| | |
| Title: | Bezahlen im Internet. | |
| Home deutsch | ||
| ||
| |<< First < Previous Index Next > Last >>| | |  |
2.2.2 Die Rechtsgültigkeit bzw. Integrität einer Nachricht
Die alleinige Verschlüsselung einer Nachricht reicht zum Beweis ihrer Rechtsgültigkeit noch nicht aus, denn eine von einem Dritten geschriebene, gefälschte Nachricht, die mit der selben Methode verschlüsselt wurde, kann hiermit nicht als Fälschung erkannt werden.Für die Abgabe einer rechtsgültigen Willenserklärung über das Internet und somit dem An- und Verkauf von Waren und Dienstleistungen im Internet allgemein ist es aber von zentraler Bedeutung, dass die Abgabe dieser Willenserklärung auch bewiesen werden kann. Deshalb muss eine Nachricht noch zusätzlich "digital signiert" werden. Dazu wird im Anhang der Nachricht eine solche "digitale Signatur" mitgesendet.
Sie wird folgendermaßen erzeugt: Mittels eines Hashverfahrens wird zuerst ein "Fingerabdruck" der Nachricht berechnet. Dieses Verfahren ist nicht umkehrbar, d. h. aus einem Fingerabdruck kann keine Nachricht wiederhergestellt werden. Des weiteren ist ein solcher Fingerabdruck eineindeutig, d. h. nur die exakt gleiche Nachricht ergibt auch den gleichen Fingerabdruck, wurde die Nachricht also verändert, ergibt sich auch ein anderer Fingerabdruck. Diesem wird noch eine Beschreibung des benutzten Hashverfahrens hinzugefügt und dann wird alles mit dem geheimen Schlüssel des Absenders verschlüsselt.
Der Empfänger entschlüsselt zuerst diesen Anhang mit dem öffentlichen Schlüssel des Absenders. Mit dem mitgelieferten Hashverfahren erstellt er einen eigenen Fingerabdruck der erhaltenen, von ihm entschlüsselten Nachricht. Sind der mitgeschickte und der neu berechnete Fingerabdruck identisch, dann ist die Integrität der Nachricht bewiesen.
2.2.3 Die Garantie der Echtheit einer digitalen Signatur
Dies erfolgt durch so genannte "digitale Zertifikate". Sie bestätigen, dass ein öffentlicher Schlüssel mit dem entsprechenden geheimen Schlüssel übereinstimmt. Ausgegeben werden solche Bestätigungen von einer Zertifizierungsstelle ("Certification Authority"). Ein gefälschter öffentlicher Schlüssel macht eine gesamte Signatur ungültig. Daher hängen sowohl Sicherheit als auch Glaubwürdigkeit von öffentlichen Schlüsseln (und damit ganzer digitaler Signaturen) von der Vertrauenswürdigkeit der CA ab. Des weiteren gibt es noch so genannte "Trust Center", sie unterscheiden sich von den CAs nur dadurch, dass sie mit symmetrischen Verschlüsselungen arbeiten.
Abb. 4: Die Anforderungen an eine PKI
2.3 Die rechtlichen Grundlagen in Deutschland
Sie werden durch das "Signaturengesetz" (SigG) und die "Signaturverordnung" (SigV) geregelt. Das SigG schafft die Grundlagen für die Rechtsgültigkeit von elektronisch verfassten Willenserklärungen. Es regelt u. a. die Genehmigung von Zertifizierungsstellen und definiert als elektronisches Äquivalent zur eigenhändigen Unterschrift die so genannte "qualifizierte Signatur". Sie ist ein Beweismittel, das auch vor Gericht anerkannt wird.Das "Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr" (IuKDG) änderte die Formvorschriften entsprechend, d. h. eine "elektronische Form mit qualifizierter Signatur" ist der bekannten Schriftform mit Unterschrift gleichwertig gestellt worden.
Die Beweislast für die Echtheit der digitalen Signatur liegt beim Absender. Im Falle eines Rechtsstreits benötigt das Gericht einen PC mit Signatur-Komponente, das signierte Dokument sowie das Zertifikat für den Signaturschlüssel des Absenders. Für nachgewiesenen Missbrauch haftet der Absender aber nur bei Verschulden. [SL]
2.4 Zwei konkrete Anwendungsbeispiele
2.4.1 SSL ("Secure Socket Layer")
SSL dient der Kommunikationssicherheit. Es baut einen abgesicherten Datenkanal zwischen zwei Internetbenutzern auf, beispielsweise einem Kunden und einem Händler. Der SSL-Standard nutzt die PKI vorwiegend zur Authentifizierung während des Verbindungsaufbaus.2.4.2 Smartcards
Smartcards sind Plastikkarten, auf denen sich ein Mikroprozessor mit Speicher befindet. Sie nehmen asymmetrische Verschlüsselungen vor, d. h. der Mikroprozessor auf der Karte generiert eine digitale Signatur. Als zusätzliches Sicherheitsmerkmal sind solche Karten meist noch mit einem PIN-Code ausgestattet.
Back to the topic site:
StudyPaper.com/Startseite/Computer/Internet
External Links to this site are permitted without prior consent.
