Weitere Infos:

Elektronische Signatur www.firstsurf.de/news/02-19-06_f.htm Digitale Signatur www.firstsurf.de/news/02-26-05_f.htm Das neue Signaturgesetz (.PDF) www.bmwi.de/.../Signaturgesetz.pdf Regulierungsbehörde für Telekommunikation und Post www.regtp.de/tech_reg_tele/00432/01/index.html www.regtp.de/tech_reg_tele/start/~

DE-CODA GmbH Anwendungsmöglichkeiten rund um die digitale Signatur Die EU- Richtlinie zur elektronischen Signatur Guidelines zur Digitalen Signatur

Vorsicht! - Die DS sorgt nicht dafür, dass Dritten der Inhalt einer Nachricht verborgen bleibt!

Für die Verschlü sselung verwenden die Partner ein Schlüsselpaar. Das besteht aus einem
"öffentlichen" Schlü ssel, der jedem zugänglich ist, und einem "privaten" Schlüssel.
Den kennt nur der Benutzer.
Verschlüsselt wird der Text mit dem öffentlichen Schlüssel.
Nur der Empfänger kann den Text mit seinem privaten Schlüssel lesen.
Mit dem öffentlichen Schlüssel kann auf keinen Fall der private Schlüssel berechnet werden!

Bei der Erzeugung Digitaler Signaturen (DS) wird ein sog. Hash-Verfahren auf die unverschlü sselten Daten angewendet. Dabei wird die zu sendende Nachricht komprimiert. Dann mit dem privaten Schlüssel verschlüsselt und dem unverschlüsselten Text angehängt. Erhält der Empfänger die Nachricht mit der DS, so wendet er den öffentlichen Schlüssel des Senders an. Dabei geschieht zweierlei: Die DS wird entschlüsselt und der Empfä nger erhält die vom Sender erzeugte "Prüfsumme". Zum anderen wird aus dem unverschlüsselten Text der Nachricht erneut ein Hash- Komprimat gebildet. Stimmen Komprimat und Prüfsumme überein, kann der Empfänger davon ausgehen, dass nicht manipuliert wurde (Diese Vorgänge werden automatisch bearbeitet).

Die Zertifizierungsstelle, auch "Trustcenter", wird eingesetzt, um zu bestätigen, dass ein bestimmter öffentlicher Schlüssel auch einer bestimmten real existierenden Person gehört. Sie stellt ein Zertifikat für den ö ffentlichen Schlüssel aus, wenn sich der Inhaber ihr gegenüber identifiziert hat.

Fortgeschrittene elektronische Signatur
-Ausschliessliche Zuordnung zum Signaturschlü ssel-Inhaber
-Identifizierungsmöglichkeit
-Erzeugung mit Mitteln, die der Signaturschlü ssel-Inhaber unter seiner alleinigen Kontrolle halten kann
-Möglichkeit zur nachträ glichen Kontrolle einer Veränderung der Daten

Qualifiziert elektronische Signaturen (SigG-konform)
-beruhen auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat
(§ 2 Nr.7 SigG n.F. - Austellung nur auf natürliche, keine juristischen Personen)
-Erstellung mit sicherer Signaturerstellungseinheit (§ 2 Nr.10 SigG)

Procedere und rechtlicher Rahmen:
Austellung der Signatur durch Zertifizierungstellen.
Untergliederung in zwei Signaturverfahren mit unterschiedlichen
Sicherheits-, Nachweis- und Kontrolllevels:

1. Akkreditierte Signaturverfahren (höchster Level)
Rechtlicher Rahmen: Zertifizierungstelle durch RegTP akkreditiert, d.h.:
-Unterziehung einer Vorabprü fung mit Nachweis ausreichender Sicherheit
und Testat nach Prüfung gem. § 15 SigG
-Regelmässige Wiederholung der Überprüfung
-Austellung und Verwaltung der Zertifikate durch RegTP ("Wurzelzertifikat")
Technischer Rahmen (§ 15 Abs.4 i.V.m. §§ 2 Nr. 10-12 SigG n.F.): Vorlage und Testat
-der Signaturerstellungseinheiten
-der Signaturanwendungskomponenten
-der techn. Komponenten der Zertifizierungsdienste
Akkredierte Zertifizierungsanbieter müssen darüber hinaus alle Zertifikate 30 Jahre online
überprüfbar machen.

2. Qualifizierte Signaturverfahren
Zertifizierungsdiensteanbieter, der qualifizierte Zertifikate oder Zeitstempel gemäss den technischen
und rechtlichen Vorgaben des Signaturgesetzes ausstellt, sich jedoch keiner Vorabprüfung durch RegTP unterzogen hat.
Dieser Anbieter unterliegt lediglich einer Anzeigepflicht (§ 4 Abs.3 SigG).
Diese Zertifikate müssen nur 2 Jahre online überprüfbar gemacht werden. Bei Insolvenz des Anbieters können die Zertifikate bereits früher verfallen.