Hallo,
meine Arbeitslosigkeit nutzend, war ich heute (2008-10-02) auf dem Meldeamt und wollte mich nach (m-)einer qualifizierten digitalen Signatur erkundigen. Ich hatte gehört, daß Behörden so etwas ausstellen. Vielleicht im Zusammenhang mit neuem Personalausweis bzw. Reisepaß.
Die Anwort bestand in Sprachlosigkeit, besser: "Vielleicht wird so etwas irgendwann einmal amtlich, und dann werden wir Ihnen schon erklären, was das Ganze soll." (nicht ganz wörtliches Zitat)
Daraufhin habe ich mich ein wenig ungehört.
Das Ergebnis ist ernüchternd, respektive auf Blödsinn deutend.
Konkret: 1.) Auf Antrag erstellt eine Behörde (eine andere beauftragte und zertifizierte Stelle ist damit gleichwertig) ein RSA-Schlüsselpaar, nachdem sie sich von meinem Vorhandensein überzeugt hat.
2.) Ich erhalte daraufhin irgendwann (4Wochen) ein "Gadget", in dem meine von der Behörde ermittelten Schlüssel (private and public key) eingeprägt sind. z.Z. scheint eine Chip-Card der einzige realisierte Träger zu sein.
3.) Später erhalte ich in getrennten (snake-) Mails meine gesplittete und nicht wähl- oder veränderbare Passphrase zugestellt.
4.) Ich darf dann irgendeine (Windows-) Applikation nutzen, die signiert und ggf. auch verschlüsselt, so daß ein Pool von (Behörden-) Applikationen die Dinge als "qualifiziert signiert", d.h. rechtlich verbindlich, wahrnimmt.
5.) Der Kostenpunkt liegt (mit nicht wählbarem "Gadget") bei etwa 200,- €.
??? Wat'n das?
Zwar soll auf Ausstellerseite eine sichere Hardware zur Schlüsselerzeugung verwendet werden, was zumindest glaubwürdig _scheint_, während das Umfeld IMHO überhaupt nicht qualifiziert wird. (NATO-Witz der 80'er: "Guten Morgen! Ist ihre Sekrätärin auch schon in Moskau?")
Zu gut deutsch: Eine Behörde verpaßt Dir ein Schlüsselpaar, das _nur_ für sie gut ist, und läßt Dich dafür auch noch blechen.
Kennt sich von Euch auf der Liste jemand mit dem Thema aus, bzw. kann mich weiter weisen? Kann mich jemand von dieser sehr negativen Einstellung abbringen?
Bernhard