Viele Anwender schrecken vor einem Schritt in die Datennetze zurück, da ihre sensiblen Daten dabei vor unberechtigten Zugriffen noch nicht ausreichend geschützt scheinen.
Beispielsweise können Bestellungen in einem Online Warenhaus oder das Regeln von Bankgeschäften über das Internet (Home-Banking) nur als sicher gelten, wenn Angriffe auf Daten sofort bemerkbar und die Geschäftspartner zweifelsfrei zu authentifizieren sind.
Sollen rechtlich relevante Vorgänge wie Immobilienverträge, Versicherungsverträge, Auktionen , Anträge oder Einsprüche bei Behörden ... über Datennetze erfolgen, so muß sowohl die verfahrenstechnische Sicherheit als auch die gesetzliche Grundlage gegeben sein.
Das Angebot in den Netzen ist bereits vielfältig. Riesige Investitionen sind geplant. Beispielsweise werden im Bereich der Behörden und Versicherungen Zahlungsanordnungen im Umfang von 400 Milliarden Mark schon 1998 in elektronischer Form erfolgen.
Ein elektronisches Äquivalent für die traditionelle Unterschrift ist dringend erforderlich.
Digitale Unterschriften sollen Unterschriften auf Papier ersetzen:
Dazu sind folgende Merkmale wichtig
Digitale Unterschriften verwenden asymmetrisch kryptographische Verfahren. Dabei gibt es mindestens zwei unterschiedliche Schlüssel zum chiffrieren und zum dechiffrieren eines Klartextes. Bei Public-Key Kryptosystemen wird ein Klartext mit dem öffentlichen Schlüssel chiffriert und mit dem privaten Schlüssel wieder dechiffriert. Beispielsweise verschickt eine Person A seinen öffentlichen Schlüssel an all seine E-Mail Kommunikationspartner. Diese wenden den öffentlichen Schlüssel auf ihre Nachricht an und versenden dann den chiffrierten Geheimtext. A dechiffriert mit seinem nur ihm bekannten privaten Schlüssel und erhält die Nachricht.
Der neue Ansatz für das Signieren ist nun, zuerst den privaten Schlüssel anzuwenden. Das heißt, daß der Sender mit seinem privaten Schlüssel den Klartext chiffriert. Der so entstandene Geheimtext ist selbstverständlich unleserlich. Der Empfänger wendet den öffentlichen Schlüssel auf das Geheimtextdokument (dechiffriert) und erhält damit den Klartext . Jeder kann mit dem öffentlichen Schlüssel das Geheimtextdokument dechiffrieren und damit lesen. Die Chiffrirung (Erstellung des Geheimtextes) ist allerdings nur dem Besitzer des privaten Schlüssels möglich.
Diese Eigenschaften sind vergleichbar mit Denjenigenen einer Signatur. Hierbei ist das verschlüsselte Dokument die eigentliche Signatur. Man signiert, indem man den privaten Schlüssel anwendet.
Beispiel mit dem wichtigsten Public-Key-Kryptosystem RSA
Die Schlüssel bestehen hierbei aus Zahlen die mit Produkten von Primzahlen erstellt werden. Die Länge liegt im Bereich von 200 bis 300 Dezimalstellen. Das mathematisch harte Problem eines Angreifers besteht in der exakten Berechnung dieser riesigen Primzahlen. Zum Zerlegen von 200-stelligen Zahlen in Primfaktoren benötigen die derzeit schnellsten Programme und Rechner mehrere tausend Jahre Rechenzeit.
Voraussetzung für die Sicherheit der Unterschrift ist allerdings, daß der private Schlüssel nie bekannt wird.
Der Entwurf zum Signaturgesetz ist der erste seiner Art in der Europäischen Union.
Das Gesetz ist Teil des Informations und Kommunikationsdienste-Gesetz (IuKd-Gesetz) und wird unter der Verantwortung des Ministeriums für Bildung, Wissenschaft, Forschung und Technologie erarbeitet.
Die gesetzliche Regelung der digitalen Unterschrift soll damit eine verläßliche Grundlage für die Gestaltung von Multimediaanwendungen bieten. Die Gesetzgebung soll den Rahmen für den Wettbewerb auf der Datenautobahn schaffen. Dabei sind Themen wie Angebot und Nutzung von Telediensten, Anpassung von Jugend- und Verbraucherschutz, Beweiswert der elektronischen Datenübermittlung u.v.m. rechtlich zu verankern.
Authentifizierung:
Das Verfahren erfordert für die Verwaltung der Schlüssel einen vertrauenswürdigen Dritten. Soll die digitale Unterschrift einer Person Rechtsgültigkeit haben, so müssen staatlich lizensierte Regulierungsbehörden die Zuordnung einer digitalen Unterschrift zu einer bestimmten Person vornehmen. Genauer gesagt müssen die Schlüssel erzeugt werden. Daraufhin kann beispielsweise dort gegen die Vorlage des Personalausweises und durch den Abschluß eines Vertrags die Person ihre(n) öffentliche(n) und private(n) Signaturschlüssel entgegennehmen. Kommt es später zu einem Rechtsstreit, wird die Behörde die Zugehörigkeit eines öffentlichen Schlüssels zu einem privaten Schlüssel mit dem ein Dokument verschlüsselt bestätigen. Der Verfasser des Dokuments ist damit authentifiziert.