DIGITALE SIGNATUREN IN DER BLOCKCHAIN: EINE EINFÜHRUNG

- Falk Borgmann

Über Signaturen, Verschlüsselung und PKI

Das Thema digitaler Signaturen und anderer Sicherungsmaßnahmen wird immer präsenter – in Unternehmen genauso wie im privaten Anwendungsbereich. Im Sinne einer vollständigen Bewertung aus Entscheider-Perspektive ist es zunächst wichtig, die Grundlagen zu verstehen, vor allem den Unterschied zwischen den zunächst recht ähnlich klingenden Verfahren. Damit befasst sich dieser erste Beitrag zum Thema.

Bei der Verwendung digitaler Signaturen geht es darum, einen Datensatz (z.B. eine E-Mail) elektronisch von Instanz A zu Instanz B zu übermitteln und gleichzeitig sicherzustellen, dass die empfangenen Informationen wirklich identisch mit den versendeten sind. Dabei wird heutzutage meist ein asynchrones (2-stufiges) Verfahren mittels eines so genannten privaten Schlüssels (Private Key) zur Signierung und eines öffentlichen Schlüssels (Public Key) zur Verifikation verwendet. Bei einem Signaturverfahren ist der Inhalt einer Nachricht aber nicht davor geschützt, durch einen unbefugten Dritten gelesen zu werden. Die klassische digitale Singnatur hilft also lediglich dabei, die Authentizität der Inhalte sicherzustellen und den Versender zu identifizieren, kann aber den Content an sich nicht vor illegalem Zugriff schützen.

Anders verhält es sich bei einer Verschlüsselung. Hier geht es tatsächlich darum, den Inhalt einer Nachricht für einen unbefugten Dritten unlesbar zu machen. In der realen Welt werden beide Verfahren oft miteinander kombiniert. Im allgemeinen Sprachgebrauch wird in dieser Kombination oft auch von einer „elektronischen Signatur“ gesprochen. Hierbei handelt es sich streng genommen lediglich um einen juristischen Begriff, der in Deutschland wiederum in drei Gruppen gegliedert wird:

1. Allgemeine elektronische Signatur
2. Fortgeschrittene elektronische Signatur
3. Qualifizierte elektronische Signatur.

Die juristischen Unterschiede zwischen diesen drei Stufen liegen in deren Beweiskraft, wobei die qualifizierte elektronische Signatur die höchste Stufe im juristischen Sinne darstellt. In diesem Kontext kommen häufig so genannte PKI-Verfahren (PKI = Public Key Infrastructure) zum Einsatz, in denen die Certificate Authority (CA) eine entscheidende Rolle spielt. Eine CA stellt in einem PKI-Verfahren als neutrale Instanz Zertifikate für die beglaubigte Nutzung eines Public Keys des Versenders aus. Möchte man Daten auf diese Weise versenden, muss der Versender also ein Public-Key-Zertifikat bei einer CA beantragen. In diesem Zuge sollte auch die Identität des Antragstellers durch die CA geprüft werden.

Ein öffentlicher Schlüssel wird erst nach der Überprüfung samt Zertifikat bereitgestellt. Potenzielle Datenempfänger nutzen diesen Key, um beim Lesen einer Nachricht über die CA-Instanz zu validieren, ob der verwendete öffentliche Schlüssel des Versenders wirklich gültig ist. So kann der Empfänger die mit dem Private Key signierte Nachricht des Versenders auf Authentizität überprüfen. Die CA bildet quasi den neutralen Intermediär in dem Verfahren.

Die zwei wesentlichen Schwachstellen bei einer Signatur/Verschlüsselung im PKI-Verfahren sind Angriffe auf den Private Key oder sogar auf die CA selbst. Wird der Private Key gestohlen, kann ein Dieb theoretisch alle Nachrichten des Opfers entschlüsseln und auch eigene Nachrichten mit dem Schlüssel des Bestohlenen signieren. Wird die CA selbst angegriffen, sind die Auswirkungen noch gravierender. Im Jahr 2011 gelang es einem Angreifer beispielsweise, sich über eine gehackte CA-Instanz selbst Zertifikate für Domains wie mail.google.com und login.yahoo.com ausstellen zu lassen.

Share