Elektronisch unterschreiben

Sicherungsinfrastruktur - Trustcenter

Die Sicherheit der Algorithmen, der Schlüssel und der Verfahren zur Schlüsselgenerierung allein reicht nicht aus. Wichtig ist die eindeutige Zuordnung des öffentlichen Schlüssels zum Inhaber. Da die Verfahren zur Schlüsselgenerierung allgemein bekannt sind, könnte sich auch ein Betrüger ein signaturfähiges Schlüsselpaar generieren, den öffentlichen Schlüssel in Umlauf bringen und sich damit eine falsche Identität verschaffen.

Kann der öffentliche Schlüssel nicht bei einem persönlichen Kontakt übermittelt werden - was im Internet eher die Regel als die Ausnahme ist - muss der öffentliche Schlüssel von einem "vertrauensvollen Dritten" bestätigt werden. Der Dritte zertifiziert, dass der Schlüssel einmalig und fest einem Inhaber zugeordnet ist. Ein Zertifikat ist nach dem Signaturgesetz eine mit einer digitalen Signatur versehene Bescheinigung über die Zuordnung eines öffentlichen Signaturschlüssels zu einer natürlichen Person. Öffentliche Schlüssel brauchen dabei nicht mehr bei persönlichen Kontakten ausgetauscht werden, sondern werden von vertrauenswürdigen Instanzen bestätigt und sind aus öffentlichen Verzeichnissen abrufbar.

Im Signaturgesetz ist deshalb der Betrieb von lizenzierten Zertifizierungsstellen (Trustcenter) vorgesehen. Diese lassen ihre öffentlichen Schlüssel wiederum von einer übergeordneten Instanz, der so genannten Root zertifizieren. Nach dem Gesetz wird diese Wurzelinstanz "Zuständige Behörde" genannt.

Die Schnittstelle zu den Teilnehmer sind die Zertifizierungsstellen. Zertifizierungsstellen müssen neutral, unabhängig und vertrauenswürdig sein. Sie müssen über eine sichere Infrastruktur (Netzwerk, Hard- und Software) verfügen und ihre Mitarbeiter überwachen. Genehmigungen für Zertifizierungsstellen werden von der Regulierungsbehörde für Post und Telekommunikation erteilt, die dem Bundesministerium für Wirtschaft untersteht.