[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Feedback von D-Trust. Wen's interessiert


Hallo ML!

Ich habe bei D-Trust mal mein Problem hinterfragt. Per Mail, GuPG signiert.
Die Antwort kam telefonisch. Immerhin, man kümmert sich.
Zusammengefasst sage mir der sehr freundliche, offensichtlich auch in seinem Bereich fachkompetente Mensch am anderen Ende folgendes: (Die Antwort nach Gedächtnisprotokoll, ohne Anspruch auf Vollständigkeit und inhaltliche Korrektheit, inhaltlich wiedergegeben. Das soll ein Disclaimer sein :-) ) 

<quote>
Eine qualifizierte Signatur unter Linux ist nach Kenntnisstand nicht möglich. Eine zugelassene Software ist nicht bekannt. Für eine qualifizierte Signatur ist ein Cardreader Klasse 2 notwendig. (Dass heisst, mit Nummerntastatur) 
Somit können diese Signaturen auch nicht vom USB-Stick kommen (z.B. Aladin).
Die Zertifikate an sich sind x509.
Mit welcher Software die Signatur vorgenommen wurde ist an der Signatur nicht zu erkennen. 
</quote>

Das bedeutet:
Wer mit einem 'Soft'-Zertifikat arbeitet, also mit x509, von einer offiziellen CA, hat gute Chancen, die Signatur beim Empfänger anerkannt zu bekommen. Solange dieser auch keine 'Akkreditierte Lösung' einsetzt.
Zu prüfen ist, wie die Attribute im Zertifikat die Akkreditierung dokumentieren, ich habe bisher keins gesehen.
Nach geltendem Recht ist nur die 'qualifizierte Signatur' der Unterschrift gleichzusetzen. In allen anderen Fällen liegt es im Zweifelsfall im Ermessen des Richters, die Gültigkeit der Signatur zu bewerten.
In Anbetracht der Tatsache, dass in der Regel ein Fax (auch ohne Unterschrift!) reicht, um Verträge zu schließen, ist die 'fortgeschrittene Signatur' (offizielle CA) dazu durchaus geeignet, sich auszuweisen. Dass müssen nur auch die Vertragspartner erkennen. :-(
Bei all diesem Vorschriften-Zeugs bin ich zu der Einsicht gekommen, dass eine 'qualifizierte' Signatur typisch Behörden-Zeugs ist. Ich gehe davon aus, das mein PGP-Key oder mei x509-Zertifikat mit einem geigneten Passwort sicherer und praktikabler ist, als ein 5-Ziffern-Hardware-Dongle-Kartenzertifikat. Wohlgemerkt: Ich weiss, wieso und wie ich 3DES und ein sicheres Passwort für meine Privaten Schlüssel verwende.
So, nun ist Platz für philosophische, technologische und praktische Überlegungen zum Thema. 

Nacht, Martin.
Reply to: