|
Allgemeines
Was sind elektronische Signaturen?
Elektronische Signaturen entsprechen bei elektronischen Dokumenten den herkömmlichen Unterschriften auf Papier und ähneln einem elektronischen „Fingerabdruck“. Dieser „Fingerabdruck“ bzw. diese verschlüsselte Nachricht ist sowohl dem Dokument als auch dem Unterzeichner eindeutig zugeordnet. Die elektronische Signatur stellt sicher, dass der Unterzeichner tatsächlich der Verfasser der Nachricht ist. Durch jegliche Änderungen, die im Nachhinein an dem signierten Dokument vorgenommen werden, wird die Signatur ungültig. Somit ist eine Fälschung unmöglich. Elektronische Signaturen helfen Unternehmen dabei, die Authentizität der Unterzeichner sowie die Nachvollziehbarkeit, Datenintegrität und Nachweisbarkeit von Dokumenten und Transaktionen sicherzustellen.
 Seitenanfang
Was ist CoSign?
CoSign ist die fälschungssichere, benutzerfreundliche und schnell implementierbare Lösung für elektronische Signaturen von ARX. Sie stellt eine innovative Methode dar, Dokumente, Dateien, Formulare und Transaktionen elektronisch zu signieren. Mit CoSign können Unternehmen auf einfache Weise Daten in zahlreichen Anwendungen wie Microsoft® Word, Adobe Acrobat, TIFF-Bildern und führenden Content-Management-Systemen signieren. Die von CoSign genutzte PKI-Technologie garantiert die Unterzeichnerauthentizität, Datenintegrität und Nachweisbarkeit von Dokumenten und Transaktionen. Die Funktionsweise der PKI-Umgebung wurde durch die patentierten Technologien von ARX grundlegend geändert. Die auf PKI basierende Digitalsignaturlösung CoSign ist nicht nur benutzerfreundlich und einfach zu verwalten, sondern auch kostengünstig.
Seitenanfang
Ist CoSign eine Hardware- oder eine Softwarelösung?
CoSign umfasst eine manipulationsgeschützte Hardware, die für die zentrale Schlüsselgenerierung, -speicherung und -signierung zuständig ist. Die Softwarebestandteile der Lösung dienen der Integration in Anwendungen anderer Hersteller (z. B. Microsoft Office) und Benutzerverwaltungssysteme (z. B. Active Directory).
Seitenanfang
Was ist der Unterschied zwischen digitalen und elektronischen Signaturen?
Es gibt einen klaren Unterschied zwischen digitalen und elektronischen Signaturen, obwohl diese Bezeichnungen oft synonym verwendet werden: Digitale Signaturen (auch als fortgeschrittene oder sichere elektronische Signaturen bezeichnet) sind das Ergebnis eines Verschlüsselungsvorgangs. Den digitalen Signaturen liegt der Branchenstandard Public Key Infrastructure (PKI, Infrastruktur mit öffentlichem Schlüssel) zugrunde, der die Datenintegrität und Nachweisbarkeit von Transaktionen gewährleistet. Digitale Signaturen können nicht kopiert, manipuliert oder verändert werden. Elektronische Signaturen dagegen sind lediglich die Repräsentation einer Person in Form eines digitalisierten Abbilds ihrer Unterschrift, eines Symbols, einer Sprachmarke o. ä. Sie werden in der Regel an elektronische Dokumente angehängt und können kopiert und manipuliert werden, weshalb sie leicht zu fälschen sind.
Mit CoSign wurde eine Lösung eingeführt, die beide Technologien vereint und auf diese Weise eine nicht veränderbare digitale Signatur in Kombination mit einer grafischen Identifizierung des Unterzeichners in Form eines Abbilds der Unterschrift ermöglicht.
Seitenanfang
Was unterscheidet CoSign von anderen Produkten für digitale und elektronische Signaturen?
CoSign zeichnet sich unter anderem durch die folgenden Merkmale aus:
| » |
Benutzerfreundlichkeit und einfache Implementierung |
| » |
Zuverlässige elektronische Signatur – Die Signatur stellt die Dokumentintegrität sicher und garantiert die Authentizität des Unterzeichners. |
| » |
Zentralisierte Lösung – Private Schlüssel werden einem zentralen, sicheren und manipulationsgeschützten Gerät generiert und gespeichert, so dass keine Hardware-Tokens (Smartcards, USB-Tokens usw.) benötigt werden. |
| » |
CoSign unterstützt eine Vielzahl von Anwendungen: Microsoft Word, Microsoft Excel®, Adobe Acrobat, TIFF und viele weitere. |
| » |
Alle erforderlichen Komponenten in einem Paket – Integrierte Zertifizierungsstelle (CA) zur Ausstellung und Erneuerung von Zertifikaten, Benutzerverwaltung und vieles mehr. |
| » |
Unterstützung für Benutzerverwaltungssysteme – CoSign kann mit gängigen Benutzerverwaltungsverzeichnissen synchronisiert werden, z. B. Microsoft Active Directory und Novell/NDS; alternativ steht das integrierte Benutzerverwaltungstool zur Verfügung. |
| » |
Grafische Signaturen – Die Benutzer können ihre Unterschrift über ein elektronisches Signatur-Pad hinzufügen. So wird das den Benutzern vertraute Erscheinungsbild eines unterschriebenen Dokuments sowie eine sichere und eindeutige Methode zur Versiegelung von Dokumenten erzielt. |
| » |
Standardisiertes Signaturverfahren – CoSign nutzt zur Signierung und Validierung von Dokumenten elektronische Signaturen basierend auf dem Branchenstandard „Public Key Infrastructure“ (PKI, Infrastruktur mit öffentlichem Schlüssel). Mit Hilfe dieser Standards können die Empfänger die Signaturen überprüfen, ohne zusätzliche Software installieren zu müssen. |
Seitenanfang
Wie signiert ein Benutzer ein Dokument mit CoSign?
Beispiel: Microsoft Word
| » |
Der Benutzer erstellt und speichert ein Dokument oder eine Nachricht. |
| » |
Er fügt ein Signaturfeld hinzu, indem er den Cursor an die vorgesehene Stelle setzt und auf die Signatur-Schaltfläche oben im Fenster klickt. |
| » |
Zum eigentlichen Signieren klickt der Benutzer das Signaturfeld mit der rechten Maustaste an und wählt die Signieroption (je nach Konfiguration wird er zur Eingabe eines Kennworts aufgefordert). |
| » |
Eine grafische und elektronische Signatur wird in die Anwendung eingebettet. |
Hinweis: CoSign lässt die Signierung von Dokumenten durch mehrere Benutzer zu, zum Beispiel in Workflow-Prozessen.
Seitenanfang
Q. Was sind die weltweit verifizierbaren CoSign-Zertifikate (Worldwide Verifiable Certificates)?
Bei Verwendung von CoSign, einer standardbasierenden Digitalsignaturlösung, können Empfänger von Dateien Signaturen leicht mit bereits vorhandenen verbreiteten Anwendungsprogrammen wie Adobe Reader® oder Microsoft Word® verifizieren, ohne daß sie irgendwelche Softwarezusätze installieren müßten.
Seitenanfang
Wie wird die elektronische CoSign Signatur validiert?
Der Empfänger klickt einfach mit der rechten Maustaste auf die Signatur und wählt die Validierungsoption.
Mit Hilfe der Validierung der Signatur kann der Empfänger die Identität des Unterzeichners überprüfen und den Grund sowie das Datum und die Uhrzeit der Signatur einsehen. Die Validierung gewährleistet, dass das signierte Dokument nicht manipuliert oder verändert wurde, und stellt somit beispielsweise sicher, dass der Unterzeichner zum Zeitpunkt der Signierung tatsächlich ein Mitarbeiter des Unternehmens war. CoSign erlaubt es den Empfängern, Signaturen ohne Installation zusätzlicher Software zu validieren, während bei den meisten anderen elektronischen Signaturlösungen hierfür eine proprietäre Software erforderlich ist.
Hinweis: Die Validierungsfunktion für Signaturen unterscheidet sich je nach Anwendung und Version.
Seitenanfang
Wird das Dokument durch die elektronische Signatur versiegelt?
Ja. Durch jegliche Änderung der Dokumentdaten, und sei es nur ein einziger Buchstabe, wird die elektronische Signatur ungültig (siehe auch „Architektur“). In diesem Fall entspricht die entschlüsselte Nachricht nicht der verschlüsselten Nachricht, so dass die Validierung der Signatur fehlschlägt. CoSign gewährleistet dadurch eine maximale Sicherheit und die Einhaltung gesetzlicher Vorschriften für wichtige Geschäftsprozesse.
Hinweis: Die elektronische Signatur verhindert nicht, dass ein Dokument geändert und später erneut signiert wird.
Seitenanfang
Wie kann ein Benutzer die Identität des Unterzeichners überprüfen?
Die elektronischen CoSign Signaturen authentifizieren den Inhalt von Dokumenten, indem sie den Unterzeichner dem signierten Dokument zuordnen. Jeder Unterzeichner wird durch ein von CoSign (oder einer externen vertrauenswürdigen Zertifizierungsstelle) ausgestelltes Zertifikat identifiziert. Diese Identifizierung beruht darauf, dass der Benutzer ein Mitarbeiter des Unternehmens ist.
Während des Signaturvorgangs stellt CoSign sicher, dass der befugte Benutzer Zugriff auf seinen Signaturschlüssel hat. Der Benutzer kann durch Kennwort, Einmal-Token, Biometrie oder auf andere Weise authentifiziert werden.
Seitenanfang
Was passiert mit der elektronischen Signatur, wenn das signierte Dokument geändert wird?
Durch jegliche Änderung an einem signierten Dokument wird die elektronische Signatur ungültig. Ist dies der Fall, wird der Empfänger beim Versuch, die elektronische Signatur zu validieren, darüber informiert, dass die Signatur ungültig ist. In Microsoft Word zum Beispiel wird die Signatur dann mit einem roten Kreuz versehen. Der Empfänger kann zusätzliche Informationen über die Signatur und die Authentizität des Unterzeichners anzeigen.
Seitenanfang
Welche Anwendungen und Formulare werden von CoSign unterstützt?
| » | Microsoft Word 2000/XP/2003 | | » | Crystal Reports |
| » | Microsoft Excel XP/2003 | | » | Corel WordPerfect |
| » | Microsoft InfoPath | | » | TIFF-Bilder |
| » | Adobe Reader 5/6/7 * | | » | Lotus Notes |
| » | Acrobat Standard 5/6/7 | | » | FileNet eForms |
| » | Acrobat Professional 5/6/7 | | » | Web-Anwendungen |
| » | Adobe LiveCycle (Forms Server) | | » | Verity Liquid Office |
| » | AutoCAD | | » | OpenOffice Writer |
| » | Microsoft Outlook | | » | StarOffice Writer |
| » | Microsoft Outlook Express | | » | OpenOffice Calc |
| » | Microsoft PowerPoint | | » | StarOffice Calc |
| » | Microsoft BizTalk | | | |
* Signierung mit Adobe Reader ist bei Einsatz von Adobe Document Server for Reader Extensions möglich.
Seitenanfang
Was ist der Unterschied zwischen Benutzersignaturen und Systemsignaturen?
Bei Benutzersignaturen besitzt jeder Benutzer eine eigene, ausschließlich ihm zugeordnete Signatur, ähnlich seiner persönlichen Unterschrift auf Papier. Diese Signatur wird mit Hilfe eines privaten Schlüssels erstellt. Wenn bei der Verwendung von Benutzersignaturen zwei Benutzer ein Dokument signieren, erhält dieses zwei verschiedene Signaturen, da jede Signatur mit dem privaten Schlüssel des betreffenden Benutzers erstellt wird.
Bei Systemsignaturen verwenden dagegen alle Benutzer denselben Schlüssel zum Signieren von Dokumenten. In diesem Fall weist ein Dokument, das von zwei Benutzern signiert wird, zwei exakt identische Signaturen auf.
Seitenanfang
Geschäftsvorteile
Was sind die wichtigsten Vorteile für Unternehmen, die elektronische CoSign Signaturen implementieren?
Dokumentversiegelung – CoSign liefert einen Nachweis über die Benutzerauthentizität und garantiert die Datenintegrität und Nachvollziehbarkeit der Transaktion. Mit CoSign können die Benutzer im Unternehmen ihre Dokumente und Transaktionen auf einfache Weise schützen und überwachen.
Automatisierung von Geschäftsprozessen – Bei Einsatz von CoSign entfallen der Arbeitsaufwand und die hohen Kosten, die durch Druck, Bearbeitung, Postversand, Scannen und Archivierung von Papierdokumenten verursacht werden. Mit Hilfe von CoSign können Unternehmen Transaktionen elektronisch abwickeln, die Ausgaben für papiergestützte Prozesse reduzieren und die Kosten insgesamt senken. In der Folge steigen die Mitarbeiterproduktivität und Kundenzufriedenheit.
Benutzerfreundlichkeit und schneller ROI – CoSign ist eine einfach zu installierende und zu verwaltende „All-in-One“-Lösung für auf PKI basierende, elektronische Signaturen. Sie erlaubt einen schnellen ROI und lässt sich problemlos in das Benutzerverwaltungssystem des Unternehmens integrieren, so dass keine zusätzliche Hardware erforderlich ist.
Einhaltung gesetzlicher Vorschriften – CoSign schützt Unternehmen vor Gericht, da es als Nachweis für die Einhaltung gesetzlicher Vorschriften dient. Die elektronischen CoSign Signaturen sind rechtsgültig und verbindlich, so dass Unternehmen auf diese Weise die Vorschriften und Gesetze verschiedener Länder einhalten können, z. B. FDA 21 CFR Part 11, HIPAA, E-Sign (USA), EU-Signaturrichtlinie und EU-Umsatzsteuerrichtlinie.
Seitenanfang
Wie viel kann mein Unternehmen durch CoSign einsparen?
Ihre Einsparungen können Sie mit unserem ROI-Rechner ausrechnen.
Seitenanfang
Technologie
Was ist PKI?
PKI steht für Public Key Infrastructure, d. h. Infrastruktur mit öffentlichem Schlüssel. Das Verfahren wird auch als asymmetrische Kryptographie bezeichnet und stellt jedem Benutzer ein Schlüsselpaar zur Verfügung, das aus einem privaten und einem öffentlichen Schlüssel besteht. Beide zusammen werden in jeder Signatur verwendet. Wie der Name schon sagt, ist der private Schlüssel vertraulich und wird sicher in der CoSign Hardware gespeichert. Er dient zur Signierung und versieht das Dokument mit einem „Fingerabdruck“, während der öffentliche Schlüssel anderen Personen zur Verfügung gestellt wird, die mit ihm die elektronische Signatur des Absenders validieren können. PKI umfasst verschiedene Komponenten, unter anderem die Zertifizierungsstelle (Certificate Authority, CA), Software für die Registrierung der Endbenutzer sowie Tools zum Verwalten, Erneuern und Widerrufen von Zertifikaten. CoSign bietet alle diese Komponenten in einem Paket.
Seitenanfang
Wodurch unterscheidet sich CoSign von herkömmlichen PKI-Lösungen?
Herkömmliche PKI-Lösungen sind kostspielig und schwierig zu implementieren. Da eine PKI-Umgebung so viele Komponenten umfasst – Zertifizierungsstelle (CA), Schlüsselspeicher (Hardware oder Software), Verwaltungsanwendung und Signaturanwendungen (Workflow-Software, ERP, E-Mail oder jede andere Anwendung) –, ist ihre Integration ein langwieriger, komplexer Prozess.
ARX hat sich zum Ziel gesetzt, PKI für Unternehmen jeder Größe erschwinglich und benutzerfreundlich zu machen. ARX hat mit seinen patentierten Technologien und der Entwicklung der einfach zu bedienenden und kostengünstigen elektronischen Signaturlösung CoSign die PKI-Umgebung nachhaltig verändert.
CoSign lässt sich schnell implementieren und umfasst ALLE Komponenten einer elektronischen Signaturlösung in einem Paket. CoSign löst komplexe Implementierungsprobleme und führt zu einer deutlichen Senkung der Gesamtbetriebskosten (TCO) von elektronischen Signaturen. Mit CoSign können neue Benutzer automatisch im PKI-System registriert werden, das heißt, das System erstellt die Schlüssel, stellt Zertifikate aus und erneuert sie. Damit ist eine einfache Bedienung des Systems jederzeit gewährleistet. Unternehmen können ihre Benutzer wahlweise innerhalb von CoSign oder über Microsoft Active Directory und Novell NDS verwalten.
Seitenanfang
Welche Benutzerverwaltungssysteme werden von CoSign unterstützt?
CoSign lässt sich nahtlos in das Netzwerk und das Benutzerverwaltungssystem Ihres Unternehmens einbinden. Die Technologie ist vollständig in gängige Verzeichnisse wie Microsoft Active Directory und Novell NDS integrierbar. Andere Verzeichnisse und proprietäre Benutzerverwaltungssysteme lassen sich ebenfalls leicht integrieren.
Seitenanfang
Wie wird CoSign in bestehende Lösungen integriert, beispielsweise Dokumentmanagement- (DM) und Content-Management-Systeme (ECM)?
CoSign bietet eine sofort einsatzbereite Signaturlösung für gängige Anwendungen wie Microsoft Word und Adobe Acrobat. Darüber hinaus bietet die Lösung eine praktische Signature API (SAPI), die eine schnelle und komfortable Integration in Anwendungen anderer Hersteller oder Eigenentwicklungen erlaubt.
Seitenanfang
Einhaltung gesetzlicher Vorschriften
Erfüllt CoSign bestehende Vorschriften zu elektronischen Signaturen?
Für viele Unternehmen ist es äußerst wichtig, mit PKI-basierten Verfahren, die genauesten Vorgaben genügen, für den lückenlosen Schutz ihrer Daten zu sorgen. CoSign erfüllt die strengsten, weltweit anerkannten Vorschriften, so dass Unternehmen mit Hilfe dieser integrierten Funktion alle relevanten Gesetze und Verordnungen einhalten können.
CoSign erfüllt zahlreiche weltweite Vorschriften:
| » |
FDA 21 CFR Part 11 |
| » |
Health Insurance Portability and Accountability (HIPAA) |
| » |
E-Sign (Electronic Signature in Global and national Commerce Act) |
| » |
EU-Umsatzsteuerrichtlinie |
| » |
EU-Richtlinie über elektronische Signaturen |
| » |
Uniform Electronic Commerce Act (UECA) |
| » |
ISO |
| » |
Financial Services Modernization Act von 1999 (Gramm-Leach-Bliley) |
| » |
Sarbanes Oxley |
| » |
FAA CFR Title 14. Unterstützt werden hierbei:
| » |
Luftfahrtunternehmen unter 14 CFR Part 121, 129 oder 135 |
| » |
Betreiber unter 14 CFR Part 91, 125, 133 oder 137 |
| » |
Personen, die Piloten zertifizieren, unter 14 CFR Part 61, 63, 65, 141 und 142 |
| » |
Personen, die Wartungsarbeiten ausführen, unter 14 CFR Part 43 |
| » |
Reparaturstationen unter 14 CFR Part 145 |
| » |
Technische Schulen für Luftfahrtwartung 14 CFR Part 147 |
|
Klicken Sie hier, um von Rechtsexperten mehr darüber zu erfahren, wie CoSign die EU-Richtlinie erfüllt.
Seitenanfang
Erfüllt CoSign die Anforderungen an eine „fortgeschrittene elektronische Signatur“ laut Definition?
Während die EU-Richtlinie möglichst technologieneutral gehalten wurde, bezieht sich diese Definition in der Praxis auf Signaturen, die auf einer Infrastruktur mit öffentlichem Schlüssel (PKI) beruhen. Dies geht sogar ausdrücklich aus dem Bericht über die Anwendung der Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen hervor.
Somit entspricht praktisch jede auf PKI basierende Lösung den Anforderungen der Definition. In der EU-Richtlinie wurde im Prinzip die Funktionsweise der PKI in die folgenden vier Anforderungen an eine fortgeschrittene elektronische Signatur „rückübersetzt“:
| 1 |
Sie ist ausschließlich dem Unterzeichner zugeordnet. |
| 2 |
Sie ermöglicht die Identifizierung des Unterzeichners. |
| 3 |
Sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle hat. |
| 4 |
Sie ist so mit den Daten, auf die sie sich bezieht, verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann. |
So erfüllt CoSign diese vier Anforderungen:
| 1 |
CoSign basiert auf dem standardisierten PKI-Verfahren; somit verfügt jeder Benutzer über einen privaten Schlüssel für die Signierung von Dokumenten. |
| 2 |
Jede elektronische CoSign Signatur ist mit einem digitalen Zertifikat (Standard X.590) verknüpft, das Informationen wie Firmenname, Unterzeichnername und E-Mail-Adresse enthält, anhand derer der Unterzeichner eindeutig identifiziert werden kann. |
| 3 |
CoSign verlangt eine Benutzerauthentifizierung, bevor der Benutzer auf seinen privaten Schlüssel zugreifen und diesen zur Signierung eines Dokuments verwenden kann. Die Benutzerauthentifizierung kann gemäß den entsprechenden Bestimmungen des Unternehmens erfolgen, z. B. über Benutzername und Kennwort, Einmalkennwort (OTP) oder Smartcard. |
| 4 |
Die vierte Anforderung ist eine der wichtigsten, da sie gewährleistet, dass das signierte Dokument nicht nachträglich gefälscht/geändert werden kann. Wenn eine CoSign Signatur beispielsweise in Word validiert wird, zeigt ein Häkchen an, dass die signierten Daten nicht verändert wurden, während ein Kreuz darauf hinweist, dass die signierten Daten nachträglich geändert wurden. Damit Änderungen erkannt werden können, wird während des Signiervorgangs ein eindeutiger „Fingerabdruck“ für das Dokument (der sogenannte Dokument-Hash) berechnet und im Signaturobjekt gespeichert. Bei der Validierung der Signatur wird der Fingerabdruck erneut berechnet und mit dem gespeicherten Dokument-Hash verglichen. Sind die Werte identisch, wurde das Dokument nach dem Signieren nicht verändert, weichen sie jedoch voneinander ab, wurden an dem signierten Dokument nachträglich Änderungen vorgenommen. |
Seitenanfang
Ist CoSign eine sichere Signaturerstellungseinheit?
Die europäische Richtlinie (Richtlinie 1999/93/EG über elektronische Signaturen) definiert sichere Signaturerstellungseinheiten wie folgt:
1. Sichere Signaturerstellungseinheiten müssen durch geeignete Technik und Verfahren zumindest gewährleisten, dass:
| » |
die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten praktisch nur einmal auftreten können und dass ihre Geheimhaltung hinreichend gewährleistet ist; |
| » |
die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können und die Signatur vor Fälschungen bei Verwendung der jeweils verfügbaren Technologie geschützt ist; |
| » |
die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten von dem rechtmäßigen Unterzeichner vor der Verwendung durch andere verlässlich geschützt werden können. |
2. Sichere Signaturerstellungseinheiten verändern die zu unterzeichnenden Daten nicht und verhindern nicht, dass diese Daten dem Unterzeichner vor dem Signaturvorgang dargestellt werden.
CoSign wurde von ARX selbst als sichere Signaturerstellungseinheit qualifiziert. Zudem wird CoSign derzeit von einem akkreditierten Prüfinstitut anhand der Common Criteria (EAL 4+) gemäß CWA 14169 (Schutzprofil für sichere Signaturerstellungseinheiten) geprüft.
Klicken Sie hier, um die Meinung von Rechtsexperten über CoSign zu lesen.
Seitenanfang
Architektur
Wie funktioniert CoSign?
Die Technologie, auf die CoSign aufbaut, beruht auf dem Branchenstandard Public Key Infrastructure (PKI, Infrastruktur mit öffentlichem Schlüssel). Die PKI ordnet jedem Benutzer ein Schlüsselpaar zu, das aus einem privaten und einem öffentlichen Schlüssel besteht und bei jeder Signatur verwendet wird. Wie der Name schon sagt, ist der private Schlüssel vertraulich und wird in der sicheren CoSign Hardware gespeichert. Er dient zur Signierung und versieht das Dokument mit einem „Fingerabdruck“. Der öffentliche Schlüssel dagegen wird anderen Personen zur Verfügung gestellt und dient zur Validierung der elektronischen Signatur. Für elektronische Signaturen wird sowohl bei der Erstellung als auch bei der Validierung eine als Hashing bezeichnete Kryptographiefunktion eingesetzt. Die Hash-Funktion ist ein Algorithmus, der eine elektronische Darstellung („Fingerabdruck“) sowie eine sogenannte Message Digest (Prüfsumme) erstellt, die die Daten identifizierbar macht. Die elektronische Signierung umfasst zwei Vorgänge, von denen der eine vom Unterzeichner und der andere vom Empfänger ausgeführt wird.
Die folgende Abbildung erläutert das Verfahren der elektronischen Signaturen an einem Beispiel. Bob möchte auf sichere Weise ein Dokument an Alice senden:
Bob sendet ein elektronisch signiertes Dokument an Alice, und Alice validiert die Authentizität des Dokuments.
Bob signiert das Dokument elektronisch mit CoSign:
1. Bob erstellt das Dokument, das signiert und gesendet werden soll.
2. In der CoSign Client-Software auf Bobs Computer wird ein Hash-Wert (Fingerabdruck, Message Digest) für das Dokument berechnet. Dieser Hash-Wert bzw. Message Digest ist eine kryptographische Zusammenfassung der Originalnachricht.
3. Der Hash-Wert wird in der CoSign Hardware mit Bobs privatem Schlüssel elektronisch signiert. Die elektronische Signatur resultiert aus der Anwendung einer RSA-Signaturoperation auf den Hash-Wert.
4. Die resultierende elektronische Signatur und das Zertifikat von Bob werden an das signierte Dokument angehängt.
5. Das elektronisch signierte Dokument wird an Alice gesendet.
Alice erhält das signierte Dokument:
6. Alice verwendet Bobs öffentlichen Schlüssel, um die Signatur zu validieren. Sie kann die Zertifikatdetails anzeigen, um Bobs Identität zu überprüfen. Bobs öffentlicher Schlüssel wird aus seinem Zertifikat extrahiert und zur Entschlüsselung der Signatur verwendet, so dass diese wieder in den ursprünglich berechneten Hash-Wert umgewandelt wird.
7. Der Hash-Wert des empfangenen Dokuments wird berechnet und mit dem Hash-Wert aus Schritt 6 verglichen.
Wenn die beiden Hash-Werte identisch sind, weiß Alice, dass:
a. Bob die Nachricht signiert hat und
b. die Nachricht nicht manipuliert wurde.
Hinweis: Wenn die Nachricht manipuliert wurde, entspricht der berechnete Hash-Wert nicht dem Hash-Wert aus Schritt 6, und die Validierung der Signatur schlägt fehl. Die von CoSign erstellte elektronische Signatur gewährleistet, dass selbst die kleinste Veränderung eines Dokuments automatisch die Signatur ungültig macht. CoSign erstellt eine elektronische Signatur, die weder dupliziert noch verändert oder manipuliert werden kann, wodurch die Nachweisbarkeit von Dokumenten und Transaktionen gewährleistet ist.
Da nur Bob seinen privaten Schlüssel kennt und dieser nicht aus seinem öffentlichen Schlüssel berechnet werden kann, sind Datenintegrität und Nachweisbarkeit sichergestellt. Der Unterzeichner kann nicht abstreiten, dass er das Dokument signiert hat.
Alle oben beschriebenen Vorgänge laufen im Hintergrund ab, zur eigentlichen Signierung und Validierung reichen wenige Mausklicks.
Seitenanfang
Ich habe keine Antwort auf meine Frage gefunden. An wen kann ich mich wenden?
Wenn Sie weitere Fragen zu elektronischen Signaturen haben, nehmen Sie Kontakt mit uns auf.
Seitenanfang
|
