Signaturprüfung

VERIFIKATION VON ELEKTRONISCHEN SIGNATUREN

Mit Hilfe einer digitalen Signatur lässt sich Integrität (Unverändertheit) und Authentizität (verbindliche Zuordnung der Nachricht zu einer Person) erreichen. Der Verifikation einer digitalen Signatur kommt damit eine entscheidende Bedeutung zu. Sie muss den Empfänger von der Integrität und der Authentizität des Absenders überzeugen und dieses beweisbar protokollieren. Gerade im Bereich der Langzeitarchivierung kommt diesem Punkt besondere Bedeutung zu.

WELCHE INFORMATIONEN ENTHÄLT EINE SIGNATUR?

Die Signatur enthält Informationen über den Unterzeichner, den Zeitpunkt der Signatur und weitere kryptographische Daten (u.a. den Hashwert), die gewährleisten, dass weder Basisdokument noch Signatur unbemerkt verändert wurden. Zusätzlich beinhaltet die Signatur zusätzlich Zertifikate, die zur Verifizierung benötigt werden.

WAS IST EIN ZERTIFIKAT?

Ein Zertifikat ist ein elektronisches Dokument, das den Bezug zwischen einer Person und der von ihr erstellten kryptographischen Informationen herstellt. Das Zertifikat des Unterzeichners wird für die Verifizierung der qualifizierten elektronischen Signatur benötigt. Eine übergeordnete Instanz, ein Zertifizierungsdiensteanbieter (Trustcenter), hat vorab die Identitätsprüfung dieses Unterzeichners festgestellt und dies durch digitales Signieren seines Zertifikats belegt. Das dafür nötige Zertifikat des Anbieters wiederum wurde vorab von der Bundesnetzagentur (vormals Regulierungsbehörde für Telekommunikation und Post) unterzeichnet, die das so genannte “Wurzelzertifikat” als Ursprung dieser Zertifizierungskette innehält.

WAS PASSIERT BEI DER VERIFIZIERUNG QUALIFIZIERTER ELEKTRONISCHER SIGNATUREN?

Die Verifikationssoftware führt verschiedene Prüfungen durch. Zunächst wird der ursprüngliche Hashwert auf Änderungen überprüft um sicherzustellen, dass die signierten Daten nicht geändert wurden. Auch der Zeitpunkt der Signaturerstellung wird auf Plausibilität geprüft. So ist eine Signatur in der Zukunft nicht möglich. Außerdem wird die Zertifizierungskette verifiziert, d.h. die korrekte Verbindung zwischen dem Zertifikat des Unterzeichners bis zum Wurzelzertifikat des Trustcenters.. Ist diese Kette unterbrochen oder nicht auf das Wurzelzertifikat zurückzuführen, erfolgt eine Fehlermeldung.

WIE WERDEN QUALIFIZIERTE ELEKTRONISCHE ZERTIFIKATE ÜBERPRÜFT?

Um das Zertifikat eines Unterzeichners verifizieren zu können, benötigt man alle Zertifikate bis hin zum Wurzelzertifikat. Ziel der Verifizierung des Zertifikats ist der Nachweis, dass dieses selbst und insbesondere die Identität des Unterzeichners nicht verändert wurden. So können Sie sicher sein, von wem Sie ein Dokument mit qualifizierter elektronischer Signatur erhalten haben.

WARUM WIRD DIE GÜLTIGKEIT DES ZERTIFIKATS ÜBERPRÜFT?

Theoretisch wäre es möglich, dass der zur Verschlüsselung genutzte private Schlüssel bekannt wird. Dies könnte z.B. durch Hacker geschehen oder wenn die eingesetzten Smartcards gestohlen würden. So könnten Unbefugte Dokumente im fremden Namen unterzeichnen. Um hier eine Absicherung zu schaffen, wurde ein Sperrdienst (CLR/OSCP) für unsicher gewordene Zertifikate eingerichtet. Mit der eingerichteten Onlineverbindung werden diese Sperrlisten gegen geprüft.Die Verifizierung ist nicht erfolgreich wenn:

das Dokument verändert wurde. Jede Änderung am Dokument wie z.B. bereits die Entfernung von Leerzeichen oder unsichtbarer Zeichen ergibt eine ungültige Signatur.
die Signaturdatei bei der Übertragung beschädigt wurde, z.B. bei einer externen Signaturdatei,
das genutzte Zertifikat von einem unbekannten Zertifizierungsdiensteanbieter stammt.
Alle Stammzertifikate und Zertifikate von Zwischenzertifizierungsstellen deutscher und internationaler Trustcenter müssen für eine erfolgreiche Verifikation vorhanden sein.
das Zertifikat beim zuständigen Trustcenter gesperrt wurde, der verwendete Algorithmus als unsicher eingestuft wurde oder die Internetverbindung gestört ist.

BEI DER VERIFIKATION DER ELEKTRONISCHEN SIGNATUR WIRD ALSO ÜBERPRÜFT:

a) Ist die Datei signiert?
b) War das Signaturzertifikat zum Zeitpunkt der Signatur gültig?
c) Ist das Dokument seit Anbringung der Signatur verändert worden?
d) Ist die Zertifikatskette gültig?
e) Ist der verwendete Hash-Algorithmus noch sicher (SHA-1, SHA-256)?
f) Erzeugung eines Prüfdokuments (revisionssicher) über die Punkte a bis e