Digitale Signatur

Ein Vorteil, aber auch gleichzeitig ein Nachteil elektronischer Dokumente ist ihre leichte und nachträglich nur schwer feststellbare Veränderung. Dies wird zum Problem, wenn die elektronische Publikation als ernsthafte Alternative zum herkömmlichen Publizieren in Printmedien genutzt wird. Es muss sichergestellt werden, dass eine elektronische Veröffentlichung authentisch ist. Im Normalfall stellt dies der VTS-Betreiber durch geeignete Security- und Authentifizierungsmechanismen sicher. Was aber ist, wenn Sie ein elektronisches Dokument von jemandem auf irgendeinem Wege erhalten, der behauptet, dies wäre ein originales VTS-Dokument, Sie sich dessen aber nicht sicher sein können? Oder Sie möchten prüfen, ob ein Dokument, das Sie selber aus dem VTS herunterladen nicht vielleicht durch einen illegalen Eindringling verändert wurde? Wir hoffen natürlich, dass ein solcher Fall niemals auftritt, aber wir bieten trotzdem einen Mechanismus, die Authentizität eines VTS-Dokuments zu verifizieren: die digitale Signatur.

Signieren von Dokumenten

Digitale Signaturen von VTS-Dokumenten werden mit der frei verfügbaren Kryptographie-Software PGP (Pretty Good Privacy) erzeugt. Auch zur Verifikation einer Signatur benötigen Sie diese Software, die für viele Plattformen erhältlich ist. Einen Link zur PGP-Homepage finden Sie auf unserer Seite Hilfsprogramme.

Falls Sie noch niemals mit PGP gearbeitet haben, dann empfehlen wir Ihnen, sich zunächst mit einigen Grundlagen vertraut zu machen. Der Software wird eine ausführliche Dokumentation mitgeliefert.

Ob es zu den Teildokumenten einer VTS-Publikation eine digitale Signatur gibt, erkennen Sie in der Detailansicht des Dokuments: Hinter dem Dateinamen des Teildokuments wird dann der Name und der Link zu der Signaturdatei dieser Datei angezeigt.

Validieren von Dokumenten

Zur Validierung einer Datei gehen Sie wie folgt vor:

  • Wenn nicht schon geschehen, dann laden Sie sich das Root-Certificate des VTS herunter und importieren Sie es in den PGP-Keymanager. Dieses Zertifikat ist wiederum signiert mit dem Root-Certificate der Bibliotheks-Services des kiz.
  • Laden Sie ggf. die zu validierende Datei aus dem VTS auf Ihr lokales System herunter, wenn Sie sie nicht bereits auf anderem Weg erhalten haben.
  • Laden Sie über den Link hinter dem Namen des Zertifikats die dazugehörende Signaturdatei (.sig) auf ihr lokales System herunter, am besten in dasselbe Verzeichnis wie die im zweiten Schritt heruntergeladende zu validierende Datei.
  • Mit einem Doppelklick auf die .sig-Datei starten Sie die Authentizitätsüberprüfung. Das Ergebnis wird Ihnen von PGP angezeigt. War die Überprüfung erfolgreich, dann können Sie sich darauf verlassen, dass Sie das originale VTS-Dokument haben, denn die digitale Signatur kann nur mit dem echten, an sicherer Stelle und offline verwahrten VTS-Key erzeugt werden.