muss
identisch mit dem Original sein, das in einer geschützten Umgebung verwaltet
wird. Ferner sollte die Beziehung zwischen Dokumentbeschreibung (Metadaten)
sowie die Herkunft des Dokumentes eindeutig sein. Hierbei handelt es sich um
die Gewährleistung, dass sich eine Dokumentbeschreibung auf das vorliegende
Dokument bzw. die entsprechende Kopie bezieht, sowie die Gewährleistung, dass eine
vorliegende Kopie von dem Server stammt, auf dem das Dokument vorgehalten
wird.
Für das DINI-Zertifikat werden folgende Mindestanforderungen
für die Sicherheit des auf dem Server bereitstehenden Contents
gefordert:14
- die Verwendung eines Persistent
Identifiers15
Vgl. dazu Abschnitt 15.4.
|
- die Verwendung eines kryptografischen Verfahrens (z. B. Hash-Wert)
- die Bereitstellung eines neuen Persistent Identifiers für ein inhaltlich verändertes
Dokument
- die Archivierung der eingereichten Dateien des Autors im Ablieferungsformat
Ein Sicherheitsverfahren für elektronisch vorgehaltenen Content ist die Bildung von
Prüf- und Checksummen. Hierbei wird über den Dateiinhalt eine Prüfsumme
wie beispielsweise md5 oder CRC32 ermittelt und meist in einer separaten
Datei veröffentlicht. Der Empfänger einer Datei kann die Prüfsumme ebenfalls
berechnen. Stimmt diese nicht mit der des Absenders überein, so wurde die Datei
manipuliert oder der Dateiinhalt ist nicht mehr derselbe. Allerdings gilt der
Umkehrschluss nicht: bei Übereinstimmung der Prüfsummen ist der Dateiinhalt nicht
notwendigerweise derselbe. Die Wahrscheinlichkeit, dass zwei verschiedene Dateien mit
unterschiedlichem Inhalt dieselbe Prüfsumme besitzen, ist allerdings relativ gering. In
diesem Zusammenhang ist noch zu erwähnen, dass eine Prüfsumme allerdings
nur bestätigt, dass der Inhalt einer Datei unverändert ist. Sie gewährleistet
nicht, dass die Datei oder die Prüfsumme vom gleichen Absender stammen.
Von daher ist es sinnvoll, die Prüfsumme auf anderem Wege als die Datei zu
veröffentlichen.
Von der DINI wird das Verwenden einer fortgeschrittenen digitalen Signatur nach § 2 Abs. 2
SigG 200116
empfohlen. Bei einer digitalen Signatur handelt es sich um ein mit einem privaten
Signaturschlüssel erzeugtes Siegel für digitale Daten. Mit Hilfe eines zugehörigen
öffentlichen Schlüssels lässt sich der Inhaber des Signaturschlüssels und die
Unverfälschtheit der Daten erkennen. Dies geht allerdings nur, wenn der öffentliche
Schlüssel mit einem Signaturschlüssel-Zertifikat einer entsprechenden Zertifizierungsstelle
oder der Behörde nach § 3 des SigS versehen ist.
Die digitale Signatur dient nach dem deutschen Signaturgesetz der rechtsgültigen
›Unterzeichnung‹ von digitalen Dokumenten. In gewisser Weise ist sie mit |