Wie funktionieren digitale Signaturen?
Im digitalen Raum gibt es digitale Signaturen, die wie eine Unterschrift im analogen Raum fungieren können. Doch wie funktionieren die?
Chris Wojzechowski Geschäftsführender Gesellschafter TL;DR
Digitale Signaturen sichern gleichzeitig die Integrität einer Nachricht und die Identität des Absenders - das kann eine handschriftliche Unterschrift nicht leisten. Sie basieren auf asymmetrischer Kryptografie: Der Absender erzeugt ein Schlüsselpaar, signiert mit dem privaten Schlüssel, der Empfänger prüft mit dem öffentlichen. Da RSA rund 100-mal langsamer rechnet als das symmetrische AES-Verfahren, wird bei großen Dateien nicht jedes Bit signiert, sondern ein kompakter Hashwert von 128 bis 512 Bit. Ändert sich die Datei auf dem Transportweg, weicht der Hashwert ab - die Manipulation ist sofort erkennbar. Die Bundesnetzagentur schreibt im Bundesanzeiger vor, welche Algorithmen zulässig bleiben.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (4 Abschnitte)
Möchte man in der analogen Welt etwas unterschreiben, so kann man sich ganz einfach einen Stift nehmen und seine Unterschrift unter das entsprechende Dokument setzen. Im digitalen Raum gibt es hierfür digitale Signaturen, die aber noch viel mehr können, als bloß zu existieren und als elektronische Signatur als rechtsgültige Unterschrift anerkannt werden können.
Wozu benötige ich eine digitale Signatur?
Eine digitale Signatur dient dazu, die Integrität einer Nachricht und die eindeutige Rückführbarkeit auf den Urheber der Nachricht sicherzustellen. Die Integrität bedeutet hier, dass eine Nachricht auf dem Transportweg nicht modifiziert wurde und immer noch denselben Inhalt aufweist, den sie zum Zeitpunkt der digitalen Signatur hatte.
Digitale Signaturen können für Dokumente, aber auch ganze Archive und große Datenmengen eingesetzt werden. Unterschreibt man so digital diese Dateien, kann der Empfänger überprüfen, ob die Datei auf dem Transportweg modifiziert wurde und ob der Absender tatsächlich auch derjenige ist, der die Datei digital signiert hat.
Die Funktionsweise digitaler Signaturen
Eine digitale Signatur baut auf der asymmetrischen Kryptografie auf. Für eine klassische Verschlüsselung werden zwei Schlüssel benötigt, ein Schlüssel zum Ver- einer zum Entschlüsseln. Sind diese beiden Schlüssel identisch, spricht man von einem symmetrischen Kryptografieverfahren. Für asymmetrische Verfahren werden hierfür jedoch zwei Schlüssel verschiedene Schlüssel verwendet, wovon einer veröffentlicht wird. Der andere ist geheim zu halten.
Bei der digitalen Signatur erzeugt sich die Person, die etwas signieren möchte, solch ein Schlüsselpaar. Der Schlüssel zur Signaturerzeugung muss geheim gehalten werden, er ist das private Geheimnis dieser Person. Mit dem anderen Schlüssel kann diese Signatur überprüft werden, er wird veröffentlicht. Ein Empfänger erhält nun die Nachricht und die dazugehörige Signatur. Mit dem öffentlichen Schlüssel des Absenders kann er nun überprüfen, ob die Signatur gültig ist. Wenn sie gültig ist, kann er somit sicher sein, dass die Nachricht auf dem Transportweg nicht verändert wurde.
Digitale Signaturen und große Dateimengen
Für aktuelle Signaturen wird z. B. das RSA-Verfahren angewandt. Da digitale Signaturen auf der asymmetrischen Kryptografie beruhen, sind sie recht komplex und langsam in der Berechnung. RSA ist im Vergleich zu AES, ein symmetrisches Verschlüsselungsverfahren, ca. 100-mal langsamer. Vor allem, wenn große Datenmengen signiert werden, wird schnell eine akzeptable Grenze überschritten.
Das Problem wird gelöst, in dem nicht jedes Bit einer großen Datei signiert wird. Vielmehr wird vorher ein Hashwert dieser Datei berechnet. Die Funktionsweise eines Hashalgorithmus haben wir in diesem Artikel beschrieben. Je nach Algorithmus entstehen hier Hashwerte mit Längen von 128 bis 512 Bit. Eine enorme Verkleinerung. Stellt man sich vor, man möchte eine 1 MB Datei signieren, so müsste man bei Berücksichtigung aller Bits 8388608 Bits signieren und verarbeiten. Anstatt also die 1 MB Datei zu signieren, berechnet man sich den deutlich kürzeren Hashwert dieser Datei und signiert den Hashwert selbst. Würde sich die Datei auf dem Transportweg ändern, würde sich bei einer Neuberechnung des Hashwerts ein anderer Wert ergeben. Der Empfänger kann somit bei Empfang überprüfen, ob die Datei immer noch denselben Hashwert erzeugt und ob dieser Hashwert dem signierten entspricht. Ist die digitale Signatur gültig, so konnte man durch das Nutzen von Hashwerten enorm viel Rechenkapazität einsparen.
Fazit
Digitale Signaturen sind eine effektive Methode, die Integrität und Authentizität von Nachrichten zu gewährleisten. Da sich die Rechenleistung vom Computern jedoch stetig erhöht, müssen die für die Signaturverfahren benutzten Algorithmen ständig angepasst werden. Die Bundesnetzagentur gibt dafür Anforderungen an die Algorithmen heraus, die Bekanntmachung kann im Bundesanzeiger nachgelesen werden. Werden diese Anforderungen eingehalten, so sind digitale Signaturen den analogen Unterschriften deutlich überlegen, denn sie sind fälschungssicherer und können die Integrität der signierten Nachricht sicherstellen.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
