Cryptography Reference
In-Depth Information
■
Elektronische Signatur
: Diese ist definiert als eine beliebige Information, die
sich einer Person zuordnen lässt (also etwa deren Name im ASCII-Format).
■
Fortgeschrittene elektronische Signatur
: Diese bezeichnet eine digitale Signa-
tur im üblichen Sinn.
Bei Zertifikaten entscheidet die EU-Signaturrichtlinie zwischen einfachen Zertifi-
katen und
qualifizierten Zertifikaten
. Außerdem gibt es einfache und sichere Sig-
naturerstellungseinheiten. Den Gesetzgebern in den einzelnen Mitgliedstaaten
macht die EU-Signaturrichtlinie folgende Vorgaben:
■
Eine fortgeschrittene Signatur, die auf einem qualifizierten Zertifikat beruht,
hat die gleiche Wirkung wie eine Unterschrift von Hand.
■
Ein Diensteanbieter, der ein qualifiziertes Zertifikat ausstellt, haftet gegen-
über jeder Person, die begründetermaßen auf dieses Zertifikat vertraut.
■
EU-Mitgliedstaaten erkennen ihre qualifizierten Signaturen gegenseitig an.
■
Ein Trust Center darf ohne behördliche Genehmigung (Akkreditierung)
betrieben werden.
30.1.2
Deutsches Signaturgesetz
Deutschland war 1997 der erste Staat weltweit, der ein nationales Signaturgesetz
einführte. Im Vorfeld hatte es heftige Diskussionen gegeben. Einige Hardliner for-
derten ein strenges Gesetz, das hohe Sicherheitsanforderungen an eine PKI stellt.
Trust-Center-Betreiber sollten dadurch zu wirkungsvollen Schutzmaßnahmen
animiert werden. Andere Experten lehnten ein derart strenges Gesetz dagegen ab.
Sie wollten die Trust-Center-Betreiber durch geeignete Haftungsbestimmungen
dazu bringen, auch ohne detaillierte Vorschriften ein hohes Maß an Sicherheit zu
gewährleisten.
Am Ende setzten sich die Hardliner durch. Das 1997 in Kraft getretene erste
deutsche Signaturgesetz forderte von jedem Trust-Center-Betreiber, der sich das
Etikett »signaturgesetzkonform« umhängen wollte, zahlreiche teure Sicherheits-
maßnahmen. Erst zwei Jahre nach dem deutschen Signaturgesetz folgte die
bereits erwähnte EU-Signaturverordnung. Sie zwang die Bundesregierung dazu,
das deutsche Signaturgesetz anzupassen. Das resultierende Signaturgesetz von
2001 ist im Wesentlichen bis heute gültig. Es gibt darin vier Abstufungen, die an
die EU-Signaturrichtlinie angelehnt sind [SigG, Reimer]:
■
Elektronische Signatur
: Als solche gilt - wie in der EU-Signaturrichtlinie -
eine beliebige Information, die sich einer Person zuordnen lässt (also etwa
deren Name im ASCII-Format).
■
Fortgeschrittene elektronische Signatur
: Dies ist - wie in der EU-Signatur-
richtlinie - eine digitale Signatur im üblichen Sinne.
