sicherheit Mail schlüssel sender schüssel Empfänger Schlüssels

Signierte Emails

Von: , Frage gestellt am Di, 29. Jul 2003

Servus,
ich habe mal eine Frage zum Abflauf vom senden/empfangen von siginierten Emails. Also Emails mit Zertifikat, die zum Beispiel für Rechnungen, Veträge, etc. verwendet werden können.

Der grobe Ablauf ist mir eigentlich klar. Der Sender erstellt aus der Nachricht einen Prüfcode und verschlüsselt diesen zusammen mit seiner Signatur über seinen persönlichen Schlüssel und hängt diese Daten an die Email an.
Der Empfänger kann mit Hilfe des öffentlichen Schlüssels des Senders überprüfen, ob die Email verändert worden ist, bzw. ob sie vom richtigen Sender kommt.

Mein Verständnisproblem nun:
Der Empfänger muss ja den öffentlichen Schlüssel des Senders kennen. Entweder er bekommt ihn vom Sender direkt, läd ihn von einem Key-Server herunter oder der öff. Schlüssel wird direkt mit der Email mitversandt.
Ist das jetzt für den Empfänger so problemlos möglich, anhand des öff. Schlüssels die Email zu überprüfen? Oder muss er diesen zuerst mehr oder weniger umständlich importieren (in Outlook, oder auch anderen Programmen)?

Der Hintergund ist folgender: Wenn ich eine signierte Rechnung an meinen Kunden per Email senden will, dann will ich meinem Kunden (der wahrscheinlich gerade mal seinen Rechner anmachen kann und Outlook starten kann) nicht zuerst in 10 Schritten erklären, wie er an meinen öffentlichen Schüssel kommt. Oder geht das völlig automatisch?

Ich hoffe mir kann da jemand etwas Licht in die Sache mit den öffentlichen Schlüsseln bringen...

signierter gruss
Markus

17 Antworten zu dieser Frage

Antwort von nach 3 Stunden 0 hilfreich

Re: Signierte Emails

Der grobe Ablauf ist mir eigentlich klar. Der Sender erstellt
aus der Nachricht einen Prüfcode und verschlüsselt diesen
zusammen mit seiner Signatur über seinen persönlichen
Schlüssel und hängt diese Daten an die Email an.
Der Empfänger kann mit Hilfe des öffentlichen Schlüssels des
Senders überprüfen, ob die Email verändert worden ist, bzw. ob
sie vom richtigen Sender kommt.

Mein Verständnisproblem nun:
Der Empfänger muss ja den öffentlichen Schlüssel des Senders
kennen. Entweder er bekommt ihn vom Sender direkt, läd ihn von
einem Key-Server herunter oder der öff. Schlüssel wird direkt
mit der Email mitversandt.
Redest Du von PGP? Ist das jetzt für den Empfänger so problemlos möglich, anhand
des öff. Schlüssels die Email zu überprüfen? Oder muss er
diesen zuerst mehr oder weniger umständlich importieren (in
Outlook, oder auch anderen Programmen)?
Ich kenne Outlook nicht wirklich, angeblich gibt es aber brauchbare Plugins für GnuPG (ebenso für Eudora).

Ich nutze Gnus mit mailcrypt, das ist nett. "Kmail" schint mir auch wirklich schmerzlos das zu tunn, was man will... Der Hintergund ist folgender: Wenn ich eine signierte Rechnung
an meinen Kunden per Email senden will, dann will ich meinem
Kunden (der wahrscheinlich gerade mal seinen Rechner anmachen
kann und Outlook starten kann) nicht zuerst in 10 Schritten
erklären, wie er an meinen öffentlichen Schüssel kommt. Oder
geht das völlig automatisch?
Nein. Automatismen sind dort, wo es auf Sicherheit ankommt, ohnehin nicht immer günstig... Ich hoffe mir kann da jemand etwas Licht in die Sache mit den
öffentlichen Schlüsseln bringen...
Hmm.... GnuPG importiert auf Schlüssel vom Keyserver: Wie das bei Plugins gelöst ist, weiß ich nicht.

Wie dem auch immer sei: Sicherheit braucht etwas Einarbeitung.

Gruß,

Sebastian
- Antwort von nach 22 Stunden 0 hilfreich
  
  Re^2: Signierte Emails
  
  Hallo Sebastian
  
  Ich muss mich tatsächlich entschuldigen für mein etwas voreiliges schreiben über die Digitale Signatur Card von OpenLimit.
  Ihre Ausführungen sind mir nun klar. Es ist auch sehr nett von Ihnen geschieben,im Gegensatz zu anderen in diesem Forum die einen Neuling gleich richtig niedermachen wollen.
  Ich werde mich hier nicht mehr melden, und mich weiter um den Vertrieb der OpenLimit Card kümmern, denn nach allem was ich weiss ist das eine sehr gute Sache für die normalen Internet User. Es gibt ja nicht nur IT Spezialisten auf diesem Planeten und die sind froh, wenn Sie endliche sicher im Internet bewegen können.
  
  Freundliche Grüße an Sie und alle Forumnutzer
  
  Walter [Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
  - Antwort von nach einem Tag 0 hilfreich
    
    Re^3: Signierte Emails
    
    Ich muss mich tatsächlich entschuldigen für mein etwas
    voreiliges schreiben über die Digitale Signatur Card von
    OpenLimit.
    Du bist im falschen Thread. Ihre Ausführungen sind mir nun klar. Es ist auch sehr nett von
    Ihnen geschieben,im Gegensatz zu anderen in diesem Forum die
    einen Neuling gleich richtig niedermachen wollen.
    Oh, eigentlich ist das doch meine Aufgabe. Ich werde mich hier nicht mehr melden, und mich weiter um den
    Vertrieb der OpenLimit Card kümmern, denn nach allem was ich
    weiss ist das eine sehr gute Sache für die normalen Internet
    User.
    So wie ZoneAlarm? Ist ohne Clue bedienbar, redet einem ein, es sei sicher und wiegt einen in falschem Sicherheitsgefühl? Es gibt ja nicht nur IT Spezialisten auf diesem Planeten
    und die sind froh, wenn Sie endliche sicher im Internet
    bewegen können.
    Durch unverstandenes Einsezuen bestenfalls 'merkwürdiger' Software? Schlechte Idee.
    
    Wie war noch die technische Funktion von OpenLimit?
    
    Gespannt,
    
    Sebastian
- Antwort von nach einem Tag 0 hilfreich
  
  digitale Unterschrift = handschriftliche U.
  
  Servus,
  ich habe mir jetzt GnuPG mahl näher angeschaut. Nur eines ist mir noch offen. Irgendwo auf den Seiten steht, dass die über GnuPG erzeugten Schlüssel nicht mit der offiziellen digitalen Signatur gleichzusetzen sind. Das heisst also, dass eine Signatur mit einem solchen Schlüssel vor dem Gesetz nicht mit der handschriftlichen Unterschrift gleichgestellt ist?
  
  Denke mir mal, dass man den erstellen Schlüssel einfach bei einer entsprechenden Stelle zertifizieren lassen muss, um diesen Status für seine Signatur zu bekommen?
  Wenn man das nicht macht, und die Signatur über diese Schlüssel einfach so verwendet: Hat eine solche Signatur (bzw. die signierten Emails) in zum Beispiel einem Rechtsstreit eine Beweiskraft?
  
  gruss
  Markus
  - Antwort von nach einem Tag 0 hilfreich
    
    Re: digitale Unterschrift = handschriftliche U.
    
    Wenn man das nicht macht, und die Signatur über diese
    Hat eine solche Signatur (bzw.
    die signierten Emails) in zum Beispiel einem Rechtsstreit eine
    Beweiskraft?
    Ich denke mal, daß das von den Umständen abhängig ist:
    Wenn jemand öfter mit dem gleichen Schlüssel signiert und in einem Fall plötzlich die Authentizität seiner Unterschrift leugnet, wird das Gericht uU über Sachverständige zu dem Schluß kommen, daß das eine Schutzbehauptung ist. Handelt es sich hingegen um eine erst- und einmalige Verwendung eines nicht zertifizierten Schlüssels, so wird die Beweiskraft eher niedirg sein - vor allem wenn auch andere Indizien für eine Fälschung sprechen.
    
    LG
    Stuffi
    - Antwort von nach einem Tag 1 hilfreich
      
      Re^2: digitale Unterschrift = handschriftliche U.
      
      Es gibt nur eine gesetzeskonforme Digitale Signatur und diese kann bis heute nur über die T-TeleSec ausgestellt werden. Diese ist Rechtsgültig. Die T-TeleSec tochter der deutschen Telecom ist bis jetzt die einzige in Deutschland autorisierte Firma welche qualifizierte elektronische Signaturen ausstellen darf. Das heisst eine Zertifizierte Signatur mit einem öffentliche und persönlichen Schlüssel. Im übrigen arbeitet SignCubes mit der Verschlüsselungssoftware mit Partnern wie ELO, BKK, HSH, Adobe und vielen anderen nahmhaften Firmen zusammen. Diese beziehen die Software von SignCube. Über Signcubes.de können Sie alles nachlesen.
      
      W.G. [Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
      - Antwort von nach einem Tag 0 hilfreich
        
        Re^3: digitale Unterschrift = handschriftliche U.
        
        Es gibt nur eine gesetzeskonforme Digitale Signatur und diese
        kann bis heute nur über die T-TeleSec ausgestellt werden.
        Diese ist Rechtsgültig. Die T-TeleSec tochter der deutschen
        Telecom ist bis jetzt die einzige in Deutschland autorisierte
        Firma welche qualifizierte elektronische Signaturen ausstellen
        darf.
        Mir ist zwar nicht bekannt wer denn nun alles mit der Telekom kooperiert bzw. zu ihnen gehört. Aber es bieten zumindest noch folgende Unternehmen qualifizierte Signaturen an:
        Sparkasse, Deutsche Bank, DATEV, D-TRUST (über IHK etwa erhältlich)... man kann davon ausgehen, dass die ahl wachsen wird.
        
        ciao
        ralf
  - Antwort von nach einem Tag 1 hilfreich
    
    Re: digitale Unterschrift = handschriftliche U.
    
    Hallo, ich habe mir jetzt GnuPG mahl näher angeschaut. Nur eines ist
    mir noch offen. Irgendwo auf den Seiten steht, dass die über
    GnuPG erzeugten Schlüssel nicht mit der offiziellen digitalen
    Signatur gleichzusetzen sind. Das heisst also, dass eine
    Signatur mit einem solchen Schlüssel vor dem Gesetz nicht mit
    der handschriftlichen Unterschrift gleichgestellt ist?
    Ich weiss nicht, ob es schon Smartcard-Unterstützung in GnuPG gibt?!
    Ohne ist eine qualifizierte Signatur nicht möglich (Der Schlüssel darf nicht zugänglich sein, und darf nicht entfernt werden können). Nach Gesetz ist nur eine qualifizierte Signatur einer handschriftlichen gleichgestellt. Diese stellt nämlich ziemlich hohe Anforderungen an die Verifizierbarkeit der Signatur. Es ist zu jeder Zeit (mindestens 30Jahre) feststellbar, ob Deine Signatur zu einem bestimmten Zeitpunkt gültig war. Desweiteren werden Zeitstempel angeboten. Dadurch wird es möglich den Zustand eines Dokumentes zu einem bestimmten Zeitpunkt sicherzustellen. Denke mir mal, dass man den erstellen Schlüssel einfach bei
    einer entsprechenden Stelle zertifizieren lassen muss, um
    diesen Status für seine Signatur zu bekommen?
    Nein das ist so nicht möglich. Alle qualifizierten Unterschriften funktionieren meines Wissens nach nur über Smartcard. Dabei bekommst Du den tatsächlichen Schlüssel nicht zu Gesicht. Der ist und bleibt auf der SC.
    Desweiteren befinden sich 2 Schlüssel auf der SC. Einer für die qualifizierte Signatur, und einer für Verschlüsselung/fortgeschrittene Signatur (die aber der qualifizierten nicht gleichgestellt ist). Wenn man das nicht macht, und die Signatur über diese
    Schlüssel einfach so verwendet: Hat eine solche Signatur (bzw.
    die signierten Emails) in zum Beispiel einem Rechtsstreit eine
    Beweiskraft?
    ka, ob sie irgendeinen Wert hat. Sie hat sicher nicht den Wert einer Unterschrift.
    
    Soweit mit bekannt bekommt man Signaturkarten zur Zeit:
    IHK, Deutsche Bank (nur Kunden, und ich glaube noch nicht regulär), ein paar Sparkassen, DATEV (für Steuerberater etc. bzw für Kunden von Steuerberatern), manche Kammern?, Telesec ..
    
    ciao
    ralf
  - Antwort von nach 2 Tagen 0 hilfreich
    
    Dokument, das Deine Frage beantwortet
    
    Hallo,
    
    bin noch über ein Dokument gestolpert, das das ganze von der rechtlichen Seite betrachtet.
    http://www.uni-kassel.de/fb10/oeff_recht/publikation...
    
    Da Du noch speziell Rechnungen angesprochen hast:
    http://www.ey.com/global/download.nsf/Germany/Die_el...
    
    alles ohne Gewähr natürlich. Zumindest geben die Dokumente wohl einen guten Eindruck davon was alles zu beachten ist, und was noch nicht geklärt ist.
    
    Da wundert es kaum noch, dass es kaum genutzt wird.
    
    ciao
    ralf

« Zurück
1
2
Vorwärts »

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!