Digitale Signatur durch PGP+SVN
Unter
Wir brauchen PGP-signierte Rechnungen
http://a2e.de/oas/06/12/06/digisig
werbe ich für den Einsatz von OpenPGP zusammen mit Zeitstempelung (auf Basis
von Subversion) als Lösung für eine hinreichend verlässliche wenn auch nicht
nach SigG zertifizierte digitale Signatur.
Ich hoffe, die Argumentation ist stichhaltig.
Wir brauchen PGP-signierte Rechnungen
Der OpenPGP-Standard stellt die Verbindlichkeit und Vertraulichkeit her, ohne
die zu arbeiten in der heutigen Zeit eigentlich nur noch lächerlich wäre, wenn
es nicht so viele Leute täten. Praktischen Nutzen bringt die Anwendung bereits
im firmen-internen Bereich, aber auch beim Nachweis von Ausgaben gegenüber dem
Finanzamt.
Fast alle unsere Kunden akzeptieren inzwischen Rechnungen in Form von
PDF-Dateien ohne Papier. Wenn jemand das mal nicht akzeptiert, versuchen wir
ihn zu bekehren und gehen dabei in unserem missionarischen Eifer manchmal
über die Grenzen dessen hinaus, was König Kunde verträgt.
Akzeptieren wir aber selber auch bloße PDF-Dateien als Rechnung?
Nein.
Sind wir Heuchler?
Einer Auftragnehmerin unseres [9]Sprachendienst-Geschäfts antwortete ich:
> In der Anlage sende ich Ihnen meine Rechnung in PDF Datei.
> Es müsste fur das Finanzamt auch genügen.
Grundsätzlich sollte man ja nachweisen können, dass die Forderung
tatsächlich erhoben wurde. Um das einigermaßen sauber zu machen, kommen
folgende Methoden in Frage:
1. Sie schicken neben der digitalen Version eine unterschriebene
Papierkopie zu jeder Rechnung einzeln.
2. Sie schicken uns ein Papierschreiben, in dem Sie erklären, dass Sie mit
uns regelmäßig zusammenarbeiten und uns blind vertrauen, dass alles, was
wir als Ihre Forderung dem Finanzamt vorlegen, echt ist. Ergänzend
könnte man noch einmal jährlich Sammelunterzeichnungen von Ihnen
einholen.
3. Sie verwenden eine [10]fortgeschritten digitale Signatur nach
OpenPGP/MIME.
Natürlich ist Methode 3 unbedingt vorzuziehen. Diese Methode zu verwenden,
erfordert keine Computer-Guru-Kenntnisse, keine großen Installationsaufwand.
Außerdem zieht man daraus sofort unmittelbaren persönlichen Nutzen, nicht
nur in der Kommunikation mit anderen OpenPGP-Nutzern.
MS-Windows-Benutzern empfehle die Installation von [11]GPG4Win oder [12]PGP.
Die Installation und Anwendung ist leicht. Man muss nur beachten, dass man
seinen Schlüssel anschließend sorgfältig pflegt und ihn bei öffentlichen
Servern, z.B. pgp.uni-mainz.de, anmeldet.
Der OpenPGP-Standard stellt die Verbindlichkeit und Vertraulichkeit her,
ohne die zu arbeiten in der heutigen Zeit eigentlich nur noch lächerlich
wäre, wenn es nicht so viele Leute täten.
Selbst für sich allein kann heute kaum niemand ohne so etwas wie OpenPGP
seine Informationen vernünftig verarbeiten. Denn was macht man mit den
vielen Passwörtern, etwa denen vom Portal der Bahn, der Bank, des
Internet-Zugangsanbieters, des Kurierdienstes, der diversen Versandhändler?
Alle im Kopf behalten? Überall das gleiche simple Passwort verwenden?
Passwörter im eigenen Intranet offen sichtbar hinterlegen? Nein, alles
falsch, man hinterlegt die Zugangsdaten in PGP-verschlüsselter Form, und
zwar so, dass genau die Leute Zugang haben, die ihn haben sollen. Und das
ist nur eine von zahlreichen geschäftsinternen Anwendungen von OpenPGP.
Vielleicht verlangt das Finanzamt ja wirklich keine aussagekräftigen
Unterlagen. Vielleicht kommen wir auch mit bloßen PDF-Dateien durch.
Vielleicht akzeptiert das Finanzamt unsere Behauptungen über deren Echtheit
als Nachweise. Aber im Interesse solider Geschäftsabläufe will ich mich
eigentlich nicht auf Behauptungen stützen. Nicht einmal auf meine eigenen.
Irgendwann kommt ja doch mal die Situation, wo man überprüfen möchte oder
gar nachweisen muss, dass man nichts verwechselt hat und dass eine bestimmte
Rechnung wirklich vom Absender stammt.
Für welche der drei oben genannten Methoden sind Sie also?
OpenPGP und Projektarchiv: zeitgestempelte digitale Signatur für die Praxis
Alle Dokumente, die bei uns eingehen, werden in ein [13]SVN-Projektarchiv
aufgenommen. Damit ist der Zeitpunkt des Eingangs und jeder Änderung von uns
leicht nachvollziehbar. Durch Hinterlegung von Prüfsummen können wir ferner
auch gegenüber Dritten den Zeitpunkt jeder Textverarbeitungshandlung
nachweisen. Diese Funktion des Zeitnachweises fehlt bei OpenPGP. Beim
SVN-Projektarchiv fehlt wiederum der Nachweis, dass ein Dokument wirklich
seinem Eigentümer gehört. Diesen Nachweis liefert die OpenPGP-Anwendungen.
Durch die Kombination von OpenPGP und einem Versionierungssystem wie
Subversion haben wir effektiv einen Nachweisbarkeitsgrad, der alles
papierbasierte weit übertrifft, auch wenn er vielleicht nicht formell die
Anforderungen der "qualifizierten Signatur" nach dem Signaturgesetz erfüllt.
Doch über den Sinn dieser Anforderungen kann man streiten. Auch in der
analogen Welt gibt es eine gewisse Eigenverantwortung für die Pflege der
eigenen Signaturwerkzeuge, die einem kein Zertifizierungssystem abnehmen
kann.
[....]
Verweise
9. http://a2e.de/oas
10. http://a2e.de/phm/adv/digisig
11. http://www.gpg4win.de/
12. http://www.pgp.com/products/de/freeware.html
13. http://subversion.tigris.org/
--
Hartmut Pilch http://a2e.de/phm
---------------------------------------------------------------------
To unsubscribe, e-mail: debate-unsubscribe@xxxxxxxxxxxxxx
For additional commands, e-mail: debate-help@xxxxxxxxxxxxxx