Eine digitale Signatur ist das Pendant zu einer klassischen Unterschrift in der digitalen Welt. Jede Mail, jeder Text oder sogar Bilder und Musik können signiert werden. Dazu wird zuerst eine so genannte Prüfsumme berechnet. Jedes Zeichen erhält einen Wert und die Werte werden zusammengerechnet. Ein Beispiel: Wenn jeder Buchstabe den Wert der Position im Alphabet (von a=1 bis z=26) erhält, dann hat das Wort Regal die Prüfsumme (18+5+7+1+12)= 43. In der Informatik ist die Berechnung etwas komplizierter, denn der Rechner kennt nur die Zahlen „1“ und „0“. Außerdem muss auch die Position der einzelnen Buchstaben einen Wert bekommen, denn sonst hätte das Wort Regal die gleiche Prüfsumme wie das Wort Lager. Wichtig ist, dass es keine Texte geben kann, welche die gleiche Prüfsumme haben.
Um die digitale Signatur genau so einzigartig wie die eigene Unterschrift zu machen, wird diese Prüfsumme noch verschlüsselt und zwar mit einem so genannten asymmetrischen Verschlüsselungsverfahren. Dazu werden zwei Schlüssel, also Zahlencodes, generiert, ein privater und ein öffentlicher Schlüssel. Die Besonderheit von solchen Schlüsseln ist, dass sie entweder verschlüsseln oder entschlüsseln können. Kein Schlüssel kann beides.
Um die digitale Signatur herzustellen, verwendet der Absender seinen privaten Schlüssel. Um zu prüfen, ob die Unterschrift echt ist, braucht der Empfänger den öffentlichen Schlüssel des Absenders. Da der öffentliche Schlüssel nur entschlüsselt, kann der Empfänger einer digitalen Signatur diese nur lesen, aber nicht fälschen.
Eine wichtige Voraussetzung für die Nutzung der digitalen Signatur ist, dass der Empfänger den öffentlichen Schlüssel des Absenders besitzt. Am besten und am sichersten ist es, wenn man die öffentlichen Schlüssel persönlich tauscht, etwa per USB-Stick. Hat man aber keinen direkten Kontakt zu dem Absender, dann können die Schlüssel über eine dritte Person ausgetauscht werden. Diese Person den man bereits vertraut, übernimmt die Garantie dass der öffentlichen Schlüssel des Kommunikationspartners tatsächlich von ihm ist.
Open PGP und PGP
Die Software PGP (Pretty Good Privacy) wurde Anfang der Neunziger Jahre von dem Amerikaner Philip Zimmermann entwickelt. Heute gibt es zwei Versionen davon: PGP und Open PGP. Die erste Version ist kommerziell und wird von der gleichnamigen Firma vertrieben. Die zweite ist frei erhältlich und kann im Internet umsonst heruntergeladen werden. Eine für Windows Benutzer empfehlenswerte Weiterentwicklung von Open PGP ist gpg4win . Die Software fügt einen Zusatzfunktion (Add in) in das E-Mail Programm hinzu. Am Ende der Installation von gpg4win wird der Benutzer aufgefordert, die eigenen Schlüssel zu generieren. Der private Schlüssel muss mit einem Passsatz geschützt werden. Im Unterschied zum Passwort besteht ein Passsatz aus den ersten Buchstaben der Wörter eines Satzes. Aus: “Das also ist des Pudels Kern” wird “DaidPK”. Der Vorteil gegenüber dem Passwort: Er ist schwerer zu erraten und damit sicherer. Wenn man eine signierte Email verschicken will, muss man wie gewohnt das E-Mail-Programm starten, den Text schreiben und dann die Zusatzfunktionen des E-Mail-Programms aufrufen. Bei Outlook muss man beispielsweise in der Symbolleiste auf “Add-Ins” klicken. Open PGP fügt zwei Schaltflächen ein: die erste dient zur Verschlüsselung der ganzen Mail, die zweite zur Herstellung der digitalen Signatur.
Die Signatur wird als Anhang zu der Mail verschickt. Sie ist durch die letzten drei Buchstaben .asc im Dateinamen zu erkennen. Um sie zu prüfen, muss der Empfänger einfach auf die entsprechende Fläche im Emailprogramm klicken - vorausgesetzt er ist im Besitz der öffentlichen Schlüssel des Absenders.
Quelle: Lonardo Newsletter vom 29.10.2008