Hallo,
meine Arbeitslosigkeit nutzend, war ich heute (2008-10-02) auf dem Meldeamt und wollte mich nach (m-)einer qualifizierten digitalen Signatur erkundigen. Ich hatte gehört, daß Behörden so etwas ausstellen. Vielleicht im Zusammenhang mit neuem Personalausweis bzw. Reisepaß.
Die Anwort bestand in Sprachlosigkeit, besser: "Vielleicht wird so etwas irgendwann einmal amtlich, und dann werden wir Ihnen schon erklären, was das Ganze soll." (nicht ganz wörtliches Zitat)
Daraufhin habe ich mich ein wenig ungehört.
Das Ergebnis ist ernüchternd, respektive auf Blödsinn deutend.
Konkret: 1.) Auf Antrag erstellt eine Behörde (eine andere beauftragte und zertifizierte Stelle ist damit gleichwertig) ein RSA-Schlüsselpaar, nachdem sie sich von meinem Vorhandensein überzeugt hat.
2.) Ich erhalte daraufhin irgendwann (4Wochen) ein "Gadget", in dem meine von der Behörde ermittelten Schlüssel (private and public key) eingeprägt sind. z.Z. scheint eine Chip-Card der einzige realisierte Träger zu sein.
3.) Später erhalte ich in getrennten (snake-) Mails meine gesplittete und nicht wähl- oder veränderbare Passphrase zugestellt.
4.) Ich darf dann irgendeine (Windows-) Applikation nutzen, die signiert und ggf. auch verschlüsselt, so daß ein Pool von (Behörden-) Applikationen die Dinge als "qualifiziert signiert", d.h. rechtlich verbindlich, wahrnimmt.
5.) Der Kostenpunkt liegt (mit nicht wählbarem "Gadget") bei etwa 200,- €.
??? Wat'n das?
Zwar soll auf Ausstellerseite eine sichere Hardware zur Schlüsselerzeugung verwendet werden, was zumindest glaubwürdig _scheint_, während das Umfeld IMHO überhaupt nicht qualifiziert wird. (NATO-Witz der 80'er: "Guten Morgen! Ist ihre Sekrätärin auch schon in Moskau?")
Zu gut deutsch: Eine Behörde verpaßt Dir ein Schlüsselpaar, das _nur_ für sie gut ist, und läßt Dich dafür auch noch blechen.
Kennt sich von Euch auf der Liste jemand mit dem Thema aus, bzw. kann mich weiter weisen? Kann mich jemand von dieser sehr negativen Einstellung abbringen?
Bernhard
Hi,
On Tuesday 02 December 2008, Bernhard Schiffner wrote:
meine Arbeitslosigkeit nutzend, war ich heute (2008-10-02) auf dem Meldeamt und wollte mich nach (m-)einer qualifizierten digitalen Signatur erkundigen. Ich hatte gehört, daß Behörden so etwas ausstellen. Vielleicht im Zusammenhang mit neuem Personalausweis bzw. Reisepaß.
Ja, das soll einem den Fingerabdruck beim BKA, ähm, ich meine ausschließlich auf dem Pass-Chip versüßen...
Die Anwort bestand in Sprachlosigkeit, besser: "Vielleicht wird so etwas irgendwann einmal amtlich, und dann werden wir Ihnen schon erklären, was das Ganze soll." (nicht ganz wörtliches Zitat)
Ist schon lange amtlich. "Obor bis in uns're Provinz daherninnen hot sich des noch net rumg'sproche! Da müssn'S scho' auf de kaisaliche Depeschn aus Berlin wort'n. - Och jetzt fallts mir wida ei, mir han ja seit kurz'm koa Kaisa meh. Des is schad! Doa konn'ch ihn' jetzt oach net helfa. Doa nächsta bittschö!"
Daraufhin habe ich mich ein wenig ungehört.
Das Ergebnis ist ernüchternd, respektive auf Blödsinn deutend.
Amtlicher Blödsinn bitte! ;-)
Konkret: 1.) Auf Antrag erstellt eine Behörde (eine andere beauftragte und zertifizierte Stelle ist damit gleichwertig) ein RSA-Schlüsselpaar, nachdem sie sich von meinem Vorhandensein überzeugt hat.
Es gibt auch die (theoretische) Möglichkeit dass Du Dir die ganzen Gadgets, Karte, etc.pp. schonmal zulegst, Dir ein unqualifiziertes Zertifikat erstellst (per Kartenhardware bitte!) und es dann qualifizieren läßt.
"Des hamwa aba hier net. Des wär jo noch schöna! Da kennt joa jeda kimma!"
2.) Ich erhalte daraufhin irgendwann (4Wochen) ein "Gadget", in dem meine von der Behörde ermittelten Schlüssel (private and public key) eingeprägt sind. z.Z. scheint eine Chip-Card der einzige realisierte Träger zu sein.
Ja, weil Chipkarten sind soopa doopa sicha und auch tempa resistant und män-inda-middel kann da auch keiner machen... (das war ironisch)
3.) Später erhalte ich in getrennten (snake-) Mails meine gesplittete und nicht wähl- oder veränderbare Passphrase zugestellt.
Haarspalterei: das ist "snail mail" - das Versenden lebender Schlangen per normaler Paketpost ist in Deutschland nicht legal.
4.) Ich darf dann irgendeine (Windows-) Applikation nutzen, die signiert und ggf. auch verschlüsselt, so daß ein Pool von (Behörden-) Applikationen die Dinge als "qualifiziert signiert", d.h. rechtlich verbindlich, wahrnimmt.
Oder Du veranstaltest eine wochenlange Konfigurationsorgie mit GnuPG, Kmail und Co. und nimmst dann Linux.
In der Theorie (im Gesetz) machen qualifizierte Signaturen auch Verträge per eMail gerichtsfest (der Schriftform gleichgestellt).
Wenn man jetzt bedenkt: - wie toll einfach die Technik ist, - wie wahnsinnig international das alles ist, - dass in fast allen Ländern nicht-schriftliche Verträge auch gültig sind - und dass sich die durchschnittlichen geschäftlichen Vertragspartner eine Woche nach der eMail sowieso in real-life sehen bzw. - die meisten Sekretärinnen sehr gut mit Briefpost umgehen können
...dann wundert es einen, dass sich niemand in der Wirtschaft auf diese Technik stürzt!
(Disclaimer: das was hier aus den Zeilen trieft ist kein Produkt einer akuten Erkältung, sondern sog. "Ironie" - ist ansteckend aber kann nicht mit Arbeitsbefreiung belohnt werden.)
5.) Der Kostenpunkt liegt (mit nicht wählbarem "Gadget") bei etwa 200,- €.
??? Wat'n das?
Das Gadget ist sehr wohl frei aus allen Stufe-3 zertifizierten Geräten wählbar! Die Vielzahl der am Markt befindlichen Geräte läßt sich durchaus mit Hilfe eines größeren Daumens ausdrücken... ;-)
Zwar soll auf Ausstellerseite eine sichere Hardware zur Schlüsselerzeugung verwendet werden, was zumindest glaubwürdig _scheint_, während das Umfeld IMHO überhaupt nicht qualifiziert wird.
Alles rings um die Zertifizierungsstelle (CA) ist sehr streng und teuer spezifiziert, deswegen gibt es nur sehr wenige und die meisten davon haben schonwieder aufgegeben.
Ausserdem sind die "Gadgets" streng zertifiziert (das sind 180 der 200 Euro). Beim Rechner des Nutzers geht man davon aus, dass der Nutzer zu doof ist ein Antivirusprogramm zu installieren. Wieso man dann davon ausgeht dass ein Nutzer eine unsignierte Mail von einer signierten oder gar einer qualifiziert signierten unterscheiden kann ist mir allerdings ein Rätsel!
(NATO-Witz der 80'er: "Guten Morgen! Ist ihre Sekrätärin auch schon in Moskau?")
Da! Pravda.
Zu gut deutsch: Eine Behörde verpaßt Dir ein Schlüsselpaar, das _nur_ für sie gut ist, und läßt Dich dafür auch noch blechen.
Jepp. Das ist in! Deswegen lassen die Dich auch für einen biometrischen Ausweis blechen, der das ganze System unsicherer macht!
Kennt sich von Euch auf der Liste jemand mit dem Thema aus, bzw. kann mich weiter weisen?
Warnung: es ist schon eine Weile her dass ich mich mit dem Thema beschäftigt habe. Deswegen halte ich mein restliches Halbwissen lieber zurück.
Kann mich jemand von dieser sehr negativen Einstellung abbringen?
Was? Wie bitte? Abbringen? Will der Herr sich auch noch schieben lassen? Lauf selber weg! ;-)
Konrad
On Wednesday 03 December 2008 20:13:26 Konrad Rosenbaum wrote:
Oder Du veranstaltest eine wochenlange Konfigurationsorgie mit GnuPG, Kmail und Co. und nimmst dann Linux.
(Dürfte schneller sein, als gedacht. Welche API für SC-Reader vorzusehen ist, ist mir aber z.Z. nicht klar.)
...
In der Theorie (im Gesetz) machen qualifizierte Signaturen auch Verträge per eMail gerichtsfest (der Schriftform gleichgestellt).
Das soll der eigentlich Sinn von' det janze sein. Ich habe mich aber mal mit GG besprochen, scheinbar wird der Erhalt einer qualifiziert signierten eMail nicht (genauso) bestätigt.
(Während Timestemps eine weitere Qualifizierungsstufe darstellen.)
Für Elster macht man per https:// und Passphrase irgendwelche Einträge auf Sites, die "die Behörde" unter Aufsicht haben sollte. Geht scheinbar auch so.
Wenn man jetzt bedenkt:
- wie toll einfach die Technik ist,
- wie wahnsinnig international das alles ist,
- dass in fast allen Ländern nicht-schriftliche Verträge auch gültig sind
- und dass sich die durchschnittlichen geschäftlichen Vertragspartner eine
Woche nach der eMail sowieso in real-life sehen bzw.
- die meisten Sekretärinnen sehr gut mit Briefpost umgehen können
...dann wundert es einen, dass sich niemand in der Wirtschaft auf diese Technik stürzt!
Da liegt noch ein feiner Unterschied im Signaturgesetz: Es wird unterschieden zwischen 1.) einfacher Signatur (wie Name, Bild und Hausnummer) 2.) fortgeschrittener Signatur (siehe gpg -s) 3.) qualifizierter Signatur. 4.) ...
Dabei sind 2.) und 3.) technisch allerweitestgehend gleich.
Aus Gründen, die mir nicht klar werden, besteht "die Behörde" aber auf dem Vorschreiben von Hardware, "Fremderstellen" der Schlüssel..., alles mit dem entsprechenden Aufwand. (Was soll ich z.B. nach Verlust eines Schlüssels machen, wenn ich dann 4 Wochen auf einen neuen warten muß?)
Das Gadget ist sehr wohl frei aus allen Stufe-3 zertifizierten Geräten wählbar! Die Vielzahl der am Markt befindlichen Geräte läßt sich durchaus mit Hilfe eines größeren Daumens ausdrücken... ;-)
Ich sah zwei Lösungen: SC-Reader ohne und mit Tastatur zur Eingabe der Passphrase. USB-Token mit der entsprechenden Funktionalität scheint es (noch) nicht zu geben. Unklar ist auch, ob man so eine Card auch zum Speichern anderer Schlüssel verwenden kann. (Das BSI testet wohl SC + RFID -Systeme und fürchtet dabei "Unzuverlässigkeiten")
Wenn der private key das Medium nicht verlassen [kann, darf, soll], kann man eigentlich auch nur mit der Transferrate vom und zum Gadget signieren rsp. _verschlüsseln_. Das dürfte FAP nicht besonders weit reichen.
Alles rings um die Zertifizierungsstelle (CA) ist sehr streng und teuer spezifiziert, deswegen gibt es nur sehr wenige und die meisten davon haben schonwieder aufgegeben.
Absolut richtig. Auf (geschätzt) 6 Stellen, die registiert sind, kommen etwa 30 die seit 2001 wieder aufgegeben haben. Die Zertifkate scheinen aber auf andere Stellen (hptsl. DATEV Nürnberg) übergegangen zu sein. (Natürlich ohne irgendwelche Probleme.) Das steht irgendwo beim BSI.
...
Was? Wie bitte? Abbringen? Will der Herr sich auch noch schieben lassen? Lauf selber weg! ;-)
Konrad
Deine Meinung deckt sich merkwürdigerweise mit einigen PM-Zuschriften.
Bernhard
lug-dd@mailman.schlittermann.de
-
Bernhard Schiffner -
Konrad Rosenbaum