{"id":10,"date":"2026-06-10T09:11:50","date_gmt":"2026-06-10T09:11:50","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/10\/digitale-signaturen\/"},"modified":"2026-06-10T12:31:45","modified_gmt":"2026-06-10T12:31:45","slug":"digitale-signaturen","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/cryptography\/digitale-signaturen\/","title":{"rendered":"Digitale Signaturen erkl\u00e4rt"},"content":{"rendered":"<p>Eine digitale Signatur beweist, dass eine Nachricht oder Datei tats\u00e4chlich von einer bestimmten Person oder einem bestimmten System stammt und unterwegs nicht ver\u00e4ndert wurde. Sie ist das kryptografische Gegenst\u00fcck zur handschriftlichen Unterschrift, leistet aber deutlich mehr: W\u00e4hrend eine Unterschrift auf Papier leicht kopiert oder gef\u00e4lscht werden kann, bindet eine digitale Signatur den Unterzeichner mathematisch an den exakten Inhalt des signierten Dokuments. \u00c4ndert sich auch nur ein einziges Bit, wird die Signatur ung\u00fcltig.<\/p>\n<p>Dieser Artikel erkl\u00e4rt, welches Problem digitale Signaturen l\u00f6sen, wie der Signier- und Pr\u00fcfvorgang abl\u00e4uft, welche Rolle Hashfunktionen dabei spielen und warum eine geschw\u00e4chte Hashfunktion wie SHA-1 ganze Signatursysteme angreifbar macht. Au\u00dferdem geht es um die g\u00e4ngigen Algorithmen, um Zertifikate und die <a href=\"\/de\/cryptography\/\">Public-Key-Infrastruktur<\/a> sowie um konkrete Einsatzgebiete im Alltag.<\/p>\n<h2 id=\"welches-problem-digitale-signaturen-losen\">Welches Problem digitale Signaturen l\u00f6sen<\/h2>\n<p>Im digitalen Raum l\u00e4sst sich Inhalt beliebig kopieren, ver\u00e4ndern und weiterleiten, ohne dass dabei sichtbare Spuren entstehen. Eine E-Mail, ein Software-Update oder ein PDF-Vertrag sieht nach einer Manipulation oft identisch aus. Genau hier setzen digitale Signaturen an. Sie liefern drei zentrale Sicherheitsgarantien.<\/p>\n<h3 id=\"authentizitat\">Authentizit\u00e4t<\/h3>\n<p>Authentizit\u00e4t bedeutet, dass der Empf\u00e4nger sicher sein kann, wer der Absender ist. Wenn ein Software-Hersteller ein Update signiert, kann das Betriebssystem pr\u00fcfen, ob das Paket wirklich von diesem Hersteller stammt und nicht von einem Angreifer untergeschoben wurde. Ohne diese Garantie w\u00e4re jede heruntergeladene Datei ein Vertrauensrisiko.<\/p>\n<h3 id=\"integritat\">Integrit\u00e4t<\/h3>\n<p>Integrit\u00e4t stellt sicher, dass der Inhalt seit der Signierung nicht ver\u00e4ndert wurde. Da die Signatur an den exakten Datenbestand gebunden ist, f\u00e4llt jede nachtr\u00e4gliche \u00c4nderung sofort auf. Ein ver\u00e4ndertes Komma in einem Vertrag, ein zus\u00e4tzlicher Code-Block in einer Anwendung oder ein manipuliertes Zahlungsdetail f\u00fchrt zwangsl\u00e4ufig zu einer fehlgeschlagenen Pr\u00fcfung.<\/p>\n<h3 id=\"nichtabstreitbarkeit\">Nichtabstreitbarkeit<\/h3>\n<p>Nichtabstreitbarkeit (oft auch als Verbindlichkeit bezeichnet) verhindert, dass der Unterzeichner sp\u00e4ter bestreitet, ein Dokument signiert zu haben. Da nur der Inhaber des privaten Schl\u00fcssels eine g\u00fcltige Signatur erzeugen kann, l\u00e4sst sich eine korrekt gepr\u00fcfte Signatur eindeutig dieser Person zuordnen. In rechtlichen und finanziellen Kontexten ist diese Eigenschaft besonders wertvoll.<\/p>\n<h2 id=\"wie-eine-digitale-signatur-funktioniert\">Wie eine digitale Signatur funktioniert<\/h2>\n<p>Digitale Signaturen beruhen auf asymmetrischer Kryptografie. Jeder Teilnehmer besitzt ein Schl\u00fcsselpaar aus einem privaten und einem \u00f6ffentlichen Schl\u00fcssel. Der private Schl\u00fcssel bleibt streng geheim und verl\u00e4sst niemals das Ger\u00e4t des Inhabers. Der \u00f6ffentliche Schl\u00fcssel darf frei verteilt werden und dient der Pr\u00fcfung.<\/p>\n<p>Wichtig ist das Zusammenspiel der beiden Schl\u00fcssel: Was mit dem privaten Schl\u00fcssel signiert wurde, l\u00e4sst sich ausschlie\u00dflich mit dem zugeh\u00f6rigen \u00f6ffentlichen Schl\u00fcssel verifizieren. Daraus folgt, dass eine g\u00fcltige Signatur nur derjenige erzeugen kann, der den privaten Schl\u00fcssel besitzt, w\u00e4hrend jeder mit dem \u00f6ffentlichen Schl\u00fcssel die Echtheit \u00fcberpr\u00fcfen kann.<\/p>\n<h3 id=\"die-zentrale-rolle-des-hashwerts\">Die zentrale Rolle des Hashwerts<\/h3>\n<p>Eine Nachricht wird nicht in voller L\u00e4nge signiert. Stattdessen berechnet man zun\u00e4chst einen Hashwert, also einen kurzen, festen Fingerabdruck der Daten. Eine <a href=\"\/de\/cryptography\/hashfunktion\/\">Hashfunktion<\/a> verarbeitet eine beliebig lange Eingabe und gibt eine Zeichenkette fester L\u00e4nge zur\u00fcck, etwa 256 Bit bei <a href=\"\/de\/cryptography\/sha-256\/\">SHA-256<\/a>. Schon eine winzige \u00c4nderung der Eingabe ver\u00e4ndert den Hashwert vollst\u00e4ndig.<\/p>\n<p>Aus zwei Gr\u00fcnden wird der Hashwert statt der vollst\u00e4ndigen Nachricht signiert. Erstens ist das deutlich schneller, weil asymmetrische Operationen auf gro\u00dfen Datenmengen sehr rechenintensiv sind. Zweitens hat der Hash immer dieselbe handliche L\u00e4nge, unabh\u00e4ngig davon, ob das Original ein kurzer Text oder eine mehrere Gigabyte gro\u00dfe Datei ist.<\/p>\n<h3 id=\"signieren-und-prufen-im-vergleich\">Signieren und Pr\u00fcfen im Vergleich<\/h3>\n<p>Der folgende Ablauf zeigt beide Vorg\u00e4nge gegen\u00fcber. Auf der Senderseite wird signiert, auf der Empf\u00e4ngerseite gepr\u00fcft.<\/p>\n<table>\n<thead>\n<tr>\n<th>Schritt<\/th>\n<th>Signieren (Sender)<\/th>\n<th>Pr\u00fcfen (Empf\u00e4nger)<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>1<\/td>\n<td>Nachricht liegt im Klartext vor<\/td>\n<td>Nachricht und Signatur werden empfangen<\/td>\n<\/tr>\n<tr>\n<td>2<\/td>\n<td>Hashwert der Nachricht berechnen<\/td>\n<td>Hashwert der empfangenen Nachricht selbst berechnen<\/td>\n<\/tr>\n<tr>\n<td>3<\/td>\n<td>Hashwert mit dem privaten Schl\u00fcssel signieren<\/td>\n<td>Signatur mit dem \u00f6ffentlichen Schl\u00fcssel des Senders entschl\u00fcsseln<\/td>\n<\/tr>\n<tr>\n<td>4<\/td>\n<td>Signatur an die Nachricht anh\u00e4ngen<\/td>\n<td>Beide Hashwerte vergleichen<\/td>\n<\/tr>\n<tr>\n<td>5<\/td>\n<td>Nachricht plus Signatur versenden<\/td>\n<td>Stimmen sie \u00fcberein, ist die Signatur g\u00fcltig<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Der entscheidende Moment ist Schritt 4 und 5 auf der Pr\u00fcfseite. Der Empf\u00e4nger berechnet den Hash der erhaltenen Daten selbst neu und vergleicht ihn mit dem Hashwert, der aus der Signatur gewonnen wurde. Sind beide identisch, stehen Authentizit\u00e4t und Integrit\u00e4t fest. Weichen sie ab, wurde entweder der Inhalt ver\u00e4ndert oder die Signatur stammt nicht vom angegebenen Schl\u00fcssel.<\/p>\n<h2 id=\"warum-schwache-hashfunktionen-signaturen-gefahrden\">Warum schwache Hashfunktionen Signaturen gef\u00e4hrden<\/h2>\n<p>Die Sicherheit einer digitalen Signatur h\u00e4ngt unmittelbar von der St\u00e4rke der verwendeten Hashfunktion ab. Signiert wird nicht die Nachricht selbst, sondern ihr Hashwert. Wenn ein Angreifer zwei verschiedene Eingaben mit demselben Hashwert findet, bricht das gesamte Schutzversprechen zusammen. Diesen Fall nennt man eine Kollision.<\/p>\n<p>Das Szenario ist gef\u00e4hrlich, weil eine Signatur, die f\u00fcr das harmlose Dokument A erstellt wurde, automatisch auch f\u00fcr das sch\u00e4dliche Dokument B g\u00fcltig ist, sofern beide denselben Hashwert besitzen. Ein Angreifer k\u00f6nnte einem Opfer einen unverf\u00e4nglichen Vertrag zur Signatur vorlegen und die identische Signatur anschlie\u00dfend an eine manipulierte Version anh\u00e4ngen. Die Pr\u00fcfung w\u00fcrde die F\u00e4lschung als echt akzeptieren.<\/p>\n<h3 id=\"die-shattered-kollision-als-wendepunkt\">Die SHAttered-Kollision als Wendepunkt<\/h3>\n<p>Lange galt SHA-1 als praktisch sicher, obwohl Theoretiker fr\u00fch vor Schw\u00e4chen warnten. Im Jahr 2017 demonstrierte das SHAttered-Projekt die erste praktische Kollision f\u00fcr SHA-1. Die Forscher erzeugten zwei unterschiedliche PDF-Dateien, die exakt denselben SHA-1-Hashwert ergaben. Damit war bewiesen, dass die Funktion nicht mehr kollisionsresistent ist. Details zur Mechanik finden sich in der Erl\u00e4uterung zur <a href=\"\/de\/cryptography\/sha1-kollision\/\">SHA-1-Kollision<\/a>.<\/p>\n<p>Die Konsequenz war eindeutig: Jede Signatur, die auf SHA-1 beruht, ist potenziell angreifbar. Browser, Zertifizierungsstellen und Software-Hersteller stellten daraufhin konsequent auf SHA-256 und st\u00e4rkere Verfahren um. Wer heute ein System entwirft, sollte SHA-1 f\u00fcr Signaturen unter keinen Umst\u00e4nden mehr verwenden. Die SHAttered-Demonstration zeigte praktisch, dass die theoretische Warnung l\u00e4ngst in der Realit\u00e4t angekommen war.<\/p>\n<h2 id=\"gangige-signaturalgorithmen\">G\u00e4ngige Signaturalgorithmen<\/h2>\n<p>F\u00fcr die eigentliche kryptografische Operation kommen mehrere Verfahren zum Einsatz. Sie unterscheiden sich in Schl\u00fcssell\u00e4nge, Geschwindigkeit und der zugrunde liegenden Mathematik.<\/p>\n<h3 id=\"rsa\">RSA<\/h3>\n<p>RSA ist das \u00e4lteste und am weitesten verbreitete Verfahren. Seine Sicherheit beruht auf der Schwierigkeit, gro\u00dfe Zahlen in ihre Primfaktoren zu zerlegen. RSA-Signaturen sind gut verstanden und breit unterst\u00fctzt, ben\u00f6tigen f\u00fcr ein vergleichbares Sicherheitsniveau jedoch recht lange Schl\u00fcssel, typischerweise 2048 oder 4096 Bit. Das macht Schl\u00fcssel und Signaturen vergleichsweise gro\u00df.<\/p>\n<h3 id=\"ecdsa\">ECDSA<\/h3>\n<p>ECDSA setzt auf elliptische Kurven. Es erreicht dasselbe Sicherheitsniveau wie RSA mit deutlich k\u00fcrzeren Schl\u00fcsseln, etwa 256 Bit statt 3072 Bit. Daraus ergeben sich kleinere Signaturen und schnellere Berechnungen, was ECDSA besonders f\u00fcr TLS, mobile Ger\u00e4te und Blockchains attraktiv macht. Allerdings reagiert das Verfahren empfindlich auf schlechte Zufallszahlen bei der Signaturerzeugung.<\/p>\n<h3 id=\"eddsa\">EdDSA<\/h3>\n<p>EdDSA ist die modernste Variante und nutzt ebenfalls elliptische Kurven, meist in Form von Ed25519. Es wurde gezielt entworfen, um typische Implementierungsfehler zu vermeiden, etwa die Abh\u00e4ngigkeit von externer Zuf\u00e4lligkeit beim Signieren. EdDSA gilt als schnell, sicher und implementierungsfreundlich und wird zunehmend zum bevorzugten Standard f\u00fcr neue Systeme.<\/p>\n<h2 id=\"zertifikate-und-die-public-key-infrastruktur\">Zertifikate und die Public-Key-Infrastruktur<\/h2>\n<p>Eine digitale Signatur belegt, dass ein bestimmter privater Schl\u00fcssel im Spiel war. Sie sagt allein aber nichts dar\u00fcber aus, wem dieser Schl\u00fcssel geh\u00f6rt. Ein Angreifer k\u00f6nnte ein eigenes Schl\u00fcsselpaar erzeugen und behaupten, es geh\u00f6re zu einer bekannten Bank. Genau diese L\u00fccke schlie\u00dfen Zertifikate.<\/p>\n<h3 id=\"was-ein-zertifikat-leistet\">Was ein Zertifikat leistet<\/h3>\n<p>Ein digitales Zertifikat verkn\u00fcpft einen \u00f6ffentlichen Schl\u00fcssel mit einer Identit\u00e4t, etwa einem Domainnamen oder einer Organisation. Diese Verkn\u00fcpfung wird ihrerseits von einer vertrauensw\u00fcrdigen Instanz signiert, der Zertifizierungsstelle (Certificate Authority, kurz CA). Das Zertifikat ist also selbst ein signiertes Dokument, das aussagt: Dieser \u00f6ffentliche Schl\u00fcssel geh\u00f6rt nachweislich zu dieser Identit\u00e4t.<\/p>\n<h3 id=\"vertrauensketten-und-wurzelzertifikate\">Vertrauensketten und Wurzelzertifikate<\/h3>\n<p>Zertifizierungsstellen sind in einer Hierarchie organisiert. Ganz oben stehen Wurzelzertifikate, die in Betriebssystemen und Browsern fest hinterlegt sind. Eine Wurzel-CA signiert Zwischenzertifikate, und diese signieren wiederum die Zertifikate einzelner Server oder Organisationen. Beim Pr\u00fcfen folgt die Software dieser Kette vom Serverzertifikat bis hinauf zu einer bekannten Wurzel. Ist die Kette l\u00fcckenlos und jede Signatur g\u00fcltig, gilt das Zertifikat als vertrauensw\u00fcrdig.<\/p>\n<p>Dieses Geflecht aus Schl\u00fcsseln, Zertifikaten, Zertifizierungsstellen und Regeln bezeichnet man als Public-Key-Infrastruktur (PKI). Sie ist das organisatorische Fundament, das digitale Signaturen im gro\u00dfen Ma\u00dfstab \u00fcberhaupt nutzbar macht.<\/p>\n<h2 id=\"digitale-signaturen-in-der-praxis\">Digitale Signaturen in der Praxis<\/h2>\n<p>Digitale Signaturen arbeiten meist unsichtbar im Hintergrund, sind im Alltag aber allgegenw\u00e4rtig.<\/p>\n<h3 id=\"tls-und-https\">TLS und HTTPS<\/h3>\n<p>Jedes Mal, wenn eine Website \u00fcber HTTPS aufgerufen wird, pr\u00fcft der Browser das TLS-Zertifikat des Servers. Die darin enthaltenen Signaturen belegen, dass die Verbindung wirklich zur erwarteten Domain besteht und nicht zu einem zwischengeschalteten Angreifer. Das kleine Schlosssymbol in der Adresszeile ist das sichtbare Ergebnis einer erfolgreichen Signaturpr\u00fcfung.<\/p>\n<h3 id=\"signierte-software\">Signierte Software<\/h3>\n<p>Betriebssysteme akzeptieren Treiber, Apps und Updates oft nur dann ohne Warnung, wenn sie g\u00fcltig signiert sind. Code Signing stellt sicher, dass die Software vom angegebenen Entwickler stammt und seit der Ver\u00f6ffentlichung nicht manipuliert wurde. Dieser Mechanismus sch\u00fctzt Millionen Nutzer vor untergeschobener Schadsoftware.<\/p>\n<h3 id=\"signierte-dokumente\">Signierte Dokumente<\/h3>\n<p>Vertr\u00e4ge, Rechnungen und beh\u00f6rdliche Unterlagen lassen sich digital signieren, etwa als PDF. In vielen L\u00e4ndern sind qualifizierte elektronische Signaturen der handschriftlichen Unterschrift rechtlich gleichgestellt. Sie erm\u00f6glichen verbindliche Gesch\u00e4ftsabschl\u00fcsse ohne ausgedrucktes Papier und ohne Postweg.<\/p>\n<h2 id=\"haufige-fragen\">H\u00e4ufige Fragen<\/h2>\n<h3 id=\"worin-unterscheidet-sich-eine-digitale-signatur-von-einer-elektronischen-signatur\">Worin unterscheidet sich eine digitale Signatur von einer elektronischen Signatur?<\/h3>\n<p>Eine elektronische Signatur ist ein weiter Oberbegriff f\u00fcr jede Art elektronischer Zustimmung, etwa ein eingescanntes Unterschriftsbild oder ein Klick auf eine Schaltfl\u00e4che. Eine digitale Signatur ist dagegen ein konkretes kryptografisches Verfahren mit Schl\u00fcsselpaar und Hashwert. Jede digitale Signatur ist eine elektronische Signatur, aber nicht umgekehrt.<\/p>\n<h3 id=\"kann-eine-digitale-signatur-gefalscht-werden\">Kann eine digitale Signatur gef\u00e4lscht werden?<\/h3>\n<p>Bei korrekt gew\u00e4hlten Algorithmen und ausreichend langen Schl\u00fcsseln ist eine F\u00e4lschung praktisch unm\u00f6glich, solange der private Schl\u00fcssel geheim bleibt. Schwachstellen entstehen vor allem durch veraltete Hashfunktionen wie SHA-1, durch gestohlene private Schl\u00fcssel oder durch fehlerhafte Implementierungen. Die SHAttered-Kollision zeigte eindr\u00fccklich, was geschieht, wenn die zugrunde liegende Hashfunktion bricht.<\/p>\n<h3 id=\"warum-wird-der-hashwert-signiert-und-nicht-die-ganze-nachricht\">Warum wird der Hashwert signiert und nicht die ganze Nachricht?<\/h3>\n<p>Das hat zwei Gr\u00fcnde. Asymmetrische Verfahren sind rechenintensiv, weshalb das Signieren eines kurzen Hashes erheblich schneller geht als das Signieren eines gro\u00dfen Dokuments. Zudem besitzt der Hash stets dieselbe feste L\u00e4nge, sodass der Vorgang unabh\u00e4ngig von der Gr\u00f6\u00dfe des Originals gleich abl\u00e4uft.<\/p>\n<h3 id=\"was-passiert-wenn-der-private-schlussel-verloren-geht\">Was passiert, wenn der private Schl\u00fcssel verloren geht?<\/h3>\n<p>Geht der private Schl\u00fcssel verloren, lassen sich keine neuen Signaturen mehr erzeugen. Gelangt er in falsche H\u00e4nde, kann der Angreifer im Namen des Inhabers signieren. In solchen F\u00e4llen muss das zugeh\u00f6rige Zertifikat umgehend widerrufen werden, damit Pr\u00fcfsysteme es nicht mehr akzeptieren. Aus diesem Grund ist der sorgf\u00e4ltige Schutz des privaten Schl\u00fcssels die wichtigste Sicherheitsma\u00dfnahme \u00fcberhaupt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine digitale Signatur beweist, dass eine Nachricht oder Datei tats\u00e4chlich von einer bestimmten Person oder einem bestimmten System stammt und unterwegs nicht ver\u00e4ndert wurde. Sie ist das kryptografische Gegenst\u00fcck zur\u2026<\/p>\n","protected":false},"author":10,"featured_media":25,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-10","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cryptography"],"_links":{"self":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts\/10","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/comments?post=10"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts\/10\/revisions"}],"predecessor-version":[{"id":26,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/posts\/10\/revisions\/26"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/media\/25"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/media?parent=10"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/categories?post=10"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/at\/wp-json\/wp\/v2\/tags?post=10"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}