Elektronische Unterschrift
Dürfen wir elektronischen Dokumenten trauen?
- FALSCH:
- Dieses Dokument wurde von einer elektronischen
Datenverarbeitungsanlage erstellt und ist daher
ohne Unterschrift gültig.
- RICHTIG:
- ... und ist daher ohne jede Beweiskraft.
Beweiskraft elektronischer Dokumente
- Elektronische Dokumente fälschbar ohne Spuren.
- Auch Bilder nicht mehr vertrauenswürdig.
- Beweiskraft archivierter Patientendaten?
- Kommunikation zwischen Institutionen der Krankenversorgung?
Woher weiß der Apotheker, daß das Rezept echt ist?
Ist die Nachricht echt?
Echtheit einer Nachricht
- Authentizität:
- Stammt die Nachricht wirklich vom angenommenen Urheber?
- Integrität:
- Ist die Nachricht unverfälscht?
Lösung mit symmetrischer Verschlüsselung ist möglich, aber problematisch.
Besser ist die elektronische Unterschrift (oder digitale Signatur). Sie garantiert den fälschungssicheren Echtheitsnachweis von
- Inhalt,
- Urheberschaft
- und evtl. Entstehungsdatum
eines elektronischen Dokuments.
Elektronische Unterschrift - Anwendungen
- geschäftliche Transaktionen
(z. B. elektronischer Überweisungsauftrag an Bank)
- Dokumentation (Akten, auch Bilddaten)
- Integrität von IT-Systemen
- Schutz von Systemprogrammen vor trojanischen Pferden
- downloading von Netzsoftware
- Virenschutz
- ärztliche Verordungen
- ...
Funktionale Anforderungen
- Verifizierbarkeit:
- Jeder kann die Echtheit der Unterschrift prüfen.
- Fälschungssicherheit:
- Nur der Eigner kann die Unterschrift erzeugen.
- Verbindlichkeit:
- Der Unterzeichner kann nicht nachträglich seine
Urheberschaft leugnen (z. B. in einem Rechtsstreit).
Technische Anforderungen
- Geschwindigkeit:
- Das Prüfen der Unterschrift darf beim Laden des
Dokuments keine merkliche Verzögerung bewirken (große
Programme, Bilder).
- kryptographische Sicherheit
- muß nachgewiesen sein.
- Handhabbarkeit:
- Erzeugen und Prüfen der Unterschrift dürfen
keine großen Umstände verursachen.
Komplikationen bei der Anwendung
- Bei breiter Anwendung kryptographischer Verfahren muß es
Zertifikatsstellen geben, die persönliche Signaturschlüssel
ihrerseits signieren.
(Wer weiß, ob das im Computer oder Netz gespeicherte
Verzeichnis der öffentlichen Schlüssel echt ist?)
- Um fälschungssichere Zeitstempel verwenden zu können, ist
ein vertrauenswürdiger Zeitservice nötig.
- Jeder Benutzer braucht ein PSE (Personal Secure Environment),
dem er trauen kann. Dieses enthält seine persönlichen
Schlüssel und die öffentlichen Schlüssel der bekannten
Zertifikatsstelle(n) und Zeitserver.
Ideal ist eine Chipkarte. Ersatzweise
möglich ist eine persönliche
Diskette oder ein besonders geschütztes Verzeichnis auf der
Festplatte. Dies alles soll in eine Anwendung
integrierbar sein.
- Kann ein Dokument von verschiedenen Berechtigten bearbeitet
werden, so muß entweder jedes Feld einzeln signiert werden
oder eine fälschungssichere Logdatei mitgeführt werden.
[---> Zertifikate für öffentliche Schlüssel]
Elektronische Unterschrift - rechtliche Aspekte
Grundsätzlich Formfreiheit im privatrechtlichen Rechtsverkehr,
sofern keine speziellen Formvorschriften bestehen.
Funktion einer Unterschrift im Rechtsverkehr:
- Zuordnung einer Willenserklärung zu einer Person
(Echtheit der Erklärung, Identität des Ausstellers).
- Dokumentation, daß diese Person für den Inhalt einstehen will;
Abschluß der gedanklichen Auseinandersetzung mit dem Inhalt,
Warnfunktion.
Für elektronische Unterschrift noch keine Präzedenzfälle;
fachliches Gutachten zur Sicherheit des Verfahrens müßte beigebracht werden.
- Anspruchsteller muß die anspruchsbegründenden Tatsachen beweisen.
- Hoher Beweiswert von Urkunden.
- Geringerer Beweiswert: Zeugen, Sachverständige, Augenschein, Parteivernehmung.
Richter in Beweiswürdigung frei. Elektronische Dokumente gelten als »Augenschein«.
Gesetzliche Regelung wird vorbereitet.
Vorlesung Datenschutz und Datensicherheit
Sommersemester 1996, Fachbereich Mathematik
Johannes-Gutenberg-Universität Mainz
Zurück zum Inhaltsverzeichnis
Autor: Klaus Pommerening, 20. Mai 1996; letzte Änderung: 24. September 1996.
E-Mail an Pommerening@imsd.uni-mainz.de.