Digitale Signatur. Prof. Dr. Wolfgang Riggert FH Flensburg

Transkript

1 Digitale Signatur Prof. Dr. Wolfgang Riggert FH Flensburg

2 Zusatzmaterial Cryptool mit Simulationen zu allen Aspekten der Verschlüsselung und deren Verfahren

3 Gliederung Definition Rechtliche Rahmenbedingungen Verfahren Sicherheit

4 Merkmal Gegenstück zur handgeschriebenen Signatur Bestätigung des Unterzeichnenden, sich des Inhalts des Schriftstückes bewusst zu sein Leser stellt damit Authentizität und Verbindlichkeit fest

5 Qualität bei Unterschrift 1. Die angegebene Identität wird durch die Unterschrift authentisch 2. der Signierende muss durch eine Aktion (nämlich die Unterschriftbildung) seinen Willen bekräftigen 3. der Signierende bestätigt durch seine Unterschrift objektiv den Gegenstand dessen, was unterschrieben werden soll, und zwar durch die Position, an der die Unterschrift angebracht wird 4. der Signierende bestätigt durch seine Unterschrift subjektiv (also durch seine Interpretation des Inhaltes) die Integrität dessen, was er nach 3. unterschreibt.

6 Qualität der Prüfung 1. Die beteiligten Identitäten werden erkannt 2. die Unterschrift kann auf Echtheit und damit die Authentizität überprüft werden, da die Unterschrift individuell ist 3. die vom Unterzeichner geleistete Unterschrift kann nicht geleugnet werden, da sie individuell ist 4. der Inhalt kann auf Integrität (z. B. nachträgliche Änderungen) überprüft werden 5. es kann festgestellt werden, ob das Originaldokument oder eine Kopie vorliegt.

7 Definition Die digitale Signatur ist eine qualifizierte elektronische Signatur, die mit Hilfe von kryptographischen Verfahren arbeitet.

8 Definition Die digitale Signatur ist eine qualifizierte elektronische Signatur, die aufgrund technisch entwickelter Verfahren und rechtlich gesetzten Rahmenbedingungen äquivalent zur eigenhändigen Unterschrift verwendet werden kann.

9 Aufgaben Identifikation des Absenders Sicherung der Integrität der Daten Vermittlung einer Willenserklärung

10 Gliederung 1. Definition 2. Rechtliche Rahmenbedingungen 3. Verfahren 4. Sicherheit

11 Gesetzlicher Rahmen Signaturgesetz (SigG) Signaturverordnung (SigV) Europäischen Rahmenbedingungen (EU-Richtlinien) Weitere nationale Rechtsvorschriften

12 Gesetze Europäische Rahmenbedingungen [1999/93/EG] präzisiert Anhänge [2003/511/EG] Signaturgesetzgebung [IuKDG] führt ein [SigG97] präzisiert [SigV97] definiert Rahmenbedingungen löst ab löst ab [SigG01] ändert präzisiert [SigV01] ändert [SigGÄndG] Elektronische Rechtsverkehr ändert u.a. [Form AnpG] [BGB] [ZPO] [VerwVf ÄndG] [VerwVf ÄndG] [JKomG] ändert u.a. [ZPO]

13 SigG 1. Abschnitt allgemeine Bedingungen Zweck und Anwendungsbereich Begriffsbestimmungen Zuständige Behörde

14 SigG cont 2. Abschnitt Zertifizierungsdienstanbieter Allgemeinen Anforderungen Unterrichtspflicht Inhalt von qualifizierten Zertifikaten Sperrung von qualifizierten Zertifikaten Dokumentation Haftung Deckungsvorsorge Einstellung der Tätigkeit Datenschutz

15 SigG cont 3. Freiwilligen Akkreditierung Von Zertifizierungsdienstanbietern Zertifikate der zuständigen Behörde 4. Technische Sicherheit Produkte für qualifizierte elektronische Signaturen Anerkennung für Prüf- und Bestätigungsstellen 5. Aufsicht Aufsichtsmaßnahmen Mitwirkungspflicht

16 SigG cont 6. Schlussbestimmungen Bußgeldvorschriften Kosten und Beiträge Ausländische elektronische Signaturen und Produkte für elektronische Signaturen Rechtsverordnung Übergangsvorschriften

17 Gesetzliche Grundlagen Die maßgeblichen Vorschriften zur Einführung der Elektronischen Signatur wurden in einem gesonderten Signaturgesetz (SigG) festgeschrieben und in der Signaturverordnung (SigV) explizit erläutert. Das Formanpassungsgesetz regelt die Gültigkeit elektronischer Signaturen im herkömmlichen Rechtsverkehr, indem das Bürgerliche Gesetzbuch an den entsprechenden Stellen angepasst wird. Die Kommunikation und der elektronische Geschäftsverkehr innerhalb der EU wurden oft durch unterschiedliche rechtliche Regelungen zur Anerkennung elektronischer Signaturen kompliziert. Um diese Schranken aus dem Weg zu räumen, hat das Europäische Parlament zusammen mit dem Rat der EU am 19. Januar 2000 eine vereinheitlichende Richtlinie veröffentlicht.

18 Formen der elektronischen Signatur einfache elektronische Signatur fortgeschrittene elektronische Signatur qualifizierte elektronische Signatur rein rechtlicher Begriff -Beifügungen -Authentifizierung - Identifizierung - Erkennung von Änderungen -private Schlüssel selbst erzeugt -kein Ersatz Höhere Anforderungen Höhere Sicherheit - auf einem Zertifikat beruhend - Ersatz der eigenhändigen Unterschrift

19 Formen der digitalen Signatur Qualifizierte elektronische Signaturen freiwillig akkreditierter Zertifizierungsstellen, die der Unterschrift gleichstehen und höchste Beweissicherheit bieten Qualifizierte elektronische Signaturen angemeldeter Zertifizierungsstellen, die der Unterschrift gleichstehen Andere elektronische Signaturen, für die keine gesetzlichen Sicherheitsanforderungen bestehen.

20 Fortgeschrittenen elektronische Signatur Sie ist ausschließlich dem Unterzeichner zugeordnet Sie ermöglicht die Identifizierung des Unterzeichners Sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle haben kann Sie ist mit den Daten so verknüpft, dass eine nachträgliche Veränderung erkannt werden kann

21 Sicherheit der digitalen Signatur Jetzt bietet die gesetzlich anerkannte digitale Signatur für elektronische Dokumente eine weitaus höhere Fälschungssicherheit, als sie bei papiergebundenen, schriftlichen Urkunden gegeben ist. Anhand einer solchen digitalen Signatur kann zuverlässig festgestellt werden, dass Daten von einer bestimmten Person signiert wurden (Urheberschaft, Non-Repudiation) und nach erfolgter Signatur in keiner Weise (einschließlich Punkt und Komma oder speziellen Formatierungen) verändert wurden (Integrität und Authentizität). Die digitale Signatur schützt dabei nicht - genau wie die eigenhändige Unterschrift die Vertraulichkeit des Inhaltes. Die Daten sind durch sie nicht vor unbefugter oder unerwünschter Kenntnisnahme Dritter geschützt. Ein derartiger Schutz kann nur durch eine geeignete Verschlüsselung erreicht werden

22 Sicherheitsziele

23 Gliederung 1. Definition 2. Rechtliche Rahmenbedingungen 3. Verfahren 4. Sicherheit

24 Verfahren Die digitale Signatur verwendet kryptographische Verfahren zum Verschlüsseln. Die Kryptographie bezeichnet die Anwendung mathematischer Algorithmen zur Ver- und Entschlüsselung elektronischer Daten beim Senden und Empfangen. Dadurch sollen die Forderungen nach Vertraulichkeit, Unversehrtheit und Authentizität erfüllt werden.

25 Verfahrenstypen symmetrisch Kryptographie Sender und Empfänger benutzen den gleichen Schlüssel zum Verund Entschlüsseln. Damit kein Nachweis, wer von den beiden Unterschrift geleistet hat asymmetrisch Sender und Empfänger benutzen unterschiedliche Schlüssel.

26 Asymmetrisches Verfahren Verwendung eines asymmetrischen Verfahrens mit öffentlichem und privatem Schlüssel Mit dem privaten Schlüssel - und nur mit diesem kann eine digitale Signatur erzeugt und mit dem zugehörigen öffentlichen Schlüssel - und nur mit diesem verifiziert werden Zur Sicherstellung der Authentizität des öffentlichen Schlüssels bedarf es einer Sicherheitsinfrastruktur Die Sicherheitsinfrastruktur (vertrauenswürdiger Dritter) bestätigt durch ein Zertifikat die Zuordnung einer Person zum öffentlichen Schlüssel

27 Asymmetrisches Verfahren Quelle: A. Reisen, BSI

28 Signaturbildung Quelle: A. Reisen, BSI

29 Verfahrensablauf 1. Hashwert des betreffenden Dokumentes mit einer Hashfunktion erstellen = digitaler Fingerabdruck 2. Hashwert mit dem privaten Schlüssel kodieren 3. Übertragung des Dokumentes mit dem verschlüsselten Hashwert als Einheit 4. Empfänger nutzt den öffentlichen Schlüssel zur Dekodierung

30 Hash-Funktion H ist eine öffentlich bekannte Einwegfunktion H ist kollisionsresistent (d.h. es ist praktisch unmöglich, systematisch eine Nachricht m zu finden, die denselben Hashwert h=h(m ) ergibt) m kann beliebig lang sein, h hat eine feste Länge, z.b. 160 Bit Die Berechnung des Funktionswertes h ist einfach

31 Anforderungen an Hash-Funktion Eine Hashfunktion muss kollisionsresistent sein; wenn diese Eigenschaft verletzt wäre, könnte man signierte Dokumente fälschen. Eine Hashfunktion muss zudem eine Einwegfunktion sein, d. h. es ist unmöglich, zu einem vorgegebenen Hashwert eine dazugehörige Nachricht zu finden. Andernfalls könnte man auch dann signierte Dokumente fälschen.

32 Ablauf graphisch Digitale Signatur 32

33 Signaturprüfung Empfänger berechnet aus erhaltenem Dokument ohne die digitale Signatur den Hashwert neu Vergleich des erhaltenen entschlüsselten Hashwertes mit dem neu berechneten Wurden die Daten verändert (Integritätsverlust) oder ein falscher oder ungültiger öffentlicher Schlüssel (Authentizitätsverlust) verwendet, so fällt diese Überprüfung negativ aus.

34 Signaturprüfung cont. Quelle: A. Reisen, BSI

35 Gliederung 1. Definition 2. Rechtliche Rahmenbedingungen 3. Verfahren 4. Sicherheit

36 Sicherheitsanforderungen 1. Einfache elektronische Signatur - Keine Sicherheitsanforderungen 2. Fortgeschrittene elektronische Signatur - Zuordnung an den Signaturschlüsselinhaber - Signatur muss ausschließlich ihn identifizieren - Signatur muss durch Mittel erzeugt werden, die nur ihm zugänglich sind - Verknüpfung der von ihm genutzten Daten, die jede Veränderung sofort anzeigen Anforderungen werden von z.b. PGP und der digitalen Signatur erfüllt

37 Sicherheitsanforderungen 3. Qualifizierte elektronische Signatur (Digitale Signatur) - Verwendung eines qualifizierten Zertifikats für asymmetrische Schlüsselpaare - Sicherheitsmaßnahmen bei der Erzeugung, Speicherung und Verwendung der Schlüsselpaare durch den ZDA -> Sicherheitskonzept - Verwendung des privaten Schlüssels zur Verschlüsselung des Hashwertes in einem verkapselten Bereich z.b. Chipkarte Akkreditierter Anbieter Nicht akkreditierter Anbieter

38 Zertifizierungsstelle Aufgabe dieser Instanz ist die Beglaubigung, dass der publizierte öffentliche Schlüssel dem angegebenen Inhaber gehört. Diese Bestätigung erfolgt durch ein digitales Zertifikat. Neben der Vergabe von Zertifikaten gehört auch das Publizieren und das Sperren ungültiger Zertifikate zu den Kernaufgaben dieser Instanz

39 Typen von Zertifizierungsstellen freiwillig akkreditierte und angemeldete Beide vergeben qualifizierte Zertifikate nach den Anforderungen der Signaturrichtlinie mit dem Unterschied, dass die freiwillig akkreditierte Zertifizierungsstelle von der Aufsichtsbehörde geprüft ist und die angemeldete Zertifizierungsstelle nur angemeldet ist. Die ausgestellten Signaturen unterscheiden sich in einem wesentlichen Punkt: die Qualität der elektronischen Signaturen der lediglich angemeldeten Zertifizierungsstelle beruht auf Erklärungen der Unternehmen, die die dafür benötigten Produkte und Dienstleistungen anbieten, während die Signaturen der freiwillig akkreditierten Zertifizierungsstelle durch unabhängige Dritte geprüft, bestätigt und dokumentiert ist.

40 Zertifikat Um ein Zertifikat zu erhalten, muss der Antragsteller sich bei einer behördlich genehmigten Zertifizierungsstelle ausweisen und einen schriftlichen Antrag einreichen. Vertretungsrechte, Vollmachten und berufsrechtliche Zulassungen können in einem zusätzlichen Attribut-Zertifikat aufgenommen werden. Mit einem Zeitstempel bescheinigt die Zertifizierungsstelle, dass ihr bestimmte Daten zu einem bestimmten Zeitpunkt vorgelegen haben. Damit wird ein Vor- oder Rückdatieren verhindert, was im Streitfall beweiserheblich ist.

41 Aufbau eines Zertifikats

42 Beispiel

43 Digitale Signatur - Tutorial Lerneinheit zum Ablauf und der Bedeutung der digitalen Signatur von Docuware (auf CD) Lerneinheit mit Zusatzinformationen