Digitale Signaturen: Was sie sind und wie sie funktionieren
Eine digitale Signatur ist ein PKI-basiertes digitales Zertifikat, das die Identität des Unterzeichners bestätigt und sicherstellt, dass elektronisch übermittelte Dokumente und digitale Nachrichten nicht gefälscht oder verfälscht wurden. Digitale Signaturen ähneln physischen Signaturen in dem Sinne, dass beide eindeutig dem Unterzeichner zugeordnet werden können, mit dem Unterschied, dass im Fall von digital signierten Dokumenten eine digitale Signatur weitaus mehr Sicherheit und die Gewissheit über die Herkunft, Identität und Integrität des Dokuments bietet. Auf der Grundlage des höchsten Sicherheitsstandards sind digitale Signaturen in den Vereinigten Staaten und vielen anderen Ländern rechtsverbindlich.
Inhaltsverzeichnis
Digitale Signatur vs. elektronische Signatur
Elektronische Signaturen, gemeinhin als E-Signaturen bezeichnet, sind eine breite Palette von Lösungen, die ein elektronisches Verfahren zur Annahme eines Dokuments oder einer Transaktion mit einer Unterschrift verwenden. Da Dokumente und Kommunikation zunehmend papierlos sind, haben Unternehmen und Verbraucher weltweit die Schnelligkeit und den Komfort dieser Art von Unterschriften angenommen. Es gibt jedoch viele verschiedene Arten von elektronischen Signaturen, die es den Benutzern ermöglichen, Dokumente digital zu unterzeichnen und ein gewisses Maß an Identitätsauthentifizierung zu bieten.
Digitale Signaturen gehören zu diesen elektronischen Signaturtechnologien und sind die sicherste Art, die es gibt. Digitale Signaturen verwenden PKI-Zertifikate von einer Zertifizierungsstelle (CA), einer Art Vertrauensdiensteanbieter, um die Authentifizierung der Identität und die Integrität des Dokuments durch die verschlüsselte Verbindung der Signatur mit dem Dokument zu gewährleisten. Andere, weniger sichere Arten elektronischer Signaturen können gängige elektronische Authentifizierungsmethoden verwenden, um die Identität des Unterzeichners zu verifizieren, z. B. eine E-Mail-Adresse, einen Benutzernamen/eine ID des Unternehmens oder eine Telefonnummer/PIN.
Aufgrund unterschiedlicher technischer und sicherheitstechnischer Anforderungen werden elektronische Signaturen in verschiedenen Branchen, Regionen und Rechtsordnungen unterschiedlich akzeptiert. Digitale Signaturen erfüllen die anspruchsvollsten gesetzlichen Anforderungen, einschließlich des US-amerikanischen ESIGN Act und anderer anwendbarer internationaler Gesetze.
Wie funktionieren digitale Signaturen?
Digitale Signaturen verwenden die Public Key Infrastructure (PKI), die als Goldstandard für die Authentifizierung und Verschlüsselung digitaler Identitäten gilt. PKI beruht auf der Verwendung von zwei zusammengehörigen Schlüsseln, einem öffentlichen und einem privaten Schlüssel, die zusammen ein Schlüsselpaar bilden, um eine Nachricht mit Hilfe starker Kryptographiealgorithmen mit öffentlichem Schlüssel zu ver- und entschlüsseln. Unter Verwendung des öffentlichen und des privaten Schlüssels, die mit Hilfe eines mathematischen Algorithmus generiert werden, um dem Unterzeichner seine eigene digitale Identität zu geben, wird eine digitale Signatur erzeugt und mit dem privaten Schlüssel des Unterzeichners verschlüsselt, sowie ein Zeitstempel, wann das Dokument mit dem Schlüssel signiert wurde. Diese Schlüssel werden normalerweise mit Hilfe einer vertrauenswürdigen Zertifizierungsstelle sicher gespeichert.
Sowohl der öffentliche als auch der private Schlüssel werden mit Hilfe eines mathematischen Algorithmus erzeugt; sie geben dem Unterzeichner seine eigene digitale Identität, und dann wird eine digitale Signatur erzeugt und mit dem entsprechenden privaten Schlüssel des Unterzeichners verschlüsselt. Außerdem wird ein Zeitstempel erstellt, der angibt, wann das Dokument unter Verwendung des Schlüssels unterzeichnet wurde. Diese Schlüssel werden normalerweise mit Hilfe einer vertrauenswürdigen Zertifizierungsstelle sicher gespeichert.
Das Senden einer digitalen Signatur funktioniert folgendermaßen:
Der Absender wählt die zu signierende Datei in der Dokumentenplattform oder Anwendung aus.
Der Computer des Absenders errechnet den eindeutigen Hash-Wert des Dateiinhalts.
Dieser Hash-Wert wird mit dem privaten Schlüssel des Absenders verschlüsselt, um die digitale Signatur zu erstellen.
Die Originaldatei wird zusammen mit ihrer digitalen Signatur an den Empfänger gesendet.
Der Empfänger verwendet die zugehörige Dokumentenanwendung, die feststellt, dass die Datei digital signiert wurde.
Der Computer des Empfängers entschlüsselt dann die digitale Signatur mit dem öffentlichen Schlüssel des Absenders.
Der Computer des Empfängers berechnet dann den Hash der Originaldatei und vergleicht den berechneten Hash mit dem nun entschlüsselten Hash der Datei des Absenders.
Das Verfahren zur Erstellung einer digitalen Signatur ist für den Durchschnittsnutzer und für Unternehmen einfach und unkompliziert zu übernehmen. Zunächst benötigen Sie ein digitales Signierzertifikat, das Sie bei einer vertrauenswürdigen Zertifizierungsstelle wie Sectigo erwerben können. Nachdem Sie das Zertifikat heruntergeladen und installiert haben, verwenden Sie einfach die digitale Unterschriftsfunktion der entsprechenden Dokumentenplattform oder Anwendung. Die meisten E-Mail-Anwendungen bieten zum Beispiel eine Schaltfläche „Digital signieren“, mit der Sie Ihre E-Mails digital signieren können.
Wenn Sie ein mit einem privaten Schlüssel signiertes Dokument versenden, erhält der Empfänger den öffentlichen Schlüssel des Unterzeichners, mit dem das Dokument entschlüsselt werden kann. Sobald das Dokument entschlüsselt ist, kann die empfangende Partei das unveränderte Dokument wie vom Benutzer beabsichtigt anzeigen.
Wenn die empfangende Partei das Dokument nicht mit dem öffentlichen Schlüssel entschlüsseln kann, bedeutet dies, dass das Dokument verändert wurde oder dass die Signatur gar nicht von dem ursprünglichen Unterzeichner stammt.
Bei der digitalen Signaturtechnologie müssen alle Beteiligten darauf vertrauen, dass die Person, die die Signatur erstellt, in der Lage war, ihren eigenen privaten Schlüssel geheim zu halten. Wenn eine andere Person Zugriff auf den privaten Schlüssel des Unterzeichners hat, könnte diese Partei im Namen des Inhabers des privaten Schlüssels gefälschte digitale Signaturen erstellen.
Was passiert, wenn entweder der Absender oder der Empfänger die Datei ändert, nachdem sie digital signiert worden ist? Da der Hash-Wert für die Datei eindeutig ist, erzeugt jede Änderung an der Datei einen anderen Hash-Wert. Wenn der Computer des Empfängers den Hash-Wert vergleicht, um die Integrität der Daten zu überprüfen, würde der Unterschied in den Hash-Werten zeigen, dass die Datei verändert wurde. Die digitale Signatur würde also als ungültig angezeigt werden.
Wie sieht eine digitale Signatur aus?
Da das Herzstück einer digitalen Signatur das PKI-Zertifikat ist, bei dem es sich um einen Softwarecode handelt, ist die digitale Signatur selbst nicht von Natur aus sichtbar. Allerdings können Dokumentenplattformen einen leicht erkennbaren Beweis dafür liefern, dass ein Dokument digital signiert wurde. Diese Darstellung und die angezeigten Zertifikatsdetails variieren je nach Dokumententyp und Verarbeitungsplattform. Ein digital signiertes Adobe PDF-Dokument zeigt beispielsweise ein Siegelsymbol und ein blaues Band am oberen Rand des Dokuments, das den Namen des Unterzeichners und den Aussteller des Zertifikats anzeigt.
Außerdem kann sie auf einem Dokument in der gleichen Weise erscheinen wie Unterschriften auf einem physischen Dokument und kann ein Bild Ihrer physischen Unterschrift, das Datum, den Ort und das offizielle Siegel enthalten.
Digitale Signaturen können auch unsichtbar sein, obwohl das digitale Zertifikat gültig bleibt. Unsichtbare Signaturen sind nützlich, wenn die Art des Dokuments normalerweise nicht das Bild einer physischen Unterschrift zeigt, wie z. B. ein Foto. Die Eigenschaften des Dokuments können Informationen über das digitale Zertifikat, die ausstellende Zertifizierungsstelle und einen Hinweis auf die Authentizität und Integrität des Dokuments enthalten.
Wenn eine digitale Signatur aus irgendeinem Grund ungültig ist, zeigen Dokumente eine Warnung an, dass sie nicht vertrauenswürdig sind.
Warum sind sie wichtig?
Da immer mehr Geschäfte online abgewickelt werden, werden Vereinbarungen und Transaktionen, die früher auf Papier unterzeichnet und physisch zugestellt wurden, nun durch vollständig digitale Dokumente und Arbeitsabläufe ersetzt. Wann immer jedoch wertvolle oder sensible Daten ausgetauscht werden, sind böswillige Akteure, die diese Informationen zu ihrem eigenen Vorteil stehlen oder manipulieren wollen, allgegenwärtig. Unternehmen müssen in der Lage sein, zu verifizieren und zu authentifizieren, dass diese wichtigen Geschäftsdokumente, Daten und Mitteilungen vertrauenswürdig sind und sicher übermittelt werden, um das Risiko der Manipulation von Dokumenten durch böswillige Parteien zu verringern.
Digitale Signaturen schützen nicht nur wertvolle Online-Informationen, sondern beeinträchtigen auch nicht die Effizienz von Online-Dokumenten-Workflows; im Gegenteil, sie tragen in der Regel zu einer Verbesserung der Dokumentenverwaltung im Vergleich zu Papierprozessen bei. Sobald digitale Signaturen implementiert sind, ist das Unterschreiben eines Dokuments einfach und kann auf jedem Computer oder mobilen Gerät erfolgen.
Darüber hinaus ist die Signatur übertragbar, da sie in der Datei selbst enthalten ist, unabhängig davon, wo und auf welchem Gerät sie übertragen wird. Digital signierte Dokumente sind auch leicht zu kontrollieren und nachzuverfolgen, da sie den Status aller Dokumente anzeigen, erkennen lassen, ob sie signiert wurden oder nicht, und einen Prüfpfad anzeigen.
Und natürlich ist es wichtig, dass diese digital unterzeichneten Vereinbarungen rechtlich anerkannt werden. Digitale Signaturen entsprechen wichtigen Standards wie dem United States Federal ESIGN Act, GLBA, HIPAA/HITECH, PCI DSS und US-EU Safe Harbor.
Häufige Verwendungen und Beispiele
Heutzutage werden digitale Signaturen häufig für eine Vielzahl verschiedener Online-Dokumente verwendet, um die Effizienz und Sicherheit kritischer Geschäftstransaktionen zu verbessern, die jetzt papierlos sind, z. B:
Verträge und juristische Dokumente: Digitale Signaturen sind rechtsverbindlich. Sie eignen sich daher ideal für alle Rechtsdokumente, die eine beglaubigte Unterschrift von einer oder mehreren Parteien und die Gewissheit erfordern, dass das Dokument nicht verändert wurde.
Kaufverträge: Durch die digitale Unterzeichnung von Verträgen und Kaufvereinbarungen werden sowohl die Identität des Verkäufers als auch die des Käufers authentifiziert, und beide Parteien haben die Gewissheit, dass die Unterschriften rechtsverbindlich sind und dass die Vertragsbedingungen nicht geändert wurden.
Finanzielle Dokumente: Finanzabteilungen signieren Rechnungen digital, damit die Kunden darauf vertrauen können, dass die Zahlungsaufforderung vom richtigen Verkäufer stammt und nicht von einem Betrüger, der versucht, den Käufer dazu zu bringen, die Zahlung auf ein betrügerisches Konto zu überweisen.
Daten im Gesundheitswesen: In der Gesundheitsbranche ist der Datenschutz sowohl für Patientenakten als auch für Forschungsdaten von größter Bedeutung. Digitale Signaturen stellen sicher, dass diese sensiblen Informationen nicht verändert wurden, wenn sie zwischen Parteien ausgetauscht werden, die dem zustimmen.
Regierungsformulare: Regierungsbehörden auf Bundes-, Landes- und kommunaler Ebene haben strengere Richtlinien und Vorschriften als viele Unternehmen des Privatsektors. Von der Genehmigung von Genehmigungen bis zur Zeiterfassung können Signaturen die Produktivität steigern, indem sie sicherstellen, dass der richtige Mitarbeiter für die entsprechenden Genehmigungen zuständig ist.
Versanddokumente: Hersteller müssen sicherstellen, dass Frachtmanifeste oder Frachtbriefe immer korrekt sind, um kostspielige Versandfehler zu vermeiden. Physische Papiere sind jedoch umständlich, sind während des Transports nicht immer leicht zugänglich und können verloren gehen. Durch das digitale Signieren von Versanddokumenten können Versender und Empfänger schnell auf eine Datei zugreifen, die Aktualität der Unterschrift überprüfen und bestätigen, dass keine Manipulationen vorgenommen wurden.
Es ist wichtig, eine vertrauenswürdige Zertifizierungsstelle wie Sectigo für Ihren Bedarf an digitalen Signaturen und Zertifikaten zu wählen. Informieren Sie sich noch heute über unsere Zertifikate zum Signieren von Dokumenten.