Die Rolle des Zertifikats

Die Sicherheit der Algorithmen, der Schlüssel und der Verfahren zur Schlüsselgenerierung ist oft untersucht worden. Diese mathematische Sicherheit allein reicht aber nicht aus. Wichtig ist die eindeutige Zuordnung des öffentlichen Schlüssels zum Inhaber; denn da die Verfahren zur Schlüsselgenerierung allgemein bekannt sind, könnte sich auch ein Betrüger ein signaturfähiges Schlüsselpaar generieren, den öffentlichen Schlüssel in Umlauf bringen und sich damit eine falsche Identität verschaffen. Deshalb muss ein öffentlicher Schlüssel von einem "vertrauenswürdigen Dritten" (Zertifizierungsstelle) bestätigt, also zertifiziert werden, damit er einmalig und fest einem Inhaber zugeordnet ist.

Das Zertifikat enthält u.a. folgende Angaben:

• Den Namen des Signaturschlüssel-Inhabers, 
• den zugeordneten öffentlichen Signaturschlüssel, 
• die Bezeichnung der verwendeten Algorithmen, 
• Beginn und Ende der Gültigkeit, 
• den Namen der Zertifizierungsstelle.

Ein Zertifikat ist vereinfacht ausgedrückt eine digitale Signatur für einen öffentlichen Schlüssel.

Die Zertifizierungsstelle 

Im Signaturgesetz ist der Betrieb von Zertifizierungsstellen vorgesehen. Genehmigungen für Zertifizierungsstellen werden von der Regulierungsbehörde für Telekommunikation und Post RegTP erteilt, die dem Bundesministerium für Wirtschaft untersteht.

Die Vergabe von Zertifikaten ist in § 5 des Signaturgesetzes geregelt: "Die Zertifizierungsstelle hat Personen, die ein qualifiziertes Zertifikat beantragen, zuverlässig zu identifizieren. Sie hat die Zuordnung eines Signaturprüfschlüssels zu einer identifizierten Person durch ein qualifiziertes Zertifikat zu bestätigen und dieses jederzeit für jeden über öffentlich erreichbare Telekommunikationsverbindungen nachprüfbar und mit Zustimmung des Signaturschlüssel-Inhabers abrufbar zu halten." 

Zertifizierungsstellen sollen neutral, unabhängig und vertrauenswürdig sein. Sie müssen über eine sichere Infrastruktur verfügen, sicherheitszertifizierte Soft- und Hardware einsetzen und ihre Mitarbeiter überwachen.

Zertifizierungsstellen können neben der Zertifizierung der Signaturprüfschlüssel, Registrierung von Benutzern und Verwaltung der Benutzerberechtigungen auch weitere Aufgaben übernehmen,

z.B.: 

• Schlüsselmanagement einschließlich Generieren der Signaturschlüssel, 
• Personalisierung und Herausgabe von Schlüsselchipkarten,
• Führen von Berechtigungsdateien