Elektronische Signatur


Informatitionen für Betreiber

 

Einstieg in die handgeschriebene Signatur für Betreiber

 

Handgeschriebene elektronische Signaturen können  gemäß  EU-Richtlinie zur elektronischen Signatur  (1999/93/EG / EG-Signaturrichtlinie)  entweder einfache oder fortgeschrittene e-Signaturen sein. 

 

Zur Erstellung einer fortgeschrittenen elektronischen Signatur ist zusätzliche Technologie in Form von asymmetrischer kryptographischer Verschlüsselungsalgorithmen mit einmaligen Schlüsseln unverzichtbar, um die Erfüllung der Voraussetzung „einmalige Daten“ (Art.2  Nr. 4) zu erfüllen.

 

Zwar muss gemäß Artikel 2 Nr. 3 sichergestellt sein, dass der Unterzeichner zum Zeitpunkt der Unterzeichnung im Besitz eines Signaturerfassungsgeräts mit den einmaligen Signaturerstellungsdaten (d.h. dem privaten Schlüssel) ist; juristisch gesehen ist es ausreichend, wenn dieser Besitz durch eine zeitweilige Überlassung  zustandekommt. Wobei dies auszuschließen ist, wenn die tatsächliche Identität der Unterzeichners an die Signaturerstellungsdaten  geknüpft wird, wie es bei der qualifizierten elektronischen Signatur ausdrücklich gefordert wird.

 

Implementierungsmöglichkeiten und Praxis

 

Die handgeschriebenen elektronischen Signaturen aller namhaften Hersteller bestehen somit meist aus einer Kombination zweier Signaturen:
Erstens, aus der elektronischen Signatur, welche sich aus den erfassten biometrischen Daten der handschriftlichen Unterschrift (Identifikationsmerkmal) und deren Kombination mit einer ersten Prüfsumme des Dokumentes (z.B. durch gemeinsame Verschlüsselung von Prüfsumme und biometrischen Daten) ergibt. Mit Hilfe eines Public Keys werden die biometrischen Daten gemeinsam mit einer ersten Prüfsumme über das Dokment verschlüsselt.
Zweitens, aus einer digitalen Signatur, welche sich aus der Signierung bzw. Verschlüsselung einer zweiten Dokumentenprüfsumme mittels eines Private Keys ergibt.

 

In der Praxis ergeben sich einige Fragen zur Sicherheit , die man bei der Entscheidung für den einen oder anderen System berücksichtigen sollte:

 

1.Wie kann sichergestellt werden, dass die biometrischen Daten nicht von Unbefugten entschlüsselt und abgehört werden können?

 

2. Wie kann sichergestellt werden, dass der private Schlüssel der digitalen Signatur nicht missbraucht oder entwendet wurde (z.B. zur digitalen Signatur eines neu erzeugten bzw. veränderten Dokumentes verwendet wurde)?

 

3. Woher soll der Unterzeichner wissen, dass die von der Signaturerstellungseinheit digital signierte Prüfsumme tatsächlich zum angezeigten Dokument gehört?

 

4. Wie kann der Prüfende der digitalen Signatur feststellen, dass der Prüfschlüssel (d.h. das Zertifikat) tatsächlich zu einem privaten Schlüssel einer vertrauenswürdigen Signaturerstellungseinheit gehört?

 

5. Wie kann im Falle einer fortgeschrittenen e-Signatur sichergestellt werden, dass der private Schlüssel zur digitalen Signatur einmalig ist?

 

 

 

Mit freundlicher Unterstüzung von StepOver (im Technischen) und Mondo Services (im Sprachlichen).