ECommerce ist schon lange kein Schlagwort mehr, sondern in vielen Wirtschaftsbereichen schon Realität. Immer mehr geschäftliche Korrespondenz wird über E-Mail abgewickelt und in immer größerem Umfang werden Einkäufe und Bestellungen auf digitalem Wege getätigt.

Digitale Dokumente lassen sich jedoch relativ leicht und spurenlos manipulieren, z.B. durch nachträgliches Verändern des Inhaltes oder durch Hinzufügen einer eingescannten Unterschrift. Bei digitalen Dokumenten läßt sich daher nicht mehr zweifelsfrei ermitteln, wer der Urheber des Dokumentes ist und ob das Dokument im nachhinein verändert worden ist.

Im Zeitalter des elektronischen Handels ist aber notwendig, sowohl die Echtheit des Absenders als auch die Integrität (Unverfälschtheit) der Daten zweifelsfrei festzustellen. Genau dies soll die digitale Signatur leisten.

Die digitale Signatur beruht auf dem Verfahren der asymetrischen Verschlüsselung. Dabei erhält jeder Benutzer zwei verschiedene aber komplementäre Schlüssel: einen geheimen, privaten Schlüssel und einen öffentlichen Schlüssel.

Der öffentliche Schlüssel ist, wie der Name schon sagt, öffentlich zugänglich, der private Schlüssel aber ist absolut geheim, d.h. auch der Schlüsselinhaber selbst kennt ihn nicht. Er befindet sich auf einer sicheren Signaturkomponente, z.B. auf einer Chipkarte, die nicht ausgelesen werden kann.

Zur Bildung der Signatur wird zunächst das zu signierende Dokument über eine sogenannte HASH-Funktion komprimiert. Dieses Komprimat und nicht das Originaldokument wird dann mit dem privaten Schlüssel des Senders signiert und ergibt die digitale Signatur, die dann an das originale Dokument angehängt wird.

Der Empfänger des Dokumentes "entschlüsselt" zunächst mit dem öffentlichen Schlüssel des Absenders, der dem Dokument ebenfalls angehängt ist, die digitale Signatur. Das Ergebnis ist der Hashwert des Originaldokumentes. Mit der HASH-Funktion erzeugt der Empfänger ebenfalls den HASH-Wert des mitgelieferten Originaldokuments. Stimmen beide HASH-Werte überein, ist die digitale Signatur authentisch.

Mit der Prüfung der digitalen Signatur ist die Authentizität des gesendeten Dokumentes festgestellt. Aber es kann nicht festgestellt werden, ob der Absender tatsächlich die Person ist, für die sie sich ausgibt oder ob die Person tatsächlich existent ist. Dies kann nur über eine eindeutige Zuordnung des öffentlichen Schlüssels des Absenders zu einer tatsächlich existierenden natürlichen Person geschehen. Die Ausstellung eines solchen Signaturschlüssel-Zertifikats gehört u.a. zu den Aufgaben der Zertifizierungsstellen. Zu diesen Zertifizierungsstellen gehören in Deutschland u.a. das Produktzentrum TeleSec der Deutschen Telekom AG und die TÜV Informationstechnik GmbH.

Gesetzliche Grundlage: