On Wednesday 03 December 2008 20:13:26 Konrad Rosenbaum wrote:
Oder Du veranstaltest eine wochenlange Konfigurationsorgie mit GnuPG, Kmail und Co. und nimmst dann Linux.
(Dürfte schneller sein, als gedacht. Welche API für SC-Reader vorzusehen ist, ist mir aber z.Z. nicht klar.)
...
In der Theorie (im Gesetz) machen qualifizierte Signaturen auch Verträge per eMail gerichtsfest (der Schriftform gleichgestellt).
Das soll der eigentlich Sinn von' det janze sein. Ich habe mich aber mal mit GG besprochen, scheinbar wird der Erhalt einer qualifiziert signierten eMail nicht (genauso) bestätigt.
(Während Timestemps eine weitere Qualifizierungsstufe darstellen.)
Für Elster macht man per https:// und Passphrase irgendwelche Einträge auf Sites, die "die Behörde" unter Aufsicht haben sollte. Geht scheinbar auch so.
Wenn man jetzt bedenkt:
- wie toll einfach die Technik ist,
- wie wahnsinnig international das alles ist,
- dass in fast allen Ländern nicht-schriftliche Verträge auch gültig sind
- und dass sich die durchschnittlichen geschäftlichen Vertragspartner eine
Woche nach der eMail sowieso in real-life sehen bzw.
- die meisten Sekretärinnen sehr gut mit Briefpost umgehen können
...dann wundert es einen, dass sich niemand in der Wirtschaft auf diese Technik stürzt!
Da liegt noch ein feiner Unterschied im Signaturgesetz: Es wird unterschieden zwischen 1.) einfacher Signatur (wie Name, Bild und Hausnummer) 2.) fortgeschrittener Signatur (siehe gpg -s) 3.) qualifizierter Signatur. 4.) ...
Dabei sind 2.) und 3.) technisch allerweitestgehend gleich.
Aus Gründen, die mir nicht klar werden, besteht "die Behörde" aber auf dem Vorschreiben von Hardware, "Fremderstellen" der Schlüssel..., alles mit dem entsprechenden Aufwand. (Was soll ich z.B. nach Verlust eines Schlüssels machen, wenn ich dann 4 Wochen auf einen neuen warten muß?)
Das Gadget ist sehr wohl frei aus allen Stufe-3 zertifizierten Geräten wählbar! Die Vielzahl der am Markt befindlichen Geräte läßt sich durchaus mit Hilfe eines größeren Daumens ausdrücken... ;-)
Ich sah zwei Lösungen: SC-Reader ohne und mit Tastatur zur Eingabe der Passphrase. USB-Token mit der entsprechenden Funktionalität scheint es (noch) nicht zu geben. Unklar ist auch, ob man so eine Card auch zum Speichern anderer Schlüssel verwenden kann. (Das BSI testet wohl SC + RFID -Systeme und fürchtet dabei "Unzuverlässigkeiten")
Wenn der private key das Medium nicht verlassen [kann, darf, soll], kann man eigentlich auch nur mit der Transferrate vom und zum Gadget signieren rsp. _verschlüsseln_. Das dürfte FAP nicht besonders weit reichen.
Alles rings um die Zertifizierungsstelle (CA) ist sehr streng und teuer spezifiziert, deswegen gibt es nur sehr wenige und die meisten davon haben schonwieder aufgegeben.
Absolut richtig. Auf (geschätzt) 6 Stellen, die registiert sind, kommen etwa 30 die seit 2001 wieder aufgegeben haben. Die Zertifkate scheinen aber auf andere Stellen (hptsl. DATEV Nürnberg) übergegangen zu sein. (Natürlich ohne irgendwelche Probleme.) Das steht irgendwo beim BSI.
...
Was? Wie bitte? Abbringen? Will der Herr sich auch noch schieben lassen? Lauf selber weg! ;-)
Konrad
Deine Meinung deckt sich merkwürdigerweise mit einigen PM-Zuschriften.
Bernhard