Back to Top

PHNETZ - Internetagentur

Marketing für Ihren Erfolg

Digitale Signatur

Digitale Signatur

Eine digitale Signatur ist ein kryptografisches Verfahren, das die Authentizität, Integrität und nicht‑Abstreitbarkeit (Non‑Repudiation) digitaler Dokumente, Nachrichten oder Software gewährleistet. Sie basiert auf asymmetrischer Kryptografie, bei der ein Schlüsselpaar – ein öffentlicher und ein privater Schlüssel – verwendet wird.

 

Wie funktioniert eine digitale Signatur?

  1. Hash‑Berechnung
    • Das zu signierende Dokument wird mit einer Hash‑Funktion (z. B. SHA‑256) in einen kurzen, eindeutigen Fingerabdruck (Hash‑Wert) verwandelt.
     
  2. Signieren mit dem privaten Schlüssel
    • Der Ersteller (Signer) verschlüsselt den Hash‑Wert mit seinem privaten Schlüssel. Das Ergebnis ist die digitale Signatur.
     
  3. Übertragung
    • Das Originaldokument und die digitale Signatur werden zusammen gesendet. Oft wird die Signatur in einem Container‑Format (z. B. PKCS#7, CMS, XML‑DSig) eingebettet.
     
  4. Verifikation
    • Der Empfänger berechnet erneut den Hash‑Wert des empfangenen Dokuments.
    • Mit dem öffentlichen Schlüssel des Senders entschlüsselt er die übertragene Signatur und erhält den ursprünglich signierten Hash.
    • Stimmen beide Hash‑Werte überein, ist das Dokument unverändert und stammt tatsächlich vom Besitzer des privaten Schlüssels.
 

Schlüsselkomponenten

Komponente
Zweck
Privater Schlüssel
Nur dem Signierer bekannt; zum Erzeugen der Signatur.
Öffentlicher Schlüssel
Öffentlich zugänglich (z. B. über Zertifikats‑Authority); zum Prüfen der Signatur.
Zertifikat
Bindet den öffentlichen Schlüssel an die Identität des Signierers (ausgestellt von einer CA).
Hash‑Algorithmus
Erzeugt einen festen, kurzen Fingerabdruck des Dokuments (z. B. SHA‑256, SHA‑3).
Signatur‑Algorithmus
Kombiniert Hash und privaten Schlüssel (z. B. RSA‑PKCS#1 v1.5, RSA‑PSS, ECDSA).

Sicherheitsziele

  • Authentizität – Der Empfänger kann sicher sein, dass das Dokument vom angegebenen Sender stammt.
  • Integrität – Jede nachträgliche Änderung des Dokuments würde den Hashwert ändern und die Signatur ungültig machen.
  • Nicht‑Abstreitbarkeit – Der Signierer kann nicht leugnen, dass er das Dokument signiert hat (wenn das Zertifikat vertrauenswürdig ist).
 

Anwendungsbereiche

  • Elektronische Verträge (eIDAS‑konforme Signaturen, PDF‑Signaturen).
  • Software‑Distribution (Code‑Signing von Executables, Updates, Treibern).
  • E‑Mail‑Sicherheit (S/MIME, PGP/MIME).
  • Blockchain‑Transaktionen (Kryptowährungen, Smart Contracts).
  • Identitätsnachweis (Digitale Personalausweise, ePassports).
  • Government‑Dokumente (Steuer‑Erklärungen, behördliche Bescheide).
 

Rechtslage (EU/Deutschland)

  • eIDAS‑Verordnung definiert drei Signatur‑Niveaus:
    • Einfache elektronische Signatur (EES) – Grundlegender Nachweis.
    • Fortgeschrittene elektronische Signatur (FES) – muss eindeutig dem Signierer zugeordnet sein, auf einem qualifizierten Zertifikat basieren.
    • Qualifizierte elektronische Signatur (QES) – rechtlich gleichwertig einer handschriftlichen Unterschrift; muss von einer qualifizierten Vertrauensdienste‑Provider (TSP) ausgestellt werden.
     
  • In Deutschland wird die digitale Signatur häufig über die signatur‑Dienst‑Leistungen von Anbietern wie IONOS (z. B. Zertifikat‑Verwaltung) implementiert.
 

Technische Standards

  • PKCS#7 / CMS (Cryptographic Message Syntax) – Container‑Format für Signaturen und verschlüsselte Nachrichten.
  • XML‑DSig – Standard für digitale Signaturen in XML‑Dokumenten (z. B. SOAP, SAML).
  • PDF‑Signature (ISO 32000‑1) – Integration von Signaturen in PDF‑Dateien.
  • OpenPGP / S/MIME – Signieren und Verschlüsseln von E‑Mails.
 

Praktische Umsetzung (Kurzablauf)

  1. Zertifikat beantragen bei einer CA (z. B. Let's Encrypt, DigiCert, IONOS Zertifikatsservice).
  2. Privaten Schlüssel sicher speichern (Hardware‑Token, TPM, Smart‑Card).
  3. Signatur generieren mit einer Bibliothek (OpenSSL, Bouncy Castle, Microsoft CryptoAPI).
  4. Signatur an Dokument anhängen (z. B. PDF‑Signature).
  5. Empfänger verifiziert die Signatur mittels öffentlichem Schlüssel bzw. Zertifikatskette.
 

Best Practices & Sicherheitshinweise

  • Schlüsselschutz – Private Schlüssel niemals unverschlüsselt speichern; Nutzung von HSMs (Hardware Security Modules) oder sicheren Enklaven.
  • Zertifikatsvalidierung – Prüfen der Zertifikatskette bis zur vertrauenswürdigen Root‑CA, Gültigkeitsdauer und Widerrufsstatus (CRL/OCSP).
  • Hash‑Algorithmus – Verwendung von sicheren, kollisionsresistenten Algorithmen (mindestens SHA‑256).
  • Zeitstempel – Ergänzen Sie die Signatur mit einem vertrauenswürdigen Zeitstempel (TSR), damit sie auch nach Ablauf des Zertifikats gültig bleibt.
  • Revocation‑Handling – Implementieren Sie Mechanismen zum Umgang mit widerrufenen Zertifikaten (z. B. OCSP‑Stapling).

Kontakt

Adresse
Robert‑Bosch‑Straße 8, 86551 Aichach

Telefon
📞 +49 (0)8251 8628574

E‑Mail
✉️ service@phnetz.de