Forum: help-de

Monitor Forum | Start New Thread Start New Thread
RE: qes qualifizierte elektronische Signatur beA und hier die Anlage Signatur [ Reply ]
By: Alan T. on 2023-07-18 14:18
[forum:8942]
Da bin ich ja gespannt...

ach, der Personalausweis könnte das, die Hardware ist nicht das Problem. Es gibt nur leider keinen Dienstleister (mehr), der diese Nachladesignaturen verkauft. Aber es gibt ja zum Trost noch Krankenversicherungs-Chipkarten, die auch fast jeder hat, und SIM-Karten im Handy, Volksverschlüsselung und DeMail, da ist für jeden was dabei - nur nichts Funktionierendes.

Angeblich kommt ja von der EU demnächst eine "europäische digitale Identität".

RE: qes qualifizierte elektronische Signatur beA und hier die Anlage Signatur [ Reply ]
By: Andre Heinecke on 2023-07-17 19:36
[forum:8939]
Klar, ob telesec oder D-Trust (Bundesdruckerei). Nenn mir lieber eine die nicht anerkannt wird, dann schauen wir uns die an.

Personalausweis ist leider ein ganz eigenes Thema. Da habe ich pläne für aber die sind noch im bereich der "Vision". Da muss man leider unserer Regierung danken das die nicht einfach einen Handelsüblichen Krypto chip auf die Ausweise gemacht hat sondern was tolles eigenes brauchte. Wär ja auch zu schön wenn jeder mit seinem Ausweis mails entschlüsseln und signieren kann 🙄

RE: qes qualifizierte elektronische Signatur beA und hier die Anlage Signatur [ Reply ]
By: Alan T. on 2023-07-14 16:58
[forum:8930]
Hallo Bernhard,

das ist keine Abwertung, nur Frust über die tatsächliche Wertlosigkeit vieler Linux-Lösungen für die tägliche Arbeit.

Funktionierende PDF-Software auf einem Client ist keine "zentrale Infrastruktur", und unter Linux mangelt es hier an allen Ecken. Betrachten geht vielleicht noch, aber Ordnen, Drehen, Aussortieren, Stempeln oder eben Signieren: da wird es leider düster.

Ich weiß auch nicht, was "demokratische Kontrolle" bringen soll, wenn etwas nicht funktioniert. Und ich habe wirklich über Jahre mehrfach versucht, mit meinem Client auf Linux zu wechseln und habe jedesmal frustriert aufgegeben, weil viele wichtige Anwendungen einfach nicht vorhanden sind.

Übrigens: "Okular" ... als PDF reader mit voller GnuPG anbindung zur überprüfung und erstellung von signierten PDFs? Wird denn eine der handelsüblichen qualifizierten Signaturkarten auch von GPG erkannt werden? Das wäre nämlich die Grundvoraussetzung für qualifiziertes Signieren.


RE: qes qualifizierte elektronische Signatur beA und hier die Anlage Signatur [ Reply ]
By: Bernhard Reiter on 2023-07-13 14:12
[forum:8929]
Hallo Alan,

grob habe ich eine Idee davon, was Du mit "Linux-Blase" meinst.
Unschön finde ich die Abwertung die ich da herauslese.

Ich denke es ist wichtig, das wir bei zentraler Infrastruktur die Möglichkeiten der demokratischen Kontrolle haben, welche Freie Software bietet und die Möglichkeit,
notwendige Software auf Hardware der eigenen Wahl zu betreiben.

Es ist gut, wenn es den SecSigner plattformunabhängig gibt, von https://seccommerce.com/download-secsigner-secsign-id/ Danke für den Hinweis! Besser als die Situation beim Acrobat Reader (als ich das letzte Mal geschaut habe), den bekomme ich wohl auf einem ARM Rechner wie einem Rasperry Pi 4 nicht ans laufen.
Die Code-Kontrolle durch Dritte scheint der Secsigner noch nicht zu ermöglichen.

Viele Grüße
Bernhard

RE: qes qualifizierte elektronische Signatur beA und hier die Anlage Signatur [ Reply ]
By: Andre Heinecke on 2023-07-13 09:59
[forum:8928]
Ja, eigentlich sind detached signaturen ja auch das coolere (So wie es GnuPG ja standardmässig macht) weil man dann verifizieren kann _bevor_ man ein möglicherweise schädliches Dokument öffnet.

Was wir mit Okular machen sind aber tatsächlich dann die sog. PDFSIG signaturen also die eingebauten zu erstellen und zu verifizieren, das ist halt eher das gebräuchliche und nach EIDAS auch das rechtsverbindliche.

RE: qes qualifizierte elektronische Signatur beA und hier die Anlage Signatur [ Reply ]
By: Alan T. on 2023-07-13 09:28
[forum:8927]
"Der Acrobat Reader ist eine proprietäre Software und nicht auf allen Plattformen verfügbar. Im Sinne einer allgemeinen Verfügbarkeit ist das großer Nachteil.
Das gleiche gilt für Secsigner, soweit ich weiß."

Allgemeine Verfügbarkeit bedeutet für die nichttechnische Allgemeinheit: Windows. Die "allgemeine Verfügbarkeit", die man in der Linux-Blase gerne meint, ist nichts anderes als faktische Nicht-Verfügbarkeit bzw. Nicht-Nutzbarkeit ohne Klimmzüge.

Der Secsigner ist übrigens für Windows, Apple, Linux und pures Java verfügbar.

Nicht nur Acrobat Reader, sondern auch andere PDF-Anwendungen wie PDF XChange zeigen qualifizierte Signaturen standardmäßig an - nur eben leider keine abgetrennten Signaturen.

Was die EU-Seite angeht: dort gibt es die Option "Send original file(s) as..." (Hash). Damit sollte eigentlich ein Übertragen der Originaldatei vermieden werden. Technisch wird jedenfalls nur der Hashwert der PDF-Datei benötigt, den auch der Browser lokal generieren und übertragen kann.







RE: qes qualifizierte elektronische Signatur beA und hier die Anlage Signatur [ Reply ]
By: Bernhard Reiter on 2023-07-11 12:17
[forum:8926]
Hi Andre,
das ist sehr cool, mit Okular!

In der Fragestellung dieser Disskussion würde es nicht helfen, weil Christoph K. (der Anfragende) eine abgetrennte Signaturdatei hat, in einer juristischen Anwendung.

Seine Herausforderung wäre, die richtigen Wurzelzertifikate zu konfigurieren, wie Florian (Sch.) schon richtig geantwortet hatte (vielen Dank dafür, Florian)!

Viele Grüße
Bernhard

RE: qes qualifizierte elektronische Signatur beA und hier die Anlage Signatur [ Reply ]
By: Andre Heinecke on 2023-07-11 10:13
[forum:8925]
Hallo,

habt noch ein paar Tage geduld bitte. Ich schreibe gerade schon an den news Seiten für Gpg4win-4.2.0. https://dev.gnupg.org/source/gpg4win/browse/master/NEWS

Heute wird es wahrscheinlich noch nichts aber ich möchte es unbedingt noch diese Woche rausbekommen. Darin wird als neue Komponente "Okular" enthalten sein, als PDF reader mit voller GnuPG anbindung zur überprüfung und erstellung von signierten PDFs. Also wenn ich den Thread richtig verstehe genau das was ihr hier braucht. Damit sind dann mit den entsprechenden Zertifikaten auch Qualifizierte Elektronische Signaturen möglich.

Das wird im ersten release noch als Experimentell gekennzeichnet sein und noch nicht per default installiert werden. Aber ich würde mich von allen hier dann über Rückmeldungen freuen ob das so für euch funktioniert.

RE: qes qualifizierte elektronische Signatur beA und hier die Anlage Signatur [ Reply ]
By: Bernhard Reiter on 2023-07-11 09:06
[forum:8924]
Hallo Alan,

es muss eine Signatur in einer angehängten Datei sein, denn Christoph hatte sie angehängt. :)

Der Acrobat Reader ist eine proprietäre Software und nicht auf allen Plattformen verfügbar. Im Sinne einer allgemeinen Verfügbarkeit ist das großer Nachteil.
Das gleiche gilt für Secsigner, soweit ich weiß.

Der Nachteil der Prüfseite der EU steht auch gleich da:
" your files are going to be transmitted to the infrastructure of the European Commission" und deshalb nicht für schutzbedürftige Daten geeignet.

GnuPG beherrscht die üblichen Algorithmen, rund um CMS, insofern kann GnuPG solche Signaturen prüfen und damit kenn es auch Kleopatra. Es braucht allerdings eine Erstkonfiguration, wie Florian im Mai schon richtig geantwortet hat. Die ist zur Zeit noch schwer.

Viele Grüße
Bernhard



RE: qes qualifizierte elektronische Signatur beA und hier die Anlage Signatur [ Reply ]
By: Alan T. on 2023-07-10 16:14
[forum:8923]
Hallo Christoph,

handelt es sich um eine Inline-Signatur (innerhalb der PDF-Datei) oder eine detached-Signatur?

Bei der Inline-Signatur öffnet dein Rechnungsempfänger die PDF-Datei am einfachsten mit dem Acrobat Reader und bekommt, wenn es eine aktuelle Version ist, direkt bestätigt, daß es sich um eine QES handelt, weil auch dort die Herausgeber von QES schon hinterlegt sind.

Oder er besorgt sich Prüfsoftware wie Secsigner oder er nimmt die Prüfseite der EU:
https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/validation

Diese beiden Möglichkeiten sind auch für detached-Signaturen geeignet.

GPG ist für diese Signaturformate soviel ich weiß nicht geeignet, weil es die nötigen Algorithmen nicht beherrscht.



RE: qes qualifizierte elektronische Signatur beA [ Reply ]
By: Florian Schwalm on 2023-05-12 14:09
[forum:8899]
Die Zertifikate gäbe es übrigens hier:
https://zertifizierungsstelle.bnotk.de/veroeffentlichungen

RE: qes qualifizierte elektronische Signatur beA [ Reply ]
By: Florian Schwalm on 2023-05-12 13:39
[forum:8898]
Anhand der Screenshots würde ich folgendes behaupten:
Kleopatra kann bestätigen, dass die Datei mit dem Zertifikat signiert wurde, aber das Root Zertifikat der Bundesnotarkammer ist nicht als vertrauenswürdiges Zertifikat im System hinterlegt. Um die Prüfung komplett erfolgreich durchführen zu können, muss das Root Zertifikat der Bundesnotarkammer in den Zertifikatsspeicher importiert und ihm vertraut werden, dann kann es bei einer Überprüfung dieses Vertrauen an von der Bundesnotarkammer ausgestellte Zertifikate vererben. Da es speziell um die Frage ging wie das beim Empfänger aussieht - die müssten dementsprechend auch jeweils einmalig das Zertifikat der Bundesnotarkammer importieren und als vertrauenswürdig markieren. Die Prüfung sollte also durchaus möglich sein, erfordert aber eine Erstkonfiguration. Die sonst in der Justiz verwendete Software bringt das Root Zertifikat für ihre eigenen Prüfverfahren vermutlich selbst mit.

RE: qes qualifizierte elektronische Signatur beA und hier die Anlage Signatur [ Reply ]
By: christoph kallinich on 2023-05-12 13:10
[forum:8897]

TEST_20230313133737414.pdf.p7s (9) downloads
die eigentliche Rechnung lasse ich jetzt weg, in diesem Post noch die Anlage mit der Eigentlichen Signatur

Danke für eure Hilfe,
ich entschuldige mich für etwaige Fettnäpfchen, das ist mein erster Anlauf

RE: qes qualifizierte elektronische Signatur beA [ Reply ]
By: christoph kallinich on 2023-05-12 13:04
[forum:8896]

TEST_20230313133737414.pdf.verificationresult.html (11) downloads
oje, Noob-Alarm^^ die anderen Anhänge stelle ich ein, wenn ich herausbekommen habe, wie man mehr als 1 Anhang veröffentlicht, sorry.

qes qualifizierte elektronische Signatur beA [ Reply ]
By: christoph kallinich on 2023-05-12 13:02
[forum:8895]

Kleopatra.pdf (14) downloads
Hallo liebes Forum!

Ich komme mit folgendem Problem nicht weiter und brauche Hilfe:

Ich habe eine offzizelle qualifizierte Signatur (qeS) bei der Bundesnotarkammer gekauft. Innerhalb der Justiz gibt es damit auch überhaupt keine Probleme.

Wir bekommen für die Signatur nur den eigenen Schlüssel, einen weiteren öffentlichen Schlüssel oder so gibt es nicht. Für die Signatur wird das Zertifikat auf der Chipkarte im Chipkartenlesegerät aufgerufen und per PIN freigegeben.

Allerdings wollte ich jetzt eine Rechnung per Mail verschicken und habe mich gefragt, wie es der Nutzer sieht und habe meine Signatur mit Kleopatra prüfen lassen. Ergebnis: Durchgefallen. Die Bundesnotarkammer sagt dazu, dass Problem ist die Prüfsoftware. Die super sichere europäische Variante könne von USA und anderen Drittstaaten nur mit Mehraufwand geprüft werden.
Mir fehlt der technische Hintergrund das zu beurteilen, aber ich finde das unlogisch.

Ich habe folgende Anlagen:
Datei mit bzw. und Signatur
Prüfergebnis Justiz
Prüfergebnis Kleopatra
Prüfprotokoll Kleopatra