Bundesamt für Sicherheit in der Informationstechnik

Signaturanwendung

Kapitel 4.2 "Signaturprüfung" der Broschüre Grundlagen der elektronischen Signatur

4.2 Signaturprüfung

Die Verifikation einer digitalen Signatur umfasst in der Praxis nicht nur die Prüfung ihrer mathematischen Korrektheit, sondern auch die Prüfung der Gültigkeit und Anwendbarkeit des zugeordneten Zertifikates. Dazu muss ein Zertifizierungspfad zu einer – aus Sicht des Verifizierenden – vertauenswürdigen Zertifizierungsinstanz gebildet und geprüft werden. Bei den meisten Signaturanwendungskomponenten und Web-Browsern sind bereits Zertifikate vertrauenswürdiger Zertifizierungsinstanzen (Trusted CAs) integriert und voreingestellt. Der Anwender kann jedoch in der Regel weitere Zertifikate von Zertifizierungsinstanzen, die er für vertrauenswürdig hält, importieren. Wichtig ist dabei, dass er die Authentizität der Zertifikate in einer geeigneten Weise prüft. Die Bundesnetzagentur veröffentlicht beispielsweise zu diesem Zweck die Hashwerte ihrer aktuellen Zertifikate im Bundesanzeiger.

Wie in Abbildung 27 angedeutet, besteht der Zertifizierungspfad aus einer Kette von Zertifikaten Z1, Z2, …Zn, wobei

  • Z1 das Zertifikat des Signaturschlüsselinhabers (zu dem öffentlichen Signaturschlüssel, mit dem sich die zu verifizierende Signatur prüfen lässt) ist,
  • Zn das Zertifikat der vertrauenswürdigen Zertifizierungsinstanz, die oft als "Wurzel-Zertifizierungsinstanz" oder "Root-CA" bezeichnet wird, und
  • für alle i von 1 bis n — 1der Eigentümer von Zi+1 das Zertifikat Zi ausgestellt hat, so dass sich die Signatur von Zi mit dem in Zi+1 zertifizierten öffentlichen Schlüssel prüfen lässt.

Abbildung 27 Signaturprüfung der Zertifikatspfad Abbildung 27: Der Zertifikatspfad

Zu einer Signatur und einer Liste von Zertifikaten vertrauenswürdiger Zertifizierungsinstanzen kann es mehrere – und sogar unterschiedlich lange – Zertifizierungspfade geben. In der Praxis bestehen die Zertifizierungspfade jedoch meist aus nur drei Zertifikaten und sind offensichtlich. Komplizierter wird es erst, wenn Cross-Zertifikate hinzukommen. Die Konstruktion eines Zertifizierungspfades erfolgt in der Regel automatisch durch die Signaturanwendungskomponente.

Die Prüfung erfolgt nun entlang des Zertifizierungspfades. Dabei werden mindestens die folgenden Punkte geprüft:

  • Mathematische Gültigkeit der Signaturen
  • Gültigkeit der Zertifikate gemäß Gültigkeitsmodell
  • Korrektheit des Verwendungszwecks der Zertifikate

Je nach Anwendungsfall kann die Verifikation der Signatur noch weitere Aspekte umfassen, z. B. ob das Zertifikat Zi des Erstellers der Signatur ein qualifiziertes ist, oder ob die Zertifikate unter einer bestimmten Zertifizierungspolitik (Certificate Policy) ausgestellt wurden. Für diese beiden Beispiele sind die QCStatements -Erweiterung und die Erweiterung CertificatePolicies standardisiert (vgl. Abschnitt 3.2.5). Eine umfassende Profilierung der relevantesten Standards findet sich in [ISIS-MTT, ISIS-MTT-SigG].

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK