Hi,
On Tuesday 02 December 2008, Bernhard Schiffner wrote:
meine Arbeitslosigkeit nutzend, war ich heute (2008-10-02) auf dem Meldeamt und wollte mich nach (m-)einer qualifizierten digitalen Signatur erkundigen. Ich hatte gehört, daß Behörden so etwas ausstellen. Vielleicht im Zusammenhang mit neuem Personalausweis bzw. Reisepaß.
Ja, das soll einem den Fingerabdruck beim BKA, ähm, ich meine ausschließlich auf dem Pass-Chip versüßen...
Die Anwort bestand in Sprachlosigkeit, besser: "Vielleicht wird so etwas irgendwann einmal amtlich, und dann werden wir Ihnen schon erklären, was das Ganze soll." (nicht ganz wörtliches Zitat)
Ist schon lange amtlich. "Obor bis in uns're Provinz daherninnen hot sich des noch net rumg'sproche! Da müssn'S scho' auf de kaisaliche Depeschn aus Berlin wort'n. - Och jetzt fallts mir wida ei, mir han ja seit kurz'm koa Kaisa meh. Des is schad! Doa konn'ch ihn' jetzt oach net helfa. Doa nächsta bittschö!"
Daraufhin habe ich mich ein wenig ungehört.
Das Ergebnis ist ernüchternd, respektive auf Blödsinn deutend.
Amtlicher Blödsinn bitte! ;-)
Konkret: 1.) Auf Antrag erstellt eine Behörde (eine andere beauftragte und zertifizierte Stelle ist damit gleichwertig) ein RSA-Schlüsselpaar, nachdem sie sich von meinem Vorhandensein überzeugt hat.
Es gibt auch die (theoretische) Möglichkeit dass Du Dir die ganzen Gadgets, Karte, etc.pp. schonmal zulegst, Dir ein unqualifiziertes Zertifikat erstellst (per Kartenhardware bitte!) und es dann qualifizieren läßt.
"Des hamwa aba hier net. Des wär jo noch schöna! Da kennt joa jeda kimma!"
2.) Ich erhalte daraufhin irgendwann (4Wochen) ein "Gadget", in dem meine von der Behörde ermittelten Schlüssel (private and public key) eingeprägt sind. z.Z. scheint eine Chip-Card der einzige realisierte Träger zu sein.
Ja, weil Chipkarten sind soopa doopa sicha und auch tempa resistant und män-inda-middel kann da auch keiner machen... (das war ironisch)
3.) Später erhalte ich in getrennten (snake-) Mails meine gesplittete und nicht wähl- oder veränderbare Passphrase zugestellt.
Haarspalterei: das ist "snail mail" - das Versenden lebender Schlangen per normaler Paketpost ist in Deutschland nicht legal.
4.) Ich darf dann irgendeine (Windows-) Applikation nutzen, die signiert und ggf. auch verschlüsselt, so daß ein Pool von (Behörden-) Applikationen die Dinge als "qualifiziert signiert", d.h. rechtlich verbindlich, wahrnimmt.
Oder Du veranstaltest eine wochenlange Konfigurationsorgie mit GnuPG, Kmail und Co. und nimmst dann Linux.
In der Theorie (im Gesetz) machen qualifizierte Signaturen auch Verträge per eMail gerichtsfest (der Schriftform gleichgestellt).
Wenn man jetzt bedenkt: - wie toll einfach die Technik ist, - wie wahnsinnig international das alles ist, - dass in fast allen Ländern nicht-schriftliche Verträge auch gültig sind - und dass sich die durchschnittlichen geschäftlichen Vertragspartner eine Woche nach der eMail sowieso in real-life sehen bzw. - die meisten Sekretärinnen sehr gut mit Briefpost umgehen können
...dann wundert es einen, dass sich niemand in der Wirtschaft auf diese Technik stürzt!
(Disclaimer: das was hier aus den Zeilen trieft ist kein Produkt einer akuten Erkältung, sondern sog. "Ironie" - ist ansteckend aber kann nicht mit Arbeitsbefreiung belohnt werden.)
5.) Der Kostenpunkt liegt (mit nicht wählbarem "Gadget") bei etwa 200,- €.
??? Wat'n das?
Das Gadget ist sehr wohl frei aus allen Stufe-3 zertifizierten Geräten wählbar! Die Vielzahl der am Markt befindlichen Geräte läßt sich durchaus mit Hilfe eines größeren Daumens ausdrücken... ;-)
Zwar soll auf Ausstellerseite eine sichere Hardware zur Schlüsselerzeugung verwendet werden, was zumindest glaubwürdig _scheint_, während das Umfeld IMHO überhaupt nicht qualifiziert wird.
Alles rings um die Zertifizierungsstelle (CA) ist sehr streng und teuer spezifiziert, deswegen gibt es nur sehr wenige und die meisten davon haben schonwieder aufgegeben.
Ausserdem sind die "Gadgets" streng zertifiziert (das sind 180 der 200 Euro). Beim Rechner des Nutzers geht man davon aus, dass der Nutzer zu doof ist ein Antivirusprogramm zu installieren. Wieso man dann davon ausgeht dass ein Nutzer eine unsignierte Mail von einer signierten oder gar einer qualifiziert signierten unterscheiden kann ist mir allerdings ein Rätsel!
(NATO-Witz der 80'er: "Guten Morgen! Ist ihre Sekrätärin auch schon in Moskau?")
Da! Pravda.
Zu gut deutsch: Eine Behörde verpaßt Dir ein Schlüsselpaar, das _nur_ für sie gut ist, und läßt Dich dafür auch noch blechen.
Jepp. Das ist in! Deswegen lassen die Dich auch für einen biometrischen Ausweis blechen, der das ganze System unsicherer macht!
Kennt sich von Euch auf der Liste jemand mit dem Thema aus, bzw. kann mich weiter weisen?
Warnung: es ist schon eine Weile her dass ich mich mit dem Thema beschäftigt habe. Deswegen halte ich mein restliches Halbwissen lieber zurück.
Kann mich jemand von dieser sehr negativen Einstellung abbringen?
Was? Wie bitte? Abbringen? Will der Herr sich auch noch schieben lassen? Lauf selber weg! ;-)
Konrad