Technische Umsetzung
Die prinzipielle Funktionsweise der digitalen Signatur mit asymmetrischer Verschlüsselung ist einfach: Der Autor eines elektronischen Dokuments besitzt ein Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Während der Autor den privaten Schlüssel besitzt, lässt sich der öffentliche Schlüssel an beliebig viele andere Personen verteilen beziehungsweise zur allgemeinen Einsicht in einem Verzeichnis hinterlegen. Mit Hilfe des privaten Schlüssels signieren Anwender Dokumente, mit dem öffentlichen Schlüssel hingegen überprüfen sie die Echtheit der Signatur und die Unversehrtheit von Dokumenten.
Schlüsselrolle für PKI
Entscheidend für die sichere Verteilung von Schlüsseln und damit der digitalen Identitäten ist die PKI. Eine wichtige Rolle in diesem Zusammenhang übernehmen Trust-Center: Vergleichbar etwa mit einem Passamt ist eine solche Einrichtung für die Ausstellung der digitalen Identität zuständig. Hier hinterlässt der Antragsteller seine persönlichen Daten. Die Zertifizierungsstelle generiert den elektronischen Schlüssel und speichert den privaten Schlüssel sowie ein Zertifikat für das Schlüsselpaar auf einer Smartcard. Dieses Zertifikat ordnet der digitalen Identität bestimmte Eigenschaften wie E-Mail-Adresse, Name oder Anschrift zu und beglaubigt den öffentlichen Schlüssel. In einem Corporate Directory werden die Zertifikate über öffentliche Schlüssel verteilt. Je nach Ausführung können diese online (via OCSP - Online Certificate Service Protocol) oder mittels aktueller Sperrlisten (Certificate Revocation Lists - CRL) kontrolliert werden.
Die Einführung einer PKI in Unternehmen oder einer Behörde will jedoch gut geplant sein. "Zunächst stimmen wir die PKI auf die vorhandenen Prozesse ab und entwickeln daraus eine unternehmensweite Roadmap", sagt Brigitte Wirtz, Directory Security bei Siemens Business Services. Sie empfiehlt ein schrittweises Vorgehen, das schnelle Erfolge in Teilbereichen zeigt und dann Schritt für Schritt ausgebaut werden kann. Eine effektive Integration hänge außerdem von der vorhandenen Infrastruktur ab, so Wirtz. Unter Kosten- und Risikogesichtspunkten sollten die einzelnen Geschäftsprozesse Schritt für Schritt an die in die IT-Infrastruktur eingebettete Sicherheitsinfrastruktur angebunden werden. "Gerade Multifunktions-Chipkarten eignen sich hervorragend für diesen sanften Weg der PKI-Einführung, da die unterschiedlichen Kartentechniken eine Koexistenz der verschiedenen Systeme ermöglichen", so Wirtz.