2022 / Internet / IT Security

Wie funktionieren digitale Signaturen?

Möchte man in der analogen Welt etwas unterschreiben, so kann man sich ganz einfach einen Stift nehmen und seine Unterschrift unter das entsprechende Dokument setzen. Im digitalen Raum gibt es hierfür digitale Signaturen, die aber noch viel mehr können, als bloß zu existieren und als elektronische Signatur als rechtsgültige Unterschrift anerkannt werden können.

Wozu benötige ich eine digitale Signatur?

Eine digitale Signatur dient dazu, die Integrität einer Nachricht und die eindeutige Rückführbarkeit auf den Urheber der Nachricht sicherzustellen. Die Integrität bedeutet hier, dass eine Nachricht auf dem Transportweg nicht modifiziert wurde und immer noch denselben Inhalt aufweist, den sie zum Zeitpunkt der digitalen Signatur hatte.

Digitale Signaturen können für Dokumente, aber auch ganze Archive und große Datenmengen eingesetzt werden. Unterschreibt man so digital diese Dateien, kann der Empfänger überprüfen, ob die Datei auf dem Transportweg modifiziert wurde und ob der Absender tatsächlich auch derjenige ist, der die Datei digital signiert hat.

Die Funktionsweise digitaler Signaturen

Eine digitale Signatur baut auf der asymmetrischen Kryptografie auf. Für eine klassische Verschlüsselung werden zwei Schlüssel benötigt, ein Schlüssel zum Ver- einer zum Entschlüsseln. Sind diese beiden Schlüssel identisch, spricht man von einem symmetrischen Kryptografieverfahren. Für asymmetrische Verfahren werden hierfür jedoch zwei Schlüssel verschiedene Schlüssel verwendet, wovon einer veröffentlicht wird. Der andere ist geheim zu halten.

Bei der digitalen Signatur erzeugt sich die Person, die etwas signieren möchte, solch ein Schlüsselpaar. Der Schlüssel zur Signaturerzeugung muss geheim gehalten werden, er ist das private Geheimnis dieser Person. Mit dem anderen Schlüssel kann diese Signatur überprüft werden, er wird veröffentlicht. Ein Empfänger erhält nun die Nachricht und die dazugehörige Signatur. Mit dem öffentlichen Schlüssel des Absenders kann er nun überprüfen, ob die Signatur gültig ist. Wenn sie gültig ist, kann er somit sicher sein, dass die Nachricht auf dem Transportweg nicht verändert wurde.

Digitale Signaturen und große Dateimengen

Für aktuelle Signaturen wird z. B. das RSA-Verfahren angewandt. Da digitale Signaturen auf der asymmetrischen Kryptografie beruhen, sind sie recht komplex und langsam in der Berechnung. RSA ist im Vergleich zu AES, ein symmetrisches Verschlüsselungsverfahren, ca. 100-mal langsamer. Vor allem, wenn große Datenmengen signiert werden, wird schnell eine akzeptable Grenze überschritten.

Das Problem wird gelöst, in dem nicht jedes Bit einer großen Datei signiert wird. Vielmehr wird vorher ein Hashwert dieser Datei berechnet. Die Funktionsweise eines Hashalgorithmus haben wir in diesem Artikel beschrieben. Je nach Algorithmus entstehen hier Hashwerte mit Längen von 128 bis 512 Bit. Eine enorme Verkleinerung. Stellt man sich vor, man möchte eine 1 MB Datei signieren, so müsste man bei Berücksichtigung aller Bits 8388608 Bits signieren und verarbeiten. Anstatt also die 1 MB Datei zu signieren, berechnet man sich den deutlich kürzeren Hashwert dieser Datei und signiert den Hashwert selbst. Würde sich die Datei auf dem Transportweg ändern, würde sich bei einer Neuberechnung des Hashwerts ein anderer Wert ergeben. Der Empfänger kann somit bei Empfang überprüfen, ob die Datei immer noch denselben Hashwert erzeugt und ob dieser Hashwert dem signierten entspricht. Ist die digitale Signatur gültig, so konnte man durch das Nutzen von Hashwerten enorm viel Rechenkapazität einsparen.

Fazit

Digitale Signaturen sind eine effektive Methode, die Integrität und Authentizität von Nachrichten zu gewährleisten. Da sich die Rechenleistung vom Computern jedoch stetig erhöht, müssen die für die Signaturverfahren benutzten Algorithmen ständig angepasst werden. Die Bundesnetzagentur gibt dafür Anforderungen an die Algorithmen heraus, die Bekanntmachung kann im Bundesanzeiger nachgelesen werden. Werden diese Anforderungen eingehalten, so sind digitale Signaturen den analogen Unterschriften deutlich überlegen, denn sie sind fälschungssicherer und können die Integrität der signierten Nachricht sicherstellen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.