Diskussion:Digitale Signatur
Fraglicher Begriff
Ich bezweifle, dass "digitale Signatur" überhaupt ein richtiger Begriff ist und eine Daseinsberechtigung hat. In üblichen akademischen Literaturwerken ist durchgehend von elektronischen Signaturen die Rede, nur vereinzelt von digitalen Signaturen als Synomyn zu elektronischen Signaturen.
Zur Begrifflichkeit: Grundsätzlich handelt es sich hier um kryptographische Signaturen. Eine digitale Signatur wäre sowas wie eine eingescannte (und damit digitalisierte) handschriftliche Signatur. Elektronisch bezieht sich auf die Verwendung von Elektronik (EDV, Computer). Es gibt zwar einige Webseiten, die einen essentiellen Unterschied zw. digitalen und elektronischen Signaturen behaupten, allerdings sind diese offensichtlich — bei Betrachtung der Begriffsdefinition von "digital" — falsch.
Ich plädiere daher für die Löschung dieses Artikels mit einer Umleitung zu und einem entspr. Vermerk im Artikel "elektronische Signatur". Wer meinem Vorschlag widerspricht, möge dies bitte bis Ende des Jahres kund tun. Bis dahin werde ich meine Professoren konsultieren und literarische Verweise zusammentragen. --Dexter3player (Diskussion) 00:10, 22. Nov. 2018 (CET)
In meinem Umfeld ist der Bergriff der digitalen Signatur für kryptographische Signaturen weit verbreitet. Ich kann mich ehrlich gesagt auch nicht daran erinnern je von elektronischen Signaturen im alltäglichen Gebrauch gehört zu haben. In (Van Steen, Maarten, and Andrew S. Tanenbaum. Distributed systems. Leiden, The Netherlands: Maarten van Steen, 2017) und in der deutschen Übersetzung ist von digitalen Signaturen die Rede, was mir doch ein ziemliches Standardwerk zu sein scheint.
Eine eingescannte Unterschrift würde ich nicht als digitale Signatur bezeichnen, eher als digitalisierte Signatur. Die Unterschrift war bereits vor dem einscannen eine Signatur, sie wurde ja nur digitalisiert. Des weiteren sehe ich eine Zusammenlegung beider Artikel Elektronische Signatur und Digitale Signatur als problematisch an. Während die Elektronische Signatur eher die Rechtlichen Aspekte beleuchtet beleuchtet die Digitale Signatur die technischen Aspekte. Eine Zusammenführung würde zu einem deutlich längeren und vermutlich auch unübersichtlicheren Artikel frühen, daher sehe ich für deinen Vorschlag diesen Artikel zu Löschen und eine Umleitung auf Elektronische Signatur einzurichten keinen Grund. --Daydreamer1986 (Diskussion) 16:05, 25. Mär. 2021 (CET)
Änderungen zu Grundbegriffe
- Habe mir erlaubt, das Beispiel RSA deutlicher herauszustellen, da es aus meiner Sicht für den unbedarften Leser am besten nachvollziehbar ist.
- Digitale Signaturen dienen erst einmal ausschließlich der Integritätsprüfung (Authentizität der Information / Nachricht). Erst aufgrund der Zuordnung der Schlüssel zu einer Person, was jedoch ein von der Signaturerstellung vollkommen getrennter Vorgang ist, kann eine Identifizierung des Signaturerstellers vorgenommen werden. Daher die Aufteilung in 2 Absätze.
- Prinzipiell stimme ich zu, dass PKI hier nicht hingehört, jedoch ein kurzer Hinweis auf die praktische Verwendung digitaler Signaturen hilft dem unbedarften Leser, Zusammenhänge zu erkennen.
--RSchmoldt 20:50, 13. Mai 2008 (CEST) [🚮 Ich hab hier mal geputzt.]
Struktur und Inhalt
Ich habe den Artikel aus den relevanten Teilen des alten Artikels zur elektronischen Signatur erstellt. Ich finde, die ersten Abschnitte sind jetzt schon ganz rund. Weiter unten würde demnächst noch ein paar Änderungen vornehmen:
- Ein Abschnitt Vertrauensmodelle (Web-of Trust vs. hierarchische Modell) würde den Gegenssatz von (dem ursprünglichen) PGP zur zertifikatsbasierten Verfahren auf allgemeinerer Ebene vorwegnehmen. Bei der Darstellung von PGP als "Produkt" muss man dann das Web-of-Trust und seine Vor- und Nachteile gegenüber einer PKI nicht extra erklären.
- Details zu PKI und Zertifikaten würde weitgehend den entsprechenden Spezial-Artikeln überlassen - dazu sind sie ja da.
- Bei Anwendungen sollteman ganz allgemein erläutern, dass digitale Signaturen häufig zur Authentifizierung verwendet werden, z.B. in Kommunikationsprotokollen.
- Ein kurzer Abschnitt zu Standards für digitale Signaturen (nicht deren Anwendung) wäre m.E. auch sinnvoll. Hier fallen mir spontan PKCS#1, PKCS#7, FIPS-186-2, ANSI X9.62, ISIS-MTT, XML-Signatur ein.
- Irgendwo sollten auch Identity-based Signature Schemes genannt werden. Entweder bei "Bekannte Verfahren" oder bei den Vertrauensmodellen.
Für Vorschläge bin ich aber offen. --Mojo1442 19:24, 26. Nov. 2006 (CET)
- Es wäre vielleicht nicht schlecht im Zusammenhang mit der digitalen Signatur die Punkte Authentiztät, Integrität und Identität zu erläutern.
Anmerkung von Josef: - Ich finde es ungünstig PGP, unkritsch darzustellen und bei zertifikatsbasierten Systemen konzeptuelle Probleme des SSL als 'schlechtes' Beispiel darzustellen. Defacto haben zertifikatsbasierte System den Vorteil, dass das alte n-Quadrat Problem wenigstens in ein lineares Problem übergeführt wird und konzeptuell zentrale Stellen - die Zertifizierungsidensteanbieter - die Überprüfung der gültigkeit von Schlüsseln ermöglichen.
Werbung oder Information?
Ich fühle mich beim Lesen der Web-Links immer etwas unwohl, weil hier einer oder einige von vielen Anbietern von Dienstleistungen im Zusammenhang mit digitalen Signaturen genannt werden. Wenn, dann sollte man doch einen halbwegs fairen Marktüberblick geben. Ich finde es dagegen komisch, irgend einen Anbieter von kostenlosen Zertifikaten zu nennen. Will hier jemand kostenlos Werbung machen? (Auch für kostenlose Dienste kann und will mancher werben.) Ganz abgesehen davon, dass dieser Artikel von digitalen Signaturen und nicht von digitalen Zertifikaten handelt.
Was sagen die Wikipedia-Regeln dazu? Ich werde mal nachsehen. Für weitere Meinungen wäre ich dankbar.--Mojo1442 23:46, 7. Dez. 2006 (CET)
- Werbung sollte natürlich vermieden werden, doch finde ich es sehr sinnvoll wenn die führenden Anbieter angeführt werden. Das ist einerseits sehr im Sinne des Lesers der sich ja über dieses Thema informieren möchte. Andererseits auch sehr zeitsparend, da eine Suche auf diesem Gebiet nicht gerade einfach ist. .--markush8 09:56, 16. Mai. 2007 (CET)
- Ich stimme dem höchstens zu, wenn man den Begriff führend sehr streng auslegt. Anbieter sollten eigentlich nur genannt werden, wenn man an ihnen bei dem Thema gar nicht vorbei kommt. So wie Coca Cola bei Limonade. Aber solche Anbieter sehe ich bei digitalen Signaturen nicht bei PKI vielleicht VeriSign aber auch die würde ich nicht unbedingt nennen. Meistens stelllen diese Web-Links zu den Anbbietern eher Werbung dar. Es ist m.E. auch nicht sinnvoll, auf eine Seite zu verweisen, auf der das Thema nicht wesentlich ausführlicher und mit keinem wesentlich anderen Fokus (z.B. Beispiele, Technik, Markt) behandelt wird. Daher werde ich auch in Zukunft Web-Links, die diese Kriterien nicht erfüllen löschen, insbesondere solche zu Anbietern. Ich arbeite selbst für einen, würde aber keinen Link zu diesem hier einfügen. --Mojo1442 22:36, 12. Aug. 2009 (CEST)
Doppelt oder anders?
Es gibt zwei Einträge in der Wikipedia zu diesem thema: Digitale_Signatur und Elektronische_Signatur gibt es da einen unterschied oder sollte man zumindest auf den jeweils anderen verweisen oder die artikel zusammenlegen?--Moritzgedig 18:52, 15. Jan. 2009 (CET)
- Schau mal hier. Diese beiden Dinge sind nicht dasselbe, wenn du z.b. deinen namen unter eine E-Mail schreibst ist das eine elektr. Signatur aber keine digitale. Der Artikel Digitale_Signatur sollte sich mit den kryptographischen Verfahren beschäftigen, der Artikel Elektronische_Signatur mit rechtlichen und regulatorischen Dingen. --Mojo1442 22:41, 12. Aug. 2009 (CEST)
- Ich bezweifle, dass "digitale Signatur" in diesem Zusammenhang überhaupt ein korrekter Begriff, siehe ganz oben.--Dexter3player (Diskussion) 00:10, 22. Nov. 2018 (CET)
Falsche Erklärung
Im Text heißt es im Abschnitt "Das Grundprinzip": "Da das RSA Signaturverfahren das am weitaus häufigsten verwendete digitale Signaturverfahren ist und die dabei eingesetzten Operationen fast identisch zu denen der RSA-Verschlüsselung sind, wird bei der Erstellung einer digitalen Signatur häufig von „Verschlüsselung“ und bei der Prüfung von „Entschlüsselung“ gesprochen." Dies ist etwas verwirrend, da die Verschlüsselung einer Nachricht bei RSA mit dem öffentlichen (!) Schlüssel erfolgt und somit also eher der Verifikation einer dig. Signatur entspricht (die ebenfalls mit dem öffentlichen Schlüssel erfolgt) und die Entschlüsselung einer verschlüsselten Nachricht ebenso wie die Erzeugung einer Signatur mit dem privaten Schlüssel erfolgt. Es ist also eigentlich genau umgekehrt wie im Text geschrieben.
- Als Autor bin ich wohl angesprochen ;-) Dein Einwand ist richtig. Aber es ist nun mal leider üblich zu sagen, der Hashwert würde verschlüsselt. Das höre ich dauernd, leider auch von kompetenten Kollegen. Ich hatte damals überlegt auch dieses Missverständnis noch aufzuklären, aber das geht mir hier zu sehr ins Detail und lenkt vom eigentlichen Punkt ab. Der ist doch, dass die Analogie zur Verschlüsselung bei DSA und anderen Verfahren völlig unangemessen sind. Die von dir angemahnte Erläuterung ist aber gut in einer Fußnote aufgehoben, die den roten Faden nicht so stört. Ich habe nun herausgefunden, dass Fußnoten mit Anmerkungen in Wikipedia kapische zulässig sind und habe die Erläuterung eingefügt. --Mojo1442
- Ich kann hier nicht ganz zustimmen, man schaut ja gerade in so einen Artikel um solchen Mißverständnisse zu verstehen. Ich habs immer noch nicht ganz kapiert. Mir ist z.B. unklar geblieben warum beim Signieren des Hashwertes mit dem Privat-Key nicht auf den Privat-Key zurückgeschlossen werden kann. Man kennt ja sowohl das Originaldokument und damit auch den Hash. Ich kanns mir zwar fast denken, aber genau solches interessanten Fragen sollte man hier doch herausarbeiten. (nicht signierter Beitrag von 77.176.75.79 (Diskussion) 12:28, 27. Jan. 2011 (CET))
- Welchem Aspekt kannst du nicht zustimmen? Ich hatte die geforderte Erläuterung eingefügt, was ist daran jetzt nicht korrekt? Bitte präzisiere das.
- Ich kann hier nicht ganz zustimmen, man schaut ja gerade in so einen Artikel um solchen Mißverständnisse zu verstehen. Ich habs immer noch nicht ganz kapiert. Mir ist z.B. unklar geblieben warum beim Signieren des Hashwertes mit dem Privat-Key nicht auf den Privat-Key zurückgeschlossen werden kann. Man kennt ja sowohl das Originaldokument und damit auch den Hash. Ich kanns mir zwar fast denken, aber genau solches interessanten Fragen sollte man hier doch herausarbeiten. (nicht signierter Beitrag von 77.176.75.79 (Diskussion) 12:28, 27. Jan. 2011 (CET))
- Die von dir aufgeworfene Frage, warum man nicht den privaten Schlüssel zurückrechnen kann, ist eine ganz andere als die, ob der Ausdruck "der Hashwert wird beim Signieren verschlüsselt" passend ist oder nicht. Bei deiner Frage geht es um die Einweg-Funktion die die Signatur darstellt. Dies ist eine allgemeine Eigenschaft der asymmetrischen KRyptosysteme und sollte vorwiegend dort behandelt werden. Ich gebe zu, dass das dort noch klarer erläutert und beim Artikel "digitale Signatur" darauf verweisen werde könnte. Es wäre aber in jedem Fall eine Erläuterung, dass es so ist, nicht warum es so ist. Eine komplexitätstheoretische Erklärung, warum das so ist, die man ohne spezielles Vorwissen verstehen kann, halte ich für nicht machbar. Dazu ist die Thematik zu kompliziert. Wikipedia ist ja kein Lehrbuch. --Mojo1442 11:15, 26. Feb. 2011 (CET)
Komplexität
wie wär es mit ner kurzen Übersicht/Tabelle zu Laufzeit- und evtl. auch Speicherkomplexität der verschiedenen Algorithmen? --Kunobert 20:51, 14. Mär. 2010 (CET)
gesetzliche standards
soll nur eine schnelle übersicht geben. Details sollten unter Elektronische_Signatur implementiert werden -- Majx 23:25, 28. Jul. 2011 (CEST)
„Urheberschaft“ in der Einleitung
Eine rein technische D.S. wie sie lt. Box ganz oben hier beschrieben wird, sagt nichts zuverlässig über eine Urheberschaft aus. Ich kann mir jederzeit mein eigenes Zertifiat mit Schlüsselpaar mit einem Phantasie- oder Namen eines Anderen erstellen und damit etwas problemlos signieren. Ein Empfänger einer so signierten Nachricht weiß vorerst mal nicht, dass ich gar nicht der bin, der da als Unterzeichner angegeben ist. Wenn er das ungeprüft glauben will, kann er das tun. Erst wenn ich ein Zertifikat von einer zertifizierten Ausgabestelle erhalten habe, das dann bei der als gültig verifiziert werden kann, ist das gewährleistet. Das ist aber ein organisatorischer Aspekt, kein technischer. --Geri, ✉ 20:58, 26. Jul. 2012 (CEST)
- ein zertifikat brauchst du nicht unbedingt. du kannst spaeter beweisen, dass du der urheber warst, weil nur du den geheimen schluessel hast. wenn du beweist, dass du im besitz des geheimen schluessels bist, hast du auch bewiesen, dass du das was-auch-immer signiert hast (unter der annahme, dass sonst niemand den geheimen schluessel hat). das nur als nebenbemerkung, denn es wird fast immer vorausgesetzt, dass der verifikationsschluessel irgendwie dem besitzer zugeordnet werden kann. auch dazu braucht man nicht zwingend ein zertifikat. --Mario d 22:18, 26. Jul. 2012 (CEST)
- Das ist zwar alles richtig was Du sagst, geht aber an dem vorbei was ich mit „ein organisatorischer Aspekt, kein technischer“ meinte. OK, dann also etwas ausführlicher:
- Ich denke wir stimmen überin, dass eine digitale Signatur (technisch gesehen, lediglich) ein verschlüsselter Hashwert ist, ja?
- Habe ich (als Empfänger) die signierten Daten und die zugehörige Signatur kann ich (verifizierungsmäßig) rein gar nichts damit tun.
- Habe ich die signierten Daten, die zugehörige Signatur und den zugehörigen öffentlichen Schlüssel, kann ich überprüfen, ob die Daten nach dem Signieren verändert wurden oder nicht – mehr nicht.
- Habe ich die signierten Daten, die zugehörige Signatur, den zugehörigen öffentlichen Schlüssel und dessen Zuordnung zu einer Person (wie sie in Zertifikaten angegeben ist, bzw. meinetwegen auch über den von Dir genannten Weg: öffentlicher Schlüssel → privater Schlüssel → Person), kann ich die Urheberschaft überprüfen, die aber, wie von mir oben beschrieben, aber auch nur behaupt, auch gefälscht sein kann.
- Der Satz „Diese digitale Signatur ermöglicht, dass ihre Urheberschaft und Zugehörigkeit zur Nachricht durch jeden geprüft werden können.“ lässt unter den Tisch fallen, dass ich noch mehr benötige als die reine D.S. um die Zugehörigkeit zu überprüfen: den öffentlichen Schlüssel → 2.
- Der Satz lässt weiters unter den Tisch fallen, dass ich noch einmal mehr benötige um die Urheberschaft zu überprüfen: die Zuordnung von öffentlichem Schlüssel zu einer Person (PKI, persönliches Vergewissern beim behaupteten Signierer etc.) → 3. Er lässt dabei auch außer Acht, dass diese Zuordnung auch nur eine rein behauptete, eine gefälschte sein kann und somit die (behauptete) Urheberschaft, ohne geeignete weitere Maßnahmen, nicht stimmen muss.
- Ich schlage also vor den Satz auf in etwa Folgendes (am Ende des Absatzes, nach dem Key-Erläuterungen) zu ändern:
- Eine digitale Signatur ermöglicht in Verbindung mit dem zugehörigen öffentlichen Schlüssel die Überprüfung, ob sie aus einer bestimmten Nachricht erstellt wurde[, das heißt im Weiteren, ob die zugehörige Nachricht nach dem Signieren verändert wurde oder nicht]. In Verbindung mit dem öffentlichen Schlüssel und dessen positiv bestätigter Zuordnung zu einer Person kann mit ihr auch die Urheberschaft überprüft werden.
- Bei dem in […] bin ich mir nicht so sicher, da genau genommen ein veränderte Nachricht eine neue, andere Nachricht ist, nicht mehr die „zugehörige“. Aber gerade dies, die gesicherte Integrität, ist ja ein wesentlicher Faktor bei z.B. der elektronischen Signatur. --Geri, ✉ 19:17, 15. Sep. 2012 (CEST)
- ein technisches detail zum anfang: bei einer signatur wird nichts verschluesselt, dein punkt 1 ist also falsch. du meinst vermutlich aber das richtige. der rest ist zwar technisch richtig, allerdings finde ich den jetzigen einleitungssatz dennoch besser: er stellt kurz das wichtige dar. bei der einleitung ist verstaendlichkeit das oberste gebot, dabei darf der sachverhalt auch ruhig vereinfacht werden. im naechsten abschnitt wird er ja ausfuehrlich und korrekt geschildert. --Mario d 22:54, 29. Sep. 2012 (CEST)
Stimmt. Das eine Wort ist zu viel des Guten. Jetzt besser so?Man sollte seinen ersten Gedanken viel mehr vertrauen. --Geri, ✉ 01:28, 15. Nov. 2012 (CET)- Grundsätzlich geb ich Dir bezüglich „kurz“ und „Verständlichkeit“ in Einleitungen recht. Ich bin aber nach wie vor der Meinung, dass dort Wesentliches nicht so einfach außer Acht gelassen werden sollte, versteife mich aber jetzt nicht darauf das unbedingt und jetzt drinnen haben zu wollen. Vielleicht kommt ja mal ein Dritter vorbei und gibt ein Statement zu dem einen oder anderen ab. --Geri, ✉ 13:38, 10. Nov. 2012 (CET)
- eine signatur ist auch kein hashwert. eine signatur ist (in der praxis) ein signierter hashwert (prinzipiell kann man beliebige daten signieren). ich habe mir den anfang nocheinmal durchgelesen. ich bin nucht grundsaetzlich dagegen, bspw. aus "Diese digitale Signatur ermöglicht" etwas wie "Diese digitale Signatur ermöglicht, in Verbindung mit einem einer Person zugeordneten Verifikationsschlüssel," zu machen. allerdings werden schluessel erst im satz danach vorgestellt, und vom aufbau der einleitung finde ich das auch besser (zuerst was es ist, dann wozu es gut ist, dann zusatzinfos). ich habe mal einen satz am ende des absatzes eingefuegt, wa haeltst du davon? --Mario d 22:42, 11. Nov. 2012 (CET)
- Du hast möglicherweise gerade etwas an Reputation bei mir verloren. (Ob inhatltlich oder formulierungstechnisch weiß ich noch nicht ganz genau ;-)
- 1. Satz: „eine signatur ist […] kein hashwert“. 2. Satz: „eine signatur ist […] ein […] hashwert“.
- Konnte ich Dir nicht den Eindruck vermitteln, dass ich zumindest ein bisschen in der Thematik Bescheid weiß? (Zumindest genug, um nervige Fragen stellen zu können. :-) Damit ist es mir doch klar, dass „man beliebige daten signieren“ kann. Wieso erwähnst Du das extra?
- Eins weiß ich tatsächlich nicht: Womit wird, wie Du es beschreibst, der Hashwert signiert, damit er zur Signatur wird?
- Ja, die Erweiterung finde ich sehr gut. (statt „zweifelsfrei“ hätte ich eher eindeutig geschrieben, aber das fällt vielleicht unter künstlerische Freiheit :-) --Geri, ✉ 16:28, 14. Nov. 2012 (CET)
- beim zitieren hast du den entscheidenden teil weggelassen: ich schrieb "eine signatur ist […] kein hashwert. eine signatur ist […] ein signierter hashwert" (hervorhebung von mir). oben schreibst du (in der korrigierten version), eine signatur sei lediglich ein hashwert. das ist aber falsch: die signatur einer nachricht m ist sign(sk, m); um das hervorzuheben und weil ich den eindruck hatte, dass du den hash ueberbetontst, habe ich erwaehnt, dass beliebige daten signiert werden koennen. in der praxis ist die signatur dann sign(sk, h(m)) fuer eine (kollisionsresistente) hashfunktion h (s. den 2. zitierten satz). der wichtige teil dabei ist das sign(sk,x); gehasht wird nur aus effizienzgruenden. der hashwert h(m) alleine ist keine signatur (s. den 1. zitierten satz), er muss mit dem signaturalgorithmus sign unter verwendung des geheimen signaturschluessels sk signiert werden. --Mario d 23:25, 14. Nov. 2012 (CET)
- Das entstand daraus, weil ich mich von Dir verwirren ließ. Ab jetzt nicht mehr, versprochen! :-)
- Da haben wir doch was ich meinte (und auch ganz oben schon schrieb): sign(sk,x), ein verschlüsselter Hashwert. Denn was macht man mit ein Schlüssel sk und einer Nachricht x: die Nachricht verschlüsseln. --Geri, ✉ 01:28, 15. Nov. 2012 (CET)
- nein, das ist falsch. sign(sk,H(m)) ist kein verschluesselter hashwert, es ist ein signierter hashwert. signieren ist etwas anderes als verschluesseln. --Mario d 10:28, 15. Nov. 2012 (CET)
- Ja, semantisch ist das so. Ich schrieb aber, schon vor längerem, „technisch gesehen“. Wenn Du das jetzt nach wie vor anders siehst, kann ich Dir/uns auch nicht mehr weiterhelfen. Außer Du erläuterst mir was DU mit einem Schlüssel 'sk' und einer Message 'x' sonst machst wenn es mal nicht um Signaturen geht.
- Oder anders gesagt: denkst Du nicht auch, dass bei sign(sk,x) und encrypt(sk,x) die gleiche Bitkombination (so elektronisch verarbeitet) rauskommt. --Geri, ✉ 17:25, 15. Nov. 2012 (CET)
- was du schreibst, ergibt keinen sinn. mit geht es nicht nur semantik, verschluesselungsverfahren und signaturverfahren sind etwas voellig anderes, auch „technisch gesehen“. der einzige fall wo manche leute (die keine fachleute sind) beides durcheinanderwerfen ist textbook-RSA. RSA ist aber eine ausnahme (und im artikel stand bis eben noch viel unsinn), schau dir lieber das Elgamal-Signaturverfahren an. dort siehst du, dass der signaturschluessel und der verifikationsschluessel in verschiedenen strukturen leben und gar nicht klar ist, was encrypt(sk,x) in diesem zusammenhang bedeuten soll (selbst abgesehen davon, dass man mit den oeffentlichen schluessel verschluesselt, nicht mit dem geheimen). --Mario d 20:49, 15. Nov. 2012 (CET)
- Vielleicht durchschaust Du ihn nur nicht. Aber stimmt, wenn Du auf meine Fragen nicht eingehst hat das wirklich keinen Sinn. --21:19, 15. Nov. 2012 (CET)(nicht signierter Beitrag von Gerold Broser (Diskussion | Beiträge))
- ich bin doch auf deine fragen eingegangen. falls es vorher nicht klar war: natuerlich kommt im allgemeinen bei sign(sk,x) und encrypt(sk,x) nicht die gleiche bitfolge raus, selbst unter der einschraenkung, dass das ueberhaupt eine sinnvolle aussage ist (zumindest muessen sign und encrypt den gleichen schluessel akzeptieren). mit einem schluessel und einer nachricht kann man machen was man will, aber wenn es nicht um signaturen geht, ist das hier der falsche artikel. falls du keine fragen mehr zum artikel hast, bin ich damit einverstanden, die diskussion an dieser stelle zu beenden. --Mario d 22:48, 15. Nov. 2012 (CET)
- Vielleicht durchschaust Du ihn nur nicht. Aber stimmt, wenn Du auf meine Fragen nicht eingehst hat das wirklich keinen Sinn. --21:19, 15. Nov. 2012 (CET)(nicht signierter Beitrag von Gerold Broser (Diskussion | Beiträge))
- was du schreibst, ergibt keinen sinn. mit geht es nicht nur semantik, verschluesselungsverfahren und signaturverfahren sind etwas voellig anderes, auch „technisch gesehen“. der einzige fall wo manche leute (die keine fachleute sind) beides durcheinanderwerfen ist textbook-RSA. RSA ist aber eine ausnahme (und im artikel stand bis eben noch viel unsinn), schau dir lieber das Elgamal-Signaturverfahren an. dort siehst du, dass der signaturschluessel und der verifikationsschluessel in verschiedenen strukturen leben und gar nicht klar ist, was encrypt(sk,x) in diesem zusammenhang bedeuten soll (selbst abgesehen davon, dass man mit den oeffentlichen schluessel verschluesselt, nicht mit dem geheimen). --Mario d 20:49, 15. Nov. 2012 (CET)
- nein, das ist falsch. sign(sk,H(m)) ist kein verschluesselter hashwert, es ist ein signierter hashwert. signieren ist etwas anderes als verschluesseln. --Mario d 10:28, 15. Nov. 2012 (CET)
- beim zitieren hast du den entscheidenden teil weggelassen: ich schrieb "eine signatur ist […] kein hashwert. eine signatur ist […] ein signierter hashwert" (hervorhebung von mir). oben schreibst du (in der korrigierten version), eine signatur sei lediglich ein hashwert. das ist aber falsch: die signatur einer nachricht m ist sign(sk, m); um das hervorzuheben und weil ich den eindruck hatte, dass du den hash ueberbetontst, habe ich erwaehnt, dass beliebige daten signiert werden koennen. in der praxis ist die signatur dann sign(sk, h(m)) fuer eine (kollisionsresistente) hashfunktion h (s. den 2. zitierten satz). der wichtige teil dabei ist das sign(sk,x); gehasht wird nur aus effizienzgruenden. der hashwert h(m) alleine ist keine signatur (s. den 1. zitierten satz), er muss mit dem signaturalgorithmus sign unter verwendung des geheimen signaturschluessels sk signiert werden. --Mario d 23:25, 14. Nov. 2012 (CET)
- eine signatur ist auch kein hashwert. eine signatur ist (in der praxis) ein signierter hashwert (prinzipiell kann man beliebige daten signieren). ich habe mir den anfang nocheinmal durchgelesen. ich bin nucht grundsaetzlich dagegen, bspw. aus "Diese digitale Signatur ermöglicht" etwas wie "Diese digitale Signatur ermöglicht, in Verbindung mit einem einer Person zugeordneten Verifikationsschlüssel," zu machen. allerdings werden schluessel erst im satz danach vorgestellt, und vom aufbau der einleitung finde ich das auch besser (zuerst was es ist, dann wozu es gut ist, dann zusatzinfos). ich habe mal einen satz am ende des absatzes eingefuegt, wa haeltst du davon? --Mario d 22:42, 11. Nov. 2012 (CET)
- ein technisches detail zum anfang: bei einer signatur wird nichts verschluesselt, dein punkt 1 ist also falsch. du meinst vermutlich aber das richtige. der rest ist zwar technisch richtig, allerdings finde ich den jetzigen einleitungssatz dennoch besser: er stellt kurz das wichtige dar. bei der einleitung ist verstaendlichkeit das oberste gebot, dabei darf der sachverhalt auch ruhig vereinfacht werden. im naechsten abschnitt wird er ja ausfuehrlich und korrekt geschildert. --Mario d 22:54, 29. Sep. 2012 (CEST)
- Das ist zwar alles richtig was Du sagst, geht aber an dem vorbei was ich mit „ein organisatorischer Aspekt, kein technischer“ meinte. OK, dann also etwas ausführlicher:
Zurück auf Start
Damit wir beide nachvollziehen können wovon der andere spricht, nummeriert:
1. Wir gehen von asymmetrischer Verschlüsselung aus, d.h. PrivKey + PubKey
2. Der Witz am Signieren ist, dass ein Empfänger E damit die Unversehrtheit eines übertragenen Klartexts k verifizieren können soll
3. Dabei kann man folgendermaßen vorgehen:
3.1. Der Sender S erstellt einen (möglichst kollisionsfreien) Hashwert h aus k
3.2. k + h werden zu E übertragen
3.3. E erstellt aus k (mit der selben Methode wie S) einen Hashwert h'
3.4. Sind h und h' identisch ist die Wahrscheinlichkeit sehr hoch (nicht 100 %, wegen möglicher Kollisionen), dass k nicht verändert wurde
3.5. Blöd ist nur, dass es da einen MITM geben kann, der:
3.5.1. k + h abfängt
3.5.2. k zu km verändert
3.5.3. aus km hm erstellt
3.5.4. km + hm an den vorgesehenen E sendet
3.5.5. E führt damit 3.3 durch
3.5.6. und kommt bei 3.4 zum Ergebnis, dass (vermeintlich) alles passt
4. Daher macht man besser Folgendes:
4.1. wie 3.1
4.2. S verschlüsselt h mit seinem PrivKey zu s
4.3. k + s wird übertragen
4.4. wie 3.3
4.5. E entschlüsselt s mit PubKey von S, erhält dadurch h
4.6. wie 3.4
4.7. Der MITM hat jetzt schlechte Karten, da
4.7.1. er den PrivKey von S nicht kennt
4.7.2. um damit aus km ein zum PubKey von S passendes sm (gem. 4.1 + 4.2) zu erstellen
4.7.3. verändert er trotzdem hoffnungsvoll k zu km
4.7.4. und sendet km + s an E
4.7.5. erhält E bei 4.5 + 4.6 natürlich keine Gleichheit von h und h'
4.7.6. da h aus km nicht mit h' übereinstimmt
4.7.7. ändert er noch hoffnungsvoller k zu km
4.7.8. erstellt hm aus km
4.7.9. verschlüsselt hm mit einem eigenen Irgendwas-Key und erhält daraus sm
4.7.10. sendet km + sm an E
4.7.11. erhält E bei 4.5 + 4.6 natürlich ebenfalls keine Gleichheit von h und h'
4.7.12. da h aus km nicht mit h' aus sm übereinstimmt
4.7.13. weil zum verschlüsseln von hm und zum entschlüsseln von sm zwei überhaupt nicht zusammengehörige Schlüssel, kein Schlüsselpaar verwendet wurde
Punkt 4.2 ist nun genau das, was ich ursprünglich mit „eine Signatur ist technisch gesehen ein verschlüsselter Hashwert“ meinte. Alles klar? --Geri, ✉ 04:14, 16. Nov. 2012 (CET)
- du schreibst hier das gleiche wie oben, nur ausfuehrlicher - ausgerechnet da, wo es darauf ankommt, bist du aber ungenau. ich glaube immer noch, dass du einfach begriffe falsch benutzt, mit einem signaturverfahren kann man im allgemeinen nicht verschluesseln. da wir auf dieser abstraktionsebene aber wohl nicht weiterkommen, lass uns doch konkret werden.
- in schritt 1 waehlen wir als hashfunktion SHA-256, als verschluesselungsverfahren das Elgamal-Verschlüsselungsverfahren und als signaturverfahren das Elgamal-Signaturverfahren. beide benutzen gluecklicherweise das gleiche verfahren zur schluesselerzeugung. wir erzeugen also eine zufaellige 3072-bit primzahl p = 2q+1 mit q prim, einen generator g der untergruppe G mit ordnung q und eine zufaellige zahl a in [1, p-1]. der geheime schluessel ist sk = a, der oeffentliche schluessel ist pk = (p, g, A = g^a). jetzt bist du dran: was machst du in schritt 4.2 genau? --Mario d 13:24, 16. Nov. 2012 (CET)
- Wo im Detail meinst Du bin ich ungenau? In 4.2? Wie sollte der Schritt dann D.M.n aussehen? Bzw. wie D.M.n. alle Schritte beginnend bei 4. (ohne MITM)? Welche Begriffe im Detail benutze ich D.M.n. falsch?
- Dass es nicht ratsam ist h als Klartext zu senden geht ja aus 3.5 hervor. Was mache ich, wenn ich etwas nicht als Klartext senden möchte? Ich sende es als Geheimtext. Wie komme ich von einem Klartext zu einem Geheimtext? Durch Verschlüsseln. Voilà? Oder wie meinst Du, dass das bewerkstelligt wird?
- Ja, das ist vielleicht nicht sehr ins Detail und schon gar nicht ins Detail der einzelnen Verfahren gehend, sondern wie Du auch andeutest: auf einer höheren Abstraktonsebene. --Geri, ✉ 20:44, 17. Nov. 2012 (CET)
- verschluesseln ist nicht signieren. wenn du etwas verschluesselst, kann es der angreifer nicht lesen. das ist aber nicht das, was du willst. verschluesseln mit dem geheimen schluessel geht schonmal gar nicht. so sollte es aussehen:
1. Wir gehen von digitaler Signatur aus, d.h. PrivKey + PubKey
4.2. S signiert h mit seinem PrivKey und erhaelt s
4.7.13. weil zum signieren von hm und zum verifizieren der signatur sm zwei überhaupt nicht zusammengehörige Schlüssel, kein Schlüsselpaar verwendet wurde
- in meinem konkreten beispiel verwende ich in 4.2 Elgamal-Signaturverfahren#Signierung einer Nachricht um zu der nachricht mit dem signaturschluessel eine signatur zu erstellen. --Mario d 11:53, 18. Nov. 2012 (CET)
- Tut nichts zur Sache. Erkläre bitte mal warum in der Grafik im Artikel steht:
- Hash → „encrypt hash using signer's private key“ → Signature
- Signature → „decrypt hash using signer's public key“ → Hash
- Und ob sich das genau mit meinen Aussagen deckt. --Geri, ✉ 06:35, 19. Nov. 2012 (CET)
- die grafik ist nicht von mir, erklaeren kann ich es also nicht; ich vermute, dass das diagramm von jemandem erstellt wurde, der sich an RSA-FDH orientiert hat und fuer den signatur = RSA = verschluesselung ist. in den 80ern, als die theorie noch nicht so weit entwickelt war, hat man diese analogie oft gezogen und das hat sich in manchen pupolaerwissenschaftlichen werken und lehrbuechern der zahlentheorie, die ausser RSA nix mit moderner krypto am hut haben, wohl auch noch eine ganze weile laenger so gehalten. trotzdem ist so eine aussage nach dem gegenwaertigen stand der wissenschaft nicht korrekt. --Mario d 17:14, 19. Nov. 2012 (CET)
- Kann ich nicht verifizieren[sic ;-] was Du sagst. Aber eine Sichtweise/Formulierung fällt mir noch ein:
- Ein Geheimtext bildet einen Klartext ab.
- Ein Hashwert bildet einen Klartext ab. (ideal, wenn kollisionsfrei)
- Ein verschlüsselter Hashwert bildet einen Klartext ab. (ideal, wenn kollisionsfrei)
- Eine Signatur bildet einen Klartext ab.
- Die Analogie sticht doch ins Auge, oder?
- Oder ist Letztes, evtl. abhängig vom Verfahren, so nicht zutreffend. D.h. kann es evtl. eine Signatur geben, die mehr als einen Klartext abbildet? --Geri, ✉ 19:38, 19. Nov. 2012 (CET)
- Kann ich nicht verifizieren[sic ;-] was Du sagst. Aber eine Sichtweise/Formulierung fällt mir noch ein:
- die grafik ist nicht von mir, erklaeren kann ich es also nicht; ich vermute, dass das diagramm von jemandem erstellt wurde, der sich an RSA-FDH orientiert hat und fuer den signatur = RSA = verschluesselung ist. in den 80ern, als die theorie noch nicht so weit entwickelt war, hat man diese analogie oft gezogen und das hat sich in manchen pupolaerwissenschaftlichen werken und lehrbuechern der zahlentheorie, die ausser RSA nix mit moderner krypto am hut haben, wohl auch noch eine ganze weile laenger so gehalten. trotzdem ist so eine aussage nach dem gegenwaertigen stand der wissenschaft nicht korrekt. --Mario d 17:14, 19. Nov. 2012 (CET)
- Tut nichts zur Sache. Erkläre bitte mal warum in der Grafik im Artikel steht:
- verschluesseln, hashen und signieren sind operationen auf klartexten (nachrichten). da hoert die analogie aber schon auf. natuerlich kannst du einen arbeitsvertrag unterschreiben oder schreddern, aber das ist nicht das gleiche und du wirst je nachdem, was du erreichen willst, die passende aktion waehlen. --Mario d 21:36, 19. Nov. 2012 (CET)
- Kann es evtl. eine Signatur geben, die mehr als einen Klartext abbildet?
- Die Grafik ist in neun MW-Wikis eingebunden. Dass da überall nur populärwissenschftliche Leute aus den 1980ern unterwegs sind, schließe ich aus. Wobei auf en:Talk:Digital signature#Incorrect terminology in diagram heuer eine ähnliche Debatte lief. Zitat daraus: „I checked Applied Cryptography (1994) by Bruce Schneier, pages 33–34 to confirm my understanding; to sign, the hash is encrypted with the private key and to verify, it is decrypted with the public key.“ Was aber dann mit Verwunderung zur Kenntnis genommen wurde. Sind sich da gar die Experten auch nicht einig? Wäre ja nicht das erste Mal in irgend einem Wissenschaftszweig. ;-) --Geri, ✉ 21:46, 19. Nov. 2012 (CET)
- ich verstehe die frage zwar nicht, aber ich rate mal eine antwort: falls zum signieren eine hashfunktion verwendet wird (die per definition nicht injektiv sein kann), gibt es viele nachrichten, die den gleichen hashwert, also auch die gleiche signatur haben. wenn die hashfunktion kollisionsresistent (und die signatur "sicher") ist, ist es aber praktisch unmoeglich zwei nachrichten mit der gleichen signatur zu finden. zu deiner bemerkung: hier ist die grafik ja auch eingebunden, zumindest bis ich eine bessere finde. den rest der diskussion hast du ja sicher auch gelesen. schneiers buch ist fast 20 jahre alt und eher auf nichtkryptologen zugeschnitten. ein lehrbuch ist es sicher nicht. wir muessen das auch nicht weiterdiskutieren, wenn du aus irgendeinem grund an deiner ueberzeugung fethalten moechtest, stehe ich dir nicht im weg. --Mario d 22:16, 19. Nov. 2012 (CET)
- verschluesseln, hashen und signieren sind operationen auf klartexten (nachrichten). da hoert die analogie aber schon auf. natuerlich kannst du einen arbeitsvertrag unterschreiben oder schreddern, aber das ist nicht das gleiche und du wirst je nachdem, was du erreichen willst, die passende aktion waehlen. --Mario d 21:36, 19. Nov. 2012 (CET)
Sprachliches
Es wäre schön, wenn die Texte in einem einfachen Deutsch verfaßt würden. Erstens sind sie dann verständlicher, und zweitens kommen die Verfasser dann nicht so leicht in Versuchung, Ausdrucksweisen zu verwenden, die nicht passen.
Beispiele aus dem letzten Absatz des Abschnitts "Das Grundprinzip":
(1) "... da eine Signaturerstellung syntaktisch etwas anderes ist ..." Ob der Verfasser wirklich weiß, was "syntaktisch" bedeutet? Vorschlag: einfach fortlassen.
(2) "trifft diese Analogie dementsprechend auch nicht zu": Von einer Analogie war bisher nicht die Rede. Hier ist also mindestens ein logisches Loch. Aber mir mag scheinen, daß das Wort hier überhaupt nicht paßt. Außerdem kann das "dementsprechend" fortgelassen werden; es wirkt umständlich, und der Zusammenhang mit dem zuvor Geschriebenen ist durch das "auch" ausreichend ausgedrückt.
(3) "Dort wird bei der Verifikation keineswegs ...": Warum "keineswegs"? Das klingt übertrieben und wäre nur gerechtfertigt, wenn das Gegenteil als wahrscheinlich angenommen werden darf. Ein einfaches "nicht" genügt.
--178.7.201.238 08:40, 20. Jan. 2013 (CET)
- 1) ja, das weiss er und die wortwahl war absicht. 2) gefaellt dir "gleichsetzung" besser? 3) von manchen wird das gegenteil sogar als selbstverstaendlich angenommen. --Mario d 12:50, 22. Mär. 2013 (CET)
nochmal sprachliches
Leider kann man den ersten Absatz als User nicht einfach korrigieren, der Text ist nicht gut:
1.) Eine Signatur ist kein Verfahren, sondern das Produkt eines Verfahrens. 2.) Außerdem kann eine Signatur kein Kryptosystem sein, sondern allenfalls vielleicht im Rahmen eines Kryptosystems berechnet werden.
Es sollte m:E. also z.B. eher heißen: "Eine digitale Signatur ist eine durch ein kryptografisches Verfahren aus einem digitalen Dokument mithilfe eines geheim gehaltenen, privaten Schlüssels berechnete Zeichenfolge. Jeder kann bei Kenntnis des zum privaten Schlüssel gehörigen öffentlichen Schlüssels verifizieren, dass der Signierende Kenntnis des privaten Schlüssels hatte und dass die drei Elemente Signatur, Dokument und öffentlicher Schlüssel zusammen eine gültige Einheit bilden. Es ist aber nicht möglich, aus der Kenntnis der drei Elemente den privaten Schlüssel zu ermitteln. Somit ermöglicht diese digitale Signatur, dass die Authentizität und Unverändertheit eines digitalen Dokuments durch jeden geprüft werden kann." (nicht signierter Beitrag von 89.246.29.200 (Diskussion) 10:23, 22. Mär. 2013 (CET)) --89.246.29.200 13:43, 22. Mär. 2013 (CET) manders 10:30, 22. Mär. 2013
- sowohl das verfahren als auch das produkt werden mit "digitale signatur" bezeichnet. --Mario d 11:24, 22. Mär. 2013 (CET)
- Hmm, also nach meinem Sprachgefühl ist die Regelung, dass ein Wort mit der Endung ur das Produkt einer Tätigkeit darstellt und im ersten Teil des Wortes das Verfahren -häufig als Fremdwort lateinischen Ursprungs- wiedergegeben ist. Frisur, Fraktur, Fissur, Gravur von frisieren, brechen, reissen, gravieren etc. etc.
- Im Französichen wird das regelmäßig mit der Endung -ure etwas abgewandelt getan.
Wenn das denn bei digitaler Signatur anders sein sollte, ist mir aber kein anderer Fall bekannt, wo noch von dieser Regel abgewichen würde. Kennst Du ein anderes Beispiel, Mario?
- --Micha137c (Diskussion) 14:03, 22. Mär. 2013 (CET)
- mir faellt gerade keins ein, ich wuesste auch nicht, wozu das gut sein sollte. meine aussage war deskriptiv, nicht normativ, denn der artikel soll der tatsaechlichen verwendung folgen, nicht einem sprachgefuehl. im franzoesischen heisst es ebenfalls: "La signature numérique [...] est un mécanisme", im englischen "A digital signature [...] is a mathematical scheme". --Mario d 14:24, 22. Mär. 2013 (CET)
Die ersten drei Sätze
ok, jetzt ist die Ähnlichkeit mit dem englischsprachigen Beitrag größer. Ich finde ehrlich gesagt die ersten drei Sätze immer noch nicht gut und meinen Vorschlag nach wie vor besser.....aber dann soll es halt so bleiben. Bitte ändert aber wenigstens: Digitale Signaturen sind asymmetrische Kryptosysteme in: Digitale Signaturen beruhen auf asymmetrischen Kryptosystemen
Eine Signatur ist kein Kryptosystem. Das tut beim Lesen jedes mal ein bisschen weh und steht so mit Sicherheit in keinem konventionellen Lexikon der Welt. (nicht signierter Beitrag von Micha137c (Diskussion | Beiträge) 10:27, 5. Apr. 2013 (CEST))
- das begriff "kryptosystem" ist mehrdeutig, manchmal wird er mit verschluesselung gleichgesetzt, meistens aber mit "kryptographisches verfahren". der satz ist also schonmal nicht falsch, im gegensatz zu "Digitale Signaturen beruhen auf asymmetrischen Kryptosystemen", den du sicherlich in keinem guten lehrbuch finden wirst. wenn du begriffe kritisieren willst, dann schau doch bitte in einem guten lehrbuch nach und bringe belege, sonst fuehrt das zu nichts. --Mario d 12:48, 5. Apr. 2013 (CEST)
Ich kritisiere nicht Begriffe, sondern die meiner Meinung nach falsche Verwendung von Begriffen. Nach den ersten Sätzen diese Wikipediaeintrages ist also eine digitale Signatur A) das Produkt des Signierprozesses, B)der Signierprozess selbst und C) ein Kryptosystem. Ein Produkt, ein Prozess und ein System. Das muss doch jeden hilfesuchenden Leser schwindelig machen! (Unter Kryptosystem versteht man üblicherweise eine Menge von kryptographischen Primitiven, die zusammen genommen das Signieren/Verifizieren und Verschlüsseln/Entschlüsseln erlauben, z.B. ECC, RSA oder elGamal.) Ich habe übrigens nach Marios gutem Rat mal ein Lehrbuch aus dem Regal gezogen ;-) Bei meinen guten Büchern (z.B. von Beutelspacher ok, etwas älter..) wird peinlich genau zwischen der Signatur, dem Signiervorgang und dem Signaturschema unterschieden. Das würde man von einem Mathematiker auch kaum anders erwarten. Es mag ja sein, dass der Begriff digitale Signatur hier und da wie in diesem Wikipedia Eintrag verwendet wird. Meiner Meinung nach sollte aber ein Lexikon nicht kritiklos alle im Feld vorkommenden Verwendungen abbilden. Ein Lexikon ist auch in der Verantwortung, Fehlverwendung oder unsaubere Verwendung von Begriffen( in meiner Szene nennt man das "Laborjargon") gerade nicht zu transportieren. Ich bedauere es ausdrücklich, wenn ich durch etwas zu direkte Formulierungen in dieser Diskussion unangenehme Emotionen angestachelt habe und so der Verbesserung des Wikipediaeintrages keinen Dienst erwiesen habe. Vielleicht kann man sich das Schriftstück mit etwas zeitlichem Abstand ja mal wieder vornehmen. --Micha137c (Diskussion) 09:47, 10. Apr. 2013 (CEST)
- ich habe kein problem mit direkten formulierungen. ich sehe bisher nur keinen guten grund, die einleitung so umzuschreiben, dass sie deiner meinung von richtiger begriffsverwendung entspricht. ich bin nicht prinzipiell gegen aenderungen, aber sie muessen gut begruendet sein.
- verfahren meint "eine Handlungsvorschrift zur Lösung eines Problems in der Mathematik oder Informatik, der Algorithmus", "prozess" habe ich in dem zusammenhang noch nie gehoert. zwischen "verfahren" und "kryptosystem" gibt es in dem kontext auch keinen unterschied, deinen satz "Unter Kryptosystem versteht man üblicherweise eine Menge von kryptographischen Primitiven" kann ich nicht nachvollziehen. wo hast du das her? wie kommst du darauf, dass das die uebliche bedeutung ist? mWn hat der begriff "kryptosystem" mindestens zwei "uebliche" bedeutungen. was verstehst du unter einem primitiv? meinst du mit RSA die einwegpermutation? was meinst du mit ECC oder ElGamal?
- eine enzyklopaedie sollte alle gaengigen bedeutungen eines wortes abdecken. ein lehrbuch kann begriffe definieren, das sollen wir hier aber nicht. wer entscheidet denn, welcher gebrauch eine fehlverwendung darstellt? --Mario d 13:43, 10. Apr. 2013 (CEST)
Hallo Mario,
Kryptographisches Primitiv findest Du im deutschen Wikipedia, ebenda auch RSA-Kryptosystem. elGamal-Kryptosystem leitet Dich im deutschen Wikipedia weiter zu elGamal Verschlüsselungsverfahren. ECC findest Du bisher nur im englischsprachigen Wikipedia: Elliptic Curve Cryptography.
Kommentar von Micha137c, hab jetzt meinen Zugangscode nicht präsent 8-0 --213.39.232.37 18:39, 10. Apr. 2013 (CEST)
- lass dir beim antworten ruhig zeit, wir haben es nicht eilig. Elliptic Curve Cryptography gibt es auch hier, das ist aber weder ein primitiv, noch ein kryptosystem. deshalb meine frage, was du damit meinst. ElGamal-Kryptosystem leitet auf eine BKL weiter. ich nehme an, du wolltest sagen, dass für dich das Elgamal-Verschlüsselungsverfahren ein kryptosystem ist. aus welchen primitiven besteht es denn? --Mario d 19:31, 10. Apr. 2013 (CEST)
- ich habe mir zum begriff "kryptosystem" ein bischen literatur angeschaut.
- Christof Paar und Jan Pelzl: Understanding Cryptography, Springer 2010: kap. 7 - "The RSA Cryptosystem" behandelt nur verschluesselung. "The RSA Signature Scheme" ist unterkap. 10.2 im kap. 10 "Digital Signatures". kap. 8 "Public-Key Cryptosystems Based on the Discrete Logarithm Problem" hat als unterkap. 8.1 "Diffie-Hellman Key Exchange"
- Johannes A. Buchmann: Introduction to Cryptography, Springer 2001, hat in kap. 3 "Encryption" als unterkap. 3.2 "Symmetric and Asymmetric Cryptosystems" und im kap. 7 "Public-Key Encryption" als unterkap. 7.2 "RSA Cryptosystem"
- Richard A. Mollin: An Introduction to Cryptography", Chapman & Hall 2001, hat im kap. 3 "Public-Key Cryptosystems" als unterkap. 3.3 "Authentication".
- man sieht also deutlich, dass es keinen einheitlichen sprachgebrauch gibt: fuer Buchmann ist "kryptosystem" und "verschluesselungsverfahren" das gleiche, bei Paar und Pelzl ist es nicht ganz klar, immerhin sind wohl schluesselaustauschprotokolle kryptosysteme, und bei Mollin sind signaturverfahren klar kryptosysteme. dafuer scheint Mollin zwischen "signature" und "signature scheme" zu trennen, bei Paar und Pelzl sind die beiden begriffe weniger klar getrennt und Buchmann schreibt als ersten satz in kap. 11: "Digital signatures are used to sign electronic documents." ich denke, damit ist klar, dass es sich nicht nur um "Laborjargon" handelt. --Mario d 14:22, 16. Apr. 2013 (CEST)
ich habe noch eine definition gefunden: " Als Kryptosysteme gelten sowohl kryptographische Grundoperationen (z.B. Hashfunktionen, Blockchiffren, Verfahren zur Public-Key Verschlüsselung, Digitale Unterschriften, ...), als auch Sicherheitsprotokolle, die derartige Grundoperationen einsetzen sowie Anwendungssysteme und Netzwerke, die solche Protokolle verwenden." [1] --Mario d 14:34, 26. Apr. 2013 (CEST)
Symmetrischer Sitzungsschlüssel
Nur der Server, der den öffentlichen Schlüssel ausgegeben hat, kann auch Daten entschlüsseln, die der Client mit diesem Schlüssel verschlüsselt zu ihm überträgt. Aus diesem Grund ist es üblich, dass der Client nach erfolgreichem Verbindungsaufbau einen symmetrischen Sitzungsschlüssel aushandelt, damit die weitere Kommunikation symmetrisch geführt werden kann.
Welcher kausale Zusammenhang oder welche weitere Fakten rechtfertigen die Formulierung "Aus diesem Grund" ? (nicht signierter Beitrag von 139.2.4.137 (Diskussion) 17:50, 13. Sep. 2013 (CEST))
- weil es nur einen oeffentlichen schluessel gibt (den des servers), waere verschluesselung ohne aushandlung symmetrischer schluessel auch nur in eine richtung moeglich (vom client zum server). der ganze satz ist hier aber ueberfluessig, ich habe ihn geloescht. --Mario d 18:14, 13. Sep. 2013 (CEST)
Diagramm fehlerhaft
In den dicken Pfeilen, wo "encrypt" bzw. "decrypt" steht, wären diese Begriffe zumindest auszutauschen. Wenn man den privaten Schlüssel anwendet, entspricht das (von Padding einmal abgesehen) einer Decryption, die Anwendung des öffentlichen Schlüssels einer Encryption. Noch besser wäre, beide Begriffe wegzulassen und auf "apply private key to hash" bzw. "apply public key to signature" dafür einzusetzen. --almirena (Diskussion) 14:29, 14. Aug. 2014 (CEST)
- du hast recht, signieren hat mit ver- oder entschluesseln rein gar nichts zu tun. ich habe das diagramm rausgenommen, bis es ein ordentliches gibt. --Mario d 14:39, 14. Aug. 2014 (CEST)
Informationen über Signieren bei mails?
Klingt vielleicht wie eine persönliche Bitte um Hilfe, soll es aber NICHT sein: Ich bin neben anderen Artikeln auch in diesem hier geladet auf der Suche nach Informationen zum Thema "signierte mails" - und habe leider nichts finden können. Gibt es solche Infos bislang noch in keinem Artikel? Falls doch, dann wäre es gut, wenn an leicht auffindbarer Stelle hier in diesem Artikel ein Link auf den entspr. anderen Artikel enthalten wäre, wenn das vielleicht jemand zufügen könnte.
Ich persönlich favorisiere ja den Abschnitt "Siehe auch", den es, gut gefüttert, in den allermeisten WP-Artikeln geben sollte: Dieser Abschnitt ist eine der leistungsfähigsten Waffen, mit denen User in minimaler Zeit ihre benötigten Artikel und damit Informationen finden können. Nur leider wird dieses so wertvolle Feature ja sehr stiefmütterlich behandelt, in vielen Artikeln (wie leider auch hier...) fehlt der Abschnitt ganz und in fast allen anderen ist der Abschnitt nur erbärmlich mager gefüllt (manchmal mit der dummen Begründung, die dort fehlenden Links wären bereits irgendwo anders im Text versteckt vorhanden und die User könnten ja "Stecknadel im Heuhaufen" mühsam den gesamten Text nach den benötigten Links durchsuchen). --Zopp (Diskussion) 12:15, 28. Aug. 2020 (CEST)