Wenn Sie ein Dokument elektronisch signieren, beinhaltet dieser Prozess mehr, als wenn Sie nur eine Unterschrift unter einen Text setzen. Die meisten Schritte finden von Software gesteuert hinter den Kulissen statt.
Jede Form von elektronischer Signatur besteht vereinfacht gesagt aus Daten, die einem Dokument bzw. einer Datei hinzugefügt werden. Deshalb werden alle Signaturen "elektronisch" genannt. Für die fortgeschrittene und die qualifizierte Signatur gibt es auch den Begriff digitale Signatur, weil sie auf einem Verschlüsselungsverfahren beruhen.
Bei der qualifizierten elektronischen Signatur werden die zusätzlichen Daten durch Hardware-Sicherheitsmodule (HSM) in einer besonders sicheren technischen Umgebung erzeugt. In Regionen mit einer abgestuften gesetzlichen Regelung für Signaturen als Vertrauensdienst, wie z. B. in der EU, gibt es ein zusätzliches Sicherheitskriterium: Das digitale Zertifikat, also der authentifizierte Identitätsnachweis des Unterzeichners, wurde von einer speziell dafür autorisierten und qualifizierten Stelle ausgestellt.
Das Signieren findet in einer sogenannten Public-Key-Infrastruktur statt, in der ein Verschlüsselungsverfahren mit zwei Software-Schlüsseln zum Einsatz kommt. Einer ist der private, den nur die verschlüsselnde Stelle kennt, und einer der öffentliche. Dieser wird dem Dokument im Signaturzertifikat für den Empfänger mitgegeben.
Dabei laufen drei Schritte ab:
Hashwert berechnen
Aus den Daten des Dokuments bzw. der Datei wird mit einer mathematischen Funktion eine Prüfsumme berechnet, die man Hashwert nennt. Das ist eine Art Fingerabdruck des Dokuments.Hashwert verschlüsseln
Dieser Hashwert wird mit dem privaten Softwareschlüssel (Private Key) des Unterzeichners verschlüsselt.Verschlüsselten Hashwert + Zertifikat mit Dokument verbinden
Der verschlüsselte Hashwert und das Zertifikat werden an das Dokument gehängt. Das Zertifikat enthält den öffentlichen Schlüssel zum Entschlüsseln des Hashwertes, die Information, dass dieser Schlüssel mit der Identität des Unterzeichners verbunden ist, sowie die Gültigkeit des Zertifikats.