Tip - erst hier lesen: Grundlagen: Public und Private Key
Wenn sie schon mal eine Spam-Email bekommen haben, wissen sie wie einfach es ist den Absender einer Mitteilung im Internet zu fälschen.
Die Frage also, wie kann ich mir bei Dokumenten aus dem Internet sicher sein, dass diese wirklich von der *echten* Person erstellt worden. Ihr Browser macht das jetzt schon für sie. Später mehr hierzu.
Die Lösung - so sicher wie eine Unterschrift
Sie möchten sicherstellen, dass das Vertragsdokument auch wirklich von ihrem Partner stammt und zudem nicht manipuliert wird.
Alles fängt wieder mit einem Schlüsselpaar an...
- Ihr Partner erzeugt ein Schlüsselpaar. Den Public Key veröffentlicht er mit seinem Namen in einem Verzeichnis oder auf einer Visitenkarte.
- Ihr Partner erzeugt aus der Nachricht und dem Private-Key einen weiteren Schlüssel: Signatur = Nachricht + Private Key.
- Der Partner schickt ihnen die Nachricht und die Signatur (nicht den Private Key)
Sie erhalten Nachricht und Signatur und...
- bestimmen den passenden Public Key aus ihren Unterlagen
- Überprüfen, dass die Signatur zur Nachricht passt
- Überprüfen, dass die Signatur durch den Private Key ihres Partners erzeugt wurde
Damit wissen sie, dass nur ihr Partner diese Nachricht und Signatur erstellen konnte und das die Nachricht durch niemanden verändert worden ist.
Ihr Browser kann das schon..
Ihr Browser lädt über eine offizielle Datenbank (Certifkate) die Public Keys wichtiger Webseiten herunter.
Beim Aufruf einer verschlüsselten Webseite überprüft er das Certifkat der Seite mit dem Public Key.
(das ist sehr stark vereinfacht)