Mit der digitalen Signatur werden zwei Ziele verfolgt und erreicht – hier am Beispiel einer versendeten E-Mail verdeutlicht:
- Zum einen dient die digitale Signatur dazu, die nicht abstreitbare Urheberschaft der E-Mail nachzuweisen
- Zum anderen dient die digitale Signatur dazu, die Integrität der E-Mail zu beweisen.
Mit anderen Worten: Man will durch die digitale Signatur einerseits überprüfen und sicherstellen, dass die E-Mail tatsächlich von dem Absender stammt, der einem im E-Mail-Programm angezeigt wird. Andererseits will man überprüfen, dass der E-Mail-Inhalt während des Versands nicht verändert wurde.
Wie funktioniert die digitale Signatur – wie erreicht man diese beiden Ziele?
Das Verfahren zum Erstellen einer digitalen Signatur beruht auf dem Prinzip asymmetrischer Kryptographie. Asymmetrisch bedeutet hier, dass zum Signieren wie auch zum Verschlüsseln einer Nachricht immer ein Schlüsselpaar verwendet wird. Jeder am Verfahren Teilnehmende besitzt einen öffentlichen und einen privaten – immer und stets geheim zuhaltenden – Schlüssel. Beide Schlüssel bilden das Schlüsselpaar.
Signieren:
- Alice verschlüsselt die zu versendende Nachricht an Bob mit ihrem privaten Schlüssel.
- Bob entschlüsselt die Nachricht von Alice mit ihrem öffentlichen Schlüssel
Was ist damit erreicht worden? Alice Nachricht kann nur mit ihrem öffentlichen Schlüssel entschlüsselt werden. Funktioniert das Entschlüsseln, besitzt man den Nachweis darüber,
- dass diese E-Mail während des Versands nicht verändert
- und dass diese tatsächlich von Alice versendet wurde.
Sowohl Urheberschaft wie auch Integrität der E-Mail sind somit nachgewiesen
Allerdings wurde die Nachricht durch das bloße Signieren noch längst nicht verschlüsselt. Jeder, der im Besitz des öffentlichen Schlüssels von Alice war, hätte die E-Mail von Alice an Bob mitlesen können – und das ist prinzipiell jeder. Deshalb:
Signieren & Verschlüsseln
- Alice signiert die E-Mail mit ihrem privaten Schlüssel (sorgt für die nicht abstreitbare Urheberschaft und Integrität) und verschlüsselt die E-Mail danach mit Bobs öffentlichem Schlüssel (Vertraulichkeit)
- Bob entschlüsselt Alice E-Mail zunächst mit seinem privaten Schlüssel. Im nächsten Schritt überprüft Bob die Urheberschaft und Integrität durch das weitere „Entschlüsseln“ mit dem öffentlichen Schlüssel von Alice.
In der Praxis übernimmt das jeweilige Client-Programm das Signieren und Verschlüsseln. Etablierte Verfahren zur praktischen Umsetzung der asymmetrischen Kryptographie sind S/MIME (X.509) und PGP bzw. GnuPG. Verschiedene Algorithmen kommen dabei zum Einsatz (AES, RSA etc.). Häufig kommt dabei eine Public-Key-Infrastruktur (PKI) wie auch Key-Management-Systeme zum Einsatz.