Digitale Signatur

Digitale Signaturen werden bereits seit den 1980ern verwendet. Sie dienen zum Nachweis der Verfügungsberechtigung oder vielmehr der Verfügungsgewalt durch das digitale Signieren eines digitalen Gutes oder einer Transaktion durch den Nutzer.⁷⁸ Die digitale Signatur dient demnach als Eigentumsnachweis (Proof-of-Ownership)⁷⁹ oder richtiger als Nachweis der Verfügungsgewalt. Diese Signatur kann von jedem unabhängig überprüft werden. Erst dadurch ist es gelungen, ein digitales Original zu schaffen, welches einzigartig ist und nachträglich nicht verändert werden kann.

Kryptografische digitale Signaturen ermöglichen es, ein digitales Gut oder eine Transaktion zu signieren. Dadurch erfolgt eine eindeutige Zuordnung dieses digitalen Gutes zu einer bestimmten Person, auch wenn diese Zuordnung idR pseudoanonym erfolgt. Das ermöglicht ein Vertrauen

74 Kalinov/Voshmgir, Blockchain. A Beginners Guide (2017) 13; Bott/Milkau, Blockchain-Technologie – zwischen Hype und Katalysatorfunktion in Mosen/Moormann/Schmidt (Hrsg), Digital Payments – Revolution im Zahlungsverkehr (2016) 121.

75 Siehe insb Kapitel V.

76 Siehe unter vielen: Antonopoulos, Bitcoin & Blockchain² 15 – 30; Völkel, Videobeitrag, Blockchain &

Cryptowährungen im Gefüge der Rechtsordnung, https://www.svlaw.at/oliver-voelkel-ueber-blockchain-cryptowaehrungen-im-gefuege-der-rechtsordnung (abgefragt am 16. 3. 2019).

77 Badev/Chen, Bitcoin: Technical Background and Data Analysis (2014) 7.

78 Antonopoulos, Bitcoin & Blockchain² 3.

79 Nakamoto, Bitcoin: A Peer-to-Peer Electronic Cash System (2008) 2.

15/240

auf die Legitimität eines Besitzanspruches und damit der Verfügungsberechtigung. Bei geeigneter technischer Umsetzung wird eine Doppelausgabe dieses Gutes verhindert.

Das österreichische SigG⁸⁰ hat, im Gegensatz zum deutschen SigG, von Anfang an versucht, im Rahmen der Umsetzung der Signatur-RL⁸¹ die Rechtswirkung elektronischer Signaturen zu erfassen. Gem Art 5 der Signatur-RL soll grundsätzlich jede elektronische Signatur rechtliche Wirksamkeit nach sich ziehen. Darüber hinaus soll jeder elektronischen Signatur, welche qualifizierte Zertifikate verwendet, die besondere Form- und Beweiswirkung zukommen.⁸² Letztere wird als qualifizierte Signatur bzw in der Signatur-RL auch als fortgeschrittene Signatur, die auf qualifizierten Zertifikaten beruht, bezeichnet. Sie soll die grenzüberschreitende Anerkennung für elektronische Signaturen innerhalb der Europäischen Union erreichen.⁸³

Die digitale Signatur ist aber nicht gleichzusetzen mit einer elektronischen Signatur. Letztere ist lediglich das elektronische Pendant zur eigenhändigen Unterschrift auf Papier. Dabei handelt es sich um einen Überbegriff für alle Methoden der Signierung elektronischer Daten zum Zwecke der Authentifizierung von Daten, völlig unabhängig von der technischen Umsetzung. Bei der digitalen Signatur handelt es sich hingegen um den Fachausdruck für ein spezielles, auf einer kryptografischen Verschlüsselung basierendes, technisches Verfahren zur Signierung von Daten mittels einer Blockchain-Technologie.⁸⁴

Auch bei herkömmlichen digitalen Signaturen verwenden die Teilnehmer öffentliche Schlüssel.

Der Teilnehmer muss sich vor der Nutzung jedoch mittels einer schon bestehenden Infrastruktur wie zB den Meldebehörden und einem Ausweispapier gegenüber dem Netzwerk authentifizieren.

Im Anschluss wird der öffentliche Schlüssel von einer übergeordneten Instanz zertifiziert. Das Zertifikat liegt allen Teilnehmern des Netzwerks vor. Zur Erstellung der Digitalen Signatur verwendet der Teilnehmer seinen öffentlichen Schlüssel. Alle anderen Teilnehmer können die Authentizität des öffentlichen Schlüssels aus dem Zertifikat des jeweiligen Teilnehmers überprüfen. Alle Teilnehmer vertrauen also auf das Zertifikat und damit der übergeordneten Instanz.⁸⁵

Bei der digitalen Signatur mit Hilfe der Blockchain-Technologie generiert der Teilnehmer, unter Verwendung des Algorithmus, ein Paar aus privatem und öffentlichem Schlüssel selbst und gibt den Hashwert des öffentlichen Schlüssels als Adresse bekannt. Die Adresse des Empfängers ist

80 Signaturgesetz BGBl I 1999/190.

81 RL 1999/93/EG des Europäischen Parlaments und des Rates vom 13. 12. 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, ABl L13/12, vom 19. 1. 2000.

82 Fallenböck/Schwab, Zu der Charakteristik und den Rechtswirkungen elektronischer Signaturen: Regelungsmodelle in den USA und Europa, MR 1999, 370 (375).

83 Gruhn/Wolff-Marting/Köhler/Haase/Kresse, Elektronische Signaturen in modernen Geschäftsprozessen (2007) 8.

84 Fallenböck/Schwab, MR 1999, 370 (370).

85 Ertel/Löhmann, Angewandte Kryptographie⁵ 164.

16/240

ein aus dessen öffentlichem Schlüssel abgeleiteter 160-Bit-Hash-Wert.⁸⁶ Die Identität des Teilnehmers kann dabei verborgen bleiben.⁸⁷ Die Echtheit der Signatur wird von allen Teilnehmern bzw Nodes im Vertrauen auf den Algorithmus überprüft. Es existiert keine zentrale Instanz.

a) Erzeugung einer digitalen Signatur iVm der Blockchain-Technologie

Ein Dokument wird digital signiert, indem man das Dokument mit dem geheimen, privaten Schlüssel des Unterzeichners verschlüsselt. Um auch große und unterschiedlich große Dokumente mit Signaturen fester Länge signieren zu können, verwendet man nicht das ganze Dokument, sondern dessen Hash-Wert. Der Hash-Wert wird als kryptographischer Fingerabdruck bezeichnet. Hash-Funktionen sind deterministische Einwegfunktionen, welche beliebig lange Klartexte auf einen Hash-Wert fester Länge abbilden. Identische Inputs führen stets zu identischen Hashwerten.⁸⁸ Den Hashwert erhält man durch die Verwendung eines Hash-Generators. Im Falle von Bitcoin⁸⁹ geschieht dies unter Verwendung der kryptologischen Hash-Funktion SHA-256. Das Ergebnis dieser Funktion liefert bei gleichem Eingabewert dieselbe 256 Bit (32 Byte) lange Kombination aus Zahlen und Buchstaben. Diese verändert sich auch bei nur geringfügigen Änderungen völlig.⁹⁰ Dabei ist es gleichgültig, ob es sich beim Eingabewert um Transaktionsdaten, eine Nachricht, eine Bilddatei, ein Textfile, ein Audiofile oder einen ganzen Film handelt. Das Ergebnis ist unabhängig von der Größe des ursprünglichen Datenpaketes immer ein einzelner Hashwert.⁹¹ Ein Hash ist keine Verschlüsselung im engeren Sinn. Er kann nicht zum ursprünglichen Text zurückverschlüsselt werden, sondern ist eine einseitige kryptografische Funktion. Diese ist, im Gegensatz zum Entschlüsseln des Textes, geeignet, „hashed“ Versionen von Eingabetexten zu vergleichen, um die ursprüngliche Version zu verifizieren.

Die eigentliche Signatur und damit die Verschlüsselung besteht aus einem mathematischen Schema, welches aus dem Eingangswert im Hash-Format mittels des privaten und öffentlichen Schlüssels des Senders sowie des öffentlichen Schlüssels des Empfängers eine Signatur errechnet. Es handelt sich um ein sog asymmetrisches Verschlüsselungsverfahren. Dies geschieht nicht etwa manuell, sondern ist in die Wallet implementiert, welche diese Berechnung mit dem darauf gespeicherten privaten Schlüssel vornimmt.⁹² Denn im Gegensatz zu symmetrischen Verfahren verwenden asymmetrische nicht einen, sondern zwei komplementäre

86 Blocher, The next big thing: Blockchain – Bitcoin – Smart Contracts, AnwBl 8 + 9 / 2016, 615.

87 Nicht jedoch gegenüber den Schnittstellenbetreibern wie Börsen oder Verwahrern, welche einen Authentifizierungsprozess ähnlich einer Kontoeröffnung bei einer Bank fordern.

88 Ertel/Löhmann, Angewandte Kryptographie⁵ 98.

89 Ethereum verwendet hingegen die sog Ethash-Funktion, eine weiterentwickelte SHA-3 Hash-Funktion; vgl Vennekel, Wie funktioniert Mining in Ethereum? https://cryptomonday.de/wie-funktioniert-mining-in-ethereum/ (Stand 20. 3. 2018).

90 Leicht überprüfbar mittels einer Vielzahl von verfügbaren Hash-Generatoren wie etwa unter https://hashgenerator.de.

91 Pöttinger, Digitale Signatur http://haraldpoettinger.com/digitale-signatur/ (abgefragt am 26. 11. 2019).

92 Rosenberg, Von Bitcoin zum Smart Contract (2016) 1.

17/240

Schlüssel. Diese stehen in einer mathematischen Umkehrbeziehung zueinander und ermöglichen zwei Funktionen. Einerseits ist durch die Verschlüsselung mit dem geheimen privaten Schlüssel durch den Sender sichergestellt, dass auch nur dieser auf die mit seinem öffentlichen Schlüssel verknüpften UTXOs, welche als Input dienen, zugreifen und diese transferieren kann.

Andererseits dient das Miteinbeziehen des öffentlichen Schlüssels des Empfängers in die Transaktionsdetails dazu, dass auch nur der Empfänger mit seinem dazugehörigen privaten Schlüssel auf die UTXOs zugreifen und sie einlösen kann.⁹³

Es kommen dabei, je nach Blockchain, unterschiedliche Algorithmen zur Anwendung. Im Falle von Bitcoin ist dies der ECDSA-Algorithmus.⁹⁴ Die Darstellung des Ergebnisses der Funktion erfolgt serialisiert in einem Bytestream unter Verwendung des internationalen Standard-Codierungsschemas namens Distinguisher Encoding Rules (DER).⁹⁵

b) Verifikation einer digitalen Signatur

Nach der Signatur mit dem privaten Schlüssel ist es durch den ECDSA Algorithmus jedem erlaubt und möglich, die Signatur der Daten mit Hilfe des öffentlichen Schlüssels zu verifizieren. Dazu verwendet der Algorithmus den Hash Wert des Datenpaketes bzw der Nachricht, den öffentlichen Schlüssel und die Signatur im DER Format. Die Signatur wird als TRUE erkannt, wenn die Signatur und der verwendete öffentliche Schlüssel gültig sind und in mathematischer Umkehrbeziehung zueinanderstehen.⁹⁶ Dabei ist ein Geheimhalten des öffentlichen Schlüssels nicht erforderlich, die Information, dass ein Dokument und eine Signatur echt sind, bringt einem Angreifer keinen Vorteil.⁹⁷

Jeder, der dieselbe Hash-Funktion wie bei der ursprünglichen Verschlüsselung verwendet, kann ein übermitteltes Datenpaket als Eingabewert verwenden und das Ergebnis mit dem Hashwert des originalen Datenpakets vergleichen. Bei gleichem Ergebnis besteht Sicherheit darüber, dass die Datei in der Zwischenzeit nicht verändert wurde. Die Senderidentität und die Originalität der Transaktion sind gewährleistet.⁹⁸ Eine Modifizierung durch Dritte nach der Signatur wird dadurch ausgeschlossen und gewährleistet die Integrität des Datenpakets.⁹⁹

93 Fallenböck/Schwab, MR 1999, 370 (371).

94 Das ECDSA (Elliptic Curve Digital Signature Algorithm) Verfahren nutzt die Elliptische-Kurven-Kryptographie.

95 Die Distinguished Encoding Rules (DER) sind ein Subset der Basic Encoding Rules (BER). Sie sind in Abstract Syntax Notation One (ASN.1) geschrieben und definieren die Daten als einen Stream für die Übertragung oder Speicherung als einen Stream aus Bits.

96 Detailliert zur Mathematik hinter dem ECDSA Algorithmus siehe Understanding How ECDSA Protects Your Data http://bit.ly/2r0HhGB (abgefragt am 27. 11. 2019).

97 Gruhn/Wolff-Marting/Köhler/Haase/Kresse, Elektronische Signaturen in modernen Geschäftsprozessen (2007) 127.

98 Sixt, Bitcoins und andere dezentrale Transaktionssysteme 38.

99 Bergmann, Fälschung unmöglich – was den Bitcoin sicher macht https://bitcoinblog.de/2011/08/17/faelschung-unmoeglich-bitcoin-sicher/ (Stand 17. 8. 2011).

18/240

c) Doppelausgabe (Double Spending Problem)

Bislang war es möglich, elektronische Daten, welche vornehmlich über das Internet transportiert werden, beliebig zu vervielfältigen. Mp3 Dateien oder digitalisierte Bilder etwa sind kopierbar und erlauben es, an eine Vielzahl von Empfängern verteilt zu werden. Im Falle von kryptographischen Werten wird eine Doppelausgabe sowohl durch die digitale Signatur als auch durch finanzielle Anreize für die Miner, ein dezentrales System zu betreiben, verhindert. Im Gegenzug zur Belohnung stellen Miner bei Proof-of-Work Blockchains sicher, dass nur Transaktionsblöcke in das Netzwerk aufgenommen werden, welche den strengen und genauen Regeln des Blockchain-Protokolls entsprechen.¹⁰⁰ Das Internet der Informationen wandelt sich so zu einem Internet der Werte.

Physisches Geld kann nicht doppelt ausgegeben werden. Eine Banknote kann nicht an zwei Orten gleichzeitig sein. Das doppelte Ausgeben bzw Buchen von digitalem Geld wird verhindert, indem alle elektronischen Transaktionen durch eine zentrale Instanz durchgeführt und beaufsichtigt werden. Will man auf diese zentrale Instanz verzichten, kann Kryptografie als Basis für das Vertrauen in die Legitimität einer Transaktion dienen.¹⁰¹ Die frühen digitalen Währungen nutzten zentrale Abrechnungsstellen. Diese boten jedoch einen zentralen Angriffspunkt für Hacker und erwiesen sich als nicht sicher. Erst ein verteiltes Rechensystem, etwa in Form des Proof-of-Work Algorithmus, welches Konsens über den Zustand von Transaktionen schafft, löst auf elegante Weise das Double Spending Problem.¹⁰² Diese Vorgehensweise hat das Potential, die Rechtmäßigkeit nicht nur von Transaktionen tokenisierter Werte, sondern auch von Wahlen, Anlageregistern oder auch digitalen notariellen Beglaubigungen zu gewährleisten.¹⁰³ Ist eine digitale Information verifizierbar, benötigt sie keine zentrale Instanz, die sie verwaltet oder für ihre Authentizität bürgt.¹⁰⁴

Eine Blockchain besteht, wie der Name schon verrät, aus einer Aneinanderreihung von Blöcken.

Die Blöcke sind derart miteinander verkettet, dass eine Veränderung in einem früheren Block eine Veränderung in allen daran anschließenden Blöcken auslöst. Ein Block enthält grob gesagt den Hashwert des Headers des Vorgängerblocks, den Hashwert der in ihm erfassten Transaktionen (Payload) und der sog Nonce, einer beliebigen Zahl, die für das Lösen des Algorithmusrätsels im Proof-of-Work-Verfahren verwendet wurde. Ändert man eine Transaktion in einem Block, so ändert sich auch der Hashwert des Headers. In der Folge ist ein abermaliges Lösen des Algorithmusrätsels notwendig, da die vormalige Nonce nun nicht mehr das gewünschte Ergebnis

100 Bussac, Bitcoin, Ethereum & Co. (2018) 200.

101 Shrier/Wu/Pentland, MIT Blockchain & Infrastructure (2016) 5.

102 Zohar, Bitcoin: Under the Hood, Communications of the ACM, Vol 58 No. 9, 104-113 (106).

103 Antonopoulos, Bitcoin & Blockchain² 4.

104 Duthel, Krypto-Währungen und Block Chain 10.

19/240

liefert und die beiden Blöcke an dieser Stelle nicht mehr korrekt „verzahnt“ sind.¹⁰⁵ Jeder daran anschließende Block teilt dieses Schicksal und muss ebenso neu gelöst bzw „gemined“ werden.

Ein Angriff auf die Blockchain und dadurch eine Veränderung der bestehenden Kette in der Vergangenheit setzt eine Lösung des Algorithmusrätsels nicht nur des veränderten Blocks, sondern jedes daran anschließenden Blocks und des aktuellen Blocks voraus. Der Angreifer muss die Lösung des Rätsels all dieser Blöcke finden, bevor die verbleibenden Miner die Lösung des aktuellen Blocks finden. Geschieht die Lösung des aktuellen Blocks zeitlich früher, so versucht er vergeblich, an den vorigen Block „anzudocken“. Der Hashwert des vorigen Blocks, welcher für die Lösung bereits mitberücksichtigt wird, wurde verändert. Ein früheres Lösen der korrumpierten Blöcke mag für ein oder zwei zurückliegende Blocks mit viel Glück oder immenser Rechenpower noch funktionieren, aber je mehr Blöcke bereits anschließen, desto schwieriger bis unmöglich wird dieses Unterfangen. Deshalb spricht man idR nach 6 anschließenden Blöcken bereits von einer technisch unmöglichen Veränderbarkeit einer stabilen Blockchain.¹⁰⁶ Man spricht hinsichtlich anschließender Blöcke auch von Bestätigungen. Selbst bei einer erfolgreichen Veränderung wäre der mögliche Schaden aber noch aus anderem Grund begrenzt. Denn damit eine Transaktion überhaupt erst in einen Block aufgenommen wird, erfolgt eine Verifizierung auf Gültigkeit der digitalen Signatur. Das heißt, dass eine böswillige Veränderung einer Transaktion überhaupt nur von demjenigen vorgenommen werden kann, der den privaten Schlüssel zu dieser bestimmten Transaktion kennt. Nur diese Transaktion könnte verändert werden und würde bei Erfolg zu einer Doppelausgabe führen. Dadurch ist auch eine wirtschaftliche Unmöglichkeit gegeben, da man trotz großem Aufwand nicht etwa alle, sondern nur solche Transaktionen manipulieren könnte, für die man eine gültige Signatur erstellen kann. Kann man dies nicht, erkennt das System die ungültige Signatur und lässt ein Lösen des Blocks gar nicht erst zu. Die Übereinkunft über die Authentizität der in den aufeinander aufbauenden Blöcken enthaltenen Transaktionshistorie macht es unmöglich, einen Kryptowert doppelt auszugeben. Das Fälschen eines Kryptowerts, welcher sich einer stabilen Blockchain bedient, ist somit faktisch nicht möglich.¹⁰⁷ Einschränkend ist dabei die Voraussetzung einer kritischen Größe des jeweiligen Blockchain-Netzwerks. Ein sog Double Spending Angriff darf sich wirtschaftlich nicht lohnen. Ein Angriff lohnt sich dann nicht, wenn die aufzuwendenden Kosten für Strom und Hardware eine solche Manipulation zu teuer machen. Deshalb ist der teils enorme Aufwand für das Betreiben des Minings sehr wohl nützlich im Sinne einer Sicherheitsvorkehrung. Je nach aufgewandter Energie und Hardware lässt sich eine mögliche Manipulation recht genau monetär kalkulieren. Die Höhe des Aufwandes ist quasi

105 Ertel/Löhmann, Angewandte Kryptographie⁵ 157.

106 Sixt, Bitcoins und andere dezentrale Transaktionssysteme 43.

107 Rosenberger, Bitcoin und Blockchain (2018) 19; Böhme/Edelman/Moore, Bitcoin: Economics, Technology, and Governance, The Journal of Economic Perspectives (2015) Vol. 29/2, 213-238 (217).

20/240

tagesaktuell abrufbar, da sich die für das Mining eingesetzte Energiemenge laufend ändert.¹⁰⁸ Bei großen Blockchain-Netzwerken sind dafür viele Milliarden, bei kleinen hingegen nur wenige hundert Dollar aufzuwenden.¹⁰⁹ Folglich ist bei weitem nicht jede Blockchain fälschungssicher, was eine Bewertung des eingesetzten Netzwerks vor einer Nutzung nötig macht.¹¹⁰

Ergänzend sei angeführt, dass mit der unmöglichen Doppelausgabe nicht der zivilrechtlich durchaus mögliche Doppelverkauf ausgeschlossen ist. Dieser ist ebenso bei unkörperlichen Sachen möglich. Es werden etwa zwei Kaufverträge, welche beide wirksam sind, geschlossen.

Der zeitlich frühere Modus führt dann zum Eigentumsübergang. Die Verhinderung der Doppelausgabe verhindert dabei nicht das Zustandekommen von zwei oder mehreren Verpflichtungsgeschäften, verhindert aber die Möglichkeit einer mehrfachen Übergabe, ganz ähnlich wie bei körperlichen Sachen. Ein Doppelverkauf ist somit auch bei Kryptowerten denkbar.

Dabei ist aber idR¹¹¹ von Doppeltausch oder Doppelverbrauch zu sprechen.¹¹²

Im Dokument Kryptowerte im österreichischen Sachenrecht (Seite 24-30)