Hallo Andreas.

Ich bin gerade auf der Suche nach Informationen über qualifizierte Signaturen die sich im Web-Umfeld anwenden lassen, und zwar konform zum Signaturgesetzt(SigG).

Meines Wissens nach regelt das Signaturgesetz jede Form der Signatur. Worauf du vermutlich abzielst, ist die nach § 4 SigG ff. vorgeschriebene Zulassung von qualifizierten Signaturen, für die die RegTP (http://www.regtp.de/) zuständig ist.

Prinzipiell braucht man ja für eine qualifizierte Signatur einen privaten Schlüssel, mit der man z.B. eine Email signiert, was dann anhand des öffentlichen Schlüssels verifiziert werden kann.

Soweit mir bekannt ist, gilt dieses Verfahren für alle Arten von denkbaren elektronischen Signaturen, also sowohl für einfache, fortgeschrittene und qualifizierte Signaturen.

(btw. gelten GPG/PGP eigentlich als Signaturgesetz konforme, qualifizierte Signaturen?)

PGP ist m.E. als fortgeschrittene Signatur konform mit dem SigG, stellt allerdings keine qualifizierte Signatur dar. Eine qualifizierte Signatur ist eine "höhere" Form der fortgeschrittenen Signatur, die lt. EU-Richtlinie "mit einer sicheren Signaturerstellungseinheit erstellt wurden, die sich in der alleinigen Verfügung des Inhabers befindet".

Soweit ist das ja alles klar. Aber angenommen ich fülle ein HTML-Formular aus, und will dass dessen Daten signiert werden, so dass sie den Anforderungen des Signaturgesetzes genügen - ist das überhaupt möglich?

Natürlich. So, wie ich es bisher verstanden habe, geht es bei der qualifizierten Signatur darum, dass die Signatur eindeutig einer Person zugeordnet und dies bestätigt werden kann. Zu diesem Zweck muss es ein qualifiziertes Zertifikat geben, nur dann hast du eine qualifizierte Signatur (siehe § 2 Nr. 3 SigG). Um ein solches Zertifikat ausstellen zu können, braucht der Anbieter zwar nicht geprüft ("akkreditiert") werden, er muss sich aber an die Auflagen des SigG halten. Aber "signieren" im Sinne des SigG bedeutet eben nicht nur das Anhängen einer qualifizierten Signatur. Da das SigG auch - wie oben schon geschrieben - für einfache und fortgeschrittene Signaturen gilt, kannst du die Formulareingaben selbstverständlich SigG-konform signieren.

Bei SSL gibt es ja auch Client-Zertifikate, die Sache ist ja nur, dass dies eine Authentifizierung/Signatur auf der Protokoll-Ebene garantiert, aber gilt somit alles was ich dann in ein Formular eingebe als "qualifiziert signiert"?

Hm, ich weiß eigentlich zu wenig über SSL. Allerdings dürfte hier keine qualifizierte sondern allenfalls eine fortgeschrittene Signatur vorliegen. Zwar ist der Session Key eindeutig einem Client zuordenbar, aber ob es ein qualifiziertes Zertifikat im Sinne des SigG gibt, wage ich zu bezweifeln, denn der SSL-Server verwendet ja ein Zertifikat, das jedoch meiner bescheidenen Meinung nach kein Zertifikat im Sinne des § 2 Nr. 7 SigG darstellt.

Aber das verstehe ich nicht. Im Fall von PGP/GPG kann man den privaten Schlüssel ja per Passwort verschlüsseln, so dass niemand was damit anfangen kann. Ist das jetzt eien "qualifizierte Signatur" oder nicht? Habe dazu irgendwie keine endeutige Aussage gefunden.

Nein, "nur" eine fortgeschrittene Signatur.

Aber was gibt es dann für Möglichkeiten die Nutzdaten bei HTTP-Requests zu signieren?

Eine Möglichkeit ist das von dir bereits genannte PGP.

Und die Alternative - mit Chipkartenleser? Aus dem Browser heraus so ein Gerät anzusprechen ist ja mit Sicherheit recht aussichtslos, über Java dürfte es ja eigentlich auch nicht gehen, das heißt man bräuchte wieder ein extra Plugin, welches sich um das Signieren und den Zugriff auf das Kartenlesegerät kümmert.

Ja, eine Übersicht über die verfügbaren Hardware- und Softwareprodukte findest du auf der Seite der RegTP (Link weiter oben).

Sehe ich das also richtig dass digitale Signaturen wirklich nur bei Dokumenten wie Word-Dateien, Emails oder vergleichbaren Formaten Sinn machen?

Nun, die qualifizierten Signaturen sollen doch nur dazu da sein, rechtswirksame Unterschriften auch auf elektronischem Wege leisten zu können (z.B. bei Steuererklärungen). Willst du also deine per Formular übermittelten Daten mit einer eigenhändigen Unterschrift versehen lassen, brauchst du dafür eine qualifizierte elektronische Signatur, die es m.E. für diesen Anwendungsfall (noch?) nicht gibt. Ansonsten steht es dir frei, die Daten bspw. mit Hilfe von PGP oder SSL signieren zu lassen, du hast halt nur keine rechtsverbindliche Unterschrift.

Meine 0,02 EUR ;-)
Siechfred