digitale Signatur
Unter
http://a2e.de/phm/adv/digisig/
habe ich meine laienhaften Erkenntnisse zur digitalen Signatur
zusammengestellt. Unten ist eine Kopie wesentlicher Auszüge. Für kundige
Kritik wäre ich dankbar.
Bei allen Bemühungen frage ich mich noch immer ernsthaft, ob eine digitale
Signatur wirklich fälschungssicher ist.
Man kann doch ein Programm schreiben, welches immer wieder nach
Versuch-und-Irrtum-Verfahren alle möglichen Signaturen erzeugt und
prüft, bis es fündig wird. Notfalls könnte man einen Großrechner
ein paar Tage daran setzen. Sind die Algorithmen wirklich so sicher,
dass der auf keinen grünen Zweig kommt? Wer hat das wo nachgewiesen?
Wo gibt es eine FAQ zu diesem Thema?
---------
Einführende Hinweise zur digitalen Signatur
[...]
Digitale Rechnungsstellung unter dem Signaturgesetz
Finanzämter müssen neuerdings beim Vorsteuerabzug immerhin Rechnungen mit
"qualifizierter digitaler Signatur" anerkennen. Diese Hürde ist allerdings
so hoch, dass bislang nur ein paar Großunternehmen sie im Rahmen der
"Massensignatur" überwinden.
Die "qualifizierte digitale Signatur" nach SigG ist nit teurer Bürokratie
verbunden. Die Software muss zertifiziert werden. Diese Last schultern
normalerweise nur Anbieter proprietärer Systeme. Eine Anerkennung offener
(und somit besonders sicherer) Lösungen auf Basis des OpenPGP-Standards ist
dadurch bislang verhindert worden. So hat das das Gesetz als "Gesetz zur
Verhinderung der Digitalen Signatur" gewirkt. Die zuständige Behörde der
Bundesregierung fördert OpenPGP-basierte Alternativen, aber auch sie kann
(laut privater am CeBIT-Stand des BSI erhaltener Auskunft) nicht die nötigen
Finanzmittel aufbringen, um das PGP-Verfahren zertifizieren zu lassen.
All dies ist kein hinreichender Grund, weiterhin Bäume für das Finanzamt zu
fällen. Es gibt folgende Möglichkeiten, die Forderung des Finanzamts zu
umgehen:
1. Der Besteller verzichtet darauf, aufgrund unbezahlter Rechnungen einen
Vorsteuerabzug zu beantragen und bezahlt stattdessen einfach immer
sofort.
2. Der Lieferant stellt dem Besteller in regelmäßigen Abständen eine
zusammenfassende Papierbescheinigung über die gestellten Rechnungen aus.
Dies ist sofort praktikabel und wird vom Finanzamt anerkannt.
3. Der Lieferant und der Besteller vereinbaren auf Papier die Anerkennung
der zwischen ihnen verwendeten fortgeschrittenen digitalen Signaturen in
eigener Verantwortung und versuchen, ihr Finanzamt zur Kooperation zu
überreden. Vielleicht lohnt an dieser Stelle eine grundsätzliche
Auseinandersetzung, die ein Verein wie der [15]FFII führen könnte.
Interessanten Aufschluss über die derzeitige Situation beim Signaturgesetz
gibt der unten besprochene Artikel "Akkreditierung ohne Zukunft?".
[...]
PGP auf Chipkarte ?
Vielfach wird im Schrifttum der Eindruck erweckt, das PGP-Verfahren stelle
eine Lösung dar, die nicht den Anforderungen an die "voll qualifizierte
Signatur" gemäß SigG genüge. Dass ein lesegeschütztes Medium wie die
Chipkarte die Sicherheit erhöht, ist eicht einzusehen. Nicht so leicht zu
verstehen ist allerdings, warum OpenPGP-Chipkarten die Anforderungen nicht
erfüllen sollen. Auf der CeBIT 2006 befragte ich einige Experten hierzu.
Demnach liegt es daran, dass bei einem offenen Standard wie OpenPGP ein
wirtschaftlich interessierter Akteur fehlt, der die teuren
Zertifizierungsauflagen des SigG bezahlen könnte. Auch das BSI habe hierfür
nicht die Mittel, hieß es.
SSL-Zertifizierung von Webservern: eine Welt für sich?
Jeder Webserver, der etwas auf sich hält, lässt sich kostenpflichtig (ca 300
eur im Jahr) zertifizieren, damit die Benutzer beim Besuchen einer Seite wie
[28]https://a2e.de/ bescheinigt bekommen, dass dieser Webserver tatsächlich
der Firma gehört, die vorgibt, hinter ihm zu stehen.
Hiermit ist bereits ein relativ breites Zertifizierungsnetz entstanden, aber
für die gesetzliche digitale Signatur lässt es sich wohl nicht nutzen.
Allgemeine Informationen über SSL finden sich unter
* [29]SSL-FAQ -- Anweisungen zur Einrichtung eines SSL-fähigen Webservers
(Apache), wie sie auch bei [30]https://a2e.de zur Anwendung kamen.
* [31]SSL-Zertifizierung durch IKS Jena -- die Firma beklagt, dass die
Arbeitsteilung in diesem Bereich erst sehr rudimentär entwickelt ist.
Insbesondere nimmt der Berufsstand der Notare seine Funktionen offenbar
überhaupt nicht wahr.
Verweise
5. http://einklich.net/anleitung/pgp2.htm
6. http://www.bretschneidernet.de/tips/secmua.html
7. http://www.pgp.de/
8. http://www.gnupg.de/
9. http://winpt.sourceforge.net/
10. http://linuxwiki.de/AqBanking
11. http://www.reiner-sct.de/
12. http://www.gnupg.org/howtos/card-howto/en/smartcard-howto.html
13. http://www.kes.info/archiv/online/02-03-24-digsig.htm
14. http://www.onlinebanking-forum.de/phpBB2/viewtopic.php?p=24406&
16. http://www.signaturportal.de/
17. http://www.dig-rechnung.at/
18. http://www.medizon.de/
19. http://www.telesec.de/
20. http://www.trustcenter.de/
21. http://www.d-trust.de/
22. http://www.datev.de/
23. http://www.authentidate.de/
24. http://www.signamus.de/
25. http://www.signaturportal.de/
26. http://www.kes.info/archiv/online/02-03-24-digsig.htm
27. http://www.ti.fhg.de/publikationen/studien_und_bucher/
29. http://www.modssl.org/docs/2.8/ssl_faq.html
31. http://www.iks-jena.de/leistungen/ca
--
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx