Eine digitale Signatur beweist, dass eine Nachricht oder Datei tatsächlich von einer bestimmten Person oder einem bestimmten System stammt und unterwegs nicht verändert wurde. Sie ist das kryptografische Gegenstück zur handschriftlichen Unterschrift, leistet aber deutlich mehr: Während eine Unterschrift auf Papier leicht kopiert oder gefälscht werden kann, bindet eine digitale Signatur den Unterzeichner mathematisch an den exakten Inhalt des signierten Dokuments. Ändert sich auch nur ein einziges Bit, wird die Signatur ungültig.
Dieser Artikel erklärt, welches Problem digitale Signaturen lösen, wie der Signier- und Prüfvorgang abläuft, welche Rolle Hashfunktionen dabei spielen und warum eine geschwächte Hashfunktion wie SHA-1 ganze Signatursysteme angreifbar macht. Außerdem geht es um die gängigen Algorithmen, um Zertifikate und die Public-Key-Infrastruktur sowie um konkrete Einsatzgebiete im Alltag.
Welches Problem digitale Signaturen lösen
Im digitalen Raum lässt sich Inhalt beliebig kopieren, verändern und weiterleiten, ohne dass dabei sichtbare Spuren entstehen. Eine E-Mail, ein Software-Update oder ein PDF-Vertrag sieht nach einer Manipulation oft identisch aus. Genau hier setzen digitale Signaturen an. Sie liefern drei zentrale Sicherheitsgarantien.
Authentizität
Authentizität bedeutet, dass der Empfänger sicher sein kann, wer der Absender ist. Wenn ein Software-Hersteller ein Update signiert, kann das Betriebssystem prüfen, ob das Paket wirklich von diesem Hersteller stammt und nicht von einem Angreifer untergeschoben wurde. Ohne diese Garantie wäre jede heruntergeladene Datei ein Vertrauensrisiko.
Integrität
Integrität stellt sicher, dass der Inhalt seit der Signierung nicht verändert wurde. Da die Signatur an den exakten Datenbestand gebunden ist, fällt jede nachträgliche Änderung sofort auf. Ein verändertes Komma in einem Vertrag, ein zusätzlicher Code-Block in einer Anwendung oder ein manipuliertes Zahlungsdetail führt zwangsläufig zu einer fehlgeschlagenen Prüfung.
Nichtabstreitbarkeit
Nichtabstreitbarkeit (oft auch als Verbindlichkeit bezeichnet) verhindert, dass der Unterzeichner später bestreitet, ein Dokument signiert zu haben. Da nur der Inhaber des privaten Schlüssels eine gültige Signatur erzeugen kann, lässt sich eine korrekt geprüfte Signatur eindeutig dieser Person zuordnen. In rechtlichen und finanziellen Kontexten ist diese Eigenschaft besonders wertvoll.
Wie eine digitale Signatur funktioniert
Digitale Signaturen beruhen auf asymmetrischer Kryptografie. Jeder Teilnehmer besitzt ein Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel. Der private Schlüssel bleibt streng geheim und verlässt niemals das Gerät des Inhabers. Der öffentliche Schlüssel darf frei verteilt werden und dient der Prüfung.
Wichtig ist das Zusammenspiel der beiden Schlüssel: Was mit dem privaten Schlüssel signiert wurde, lässt sich ausschließlich mit dem zugehörigen öffentlichen Schlüssel verifizieren. Daraus folgt, dass eine gültige Signatur nur derjenige erzeugen kann, der den privaten Schlüssel besitzt, während jeder mit dem öffentlichen Schlüssel die Echtheit überprüfen kann.
Die zentrale Rolle des Hashwerts
Eine Nachricht wird nicht in voller Länge signiert. Stattdessen berechnet man zunächst einen Hashwert, also einen kurzen, festen Fingerabdruck der Daten. Eine Hashfunktion verarbeitet eine beliebig lange Eingabe und gibt eine Zeichenkette fester Länge zurück, etwa 256 Bit bei SHA-256. Schon eine winzige Änderung der Eingabe verändert den Hashwert vollständig.
Aus zwei Gründen wird der Hashwert statt der vollständigen Nachricht signiert. Erstens ist das deutlich schneller, weil asymmetrische Operationen auf großen Datenmengen sehr rechenintensiv sind. Zweitens hat der Hash immer dieselbe handliche Länge, unabhängig davon, ob das Original ein kurzer Text oder eine mehrere Gigabyte große Datei ist.
Signieren und Prüfen im Vergleich
Der folgende Ablauf zeigt beide Vorgänge gegenüber. Auf der Senderseite wird signiert, auf der Empfängerseite geprüft.
| Schritt | Signieren (Sender) | Prüfen (Empfänger) |
|---|---|---|
| 1 | Nachricht liegt im Klartext vor | Nachricht und Signatur werden empfangen |
| 2 | Hashwert der Nachricht berechnen | Hashwert der empfangenen Nachricht selbst berechnen |
| 3 | Hashwert mit dem privaten Schlüssel signieren | Signatur mit dem öffentlichen Schlüssel des Senders entschlüsseln |
| 4 | Signatur an die Nachricht anhängen | Beide Hashwerte vergleichen |
| 5 | Nachricht plus Signatur versenden | Stimmen sie überein, ist die Signatur gültig |
Der entscheidende Moment ist Schritt 4 und 5 auf der Prüfseite. Der Empfänger berechnet den Hash der erhaltenen Daten selbst neu und vergleicht ihn mit dem Hashwert, der aus der Signatur gewonnen wurde. Sind beide identisch, stehen Authentizität und Integrität fest. Weichen sie ab, wurde entweder der Inhalt verändert oder die Signatur stammt nicht vom angegebenen Schlüssel.
Warum schwache Hashfunktionen Signaturen gefährden
Die Sicherheit einer digitalen Signatur hängt unmittelbar von der Stärke der verwendeten Hashfunktion ab. Signiert wird nicht die Nachricht selbst, sondern ihr Hashwert. Wenn ein Angreifer zwei verschiedene Eingaben mit demselben Hashwert findet, bricht das gesamte Schutzversprechen zusammen. Diesen Fall nennt man eine Kollision.
Das Szenario ist gefährlich, weil eine Signatur, die für das harmlose Dokument A erstellt wurde, automatisch auch für das schädliche Dokument B gültig ist, sofern beide denselben Hashwert besitzen. Ein Angreifer könnte einem Opfer einen unverfänglichen Vertrag zur Signatur vorlegen und die identische Signatur anschließend an eine manipulierte Version anhängen. Die Prüfung würde die Fälschung als echt akzeptieren.
Die SHAttered-Kollision als Wendepunkt
Lange galt SHA-1 als praktisch sicher, obwohl Theoretiker früh vor Schwächen warnten. Im Jahr 2017 demonstrierte das SHAttered-Projekt die erste praktische Kollision für SHA-1. Die Forscher erzeugten zwei unterschiedliche PDF-Dateien, die exakt denselben SHA-1-Hashwert ergaben. Damit war bewiesen, dass die Funktion nicht mehr kollisionsresistent ist. Details zur Mechanik finden sich in der Erläuterung zur SHA-1-Kollision.
Die Konsequenz war eindeutig: Jede Signatur, die auf SHA-1 beruht, ist potenziell angreifbar. Browser, Zertifizierungsstellen und Software-Hersteller stellten daraufhin konsequent auf SHA-256 und stärkere Verfahren um. Wer heute ein System entwirft, sollte SHA-1 für Signaturen unter keinen Umständen mehr verwenden. Die SHAttered-Demonstration zeigte praktisch, dass die theoretische Warnung längst in der Realität angekommen war.
Gängige Signaturalgorithmen
Für die eigentliche kryptografische Operation kommen mehrere Verfahren zum Einsatz. Sie unterscheiden sich in Schlüssellänge, Geschwindigkeit und der zugrunde liegenden Mathematik.
RSA
RSA ist das älteste und am weitesten verbreitete Verfahren. Seine Sicherheit beruht auf der Schwierigkeit, große Zahlen in ihre Primfaktoren zu zerlegen. RSA-Signaturen sind gut verstanden und breit unterstützt, benötigen für ein vergleichbares Sicherheitsniveau jedoch recht lange Schlüssel, typischerweise 2048 oder 4096 Bit. Das macht Schlüssel und Signaturen vergleichsweise groß.
ECDSA
ECDSA setzt auf elliptische Kurven. Es erreicht dasselbe Sicherheitsniveau wie RSA mit deutlich kürzeren Schlüsseln, etwa 256 Bit statt 3072 Bit. Daraus ergeben sich kleinere Signaturen und schnellere Berechnungen, was ECDSA besonders für TLS, mobile Geräte und Blockchains attraktiv macht. Allerdings reagiert das Verfahren empfindlich auf schlechte Zufallszahlen bei der Signaturerzeugung.
EdDSA
EdDSA ist die modernste Variante und nutzt ebenfalls elliptische Kurven, meist in Form von Ed25519. Es wurde gezielt entworfen, um typische Implementierungsfehler zu vermeiden, etwa die Abhängigkeit von externer Zufälligkeit beim Signieren. EdDSA gilt als schnell, sicher und implementierungsfreundlich und wird zunehmend zum bevorzugten Standard für neue Systeme.
Zertifikate und die Public-Key-Infrastruktur
Eine digitale Signatur belegt, dass ein bestimmter privater Schlüssel im Spiel war. Sie sagt allein aber nichts darüber aus, wem dieser Schlüssel gehört. Ein Angreifer könnte ein eigenes Schlüsselpaar erzeugen und behaupten, es gehöre zu einer bekannten Bank. Genau diese Lücke schließen Zertifikate.
Was ein Zertifikat leistet
Ein digitales Zertifikat verknüpft einen öffentlichen Schlüssel mit einer Identität, etwa einem Domainnamen oder einer Organisation. Diese Verknüpfung wird ihrerseits von einer vertrauenswürdigen Instanz signiert, der Zertifizierungsstelle (Certificate Authority, kurz CA). Das Zertifikat ist also selbst ein signiertes Dokument, das aussagt: Dieser öffentliche Schlüssel gehört nachweislich zu dieser Identität.
Vertrauensketten und Wurzelzertifikate
Zertifizierungsstellen sind in einer Hierarchie organisiert. Ganz oben stehen Wurzelzertifikate, die in Betriebssystemen und Browsern fest hinterlegt sind. Eine Wurzel-CA signiert Zwischenzertifikate, und diese signieren wiederum die Zertifikate einzelner Server oder Organisationen. Beim Prüfen folgt die Software dieser Kette vom Serverzertifikat bis hinauf zu einer bekannten Wurzel. Ist die Kette lückenlos und jede Signatur gültig, gilt das Zertifikat als vertrauenswürdig.
Dieses Geflecht aus Schlüsseln, Zertifikaten, Zertifizierungsstellen und Regeln bezeichnet man als Public-Key-Infrastruktur (PKI). Sie ist das organisatorische Fundament, das digitale Signaturen im großen Maßstab überhaupt nutzbar macht.
Digitale Signaturen in der Praxis
Digitale Signaturen arbeiten meist unsichtbar im Hintergrund, sind im Alltag aber allgegenwärtig.
TLS und HTTPS
Jedes Mal, wenn eine Website über HTTPS aufgerufen wird, prüft der Browser das TLS-Zertifikat des Servers. Die darin enthaltenen Signaturen belegen, dass die Verbindung wirklich zur erwarteten Domain besteht und nicht zu einem zwischengeschalteten Angreifer. Das kleine Schlosssymbol in der Adresszeile ist das sichtbare Ergebnis einer erfolgreichen Signaturprüfung.
Signierte Software
Betriebssysteme akzeptieren Treiber, Apps und Updates oft nur dann ohne Warnung, wenn sie gültig signiert sind. Code Signing stellt sicher, dass die Software vom angegebenen Entwickler stammt und seit der Veröffentlichung nicht manipuliert wurde. Dieser Mechanismus schützt Millionen Nutzer vor untergeschobener Schadsoftware.
Signierte Dokumente
Verträge, Rechnungen und behördliche Unterlagen lassen sich digital signieren, etwa als PDF. In vielen Ländern sind qualifizierte elektronische Signaturen der handschriftlichen Unterschrift rechtlich gleichgestellt. Sie ermöglichen verbindliche Geschäftsabschlüsse ohne ausgedrucktes Papier und ohne Postweg.
Häufige Fragen
Worin unterscheidet sich eine digitale Signatur von einer elektronischen Signatur?
Eine elektronische Signatur ist ein weiter Oberbegriff für jede Art elektronischer Zustimmung, etwa ein eingescanntes Unterschriftsbild oder ein Klick auf eine Schaltfläche. Eine digitale Signatur ist dagegen ein konkretes kryptografisches Verfahren mit Schlüsselpaar und Hashwert. Jede digitale Signatur ist eine elektronische Signatur, aber nicht umgekehrt.
Kann eine digitale Signatur gefälscht werden?
Bei korrekt gewählten Algorithmen und ausreichend langen Schlüsseln ist eine Fälschung praktisch unmöglich, solange der private Schlüssel geheim bleibt. Schwachstellen entstehen vor allem durch veraltete Hashfunktionen wie SHA-1, durch gestohlene private Schlüssel oder durch fehlerhafte Implementierungen. Die SHAttered-Kollision zeigte eindrücklich, was geschieht, wenn die zugrunde liegende Hashfunktion bricht.
Warum wird der Hashwert signiert und nicht die ganze Nachricht?
Das hat zwei Gründe. Asymmetrische Verfahren sind rechenintensiv, weshalb das Signieren eines kurzen Hashes erheblich schneller geht als das Signieren eines großen Dokuments. Zudem besitzt der Hash stets dieselbe feste Länge, sodass der Vorgang unabhängig von der Größe des Originals gleich abläuft.
Was passiert, wenn der private Schlüssel verloren geht?
Geht der private Schlüssel verloren, lassen sich keine neuen Signaturen mehr erzeugen. Gelangt er in falsche Hände, kann der Angreifer im Namen des Inhabers signieren. In solchen Fällen muss das zugehörige Zertifikat umgehend widerrufen werden, damit Prüfsysteme es nicht mehr akzeptieren. Aus diesem Grund ist der sorgfältige Schutz des privaten Schlüssels die wichtigste Sicherheitsmaßnahme überhaupt.
