Re: Feedback von D-Trust. Wen's interessiert

To: debian-user-german@lists.debian.org
Subject: Re: Feedback von D-Trust. Wen's interessiert
From: Thomas Hühn <newsgroups@thomas-huehn.de>
Date: Wed, 28 Feb 2007 22:32:58 +0100
Message-id: <[🔎] 87r6saq86t.fsf@mid.thomas-huehn.de>
References: <[🔎] 53vrimF1ua7inU1@mid.uni-berlin.de> <[🔎] 54m71pF21e7g5U1@mid.uni-berlin.de>

"Martin D." <mndr@snafu.de> writes:

> Hallo ML!
>
> Ich habe bei D-Trust mal mein Problem hinterfragt. Per Mail, GuPG signiert.
> Die Antwort kam telefonisch. Immerhin, man kümmert sich.
> [...]
> <quote>
> Eine qualifizierte Signatur unter Linux ist nach Kenntnisstand nicht
> möglich. Eine zugelassene Software ist nicht bekannt.

Ich liefere zu diesem Punkt mal Auskünfte von seccommerce nach:

seccommerce bietet den SecSigner. Version 2.0.0 ist zugelassen und hat
eine Bestätigungsurkunde.

Auf der Webseite erhält man nur die neuere Version 3.3.68.

Kunden mit Wartungsvertrag erhalten auch für diese auf Wunsch die
Herstellererklärung.

So, jetzt wieder eigenes:

(Sollte die nicht grundsätzlich von der Bundesnetzagentur veröffentlicht
werden?)

> Die Zertifikate an sich sind x509.

In der Praxis ja, das ist aber nicht gesetzlich festgezurrt. Eine
qualifizierte Signatur auf Basis von OpenPGP oder eines Eigenbaus wäre
denkbar (okay, letzteres würde ncoh schwerer), aber natürlich existiert
für sowas kein Markt.

> Mit welcher Software die Signatur vorgenommen wurde ist an der
> Signatur nicht zu erkennen.

Ja, genau das ist das, was mich ja immer stört. :-)

> Nach geltendem Recht ist nur die 'qualifizierte Signatur' der
> Unterschrift gleichzusetzen. In allen anderen Fällen liegt es im
> Zweifelsfall im Ermessen des Richters, die Gültigkeit der Signatur zu
> bewerten.
>
> In Anbetracht der Tatsache, dass in der Regel ein Fax (auch ohne
> Unterschrift!) reicht, um Verträge zu schließen, ist die
> 'fortgeschrittene Signatur' (offizielle CA) dazu durchaus geeignet,
> sich auszuweisen. Dass müssen nur auch die Vertragspartner erkennen.
> :-(

Warum ":-("?

> Bei all diesem Vorschriften-Zeugs bin ich zu der Einsicht gekommen,
> dass eine 'qualifizierte' Signatur typisch Behörden-Zeugs ist. Ich
> gehe davon aus, das mein PGP-Key oder mei x509-Zertifikat mit einem
> geigneten Passwort sicherer und praktikabler ist, als ein
> 5-Ziffern-Hardware-Dongle-Kartenzertifikat.

Praktikabler für den Heimeinsatz vielleicht. Sicherer? Wohl eher nicht.
Das nimmt sich alles recht wenig.

Thomas

Reply to:

References:
- Qualifizierte Signatur mit Smartcard
  - From: "Martin D." <mndr@snafu.de>
- Feedback von D-Trust. Wen's interessiert
  - From: "Martin D." <mndr@snafu.de>

Prev by Date: Re: dselect
Next by Date: Re: dselect
Previous by thread: Feedback von D-Trust. Wen's interessiert
Next by thread: Emphehlung antispam für sendmail oder postfix
Index(es):
- Date
- Thread