Servus,
ich habe mal eine Frage zum Abflauf vom senden/empfangen von siginierten Emails. Also Emails mit Zertifikat, die zum Beispiel für Rechnungen, Veträge, etc. verwendet werden können.
Der grobe Ablauf ist mir eigentlich klar. Der Sender erstellt aus der Nachricht einen Prüfcode und verschlüsselt diesen zusammen mit seiner Signatur über seinen persönlichen Schlüssel und hängt diese Daten an die Email an.
Der Empfänger kann mit Hilfe des öffentlichen Schlüssels des Senders überprüfen, ob die Email verändert worden ist, bzw. ob sie vom richtigen Sender kommt.
Mein Verständnisproblem nun:
Der Empfänger muss ja den öffentlichen Schlüssel des Senders kennen. Entweder er bekommt ihn vom Sender direkt, läd ihn von einem Key-Server herunter oder der öff. Schlüssel wird direkt mit der Email mitversandt.
Ist das jetzt für den Empfänger so problemlos möglich, anhand des öff. Schlüssels die Email zu überprüfen? Oder muss er diesen zuerst mehr oder weniger umständlich importieren (in Outlook, oder auch anderen Programmen)?
Der Hintergund ist folgender: Wenn ich eine signierte Rechnung an meinen Kunden per Email senden will, dann will ich meinem Kunden (der wahrscheinlich gerade mal seinen Rechner anmachen kann und Outlook starten kann) nicht zuerst in 10 Schritten erklären, wie er an meinen öffentlichen Schüssel kommt. Oder geht das völlig automatisch?
Ich hoffe mir kann da jemand etwas Licht in die Sache mit den öffentlichen Schlüsseln bringen…
signierter gruss
Markus
Der grobe Ablauf ist mir eigentlich klar. Der Sender erstellt
aus der Nachricht einen Prüfcode und verschlüsselt diesen
zusammen mit seiner Signatur über seinen persönlichen
Schlüssel und hängt diese Daten an die Email an.
Der Empfänger kann mit Hilfe des öffentlichen Schlüssels des
Senders überprüfen, ob die Email verändert worden ist, bzw. ob
sie vom richtigen Sender kommt.
Mein Verständnisproblem nun:
Der Empfänger muss ja den öffentlichen Schlüssel des Senders
kennen. Entweder er bekommt ihn vom Sender direkt, läd ihn von
einem Key-Server herunter oder der öff. Schlüssel wird direkt
mit der Email mitversandt.
Redest Du von PGP?
Ist das jetzt für den Empfänger so problemlos möglich, anhand
des öff. Schlüssels die Email zu überprüfen? Oder muss er
diesen zuerst mehr oder weniger umständlich importieren (in
Outlook, oder auch anderen Programmen)?
Ich kenne Outlook nicht wirklich, angeblich gibt es aber brauchbare Plugins für GnuPG (ebenso für Eudora).
Ich nutze Gnus mit mailcrypt, das ist nett. „Kmail“ schint mir auch wirklich schmerzlos das zu tunn, was man will…
Der Hintergund ist folgender: Wenn ich eine signierte Rechnung
an meinen Kunden per Email senden will, dann will ich meinem
Kunden (der wahrscheinlich gerade mal seinen Rechner anmachen
kann und Outlook starten kann) nicht zuerst in 10 Schritten
erklären, wie er an meinen öffentlichen Schüssel kommt. Oder
geht das völlig automatisch?
Nein. Automatismen sind dort, wo es auf Sicherheit ankommt, ohnehin nicht immer günstig…
Ich hoffe mir kann da jemand etwas Licht in die Sache mit den
öffentlichen Schlüsseln bringen…
Hmm… GnuPG importiert auf Schlüssel vom Keyserver: Wie das bei Plugins gelöst ist, weiß ich nicht.
Wie dem auch immer sei: Sicherheit braucht etwas Einarbeitung.
Gruß,
Sebastian
Der Empfänger kann mit Hilfe des öffentlichen Schlüssels des
Senders überprüfen, ob die Email verändert worden ist, bzw. ob
sie vom richtigen Sender kommt.
Ist das jetzt für den Empfänger so problemlos möglich, anhand
des öff. Schlüssels die Email zu überprüfen? Oder muss er
diesen zuerst mehr oder weniger umständlich importieren (in
Outlook, oder auch anderen Programmen)?
Nein, der SChlüssel wird automatisch vom Key-Server geholt.
Der Hintergund ist folgender: Wenn ich eine signierte Rechnung
an meinen Kunden per Email senden will, dann will ich meinem
Kunden (der wahrscheinlich gerade mal seinen Rechner anmachen
kann und Outlook starten kann) nicht zuerst in 10 Schritten
erklären, wie er an meinen öffentlichen Schüssel kommt. Oder
geht das völlig automatisch?
Siehe oben.
Ich habe auch für eine email Adresse eine Signatur und bisher damit bei den Kunden keine Problem gehabt.
Selbst DAUs haben keine Problem die mails zu öffnen.
Hallo Sebastian
Ich muss mich tatsächlich entschuldigen für mein etwas voreiliges schreiben über die Digitale Signatur Card von OpenLimit.
Ihre Ausführungen sind mir nun klar. Es ist auch sehr nett von Ihnen geschieben,im Gegensatz zu anderen in diesem Forum die einen Neuling gleich richtig niedermachen wollen.
Ich werde mich hier nicht mehr melden, und mich weiter um den Vertrieb der OpenLimit Card kümmern, denn nach allem was ich weiss ist das eine sehr gute Sache für die normalen Internet User. Es gibt ja nicht nur IT Spezialisten auf diesem Planeten und die sind froh, wenn Sie endliche sicher im Internet bewegen können.
Freundliche Grüße an Sie und alle Forumnutzer
Walter
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Ich muss mich tatsächlich entschuldigen für mein etwas
voreiliges schreiben über die Digitale Signatur Card von
OpenLimit.
Du bist im falschen Thread.
Ihre Ausführungen sind mir nun klar. Es ist auch sehr nett von
Ihnen geschieben,im Gegensatz zu anderen in diesem Forum die
einen Neuling gleich richtig niedermachen wollen.
Oh, eigentlich ist das doch meine Aufgabe.
Ich werde mich hier nicht mehr melden, und mich weiter um den
Vertrieb der OpenLimit Card kümmern, denn nach allem was ich
weiss ist das eine sehr gute Sache für die normalen Internet
User.
So wie ZoneAlarm? Ist ohne Clue bedienbar, redet einem ein, es sei sicher und wiegt einen in falschem Sicherheitsgefühl?
Es gibt ja nicht nur IT Spezialisten auf diesem Planeten
und die sind froh, wenn Sie endliche sicher im Internet
bewegen können.
Durch unverstandenes Einsezuen bestenfalls ‚merkwürdiger‘ Software? Schlechte Idee.
Wie war noch die technische Funktion von OpenLimit?
Gespannt,
Sebastian
digitale Unterschrift = handschriftliche U.
Servus,
ich habe mir jetzt GnuPG mahl näher angeschaut. Nur eines ist mir noch offen. Irgendwo auf den Seiten steht, dass die über GnuPG erzeugten Schlüssel nicht mit der offiziellen digitalen Signatur gleichzusetzen sind. Das heisst also, dass eine Signatur mit einem solchen Schlüssel vor dem Gesetz nicht mit der handschriftlichen Unterschrift gleichgestellt ist?
Denke mir mal, dass man den erstellen Schlüssel einfach bei einer entsprechenden Stelle zertifizieren lassen muss, um diesen Status für seine Signatur zu bekommen?
Wenn man das nicht macht, und die Signatur über diese Schlüssel einfach so verwendet: Hat eine solche Signatur (bzw. die signierten Emails) in zum Beispiel einem Rechtsstreit eine Beweiskraft?
gruss
Markus
Wenn man das nicht macht, und die Signatur über diese
Hat eine solche Signatur (bzw.
die signierten Emails) in zum Beispiel einem Rechtsstreit eine
Beweiskraft?
Ich denke mal, daß das von den Umständen abhängig ist:
Wenn jemand öfter mit dem gleichen Schlüssel signiert und in einem Fall plötzlich die Authentizität seiner Unterschrift leugnet, wird das Gericht uU über Sachverständige zu dem Schluß kommen, daß das eine Schutzbehauptung ist. Handelt es sich hingegen um eine erst- und einmalige Verwendung eines nicht zertifizierten Schlüssels, so wird die Beweiskraft eher niedirg sein - vor allem wenn auch andere Indizien für eine Fälschung sprechen.
LG
Stuffi
Es gibt nur eine gesetzeskonforme Digitale Signatur und diese kann bis heute nur über die T-TeleSec ausgestellt werden. Diese ist Rechtsgültig. Die T-TeleSec tochter der deutschen Telecom ist bis jetzt die einzige in Deutschland autorisierte Firma welche qualifizierte elektronische Signaturen ausstellen darf. Das heisst eine Zertifizierte Signatur mit einem öffentliche und persönlichen Schlüssel. Im übrigen arbeitet SignCubes mit der Verschlüsselungssoftware mit Partnern wie ELO, BKK, HSH, Adobe und vielen anderen nahmhaften Firmen zusammen. Diese beziehen die Software von SignCube. Über Signcubes.de können Sie alles nachlesen.
W.G.
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hallo,
ich habe mir jetzt GnuPG mahl näher angeschaut. Nur eines ist
mir noch offen. Irgendwo auf den Seiten steht, dass die über
GnuPG erzeugten Schlüssel nicht mit der offiziellen digitalen
Signatur gleichzusetzen sind. Das heisst also, dass eine
Signatur mit einem solchen Schlüssel vor dem Gesetz nicht mit
der handschriftlichen Unterschrift gleichgestellt ist?
Ich weiss nicht, ob es schon Smartcard-Unterstützung in GnuPG gibt?!
Ohne ist eine qualifizierte Signatur nicht möglich (Der Schlüssel darf nicht zugänglich sein, und darf nicht entfernt werden können). Nach Gesetz ist nur eine qualifizierte Signatur einer handschriftlichen gleichgestellt. Diese stellt nämlich ziemlich hohe Anforderungen an die Verifizierbarkeit der Signatur. Es ist zu jeder Zeit (mindestens 30Jahre) feststellbar, ob Deine Signatur zu einem bestimmten Zeitpunkt gültig war. Desweiteren werden Zeitstempel angeboten. Dadurch wird es möglich den Zustand eines Dokumentes zu einem bestimmten Zeitpunkt sicherzustellen.
Denke mir mal, dass man den erstellen Schlüssel einfach bei
einer entsprechenden Stelle zertifizieren lassen muss, um
diesen Status für seine Signatur zu bekommen?
Nein das ist so nicht möglich. Alle qualifizierten Unterschriften funktionieren meines Wissens nach nur über Smartcard. Dabei bekommst Du den tatsächlichen Schlüssel nicht zu Gesicht. Der ist und bleibt auf der SC.
Desweiteren befinden sich 2 Schlüssel auf der SC. Einer für die qualifizierte Signatur, und einer für Verschlüsselung/fortgeschrittene Signatur (die aber der qualifizierten nicht gleichgestellt ist).
Wenn man das nicht macht, und die Signatur über diese
Schlüssel einfach so verwendet: Hat eine solche Signatur (bzw.
die signierten Emails) in zum Beispiel einem Rechtsstreit eine
Beweiskraft?
ka, ob sie irgendeinen Wert hat. Sie hat sicher nicht den Wert einer Unterschrift.
Soweit mit bekannt bekommt man Signaturkarten zur Zeit:
IHK, Deutsche Bank (nur Kunden, und ich glaube noch nicht regulär), ein paar Sparkassen, DATEV (für Steuerberater etc. bzw für Kunden von Steuerberatern), manche Kammern?, Telesec …
ciao
ralf
Es gibt nur eine gesetzeskonforme Digitale Signatur und diese
kann bis heute nur über die T-TeleSec ausgestellt werden.
Diese ist Rechtsgültig. Die T-TeleSec tochter der deutschen
Telecom ist bis jetzt die einzige in Deutschland autorisierte
Firma welche qualifizierte elektronische Signaturen ausstellen
darf.
Mir ist zwar nicht bekannt wer denn nun alles mit der Telekom kooperiert bzw. zu ihnen gehört. Aber es bieten zumindest noch folgende Unternehmen qualifizierte Signaturen an:
Sparkasse, Deutsche Bank, DATEV, D-TRUST (über IHK etwa erhältlich)… man kann davon ausgehen, dass die ahl wachsen wird.
ciao
ralf
Dokument, das Deine Frage beantwortet
Hallo,
bin noch über ein Dokument gestolpert, das das ganze von der rechtlichen Seite betrachtet.
http://www.uni-kassel.de/fb10/oeff_recht/publikation…
Da Du noch speziell Rechnungen angesprochen hast:
http://www.ey.com/global/download.nsf/Germany/Die_el…
alles ohne Gewähr natürlich. Zumindest geben die Dokumente wohl einen guten Eindruck davon was alles zu beachten ist, und was noch nicht geklärt ist.
Da wundert es kaum noch, dass es kaum genutzt wird.
ciao
ralf
Also die vielen Antworten hier in Ehren, aber das ist glaube ich nicht das, was hier gebraucht wird. Wenn ein Benutzer gar kein GnuPG oder PGP installiert hat, dann tut er sich schwer mit dem Überprüfen der Signatur.
Die beste Lösung hier ist meiner Meinung nach ein SMIME-Zertifikat.
Das kann man sich wie das SSL-Zertifikat eines Webservers vorstellen. Im Prinzip basiert es auch auf dem Verfahren der asymetrischen Verschlüsselung.
Da die meisten eMail-Clients Standard-Browser-Komponenten zum Anzeigen von eMails benutzen, kennen sie auch die Root-CA-Zertifikate von VeriSign und anderen CAs. Dort holt man sich ein eMail-Zertifikat (SMIME) und installiert das in seinem eMail-Client. Wenn man dann eMails schreibt, kann man dieser mit dem Zertifikat digital signieren lassen. Das empfangene eMail-Programm erkennt dann dieses Zertifikat und überprüft, ob es von einer ihm bekannten Root-CA ausgestellt worden ist. Wenn ja, dann ok.
Also Programm wie Mozilla, Outlook, Outlook Express können damit prima umgehen.
Wenn man das ganze in einer Firma nutzen möchte, kann man noch einen Schritt weiter gehen uns sich seine Dokumente selbst mit einem digitalen Zeitstempel versehen lassen. Damit sind diese Dokumente dann ebenfalls rechtssicher. Ich glaube DaimlerChrysler setzt so ein Verfahren schon ein. Meines Wissens gibt es in Deutschland im Moment nur eine Firma die diese anerkannten Digitalen Zeitstempel für Dokumente ausgibt. Wens interessiert, der kann mich fragen…
viele Grüße
Falko
Hallo,
Also die vielen Antworten hier in Ehren, aber das ist glaube
ich nicht das, was hier gebraucht wird. Wenn ein Benutzer gar
kein GnuPG oder PGP installiert hat, dann tut er sich schwer
mit dem Überprüfen der Signatur.
Du kannst ja glauben was Du willst. Schau Dir die zwei Dokumente an, die ich unten verlinkt habe. Alternativ auch jede Nuzueraufklärung eines Deutschen Trust-Centers, das zertifiziert ist.
Selbst erstellte und beglaubigte Zertifikate/Schlüssel sind nicht viel wert. Von Rechtssicherheit zu sprechen finde ich schon ziemlich gewagt.
Daimler arbeitet bestimmt mit einem Trust-Center zusammen. oder hat sich evtl. selbst eines eingerichtet, welches die entsprechenden Anforderungen erfüllt.
Das von Dir vorgeschlagene Verfahren taugt zum Verschlüsseln, aber nicht als digitale Unterschrift.
ciao
ralf
Genau das was ich schon immmer vermutet habe!
Danke für die Links!
Werde jetzt nochmals in meiner Ansicht bestätigt:
Die elektronische Signatur ist eine tolle Sache - schöne neue Welt. Nur die Vorteile zum sinnvollen praktischen Einsatz konnte ich noch nicht erkennen.
Was nützt mir eine über GnuPG signierte Email, wenn sie rechtlich nur eine äußerst geringe Bedeutung hat? Wie soll ich einem Kunden näherbringen, dass die digitale Signatur für ihn einen Nutzen hat - wenn ich ihm zuerst „tagelang“ die praktische Umsetzung und vorallem die dafür nöigen Schritte erklären muss? Wie sollen ein Kunde, der endlich davon überzeugt ist und die elektr. Signatur auch einsetzt, wiederum seinen Kunden die erforderlichen Schritte erklären?
Ich möchte von mir behaupten, dass ich mich einigermaßen mit den neuen Technologien auskenne. Und selbst für mich ist dieses ganze Thema ziemlich umfangreich und nicht gerade leicht zu überschauen. Wie soll da ein „einfacher“ Computerbenutzer durchsteigen?
Mein Fazit: Im persönlichen Bereich eine gute Sache, im Geschäftsleben einfach noch nicht praktibel anwendbar. Meinetwegen haben eventuell große Firmen wie Daimler diesen Schritt schon getan - mit der entsprechenden IT-Abteilungen im Rücken. Eine mittelständische Firma XYZ wird denke ich auch in nächster Zeit die handschriftliche Unterschrift verwenden…
handschriftlicher gruß
Markus
Servus,
was für eine Signatur hast du? Woher? Von einer Zertifizierungsstelle? Ist deine elektr. Signatur deiner handschriftlichen Unterschrift gleichgestellt?
gruss
Markus
Ich habe auch für eine email Adresse eine Signatur und bisher
damit bei den Kunden keine Problem gehabt.
Selbst DAUs haben keine Problem die mails zu öffnen.
Servus,
wenn ich mir jetzt so die Antworten/Links alle durchgelesen habe, scheint mir als habe GnuPG für eine gesetzlich anerkannte Signatur keine Bedeutung. Und das ist eigentlich was interessant ist. Alles andere als eine qualifizierte elektronsiche Signatur ist für mich mehr oder weniger bedeutungslos. Was bringt mir eine Signatur, die im Streitfall vor dem Gesetz so gut wie nichts wert ist?
gruss
Markus
Ich kenne Outlook nicht wirklich, angeblich gibt es aber
brauchbare Plugins für GnuPG (ebenso für Eudora).
Ich nutze Gnus mit mailcrypt, das ist nett. „Kmail“ schint mir
auch wirklich schmerzlos das zu tunn, was man will…
Servus,
was für eine Signatur hast du? Woher? Von einer
Zertifizierungsstelle? Ist deine elektr. Signatur deiner
handschriftlichen Unterschrift gleichgestellt?
Ich habe die Signatur von Trustcenter.de
http://www.trustcenter.de/products/express/de/antrag…
Zur Verschlüsselung von emails. Die dient nur zum Nachweiss, dass ich der Sender bin. Ist auch kostenlos.
Wenn das Vertrauen höher sein soll, (Rechtssicherheit) gibt es weitere Produkte.
http://www.trustcenter.de/homeframes/homeframes_de/u…
Diese kosten ca. 60 EUR pro Zertifikat.
Hallo,
Wenn das Vertrauen höher sein soll, (Rechtssicherheit) gibt es
weitere Produkte.
http://www.trustcenter.de/homeframes/homeframes_de/u…
Diese kosten ca. 60 EUR pro Zertifikat.
vielleicht bin ich blind, aber ich konnte nichts von einer qualifizierten Signatur finden. Und NUR diese bietet wirklich Rechtssicherheit.
Bei diesen Angeboten ist es noch nicht einmal sicher, ob sie überhaupt die Anforderungen an fortgeschrittene Signaturen erfüllen. Der Wert bei einem Rechtsstreit also wohl mehr als zweifelhaft.
Der das Dokument signiert muss noch nicht einmal beweisen, oder wirklich glaubhaft machen, dass er das Dokument wirklich nicht selber signiert hat. Der Signaturempfänger muss das Nachweisen => wertlos.
ciao
ralf