Moin!

ich bin eben auf der Website des BVG über was intressantes gestolpert: Die Urteile die dort online stehen sind mit PGP signiert. (siehe z.B. view-source:http://www.bundesverfassungsgericht.de/entscheidungen/frames/rk20030827_2bvr091103)

Nebenbemerkung: Diese tollen view-source-Links funktionieren in Opera nicht. Einem normalen Link mit nachfolgender Anzeige des Quelltextes hingegen hätte funktioniert. Ich bin dafür, diese Linkversion "view-source" nicht zu verwenden.

Im Impresseum (http://www.bundesverfassungsgericht.de/cgi-bin/link.pl?zertifizierung) steht dazu:

| Wenn Sie ein Urteil aufrufen, werden Sie keine Signatur bemerken, denn die
| derzeitigen Browser sind noch nicht in der Lage solche Sicherungsmechanismen
| korrekt zu verarbeiten.

Gibt es da wirklich einen Standart der das regelt? Vielleicht sogar schon einen Browser oder Plugin das mit Signaturen umgehen kann?

Es gibt nach meinem Wissen keinen Standard, der das regelt. Diese Signierung der HTML-Quelltexte ist im Prinzip ein ganz ganz simpler Vorgang. Der Quelltext der HTML-Seite wird wie folgt noch etwas bearbeitet:
Am Beginn wird ein Kommentarende "-->" eingefügt, und am Ende ein Kommentaranfang "<!--". Dann wird diese Datei mit PGP signiert. Das ist eine simple Standardfunktion von PGP. Beispielsweise kopiert man den Quelltext in die Zwischenablage, signiert und pastet die Zwischenablage zurück in die Datei. Damit die PGP-Fragmente die Seitendarstellung nicht stören, wird abschließend am Dateianfang noch ein Kommentaranfang und am Dateiende ein Kommentarende eingefügt.

Durch die Signatur ist sichergestellt, dass niemand im Bereich zwischen "BEGIN PGP SIGNED MESSAGE" und "END PGP SIGNATURE" irgendwelche Änderungen (auch keinen neuen Zeilenumbruch oder sonst etwas) vornehmen kann, ohne die Signatur zu zerstören.

Lediglich die außerhalb des Bereichs existierenden Kommentarzeichen könnte man ändern - und natürlich auch mit neuen HTML-Tags anreichern. Beispielsweise könnte man die Darstellung im Browser durch ein hinten angehängtes Javascript dynamisch ändern (document.body.innerHTML = "anderer Text"), aber wer informiert ist, dass der Quelltext signiert wurde, kann jederzeit die Authentizität prüfen - ein derzeit noch etwas manueller Vorgang, indem man wieder den Quelltext in die Zwischenablage packt und von PGP prüfen läßt.

- Sven Rautenberg