickelten Software sind PGP (kommerziell) und GnuPG (GNU-GPL). Das GNU Privacy Projekt kümmerte sich um ein auf GnuPG basierendes graphisches Frontend für alle gängigen Betriebssysteme. Seit 2003 scheint das Projekt nicht besonders viel Aktivität zu zeigen. Das Programm WinPT (Windows Privacy Tools), das auch auf GnuPG aufsetzt, bietet unter Windows ebenfalls eine grafische Oberfläche zur komfortableren Bedienung digitaler Signierungen.

Für die Mailclients Mozilla Thunderbird, Mozilla Mail und Netscape Mail gibt es das komfortable Plugin Enigmail, das es dem Benutzer erlaubt, die von GnuPG bereitgestellten Funktionen der Verschlüsselung und Signatur direkt im Mailprogramm zu nutzen. Das Plugin ist Open Source und unter die GNU-GPL sowie unter die Mozilla Public License gestellt. Das Programm The Bat! kann von Haus aus mittels OpenPGP ebenfalls entsprechende Verschlüsselungs- und Signierfunktionen anbieten.

Auch mit dem v. a. unter Linux verbreiteten Mail- und Groupwareclient Novell Evolution können die Funktionen zur Verschlüsselung und Signatur von GPG direkt und ohne Plugin genutzt werden. Auch Evolution ist Open Source und steht unter der GNU-GPL.

In zertifikatsbasierten Systemen erhält jeder Benutzer ein digitales Zertifikat, welches seine Identität beschreibt und die öffentlichen Schlüssel enthält. Jedes Zertifikat ist von einer ausgebenden Stelle beglaubigt, die ihrerseits wieder von höheren Stellen beglaubigt sein kann. Das Vertrauenssystem ist streng hierarchisch. Den gemeinsamen Vertrauensanker bildet ein sog. Wurzel-Zertifikat (Root Certificate).

Zertifikatsbasierte Systeme passen sich gut in Unternehmenshierarchien ein. Nachteilig sind die hohen Kosten für Aufbau und Betrieb einer Public-Key-Infrastruktur (PKI).

Der Standard S/MIME baut auf digitalen Zertifikaten auf.

Ein Zertifikat verknüpft Daten eines kryptographischen Schlüssels (oder Schlüsselpaars, bestehend aus öffentlichem und geheimem Schlüssel) mit Daten des Inhabers und einer Zertifizierungsstelle sowie weitere Spezifikationen wie Version, Gültigkeitsdauer, Verwendungszweck und Fingerprint. Die Definitionen nach PKCS legen das Inhaltsformat fest, der Standard X.509 (genauer: ITU x.509 v3 nach RFC 3280, basierend auf ASN.1 Format) beschreibt das Binär-Datenformat, oftmals als DER bzw. als DER - Base-64 kodiert.

PKCS #7 wird für den Austausch des öffentlichen Schlüssels genutzt. PKCS #12 enthält zusätzlich den – kennwortgeschützten – geheimen Schlüssel.

Häufig verwendete Dateinamen-Erweiterungen:

Das folgende Beispiel zeigt ein selbstsigniertes Wurzel-Zertifikat (root-certificate) einer Wurzel-Zertifizierungsstelle (sog. Zertifizierungsstelle, engl. certification authority, daher kurz CA):

Certificate name
 TC TrustCenter for Security in Data Networks GmbH
 TC TrustCenter Class 0 CA
 Hamburg
 Hamburg, DE
 emailAddress: certificate@trustcenter.de
Issuer
 TC TrustCenter for Security in Data Networks GmbH
 TC TrustCenter Class 0 CA
 Hamburg
 Hamburg, DE
 emailAddress: certificate@trustcenter.de
Details
 Certificate version: 3
 Serial number: 1
 Not valid before: Mar  9 13:54:48 1998 GMT
 Not valid after: Dec 31 13:54:48 2005 GMT
 Fingerprint: (MD5) 35 85 49 8E 6E 57 FE BD 97 F1 C9 46 23 3A B6 7D
 Fingerprint: (SHA-1) 44 81 A7 D6 C9 44 75 84 CF ED 8A 47 C9 AE 6A F0 1E 39 75 18
Public key algorithm: rsaEncryption
 Public-Key (1024 bit):
 Modulus:
    00: A3 CC 7E E4 FA 5F E5 D7 39 67 86 38 AA 5B 37 6D
    10: 0F 01 2B 08 01 FA A1 B4 6A F4 73 05 C3 18 B4 DC
    20: 8D F4 1E DE 5C AB 21 8A 3B 63 C8 23 8B D8 C1 3F
    30: 7C A2 74 99 67 19 71 9F CC 40 4E 18 2A 09 2B 27
    40: 6B DB DB 11 78 C4 A0 85 9C 34 C2 A1 2E 02 4B 0B
    50: 21 F4 B3 4B 1D B3 46 B2 B4 6B 12 54 4C 1A CA 27
    60: F5 27 33 B3 B9 C6 8A C5 28 9F B0 E2 8A E8 54 3B
    70: 7F 0B 8D E0 D1 0E 4E 6D 2F F0 D5 BF BE E6 7D DF
  Exponent:
     01 00 01
Public key algorithm: md5WithRSAEncryption
    00: 4D 07 7F 5F 09 30 19 92 AA 05 47 7A 94 75 54 2A
    10: AE CF FC D8 0C 42 E1 45 38 2B 24 95 B2 CA 87 CA
    20: 79 C4 C3 97 90 5E 62 18 C6 C9 38 61 4C 68 35 D3
    30: 4C 14 11 EB C4 CD A1 A9 D8 C5 9E 68 27 32 07 35
    40: 45 04 F8 5F 21 A0 60 1E 1C 00 48 04 58 D2 C5 CB
    50: AE 6D 32 6E 3D 77 95 8C 85 C7 E5 AE 50 9D 75 4A
    60: 7B FF 0B 27 79 EA 4D A4 59 FF EC 5A EA 26 A5 39
    70: 83 A4 D1 78 CE A7 A9 7E BC DD 2B CA 12 93 03 4A
Extensions:
  Netscape Revocation Url: https://www.trustcenter.de/cgi-bin/check-rev.cgi?
  Netscape CA Revocation Url: https://www.trustcenter.de/cgi-bin/check-rev.cgi?
  Netscape Renewal Url: https://www.trustcenter.de/cgi-bin/Renew.cgi?
  Netscape CA Policy Url: http://www.trustcenter.de/guidelines/index.html
  Netscape Comment: TC TrustCenter Class 0 CA
  Netscape Cert Type: SSL CA, S/MIME CA, Object Signing CA

Aufbau eines Server-Zertifikats mit öffentlichem Schlüssel:

• Certificate name: Name des Zertifikat-Inhabers.
• Issuer: CA oder untergeordnete Zertifizierungsstelle, die die Authentizität bestätigt.
• Details: Gültigkeitsdauer und andere Daten. Digitale Signatur des Zertifikats durch die Zertifizierungsstelle (Issuer).
• Public Key: Der öffentliche Schlüssel.
• Der geheime Schlüssel ist in einem Server-Zertifikat nicht enthalten. Client-Zertifikate benötigen ihn, um ihre Authentizität gegenüber dem Server bestätigen zu können. Der geheime Schlüssel sollte immer mit einem Kennwort geschützt sein.

Beim Web-Datenaustausch überträgt der Server seinen öffentlichen Schlüssel an den Client. Der Client, das ist der Webbrowser des Nutzers, prüft, ob er dem empfangenen öffentlichen Schlüssel trauen kann. Dazu schaut er in die Liste seiner Zertifikate, die ihm bei der Installation mitgegeben wurden bzw. der Benutzer selbst installiert hat. Findet er dort das Zertifikat, startet er eine verschlüsselte Datenübertragung. Ansonsten wird der Benutzer über einen Dialog gefragt, ob er das Zertifikat überprüfen und akzeptieren will.

Technisch basiert die Verschlüsselung auf dem SSL-Protokoll (Secure Sockets Layer), die sich dem Web-Benutzer als https: statt http: Protokoll mitteilt.

Nur der Server, der den öffentlichen Schlüssel ausgegeben hat, kann auch die Daten entschlüsseln, die der Client mit diesem Schlüssel verschlüsselt zu ihm überträgt. Fatal ist es, wenn einem Zertifikat aus Leichtsinn Vertrauenswürdigkeit ausgesprochen wurde.

Beispiel: Ein betrügerischer Server gibt vor, die Hausbank zu sein. Der Webbrowser stellt beim ersten Besuch fest, dass er das Zertifikat des Betrügers nicht kennt. Der Benutzer des Webbrowsers, weil er es nicht besser weiß, klickt auf Zertifikat annehmen. Daraufhin kommunizieren der Server des Betrügers und der Client des Benutzers über eine sichere Web-Verbindung. Sicher in diesem Zusammenhang bedeutet, dass Dritte die Datenübertragung nicht abhören können. Die Gewissheit, mit dem richtigen Partner zu kommunizieren, ist durch die Leichtfertigkeit des Nutzers, das unbekannte Zertifikat anzunehmen, nicht mehr gegeben. Schlimmer noch: Dadurch, dass der Browser das Zertifikat speichert, werden nicht nur spätere Besuche des Betrüger-Servers als sicher eingestuft, sondern auch Zertifikate, die der Betrüger-Server signiert hat.

Zertifikatsfreie Systeme basieren zumindest bei fortgeschrittenen Signaturen gemäß § 2 Abs. 4 des deutschen Signaturgesetzes ebenfalls auf kryptographischen Verfahren mit einmaligen Schlüsseln.

Im Gegensatz zu qualifizierten Signaturen müssen jedoch bei fortgeschrittenen Signaturen, geheimer und öffentlicher Schlüssel dem Signaturersteller nicht mittels qualifiziertem Zertifikat zugeordnet sein. Somit kann die Authentizität / Integrität der signierten Daten geprüft werden, jedoch erfolgt die Identifizierung des Unterzeichners nicht über ein Zertifikat.

In diesem Fall können biometrische Verfahren, wie z. B. die eigenhängige Unterschrift, die während des Signierens erfasst und in das Dokument eingebettet wird, zur Identifizierung beitragen. Zur Sicherung der biometrischen Daten werden diese zusätzlich in den Hashwert (Prüfsumme) einbezogen. Bei einer Signaturprüfung wird dann neben den signierten Daten auch die Authentizität / Integrität des Identifizierungsmerkmals geprüft.

Der Ausgangspunkt für die einzelnen Gesetze und Verordnungen in Europa ist die EU-Richtlinie 1999/93/EG. Hier werden alle EU-Mitgliedstaaten aufgefordert nationale Gesetze zu erlassen die als wichtigste Forderungen festlegen dass

1. eine fortgeschrittene Signatur die auf einem qualifizierten Zertifikat beruht, die gleiche Wirkung hat, wie eine handschriftliche Unterschrift. (Entspricht der qualifizierten Signatur in Deutschland)
2. ein Diensteanbieter, der ein qualifiziertes Zertifikat ausstellt, gegenüber jeder Person, die vernünftigerweise auf das Zertifikat vertraut, dafür haftet.
3. qualifizierte Signaturen der Mitgliedstaaten gegenseitig anerkannt werden.

Die elektronische Signatur ist durch mehrere Rechtsvorschriften geregelt:

• Signaturgesetz (SigG)
• Signaturverordnung (SigV)
• Bürgerliches Gesetzbuch (BGB), hier vor allem die Paragraphen 125 ff. über die Formen von Rechtsgeschäften
• Verwaltungsverfahrensgesetz (VwVfG), hier vor allem die Paragraphen 3a zur elektronischen Kommunikation und 37 zum elektronischen Verwaltungsakt.
• Unzählige weitere Rechtsvorschriften, die 2001 durch das Formanpassungsgesetz geändert wurden.
• Daneben gelten Vorschriften der Europäischen Union.
• 1. Gesetz zur Änderung des Signaturgesetzes (1. SigÄndG)

Das bürgerliche Gesetzbuch erlaubt den Ersatz der per Gesetz vorgeschriebenen – also nicht freiwilligen – schriftlichen Form durch die elektronische Form, soweit durch Gesetz nichts anderes bestimmt ist (§ 126 BGB). Die elektronische Form ist gewahrt, wenn dem elektronischen Dokument der Name des Unterzeichners / Signierenden hinzugefügt und mit einer qualifizierten elektronischen Signatur versehen wird (§ 126a BGB). Die qualifizierte elektronische Signatur stellt zusätzliche Anforderungen, z. B. die Zuweisung des zur Verschlüsselung der Prüfsumme (Hashwert) genutzten asymmetrischen Schlüsselpaares (geheimer und öffentlicher Schlüssel) zu einer Person, die mit einem elektronischen Zertifikat bestätigt wird.

Für formfreie Vereinbarungen, die nicht per Gesetz der Schriftform benötigen, jedoch aus Beweisgründen freiwillig schriftlich verfasst und unterzeichnet bzw. signiert werden, können die Vertragspartner für elektronische Dokumente eine andere Signaturform vereinbaren, also entweder eine „einfache“ oder fortgeschrittene elektronische Signatur wählen (§ 127 BGB).

Das Signaturgesetz unterscheidet zwischen der elektronischen Signatur an sich, die daher häufig als einfache elektronische Signatur bezeichnet wird, der fortgeschrittenen elektronischen Signatur und der qualifizierten elektronischen Signatur. Letztere erfordert ein gültiges Zertifikat und die Erzeugung mit einer sicheren Signaturerstellungseinheit (SSEE). Das ist im Regelfall der Chip der Chipkarte, auf dem das Matching (Überprüfung der PIN) für die Authentifizierung gegenüber der Karte stattfindet. Allerdings können auch andere tokenbasierte Geräte wie USB-Sticks eingesetzt werden wenn sie entsprechend nach SigG bestätigt sind. Die Anforderungen an Chipkarten mit Signaturfunktionalität werden unter anderen durch DIN V 66291-1 bestimmt. Zertifizierungen nach ITSEC oder Common Critreria werden beispielsweise durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt.

Die für qualifizierte elektronische Signaturen zugelassenen Kryptoalgorithmen werden von der Bundesnetzagentur genehmigt und veröffentlicht. Dort sind auch die für eine qualifizierte elektronische Signatur zugelassenen Produkte aufgelistet.

Zertifizierungsdienste sind genehmigungsfrei, aber anzeigepflichtig. Bei der Anzeige ist darzulegen, dass und wie die gesetzlichen Anforderungen (finanzielle Deckungsvorsorge, Zuverlässigkeit, Fachkunde) erfüllt sind.

Die elektronische Signatur ist durch das Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES) sowie durch die Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (VZertES) geregelt. Das Obligationenrecht (OR) sieht in Art. 14 Abs. 2bis bzw. Art. 59a eine Gleichstellung von ZertES-konformer elektronischer Signatur und Handunterschrift im Bereich gesetzlicher Formvorschriften sowie eine Haftung des Inhabers des Signierschlüssels für den sorgfältigen Umgang mit dem Schlüssel vor. ZertES, VZertES und die entsprechende OR-Novelle sind am 1. Januar 2005 in Kraft getreten.

Ein wesentlicher Unterschied zur Regelung in der deutschen Gesetzgebung (und in der EU-Signaturrichtlinie) liegt darin, dass für eine Rechtswirkung der erwähnten obligationenrechtlichen Normen jeweils die Anerkennung (EU-Termnologie: Akkreditierung) des jeweiligen Zertifizierungsdienstes durch eine Anerkennungsstelle vorausgesetzt wird. Es braucht also in der Schweiz die gesetzeskonforme elektronische Signatur eines anerkannten Zertifizierungsdienstes, während in der EU nur eine gesetzeskonforme Signatur vorausgesetzt wird und die Akkreditierung damit freiwillig bleibt. Die Anerkennung bzw. Akkreditierung ist eine Bestätigung dafür, dass der Zertifizierungsdienst die Anforderungen des Gesetzes erfüllt.

Das Bundesamt für Metrologie und Akkreditierung publiziert eine Liste der anerkannten Zertifizierungsdienste. Derzeit (April 2006) sind Swisscom Solutions AG und QuoVadis Trustlink Schweiz AG die einzigen anerkannten Anbieter von Zertifizierungsdiensten. Mit der Schweizerischen Post und ihrer Lösung SwissSign sowie der Ofac Group befinden sich zwei weitere Kandidaten im Anerkennungsprozedere.

Österreich war das erste Land, das die Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen umgesetzt hat.

Die Grundlage für die Anerkennung elektronischer Signaturen im österreichischen Recht bildet das Bundesgesetz über elektronische Signaturen (Signaturgesetz – SigG), BGBl I 1999/190. Das Signaturgesetz wird durch die Signaturverordnung näher ausgeführt.

Die Bestätigungsstellenverordnung legt Kriterien für die Feststellung der Eignung von Bestätigungsstellen fest. Mit der Verordnung BGBl II 2000/31 wurde die Eignung des Vereins „Zentrum für sichere Informationstechnologie – Austria (A-SIT)“ als Bestätigungsstelle festgestellt.

Die rechtlichen Grundlagen können im Detail unter folgenden Verweisen gefunden werden:

• A-SIT – Rechtsrahmen elektronische Signatur
• Rundfunk und Telekom Regulierungs GmbH – Signaturrecht
• Liste der Zertifizierungsdiensteanbieter
• A-Trust derzeit (11/2005) einziger akkreditierter Zertifizierungsdiensteanbieter in Österreich

1. Der Absender (im Beispiel: Alice) wählt die zu signierende Nutzdatei aus
2. Die Signatur-Software bildet über die Nutzdatei einen Hashwert (Prüfsumme, digitaler Fingerabdruck)
3. Der Absender verschlüsselt den Hashwert mit Hilfe des geheimen Schlüssels und bildet damit die elektronische Signatur
4. Der Absender verschickt die Nutzdatei und die Signaturdatei (Alternativen sind: a) Dateien getrennt; b) Containerdatei mit beiden Dateien; c) Signatur in Nutzdatei enthalten (z. B. bei PDF oder XML))
5. Der Empfänger (im Beispiel: Bob) erhält die Nutzdatei und die Signaturdatei
6. Der Empfänger dechiffriert die Signatur mit Hilfe des öffentlichen Schlüssels und erhält damit den vom Absender erzeugten Hashwert
7. Der Empfänger berechnet mit Hilfe der Prüf-Version der Signatur-Software den Hashwert zur Nutzdatei erneut (viele Hersteller bieten hierfür kostenlose Prüf-Editionen an, teils auch Online-Prüfung via Internet)
8. Der Empfänger vergleicht die beiden Hashwerte: sind diese identisch, dann wurde die Datei vom richtigen Absender verschickt (Authentifizierung, Authentizität) und nicht verändert (Integrität) (Dies setzt voraus, dass nur der gewünschte Absender im Besitz des geheimen Schlüssels ist).

Hinweis: Der Inhalt einer Datei wird durch eine Signatur nicht verschlüsselt. Die signierte Datei ist weiter lesbar und auch veränderbar. Eine elektronische Signatur, zumindest wenn dafür entsprechende Verfahren wie asymmetrische Verschlüsselung eingesetzt werden, dient lediglich zur Erkennung, ob die Datei nach der Signierung verändert wurde.

Soweit die Signatur ein Zertifikat enthält und somit der öffentliche Schlüssel dem Signaturersteller zugeordnet ist, kann zusätzlich die Identität des Signaturerstellers ermittelt werden.

Es lassen sich beliebige Dokumententypen signieren, jedoch unterscheidet sich dabei die Art und Weise der Signaturerrechnung und Speicherung der elektronischen Signatur.

• Dokument-externe Signaturdatei: Beispielsweise werden TIFF-Grafikdateien (z. B. von einem Scan) am besten durch eine externe Signatur gesichert. Die Signaturdatei wird getrennt vom Dokument verwaltet. Dieses Verfahren ist von der Signaturverwaltung her etwas aufwändig. In diesem Fall spricht man auch von File-Signatur.
• Dokument-interne Signaturablage: Dieses Verfahren kann z. B. bei PDF-Dokumenten angewendet werden. Die Signatur wird in das PDF-Dokument in einen dafür vorgesehenen Bereich eingebettet und kann bei Bedarf angezeigt werden. Mehrfachsignaturen liegen ebenfalls im PDF-Dokument. Der Vorteil liegt darin, dass die Signaturen, die ja selbst auch Dateien sind, nicht separat gehalten und verwaltet werden müssen. Es werden nur die relevanten Teile des Dokumentinhalts signiert, dieser Fall wird daher auch als Content-Signatur bezeichnet.
• Es muss bei beiden Formen der Signaturspeicherung geprüft werden, ob die Signatur den rechtlichen Anforderungen, die für den jeweiligen Einsatzzweck gelten, genügen. Eine Content-Signierung eines PDF Dokuments mit Acrobat oder Adobe Reader Plug-Ins für qualifizierte elektronische Signaturen mittels Signaturkarten wird seit Ende 2005 von einigen wenigen Anbietern angeboten. Dabei sollte jedoch beachtet werden, ob lediglich eine Herstellererklärung des Anbieters vorliegt oder ob das jeweilige Plug-In tatsächlich zertifiziert wurde. Entscheidend ist dabei, ob die Zugriffe des Plug-Ins auf den internen Viewer von Acrobat und Adobe Reader als sichere Anwendungskomponenten im Sinne des Signaturgesetzes zertifiziert wurden. Damit ist auch die elektronische Übermittlung von Rechnungen im PDF Format mit einer Content-Signatur im Sinne des Umsatzsteuergesetzes (UStG §14) inzwischen möglich.

Für qualifizierte Signaturen ohne Anbieterakkreditierung gilt für den ZDA (Zertifizierungsdiensteanbieter) die Anforderung für fünf Jahre die Zertifikate vorzuhalten und somit eine Identitätsermittlung des Signaturerstellers zu ermöglichen.

Für Dokumente, die über fünf Jahre aufbewahrt werden müssen (z. B. Rechnungen), sollten qualifizierte Zertifikate mit Anbieterakkreditierung genutzt werden. Dort besteht die rechtliche Anforderung, dass der ZDA die Zertifikate für 30 Jahre vorhalten und bereitstellen muss.

Die langfristige Sicherheit der asymmetrischen Verfahren wie RSA ist fraglich. Durch verbesserte Verfahren oder leistungsfähigere Rechner könnte der geheime Signaturschlüssel im Laufe der Zeit aus dem öffentlichen Zertifikat berechnet werden.

Aus diesem Grund sind die heute ausgestellten Zertifikate in der Regel nicht länger als 3 Jahre gültig, was bedeutet, dass der zugewiesene Signaturschlüssel nach Ablauf des Zertifikats nicht mehr benutzt werden kann (die Signiersoftware verweigert das Setzen einer Signatur mit einem ungültigen Zertifikat). Das Alter elektronischer Daten ist jedoch praktisch nicht bestimmbar. Dokumente könnten folglich ohne weiteres um Jahre oder gar Jahrzehnte vordatiert werden, ohne dass dies nachweisbar wäre. Eine Vordatierung kann etwa durch Verstellen der Systemzeit des verwendeten Rechners erfolgen. Gelingt es einem Fälscher nach Jahren, den Signaturschlüssel aus dem öffentlichen Zertifikat zu berechnen, kann er damit ein vordatiertes Dokument mit einer gefälschten qualifizierten elektronischen Signatur versehen.

Auch wenn ein Zertifikat bereits lange ungültig ist bzw. der damit verknüpfte Signaturschlüssel nicht mehr verwendet werden darf, sind Dokumente, die innerhalb des Gültigkeitszeitraums signiert wurden, aber nach wie vor rechtsgültig.

Die Problematik besteht in der Beweiseignung elektronischer Signaturen nach dem Ablauf des Zertifikats. In der Literatur wird die Meinung vertreten, dass der Anscheinsbeweis (eine Beweiserleichterung) für die Echtheit einer elektronischen Signatur mit Anbieterakkreditierung nicht die Tatsache betreffen kann, dass die Signatur vor dem Ablauf des Zertifikats erstellt wurde (Schlauri, N 748). Dies daher, weil der Nachweis des Signierzeitpunkts für denjenigen, der sich auf die Signatur stützt, leicht möglich ist und daher keiner Beweiserleichterung bedarf. Mit dem Ablauf des Zertifikats muss daher derjenige, der sich auf eine Signatur stützt, voll beweisen, dass die Signatur vor diesem Zeitpunkt gesetzt wurde. Dies kann durch eine Nachsignierung (vgl. den folgenden Abschnitt) geschehen oder insbesondere durch einen Zeitstempel (zu letzteren auch Schlauri, N. 172 ff.).

Unter Nachsignierung versteht man die erneute Signierung elektronischer Dokumente, allerdings unter Einschluss der bereits vorhandenen ursprünglichen Signaturen, die ebenfalls in den Hashwert (Prüfsumme) der Nachsignierung einbezogen werden. Eine Nachsignierung ist wie ein Umschlag um die elektronischen Dokumente, sowie der bereits vorhandenen Signaturen, zu verstehen.

Eine Prüfung der Signaturen erfolgt somit „von außen nach innen“. Zuerst wird die zuletzt erstellte Signatur geprüft, dann die vorherige Nachsignierung und am Ende die originären Signaturen des Dokuments selbst.

Zweck einer Nachsignierung ist die Sicherstellung, dass Dokumente und deren Signaturen mittels eines neuen Hashwertes vor dem Gültigkeitsablauf der für die ursprünglichen Signaturen verwendeten Verschlüsselungsalgorithmen, mit den jeweils neuesten Verschlüsselungsalgorithmen eingefroren werden. Selbst wenn also die geheimen Schlüssel der ursprünglichen Signaturen aus den öffentlichen Schlüsseln nach einer Nachsignierung berechnet werden könnten, wird mit der Nachsignierung bzw. deren Prüfung nachgewiesen, dass die ursprünglichen Signaturen aus der Zeit vor der Berechnungsmöglichkeit stammen, seit der Nachsignierung unverändert sind und somit keine nachträglichen Fälschungen sind.

In wie weit bereits signierte Dokumente nachsigniert werden müssen, hängt von den jeweiligen Einsatz- und Verwendungsbedingungen ab.

Für den Fall elektronischer Rechnungen und anderer Unternehmensdokumente gilt gemäß der Grundsätze ordnungsgemäßer Buchhaltung (GoB) die Verpflichtung, Rechnungen für 10 Jahre revisionssicher zu archivieren. Wenn diese Bedingung durch ein entsprechendes elektronisches Archiv sichergestellt ist, ist eine erneute Signierung der einzelnen Dokumente nicht notwendig, da das revisionssichere Archiv die Unveränderbarkeit der im Archiv gehaltenen Dokumente garantiert.

Sofern ein revisionssicheres Archiv nicht vorhanden und eine Nachsignierung notwendig sein sollte, muss diese nicht durch den ursprünglichen Signaturersteller erfolgen. Beliebige Personen können die archivierten Dokumente nachsignieren. In der Regel werden für Nachsignierungen sogenannte Zeitstempel genutzt, die unabhängig von einer Person den Nachweis ermöglichen, dass der Inhalt einer Datei (und bereits vorhandener Signaturen) zu einem bestimmten Zeitpunkt vorlag.

Im Fall archivierter, signierter Dokumente kann die Signierung auch das Archiv selbst oder Teile davon umfassen und somit die darin enthaltenen Dokumente absichern. Die Verwendung von revisionssicheren Archiven kann eine Nachsignierung auch vollständig überflüssig machen. Dies ist jedoch im Einzelfall zu prüfen.

• Balfanz/Wendenburg; Digitale Signaturen in der Praxis, AWV-Verlag 2003 ISBN 3-931-19347-0
• Kunstein, Florian: Die elektronische Signatur als Baustein der elektronischen Verwaltung – Analyse des rechtlichen Rahmens elektronischer Kommunikation unter besonderer Berücksichtigung der Kommunalverwaltung – Tenea-Verlag, Berlin 2005, ISBN 3-86504-123-X, PDF-Download
• Langweg, Hanno; Malware Attacks on Electronic Signatures Revisited. In: J. Dittmann (Hrsg.): Sicherheit 2006. Konferenzband der 3. Jahrestagung Fachbereich Sicherheit der Gesellschaft für Informatik. S. 244-255. Gesellschaft für Informatik, 2006. PDF-Download
• Lenz/Schmidt; Elektronische Signatur – eine Analogie zur eigenhändigen Unterschrift? Fachbuch, Oktober 2004 ISBN 3-093-05705-1
• Signature Perfect KG – Leitfaden Elektronische Signatur – PDF – Kostenfreier Download
• Simon Schlauri, Elektronische Signaturen, Diss. Zürich 2002 (Juristische Dissertation zum Thema; PDF 3.8 MB)

• Telefonbuch der Akzeptanzstellen für die qualifizierte elektronische Signatur und Signaturkarten
• CAcert bietet kostenlose digitale Zertifikate
• ISIS-MTT Interoperabilitätspezifikation und Testbed für Signaturen
• Verein zur Förderung der elektronischen Signatur e. V.
• XiCrypt, der österreichische Anbieter digitaler Signatur
• Kostenfreie Verifikationsmöglichkeit ohne Softwareinstallation
• Signaturbündnis – Initiative von Staat und Wirtschaft in Deutschland
• Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Verweise zu Rechtsgrundlagen in Deutschland/Europa
• Liste mit zertifizierten Signaturanwendungskomponenten für qualifizierte digitale Signaturen (TÜV-IT)
• Datenbank mit über 200 Anwendungen der elektronischen Signatur
• Überblick zum Thema Digitale Signatur
• Informationsportal zum Thema Digitale Signatur
• Rahmenwerk für die einheitliche Spezifizierung der Einsatzbedingungen für Signaturanwendungskomponenten (Hrsg. Bundesnetzagentur)
• ArchiSafe: Projekt der Physikalisch-Technischen Bundesanstalt zur rechtssicheren und Signaturgesetz-konformen Langzeitarchivierung