Eine digitale Signatur oder digitale Unterschrift ist eine Bitfolge, die aus dem zu signierenden Text und dem privaten Schlüssel des Unterzeichners errechnet (verschlüsselt) wird. Zur digitalen Signatur werden asymmetrische Verschlüsselungsverfahren benutzt. Die Signatur kann dazu benutzt werden festzustellen, dass der Text vom Unterzeichner stammt. Digitale Unterschriften haben aber gegenüber handschriftlichen Unterschriften noch ein paar zusätzliche Vorteile: Die Authentizität der Nachricht kann per Computer überprüft werden, indem der öffentliche Schlüssel des Unterzeichners verwendet wird. Die Nachricht kann nicht gefälscht oder verändert werden (solange der private Schlüssel geheim gehalten wird). Die digitale Signatur ist untrennbar mit der Nachricht verbunden und kann daher nicht dazu missbraucht werden, auch andere Nachrichten zu unterzeichnen.
Die EU bezeichnet die digitale Signatur als elektronische Signatur und hat den Umgang mit diesen im Jahr 2016 in ihrer eIDAS-Verordnung geregelt. Dort werden drei stufen unterschieden. Die einfachste Form ist die einfache elektronische Signatur. Dies sind "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet". In dieser einfachsten Form kommt also nicht unbedingt ein asymmetrische Verschlüsselungsverfahren zum Einsatz.
Diese kommt erst für die fortgeschrittene elektronische Signatur (FES) zum Einsatz, weil die Verordnung fordert, dass Signaturerstellungsdaten verwendet werden, "die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann". Außerdem muss die nachträgliche Veränderung der unterzeichneten Daten erkannt werden.
Die höchste Stufe, die qualifizierte elektronische Signatur (QES), ist eine streng regulierte Form der fortgeschrittenen elektronischen Signatur. Sie muss auf einem qualifizierten Zertifikat beruhen, das von einem qualifizierten Vertrauensanbieter ausgestellt ist. Aus dem Zertifikat müssen unter anderem der Name des Anbieters und des Unterzeichners sowie der Gültigkeitszeitraum hervorgehen. Der Anbieter muss sicherstellen, dass das Zertifikat tatsächlich für die Person ausgestellt worden ist, die im Zertifikat angegeben ist. Vertrauensdienstanbieter werden deshalb von nationalen Behörden überwacht. In Deutschland erfolgt das durch die Bundesnetzagentur. Aufgrund des hohen Aufwandes ist eine QES in der Regel kostenpflichtig.
Siehe auch:
MD5
Object Signing
SHA-1
