Digitale Signatur und digitales Zertifikat – eine einfache Anleitung

Bevor die Welt mit der Digitalisierung begann, war sie stark auf unterzeichnete Papiere angewiesen, um verschiedene Parteien bei Transaktionen und verschiedenen Arten von Vereinbarungen zu genehmigen, zu authentifizieren und haftbar zu machen. Die digitale Signatur und das digitale Zertifikat sind ein moderner Ersatz für Standardsignaturen. 

Deutlich schneller als das Versenden von Papieren per Post und das Versenden von Dokumenten per Fax kam die digitale Signatur verschiedenen Unternehmen zu Hilfe. 

Was ist eine digitale Signatur? 

Eine digitale Signatur ist eine elektronische Überprüfung des Absenders eines Dokuments, mit der der Empfänger feststellen kann, ob der ursprüngliche Inhalt von einem Vermittler geändert wurde. 

Der private Schlüssel und der öffentliche Schlüssel sind die beiden wesentlichen Elemente einer digitalen Signatur, die gleichzeitig von einem dedizierten Algorithmus erstellt werden. Obwohl sie so geschaffen sind, dass sie mathematisch verwandt sind, werden sie sich im Aussehen unterscheiden. 

Eine digitale Signatur dient drei Zwecken: 

1. Authentifizierung – Der Empfänger kann die Urheberschaft einer Nachricht feststellen und feststellen, ob der Absender der ist, für den er sich ausgibt. 
2. Nicht-Zurückweisung – Der Absender kann später nicht leugnen, die Nachricht gesendet zu haben, und kann für die unveränderte Nachricht zur Rechenschaft gezogen werden. 
3. Integrität – Die Nachricht wurde nicht geändert. 

Tatsächlich ist die digitale Signatur in den Vereinigten Staaten, der Europäischen Union, der Schweiz, Südafrika, Algerien, der Türkei, Indien, Brasilien, Indonesien, Mexiko, Saudi-Arabien, Uruguay und Chile rechtsgültig. 

Wie erstelle ich eine digitale Signatur? 

Um eine digitale Signatur zu erstellen, müssen Sie die Nachricht mit Ihrem privaten Schlüssel signieren.  

Der private Schlüssel ist das Element dieser Gleichung, das nur Sie besitzen, und indem Sie ihn bereitstellen, beweisen Sie, dass Sie derjenige sind, der ein Dokument signiert hat. 

Zuerst hashen Sie den Klartext, um die unveränderte Version der Nachricht aufzuzeichnen, die Sie senden möchten.  

RANDNOTIZ. Hashing ist die Umwandlung eines bestimmten Inhalts beliebiger Länge in einen kürzeren Wert fester Länge. 

Der heutzutage am meisten bevorzugte Hashing-Algorithmus ist SHA256 (Secure Hashing Algorithm). Denken Sie daran, dass Hashing ein Einwegprozess ist und eine kleine Änderung in der Eingabe die gesamte Ausgabe ändert.  

Als nächstes verschlüsseln Sie den Hash des Klartextes mit Ihrem privaten Schlüssel, was zur digitalen Signatur führt. 

Sie hängen die digitale Signatur an das Klartextdokument an und senden es. 

Durch asymmetrische Verschlüsselung, kann der Empfänger Ihre digitale Signatur entschlüsseln und den Hash des Klartexts mit dem von Ihnen bereitgestellten Hash vergleichen.  

Sie fragen sich also vielleicht, wie Sie ein Dokument hashen. Glücklicherweise erledigt dies ein Programm auf Ihrem Computer automatisch für Sie.  

So erzeugen Sie unter Windows 7/8/10 den Hash eines Dokuments: 

1. Greifen Sie auf die „Eingabeaufforderung“ zu;  
2. Geben Sie „certutil – hashfile“ ein 
3. Legen Sie das Dokument in der „Eingabeaufforderung“ ab. 
4. Fügen Sie am Ende der Zeile „SHA256“ hinzu. 

Ihre letzte Zeile sollte in etwa so aussehen: 

certutil -hashfile „C:\Benutzer\Computer\Desktop\Datei.docx“ SHA256 

Dadurch zeigt die Konsole einen Code mit 256 Bit / 64 Hexadezimalzeichen an, der den Inhalt Ihrer Datei darstellt. 

Aber woher bekommt man einen privaten Schlüssel und einen öffentlichen Schlüssel? 

Das ist auch ganz einfach.  

Sie können sie über Software, eine Online-Plattform oder über eine bei einer Zertifizierungsstelle registrierte Public Key Infrastructure (PKI) generieren. 

RANDNOTIZ. Die PKI ist ein akzeptiertes Format zur Verwaltung der Public-Key-Verschlüsselung, das die höchste Sicherheitsstufe und universelle Akzeptanz bietet.  

Wie fügen Sie dann eine digitale Signatur mit einem privaten Schlüssel zu einem Dokument hinzu? 

Dafür müssen Sie wiederum dedizierte Software wie Sign Server, Safe pdf oder DocuSign verwenden. 

Wobei hilft es? 

Nehmen wir ein fiktives Szenario, wie eine digitale Signatur Sie schützen kann.  

Sie schließen digital einen Vertrag mit einem Anbieter im Ausland für die Auslagerung von Dienstleistungen ab.  

Nachdem Sie sich auf die Allgemeinen Geschäftsbedingungen und einen Stundensatz von 20 $ geeinigt haben, haben Sie das Dokument gehasht, unterschrieben und dann an den Anbieter zurückgeschickt. 

Und hier kommt das Problem.  

Der unterzeichnete Vertrag muss zum Manager des Outsourcing-Unternehmens gelangen, aber ein gieriger Verkäufer ändert den Stundensatz auf 30 $/Stunde, damit er eine höhere Provision verdienen kann. Als es Zeit zum Bezahlen ist, stellen Sie plötzlich fest, dass der Preis höher ist als das, was Sie vereinbart haben. 

Wie beweisen Sie, dass das Dokument manipuliert wurde?  

Der Manager war sich dessen nicht bewusst, war aber bereit, die Situation zu klären. Sie bitten ihn also, den öffentlichen Schlüssel zu verwenden, um Ihre Signatur zu entschlüsseln und den Hash zu überprüfen. Auf diese Weise kann er den Unterschied in der Hash-Ausgabe erkennen und feststellen, dass der Vertrag geändert wurde.  

Und selbst wenn der Manager nicht zur Zusammenarbeit bereit ist, können Sie ihn vor Gericht bringen, beweisen, dass Sie im Recht sind, und ihn zur Rechenschaft ziehen. 

Digitale Signatur in Blockchain 

Die Blockchain von Bitcoin verwendet den SHA256-Algorithmus und die digitale Signatur, um die Unveränderlichkeit der darauf gespeicherten Informationen sicherzustellen Blockchain. Die digitale Signatur hilft dabei, den Überblick über Transaktionen zu behalten und Doppelausgaben zu vermeiden. 

Die Transaktionen werden als Eingabe genommen und durch einen Hash-Algorithmus geleitet und dann als Ausgabe mit fester Länge zurückgegeben. Die Daten werden dann innerhalb eines Blocks hinzugefügt. Der Block enthält auch einen Hash-Zeiger, der auf den vorherigen Block zeigt.  

Der Hash-Zeiger enthält den Hash aller Daten innerhalb des vorherigen Blocks. Jede geringfügige Änderung der in einem Block enthaltenen Daten führt zu einer drastischen Änderung des Hashs. Die Änderung betrifft nicht nur den aktuellen, sondern auch alle vorherigen Blöcke und macht sie somit ungültig. 

Was ist ein digitales Zertifikat? 

Wie Sie vielleicht schon erraten haben, ist es nicht so kompliziert, eine digitale Signatur zu erstellen und zu verwenden. Genau hier liegt seine Schwäche.  

Eine böswillige Partei kann versuchen, eine digitale Signatur und einen öffentlichen Schlüssel zu erstellen, um vorzugeben, jemand anderes zu sein. Wenn eine Person eine solche digital signierte Nachricht erhält und zu dem Schluss kommt, dass das Dokument echt ist, wird diese Person einem Informationsangriff der böswilligen Partei ausgesetzt.  

Die digitale Signatur allein verifiziert nicht die wahre Identität des Absenders und sein öffentlicher Schlüssel ist daher nicht authentifiziert. 

Dieses Problem wird jedoch durch ein digitales Zertifikat gelöst. Ein digitales Zertifikat ist ein elektronischer Berechtigungsnachweis, der von einer Zertifizierungsstelle ausgestellt wird.  

Die Zertifizierungsstelle registriert über eine PKI die Identität des Eigentümers und verifiziert auch, dass der Eigentümer den öffentlichen Schlüssel tatsächlich besitzt. 

Das digitale Zertifikat enthält normalerweise den Namen des Eigentümers, den öffentlichen Schlüssel, die Zertifizierungsstelle und die digitale Signatur. Auf diese Weise wird das Risiko, eine digitale Signatur von einer böswilligen Partei zu erhalten, erheblich reduziert. 

Wie erstelle ich ein digitales Zertifikat? 

Es gibt hauptsächlich zwei Möglichkeiten, ein digitales Zertifikat zu erstellen: 

1. Sie erstellen ein selbstsigniertes Zertifikat. 
2. Sie fordern es von einer Zertifizierungsstelle (CA) an. 

1. Selbstsigniertes Zertifikat 

Es gibt mehrere Methoden, um ein selbstsigniertes Zertifikat zu erstellen, aber um den Prozess zu verstehen, beziehen wir uns auf das selbstsignierte X509-Zertifikat. Sie können alles selbst in OpenSSL erstellen. 

Öffnen Sie einfach die Eingabeaufforderung und geben Sie „openssl“ ein. 

Geben Sie als Nächstes „OpenSSL req -x509 -days 365 -newkey rsa:2048 -keyout my-key.pem -out my-cert.pem“ ein. 

Und während dies für einige von Ihnen wie Kauderwelsch aussehen mag, lassen Sie uns sehen, was das alles bedeutet: 

• „Req“ bedeutet, dass es sich um eine Zertifikatsanforderung handelt; 
• 'x509' bezeichnet die Art des Zertifikats; 
• „365“ gibt die Anzahl der Tage an, die es gültig sein wird; 
• „newkey“ bedeutet, dass es sich um ein neues Zertifikat handelt;
• 'Keyout' wird die Schlüsseldatei sein.

Danach können Sie den privaten Schlüssel erstellen und Identifikationsinformationen hinzufügen.  

Sie finden eine Schritt-für-Schritt-Anleitung hier. 

Ein selbstsigniertes digitales Zertifikat bietet jedoch nur Verschlüsselung, aber kein Vertrauen. Ein solches Zertifikat ist ein leichtes Ziel für Hacker. Sie können es replizieren und vorgeben, der „Emittent“ zu sein, und mit dem Phishing nach persönlichen Informationen beginnen. 

Tatsächlich werden Websites, die selbstsignierte SSL-Zertifikate verwenden, von Internetbrowsern als „nicht vertrauenswürdig“ markiert. 

2. CA ausgestelltes Zertifikat 

Das von einer Zertifizierungsstelle validierte digitale Zertifikat ist die vertrauenswürdigere und sicherere Methode. Es ist auch einfacher zu bekommen, aber es kann eine Gebühr bedeuten.  

Die Zertifizierungsstelle verlangt normalerweise eine Gebühr für die Ausstellung eines Zertifikats, und Sie können entweder nur ihr Zertifikat anfordern oder sie bitten, die gesamte PKI zu verwalten. 

Wenn Sie ein einfaches Zertifikat benötigen, können Sie sie telefonisch oder per E-Mail kontaktieren. Sie überprüfen Ihre Identität und geben Ihnen dann ein Zertifikat, das den öffentlichen Schlüssel, die Identifikation der Zertifizierungsstelle und die Identifikation des Benutzers enthalten sollte. 

Neben der digitalen Zertifizierung können Sie einige Unternehmen bitten, alle Aspekte der PKI, Zugriffstoken und Multi-Faktor-Authentifizierung für Benutzer, Geräte und Maschinen zu übernehmen. 

Im Fall der Website kommt die Zertifikatssignierungsanforderung als Befehl mit dem Webserver. 

Key Take Away 

• Eine digitale Signatur ist eine elektronische Verifizierung des Absenders. Es basiert auf asymmetrischer Verschlüsselung und verwendet einen privaten Schlüssel, um die Nachricht zu verschlüsseln, und einen öffentlichen Schlüssel, um sie zu entschlüsseln. 
• Der Inhalt der Nachricht wird gehasht, um die Integrität zu wahren. Der Hash ist jedoch ein unidirektionaler Prozess und wird verwendet, um zu validieren, dass der Inhalt nicht geändert wurde. 
• Die empfangene Nachricht wird mit dem öffentlichen Schlüssel entschlüsselt, und der Hash des Inhalts muss mit dem vom Absender bereitgestellten Hash-Wert übereinstimmen. Andernfalls hat der Empfänger Grund zu der Annahme, dass der Inhalt geändert wurde. 
• Einer digitalen Signatur allein fehlt die Authentifizierung. Daher muss es durch ein digitales Zertifikat gesichert werden, das von einer Zertifizierungsstelle ausgestellt wird. 

* Die Informationen in diesem Artikel und die bereitgestellten Links dienen nur allgemeinen Informationszwecken und stellen keine Finanz- oder Anlageberatung dar. Wir empfehlen Ihnen, Ihre eigenen Nachforschungen anzustellen oder einen Fachmann zu konsultieren, bevor Sie finanzielle Entscheidungen treffen. Bitte erkennen Sie an, dass wir nicht für Verluste verantwortlich sind, die durch Informationen auf dieser Website verursacht werden.