Bitte unterschreiben Sie hier, hier und hier!

Warum eigentlich? Was hat mein Gegenüber davon, wenn ich ihm den vorgehaltenen Zettel unterschreibe? Erst seitdem ich verstanden habe, wie elektronische Signaturen funktionieren ist mir bewusst geworden, wie sinnlos doch die übermäßige Einforderung von Unterschriften im Alltag ist.

Was ist eine Unterschrift? Eine Unterschrift ist eine Art relativ eindeutiges Symbol, das bei genauer Betrachtung auf den Ersteller zurückschließen lassen soll. Sie enthält im Gegensatz zu einer digitalen Signatur keine Information über die unterschriebenen Daten. Mit jeder Unterschrift offenbart der Unterschreibende sein persönliches Geheimnis der Öffentlichkeit. Daraus resultieren einige Probleme:

Was habe ich eigentlich unterschrieben? Die Person, die ein Dokument unterschreibt und wieder aushändigt, kann nicht sicher sein, dass dieses nicht nachträglich manipuliert wird. Besonders einfach ist dies bei zusammengetackerten Dokumenten, bei denen nachträglich weitere Seiten eingefügt werden können. Selbst wenn beiden Vertragspartnern identische Versionen des Dokuments ausgehändigt werden ist es später nicht mehr möglich zu sagen, welches dieser Dokumente jetzt das ursprünglich unterzeichnete war. Etwas besser sieht es wohl bei Durchschriften von Verträgen aus, aber auch hier gilt, dass eigentlich jede Seite einzeln unterschrieben werden müsste.

Wer hat unterschrieben? Da ich mit einer Unterschrift schon nicht die Korrektheit der Daten überprüfen kann müsste ich ja wenigstens sagen können, von wem die Unterschrift ist oder? Theoretisch ja, jedoch brauche ich dafür eine Referenzunterschrift. Das ist der Teil, der in der Praxis nicht beachtet wird. Ich brauche von jeder Person, mit der ich über unterschriebene Dokumente kommunizieren will eine Original-Unterschrift. Damit ich diese unversehrt erhalte ist ein persönliches Treffen mit dem Austausch von Unterschriften die beste Möglichkeit. Falls ich die Person jedoch noch nicht kenne muss ich noch herausfinden, ob sie tatsächlich der gewünschte Kommunikationspartner ist. Hier bin ich auf eine dritte Person angewiesen, der ich vertraue und die mir die Identität des Partners bestätigen kann. Sofern man dem Staat vertrauen kann ist der Personalausweis dafür das Dokument der Wahl. Dieser trägt die Information, dass die ausstellende Behörde bestätigt, dass die abgebildete Person den aufgedruckten Namen hat und mit der dargestellten Unterschrift unterzeichnen wird. Nachdem ich also den Namen über das Bild verifiziert habe muss ich mir eine Kopie der Unterschrift machen und für spätere Kommunikation aufbewahren. Schließlich kann ich jede erhaltene Unterschrift durch meine Unterschriftendatenbank auf ihre Echtheit (nur die der Unterschrift!) überprüfen. Diesen Weg gehen nur sehr wenige Unternehmen, wie beispielsweise Banken. Jeder, der keinen Identitätsnachweis eingefordert hat, kann sich nicht sicher sein, dass die echte Person ein Dokument unterzeichnet!

Das habe ich nicht unterschrieben! Das ist ein Punkt, bei dem ich mir noch unschlüssig bin. Ich stelle mir vor, dass es möglich ist, sich eine Zweitunterschrift zuzulegen für Dokumente, von denen man später leugnen möchte, dass man sie unterschrieben hat. Da viele Kommunikationspartner die Unterschriften nicht abgleichen wäre es so möglich, später aus Verträgen wieder herauszukommen, da die öffentliche Unterschrift von der geleisteten doch deutlich abweicht.  Ein Graphologe mag möglicherweise in der Lage sein, dennoch Aussagen über die Identität zu machen. Den werden jedoch die wenigsten im Haus haben und der kostet bestimmt auch ein Bisschen :).

Wie sicher kann ich mir sein? Ich denke, dass man als Unterschreibender  Manipulationen der Gegenseite nur sehr schwer nachweisen kann. Wenn jemand ein unterschriebenes Dokument sowie die Referenzunterschrift vorliegen hat kann es vom finanziellen Aufwand der Gegenseite abhängen, wie gut man erkennen kann, ob eine Unterschrift authentisch ist bzw. wie gut sie gefälscht werden kann. Hierbei sei beispielhaft auf die flüchtigen Blicke der Kassiererinnen auf den Kassenbon nach einer Kartenzahlung hingewiesen.

Dann machen wir es doch einfach digital! Genau und zwar mit dem Public-Key Verfahren! Da kann man sich nämlich z.B. meinen GPG Public-Key herunterladen und in seine eigene Schlüsselverwaltung importieren (vorausgesetzt man vertraut dem Schreibstil in diesem Artikel so stark, dass man glaubt, dass ich hier wirklich schreibe :) ). Den öffentlichen Teil des Schlüssels darf (und muss) jeder sehen können. Zusätzlich gibt es Key Signing Partys, in denen man sich persönlich treffen, Keys austauschen und gegenseitig signieren kann um ein Netzwerk des Vertrauens aufbauen zu können. Wenn ich jetzt z.B. den folgenden Text:

Dies ist eine einfache Testnachricht

mit meinem privaten Schlüssel signieren möchte dann tue ich das in der folgenden Form:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Dies ist eine einfache Testnachricht
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)

iQEcBAEBAgAGBQJNNK2KAAoJENFgpO0Ofhm9b/YH/jmJbmm7424ug5S1n/OWPf4VCgoKz
TTI9lnYtvcRnLRXTUcraOj3YVJ7Zd2n2X+5VBk7pkAhf6i10L2B+6pF+REgTNMvd9jUYZ
D3hukUHI+u2oIGQCSTIiGzMFHo5zHN5mHAOFIzSZOFRInGUxJ2H4LMTGPOcLfoPTajHWI
if3nB2dpjsJDN6fzcDABEtMJN665lPQQ+282CRV/I7yoBONmOOEaB52sZ5FbCpGnyrPGh
D7lWmpUjcybYfP/64D/LPnQd1Ozp2H20j4J7IVWaA11ZkQ+z5YtpSuDYOSCcNqls7WcK8
DchMcxlKrrPtAVGLc9ZqJmgpvFob/FCiNbuB0s==bUex
-----END PGP SIGNATURE-----

Mein Geheimnis (den privaten Schlüssel) sieht dabei Niemand und ich mache mich dadurch nicht angreifbar.

Wenn ich diese signierte Nachricht inklusive der Signatur bei mir überprüfe dann erhalte ich die folgende Ausgabe:

gpg: Signatur am Mo 17 Jan 2011 21:58:50 CET mit RSA Schlüssel, ID 0E7E19BD, erfolgt
gpg: Korrekte Unterschrift von 'Jan-Niklas Meier <dschanoeh@googlemail.com>'

Jeder, der meinen Schlüssel importiert hat, kann dies ebenso tun. Sobald man auch nur ein einziges Zeichen der Nachricht ändert schlägt die Überprüfung fehl. Die elektronische Signatur hat einige Vorteile gegenüber dem analogen Unterschriften-Prinzip:

  • die Daten werden unterschrieben. Eine Veränderung der Daten ist eindeutig zu erkennen und die Nachricht kann als ungültig verworfen werden.

  • durch das Importieren von Schlüsseln fremder Personen kann ich eine einfache Datenbank über bekannte und vertrauenswürdige Personen aufbauen

  • jeder kann Identitäten von anderen Personen bestätigen und deren Schlüssel signieren. Ich muss nicht einer zentralen Stelle wie dem Staat vertrauen um sicher kommunizieren zu können

  • es gibt ein eindeutiges ‘korrekt’ und ‘falsch’ ohne dass ich erst einen professionellen Graphologen bezahlen muss um die Echtheit zu bestimmen.

  • wenn der Empfänger auch einen Schlüssel hat kann ich nicht nur signieren sondern zusätzlich auch verschlüsseln, sodass ausschließlich er die Nachricht lesen kann

Das digitale System ist dem analogen wesentlich überlegen und lässt eine viel präzisere Prüfung zu. Ich hoffe der ein oder andere macht sich darüber jetzt ähnliche Gedanken und schaut, von wie vielen sinnlosen Unterschriften wir doch umgeben sind. Außerdem sind digital übermittelte Informationen nicht “so unsicher wie eine Postkarte”. Im Gegenteil: Sie sind viel sicherer! Man muss nur wissen wie wollen!

Wer ein Tutorial zu GPG sucht: hier ist eins.