Die digitale Signatur
Rechtliche, informationstechnische und ökonomische Aspekte einer digitalen Verifizierung nach dem Gesetz über Rahmenbedingungen für elektronische Signaturen
- Art: Diplomarbeit
- Autor: Heiko Heibel
- Abgabedatum: Juni 2003
- Umfang: 103 Seiten
- Dateigröße: 1,9 MB
- Note: 1,0
- Institution / Hochschule: Bergische Universität - Gesamthochschule Wuppertal Deutschland
- ISBN (eBook): 978-3-8324-7067-8
-
ISBN (Paperback) :
978-3-8324-7067-8 P - ISBN (CD) :978-3-8324-7067-8 CD
- Sprache: Deutsch
- Prämierung:
- Arbeit zitieren: Heibel, Heiko Juni 2003: Die digitale Signatur, Hamburg: Diplomica Verlag
- Schlagworte: Signaturgesetz, qualifizierte Signatur, Anbieterakkreditierung, Authenzität, Integrität
In den Warenkorb
74,00 €
Diplomarbeit von Heiko Heibel
Einleitung:
Die Informationstechnologie weist neben zahlreichen betriebswirtschaftlichen Anwendungsmöglichkeiten, ebenfalls verschiedene Risiken auf. Diese zeigen sich insbesondere in der Flüchtig- und Manipulierbarkeit elektronischer Daten. Nach verschiedenen Einschätzungen stellt derzeit z. B. das in einem gerichtlichen Verfahren kaum nachweisbare Zustandekommen elektronisch geschlossener Verträge, eine erhebliche Behinderung des elektronischen Handels dar.
Durch verschiedene Rechtsanpassungen auf europäischer und nationaler Ebene wurde ein elektronischer Signaturtyp geschaffen, der in Analogie zur eigenhändigen Unterschrift, die Integrität und Authentizität von elektronischen Daten ermöglichen soll. Die Regelungen des Signaturgesetzes beschränken sich hierbei im wesentlichen auf infrastrukturelle und informationstechnische Spezifikationen. Durch Formanpassungen in verschiedenen Bereichen des Privat- und öffentlichen Rechts wurde die qualifizierte elektronische Signatur teilweise zu einem vollwertigen rechtlichen Substitut der eigenhändigen Unterschrift. Die Regelung zur dauerhaften Überprüfbarkeit sowie die Beweiswirkung ist jedoch nicht durchgängig stringent geregelt.
Als Basiskonzept dient die Public-Key-Kryptographie unter Einbeziehung einer vertrauenswürdigen Instanz. Hierdurch ist die qualifizierte elektronische Signatur im Vergleich zur Unterschrift deutlich fälschungssicherer. Die Sicherheit der verwendeten Verfahren und Algorithmen ist unter Verwendung entsprechender Parameter sehr hoch. Im Vergleich zu den ausgeprägten Anforderungen an Infrastrukturanbieter existieren im Bereich der Anwender dagegen kaum Sicherheitsbestimmungen, wodurch sich gerade private Nutzer einem gewissen Bedrohungspotential durch sogenannte Trojaner ausgesetzt sehen müssen.
Als Ursache für die fehlende Durchsetzung der qualifizierten elektronischen Signatur sind schließlich nicht allein die sich gegenseitig bedingenden Faktoren wie konkurrierende Signaturverfahren, hohe Kosten der qualifizierten Signatur und mangelnde Kommunikationspartner zu identifizieren. Vielmehr zeichnen sich in einigen Szenarien jenseits der Prozessoptimierung und der reinen Kostenerwägung keine ausreichenden Nutzenpotentiale für ihre Akteure ab: Zur eindeutigen Identifikation des Gegenübers sind de facto immer noch zusätzliche Mechanismen erforderlich; die elektronische Mobilität von Kunden kann nach Marketinggesichtspunkten des einzelnen Unternehmens als durchaus kontraproduktiv gesehen werden; gesetzlich manifestierte Interaktionsregeln des elektronischen Geschäftsverkehrs und implizite Sicherungsmechanismen bieten u. U. eine deutlich höhere Praktikabilität.
Gang der Untersuchung:
Zur Erschließung von Antworten auf diese Fragen sollen im Folgenden die grundlegende rechtliche und informationstechnische Konzeption, sowie das derzeitige Ausmaß der angesprochenen Sicherheit ausführlich dargestellt werden. Dem schließt sich die Diskussion einer ökonomischen Sinnhaftigkeit der dargestellten Möglichkeiten an. In diesem Zusammenhang ist insbesondere die Identifizierung eventueller Divergenzen zwischen rechtlichen und informationstechnischen Möglichkeiten einerseits sowie praktischen Anforderungen potentieller Anwender andererseits notwendig. Hierzu gilt es gleichfalls die Alternativen zur qualifizierten elektronischen Signatur zu bewerten.
Nach einer differenzierten Darstellung der rechtlichen Situation, wird die Signatur dabei i. w. in Gestalt der qualifizierten elektronischen Signatur (§ 2 Nr. 3 SigG) zu Grunde gelegt, da nur sie gesetzlich als Substitut zur eigenhändigen Unterschrift dienen kann.
Ein umfassendes Verständnis für elektronische Signaturen ist ohne die Unterscheidung der Verschlüsselung und des Signierens elektronischer Daten nicht möglich. Mit dem Signieren elektronischer Daten geht nicht zwangsläufig auch eine Verschlüsselung einher. Das Sicherheitsziel der Verschlüsselung ist ein Verbergen semantischer Inhalte gegenüber Dritten bzw. auch ein vollständiges „Verstecken“ ganzer Dateien. Die Verschlüsselungsverfahren beinhalten grundsätzlich keine primären Ansätze um den Urheber von Daten zu identifizieren oder die Unverfälschtheit der Daten zu prüfen. Für die Verschlüsselung stehen somit Geheimhaltung bzw. Datenschutz im Vordergrund.
Diese Aspekte sind jedoch nicht Gegenstand des SigG und liegen auch i. A. nicht dem Signieren von Daten zu Grunde.29 Auf die kryptographischen Grundlagen und Verfahren wird deshalb nur aus Sicht des Signierens Bezug genommen.
Inhaltsverzeichnis:
| 1. | Vorbemerkungen | 5 |
| 2. | Rechtliche Aspekte der Signatur | 10 |
| 2.1 | Rechtliche Grundlagen | 10 |
| 2.1.1 | Richtlinie der Europäischen Union | 10 |
| 2.1.2 | Deutscher Gesetzgeber | 11 |
| 2.2 | Anforderungen an eine qualifizierte elektronische Signatur | 15 |
| 2.2.1 | Definition und Abgrenzung | 15 |
| 2.2.2 | Produkte für qualifizierte elektronische Signaturen | 16 |
| 2.2.2.1 | Sichere Signaturerstellungseinheiten | 17 |
| 2.2.2.2 | Signaturanwendungskomponenten | 18 |
| 2.2.2.3 | Technische Komponenten für Zertifizierungsdienste | 20 |
| 2.2.3 | Qualifizierte Zertifikate und Wurzelzertifikate | 20 |
| 2.2.4 | Dynamische Aspekte des Sicherheitsgehalts von qualifizierten elektronischen Signaturen | 24 |
| 2.3 | Die qualifizierte elektronische Signatur als „Substitut“ | 28 |
| 2.3.1 | Privatrechtsbereich | 28 |
| 2.3.2 | Öffentlich-rechtlicher Bereich | 30 |
| 2.4 | Besonderheiten im Zusammenhang mit akkreditierten Zertifizierungsdiensteanbietern | 32 |
| 3. | Die informationstechnische Realisierung | 35 |
| 3.1 | Das kryptographische Konzept | 35 |
| 3.2 | Das Funktionsprinzip des Signierens und Verifizierens | 38 |
| 3.2.1 | Das Signieren | 38 |
| 3.2.2 | Das Verifizieren | 39 |
| 3.3 | Geeignete Kryptoalgorithmen und Sicherheitsparameter | 41 |
| 3.3.1 | Hashfunktionen | 41 |
| 3.3.2 | Signaturalgorithmen | 42 |
| 3.3.2.1 | Das RSA-Verfahren | 42 |
| 3.3.2.2 | DSA und DSA-Varianten (ECC) | 44 |
| 3.3.3 | Gefahrenpunkte und Schwachstellen der Kryptosysteme | 45 |
| 3.4 | Produkte und ihre Anwendung | 47 |
| 3.4.1 | Die Signatur-Produkte des Anwenders | 47 |
| 3.4.1.1 | Sichere Signaturerstellungseinheiten | 48 |
| 3.4.1.2 | Signaturanwendungskomponenten | 49 |
| 3.4.2 | Die Gefahrenpotentiale sogenannter Trojaner für die Signaturerstellung | 52 |
| 3.5 | Die Public-Key-Infrastruktur | 55 |
| 3.5.1 | Interoperabilität | 55 |
| 3.5.2 | Zertifizierungs-Infrastruktur | 57 |
| 3.5.3 | Gültigkeitsmodell | 59 |
| 4. | Ökonomische Gegenwart und Perspektiven | 62 |
| 4.1 | Die Ökonomische Vertragstheorie | 64 |
| 4.1.1 | Implizite Verträge | 65 |
| 4.1.2 | Relationale Verträge | 65 |
| 4.2 | Die Stellung von Verbrauchern und Bürgern | 67 |
| 4.2.1 | Kauf-, Dienstleistungs-, Reise- und Mietverträge | 67 |
| 4.2.1.1 | Fernabsatzverträge, Internetauktionen | 67 |
| 4.2.1.2 | Reise- und Mietverträge | 73 |
| 4.2.2 | Finanz- und Versicherungsgeschäfte | 75 |
| 4.2.2.1 | Finanzgeschäfte und –transaktionen | 75 |
| 4.2.2.2 | Versicherungsgeschäfte | 78 |
| 4.2.3 | „Behördengänge“ | 79 |
| 4.3 | Unternehmerische Potentiale der qualifizierten elektronischen Signatur | 82 |
| 4.3.1 | Grundsätzliche ökonomische Potentiale | 82 |
| 4.3.2 | Besondere Aspekte im E-Commerce | 82 |
| 4.4 | E-Government | 84 |
| 5. | Fazit | 86 |
| 6. | Anhang | 88 |
| 7. | Verzeichnisse | 95 |
| 7.1 | Literaturverzeichnis | 95 |
| 7.2 | Internetquellen | 99 |
| 7.3 | Verwendete Software | 100 |
| 7.4 | Abbildungs- und Tabellenverzeichnis | 101 |
die Bildschirmanzeige der eingegebenen Zeichen durch ein Sternchen ersetzt wird. Zwar ist die PIN hierbei optisch verborgen, sie wird durch das StandardDialog-Element jedoch intern nicht besonders geschützt. Diese Tatsache lässt sich von jedem Anwender auch ohne spezielle Programmierkenntnisse, z. B. durch einfachste Freeware-Produkte nachvollziehen (die eine solche „geschützte“ Kennwort-Eingabe problemlos und synchron zur Eingabe sichtbar machen, sog. „Password-Viewer“). Entsprechend wäre es auch für einen Trojaner möglich die PIN-Eingabe aus dem Dialog auszulesen und bei der nächsten Verbindung mit dem Internet an einen entfernten Rechner zu übermitteln. Ist ein Dritter erst im Besitz der PIN, so könnte er sich im ungünstigsten Fall – wiederum bei bestehender Internet-Verbindung und wenn sich die Karte im Lesegerät befindet – gegenüber der Signaturkarte legitimieren und mehr oder weniger beliebig Daten signieren. Für die Manipulation zu signierender Daten bieten sich grundsätzlich verschiedene Schnittstellen an: zwischen der Standard- und der Signatursoftware, innerhalb der Signatursoftware selbst oder als aktiver Inhalt von Dokumenten innerhalb der [...]
proprietären bzw. betriebssystemeigenen Dateimanager (z. B. Microsoft® Explorer). Vielfach erfolgt im nächsten Schritt die Darstellung der ausgewählten Daten in einer für den Anwender syntaktisch interpretierfähigen Form. Eine solche Anzeige ist auf unterschiedliche Weise gelöst. Sie kann zum einen im Text-/HTML-Format durch eine eigene Anzeigekomponente oder in einem Text-Editor bzw. Webbrowser des Anwenders erfolgen – hierbei können anderweitige bzw. hiervon nicht unterstützte Datenformate allerdings nicht wiedergegeben werden. Eine andere Möglichkeit ist die eingebettete (OLE)175 oder unabhängige Anzeige durch das jeweilige Programm, welches dem betroffenen Datenformat auf dem Rechner des Anwenders zugeordnet ist. Als letztes ist noch die von einigen Lösungen gewählte Visualisierung im Bildformat zu nennen. Hierbei wird das ausgewählte Dokument eines beliebigen Datenformats als Bilddatei aufbereitet (z. B. Microsoft® Bitmap). Insbesondere die Gerva-Anwendung der Datev eG liefert hierfür eine eigene Bitmap-Anzeigekomponente. Als besonderes Sicherheitsmerkmal wird bei diesem Verfahren der Datev eG genau diese angezeigte Bilddatei und nicht die Ursprungsdatei signiert. Durch das zuletzt dargestellte Verfahren zeichnet sich bereits implizit ein wesentliches Problem ab: Anwender könnten durch die Vielfalt existierender Datenformate eine Visualisierung der zu signierenden Datei angezeigt bekommen, die u. U. von der späteren Darstellung auf dem Rechner des Adressaten abweicht – z. B. formatierungs- oder versionsbedingt (Präsentationsproblem).176 Daneben besteht die grundsätzliche Gefahr von Manipulationen der zu signierenden Daten durch Trojaner auf dem Rechner des Anwenders. Es ist hierbei einerseits an die mögliche Beeinflussung der Datendarstellung zu denken; andererseits könnten Daten auf ihrem Weg zur Signaturkarte – d. h. bei der Übermittlung zum Prozessor der Signaturerstellungseinheit, verändert bzw. vollständig ersetzt werden. [...]
wohl zum Verschlüsseln als auch zur Erzeugung und Prüfung digitaler Signaturen verwendet werden – im Folgenden soll dies, bezogen auf die Signaturerzeugung und -prüfung, kurz skizziert werden. In einem ersten Schritt wird das Schlüsselpaar (RSA key pair) bestimmt. Hierzu sind zwei Primzahlen p und q so zu wählen, dass sie die gleiche Größenordnung haben, aber nicht zu dicht beieinander liegen. Der Modulus n wird als Produkt aus den gewählten Primzahlen gebildet. Der öffentliche Exponent e wird zufällig und unabhängig von n gewählt, so dass dabei der größte gemeinsame Teiler (ggT) von e und dem Produkt (p-1)(q-1) Eins ist. Der öffentliche Schlüssel (RSA public key) liegt somit vor: er besteht aus den beiden Werten n und e. Für den öffentlichen Exponenten ist der zugehörige geheime Exponent d zu berechnen, der dabei kleiner als der Modulus sein muss. Das Produkt aus öffentlichem und privatem Exponenten muss ferner äquivalent sein zu Eins zum Modulus des kleinsten gemeinsamen Vielfachen (kgV) von (p-1, q-1). Stellt man diese Bedingung nach d um, so erhält man das modulare Inverse Modulo (p-1)(q-1) von e [...]
In den Warenkorb
74,00 €
Link zur Arbeit:
http://www.diplom.de/ean/9783832470678
Arbeit zitieren:
Heibel, Heiko Juni 2003: Die digitale Signatur, Hamburg: Diplomica Verlag
Schlagworte:
Signaturgesetz, qualifizierte Signatur, Anbieterakkreditierung, Authenzität, Integrität
Entdecken Sie mehr zum Thema
