Fortgeschr. VS. qualifizierte el. Signatur ?

Cogito_Ergo_Sum · 8. Januar 2004 um 14:02

Hallo,

wer kann mir konkret sagen was der Unterschied zw. beiden ist. Den Gesetzestext (Signaturgesetz) habe ich gelesen. Nur ist das daraus sehr schlecht ersichtlich.

Grundsätzlich hat diese Frage ja wohl mit dem PrivateKey & dem Zertifikat selbst nichts mehr zu tun?
Denn auch das Zertifikat für eine forgeschrittene el. Signatur muss über eine Vertrauenswürdige Instanz auf Basis entsprechender Richtlinen herausgegeben/bestätigt werden. Somit wäre das Zertifikat selbst bei beiden das Selbe.

Wichtig ist wohl für die qualifizierende el. Signatur eine Art Verfahrensdokumentation und insbesondere auch die Software auf Clientseite. Denn ein noch so „sicheres“ Zertifikat bringt nichts, wenn man die Unterschrift dann mit irgendwelcher Software macht die das Dokument vor Unterzeichnenen noch kurz und heimlich! manipuliert.
Das scheint ein sehr wichtiger Punkt die die qual. el. Sig zu sein.

Nur geht das aus dem Gesetzestext meiner Ansicht nach absolut nicht hervor.
Wer hat dazu ein paar gute Links die sich mit dem Thema beschäftigen und genau die Unterschiede zw. beiden Signaturen aufzeigen und konkretisieren was für eine qual. el. Signatur notwendig ist.

Vielen Dank
Tom

Stefan_Schustereit · 8. Januar 2004 um 15:02

wer kann mir konkret sagen was der Unterschied zw. beiden ist.

Eine qualifizierte Signatur wird von einer zugelassenen Certificate
Authority (CA)herausgegeben, wie beispielsweise ein qualifiziertes
SSL-Zertifikat für einen Webserver. Das erfolgt durch „anerkannte
Stellen“, wie sich das Bundesamt für Sicherheit in der
Informationstechnik schwammig ausdrückt.

Eine fortgeschrittene Signatur kann jeder selber herausgeben,
beispielsweise mit PGP oder GnuPG. Somit ist man selber die CA, und
das ist halt fortgeschritten, aber keinesfalls qualifiziert

Grundsätzlich hat diese Frage ja wohl mit dem PrivateKey & dem
Zertifikat selbst nichts mehr zu tun?

Doch. Dein Private Key wird durch eine CA signiert. Somit steht die
CA für die Richtigkeit des Schlüssels gerade. Die „anerkannte Stelle“
ordnet den Schlüssel einer natürlichen Person zu (also nicht etwa
einem Unternehmen).

Denn auch das Zertifikat für eine forgeschrittene el. Signatur
muss über eine Vertrauenswürdige Instanz auf Basis
entsprechender Richtlinen herausgegeben/bestätigt werden.

Nein, muss sie nicht. Sie muss nur die Unverfälschtheit des
Dokumentes garantieren (im Gegensatz zur einfachen Signatur).

Denn ein noch so „sicheres“ Zertifikat bringt
nichts, wenn man die Unterschrift dann mit irgendwelcher
Software macht die das Dokument vor Unterzeichnenen noch kurz
und heimlich! manipuliert.

Das ist mit einer qualifizierten Signatur nicht möglich, denn das
signierte Dokument kann ja vom Empfänger überprüft werden, indem er
die CA die Gültigkeit der Signatur bestätigen lässt.

Wer hat dazu ein paar gute Links die sich mit dem Thema
beschäftigen und genau die Unterschiede zw. beiden Signaturen
aufzeigen und konkretisieren was für eine qual. el. Signatur
notwendig ist.

Es gibt keine guten Links. Einer davon ist http://www.bsi.de/esig/
index.htm

Gruß,
Stefan

Cogito_Ergo_Sum · 9. Januar 2004 um 13:43

Danke!
Hallo Stefan

vielen Dank für deine Antwort!
Schade dass der Gesetzgeber die Gesetzestexte so „auslegungs- und erklärungsbedürftig“ schreibt…

Danke und viele Grüße
Thomas