Feedback von D-Trust. Wen's interessiert
Hallo ML!
Ich habe bei D-Trust mal mein Problem hinterfragt. Per Mail, GuPG signiert.
Die Antwort kam telefonisch. Immerhin, man kümmert sich.
Zusammengefasst sage mir der sehr freundliche, offensichtlich auch in
seinem Bereich fachkompetente Mensch am anderen Ende folgendes:
(Die Antwort nach Gedächtnisprotokoll, ohne Anspruch auf Vollständigkeit
und inhaltliche Korrektheit, inhaltlich wiedergegeben. Das soll ein
Disclaimer sein :-) )
<quote>
Eine qualifizierte Signatur unter Linux ist nach Kenntnisstand nicht
möglich. Eine zugelassene Software ist nicht bekannt.
Für eine qualifizierte Signatur ist ein Cardreader Klasse 2 notwendig.
(Dass heisst, mit Nummerntastatur)
Somit können diese Signaturen auch nicht vom USB-Stick kommen (z.B. Aladin).
Die Zertifikate an sich sind x509.
Mit welcher Software die Signatur vorgenommen wurde ist an der Signatur
nicht zu erkennen.
</quote>
Das bedeutet:
Wer mit einem 'Soft'-Zertifikat arbeitet, also mit x509, von einer
offiziellen CA, hat gute Chancen, die Signatur beim Empfänger anerkannt
zu bekommen. Solange dieser auch keine 'Akkreditierte Lösung' einsetzt.
Zu prüfen ist, wie die Attribute im Zertifikat die Akkreditierung
dokumentieren, ich habe bisher keins gesehen.
Nach geltendem Recht ist nur die 'qualifizierte Signatur' der
Unterschrift gleichzusetzen. In allen anderen Fällen liegt es im
Zweifelsfall im Ermessen des Richters, die Gültigkeit der Signatur zu
bewerten.
In Anbetracht der Tatsache, dass in der Regel ein Fax (auch ohne
Unterschrift!) reicht, um Verträge zu schließen, ist die
'fortgeschrittene Signatur' (offizielle CA) dazu durchaus geeignet, sich
auszuweisen. Dass müssen nur auch die Vertragspartner erkennen. :-(
Bei all diesem Vorschriften-Zeugs bin ich zu der Einsicht gekommen, dass
eine 'qualifizierte' Signatur typisch Behörden-Zeugs ist. Ich gehe
davon aus, das mein PGP-Key oder mei x509-Zertifikat mit einem geigneten
Passwort sicherer und praktikabler ist, als ein
5-Ziffern-Hardware-Dongle-Kartenzertifikat.
Wohlgemerkt: Ich weiss, wieso und wie ich 3DES und ein sicheres Passwort
für meine Privaten Schlüssel verwende.
So, nun ist Platz für philosophische, technologische und praktische
Überlegungen zum Thema.
Nacht, Martin.
Reply to: