Fragen zur Signatur

Kann mir jemand den Unterschied einer PDF-Signatur und Pruefsummen fuer eine PDF Datei erklaeren? Das mag eine naive Frage seien, aber mich wuerde interessieren, in welchen Scenarien eine PDF-Signatur sinnvoller ist, als eine Pruefsumme auf die Datei?

Eine Prüfsumme kann jeder erstellen bzw. erzeugen, auch nachdem er die Datei geändert hat.

Bei einer Signatur, hast du den Nachweis (im Idealfall), dass zu einem bestimmten Zeitpunkt die Datei von einer Person mittels kryptografischer Methode "unterzeichnet" worden ist. Sofern niemand deinen privaten Schlüssel hat, kann niemand außer dir diese Signatur erzeugen, aber alle können mittels deines öffentlichen Schlüssel verifizieren, dass du die Signatur erstellt hast und ob in der Zwischenzeit jemand das Dokument geändert hat.

Natürlich kann jeder mit einem Schlüsselpaar auch eine Signatur erstellen, allerdings dann nur in seinem Namen und nicht in deinem (auch hier im Idealfall).



1 mal bearbeitet, zuletzt am 25.02.19 11:17 durch Kaedo.

Eine Signatur beinhaltet Informationen zur Identität des Signierenden, man will ja das Konstrukt der Unterschrift auf Papier damit nachbilden. (Kenntnisnahme, Authentifizierung, Willenserklärung, Abschlussfunktion. Oder so – jemand mit einem Semester Jura oder mehr möge mich korrigieren/ergänzen, die können im Schlaf aufbeten, welche Funktionen eine Unterschrift hat.)

Eine Signatur sagt nur aus, dass Person oder Firma X das Dokument unterschrieben hat, die Prüfsumme sagt nur, dass das Dokument unverändert ist.

Agina schrieb:
--------------------------------------------------------------------------------
> die Prüfsumme sagt nur, dass das Dokument unverändert ist.

Nein!!

Eine Signature ist dafür gedacht aktive Veränderungen zu erkennen.

Eine Prüfsumme ist dafür gedacht passive Veränderungen zu erkennen.

Mit aktive ist gemeint wenn z.B. jemand anderes absichtlich das Dokument ändert.

Mit passive ist gemeint wenn z.B. beim herunterladen ein Übertragungsfehler passiert.



2 mal bearbeitet, zuletzt am 25.02.19 12:27 durch PiePie.

hä

Was sollen aktive und passive Veränderungen sein?

Prüfsumme ist also die eigentliche Prüfung ob etwas verändert wurde. Und Signatur eher der Nachweis, wer diese Prüfsumme erstellt hat. In einem Signaturverfahren wird eine Prüfsumme als Grundlage benutzt und mittels Publickey kann geprüft werden, wer die Signatur erstellt hat.

Für die Information hier. Das hat mich jetzt etwas schlauer gemacht, wie ich die PDF-Signatur im Vergleich zur Prüfsumme verstehen sollte.

chefin schrieb:
--------------------------------------------------------------------------------
> hä
>
> Was sollen aktive und passive Veränderungen sein?

Ich wollte nicht zu viel schreiben, daher nur die kurze Erklärung. Mann kann auch zufällige Veränderung (passiv) oder absichtliche (böse) Veränderung (aktiv) sagen.

Zufällige Veränderungen können meist beim Übertragen von Daten passieren, wie etwas aus dem Internet herunterladen, oder eine Datei kopieren und wieder einfügen. Die Prüfsumme kann dann also zur Fehlererkennung oder Fehlerbehebung (Fehler = zufällige/passive Veränderung) benutzt werden. Wie groß diese Veränderungen ausfallen dürfen, hängt dann von der Art der Prüfsumme ab, man kann Sie dann ja entsprechend wählen.

Absichtliche Veränderungen werden meist von einem "Gegenspieler" herbeigeführt. Da hilft eine Prüfsumme alleine nicht, da diese ja mitgeändert werden kann (einfach neu berechnen).

> In einem Signaturverfahren wird eine Prüfsumme als Grundlage benutzt und mittels Publickey kann geprüft werden, wer die Signatur erstellt hat.

Das stimmt fast.

1. Es muss keine Prüfsumme verwendet werden, man kann eine Signatur auch direkt über die Daten anwenden. Dies wird generell nur nicht gemacht, da bei großen Daten zu ineffizient. Man signiert also lieber eine "Prüfsumme".

2. Es muss eine kryptografisch sichere Prüfsumme verwendet werden. Hier wird dann auch eher das Wort Hash benutzt, also kryptografisch sicherer Hash(-wert). Diese Unterscheidung ist insofern wichtig, da Prüfsummen zur Fehlererkennung/Behebung eben nicht kryptografisch sicher sind, dafür sind Sie extrem schnell und meistens klein/kurz.

(3.) Man muss dann natürlich auch wissen von wem der public-key ist :)



1 mal bearbeitet, zuletzt am 25.02.19 23:30 durch PiePie.