1 Neues & Chronik

• 2006-12-06 Wir brauchen PGP-signierte Rechnungen
• 2006-05-04 Diskussion bei FITUG über diese Seite

2 Einführende Hinweise zur digitalen Signatur

• PGP-Anleitung
• Sichere E-Mail-Clients mit PGP/MIME
• PGP – Pretty Good Privacy – die Software des Pioniers Phil Zimmermann, nach dem der Standard benannt wurde.
• GNU Privacy Guard (GnuPG, GPG) – vom Bundesamt für Sicherheit im Internet (BSI) geförderte freie OpenPGP-Anwendung für mehrere Plattformen mit Programmierbibliothek
• PGP/GPG für MS Windows:
  • GPG4Win.de
  • PGP Freeware DE
  • WinPT – eine weitere frei verfügbare OpenPGP-Anwendung für MS-Windows
• Projekte Ägypten und Ägypten 2: freie Implementation von S/MIME
  • http://www.gnupg.org/aegypten
  • http://www.gnupg.org/aegypten2
• jPdfSign: A commandline applicatio for signing PDF documents –- läuft auf allen Betriebssystemen, funktioniert optional auch mit Signaturkarten
• aqbanking – Freie Implementation des HBCI-Standards, der digitale Signaturen und Verschlüsselung auf Grundlage von Chipkarten in der Kommunikation zwischen Kundenrechner und Bank einsetzt
• Reiner SCT vertreibt Chipkartenleser mit quelloffenen Treibern für Linux ebenso wie zahlreiche andere Lösungen für Verbindlichkeit und Vertraulichkeit digitaler Kommunikation
• Gebrauchsanleitung zum Einsatz OpenPGP-basierter Smartcards
• opensc – Sammlung von Projekten für offene Smartcards
• Akkreditierung ohne Zukunft? – aktuelle Schwierigkeiten bei der Anwendung des Gesetzes über die Digitale Signatur
• Digitale Signatur und E-Post-Sicherheit bei der Carl Zeiss AG: die dortigen Mitarbeiter arbeiten setzen PGP und S/MIME ein. Dabei hilft der lokale Mail-Server nach.
• Onlinebanking-Forum: Signaturkarten der Banken enttäuschen – die Banken werben mit ihren digitalen Signaturkarten. Erst durch aufwändige Recherche findet man heraus, dass diese Karten nur für die Kommunikation mit einem Partner, nämlich der ausstellenden Bank, einsetzbar sind. Auch andere auf dem Markt angebotene Signaturlösungen enttäuschen.

3 Digitale Rechnungsstellung unter dem Signaturgesetz

Finanzämter müssen neuerdings beim Vorsteuerabzug immerhin Rechnungen mit “qualifizierter digitaler Signatur” anerkennen. Diese Hürde ist allerdings so hoch, dass bislang nur ein paar Großunternehmen sie im Rahmen der “Massensignatur” überwinden.

Die “qualifizierte digitale Signatur” nach SigG ist mit teurer Bürokratie verbunden. Die Software muss zertifiziert werden. Diese Last schultern normalerweise nur Anbieter proprietärer Systeme.

Eine Anerkennung quelloffener Lösungen auf Basis des OpenPGP-Standards (in Kombination mit Zeitstempelung) ist bislang nicht gelungen. Möglicherweise hat das das Signaturgesetz im Effekt als “Gesetz zur Verhinderung der Digitalen Signatur” gewirkt. Die zuständige Behörde der Bundesregierung fördert OpenPGP-basierte Alternativen, aber auch sie kann (laut privater am CeBIT-Stand des BSI erhaltener Auskunft) nicht die nötigen Finanzmittel aufbringen, um die entwickelten Verfahren zertifizieren zu lassen. Eine Zertifizierung würde damit den offenen Entwicklungsprozess zum Erliegen bringen.

All dies ist kein hinreichender Grund, weiterhin Bäume für das Finanzamt zu fällen. Es gibt folgende Möglichkeiten, die (angeblichen) Forderung des Finanzamts zu umgehen:

1. Der Besteller verzichtet darauf, aufgrund unbezahlter Rechnungen einen Vorsteuerabzug zu beantragen und bezahlt stattdessen einfach immer sofort.
2. Der Lieferant stellt dem Besteller in regelmäßigen Abständen eine zusammenfassende Papierbescheinigung über die gestellten Rechnungen aus. Dies ist sofort praktikabel und wird vom Finanzamt anerkannt.
3. Der Lieferant und der Besteller vereinbaren auf Papier die Anerkennung der zwischen ihnen verwendeten fortgeschrittenen digitalen Signaturen in eigener Verantwortung und versuchen, ihr Finanzamt zur Kooperation zu überreden. Vielleicht lohnt an dieser Stelle eine grundsätzliche Auseinandersetzung, die ein Verein wie der FFII führen könnte.

Interessanten Aufschluss über die derzeitige Situation beim Signaturgesetz gibt der unten besprochene Artikel “Akkreditierung ohne Zukunft?”.

4 Signatur-Mittlerdienste

Einige Webportale stellen dem Benutzer ihre eigenen Signaturen zur Verfügung und verlangen im Gegenzug eine Vollmacht.

So etwa

• http://www.signaturportal.de
• http://www.dig-rechnung.at

5 Zertifizierungsdienste

• http://www.medizon.de/
• http://www.telesec.de/
• http://www.trustcenter.de/
• http://www.d-trust.de/
• http://www.datev.de/
• http://www.authentidate.de/
• http://www.signamus.de/
• http://www.signaturportal.de/

6 PGP auf Chipkarte ?

Vielfach wird im Schrifttum der Eindruck erweckt, das PGP-Verfahren stelle eine Lösung dar, die nicht den Anforderungen an die “voll qualifizierte Signatur” gemäß SigG genüge. Dass ein lesegeschütztes Medium wie die Chipkarte die Sicherheit erhöht, ist eicht einzusehen. Nicht so leicht zu verstehen ist allerdings, warum OpenPGP-Chipkarten die Anforderungen nicht erfüllen sollen. Auf der CeBIT 2006 befragte ich einige Experten hierzu. Demnach liegt es daran, dass bei einem offenen Standard wie OpenPGP ein wirtschaftlich interessierter Akteur fehlt, der die teuren Zertifizierungsauflagen des SigG bezahlen könnte. Auch das BSI habe hierfür nicht die Mittel, hieß es.

7 Analysen

• Managment und Wissen: Akkreditierung ohne Zukunft? – SignTrust der Deutschen Post u.a. schliessen da Entwicklung zu langsam, MPG-Sprecher setzt auf PGP statt SigG. Institut fuer Telematik in Trier kritisiert Laissez-Faire-Ansatz der Regierung. Der Artikel nennt zahlreiche Akteure der Branche und vergleicht ausführlich 5 Anbieter: Telesec, Medizon, TC Trustcenter, D-Trust
• Institut für Telematik Trier: Publikationen

8 SSL-Zertifizierung von Webservern: eine Welt für sich?

Jeder Webserver, der etwas auf sich hält, lässt sich kostenpflichtig (ca 300 eur im Jahr) zertifizieren, damit die Benutzer beim Besuchen einer Seite wie [https://a2e.de/] bescheinigt bekommen, dass dieser Webserver tatsächlich der Firma gehört, die vorgibt, hinter ihm zu stehen.

Hiermit ist bereits ein relativ breites Zertifizierungsnetz entstanden, aber für die gesetzliche digitale Signatur lässt es sich wohl nicht nutzen.

Allgemeine Informationen über SSL finden sich unter

• SSL-FAQ – Anweisungen zur Einrichtung eines SSL-fähigen Webservers (Apache), wie sie auch bei [https://a2e.de] zur Anwendung kamen.
• SSL-Zertifizierung durch IKS Jena – die Firma beklagt, dass die Arbeitsteilung in diesem Bereich erst sehr rudimentär entwickelt ist. Insbesondere nimmt der Berufsstand der Notare seine Funktionen offenbar überhaupt nicht wahr.
• How to import the CAcert root certificate into client software