Das neue Signaturgesetz (SigG) definiert in § 2 drei verschiedene Signaturverfahren: die elektronische, die fortgeschrittene elektronische und die qualifizierte elektronische Signatur.
Die „einfache“ elektronische Signatur besteht in der Beifügung von Daten, die zur Authentifizierung des Absenders dienen. Dies kann z. B. durch eine eingescannte Unterschrift des Absenders geschehen.
Die fortgeschrittene
elektronische Signatur beruht auf der sogenannten asymmetrischen
Verschlüsselungstechnik: Dabei werden ein geheimer, privater Schlüssel
(private key) und ein öffentlich zugänglicher Schlüssel (public
key) verwendet.
Der Absender der Nachricht signiert diese mit seinem privaten Schlüssel
und der Empfänger kann die Signatur mit Hilfe des öffentlichen Schlüssels
entschlüsseln. Nach der Signierung des Textes ist dessen Veränderung
nicht mehr möglich. Jedem privaten Schlüssel ist genau ein öffentlicher
Schlüssel ausschließlich zugeordnet.
Der Empfänger der signierten Nachricht berechnet mit Hilfe einer Spezialsoftware
eine Prüfsumme des als Text empfangenen Dokuments. Mit dem frei zugänglichen
öffentlichen Schlüssel entziffert er daraufhin die Signatur des
Absenders, die ebenfalls in einer bestimmten Prüfsumme besteht. Sind
die beiden Summen identisch, so ist sicher, dass der Text mit dem Schlüssel
des Absenders signiert und seitdem nicht verändert wurde.
Daneben besteht die Möglichkeit, den Text vor dem Absenden so zu verschlüsseln,
dass er nur von einem bestimmten Empfänger gelesen werden kann. Auch
für diese zusätzliche Verschlüsselung des Textes wird die asymmetrische
Verschlüsselungstechnik verwendet, wobei der öffentliche Schlüssel
dann nicht frei zugänglich ist, sondern ausschließlich dem Empfänger
der Nachricht verfügbar gemacht wird.
Das Verfahren der fortgeschrittenen elektronischen Signatur bietet hinreichende
Sicherheit, solange der private Schlüssel dem unbefugten Zugriff entzogen
ist.
Das Verfahren
der qualifizierten elektronischen Signatur entspricht
im Wesentlichen dem der fortgeschrittenen elektronischen Signatur. Der entscheidende
Unterschied besteht darin, dass nur Schlüsselpaare verwendet werden,
die von einem Zertifizierungsanbieter im Sinne von § 5 SignG herausgegeben
wurden. Zudem befinden sich bei der fortgeschrittenen elektronischen Signatur
beide Teile eines Schlüsselpaares auf der Festplatte des Benutzers und
könnten daher durch Zugriff von sogenannten Hackern ausgespäht werden,
während sich der private Schlüssel einer qualifizierten elektronischen
Signatur gewöhnlich auf einer externen Hardware (z.B. Chipkarte) befindet,
wodurch ein Zugriff über das Internet erschwert ist.
Ein Großteil der Zuverlässigkeit dieser qualifizierten digitalen
Signatur hängt somit von der Verlässlichkeit der Zertifizierungsanbieter
ab.
Die Zertifizierungsanbieter könne ihre Dienste seit der Geltung der neuen Fassung des Signaturgesetzes genehmigungsfrei betreiben. Sofern sie einen Sitz in Deutschland haben, müssen sie die Tätigkeit allerdings gegenüber der Regulierungsbehörde für Telekommunikation und Post anzeigen. Diese ist auch für die Durchführung des Signaturgesetzes verantwortlich und übt die Missbrauchsaufsicht aus.
Ein Zertifizierungsanbieter
kann sich in Deutschland außerdem freiwillig akkreditieren lassen. Den
akkreditierten Zertifizierungsanbietern wird von
der zuständigen Behörde ein Gütezeichen erteilt, das den Nachweis
einer umfassend geprüften technischen und administrativen Sicherheit
von deren qualifizierten elektronischen Signaturen erbringt.
Auf diese Akkreditierung dürfen die akkreditierten Zertifizierungsanbieter
im Rechts- und Geschäftsverkehr hinweisen.
Einen
Überblick über die bisher zur Verfügung stehenden akkreditierten
Zertifizierungsdienste erhalten Sie auf der Seite der Regulierungsbehörde
für Telekommunikation und Post:
http://www.regtp.de/tech_reg_tele/start/in_06-02-04-00-00_m/index.html#akkreditiert