Die Funktionsweise der qualifizierten elektronischen Signatur
Wird eine Rechnung elektronisch signiert, wird für das Dokument ein Kennwert – der so genannte Hash-Wert – ermittelt. Er vereint alle Inhalte eines Dokuments mit dem exakten Zeitpunkt der Erstellung und des Signierens.
Ändert sich der Inhalt zu einem späteren Zeitpunkt – z. B. durch Manipulation – auch nur geringfügig, wäre der Hash-Wert ein anderer und die Manipulation würde beim Vergleich offensichtlich.
Ist der Hash-Wert ermittelt, wird er mit Hilfe einer SmartCard verschlüsselt. Diesen Signaturschlüssel (auch Private Key) nutzt der Karteninhaber zur Verschlüsselung. Die Basis bildet ein qualifiziertes Zertifikat, das im Rahmen des Itella-Services von durch die Bundesnetzagentur akkreditierten und überwachten Trust Centers ausgestellt wird. Das Zertifikat bietet ein Höchstmaß an Verbindlichkeit und Rechtskraft. Itella gewährleistet, dass die eingesetzte Hard- und Software den Gesetzesvorgaben an eine qualifizierte elektronische Signatur entsprechen. In diesem Zusammenhang veröffentlichte die Bundesnetzagentur 2007 Itellas Herstellererklärung zur Gesetzeskonformität unserer Signaturanwendung.
Der Empfänger der elektronischen Rechnung wird durch die qualifzierte e-Signatur in die Lage versetzt, die Echtheit des Dokuments zu überprüfen. Die Verifizierung einer elektronisch signierten Rechnung erfolgt in umgekehrter Reihenfolge wie die Signaturerstellung. Mit Hilfe eines Public Key entschlüsselt der Rechnungsempfänger den Hash-Wert und kann so die Inhalte des Dokuments zum Zeitpunkt seiner Erstellung mit der vorliegenden Rechnung vergleichen. Gleichzeitig wird die Gültigkeit des Zertifikats zum Zeitpunkt der Signaturerstellung geprüft.
