Wie kann man beliebige Dateien digital signieren? Hintergrund ist, dass ich als Langzeitarchivierungsmedium Festplatten (natürlich mit regelmäßigem Umkopieren und Mehrfachanfertigung) einsetzen wollte. Nun kann es aber sein, dass bestimmte Dateien nach dem GDPdU auf WORM-Medien gespeichert werden müssen, oder alternativ mit einer digitalen Signatur versehen werden. Ziel ist ja einfach nur, einen Beweis zu haben, dass die Datei seit der Archivierung nicht verändert wurde. Gibts da was?

Reicht da nicht ein einfacher Hashwert?

Vor dem Backup Hashwert vom Original errechnen und speichern. Nach dem Backup Hashwert von ebendiesem errechnen und wenn der Wert anders ist, als der gespeicherte, ist da offensichtlich etwas anders.

Und wo bzw wie speichert man den Hashwert ab um nach einer Kopie auf ein anderes Medium nicht das gleiche Problem zu haben?

Eben, der Hashwert selbst müsste ja auch nochmal als "echt" bewiesen werden.

Ich verstehe nicht ganz, wo das Problem ist. Folgende Programme sollten das ohne grosses "Murren" erledigen :

Fuer Dateien only, Ordner ?

HashCash
http://code.kliu.org/hashcheck/

Fuer Ordner+Dateien etc.
http://www.exactfile.com/

Natürlich gibt es Programme die digitale Signaturen erstellen können, sonst würde man das im Gesetz wohl kaum fordern.

PGP bzw. GnuPG wären 2 Beispiele, ein Hash reicht nicht. Genauer steht es z.B. in http://www.bsi.bund.de/literat/faltbl/F10ElektronischeSignatur.htm

die signierung selbst erfolgt mittels hashwert, ist also im zertifikat abgelegt. SHA-256 sollte eigentlich ausreichend sicherheit bieten, bei MD5 ist es schon zu ein paar pannen gekommen. ein solches verfahren bietet ausreichend sicherheit, da der angreifer deinen private key und jede menge zeit bräuchte, um ein gefälschtes zertifikat mit gleichem hashwert zu erzeugen.
für noch mehr sicherheit solltest du in betracht ziehen, die dateien vorher noch zu verschlüsseln.

Natürlich gibt es Programme die digitale Signaturen erstellen können, sonst würde man das im Gesetz wohl kaum fordern.Gibt es da eigentlich sonstwas außer OpenPGP?

@WhiteVelvet
Außer OpenPGP fällt mir da auch nicht viel ein. Die Frage ist ja, meine Herren, welche Verfahren nach GDPdU von entsprechenden Instanzen auch AKZEPTIERT werden ;)

Da gibt es Listen von Programmen:
http://www.bundesnetzagentur.de/enid/44c9c6f1752943006435d5e5362f5a83,0/Qualifizierte_elektronische_Signatur/Produkte_4vs.html

Gibt es da eigentlich sonstwas außer OpenPGP?

@WhiteVelvet
Außer OpenPGP fällt mir da auch nicht viel ein. Die Frage ist ja, meine Herren, welche Verfahren nach GDPdU von entsprechenden Instanzen auch AKZEPTIERT werden ;)

die wichtigste frage ist nicht welches programm, sondern wer die zertifikate signiert. wenn irgendein hans die dateien mittels openpgp signiert, sind sie noch lange nicht vertrauenswürdig. openpgp bietet aber alles, was man zum austausch zwischen 2 sich vertrauenden personen braucht.
wenn es um verbreitung im größeren umfang geht, kommt man nicht um eine signierung einer certification authority herum:

http://www.bundesnetzagentur.de/enid/Elektronische_Signatur/Zertifizierungsdiensteanbieter_ph.html

hier ein paar infos zu elektronischen signaturn:

http://www.bsi.bund.de/literat/faltbl/F10ElektronischeSignatur.htm