Verifikation von Software mit einer Public-Key-basierten Signatur
Auf Software angewandt, erlaubt einem dieses Signaturverfahren, einem ausführbaren Binärcode zu vertrauen. Hier wird die Software als digitaler Inhalt betrachtet. Der Absender dieses digitalen Inhalts ist der Software Approver, also eine genehmigende Instanz, die mit dem Akzeptieren der für ein Gerät validierten Software beauftragt ist. Empfänger ist das elektronische Gerät.
Der Software Approver generiert ein Schlüsselpaar und lädt den öffentlichen Verifikations-Schlüssel einmal, nämlich während der Fertigung, in das elektronische Gerät. Der private Schlüssel wird an einem sicheren Ort verwahrt. Der Software Approver signiert den generierten Code, bevor er ihn mit seinem eigenen privaten Schlüssel in das elektronische Gerät lädt. Nach dem Einschalten kann das Gerät den zuvor geladenen öffentlichen Schlüssel verwenden, um die Integrität und Authentizität des Binärcodes zu verifizieren, bevor es diesen ausführt.
Public-Key-Kryptografie und Gegenmaßnahmen
Bild 2: Illustration der Anwendung und Verifikation einer digitalen Signatur
Öffentliche Schlüssel müssen nicht vor Offenlegung geschützt werden und benötigen auch keine der Gegenmaßnahmen, die den Zugriff auf den Wert des Schlüssels unterbinden sollen. Anders als ein geheimer Schlüssel muss ein öffentlicher Schlüssel auch nicht auf Manipulationsversuche reagieren, indem er seinen Verifikations-Schlüssel löscht. Auch Side-Channel-Gegenmaßnahmen sind nicht erforderlich. Die einzigen notwendigen Schutzmechanismen müssen gegen das Austauschen bzw. Modifizieren des Schlüssels und gegen modifiziertes Softwareverhalten gerichtet sein.
All dies macht das Gerätedesign einfacher. Die verwendeten Algorithmen unterliegen keinen Exportvorschriften, da sie keine Verschlüsselung, sondern nur einen Digest (also einen Hash-Algorithmus und eine Signatur-Verifikation) für den digitalen Inhalt enthalten. Schließlich ist anzumerken, dass der Algorithmus zur Verifikation der digitalen Signatur (siehe Bild 1) dennoch ausreichend robust sein muss, um Schutz vor absichtlichen oder zufälligen Beeinträchtigungen wie etwa Spannungseinbrüchen, unzureichend formatierten digitalen Inhalten und digitalen Signaturen zu bieten.
Management des privaten Schlüssels
Wie schon zuvor bei der Vorstellung des Public-Key-basierten digitalen Signaturschemas beschrieben, beruht auch die Public-Key-Kryptografie auf einem Schlüsselpaar (also aus einem privaten und einem öffentlichen Schlüssel). Der private Schlüssel wird an einem geheimen Ort verwahrt, da er von einem empfangenden Gerät zur Authentifizierung von Inhalten verwendet werden kann. Ausschließlich der Schlüsselbesitzer sollte aber zum Signieren von Inhalten in der Lage sein. Umgekehrt ist der öffentliche Schlüssel für jeden zugänglich, da jeder eine Signatur verifizieren kann. Dies ist in keiner Weise riskant.
Es liegt auf der Hand, dass das ordnungsgemäße Management eines privaten Schlüssels eine entscheidende Voraussetzung für die schlüsselbasierte Kryptografie ist. Wer einen privaten Schlüssel entwendet, kann damit jeden erdenklichen ausführbaren Binärcode signieren, der dann vom elektronischen Gerät erfolgreich verifiziert wird. Software-Approver müssen den privaten Schlüssel deshalb unbedingt an einem Ort hinterlegen, an dem er wirksam vor Offenlegung geschützt ist. Schon die missbräuchliche Verwendung des Schlüssels (ohne Offenlegung) muss verhindert werden.
Einige Zertifizierungen wie PCI PTS 4.0 verlangen für das Schlüsselmanagement den Einsatz von Hardware-Security-Modulen (HSMs). HSMs sind manipulationsgeschützte Bauelemente, die auf sichere Weise Schlüsselpaare generieren und anwenden können. Während öffentliche Schlüssel exportiert werden können, verbleiben die zugehörigen privaten Schlüssel im HSM. Die Verwendung der privaten Schlüssel im HSM (etwa zum Signieren eines digitalen Inhalts) ist nur möglich, wenn zuvor eine wirksame Multifactor-Authentifizierung erfolgt ist.
Die Person, die einen ausführbaren Binärcode zu signieren hat, muss mit einer Smartcard und einem PIN-Code den privaten Schlüssel im HSM freischalten. Abhängig von den jeweiligen Sicherheits-Konventionen können zwei oder mehr Personen für diesen Vorgang erforderlich sein. Darüber hinaus müssen die HSMs an einem sicheren Ort aufbewahrt werden, damit sie bei Nichtgebrauch geschützt sind. Dieser Prozess stellt sicher, dass ausführbarer Binärcode nur von vertrauenswürdigen Personen signiert wird.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Vorteile der ECC-Technik gegenüber der RSA-Kryptografie
Die Public-Key-basierte Kryptografie war jahrzehntelang ein RSA-Algorithmus. In den letzten Jahren ist jedoch die ECC-Technik (Elliptic Curve Cryptography) aufgekommen und hat in der Sicherheitsbranche an Verbreitung gewonnen. Die Elliptic-Curve-basierte Signaturverifikation ist von derselben Größenordnung wie das RSA-Verfahren, benötigt aber erheblich weniger Rechen-Ressourcen. Ihre Schlüssel sind von wesentlich geringerem Umfang, was den Speicherbedarf reduziert. Eine sichere RSA-Applikation benötigt heute mindestens 2.048 Bits an Sicherheit, während RSA-Schlüssel 256 Bytes erfordern. Entsprechende Elliptic-Curve-Schlüssel sind nur 224 Bits lang, und die Schlüssel haben einen Umfang von nur 28 Bytes [7]. Wenn es um die Absicherung neuerer Geräte geht, ist deshalb das ECC-Verfahren die bevorzugte Wahl.
* Yann Loisel arbeitet als Security Architect bei Maxim Integrated
* Stephane Di Vito ist bei Maxim Integrated für das Design und die Entwicklung sicherer Software in industriellen Anwendungen zuständig.
:quality(80)/p7i.vogel.de/wcms/95/31/95310c8d999f5f03b3af634a6e98c608/0129557153v2.jpeg "Kombination eines Modells aus einer Rasterelektronenmikroskop-Aufnahme (links) mit einem Ausschnitt der zugrunde liegenden Kristallstruktur eines untersuchten MXenes mit präzise kontrollierten Oberflächenabschlüssen. (Bild: B. Schröder/HZDR)")
:quality(80)/p7i.vogel.de/wcms/ce/09/ce09cbfd70dd50b7f8e9e923c4fd8f3d/0129481054v2.jpeg "Im neuen Projekt „CircEL“ erforschen Ingenieure und Juristen gemeinsam Wege zu einer wirklichen Kreislaufwirtschaft. Die Carl-Zeiss-Stiftung fördert das Forschungsprojekt mit drei Millionen Euro für die kommenden sechs Jahre. (Bild: Silvia Wolf / Universität Freiburg)")
:quality(80)/p7i.vogel.de/wcms/59/bf/59bfd2822d711b0ae2cb9383b679f38d/0129302533v2.jpeg "Im Lehrstuhl für KI-Chip Design in der Technischen Universität München (TUM) ist der EU-weit erste KI-Chip mit moderner 7-Nanometer-Technologie entstanden. Im Bild: Lehrstuhlinhaber Prof. Hussam Amrouch. (Bild: Andreas Heddergott / TU Muenchen)")
:quality(80)/p7i.vogel.de/wcms/27/e3/27e33398c34f4f466fe70a294ec2f1f1/0129569421v2.jpeg "Renesas-CEO Hidetsoshi Shibata (Mitte links) und Globalfoundries-Geschäftsführer Tim Breen (Mitte rechts) bei der Unterzeichnung der gemeinsamen Fertigungsvereinbarung. (Bild: Renesas)")
:quality(80)/p7i.vogel.de/wcms/ca/81/ca81333a02b8c934dcad5c1745435a3d/0125018126v2.jpeg "Gehäuseschirmung und EMV: Ein umfassender Leitfaden zum Thema gibt der fünfteilige Beitrag. Teil 1 thematisiert Emissionsquellen auf der Leiterplatte. (Bild: Papisut - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/06/ce/06cece1c695ea91c5108cf7f583feea5/0129540778v2.jpeg "Vernetzte Industrie: Panasonic präsentiert neue Funkmodule und Sensortechnologien auf der diesjährigen Embedded World. (Bild: Panasonic)")
:quality(80)/p7i.vogel.de/wcms/3f/69/3f69e2ac28f7f9ee735680c5e5d53d94/0129470810v2.jpeg "Demo des ChipStack AI Super Agent. (Bild: Cadence)")
:quality(80)/p7i.vogel.de/wcms/7b/57/7b5725dd2e7545ab4904a9b7a3735721/0129309389v2.jpeg "Die embedded world 2026 findet vom 10. bis zum 12. März 2026 statt. (Bild: NürnbergMesse / Thomas Geiger)")
:quality(80)/p7i.vogel.de/wcms/b1/77/b1770e7d7499d7f807a2d5236dc081c8/0129461958v2.jpeg "Dr. Joshua Fryman, Intel Fellow und CTO der Intel Government Technologies (Mitte), stellte zusammen mit Vertretern der Softbank-Tochter Saimemory den ersten Prototypen des neuartigen ZAM-Speichers auf der Intel-Hausmesse Intel Connection 2026 in Japan vor. (Bild: Intel Japan)")
:quality(80)/p7i.vogel.de/wcms/2e/2a/2e2a5297d427998ec3f2afeaa44a4576/0129577028v2.jpeg "Forscher haben einen biegsamen KI-Chip entwickelt, der vor allem für das Design von Wearables ausgelegt wurde (Symbolbild). (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9d/f7/9df7b15f177b8b3ca0e93cf965a476bc/0129529705v2.jpeg "Speicherfehler wie Pufferüberläufe oder Use-After-Free gefährden die Stabilität von Fahrzeugsoftware. Formale Verifizierung hilft dabei, aus getesteter Software nachweislich sichere Systeme zu machen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/e5/1de5e11918cfb261b8b5c4632fc1f7db/0129456364v3.jpeg "An drei Standorten in Litauen entstehen die Speicher. (Bild: Nidec Conversion)")
:quality(80)/p7i.vogel.de/wcms/e8/a8/e8a8a953c77af9bbf208cce6454139d4/0129427931v3.jpeg "Strategisch: EPC lizenziert eGaN-Technologie an Renesas (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/61/85/6185c7a5619aba866e3b237690bea839/0129334467v3.jpeg "So soll die Fabrik im polnischen Wałbrzych aussehen. (Bild: Sungrow Power Supply Co., Ltd.)")
:quality(80)/p7i.vogel.de/wcms/c7/f6/c7f61d0437c7f8fca3c6ff947ba2ad62/0129322490v2.jpeg "AMD hat die zweite Generation der Kintex UltraScale+ Gen 2 FPGA-Familie vorgestellt, die mit PCIe Gen4 den 4K-AV-over-IP-Betrieb für 4K/8K-Medienanwendungen unterstützt. (Bild: AMD)")
:quality(80)/p7i.vogel.de/wcms/66/0c/660c31afa35398bac9be42f2be73fdc4/0129073529v2.jpeg "FPGAs lösen Performance-Engpässe, gelten aber in der Programmierung als schwer zugänglich. Die universelle Programmiersprache Livt soll die Hürde senken – korrekt, deterministisch und HDL-kompatibel. (Bild: Toby Giessen / VCG)")
:quality(80)/p7i.vogel.de/wcms/9c/35/9c35ed04fa562b190cbc496a695a6802/0128823288v1.jpeg "Optimiert auf Skalierung oder Geschwindigkeit: Die SGET hat den offenen Standard oHFM für FPGA-Module in zwei Varianten vorgestellt. (Bild: SGET (Screencast / Screenshot))")
:quality(80)/p7i.vogel.de/wcms/d7/e6/d7e6fe4124ec2efc726e9c3f2c2a4cfc/0128241940v2.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/fd/92fd7c3102fc8b710244ad109c079be6/0129551381v2.jpeg "Digitale Selbstbestimmung: Das neue Assessment-Tool von Red Hat hilft Unternehmen dabei, die volle Kontrolle über ihre IT-Infrastruktur zurückzugewinnen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8f/bf/8fbf2cfa5f7238e41e046b12e936212b/0129541806v3.jpeg "Der Pistenbully 600 E+ ist eine hybride Pistenraupe, die nicht an die Steckdose muss. (Bild: Kässbohrer Geländefahrzeug AG)")
:quality(80)/p7i.vogel.de/wcms/fc/4f/fc4f36089dac773f0b9483eb39a726a1/0129508876v2.jpeg "Microsoft-Deutschlangzentrale in München: Im Rahmen der Münchner Sicherheitskonferenz haben 15 internationale Unternehmen entlang der gesamten Elektronik-Wertschöpfungskette unter Federführung von Microsoft und Ericsson eine Tech Allianz für digitale Souveränität und gemeinsame Vertrauensstarndards gebildet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/84/10/8410f7a52af344d1e5626d0610c9fa23/0129553240v2.jpeg "Joe Woodford ist als Group Director für Global Sales & Marketing bei Pickering Interfaces tätig. Seiner Meinung nach war das Jahr 2025 für das Unternehmen von „globaler Unsicherheit geprägt“, die er unter anderem auf die von US-Präsident Trump verhängten Zölle zurückführte.
(Bild: Pickering Interfaces)")
:quality(80)/p7i.vogel.de/wcms/bc/42/bc42dd0a04818f6195a7f78bcec88be6/0129484567v2.jpeg "Der oberirdische Teil des IceCube-Experiments und die grafische Simulation eines Messsignals der Detektoren im Eis. Die Forscher können mit dem IceCube-Observatorium kosmische Neutrinos messen. (Bild: Stephan Richter, IceCube; Fotomontage: Beatrix von Puttkamer)")
:quality(80)/p7i.vogel.de/wcms/14/63/14635e09eff181f7ab7a0f81ffa0daa3/0129407664v2.jpeg "Dank eines neuartigen Sensors lässt sich Wasserstoff auch in feuchten Umgebungen zuverlässig detektieren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ff/e4/ffe44f0dcf0fc0323926b1bc0a60d94f/0129386849v2.jpeg "Strukturwandel der API: Die Firma Phytec Messtechnik ist von einem traditionellen Testaufbau zu einer Architektur mit Web-Service-API gewechselt. (Bild: Göpel electronic)")
:quality(80)/p7i.vogel.de/wcms/95/24/952434ded60a1fc6dff2f7b742f14fd1/0129562074v2.jpeg "„Lese/Schreib-Zugriff auf das Gehirn“, so beschreibt CorTec-CTO Dr. Martin Schüttler die Fähigkeiten des deutschen Brain-Computer-Interface-Systems. Dieses wurde nun zum zweiten Mal in den USA erfolgreich implantiert. (Bild: CorTec)")
:quality(80)/p7i.vogel.de/wcms/00/f8/00f8ec6e6eb38a0fd8d66797394ef4d5/0129560475v2.jpeg "Einsatzbereit für die Medizin: Dieser gedruckte Greifer demonstriert das Potenzial der Technologie für chirurgische Instrumente oder Prothesen. (Bild: Harvard John A. Paulson School of Engineering and Applied Sciences (SEAS)")
:quality(80)/p7i.vogel.de/wcms/62/1c/621cb1390951d6ac4029cd471edf956d/0129543495v2.jpeg "DBK EMS ist in Rülzheim beheimatet und sieht sich nicht als simpler Dienstleister, sondern als Mitdenker. (Bild: niko design / DBK)")
:quality(80)/p7i.vogel.de/wcms/2c/60/2c60940d2ebd2d45765085bc69488764/0129530286v2.jpeg "Der chinesische Chiphersteller Nexperia, der in Nimwegen den europäischen Standort hat, wurde vom Gericht in Amsterdam dazu verdonnert, weiterhin kontrolliert zu werden. Das schmeckt Peking nicht. Das Dumme: Die Chips sind für Europas Autohersteller bekanntlich sehr wichtig ... (Bild: Nexperia)")
:quality(80)/p7i.vogel.de/wcms/69/1f/691f39ba12be3cad90eb88bdabc456a6/0127321404v2.jpeg "Das Kreativteam Christian Göller, GreatScott! und Christopher Becht (v. l. n. r.): erfolgreiches Creator-Marketing im B2B-Sektor (Bild: Würth Elektronik)")
:quality(80)/p7i.vogel.de/wcms/6a/cc/6acc4f803241cfe5b6d60560c0a2b4d9/0126684948v2.jpeg "In der Altersgruppe 25 bis 64 verfügen 34 Prozent der Deutschen über einen tertiären Abschluss im MINT-Bereich. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ef/aa/efaae5a25fb0a4c55c434611033447af/0126532350v2.jpeg "Die jährliche Back-to-School-Aktion von Digikey mit Preisen für Studierende ist gestartet. (Bild: Digikey)")
:fill(fff,0)/p7i.vogel.de/companies/67/d1/67d1a4da69c1f/b--rklin-logo-digital--002-.jpeg "b--rklin-logo-digital--002- (Bürklin GmbH & Co. KG)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/06/86/06863ad597f6f3ef73147146b29d5605/0124612826v2.jpeg "Jegliche Verschlüsselungsart der Kommunikation muss auch im Zeitalter des Quantencomputings funktionieren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/51/be/51beb098c6a7b0e36878e833cb53a5c2/0128222643v2.jpeg "OpenTitan mit Secure Boot nach einem erfolgreichen Secure Boot-Startvorgang. (Bild: Google)")