Sinn und Zweck
Mit der elektronischen Signatur (früher auch: „digitale Signatur“) wird die Funktion der eigenhändigen Unterschrift in den elektronischen Bereich übertragen werden. Im Signaturgesetz (SigG) wird die elektronische Signatur folgendermaßen definiert:
„elektronische Daten, die anderen elektronischen Daten beigefügt werden oder mit diesen verknüpft werden und die der Authentifizierung, also der Feststellung der Identität des Signators, dienen“.
Dazu kommt aber auch noch der Zweck, die Integrität der Nachricht zu gewährleisten.
Eine wichtige Rolle spielt auch die Unbestreitbarkeit des Vorgangs: Es kann später überprüft werden, dass es eine Transaktion stattgefunden hat und wer daran als Sender oder Empfänger beteiligt war.
Die elektronische Signatur dient also (Funktionen)
- der Feststellbarkeit der Identität des Absenders
► geschieht durch die asymmetrische Verschlüsselung - der Gewährleistung der Integrität der Nachricht und
► wird durch das Bilden und den Vergleich zweier Hashwerte gewährleistet - der Feststellbarkeit der Unbestreitbarkeit des Vorgangs
► durch die Stelle, die den privaten Schlüssel ausgestellt hat
Die Technik
Der elektronischen Signatur liegt die asymmetrische Verschlüsselung zu Grunde, die gegenüber der symmetrischen Vorteile hat. Bei der Verschlüsselung wird „Klartext“ (lesbarer Text) in „Geheimtext“ (unverständliche Zeichenfolgen) umgewandelt. Nur mit dem Schlüssel kann der Geheimtext wieder in Klartext rückgewandelt werden.
- Symmetrische Verschlüsselung: Die Verschlüsselung und Entschlüsselung erfolgt mit demselben Schlüssel. Der Absender verschlüsselt die Nachricht mit seinem Schlüssel, gibt den Schlüssel an den/die Empfänger, der/die die Nachricht damit entschlüsseln. Es besteht die Gefahr, dass der Schlüssel weiteren Personen bekannt wird (die ihn auch verwenden könnten). Ausserdem kann die Identität des Absender nicht eindeutig festgestellt werden.
- Asymmetrische Verschlüsselung generell (Prinzip):
Asymmetrische Verschlüsselungsverfahren arbeiten mit Schlüsselpaaren, dem öffentliche Schlüssel (Public Key) und dem privaten Schlüssel (Private Key). Dieses Schlüsselpaar hängt über einen mathematischen Algorithmus eng zusammen. Daten, die mit dem öffentlichen Schlüssel verschlüsselt werden, können nur mit dem privaten Schlüssel entschlüsselt werden. Der private Schlüssel muss vom Besitzer des Schlüsselpaares geheim gehalten werden.Konkret: Will der Sender Daten verschlüsselt an den Empfänger senden, benötigt er den öffentlichen Schlüssel des Empfängers. Mit dem öffentlichen Schlüssel können die Daten verschlüsselt, aber nicht mehr entschlüsselt werden (Einwegfunktion). Nur noch der Besitzer des privaten Schlüssels, also der richtige Empfänger kann die Daten entschlüsseln.
- Asymmetrische Verschlüsselung bei der elektronischen Signatur:
Bei der Signatur wird das asymmetrtische Verfahren umgekehrt: Der Sender verschlüsselt mit seinem privaten Schlüssel. Der Empfänger entschlüsselt mit dem öffentlichen Schlüssel des Senders.Der private Schlüssel gehört nur dem Anwender und muss von diesem geheimgehalten werden. Die Weitergabe des privaten Schlüssels zu verhindern ist eine Grundvoraussetzung für das Funktionieren des Systems. Gesichert vor Zugriffen Unberechtigter wird dieser Private Key entweder mit einem Passwort, einem PIN-Code (wie bei der Bankomat-Karte) oder durch Verwendung von eigens dafür vorgesehenen SmartCards mit Lesegeräten bzw. mithilfe von Smartphones.
Der öffentliche Schlüssel ist für alle anderen Teilnehmer gedacht, die mit dem Anwender kommunizieren wollen bzw. sollen. Dieser Public Key wird öffentlich – etwa über das Internet – verbreitet und steht jedermann frei zugänglich zur Verfügung. Da aus dem öffentlichen Schlüssel nicht auf den privaten Schlüssel geschlossen werden kann, kann der öffentliche Schlüssel risikolos offengelegt werden.
Mit diesem Verfahren kann die Identität eines Senders/Unterzeichners einwandfrei festgestellt werden.
Das Verfahren
Signieren und Signatur überprüfen
PrivatanwenderInnen, die gelegentlich ein Dokument signieren oder ein signiertes Dokument überprüfen wollen, können dies auf ► https://www.buergerkarte.at/pdf-signatur-karte.html tun. Dafür muss das Dokument hochgeladen werden, signiert und wieder runtergeladen werden, was etwas umständlich ist.
Firmen und Behörden verwenden dafür ergänzende Software, z. B. zu MS Office, Emailclients, Adobe Acrobat usw., was weniger umständlich ist.
Austellen einer Signatur
Viele Stellen (Banken, Versicherungen, Gemeindeämter usw.) sind berechtigt, eine Signatur auszustellen. Dabei muss man sich ausweisen, weil es wichtig ist, die Identität festzustellen. Die Handy-Signatur, die für PrivatanwenderInnen am praktischsten ist, ist an die Telefonnummer gebunden.