Das geregelte Ableben meines Fax-Gerätes ermuntert zu einer Recherche wie es denn um elektronische Unterschriften steht. Möglichst solche die juristisch auch eine Beweiskraft entfalten.
Das Verfahren für solche Signaturen lehnt sich stark an die Sicherung von Webseiten an – man generiert ein Schlüsselpaar – privat und öffentlich – und unterschreibt mit dem privaten Schlüssel. Der Gegenpart prüft die Signatur mit dem öffentlichen Schlüssel und wenn es kryptographisch passt, dann stammt die Unterschrift vom Inhaber des Schlüsselpaares.
Die Frage, die sich hier aufdrängt ist natürlich wie man davon ausgehen kann, das der Unterzeichnende tatsächlich derjenige ist für den er sich ausgibt. Diese Verbindung von Identität zu dem abstrahiertem Objekt eines öffentlichen Schlüssels ist das Zertifikat, welches den öffentlichen Schlüssel zu einem Subjekt (Identität) zuordnet. In der Praxis, erstellt man oft ein solches Zertifikat einfach selber (self-signed) – das hat aber weder Beweiskraft, noch hat es ein Mehrwert zu solch einfachen Techniken wie das Einfügen einer Unterschriftengrafik in ein Dokument.
Trotzdem zählt eine solche Unterschrift laut der aktuellen EU Verordnung eIDAS, bereits als einfache elektronische Signatur. Wird bei einer solchen Technik noch die Möglichkeit geschaffen, den Unterzeichner zu identifizieren und wird das Dokument gegen nachträgliche Änderungen geschützt, so spricht man im Anwendungsbereich von eIDAS bereits von einer fortgeschrittenen elektronischen Signatur.
Die Sicherung der Datei – i.A. reden wir von pdf-Dokumenten – erreicht man mit einer Speicherung im PDF/A Format (ISO19005). Die Identifizierung wird dadurch erreicht, dass der Aussteller bereits mit einem Zertifikat signiert, dass eine Kette zu einem vertrauenswürdigem Root-Zertifikat bildet. In Adobe Reader DC bspw. werden auf Anforderung weitere Root-Zertifikate, denen Adobe vertraut heruntergeladen. So benutzt das, für die fortgeschrittene Signatur, benutzte Zertifikat von sign-me (Herausgeber: Bundesdruckerei) das D-TRUST CA 1-1 2017 Zertifikat, welches von dem Root-Zertifikat D-TRUST Root CA 3 2013 ausgestellt wurde, welches aber durch das Client Programm nachgeladen werden muss, da meist nur das D-TRUST Root Class 3 CA 2 2009 Zertifikat in den Programmen fest verankert ist.
Verträge benötigen im Allgemeinen aber eine qualifizierte elektronische Signatur – der höchste Sicherheitslevel im Jargon von eIDAS.
Hierbei müssen mehrere Vorbedingungen erfüllt werden.
Das Zertifikat (+privater Schlüssel), muss von einer CA (Certification Authority) erstellt werden, welches
a) akkredidiert sein muss
b) den Unterschreiber zweifelsfrei identifizieren kann, bevor er Ihm ein Zertifikat + privatem Schlüssel aushändigt.
Punkt a) führt normalerweise dazu, dass die CA ein Root-Zertifikat besitzt, welches sich in der Liste der vorinstallierten Root-Zertifikate befindet.
Punkt b) muss die CA durch ein geeignetes Verfahren sicherstellen, bspw.
- PostIdent Verfahren
- VideoIdent Verfahren
- eID (elektronische Identifizierung)
- persönliches Vorsprechen
Beim Punkt 3 eignet sich der nPA (neue Personalausweis) der Bundesrepublik Deutschland.
Desweiteren, darf die Unterschrift, welche ja den privaten Schlüssel erfordert nur über eine sichere Signaturerstellungseinheit (SSEE) – zum Beispiel ein spezielles Kartenlesegerät – erfolgen.
Natürlich muss auch hier die Unveränderbarkeit des Dokuments nach der Unterschrift gewährleistet sein – bspw. durch PDF/A – und zudem muss beim Unterschreiben ein vertrauenswürdiger Zeitstempeldienst (keine lokale Uhr) bemüht werden (z.B. Zeitstempeldienst der DFN-PKI)
Gerade der Zwang zu SSEE macht die qualifizierte Unterschrift teuer, denn es reicht nicht, dass die CA dem Unterzeichner seinen privaten Schlüssel aushändigt, da dann eine Unterzeichnung mittels SSEE nicht mehr garantiert werden kann.
Stattdessen verkaufen akkredidierte CA’s sog. qualifizierte Signaturkarte, auf denen der private Schlüssel enthalten ist und mit einem Lesegerät (mit Tastatur) ausgelesen und zur Unterzeichnung verwendet werden kann. Möglich für die Speicherung des privaten Schlüssels wäre auch der Zertifikatsspeicher auf dem nPA – allerdings gibt es für diese Lösung momentan keinen Anbieter, nachdem die Bundesdruckerei mit dem öffentlichen Service sign-me diese Dienst eingestellt hat und auf eine andere Lösung setzt.
Diese Lösung nennt sich Fernsignatur. Dazu ist die SSEE samt Zertifikaten auf eine sicheren Ebene im Netz. Der Unterzeichner, hat weder seinen privaten Schlüssel noch eine SSEE, benutzt aber diese nach einem Login auf dem sicheren Webserver des Diensteanbieter.
Nachteil dieser Lösung ist, dass einem nicht die gewohnten Tools (eigenes pdf Programm) für die Unterschrift zur Verfügung steht. Der Webservice bietet in der Regel nur ein einfaches Frontend mit wenig Einstellungsmöglichkeiten. Dafür spart man sich die ganze Infrastruktur, die für eine qualifizierte elektronische Signatur nötig ist.
Für private Zwecke ist der Fernsignaturdienst www.sign-me.de der Bundesdruckerei quasi umsonst. Qualifizierte Signaturen kosten sog. „5 Coins“, wobei man mit der Registrierung „60 coins“ geschenkt bekommt.