Digitale Signatur - wie verifizieren?

Hallo zusammen!

Aus einem anderen Thread: „Die elektronische Rechnung wird nur anerkannt, wenn sie mit einer qualifizierten elektronischen Signatur mit Anbieter-Akkreditierung nach § 15 Abs. 1 SigG versehen ist.“

Soweit die Theorie - in der Praxis funktioniert das irgendwie nicht richtig … mit digitalen Signaturen scheinen sich viele Anbieter schwer zu tun. Reklamiert man die fehlende Signatur, so bekommt man meistens kommentarlos eine Papierrechnung zugeschickt.

Nun habe ich von einer anderen Varainte gehört: Jemand bekam eine signierte Rechnung im PDF-Format. Bei dem Versuch diese zu verifizieren (In Acrobat Prof. 9.3), erhielt er allerdings nur die Meldung: „Gültigkeit der Unterschrift ist unbekannt“. Als er dies beim Lieferanten reklamierte, schrieb dieser: „Um die digitale Rechnung erfolgreich bei Ihrem Finanzamt einreichen zu können,
bieten wir Ihnen eine kostenlose Software zur Signaturprüfung an. Das Programm … können Sie auf der folgenden Seite herunterladen:“

Nun frage ich mich - also ganz allgemein, nicht jetzt auf den konkreten Fall bezogen:

Erfüllt ein Lieferant seine gesetzlichen Pflichten wenn der Kunde extra eine ganz bestimmte Software runterladen muss, um eine signierte Rechnung zu verifizieren?

Wo soll das enden? Am Ende benötigt man ein Dutzend Programme um die Rechnung der unterschiedlichen Lieferanten zu verifizieren? Oder habe ich das ganze mal wieder nicht richtig verstanden?

Vielen Dank für eure Meinung

Herzliche Grüße Conrad

Zur Überprüfung ob ein Digital signiertes Dokument unverfälscht ist zählt einzig und allein der öffentliche Schlüssel des Signierenden, der seinerseits wieder von einer anderen Stelle(CA) signiert sein muss um den genannten Paragraphen zu entsprechen, und das Dokument samt Signatur selbst.

Bei der Überprüfung der Signatur der Signatur hat der Adobe Reader im Beispiel die Signatur nicht erfolgreich zu einer qualifizierten CA zurück verfolgen und prüfen können und somit entspricht die Signatur nicht dem Gesetz. Ende.

Ein Zusatzprogramm benötigt man bei einer dem Gesetz entsprechenden Signatur nie.

Dieses Problem umgeht man in der Praxis indem man die Signatur der Signatur manuell mittels Telefonanruf überprüft. Wobei ich nicht weiß ob dies dem Gesetz entspricht.

Hi

Dieses Problem umgeht man in der Praxis indem man die Signatur
der Signatur manuell mittels Telefonanruf überprüft. Wobei ich
nicht weiß ob dies dem Gesetz entspricht.

Wie soll das stattfinden? Durch ein Telefonat? Das würde dann widerrum ganz bestimmt nicht dem Gesetz entsprechen

Dieses Problem umgeht man in der Praxis indem man die Signatur
der Signatur manuell mittels Telefonanruf überprüft. Wobei ich
nicht weiß ob dies dem Gesetz entspricht.

Wie soll das stattfinden?

Mittels Telefon

Durch ein Telefonat?

Ja, genau das habe ich geschrieben

Das würde dann widerrum ganz bestimmt nicht dem Gesetz entsprechen

Genau das war meine Annahme.

Schön das Du einen Teil meiner Antwort noch mal umformuliert und wiederholt hast, aber nichts neues beigetragen hast. Wo genau lag jetzt der Mehrwert Deines Beitrages?

Schön das Du einen Teil meiner Antwort noch mal umformuliert
und wiederholt hast, aber nichts neues beigetragen hast. Wo
genau lag jetzt der Mehrwert Deines Beitrages?

Das hab ich mich bei deinem auch gefragt, weil

Dieses Problem umgeht man in der Praxis indem man die Signatur der :Signatur manuell mittels Telefonanruf überprüft. Wobei ich nicht weiß :ob dies dem Gesetz entspricht.

dieses Problem

a: damit überhaupt nicht umgangen wird und
b in der Praxis wohl auch kaum so gemacht wird

Gruß
Stefan

b in der Praxis wohl auch kaum so gemacht wird

Natürlich wird das in der Praxis so gemacht, das ist die einzige Möglichkeit ein selbst signiertes Zertifikat auf Echtheit zu prüfen.

das wird vielleicht in deiner privaten email praxis so gemacht … da gibt es auch projekte wo sich leute kostenlose private zertifikate erstlelen lassen können und sich von sogenannten „trustees“ bescheinigen lassen, dass sie inhaber dieses zertifikats sind etc

im geschäftsverkehr (sofern es um rechnungen geht) wird das ganz bestimmt nicht so gemacht

du hast doch selber gesagt dass bei solchen dingen die CA ins spiel kommt, welche das Zertifikat ausgegeben hat und letzendlich die echtheit des zertifikats bestätigt (und damit die Identität dessen, der dieses zertifikat benutzt).