Digitale Signaturen

Definition

Ein digitales Signaturverfahren ist ein Public-Key-Primitiv, das aus Algorithmen zur Generierung eines Schlüsselpaares, zum Signieren einer Nachricht mit dem privaten Schlüssel und zur Überprüfung einer Signatur mit dem öffentlichen Schlüssel besteht, sodass nur der Inhaber des privaten Schlüssels Signaturen erzeugen kann, die verifiziert werden.

Scope

Dieses Thema behandelt digitale Signaturverfahren – RSA-PSS, DSA, ECDSA und EdDSA – das Sicherheitsziel der existenziellen Unfälschbarkeit unter adaptiver Chosen-Message-Attacke, das Hash-then-Sign-Paradigma und die Rolle von Signaturen in Zertifikaten und der Softwareverteilung. Es befasst sich mit der Unterscheidung zu Message Authentication Codes (öffentliche Überprüfbarkeit und Nichtabstreitbarkeit). Ausgeschlossen sind Public-Key-Verschlüsselungs- und Schlüsselaustauschverfahren, die dieselben zugrunde liegenden Annahmen teilen, sowie die Zertifikatsinfrastruktur, die Verifikationsschlüssel verteilt.

Core questions

• Wie ermöglicht ein privater Schlüssel nur seinem Inhaber, eine überprüfbare, nicht fälschbare Signatur zu erzeugen?
• Was garantiert die existenzielle Unfälschbarkeit unter adaptiver Chosen-Message-Attacke?
• Warum werden Nachrichten vor dem Signieren gehasht und nicht direkt signiert?
• Wie bieten Signaturen Nichtabstreitbarkeit, die symmetrische MACs nicht bieten können?
• Wie werden Signaturen verwendet, um Vertrauen in Zertifikaten und Software-Updates zu verankern?

Key concepts

• Schlüsselpaar (Signatur- und Verifikationsschlüssel)
• existenzielle Unfälschbarkeit
• adaptive Chosen-Message-Attacke
• Hash-then-Sign
• RSA-PSS
• DSA und ECDSA
• EdDSA
• Nichtabstreitbarkeit
• Zertifikatssignierung

Key theories

Existenzielle Unfälschbarkeit unter Chosen-Message-Attacke

Die Goldstandard-Sicherheitsdefinition für Signaturen: Selbst ein Angreifer, der Signaturen auf viele von ihm gewählte Nachrichten erhält, kann keine gültige Signatur auf eine neue Nachricht fälschen; das GMR-Verfahren erreichte dies erstmals nachweislich.

Hash-then-Sign und Nichtabstreitbarkeit

Praktische Verfahren signieren einen kryptographischen Hash der Nachricht, was das Signieren von Daten beliebiger Länge ermöglicht und die Signatur an den Inhalt bindet; da nur der Inhaber des privaten Schlüssels signieren kann, bieten Signaturen Nichtabstreitbarkeit, was ein MAC mit gemeinsamem Schlüssel nicht kann.

Mechanisms

Zum Signieren wendet der Inhaber eine Private-Key-Operation auf einen Hash der Nachricht an: RSA-PSS potenziert den gepaddeten Hash mit dem privaten Exponenten, während (EC)DSA und EdDSA den Hash mit einer pro-Nachricht-Nonce und dem privaten Skalar kombinieren, um zwei Werte zu erzeugen. Die Verifikation berechnet den Hash neu und wendet die Public-Key-Operation an, wobei sie nur akzeptiert, wenn die Beziehung zutrifft. Die Sicherheit reduziert sich auf die zugrunde liegende Härteannahme und die Kollisionsresistenz des Hashs.

Clinical relevance

Digitale Signaturen sind der Vertrauensanker des Internets: Zertifizierungsstellen signieren TLS-Zertifikate, Betriebssystemanbieter signieren Software-Updates und Treiber, App Stores signieren Anwendungen, und Dokumentenplattformen bieten rechtlich anerkannte E-Signaturen. Kryptowährungen autorisieren jede Transaktion mit einer Signatur, und Code-Signing verhindert, dass manipulierte Software als vertrauenswürdig eingestuft wird.

Evidence & guidelines

Signaturverfahren sind in FIPS 186 (DSA, ECDSA), RFC 8032 (EdDSA) und PKCS #1 / RFC 8017 (RSA-PSS) standardisiert. Rechtliche Rahmenbedingungen (die EU eIDAS-Verordnung, der U.S. ESIGN Act) verleihen qualifizierten digitalen Signaturen Rechtsgültigkeit. Best Practice bevorzugt deterministische oder abgesicherte Nonces (wie in EdDSA und RFC 6979), um den katastrophalen Schlüsselverlust zu vermeiden, den die Wiederverwendung von Nonces in ECDSA verursacht.

History

Das Konzept der digitalen Signatur wurde zusammen mit der Public-Key-Kryptographie von Diffie und Hellman (1976) eingeführt und erstmals von RSA (1978) realisiert. Goldwasser, Micali und Rivest stellten 1988 das erste Verfahren vor, das nachweislich sicher gegen adaptive Chosen-Message-Angriffe ist, und etablierten damit die moderne Sicherheitsdefinition. DSA wurde in den 1990er Jahren standardisiert, wobei die elliptische Kurven-ECDSA und später die missbrauchsresistente EdDSA dominant wurden.

Key figures

• Shafi Goldwasser
• Silvio Micali
• Ronald Rivest
• Whitfield Diffie
• Martin Hellman

Related topics

• RSA und Ganzzahlfaktorzerlegung
• Elliptic-Curve Kryptographie
• Nachrichten-Authentifizierungscodes

Seminal works

• goldwasser1988
• rivest1978
• katz2020

Frequently asked questions

Wie unterscheidet sich eine digitale Signatur von einer gescannten handschriftlichen Unterschrift?

Ein gescanntes Bild ist nur ein Bild und kann auf jedes Dokument kopiert werden. Eine kryptographische digitale Signatur wird aus dem Nachrichteninhalt und einem privaten Schlüssel berechnet, sodass sie sowohl für den Unterzeichner als auch für genau dieses Dokument einzigartig ist und durch jede Änderung des Inhalts ungültig wird.

Warum bieten Signaturen Nichtabstreitbarkeit, MACs aber nicht?

Ein MAC verwendet ein gemeinsames Geheimnis, sodass jede Partei einen gültigen Tag hätte erzeugen können – keine kann beweisen, dass die andere ihn erstellt hat. Eine digitale Signatur kann nur mit dem privaten Schlüssel erstellt werden, den der Verifizierer nicht besitzt, sodass der Unterzeichner das Signieren nicht glaubwürdig abstreiten kann.

Methods for this concept

• Digital Signature Scheme
• RSA Cryptosystem
• RSA Cryptosystem Analysis
• Elliptic Curve Cryptography
• SHA Hash Function
• Ring Signature
• Diffie-Hellman Key Exchange
• HMAC

Related concepts

• Public-Key-Kryptographie
• Elliptic-Curve Kryptographie
• RSA und Ganzzahlfaktorzerlegung
• Nachrichten-Authentifizierungscodes
• Public-Key-Infrastruktur
• Kryptographische Hash-Funktionen