Verwendest Du eMail Verschlüsselung oder digitale Signaturen?

[peternie]

Hallo ! Gibt es eigentlich heute noch irgendwelche Möglichekiten, dass .Mac Zertifikat als Signatur einzusetzen ? Leider will der .mac-Support das ja nicht:

Zitat:
Das Zertifikat, das Sie von .Mac erhalten haben, ist leider nicht für den Gebrauch mit E-Mails vorgesehen, bzw. wurde nicht entsprechend beworben, sondern einzig für den Gebrauch mit iChat. Neuere Zertifikate können nicht für die Ver- und Entschlüsselung von E-Mails verwendet werden. Die Informationen auf der Website, die Sie genannt haben, entsprechen somit nicht dem aktuellen Stand und war auch nie ein offizieller Weg.

Wenn Sie ein Zertifikat zur Verschlüsselung Ihrer E-Mails verwenden möchten, so können Sie dies von einer Zertifizierungsstelle, wie zum Beispiel Thawte erhalten:

http://www.thawte.de/

Sollten Sie noch weitere Fragen haben, wenden Sie sich bitte wieder an uns.

Mit freundlichen Grüßen

Lars Bode
..Mac Support
Apple Operations Europe

 

[pepi]

Hallo ! Gibt es eigentlich heute noch irgendwelche Möglichekiten, dass .Mac Zertifikat als Signatur einzusetzen ? Leider will der .mac-Support das ja nicht:[…]

Nein, das geht nicht und das hat auch nichts mit dem Willen des Supportes zu tun, sondern damit, daß in .Mac Zertifikaten der Einsatz zur eMail Signierung und Verschlüsselung als nicht zugelassen eingetragen ist.
Gruß Pepi

 

[Hobbes_]

Immer wieder stolpere ich über diesen Thread...

Deshalb erst die Antwort auf die Frage: Bisher (leider) nein. Wieso nicht? --> siehe unten...

------

Aktueller Anlass?
Erhalt eines eigentlich signierten Mails (S/MIME), das jedoch offensichtlich wegen fehlendem root-Zertifikat bei mir (muss noch schauen, wo ich das herkriege) doch nicht kontrolliert werden kann (also bringt es gar nichts - trotz den guten Bemühungen des technisch interessierten Absenders).

Eigentlich wären Signaturen u/o gar Verschlüsselung der eMails wirklich sinnvolle Dinge. Als erstes fällt mir da der Datenschutz ein (bei Verschlüsselung). Daneben: Inhalte erhielten so eine gewisse Verbindlichkeit. Auch könnte - soweit ich das wenigstens sehe - bei eindutiger Registrationspflicht der User mit entsprechenden Zertifikaten die Spams quasi auf 0 reduziert werden (schon bei reiner Signatur!; wieso nutzen wir nicht diese einfache Möglichkeit?).

Technisch wäre es wohl nicht so schwierig. Wenigstens für Mail (eh mein Lieblings-Mail-Programm) benötigte ich gemäss Info nur ein persönliches Zertifikat im Schlüsselbund, dann soll das praktisch automatisch laufen (??).

Andererseits: Was bringt es, alleine ein Zertifikat zu haben, wenn von den Mailpartnern ca. >99.9% solche Funktionen nicht benutzen (leider)?

Vielleicht in Zukunft, wenn es verbreiteter ist. Doch das mit der Spam-Reduktion wäre schon verlockend. Es würde jedoch nur funktionieren, wenn alle mitmachten.

------

Auf jeden Fall Anlass, wieder mal diesen Thread zu lesen. Vielleicht bringt der mich auf weitere Gedanken...

 

[Musashi]

Aktueller Anlass?
Erhalt eines eigentlich signierten Mails (S/MIME), das jedoch offensichtlich wegen fehlendem root-Zertifikat bei mir (muss noch schauen, wo ich das herkriege) doch nicht kontrolliert werden kann (also bringt es gar nichts - trotz den guten Bemühungen des technisch interessierten Absenders).

Von wo stammt denn dieses Zertifikat? Guck einfach auf die Homepage des Ausstellers, lade Dir sein Root-Zertifikat runter, und schubs es in den Schlüsselbund. Fertig.

Andererseits: Was bringt es, alleine ein Zertifikat zu haben, wenn von den Mailpartnern ca. >99.9% solche Funktionen nicht benutzen (leider)?

Allein schom, um ein gutes Beispiel zu geben. Außerdem kommt dann mit der Zeit auch der "will-ich-auch-haben"-Effekt.

Vielleicht in Zukunft, wenn es verbreiteter ist. Doch das mit der Spam-Reduktion wäre schon verlockend. Es würde jedoch nur funktionieren, wenn alle mitmachten.

Du kannst mit Deinem Beispiel dafür sorgen, daß es sich schneller verbreitet. Bei mir trägt das so langsam Früchte. Ich werde immer öfter angesprochen und gefragt, wie das denn so alles geht. Das betrifft übrigens auch GPG.

 

[Hobbes_]

Von wo stammt denn dieses Zertifikat? Guck einfach auf die Homepage des Ausstellers, lade Dir sein Root-Zertifikat runter, und schubs es in den Schlüsselbund. Fertig.

Vielen Dank für den Tipp. Werde mal schauen.

Allein schom, um ein gutes Beispiel zu geben. Außerdem kommt dann mit der Zeit auch der "will-ich-auch-haben"-Effekt.

Du kannst mit Deinem Beispiel dafür sorgen, daß es sich schneller verbreitet. Bei mir trägt das so langsam Früchte. Ich werde immer öfter angesprochen und gefragt, wie das denn so alles geht. Das betrifft übrigens auch GPG.

Ich weiss es eigentlich

Bisher scheute ich einfach den Aufwand, wenn es eben sonst eigentlich nie jemand benutzt. Doch da es so schwierig nicht zu sein scheint, werde ich mich mal umschauen. Jemand muss ja anfangen. Wer weiss, vielleicht werden solche Dinge standardmässig beim Kauf eines Computers mit dabei sein; vielleicht erhält man später als Nebenprodukt biometrischer Pässe, die eh alles elektronisch gespeichert haben, gleich auch so ein persönliches Zertifikat. Das wäre eine Dienstleistung des Staates zurück an uns. Damit wäre auch sichergestellt, dass wirklich die Person identifiziert wäre. Mal schauen.

 

[Musashi]

Bisher scheute ich einfach den Aufwand, wenn es eben sonst eigentlich nie jemand benutzt. Doch da es so schwierig nicht zu sein scheint, werde ich mich mal umschauen.

Für Zertifikate: http://www.cacert.org/index.php?lang=de_DE
Wenn Du Dich dort angemeldet hast kannst Du nach Assurern in Deiner Gegend suchen. Manchmal gibt es auch Veranstaltungen wie z.B. Mac at Camp oder die CeBit bei denen Du Deine Indentität nachweisen kannst. Von Zeit zu Zeit gibt es auch spezielle Partys zu diesem Zweck. Ankündigungen findes Du unter: https://www.cacert-germany.de/Forum/

Für GPG ist http://macgpg.sourceforge.net/de/index.html eine sehr gute Einstiegsseite.

vielleicht erhält man später als Nebenprodukt biometrischer Pässe, die eh alles elektronisch gespeichert haben, gleich auch so ein persönliches Zertifikat. Das wäre eine Dienstleistung des Staates zurück an uns. Damit wäre auch sichergestellt, dass wirklich die Person identifiziert wäre. Mal schauen.

Um Himmels willen, nein! Etwa, damit die staatlich Behörden auch gleich Deinen privaten Schlüssel haben?

 

[bluejay]

… Bisher scheute ich einfach den Aufwand, …

Das Pareto-Prinzip kennst Du schon?

Es besagt, dass sich viele Aufgaben mit einem Mitteleinsatz von ca. 20 % so erledigen lassen, dass 80 % aller Probleme gelöst werden.

:-D

 

[Hobbes_]

Für Zertifikate: http://www.cacert.org/index.php?lang=de_DE

Für GPG ist http://macgpg.sourceforge.net/de/index.html eine sehr gute Einstiegsseite.

Danke schon mal für die Links.

Um Himmels willen, nein! Etwa, damit die staatlich Behörden auch gleich Deinen privaten Schlüssel haben?

Mmh, soweit ich das verstanden hatte, kennt die ausstellende Stelle den privaten Schlüssel nicht, da dieser erst bei mir generiert werde (Paar: privater / öffentlicher Schlüssel). Deshalb sollte, bei technisch einwandfreiem Vorgehen ein staatliches Zertifikat nur Vorteile und keine Nachteile bringen:

Mit dem Ausstellen eines Passes wird sowieso eine Bestätigung der Identität ausgestellt. Eine vorgängige Prüfung erfolgt sowieso. Man kann sich so eine grundsätzlich auch fehleranfällige zweite Schicht des separaten Beantragens eines Zertifikates sparen. Daneben hat das virtuelle Leben immer mehr Bedeutung. Deshalb wäre es wirklich elegant, wenn die Stelle, die den Pass für das echte Leben ausstellt, auch den "Pass" für die virtuellen Wege ausstellte. Just my 2 cents.

Bezüglich Verschlüsselungssicherheit: Wenn Bestrebungen im PGP-Lager diskutiert wurden, dass gewisse staatliche Generalschlüssel eingebaut seien oder wenn immer wieder diskutiert wird, ob nicht gar in modernen OS (Windows wie Mac) Schnittstellen für Datensammler implementiert sein sollen (Welt der Gerüchte), da braucht man sich wirklich keine Sorgen zu machen, von wem denn nun dsa zertifikat komme .

Doch ein wirklich sauber programmiertes Zertifikatsystem sollte zwar die Identifikation sichern (das ist ja erwünscht), jedoch nicht etwa die Datensicherheit der verschlüsselten Daten kompromittieren.

Das Pareto-Prinzip kennst Du schon?


:-D

Kannte ich noch nicht.

Ja, nicht alles muss 100% sein, manches jedoch halt schon... Und da zeigen die letzten 5% meist die heftigsten Widerstände...

 

[Musashi]

Mmh, soweit ich das verstanden hatte, kennt die ausstellende Stelle den privaten Schlüssel nicht, da dieser erst bei mir generiert werde (Paar: privater / öffentlicher Schlüssel). Deshalb sollte, bei technisch einwandfreiem Vorgehen ein staatliches Zertifikat nur Vorteile und keine Nachteile bringen:

Nicht, wenn diese Dinge direkt mit dem Betriebssystem ausgeliefert werden. Da hätten die staatlichen Behörden jede Menge Möglichkeiten diese Schlüssel zu kompromitieren.

Mit dem Ausstellen eines Passes wird sowieso eine Bestätigung der Identität ausgestellt. Eine vorgängige Prüfung erfolgt sowieso. Man kann sich so eine grundsätzlich auch fehleranfällige zweite Schicht des separaten Beantragens eines Zertifikates sparen. Daneben hat das virtuelle Leben immer mehr Bedeutung. Deshalb wäre es wirklich elegant, wenn die Stelle, die den Pass für das echte Leben ausstellt, auch den "Pass" für die virtuellen Wege ausstellte. Just my 2 cents.

Hier kommen die zwei verschiedenen Möglichkeiten ein wenig durcheinander. Klar, bei Zetifikaten muß Deine Identität natürlich von einer vertrauenswürdigen Stelle geprüft werden. Das könnte natürlich auch eine staatliche sein. Aber bei Zertifikaten ist das verschlüsseln eher ein Nebenprodukt. Ein kleiner häßlicher Nebeneffekt ist auch die Tatsache, daß jemand, der physikalischen Zugang zu Deinem Account hat, diese Schlüssel ohne weiteres benutzen (oder auch stehlen) kann, da sie nicht weiter gesichert sind.

Anders bei GPG, da dort Dein privater Schlüssel durch eine (hoffentlich längere und kompliziertere) Passphrase zusätzlich geschützt ist. Das macht die Handhabung zwar etwas umständlicher, dafür aber sicherer.

Bezüglich Verschlüsselungssicherheit: Wenn Bestrebungen im PGP-Lager diskutiert wurden, dass gewisse staatliche Generalschlüssel eingebaut seien oder wenn immer wieder diskutiert wird, ob nicht gar in modernen OS (Windows wie Mac) Schnittstellen für Datensammler implementiert sein sollen (Welt der Gerüchte), da braucht man sich wirklich keine Sorgen zu machen, von wem denn nun dsa zertifikat komme .

Hier mußt Du unterscheiden zwischen PGP und GnuPG. Bei PGP hat es IMHO tatsächlich solche Bestrebungen gegeben. GnuPG aber ist komplett opensource. Wenn da im Quellcode auch nur eine verdächtige Zeile stünde, würden die entsprechenden Mailinglisten und Foren quasi explodieren.

Du kannst Dir ja - wenn Du extrem vergnügungssüchtig bist - den Quellcode runderladen, kontrollieren, und dann selbst compilieren.

 

[Hobbes_]

Du kannst Dir ja - wenn Du extrem vergnügungssüchtig bist - den Quellcode runderladen, kontrollieren, und dann selbst compilieren.

Ich denke, um diesen Schritt komme ich nicht herum

Daneben Danke für die Erläuterungen: Letztlich hat diese ganze Kryptologie-Geschichte sehr viel mit Vertrauen zu tun. Gerade deshalb mein Diskussionspunkt: Wieso sollte ich dem eigenen Staat weniger vertrauen als einer anderen Zertifikat-ausstellenden Stelle?

Letztlich suche ich einfach eine bequeme Lösung:
- Technisch am liebsten open source dokumentiert (so dass alle Mathematik-Cracks die Algorithmen kontrollieren können und die Chance bestünde, dass Fehler/Löcher gefunden würden).
- Technisch hervorragend integriert ins bestehende System mit einfachster Anwendung.
- Bezüglich Zertifikat mit möglichst wenig Aufwand mit grosser Verbreitung (gerade das würde für den staatlichen Anteil sprechen: Alle benötigen regelmässig einen neuen Pass, beim nächsten käme einfach noch eine CD mit einem Zertifikat mit).

 

[Musashi]

Ich denke, um diesen Schritt komme ich nicht herum

Viel Spaß. :-D

Letztlich hat diese ganze Kryptologie-Geschichte sehr viel mit Vertrauen zu tun. Gerade deshalb mein Diskussionspunkt: Wieso sollte ich dem eigenen Staat weniger vertrauen als einer anderen Zertifikat-ausstellenden Stelle?

man Schäuble+VDS+Bundestrojaner+Stasi 2.0

Also *ich* vetraue da eher öffentlichen PGP Schlüsseln, die z.B. vom CCC signiert wurden oder Organisationen wie CaCert, bei denen ich selbst auch Assurer bin.

 

[pepi]

Huch, da sind mir glatt ein paar Forenbenachrichtigungen durch die Lappen gegangen.

@Musashi,
Herzlichen Dank für Deine Bemühungen in diesem Thread. Ich freue mich immer, wenn ich da nicht ganz alleine bin.

@psc,
Danke für Dein Interesse an dem Thema.

Immer wieder stolpere ich über diesen Thread...
[…]
Auf jeden Fall Anlass, wieder mal diesen Thread zu lesen. Vielleicht bringt der mich auf weitere Gedanken...

Steter Tropfen…

[…]vielleicht erhält man später als Nebenprodukt biometrischer Pässe, die eh alles elektronisch gespeichert haben, gleich auch so ein persönliches Zertifikat[…]

Biometrie ist unsicher! Einen Fingerabdruck kann man beispielsweise für ca. 5 Euro kopieren. Diese Kopie ist ausreichend um jeglichen Fingerabdruckscanner am Markt auszutricksen.

[…]Ein kleiner häßlicher Nebeneffekt ist auch die Tatsache, daß jemand, der physikalischen Zugang zu Deinem Account hat, diese Schlüssel ohne weiteres benutzen (oder auch stehlen) kann, da sie nicht weiter gesichert sind.

Anders bei GPG, da dort Dein privater Schlüssel durch eine (hoffentlich längere und kompliziertere) Passphrase zusätzlich geschützt ist. Das macht die Handhabung zwar etwas umständlicher, dafür aber sicherer.[…]

Aus S/MIME Schlüssel kann man problemlos absichern. Nicht nur am Mac, aber bei uns ist es natürlich wieder mal besonders einfach und gleichzeitig komfortabel.

Dazu legt man einfach mit dem Schlüsselbund Programm einen neuen Schlüsselbund an. Diesen sichert man mit einem supergummiguten Passwort (welches sich von dem normalen Benutzer Account Passwort natürlich unterscheiden sollte). Auf diesen Schlüsselbund verschiebt man nun seine privaten und öffentlichen Schlüssel. In den Einstellungen zu diesem Schlüsselbund verbietet man jeglicher Applikation den Zugriff auf die darin enthaltenen Objekte und stellt zusätzlich ein, daß nur Mail.app nach Passwort Rückfrage diese Objekte verwenden darf. (Vorausgesetzt man verwendet Mail.app, eh klar.) Zusätzlich stellt man ein, daß dieser Schlüsselbund automatisch nach 0 Minuten und beim Ruhezustand abgesperrt wird. (Bei Tiger kann man als Minimum nur 1 Minute angeben, ab Leopard kann man das auf 0 drehen.) Somit muß jede einzelne Verwendung dieser Schlüssel einzeln bestätigt werden. Somit kann auch bei physischem Zugang niemand so schnell ein signiertes Mail versenden oder ein verschlüsseltes eMail unberechtigt lesen. (Natürlich könnte er die Schlüsselbunddatei klauen und dann per Brute Force beginnen Dein Passwort zu knacken... Das dauert aber ein bissl...)

GnuPG Passwörter (Passphrases) kann man übrigens ebenso am Schlüsselbund speichern und mit der selben Methode gleichzeitig sehr sicher und doch komfortabel schützen. (Komfort ist meiner Ansicht nach bei solchen Sachen sehr wichtig da man solche Funktionen sonst nicht nutzt.



An dieser Stelle wieder mal die Erinnerung, daß ich für Thawte.com und CAcert.org sowie GnuPG/PGP Notar bin und gerne in Wien eine Identitätsüberprüfung mit Key-Signing/Trust Punktevergabe machen kann. (Üblicherweise jeden Montag Abend im Universitätsbräuhaus im alten AKH ab ca. 21 Uhr.)
Gruß Pepi

 

[MacAlzenau]

Zum Thema Biometrie und Fingerabdrücke.
Gestern war was im Fernsehen bei einem Öffentlich-Rechtlichen über die Arbeit der Paßämter wegen der neuen Pässe. Statt der von Schäuble vorgegebenen 2 Minuten je Kunde brauchen sie bei den meisten 12 bis 15 Minuten, bis der Scanner was halbwegs Vernünftiges einliest, mit zig Versuchen.
Wie das dann an den Grenzen werden soll, weiß noch niemand.
Aber auf jeden Fall ein Grund, dem ganzen Zeugs nicht zu trauen.

 

[pepi]

Dem ganzen ist nicht nur nicht zu trauen, sondern es ist auch nicht einzusehen, daß man von 80 (100?) Mio Bürgern die Fingerabdrücke nimmt und somit die im Grundgesetz verankerte Unschuldsvermutung außer Kraft setzt. Mal abgesehen davon, daß es in den letzten Jahren exakt 6 (in Worten sechs) Versuche gab deutsche Reisepässe zu fälschen. Die Verhältnismäßigkeit für diese Maßnahme ist also so wie sie propagiert wird bei weitem nicht gegeben. Der deutsche Reisepaß wird dadurch um absolut Nichts sicherer als er bisher ist. Dies ist ein reiner Vorwand um die Generalüberwachung voranzutreiben.

Siehe dazu auch die Schlagzeile des Chaos Computer Club " Klagewelle gegen den biometrischen Reisepass".
Gruß Pepi

 

[Musashi]

Aus S/MIME Schlüssel kann man problemlos absichern. Nicht nur am Mac, aber bei uns ist es natürlich wieder mal besonders einfach und gleichzeitig komfortabel. [...]

Oh, das wußte ich noch gar nicht. Damit muß ich mich mal beschäftigen.

GnuPG Passwörter (Passphrases) kann man übrigens ebenso am Schlüsselbund speichern

Klar, aber das habe ich natürlich nicht gemacht.

 

[Hobbes_]

Steter Tropfen…

Ja genau

Biometrie ist unsicher! Einen Fingerabdruck kann man beispielsweise für ca. 5 Euro kopieren. Diese Kopie ist ausreichend um jeglichen Fingerabdruckscanner am Markt auszutricksen.

Huch! Dann ist diese Technik ja geradezu kriminell. Da wird eine scheinbare Sicherheit vorgegaukelt, die bei weitem nicht besteht. Das ist wesentlich gefährlicher, als wenn man weiss, dass etwas nicht sicher ist...

So kann man definitiv sagen, dass solche dinge nur in Filmen cool wirkt, jedoch in Realität nicht wirklich nutzbar ist - und daneben gemäss Deinen folgenden Argumenten gar schädlich ist...

Dem ganzen ist nicht nur nicht zu trauen, sondern es ist auch nicht einzusehen, daß man von 80 (100?) Mio Bürgern die Fingerabdrücke nimmt und somit die im Grundgesetz verankerte Unschuldsvermutung außer Kraft setzt. Mal abgesehen davon, daß es in den letzten Jahren exakt 6 (in Worten sechs) Versuche gab deutsche Reisepässe zu fälschen. Die Verhältnismäßigkeit für diese Maßnahme ist also so wie sie propagiert wird bei weitem nicht gegeben. Der deutsche Reisepaß wird dadurch um absolut Nichts sicherer als er bisher ist. Dies ist ein reiner Vorwand um die Generalüberwachung voranzutreiben.

Ja, es ist ein Trauerbeispiel des Verfalls unserer eigenen Kultur, dass wir uns selbst unter einen solchen Generalverdacht stellen lassen. 1984, Brave new world und wie sie alle hiessen waren wohl nicht so daneben...

Aus S/MIME Schlüssel kann man problemlos absichern. Nicht nur am Mac, aber bei uns ist es natürlich wieder mal besonders einfach und gleichzeitig komfortabel.

(...)

(Komfort ist meiner Ansicht nach bei solchen Sachen sehr wichtig da man solche Funktionen sonst nicht nutzt.

Vielen Dank für die Anleitung. Und ja: Komfort ist wirklich extrem wichtig. Denn genau deshalb nutzen es die weinigsten Leute nicht. Das ist wie mit den Backups. Viel zu wenig Leute machen regelmässig Backups ihrer Daten - weil es oft zu wenig komfortabel schien.

In diesem Bereich wäre eine weitere Vereinfachung wohl noch wünschenswert.

An dieser Stelle wieder mal die Erinnerung, daß ich für Thawte.com und CAcert.org sowie GnuPG/PGP Notar bin und gerne in Wien eine Identitätsüberprüfung mit Key-Signing/Trust Punktevergabe machen kann. (Üblicherweise jeden Montag Abend im Universitätsbräuhaus im alten AKH ab ca. 21 Uhr.)

Danke für das Angebot!

 

[pepi]

[…]Ja, es ist ein Trauerbeispiel des Verfalls unserer eigenen Kultur, dass wir uns selbst unter einen solchen Generalverdacht stellen lassen. 1984, Brave new world und wie sie alle hiessen waren wohl nicht so daneben...

Vielen Dank für die Anleitung. Und ja: Komfort ist wirklich extrem wichtig. Denn genau deshalb nutzen es die weinigsten Leute nicht. Das ist wie mit den Backups. Viel zu wenig Leute machen regelmässig Backups ihrer Daten - weil es oft zu wenig komfortabel schien.

In diesem Bereich wäre eine weitere Vereinfachung wohl noch wünschenswert.[…]

1984 und Schöne neue Welt sind schon lange Realität und als "Horrorszenario" überholt. Eine Welt wie sie im Film Gattaca dargestellt wird rückt immer näher. Wenn man es pessimistisch betrachtet könnte man sagen, daß wir auf eine neue Inkarnation des Nationalsozialismuß zusteuern, nur daß diesmal die Technologie ganz neue Grausamkeiten ermöglicht.

Die Nutzung von S/MIME oder GPG ist nicht unkomfortabel, ganz im Gegenteil. Gerade am Mac ist es erstaunlich komfortabel. Die meisten Leute verstehen leider nicht worum es bei dem ganzen geht und warum es da eine sehr reale Bedrohung gibt gegen die man sich zur Wehr setzen sollte muß.
Gruß Pepi

 

[bluejay]

Zwei Fragen an die Signatur-Auskenner:

1. Ist es sinnvoll sich mehrere Zertifikate bei unterschiedlichen Stellen zu holen (Thawte, CAcert TC Trustcenter, etc.)? Bringt das Vorteile in punkto Verfügbarkeit und Akzeptanz?
2. Was haltet ihr vom Angebot der Deutschen Post (Signtrust Card, 46,41€; Set mit Card Reader 189,21€) - das ist ja, im Unterschied zur digitalen Signatur mal eine echte elektronische Signatur.

 

[pepi]

Demnächst: Neue Signaturumfrage - Mitmachen!

Ankündigung

Ich werde am kommenden Dienstag, 19.02.2008, eine neue Umfrage zu unserem Thema erstellen lassen. Unser flowbike hat sich dankenswerterweise bereiterklärt mich dabei zu unterstützen. Ich möchte damit einen Vergleich ziehen können zur letzen Umfrage vor einem Jahr um zu sehen ob wir hier etwas bewegen konnten. Ich bitte alle an dieser neuen Umfrage teilzunehmen (auch wenn sie noch keine Signaturen einsetzen). Ob wir diesen Thread dann schließen und im neuen weiterdiskutieren hab' ich noch nicht endgültig entschieden, bin aber sehr geneigt dies zu tun. Selbstverständlich werde ich die neue Umfrage hier komfortabel verlinken und eine Vergleichsauswertung posten.

Danke an alle, die mich dabei Unterstützen!





@bluejay
Ad 1) Je nachdem was Du mit der Signatur erreichen willst kann es sinnvoll sein bei unterschiedlichen CAs Zertifikate zu unterhalten. In manchen Fällen (zB Digitale Rechnungslegung (in Österreich)) wirst Du sogar gesetzlich gezwungen (sic) bestimmte CAs zu verwenden.
In Punkto Verfügbarkeit gibt es glaube ich keinen Unterschied, in Sachen Akzeptanz bist Du speziell bei weniger bedarften Kontaktpartnern gut bedient ein Zertifikat einer CA zu verwenden deren Stammzertifikate (Root-Certificates) in den meisten aktuellen Betriebssystemen bereits enthalten sind.
Dies wäre beispielsweise einer der Vorteile eines Thawte Zertifikates (einer Verisign Tochter) gegenüber einem CAcert.org Zertifikat. Letztere hat die Stammzertifikate leider bei keinem mir bekannten kommerziellen Betriebssystem vorinstalliert.

Ad 2) Solchen Angeboten misstraue ich prinzipiell. Oft wird bei solchen Angeboten Dein Schlüsselpärchen für Dich generiert was gleichzusetzen ist mit einem kompromittierten privaten Schlüssel und somit zur Folge haben müßte, daß man die Schlüssel und das zugehörige Zertifikat umgehend zurückzieht und für ungültig erklärt. (Absolut krank, dafür überwachungsstaatlich abgesegnet.)
Der vorgeschriebene CardReader ist ein Produkt der Lobby, da man nur den eines bestimmten Herstellers verwenden darf. Wie vertrauenswürdig sind solche Konstrukte?

Der einzige Unterschied der elektronischen Signatur gegenüber einer digitalen Signatur ist, daß erstere für beispielsweise digitale Rechnungslegung gesetzlich zugelassen ist. (Lobby) Technisch ist kein Unterschied da beide Verfahren die idente Technologie einsetzen. In Zweifelsfall bekommst Du vom Staat allerdings nur Schlüssellängen bis 1024 Bytes (wohingegen Du bis zu 4096Bytes bei anderen Anbietern bekommen kannst.) Weiterer Nachteil (in meinen Augen) ist, daß man immer die Karte und den CardReader mit sich rumschleppen muß.
Es gibt (zumindest in Österreich) auch Anbieter die staatlich Signaturgesetzlich akzeptierte sog. fortgeschrittene digitale Signaturen zur digitalen Rechnungslegung hergeben. In Österreich ist das beispielsweise die A-Cert. Dort kann ich mein Schlüsselpärchen selsbt erzeugen (und somit für deren privatheit garantieren) und von denen signieren lassen. Technisch fühle ich mich dabei wesentlich wohler als bei anderen Anbietern. Wenn Du Dich umsiehst, dann wirst Du wahrscheinlich auch in Deutschland einen Anbieter finden der normale X.509 Signaturen ausstellt die als elektronische Signatur gesetzlich anerkannt sind.

Falls Du so einen findest, poste das bitte hier, es gibt bestimmt andere Leute die das auch interessiert.
Gruß Pepi

 

[bluejay]

Danke erstmal für Deine schnelle Antwort.

…
Ad 2) Solchen Angeboten misstraue ich prinzipiell. Oft wird bei solchen Angeboten Dein Schlüsselpärchen für Dich generiert was gleichzusetzen ist mit einem kompromittierten privaten Schlüssel und somit zur Folge haben müßte, daß man die Schlüssel und das zugehörige Zertifikat umgehend zurückzieht und für ungültig erklärt. (Absolut krank, dafür überwachungsstaatlich abgesegnet.)

Das konnte ich da eben nicht so recht rauslesen, ob man ein schon fertig generiertes Schlüsselpaar erhält - was, wie Du richtig bemerkst nicht so der Renner wäre - oder ob man das selbst generiert.

Der vorgeschriebene CardReader ist ein Produkt der Lobby, da man nur den eines bestimmten Herstellers verwenden darf. Wie vertrauenswürdig sind solche Konstrukte?

Sehe ich auch als Nachteil, noch dazu, da das Gerät ein ziemlicher Klopper ist.

Der einzige Unterschied der elektronischen Signatur gegenüber einer digitalen Signatur ist, daß erstere für beispielsweise digitale Rechnungslegung gesetzlich zugelassen ist. (Lobby) Technisch ist kein Unterschied da beide Verfahren die idente Technologie einsetzen. …
Es gibt (zumindest in Österreich) auch Anbieter die staatlich Signaturgesetzlich akzeptierte sog. fortgeschrittene digitale Signaturen zur digitalen Rechnungslegung hergeben.…

Ja, daß es technisch da keine Unterschiede gibt war mir schon klar, mir ging es dabei auch mehr um den juristischen Unterschied. Wenn ich das richtig verstanden habe gilt in Deutschland ausschließlich die qualifizierte elektronische Signatur als Äquivalent zur eigenhändigen Unterschrift gemäß §126a BGB.

Akkreditierte Zertifizierungsdienstanbieter (ZDA) sind übrigens (für Deutschland) auf der Seite der Bundesnetzagentur einzusehen.