<<< Date Index >>>     <<< Thread Index >>>

digitale Signatur



Unter

        http://a2e.de/phm/adv/digisig/

habe ich meine laienhaften Erkenntnisse zur digitalen Signatur
zusammengestellt.  Unten ist eine Kopie wesentlicher Auszüge.  Für kundige
Kritik wäre ich dankbar.

Bei allen Bemühungen frage ich mich noch immer ernsthaft, ob eine digitale
Signatur wirklich fälschungssicher ist.

Man kann doch ein Programm schreiben, welches immer wieder nach
Versuch-und-Irrtum-Verfahren alle möglichen Signaturen erzeugt und
prüft, bis es fündig wird.  Notfalls könnte man einen Großrechner
ein paar Tage daran setzen.  Sind die Algorithmen wirklich so sicher,
dass der auf keinen grünen Zweig kommt?  Wer hat das wo nachgewiesen?
Wo gibt es eine FAQ zu diesem Thema?

 
---------

Einführende Hinweise zur digitalen Signatur

     [...]


Digitale Rechnungsstellung unter dem Signaturgesetz

   Finanzämter müssen neuerdings beim Vorsteuerabzug immerhin Rechnungen mit
   "qualifizierter digitaler Signatur" anerkennen. Diese Hürde ist allerdings
   so hoch, dass bislang nur ein paar Großunternehmen sie im Rahmen der
   "Massensignatur" überwinden.

   Die "qualifizierte digitale Signatur" nach SigG ist nit teurer Bürokratie
   verbunden. Die Software muss zertifiziert werden. Diese Last schultern
   normalerweise nur Anbieter proprietärer Systeme. Eine Anerkennung offener
   (und somit besonders sicherer) Lösungen auf Basis des OpenPGP-Standards ist
   dadurch bislang verhindert worden. So hat das das Gesetz als "Gesetz zur
   Verhinderung der Digitalen Signatur" gewirkt. Die zuständige Behörde der
   Bundesregierung fördert OpenPGP-basierte Alternativen, aber auch sie kann
   (laut privater am CeBIT-Stand des BSI erhaltener Auskunft) nicht die nötigen
   Finanzmittel aufbringen, um das PGP-Verfahren zertifizieren zu lassen.

   All dies ist kein hinreichender Grund, weiterhin Bäume für das Finanzamt zu
   fällen. Es gibt folgende Möglichkeiten, die Forderung des Finanzamts zu
   umgehen:

    1. Der Besteller verzichtet darauf, aufgrund unbezahlter Rechnungen einen
       Vorsteuerabzug zu beantragen und bezahlt stattdessen einfach immer
       sofort.
    2. Der Lieferant stellt dem Besteller in regelmäßigen Abständen eine
       zusammenfassende Papierbescheinigung über die gestellten Rechnungen aus.
       Dies ist sofort praktikabel und wird vom Finanzamt anerkannt.
    3. Der Lieferant und der Besteller vereinbaren auf Papier die Anerkennung
       der zwischen ihnen verwendeten fortgeschrittenen digitalen Signaturen in
       eigener Verantwortung und versuchen, ihr Finanzamt zur Kooperation zu
       überreden. Vielleicht lohnt an dieser Stelle eine grundsätzliche
       Auseinandersetzung, die ein Verein wie der [15]FFII führen könnte.

   Interessanten Aufschluss über die derzeitige Situation beim Signaturgesetz
   gibt der unten besprochene Artikel "Akkreditierung ohne Zukunft?".

   [...]

PGP auf Chipkarte ?

   Vielfach wird im Schrifttum der Eindruck erweckt, das PGP-Verfahren stelle
   eine Lösung dar, die nicht den Anforderungen an die "voll qualifizierte
   Signatur" gemäß SigG genüge. Dass ein lesegeschütztes Medium wie die
   Chipkarte die Sicherheit erhöht, ist eicht einzusehen. Nicht so leicht zu
   verstehen ist allerdings, warum OpenPGP-Chipkarten die Anforderungen nicht
   erfüllen sollen. Auf der CeBIT 2006 befragte ich einige Experten hierzu.
   Demnach liegt es daran, dass bei einem offenen Standard wie OpenPGP ein
   wirtschaftlich interessierter Akteur fehlt, der die teuren
   Zertifizierungsauflagen des SigG bezahlen könnte. Auch das BSI habe hierfür
   nicht die Mittel, hieß es.

SSL-Zertifizierung von Webservern: eine Welt für sich?

   Jeder Webserver, der etwas auf sich hält, lässt sich kostenpflichtig (ca 300
   eur im Jahr) zertifizieren, damit die Benutzer beim Besuchen einer Seite wie
   [28]https://a2e.de/ bescheinigt bekommen, dass dieser Webserver tatsächlich
   der Firma gehört, die vorgibt, hinter ihm zu stehen.

   Hiermit ist bereits ein relativ breites Zertifizierungsnetz entstanden, aber
   für die gesetzliche digitale Signatur lässt es sich wohl nicht nutzen.

   Allgemeine Informationen über SSL finden sich unter
     * [29]SSL-FAQ -- Anweisungen zur Einrichtung eines SSL-fähigen Webservers
       (Apache), wie sie auch bei [30]https://a2e.de zur Anwendung kamen.
     * [31]SSL-Zertifizierung durch IKS Jena -- die Firma beklagt, dass die
       Arbeitsteilung in diesem Bereich erst sehr rudimentär entwickelt ist.
       Insbesondere nimmt der Berufsstand der Notare seine Funktionen offenbar
       überhaupt nicht wahr.

Verweise

   5. http://einklich.net/anleitung/pgp2.htm
   6. http://www.bretschneidernet.de/tips/secmua.html
   7. http://www.pgp.de/
   8. http://www.gnupg.de/
   9. http://winpt.sourceforge.net/
  10. http://linuxwiki.de/AqBanking
  11. http://www.reiner-sct.de/
  12. http://www.gnupg.org/howtos/card-howto/en/smartcard-howto.html
  13. http://www.kes.info/archiv/online/02-03-24-digsig.htm
  14. http://www.onlinebanking-forum.de/phpBB2/viewtopic.php?p=24406&;
  16. http://www.signaturportal.de/
  17. http://www.dig-rechnung.at/
  18. http://www.medizon.de/
  19. http://www.telesec.de/
  20. http://www.trustcenter.de/
  21. http://www.d-trust.de/
  22. http://www.datev.de/
  23. http://www.authentidate.de/
  24. http://www.signamus.de/
  25. http://www.signaturportal.de/
  26. http://www.kes.info/archiv/online/02-03-24-digsig.htm
  27. http://www.ti.fhg.de/publikationen/studien_und_bucher/
  29. http://www.modssl.org/docs/2.8/ssl_faq.html
  31. http://www.iks-jena.de/leistungen/ca


-- 
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx