Hannes Birnbacher, Windhagen/Ww.

Digitale Signatur und Verschlüsselung mit asymmetrischen Verfahren (Public Key)

Gesetzliche Grundlagen der digitalen Signatur und Verschlüsselung

Unternehmen und Privatpersonen haben in Zeiten der Spams und Vorratsdatenspeicherung Interesse daran, E-Mails überprüfen oder auch verschlüsseln zu können.
Darüberhinaus kann die Finanzbehörde zur steuerlichen Anerkennung von elektronisch versandten Rechnungen vom Empfänger verlangen, daß er deren elektronische Signatur nachweist, eine Vorschrift, die von einigen Versendern elektronischer Rechnungen derzeit noch souverän übersehen wird.
Preiswerte Software für die Erstellung elektronisch signierter Dokumente gibt's z.B. von Aloaha. oder auch bei globalsign.wis.de.

Nach dem Signaturgesetz (ausführliche Erläuterungen unter http://www.bsi.de/esig/basics/index.htm) wird zwischen "fortgeschrittenen elektronischen Signaturen" Paragraph 2/2 und "qualifizierten elektronischen Signaturen" gemäß Paragraph 2/3 unterschieden. Beim PGP-Verfahren über Software handelt es sich um eine "fortgeschrittene elektronische Signatur".
Die technischen Verfahren für eine elektronische Signatur und/oder Verschlüsselung sind kostenlos oder zu erträglichem Aufwand verfügbar. Die Akzeptanz und Organisation, insbesondere in Unternehmen, ist jedoch problematisch. Der engagierte Gewerbetreibende mag sich ja der Signaturkarte, die er von seiner Bank hat, auch für die Akkreditierung bei seinem Finanzamt bedienen, aber wie stellt man sicher, daß PGP-verschlüsselte Mails an die Firma immer gelesen werden können, wenn nicht einmal die Datensicherung in den Unternehmen klappt - ist der private Key verloren, können keine Mails mehr gelesen oder signiert werden. Die Kommunikation wird schwerfälliger, wenn die Mitarbeiter erst einmal einen Key bei der EDV-Abteilung beantragen müssen, und Schulung ist notwendig, damit überhaupt jeder Sachbearbeiter auf die Echtheit einer empfangenen E-Mail achtet.

Zertifikate nach dem verbreiteten S/MIME Verfahren kann man auch für nicht kartengestützten Einsatz erhalten, im Gegensatz zu den auf einer Signaturkarte gespeicherten nur für die unteren Sicherheitsklassen. Zum Ausprobieren kann man ein kostenloses Zertifikat der Klasse 1 (das nur besagt, daß der Antragsteller tatsächlich unter der E-Mail-Adresse, für die das Zertifikat ausgestellt ist, erreichbar war) beispielsweise bei TC Trustcenter (Menü rechts: Zertifikats-Services --> Beantragen) beantragen. Wermutstropfen: das zugehörige Root-Zertifikat, das die Mail-Software des Empfängers benötigt, um die Echtheit einer Mail zu überprüfen, war in meiner Version (1.5) von Thunderbird für dieses Trustcenter erst ab Klasse 2 enthalten - der Empfänger müsste sich dieses erst vom Trustcenter importieren (gleiches Menü, "CA-Zertifikate").
Kürzlich bin ich auf Global Sign gestoßen, die als ebenfalls reine Softwarelösung ein Zertifikat Klasse 2 (für das neben der E-Mail-Adresse auch eine Ausweiskopie geprüft wird) bei Jahreskosten von 16 Euro zzgl. MWSt. anbieten (prima Support dort). Sie gehören zu den Trustcentern, die in meiner und dann wohl auch in anderer üblicher Software schon berücksichtigt sind, sodaß zumindest jedem Besitzer von Thunderbird 1.5 die Signatur als geprüft angezeigt wird, ohne daß er sich erst um den Import des sog. Root-Zertifikates kümmern muß.
Details

Die "fortgeschrittene elektronische Signatur" nach SigG Para. 2(2)

Man kann bei Rechtsgeschäften eine elektronische Signatur vereinbaren. Diese muss nicht den erhöhten Anforderungen des SigG Para 2(3) genügen, wie sie in Para. 126a (BGB) angesprochen wird. Die Grundlagen stehen im BGB:

§ 127
Vereinbarte Form

(3) Zur Wahrung der durch Rechtsgeschäft bestimmten elektronischen Form genügt, soweit nicht ein anderer Wille anzunehmen ist, auch eine andere als die in § 126a bestimmte elektronische Signatur und bei einem Vertrag der Austausch von Angebots- und Annahmeerklärung, die jeweils mit einer elektronischen Signatur versehen sind. Wird eine solche Form gewählt, so kann nachträglich eine dem § 126a entsprechende elektronische Signierung oder, wenn diese einer der Parteien nicht möglich ist, eine dem § 126 entsprechende Beurkundung verlangt werden."


Die "fortgeschrittene elektronische Signatur" in der Version über das PGP-Verfahren, eine reine Softwarelösung, erfordert keine kostenpflichtigen externen Dienste. Sie ist unter Privatanwendern verbreitet, in der Wirtschaft eher als der "kleine Dienstweg" geeignet. Der Empfänger einer solchen Mail muß sich selber darum kümmern, daß der Schlüssel, an dem seine Software sie erkennt, wirklich von dem Absender stammt, z.B. indem er von diesem eine Diskette mit dem "Public Key" zur Gegenprüfung bekommt, telefonisch eine Quersumme ("Fingerprint") zur Überprüfung erfragt hat oder ein Zertifikat eines Dritten, dem er vertraut, vorliegt. Letzteres wird z.B. vom Heise Verlag auf Computermessen erteilt, wenn der Einreicher sich dort ausweist.
Die Software "PGP" ist ein kommerzielles Produkt. Das Open Source Äquivalent, hierzu kompatibel, heisst GPG. Mailclienten wie Sylpheed und Thunderbird arbeiten damit zusammen. Thunderbird ist von Natur aus schon für das verbreitetere S/Mime Verfahren eingerichtet. Wer keinen Mailclienten mit einem entsprechenden Plugin hat, kann sich auch auf seinem Computer unter MS-Windows einen lokalen Proxy (Zwischen-Server) einrichten: http://sites.inka.de/tesla/gpgrelay.html, der die Signierung nach dem PGP-Verfahren übernimmt und die Mail an den externen Mailserver weitergibt.
PGP-Software (Links und Erläuterungen) ist kostenlos für alle Betriebssysteme in vielen Variationen erhältlich und kann in viele Mailprogramme eingebunden werden (Download z.B. hier). Linux-User können sich u.a. KGpg, das Modul von KDE, installieren.
Verwirrend aber wahr: nicht ich muß den Schlüssel vom Absender erhalten, mit dem eine Mail an mich verschlüsselt wurde, sondern der Absender muß von mir zuerst meinen Schlüssel bekommen (bzw. wie nachstehend beschrieben, downloaden), um eine Mail an mich mit einem dieser Standardprogramme verschlüsseln zu können.
Wer eine PGP-Software besitzt, kann diesen öffentlichen Schlüssel entweder von dem weltweiten Servernetz importieren (die Server-Adresse ist in jeder Software schon als Default hinterlegt - bei KGpg muss ich über den Menüpunkt File/Key Server Dialog einmal nach dem Namen oder der ID eines Mailpartners suchen und kann dann diesen Schlüssel bei mir eintragen lassen) oder sich vom Absender z.B. auf Datenträger übermitteln lassen und importieren (bei KGpg: Keys/Import Key/Clipboard), um eine elektronische Signatur auf Echtheit prüfen oder eine Mail verschlüsseln zu können. Bei Mozilla Thunderbird mit dem Plugin Enigmail sind alle diese Funktionen sehr komfortabel im Programm integriert.

Signaturkarten mit "fortgeschrittener Elektronischer Signatur" laut SigG Para 2(2)

Karten und Leser (empfehlenswert mit tastaturunabhängigem Pinpad, das nicht von Trojanern ausgelesen werden kann) bekommt man wohlfeil bei manchen Banken, z.B. der DB , beim Deutschen Sparkassen-Verlag oder bei der Deutschen Post, bei den Geldinstituten somit als Zusatz auf den Karten für Electronic Banking. Anerkannt werden sie auch z.B. für die Übermittlung von Steuerdaten ("Elster"), die online-Rentenauskunft und bei einer zunehmenden Zahl von Behörden.
Die kartenausgebenden Unternehmen bezeichnen ihre Signaturcard meistens nur als "fortgeschrittene elektronische Signatur". Wer eine "qualifizierte elektronische Signatur" nach SigG Para. 2(3) benötigt, tut gut daran, auf die Details zu achten. In einem Forum habe ich den Hinweis gelesen, daß S-Trust, die Organisation der Sparkassen-Karten, die "qualifizierte" Signatur auf ihrer Karte zusätzlich aufladen kann, eine Art Personalisierung.
Die kartengestützte digitale Signatur beruht auf dem S/MIME Verfahren, einer Weiterentwicklung des PGP-Verfahrens, und wird von vielen Programmen, wie Microsoft Outlook und Outlook Express, Netscape Mail und Thunderbird, Pegasus, Lotus Notes, Eudora, KMail usw. unterstützt (Näheres siehe http://en.wikipedia.org/wiki/S/MIME). Ein ausführlicher Test (englisch) auf S/MIME Fähigkeit aller gängigen E-Mail-Programme ist bei RIPE nachzulesen.

Die "qualifizierte elektronische Signatur" nach SigG Para. 2(3)

Die "qualifizierte elektronische Signatur" kann man nicht selber machen; sie muß auf einer "gehärteten" Computeranlage von Firmen und Einrichtungen erstellt werden, die selber von einer Behörde sicher zertifiziert sind, und wird auf einer Chipkarte gespeichert, die nicht ausgelesen oder gar verändert werden kann.
Für die Signaturkarte der inzwischen 56 angeschlossenen Industrie- und Handelskammern wird ausdrücklich angegeben, daß es sich um die "qualifizierte elektronische Signatur" handele.
Für Rheinland-Pfalz existiert ein Projekt zur Signaturkarte, die man hier bestellen kann.
Nur die "qualifizierte elektronische Signatur" nach SigG Para. 2(3) kann eine handschriftliche Unterschrift ersetzen, wenn eine solche ausdrücklich vom Gesetz verlangt wird. Siehe BGB:

" § 126a
Elektronische Form

(1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen."


Nicht alles kann elektronisch signiert werden. So besagt z.B. das BGB in

"§ 623
Schriftform der Kündigung
Die Beendigung von Arbeitsverhältnissen durch Kündigung oder Auflösungsvertrag bedürfen zu ihrer Wirksamkeit der Schriftform; die elektronische Form ist ausgeschlossen.
"

Auch dieser Paragraph schließt die elektronische Übermittlung aus:

§ 780 Schuldversprechen Zur Gültigkeit eines Vertrags, durch den eine Leistung in der Weise versprochen wird, dass das Versprechen die Verpflichtung selbständig begründen soll (Schuldversprechen), ist, soweit nicht eine andere Form vorgeschrieben ist, schriftliche Erteilung des Versprechens erforderlich. Die Erteilung des Versprechens in elektronischer Form ist ausgeschlossen.

Hier ging es um eine E-Mail, in der die Rücknahme einer negativen Bewertung bei E-Bay versprochen wurde - das Gericht befand das Versprechen als ungültig und somit als nicht einklagbar.

Stand: 23. Februar 2006
Zurück zu "Computer"