Diskussion:Elektronische Signatur/Archiv
Anpassungen 16.04.2007
Ich habe mir erlaubt, wie früher, meine neuesten Beiträge oben einzustellen.
Ich hatte mich einige Zeit nicht um den Content gekümmert, bin allerdings überrascht, dass meine Beiträge anscheinend einfach gelöscht wurden, Vandalismus oder Absicht ?
Zumindest darf ich darum bitten, meine Beiträge nicht erneut zu löschen. Immerhin sind wir derzeit auch mit BMWI, BMJ in Gesprächen, um die gesetzlichen Möglichkeiten für zertifikatsfreie und auf Unterschriften basierenden elektronischen Signaturen zu erörtern.
Ich habe mir zudem erlaubt, den Bereich Literautur zu gliedern. Klar, alle Anbieter möchten auch Werbung machen, aber direkte Werbung sollte es nun doch nicht sein. Ich habe daher die Zyzmo Beiträge erst mal als Pressemitteilungen "gebrandmarkt" :) .... gegen eine Löschung habe ich nichts einzuwenden, Verweise auf Fachbeiträge, auch kontroverse, würde ich dagegen begrüßen.
Einen toten Link habe ich entfernt.
Rolf Schmoldt
andere Interpretation
Kann es sein, dass im Satz
"Elektronische Signaturen" sind Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen.
des SigG keine eigene Art der "elektronischen Signatur" festgelegt werden soll (wie ich oft geschildert finde), sondern nur die Tatsache, dass eine "elektronische Signatur" (welcher Qualität auch immer, z. B. "fortgeschrittene elektronische Signatur" oder "qualifizierte elektronische Signatur") eine Ergänzung der (Nutz-) Daten zum Zwecke der Authentifizierung sind?
- Ja, ich denke dies ist zutreffend.
Dann wäre im SigG § 2, 1. die "elektronische Signatur" ein Gattungsbegriff. Die beiden im Gesetz angegebenen Formen "fortgeschrittene ..." und "quaiifizierte ..." sind dann nur zwei gesetzlich beschriebene (und einzig geregelten) Ausprägungen, und es gibt keine dritte, die "einfache ...". Kann jemand diese Lesart bestätigen? Für eine Einschätzung bin ich sehr dankbar.
- Es gibt jedenfalls keine näher definierte eine dritte Form. Die im SigG angegebenen Formen "fortgeschrittene ..." und "qualifizierte ..." sind jedoch nicht die einzig möglichen Ausprägungen. In der Praxis werden meist andere (zumindest nicht die qualifizierte) Formen der Signatur verwendet. Ich sehe aber keinen Grund diese als zwangsläufig minderwertig oder unqualifiziert zu betrachten. Benutzer:Fsswsb 24.05.06
--EKlappauf--84.176.239.151 21:42, 16. Apr 2006 (CEST)
Sinn und Zweck des SigG
Je länger ich mich dem Thema befasse, um so fragwürdiger erscheint mir das SigG. Eine "elektronische Signatur" wie sie das Gesetz durchaus einleuchten definiert, wird ohnehin im eCommerce millionenfach eingesetzt. Ein neues Gesetzes wäre dafür aber nicht notwendig gewesen, da nirgends ein Gesetz vorschreibt, dass im eCommere typische Verträge Schriftform erfordern. Daher scheint mir eine gesetzliche Regelung auch gar nicht erforderlich.
Über diese allgemeine Form der elektronischen bzw. die fortgeschrittene Signatur sagen SigG und Signaturverordnung auch neben der Definition des Begriffs nichts aus. Das SigG befasst sich sonst fast ausschließlich mit der '"qualifizierten"' elektronischen Signatur. Diese Form der Signatur erscheint völlig überreglementiert und daher praktisch kaum sinnvoll anwendbar. Die nach Signaturverordnung zugelassenen Verfahren für die qualifizierte elktronische Signatur erscheinen mir keineswegs besonders sicher oder sinnvoll.
Stichpunkte:
- Zuordnung PK zur Person
- Langfristige Sicherheit (Stichworte Faktorisierung, RSA-100, RSA-155 bis RSA-200)
- Zeitpunkt der Signaturerstellung und Gültigkeit der Zertifikate ??
- Erneuerung der Signatur ??
--Fsswsb 19:24, 7. Mär 2006 Unterschrift nachgetragen Rat 21:53, 7. Mär 2006 (CET)
Rat, mir ist nicht klar, inwiefern deine "Stichpunkte" Probleme des SigG ansprechen. Aber diese Diskussion gehört auch nicht hier her. Woanders können wir gerne darüber ausführlich diskutieren. --Mojo1442 02:41, 13. Aug 2006 (CEST)
Anpassungen
Ich habe mir erlaubt, den Abschnitt Anpassungen hier neu einzufügen. Neueste Anpassungen sollten (aus meiner Sicht) immer oben stehen. --RSchmoldt 18:38, 4. Aug 2005 (CEST)
04.08.2005 Einfügung folgender Abschnitte
5.4 Zertifikatsfreie System 7.3 Nachprüfbarkeit von Zertifikaten 7.4 Gültigkeit von Zertifikaten, Verschlüsselungsalgorithmen und erstellter Signaturen
Ich habe damit versucht, den Abschnitt 7.5 Nachsignierungen von Ballast zu befreien und die Dinge etwas zu strukturieren. --RSchmoldt 18:38, 4. Aug 2005 (CEST)
04.08.2005 Einfügungen von Text
1. Unter Rechtliche Rahmenbedingungen Deutschland Verweis auf formfreie Vereinbarungen und 1. SigÄndG eingefügt, klar gestellt, dass unter Schrift die gesetzlich vorgeschriebene Schriftform gemeint ist, Korrektur: die SSEE sichere Signaturerstellungseinheit ist der Chip der Signaturkarte und nicht das Lesegerät. Das Lesegerät zählt zu den Signaturanwendungskomponenten. 2. Unter Workflow den Hinweis präzisiert 3. Unter Signierte Dokumententypen den 3. Absatz präzisiert --RSchmoldt 18:38, 4. Aug 2005 (CEST)
Elektronische Signatur statt Digitale Signatur
Zwei Anmerkungen:
1) Name des Beitrages: muss es heißen Elektronische Signatur, denn dies ist der in den Gesetzen verankterte Begriff (siehe auch die Kommentare von Kff und Berndt, letzterer managed das Thema Signatur beim http://www.voi.de)
- Naja, digital ist aber wesentlich genauer. Schließlich könnte "elektronisch" auch analog bedeutend, was aber garnicht funktionieren kann. (Signaturen müssen digital/diskret sein). 89.56.180.29 12:53, 22. Mär 2006 (CET)
2) Nachsignieren: die Ablehnung des Nachsignierens wie im Beitrag beschrieben geht auf Dr. Kampffmeyer von Project Consult zurück. Man sollte darauf hinweisen, dass das vom Bund geförderte ArchiSig-Projekt (Fa. IXOS) sowie weitere Projekte wie TransiDoc und Archisafe zu einen anderen Ergebnissen kommen - auch wenn der Ansatz von Kampffmeyer einfacher, logischer und wesentlich kostengünstiger erscheint.213.39.228.34 15:29, 5. Mär 2005 (CET)
- Nachsignieren: Artikel von Dr. Kampffmeyer von 2006 Nachsignieren bei der elektronsichen Archivierung? 80.171.37.104 14:11, 11. Mär. 2007 (CET)
Werden hier nicht zwei Dinge durcheinander geworfen? Ich würde sagen,
die elektronische Unterschrift ist eine Methode, um digitale Informationen zu authentifizieren (vgl. http://www.wikipedia.org/wiki/Digital_signature ). Das bei der Post ist doch eher eine "normale" Unterschrift, die halt elektronisch gespeichert wird. Oder nicht?
Und das mit dem "Geheimnis" ... --Kurt Jansson 20:28, 15. Okt 2002 (CEST)
Stimmt es war eig "el. Signatur" gemeint, sorry.
Daß biometerische daten sehr wohl schützenswerte Geheimnisse sein können kann man unter http://www.zeit.de/2001/46/Wissen/print_200146_biometrie.html nachlesen. --nerd
Bisher habe ich die beiden Begriffe - elektronische Unterschrift, bzw. Signatur - immer synonym benutzt. --Kurt Jansson 21:00, 15. Okt 2002 (CEST)
Ich finde es gut, dass der Artikel mit "ein wenig Mathematik" die grundlegende Funktionsweise von Signaturen erklärt. Noch besser fände ich es, wenn er noch einen "how-to"-Abschnitt hätte und eine Einschätzung enthielte, wie die Verbreitung digitaler Signaturen sich entwickelt. Bisher habe ich nur sehr sporadisch bei Seiten von Behörden gesehen, dass sie anstatt eines herkömmlichen Verfahrens mit papierenen Antragsformularen die elektronische Kommunikation akzeptieren, wenn sie nach dem Signaturgesetz unterzeichnet ist. Für den Durchschnitts-user ist die Frage der Verbreitung interessant, um einschätzen zu können, ob die Investition in die notwendige Extra-Technik sich lohnt oder nicht. StephanK 11:49, 29. Feb 2004 (CET)
Ich bin dafür, dass man man den Absatz über PGP in "Web of Trust" umbenennt und entsprechend umformatiert. PGP hat das Web of Trust zwar als erstes eingeführt und bekannt gemacht. Inzwischen werden solche Sachen aber auch bei verschiedenen P2P Netzwerken benutzt.213.6.142.188 23:40, 3. Jul 2004 (CEST)
Wenn ich von der Seite S/MIME komme verwundert mich der Artikel, da S/MIME nicht zwingend mit der elektronsichen Signatur zu tun hat. S/MIME ist ein Standard, der zum Ziel hat Sichere Emailkommunikation zu ermöglichen. Die digitale Signatur ist eine rechtliche Beschreibung, die auf Zertifikaten basiert und rechtliche Gültigkeit für signierte Daten schafft. Welches Format und wie die Signatur aussieht, wird dort nicht behandelt. Das kann ich mir S/MIME machen muss ich aber nicht. Ausserdem sollte man die "Mathematik" hier rauslösen und in einerm eigenen Kryptographie-Teil unterbringen. Die Mathematik hat hier nur indirekt was zu suchen. -- Autor unbekannt
Der Begriff elektronische Signatur ist definitiv nicht inhaltsgleich mit digitale Signatur. Eine digitale Signatur wird mit asymmetrischen Kryptoverfahren zu gegebenen (zu signierenden) Daten erzeugt, und ermöglicht die Prüfung der Authentizität und Integrität der signierten Daten. Der Gesetzgeber - insbesondere die Europäsiche Kommission - wollten ihre Regelungen technologie-neutral halten und haben daher den Begriff der elektronischen Signatur eingeführt. Elektronische Signatur bezeichnet eine Kategorie von Verfahren mit den im Signaturgesetz bzw. in der EU-Richtlinie festgelegten Eigenschaften. Diese umfassen keineswegs nur digitale Signaturen. So stellt z.B. die (ungesicherte) Angabe des Absenders in einer E-Mail (z.B. eine Auto-Signatur) eine (nicht fortgeschrittene) elektronische Signatur dar. (Der Beweiswert dieser erlektronischen Signatur ist natürlich gering.) Fortgeschrittene oder gar qualifizierte Signaturen können heute nur mit Hilfe digitaler Signaturen erzeugt werden. Es wäre aber auch denkbar, dass es zukünftig andere Verfahren (z.B. auf Basis der Biometrie oder Quantenmechanik) gibt, um fortgeschrittene elektronische Signaturen zu erzeugen.
Es sollte daher unbbedingt ein eigener Artikel zu digitalen Signaturen geschrieben werden.
Und sobald ich Zeit habe, ändere ich den Artikel entsprechend ab. Vor allem die Aussage, dass beide Begriffe synonym verwendet würden ist schlichtweg falsch. --Mojo1442 20:33, 12. Aug 2006 (CEST)
Neuer Artikel "Digitale Signatur
So, ich habe jetzt endlich die Begriffe "digitale Signatur" und "elektronische Signatur" entwirrt und einen eigenen Artikel für "digitale Signatur angelegt. Mag sein, dass manche Leute diese Begriffe für synonym halten, aber das ist nicht korrekt. Siehe z.B. in dem offiziellen Report an die EU Kommission zu "Legal and Market Aspects of Electronic Signatures" (http://www.law.kuleuven.ac.be/icri/itl/es_status.php) auf Seite 29 unten (Abschnitt 1.2.1). --Mojo1442 03:29, 22. Nov. 2006 (CET)
Bezeichnung für die Seite
"Elektronische Unterschrift" ist nicht der in der deutschen Rechtsprechung verankerte richtige Begriff. Die Seite müßte - wie ursprünglich - "Elektronische Signatur" heißen (Digital Signature ist der Begriff im Angloamerikanischen). Siehe hierzu auch SigG Signaturgesetz, SigV Signaturverodnung bzw. die RLES Richtlinie zur Elektronischen Signatur der Europäischen Kommission von 1999. Kff 15:32, 25. Okt 2004 (CEST)
Etwas Mathematik
Ich habe mir erlaubt, die Dinge in den beiden letzten Absätzen des Abschnitts ein wenig klarzustellen. --RSchmoldt 18:10, 4. Aug 2005 (CEST)
ist in dem abschnitt "Etwas Mathematik" eigentlich die funktion h() (hashfunktion) jedem bekannt? oder anders gefragt: ist h() eine öffentliche, von jedem verwendete und standardisierte hashfunktion? die antwort auf diese frage sollte unbedingt diesem interessanten untersabschnitt hinzugefügt werden. danke, --Abdull 19:14, 25. Jan 2005 (CET)
Ja, die Hashfunktion ist öffentlich. Es wird ja beispielsweise MD5 als h verwendet.
Falsch - für MD5 wurden 2004 Kollisionen veröffentlicht. Es handelt sich also nicht um eine kollisionsresistente Hashfunktion wie vom BSI gefordert. Zur Zeit ist z.B. SHA-1 zugelassen.
Ich würde es als systematischer empfinden, wenn die ganze Theorie in den Artikel "Asymmetrisches_Kryptosystem" wandert, hier die anwendernahe und rechtliche Bedeutung des Begriffs in den Vordergrund rückt und dort im Absatz "Anwendung" auf den Artikel hier ebenfalls verwiesen wird (ein Verweis steht bei "Prinzip" drin und dort wirkt die Signierung mehr wie ein Abfallprodukt oder Nebeneffekt). --Ewert
Ich verstehe da etwas nicht: Erst lässt sich Alice einen Hashwert von der Nachricht erstellen und verschlüsselt dann diesen Hashwert mit ihrem privaten Schlüssel, um eine Signatur zu erhalten; soweit sogut. Bob bekommt die Nachricht und die Signatur von Alice. Nach meinem Verständnis müsste er nun selbst den Hashwert der Nachricht h(N) ermitteln lassen, dann die Signatur von Alice mit ihrem öffentlichen Schlüssel entschlüsseln und den daraus resultierenden Hashwert (denn die Signatur ist ja nur ein verschlüsselter Hashwert) mit dem vorher ermittelten Hashwert h(N) vergleichen. Im Text steht aber: "Außerdem wendet er den öffentlichen Schlüssel von Alice auf die Signatur bzw. den Hashwert an und entschlüsselt damit den Hashwert der Signatur." "Hashwert der Signatur"? Davon war doch gar nicht die Rede, die Signatur wurde doch gar nicht "gehasht". Oder ist damit der Hashwert gemeint, der in der Signatur in verschlüsselter Form drinsteckt? Wenn ja, sollte man das IMO umformulieren, um solche Missverständnisse zu vermeiden. -- Pohli 21:33, 20. Jan 2006 (CET)
Das war tatsächlich nicht richtig dargestellt. Erstmal wird bei einer digitalen Signatur nicht notwendigerweise eine Verschlüsselung eingesetzt, das ist eigentlich nur bei RSA so. Zum Zweiten wird bei einer RSA Signatur die Signatur - technisch gesehen - durch eine Entschlüsselung und nicht durch eine Verschlüsselung des Hashwertes (samt Padding) erzeugt. Drittens - und das ist ja dein Einwand - wird der öffentliche Schlüssel auf die Signatur angewendet und nicht auf den Hashwert. Das Ergebnis ist dann der Hashwert, sofern die Signatur korrekt war. M.E. gehört aber die Betrachtung der Algorithmen sowieso in einen eigenen Artikel "digitale Signatur" (siehe Diskussion "Elektronische Signatur statt Digitale Signatur"). --Mojo1442 19:48, 13. Aug 2006 (CEST)
Achtung: Sämtliche Angaben zu den kryptographischen Verfahren sollten nicht mehr hier, sondern im Artikel "digitale Signatur" eingebracht werden. --Mojo1442 14:36, 25. Nov. 2006 (CET)
Direkte Fragen
Im regulären E-Mail-Verkehr, wie wird meine Prüfsumme übertragen? Steht sie im Header der E-Mail?
Wie können meine Empfänger an meinen öffentlichen Schlüssel drankommen? Steht der im Header der E-Mail, muss ich ihn in Textform der E-Mail hinzufügen? Gibt es öffentliche "Pools" für digitale Signaturen (wo ich meinen öffentlichen Schlüssel hinterlegen kann)?
Wird die Prüfsummenberechnung bei E-Mails auch über den Dateianhang (z.B. Bilder oder ganze Programme) durchgeführt?
Warum gebe ich in E-Mail-Clienten wie z.B. Mozilla Thunderbird meine Digitale Unterschrift für den POP- bzw. IMAP-Server an? Das ist unlogisch, da doch der SMTP-Server zum Versenden genutzt wird, und nur hier meine Digitale Unterschrift was bringt.
danke, --Abdull 19:27, 25. Jan 2005 (CET)
1) Die Prüfsumme ("Hash"-Wert) ist Bestandteil der Signatur und wird (PGP/MIME oder S/MIME als Attachment, sonst - PGP - als ein Stück Ciphertext im ASCII-Format) dem Text angefügt.
2) Ich kann ihn in verschiedensten Formen (Ascii-Text oder Anhang) meiner Mail anfügen. Für PGP /GnuPG gibt es Keyserver, die sich auch untereinander abgleichen (1x veröffentlichen).
3) Bei bestimmten Programmen: Wahlweise, sollte man testen. Nicht alle können es.
4) Die Digitale Unterschrift ist adressbezogen, die Adresse steht für einen Account (ein POP-/IMAP-Server). Ich vermute an, Mozilla (Thunderbird) bezieht sich darauf.
HTH -- W.ewert 13:43, 17. Mai 2005 (CEST)
Was die qualifizierte Signatur (SigG 2001ff) angeht:
2) Unter Umständen ist eine Überprüfung der Signatur nicht(!) möglich. Du musst der Veröffentlichung Deines qualifizierten Zertifikates zustimmen, oder es per Mail mit versenden. Sonst ist tatsächlich keine Überprüfung möglich.
Ein Verzeichnisdienst muss nur darüber Auskunft geben, ob das zu einem öffentlichen Schlüssel gehörende Zertifikat zum Zeitpunkt der Signaturerstellung gültig war. Wenn Du der Veröffentlichung (s. o.) nicht zustimmst, kann Dein Zertifikat niemand abrufen -- Du kannst es aber verteilen. Dein öffentlicher Schlüssel allein reicht für eine Überprüfung nicht aus.
- Bei einer qualifizierten Signatur oder zertifikatsbasierten fortgeschrittenen Signatur ist die verschlüsselte Prüfsumme Kern der Signatur, die natürlich auch den Public Key, Angaben zur Verschlüsselungsmethode, Länge der Schlüssel sowie Angabe zum Hashverfahren beinhalten, Standard ist hier x.509.
- Soweit ist zumindest die Datenintegrität überprüfbar, vorausgesetzt, man besitzt ein entsprechendes Tool, das die in der SIgnatur mitgeführten Angaben interpretieren kann, den Hashwert neu aufbauen kann, den alten hashwert entschlüsseln kann und zu guter letzt den alten gegen den neuen Hashwert vergleichen kann.
- RSchmoldt, 25.05.2007
Was den Bereich PGP angeht, bleibt es Dir überlassen, Deinen öffentlichen Schlüssel z. B. privat oder über keyserver zu verteilen.
01:52, 13. Jul 2005 (CET)
Begriffe
Wie Kff schon sagt, müsste die Seite eigentlich "Elektronische Signatur" heissen (ich trau mich nicht was zu ändern, weil ich völlig neu hier bin und die ganzen Regeln noch nicht kenne). Laut der europäischen Richtlinie und auch laut dem deutschen Signaturgesetz sind das "Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen” (§ 2 Nr. 1 SigG) also eigentlich alles von der gescannten und reinkopierten Faksimile-Unterschrift über die diversen biometrischen Lösungen bis zur SmartCard mit Zertifikat und privatem Schlüssel gemäß PKIX-Standards von akkreditiertem Trust Center. Im alten Signaturgesetz gab es den Begriff der "Digitalen Signatur" und da ging es wirklich nur um die PKI-Variante.
O. Berndt
Ich gebe dir absolut recht. Der Begriff elektronische Signatur wurde von dr EU Kommission eingeführt um eine rechtliche Regelung nicht an eine bestimmte Technologie (digitale Signatur) zu knüpfen. Daher müsste man diese Begriffe hier mal kräftig entwirren. Ich mache mich mal demnächst dran. --Mojo1442 19:53, 13. Aug 2006 (CEST)
Verschiebung von Elektronische Unterschrift
habe die seite heute nach Anfrage hier nach Elektronische Signatur verschoben; da es auf der disk.-seite bereits eine solche anfrage gab und keine proteste darauf nehme ich an, dass es korrekt ist. Bei Protesten bitte erst hier diskutieren! danke ...Sicherlich Post 20:40, 7. Apr 2005 (CEST)
- oh sehe gerade, dass es ganz oben eine disk dazu gibt; (leute warum denn da oben und über dem inhaltsverzeichnis?? aktuelles ist doch immer unten?!?) tut mir leid ...Sicherlich Post 20:42, 7. Apr 2005 (CEST)
- es ist schon dunkel verzeiht ;) das zeug da oben ist ja auch asbach ;) ...Sicherlich Post 20:44, 7. Apr 2005 (CEST)
- Zwischenüberschrift eingefügt, damit die Seite übersichtlicher ist und das Inhaltsverzeichnis oben steht ... Kff 10:31, 22. Apr 2005 (CEST)
- es ist schon dunkel verzeiht ;) das zeug da oben ist ja auch asbach ;) ...Sicherlich Post 20:44, 7. Apr 2005 (CEST)
GNU Privacy Project
Hallo zusammen, eine Anmerkung zum folgenden Abschnitt:
"Das Gnu Privacy Projekt (GnuPP) pflegt ein auf GnuPG basierendes graphisches Frontend für alle gängigen Betriebssysteme."
Muss es nicht heißen:
"Das Gnu Privacy Projekt (GnuPP) pflegt ein auf OpenPGP basierendes graphisches Frontend für alle gängigen Betriebssysteme."
- Nope, denn GnuPP benutzt GnuPG. Das GnuPG eine OpenPGP-Implementation ist steht auf einem anderen Blatt (und in einem anderen Artikel).
- --HoSe 23:22, 20. Jun 2005 (CEST)
Signaturerstellungseinheit
Bei Verwendung von SIgnaturkarten ist die "sichere Signaturerstellungseinheit" ausschließlich der Chip der Signaturkarte. --RSchmoldt 18:14, 4. Aug 2005 (CEST)
Zitat: "Letztere erfordert ein gültiges Zertifikat und die Erzeugung mit einer sicheren Signaturerstellungseinheit. Das ist im Regelfall ein Lesegerät für Chipkarten, ergänzt um geeignete Verschlüsselungssoftware."
Die Signaturen werden auf der Karte erstellt, da der Private Key nicht auslesbar ist (sein sollte ;-)) Also ist die Signaturerstellungseinheit eine Kooperation aus Karte, Leser, Computer und Software. Gibt ja auch Software-Zertifikatsspeicher wie z.B. in allen modernen Webbrowsern/E-Mail-Clients vorhanden. In so einem Fall ist die Einheit nur die Software selber...
--Malteser1 18:16, 21. Apr 2005 (CEST)
Die RegTP nennt auf ihrer Webseite unter Sichere Signaturerstellungseinheiten nur Karten und Karten-Betriebssysteme. Funktionsbibliotheken und Chipkartenleser sind Teile einer Signaturanwendungskomponente.
Was soll dieser Abschnitt? Für SSEE gibt es einen eigenen Artikel. Also bitte verweisen und alle Details dort einstellen! --Mojo1442 22:08, 16. Aug 2006 (CEST)
Bitte prüfen und verbessern!
heute hat eine IP informationen in den artikel eingestellt. Selbige an sich sind vielleicht ja okay (sieht für mich plausibel aus, habe aber keine ahnung vom thema ;) ) allerdings sind die Formulierungen usw. recht eigen ... wäre gut wenn jemand mit etwas wissen zum thema da drüber gucken könnte und das ganze "gerade-biegen" würde ;) ...Sicherlich Post 20:59, 3. Mai 2005 (CEST)
- danke an Anton fürs schnelle erledigen ...Sicherlich Post 00:48, 4. Mai 2005 (CEST)
Formulierung
Vielleicht geht es nur mir so, aber ich finde den Artikel leicht unverständlich erklärt. Muss man nun um eine E-Mail zu signieren, ein Zertifikat bei einer Zertifizierungsstelle wie z.B. der Telekom oder Verisign einholen? --Philip Seeger 09:41, 23. Aug 2005 (CEST)
Beispiel unter 'etwas Mathematik' unklar formuliert
Das Beispiel unter 'etwas Mathematik' ist verwirrend, da hierin der Eindruck entsteht, dass a) die Daten-Initegrität und b) der Nachweis der Authentifizierung des Signaturerstellers geprüft werden kann. Letzten Endes kann man nicht feststellen, ob die Daten verfälscht wurden oder eine falscher privater Schlüssel zur Verschlüsselung des Haswertes benutzt wurde. Man kann immer nur prüfen, ob der aus der Signatur entschlüsselte Hashwert dem Hashwert, der über die empfangene Nachricht gebildet wird, entspricht. Wenn diese ungleich sind, kann das an a und/oder b liegen.
Ein anderer Artikel im Internet beschreibt dies meiner Meinung nach besser. Hier ein Auszug :
Nun sendet Alice die Nachricht und die Signatur an Bob. Dieser berechnet nun seinerseits den Hashwert aus der Nachricht . Nun wendet er Alices öffentlichen Schlüssel auf die Signatur an
und macht somit Alices Verschlüsselung rückgängig. Nun muss Bob nur noch vergleichen ob
um zu wissen, dass Alice das Dokument unterschrieben hat. Bob überlegt sich dafür, dass der Hashwert korrekt mit einem Schlüssel verschlüsselt wurde, den nur Alice kennen konnte. Darum glaubt er, dass das Dokument von Alice signiert wurde. Sollte
ungleich sein, so ist das Dokument entweder unterwegs verfälscht worden (Nachweis der Integrität) oder nicht mit dem Schlüssel von Alice signiert worden (Nachweis der Authentizität).'
Um allen Neulingen auf diesem Gebiet die gleichen Verständnisschwierigkeiten -wie ich sie hatte- zu ersparen, bitte ich darum, den Artikel anzupassen. Ich kenne mich hier nicht aus und möchte nichts falsch machen.
Vielen Dank.
09.12.05, Holger Topmöller
Ergänzung zu 6.3.: Praktischer Einsatz in Österreich
Alle Studenten der Wirtschaftsuniversität Wien haben seit (mindestens) 3 Semestern eine Chipkarte mit einer gültigen digitalen Signatur. Bei den neuen Bankomatkarten (die österreichische Scheckkarte) muss die digitale Signatur nur mehr aktiviert werden.
Was mein ihr? Sollen diese Infos bei Punkt 6.3. Rechtliche Rahmenbedingungen in Österreich dazu? mfg --Crito 01:08, 17. Jan 2006 (CET)
Elektronische Signatur
Bei einer elektronischen Signatur handelt es sich um Verfahren die mit Hilfe von elektronischen Daten, die Authentizität und Integrität von elektronischen Informationen, meist elektronischen Dokumenten, sicherstellen sollen.
- Priwo 19:22, 19. Jan 2006 (CET) Pro - eine verständliche und vollständige Erklärung der Funktionsweise samt Hintergrundinfos -
- Pediadeep 21:20, 19. Jan 2006 (CET) Kontra - das bild ist in der verkl. darstellung nicht zu erkennen, groß machts auch kein spass. machen die farben sinn? keine bilderklärung. mir ist der artikel zu lang. stellenweise juristendeutsch. der abschnitt "Zertifikatsbasierte Systeme" macht gar keinen spass. (Naja, spass machen solls ja nicht....)--
- Der Abschnitt "Zertifikatsbasierte Systeme" macht jedoch deutlich, dass hinter dem übertriebenen Formalismus (X.509 v3,..., etc.) sich im Grunde nichts substanzielles verbirgt. Der ganze Formalismus ändert nichts an der Tatsache, dass die Zuordnung des Prüfschlüssels zur Person kein triviales Problem ist und ohne eine vertrauenswürdige Instanz nicht zu lösen ist. Mit einer "Trusted Third Party" gibt es aber auch keinerlei Notwendigkeit für ein asymmetrisches Verfahren.
- 213.39.191.209 12:10, 20. Jan 2006 (CET) Pro - gute Zusammenfassung, auch wenn es sich zum Teil noch holprig liest.
- Staro1 22:12, 20. Jan 2006 (CET) Kontra - dieses Thema braucht mehr oma-Tauglichkeit --
Toter Weblink
Bei mehreren automatisierten Botläufen wurde der folgende Weblink als nicht verfügbar erkannt. Bitte überprüfe, ob der Link tatsächlich down ist, und korrigiere oder entferne ihn in diesem Fall!
- https://www.trustcenter.de/cgi-bin/Renew.cgi?
- In Elektronische Signatur on Sun Jan 22 01:00:58 2006, 404 Not Found
- In Elektronische Signatur on Sun Jan 29 20:18:43 2006, 404 Not Found
--Zwobot 20:19, 29. Jan 2006 (CET)
Änderungen durch Jmsanta
Benutzer:Jmsanta glaubt offenbar er allein könne bestimmen, was in dem Artikel zu stehen habe. Meine Änderungen wurden ohne wirkliche Begündung entfernt.
Benutzer:Fsswsb 25.05.05
- Wie schon an anderer Stelle geschrieben: Verfolgungswahn --jmsanta *<|:-) 11:12, 29. Mai 2006 (CEST)
Abschnitt Technische Umsetzung
Folgendes stört mich:
Abschnitt Zertifikatsbasierte Systeme: Dieser Abschnitt ist viel zu detailliert. Fast alles was hier erklärt wird, steht auch in anderen Artikeln, z.B. zu digitalen Zertifikaten, Public Key Infrastrukturen oder X.509. Und was soll bitte das Zertifikat hier. Das ist doch völlig irrelevant wie genau das Zertifikat syntaktisch aufgebaut ist. Das müssen eigentlich nur Fachleute wissen.
Abschnitt Zertifikatsfreie Systeme: Kann mir jemand erklären, von was für Verfahren hier die Rede ist? Ich arbeite seit über 10 Jahren im Bereich Kryptographie, PKI und Signaturgesetz und habe von derartigem noch nie gehört. Es klingt auch überhaupt nicht plausibel. Wenn man biomeische Daten (warum eigentlich eine Hand-Unterschrift, da werden doch falsche Assoziationen geschürt) in Daten einbettet und hasht, warum soill das dann sicher genug für eine fortgeschrittene Signatur sein. Daskann doch auch jeder andere, der einmal meine biometrischen Daten aufgezeichnet hat. M.E. kann man fortgeschrittene Signaturen allein durch digitale Siganturen realisieren. Sollen die hier im Spiel sein? Wenn ja, dann sollte man das erklären. Wie soll die Prüfung ablaufen? Warum ist das Verfahren dann sicher? Wie gesagt, habe ich noch nie von so etwas gehört. Ich glaube, das hat sich hier jemand ausgedacht. Wenn das niemand hier erklären kann, sollten wir das löschen.
Dagegen gibt es sehr wohl sichere Verfahren ohne Zertifikate und Signierte Schlüsel a la PGP. Man nennt sie Identity Based Cryptosystems. In der Praxis werden sie aber nicht eingesetzt. Ein großer Nachteil ist, dass man entweder seinen Schlüssel nicht sperren kann, was indiskutabel ist, oder (wie bei einer normalen PKI) Sperrlisten braucht. Als dritten Weg böten sich nicht-sperrbare Kurzzeit-Schlüssel an, da ist das Risiko begrenzt. Aber wegen der nicht vorhaendenen Praxisrelevanz würde ich so etwas in keinem eigenen Abschnitt behandeln.
Abschnitt Algorithmen: Teilweise würde ich das in einen eigenen Artikel "digitale Signatur" packen (wie oben geschrieben, ist das absolut nicht das gleiche wie elektronische Signatur). Die Aspekte bzgl Secure Viewer, Malware, PIN-Übergabe sind eher Fragen der Software und Hardware. Das wird weiter oben schon angesprochen. Man müsste diese Abschnitte konsolidieren. --Mojo1442 23:40, 16. Aug 2006 (CEST)
So, im Zuge der Abspaltung der "digitalen Signatur" habe ich auch den unsinnigen Abschnitt zu "Zertifikatsfreie Systeme" gelöscht.
- Meine Rede... vielleicht wäre es an der Zeit, dass sich die Leute, die den entsprechenden Abschnitt wieder eingefügt haben, mal über dessen Quellen outen. Vgl. meine Anmerkungen oben.--RolloM 10:01, 24. Apr. 2007 (CEST)
Neuer Aufbau
Diesem Artikel müsste man generalüberholen. Ich habe schon mal angefangen, aber es macht echt viel Arbeit, die vorhandenen guten Sachen (z.B. bzgl Rechtliche Rahmenbedingungen) mit einzuarbeiten. Erst mal sollteman eine gute Gliederung finden. Mein erster Vorschlag:
1. Einleitung Inkl. Abgrenzung vopn digitalen Signaturen
2. Technische Grundlagen
2.1 Algorithmen Nur kurz, Verweis auf eigenen Artikel digitale Signaturen, EU-Empfehlungen Algorithmen (ETSI TS 102 176-1)
2.2 Zertifizierung Zertifikate (Verweis auf Artikel digitale Zertifikate), Vertauensmodelle (Rooted vs. Web of Trust), Zertifizierungsstellen, Aspekte der Zertifizierung (Registrierung, Sperung, Veröffentlichung der Sperr-Status),
2.3 Produkte Signaturerstellungseinheiten: Soft-PSE vs. Hardware (HSM, Chipkarte, USB-Token), Verweis auf Spezialartikel sichere Signaturerstellungseinheiten, Signaturanwendung inkl Viewer, Kartenleser. Aber nur technisch nicht die rechtlichen Anforderungen (s.u.).
2.4 Zeitstempel
3. Rechtliche Aspekte Bisherigen Abschnitt ausbauen
3.1 EU deutlich ausbauen, denn die Signaturgesetzgebungen von D und A und allenanderen EU- und EWR-Ländern basieren darauf. Auch Verweis auf Referenzen zu "Standards" zu sicheren Produkten (CEN CWA 14169 und 14167)
3.2 Deutschland Umsetzung der Richtlinie, Abweichungen und Zusätze zu den europäischen Regelungen, z.B. Begriff "qualif. Signatur", Anforderungen an und Bestätigung von Produkten, qualif. Signatur für qual. Zertifikat, Deckungsvorsorge, Aufsicht durch BNetzA, geeigenete Algorithmen für "qual. Signaturen", Dokumentationspflicht, freiw. Akkreditierung, Root-CA für akkreditierte ZDA
3.3 Österreich Umsetzung der Richtlinie, Abweichungen und Zusätze zu den europäsichen Regelungen Z.B. Begriff "sichere Signatur", Anforderungen an und Bestätigung von Produkten, Aufsicht durch RTR, Root-CA für ALLE ZDAs, Verwaltungssignatur, geeigenete Algorithmen nach SigV, Dokumentationspflicht, freiw. Akkreditierung
3.4 Schweiz Eigene Behandlung, da nicht auf Basis der Richtline.
4. Praxis
4.1 Workflow
4.2 Datentypen und Standards Zertifikate (X.509, RFC 3280, RFC 3039, ISIS-MTT), Sperrinformationen (CRL, OSCP), Signaturformate (PKCS#7, XML, PDF, S/MIME, PGP)
4.3 Langfristige Sicherheit Archivierung (durch ZDA), Nachsignierung, Probleme mit Algorithmen und Datenformaten
4.4 Marktdurchdringung
Was meint ihr dazu? --Mojo1442 23:40, 16. Aug 2006 (CEST)
- Hallo Mojo! Das habe ich mir gerade auch mal wieder gedacht bei einer Durchsicht des Artikels. Er ist für einen Laien unverständlich, setzt völlig falsche Schwerpunkte und bringt auch das eine oder andere durcheinander. Ist aber wohl ein gröberes Stück Arbeit :-(.--RolloM 09:53, 24. Apr. 2007 (CEST)
Struktur (Kritik und Problematik)
Hallo, ich habe mir erlaubt die kritische Würdigung an das Ende des Artikels zu stellen. Sinnvollerweise sollte ERST erklärt werden, was etwas ist und wie etwas funktioniert, bevor es einer kritischen Betrachtung ausgesetzt wird. Desweiteren habe ich die drei Punkte unter einer Überschrift "Kritik" (2. Ebene) zusammengefasst. Grüße, Alexander Fiebrandt 09:23, 17. Sep 2006 (CEST)
- Das müsste mE systematisch an denjenigen Stellen des Artikels integriert werden, wo es hingehört: Bei der Sicherheit der Verfahren (im Bereich der technischen Umsetzung) und beim Abschnitt über EU-Recht. --RolloM 09:59, 24. Apr. 2007 (CEST)
Nachsignieren unnötig? - !
Bisherige Diskussion gegen nach "Nach" oder "Übersignieren":
- Artikel Kampffmeyer 2003 80.171.36.41 21:10, 26. Mär. 2007 (CEST)
- Artikel Kampffmeyer 2004 80.171.36.41 21:10, 26. Mär. 2007 (CEST)
- Artikel Kampffmeyer 2006 90.186.55.150 09:33, 19. Mär. 2007 (CET)
- Artikel Berndt 2007 80.171.36.41 21:10, 26. Mär. 2007 (CEST)
- Was ist die zentrale Aussage dieser Artikel? Eine Nachsignierung (bzw. das Neusetzen eines Zeitstempels) ist zwingend nötig, weil die Kryptoverfahren im Lauf der Zeit ihre Sicherheit verlieren.--RolloM 09:55, 24. Apr. 2007 (CEST)
- Eher das Gegenteil. Es wird argumentiert, dass bei einer revisionssicheren Archivierung kein Nachsignieren notwendig ist.
- Das stimmt, weil dann die Revisionssicherheit anderweitig sichergestellt wird. Aber was ist eine revisionssichere Archivierunng? Nur einmal beschreibbare Medien jedenfalls nicht, weil Du da jederzeit ein völlig neues Medium schreiben kannst...
- Durch die Kommentare von RolloM ist der ursprüngliche Textblock "etwas" auseinandergerissen, aber o.K., wenn man sich auf eine Einzelpositionenkommentierung einlassen muss... 213.39.143.108 17:55, 7. Mai 2007 (CEST)
- Also, ein vernünftiges Archivsystem hat ein Berechtigungssystem, führt Protokolle und hat eine Reihe anderer Sicherheitsmechanismen, die die Zugriffe und Veränderungen im Archiv nachvollziehbarmachen, bzw. sogar verhindern! Das Nachvollziehbarmachen ist übrigens eine der Grundideen von Revisionssicherheit. Papier ist einfacher zu fälschen als ein Dokument in einem ordentlich abgesicherten elektronischen Archiv. Aber darum geht es ja nicht, RolloM, Du schreibst von neues "Medium schreiben". Diese Auffassung ist heute nicht mehr zeitgemäß, denn wir müssen uns bei der Archivierung von Medien wie CD, DVD oder OD lösen. Ich kann kein komplettes Snaplockarchiv wegen "eines Dokumentes" duplizieren oder gar wegen eines Dokumentes eine Centera neu schreiben. Wir sprechen hier über komplexe Systeme, wo es nicht ausreicht nur das Dokument mit der gefälschten Signatur auszutauschen - Index, archivierte Protokolle usw. sind ebenfalls betroffen. Man braucht nicht nur kriminelle Energie sondern Zugang und enormes technisches Wissen.
- Das stimmt, weil dann die Revisionssicherheit anderweitig sichergestellt wird. Aber was ist eine revisionssichere Archivierunng? Nur einmal beschreibbare Medien jedenfalls nicht, weil Du da jederzeit ein völlig neues Medium schreiben kannst...
- Beispiel: Wen interessiert es in sechs, sieben Jahren, ob die elektronische Signatur einer elektronischen Rechnung eines Energieversorgers noch ein gültiges Zertifikat hat - der Energieversorger haut jedes Jahr unter Umständen Millionen solcher Rechnungen raus. Die Unterschrift selbst bleibt ja gültig, auch wenn vielleicht irgendwann mal der Algorythmus geknackt wurde. 213.39.143.108 17:55, 7. Mai 2007 (CEST)
- Nein, das stimmt nicht. Ab dem Moment, wo das Verfahren unsicher wurde, kannst du im Nachhinein nicht mehr sagen, ob eine Signatur nicht später (mit zurückdatiertem Computer) hinzu gefügt wurde. Deshalb musste nachsignieren...--RolloM 23:33, 6. Mai 2007 (CEST)
- Kapier ich nicht, RolloM, wie willst Du denn in einem revisionsicherem Archiv ein solches rückdatiert signiertes Dokument rückdatiert einstellen ?? oder gar ersetzen ?? Das würde jedem Ansatz einer Revisionssicherheit widersprechen ...
- RSchmoldt, 25.05.2007
- Also bei Dokumenten, die per Definitionem mehr als einmal vorkommen (die Rechnung nämlich beim Absender als Daten (auswertbar wegen GDPdU) und gegebenenfalls zusätzlich Dokumente (COLD-Ausgangsdokumente-Datenstromverarbeitung) und beim Empfänger (als signiertes Dokument)) muss man nur das versendete mit dem empfangenen Dokument vergleichen. So lange beide gleich sind oder zumindest den gleichen Inhalt haben, spielt es keine Rolle, ob das Zertifikat der Signatur noch gültig ist. Erst wenn die beiden Dokumente inhaltlich verschieden sind geht die Sache mit der technischen Analyse los - wer hat gefälscht, Empfänger oder Absender. Spätestens dann kommen die Gutachter ins Spiel. Es ging mir wirklich um das Beispiel elektronsiche Rechnung mit qualifizierter Signatur. 213.39.143.108 17:55, 7. Mai 2007 (CEST)
- Nein, das stimmt nicht. Ab dem Moment, wo das Verfahren unsicher wurde, kannst du im Nachhinein nicht mehr sagen, ob eine Signatur nicht später (mit zurückdatiertem Computer) hinzu gefügt wurde. Deshalb musste nachsignieren...--RolloM 23:33, 6. Mai 2007 (CEST)
- Anderes Beispiel: Auch das Bundesarchiv in Berlin hält nichts von elektronischen Signaturen bei der Langzeitarchivierung und schon garnichts vom Nachsignieren. Wenn das Bundesarchiv oder die deutsche Nationalbibliothek elektronische Inhalte über Jahrhunderte aufbewahren ist an ein Nachsignieren nicht zu denken. Man sollte sich stattdessen mit den Ansätzen des Projektes zum "Vertrauenswürdigen Archiv" anfreunden.
- Das Bundesarchiv in Berlin wird wohl auch keine Beweise führen müssen mit den entsprechenden Dokumenten. Falls doch: Es reicht, periodisch über den ganzen Datenbestand einen einzigen Zeitstempel zu legen. --RolloM 23:33, 6. Mai 2007 (CEST)
- Wo die Grenze ziehen - Bundesarchiv, Landesarchiv, Kommunalarchiv, Wirtschaftsarchiv, Firmenarchiv ? Ach ja, wenn ich WORM-Medien einsetze, wie soll ich denn auf einem nur-einmal-beschreibbaren Medium "übersignieren" oder "nachsignieren". Ich kann die Daten auf dem Medium nicht verändern, geschweige denn, sie neu einpacken. Wie geht denn meine Übersignierungssoftware bei erhaltenen E-Mail-Objekten um, deren Zertifikate zu unterschiedlichen Zeiten ablaufen, eines heute, eines morgen, eines in 10 Wochen - sicherheitshalber alle halbe Stunde alles oder einzeln Nachsignieren? Oder welche Software verwaltet mir, wann welches Zertifikat welcher Qualität wann abläuft und rechtzeitig vorher nachsigniert werden muss? Oder soll erst dann nachsignieren, wenn der Algorithmus geknackt wurde? Oder, oder, oder ... RolloM, es geht doch um den Nachweis, dass zum Zeitpunkt der sicheren Speicherung alles mit der elektronischen Signatur o.K. war und dass ich nachweisen kann, dass ich dies geprüft habe und das Zertifikat lesbar, gültig, von der richtigen Qualität und so weiter war. 213.39.143.108 17:55, 7. Mai 2007 (CEST)
- Das Bundesarchiv in Berlin wird wohl auch keine Beweise führen müssen mit den entsprechenden Dokumenten. Falls doch: Es reicht, periodisch über den ganzen Datenbestand einen einzigen Zeitstempel zu legen. --RolloM 23:33, 6. Mai 2007 (CEST)
- Die Frage nach der Verhältnismäßigkeit - wer kann denn schon ein einzelnes Dokument in einem ordentlich gesicherten elektronischen Archiv fälschen? Also - Nachsignieren ist ein typisch deutscher Eskapismus, der bei den Anwendern unötige technische Installationen und Folgekosten hervorruft. ::213.39.194.170 13:04, 6. Mai 2007 (CEST)
- Die Frage ist, wer das Archiv führt. Wenn derjenige, der den Beweis führt, das Archiv führt, kann er es auch fälschen. Das Problem bei der elektronischen Signatur ist, dass Du Fälschungen nicht entdecken kannst, wenn sie kryptographisch richtig gemacht sind (eine Handunterschriftenfälschung kannst du vielfach aufdecken mit den entsprechenden Mitteln). Deshalb sollte man da hohe Anforderungen stellen. Und wie gesagt: Ein Zeitstempel ist schnell gesetzt. Du brauchst nur die Software dazu. Zudem: Der Beweisführer hat ja alles Interesse daran, seine Beweise zu sichern. Denn wenn er das nicht tut, scheitert er einfach vor Gericht. So einfach ist das....--RolloM 23:33, 6. Mai 2007 (CEST)
- RolloM ... woher hast Du nur Deine unbelegten Behauptungen, ich habe den Eindruck, Dir ist die Vorgehensweise bei einem revisionssicheren Archiv wirklich nicht bekannt ... und dazu das Gegenargument .... auch wer ein Signaturkarte hat, kann fälschen !! und zwar wesentlich einfacher als bei einem revisionssicheren Archiv !! ... abgeshen davon, Karte und PIN einfach weiterzugeben ... die ganze "sichere" verkryptung basiert nämlich lediglich auf der Annahme, daß der Karteninhaber seine Karte und PIN nicht weitergibt. Ein einfacheres Mittel, als mit SIgnaturkarten zu fäschen, gibt es im Grunde gar nicht, weil man es nämlich technisch nicht beweisen kann, ob der SIgnaturkarteninhaber tatsächlich unterschrieben hat. --RSchmoldt 12:53, 27. Mai 2007 (CEST)
- Also Denjenigen, der ein einzelnes elektronisches Dokument inhaltlich verfälscht und auch die Signatur dazu fälscht, das ursprünglich vor Jahren in einem sicheren Archivsystem abgelegt wurde, den möchte ich erstmal sehen. Man muss das originäre Dokument verschwinden lassen, Protokolle fälschen, Zeiten setzen, genau die gleiche Bytezahl treffen, das Dokument "logisch" an die gleiche Stelle des ursprünglichen schreiben, vorhandene Referenzen vom oder auf das Dokument ändern, notfalls eine FAT eines WORM-Speichers ändern ...
- Ich brauch nur die Software dazu ... ich brauche Zeitstempel von einem akkredierten Dienstleister und muss diese sicher in meine Softwareumgebungen einbauen ... "nur" ist hier zu kurz gesprungen ...
- Ach übrigens - nochmal -, wie wird direkt auf einem WORM-Medium (SnapLock, OD, CAS, WORMTape oder wie auch immer), ein Zeitstempel gesetzt, der alle einzelnen Inhalte dieses Mediums umfaßt und sicherstellt, dass der Zeitstempel immer rechtzeitig vor Ablauf eines Zertifikates neu gesetzt wird.
- Als Beispiel für die Wirtschaftlichkeit hätte ich gerne das Setzen eines Zeitstempels auf einem UDO-Medium, das zu 99,9999% vollgeschrieben ist, mehrere Partitionen enthält, ca. 0,1% qualifiziert signierte Dokumente enthält, deren Zertifikate zwischen dem 01.01.2004 und dem 31.12.2009 verfallen sowie ca. einhundert Dokumente, die eine Signatur tragen, aber korrupt und nicht anzeigbar sind. Bei 90% der Dokumente handelt sich um Ausgangsrechnungen mit Einzelbeträgen zwischen 6 und 14 EURO je Rechnung. Die Indexverwaltung für die UDO wurde gerade auf ein Magnetband gesichert und steht online nicht mehr zur Verfügung. Wir schreiben den 7.5.2007 und ich hätte gern einen rechtlich abgesicherten, übersignierten Zustand meines UDO-Mediums (sowie der zwei Sicherheitskopien meines UDO-Mediums, wo bedingt durch paralleles Beschreiben der Speicher mit drei Laufwerken zufällig bei der 1. Kopie 16 Dokumente fehlen und bei der 2. Kopie 200 Dokumente mehr drauf sind). 213.39.143.108 17:55, 7. Mai 2007 (CEST)
- Gutes Beispiel, wahrscheinlich empfiehlt uns dann die Krypto-Mafia, wir sollen uns ein zusätzliches Verwaltungssystem der Signaturen und Zeitstempel anschaffen ... mit zusätzlichem Signierten Server, der dann die Indexierung der Signaturen und Zeitstempel erlaubt ... geht es auch billiger ? Das gibt es nämlich tatsächlich schon .... zu einem Schweinegeld und natürlich auch wieder nicht standardisiert .. --RSchmoldt 12:53, 27. Mai 2007 (CEST)
- Fazit: Nachsignieren abschaffen und ersetzen durch den Nachweis, dass zum Zeitpunkt der Archivierung mit der Signatur alles o.K. war und die Dokumente nicht mehr - nur mit krimineller Energie und erheblichem technischem Aufwand - geändert werden konnte. 213.39.143.108 17:55, 7. Mai 2007 (CEST)
- Die Frage ist, wer das Archiv führt. Wenn derjenige, der den Beweis führt, das Archiv führt, kann er es auch fälschen. Das Problem bei der elektronischen Signatur ist, dass Du Fälschungen nicht entdecken kannst, wenn sie kryptographisch richtig gemacht sind (eine Handunterschriftenfälschung kannst du vielfach aufdecken mit den entsprechenden Mitteln). Deshalb sollte man da hohe Anforderungen stellen. Und wie gesagt: Ein Zeitstempel ist schnell gesetzt. Du brauchst nur die Software dazu. Zudem: Der Beweisführer hat ja alles Interesse daran, seine Beweise zu sichern. Denn wenn er das nicht tut, scheitert er einfach vor Gericht. So einfach ist das....--RolloM 23:33, 6. Mai 2007 (CEST)
- Eher das Gegenteil. Es wird argumentiert, dass bei einer revisionssicheren Archivierung kein Nachsignieren notwendig ist.
- Wir sprechen nicht vom Gleichen. Du sprichst von Verfahren, die _zusätzlich_ zur elektronischen Signatur eingesetzt werden können, um eine nachträgliche Veränderung zu verhindern.
- Ich bin wirklich amüsiert .... warum ... da glaubt jemand ernsthaft, man könne sichere revisionssichere Archiv lediglich durch Signaturverfahren oder Zeitstempel ersetzen ... sorry, das ist wohl ohne Kenntnis der GoB, GoBS gedacht ... nebenbei, es ist ja wohl eher umgekehrt, nämlich dass Signaturen und Zeitstempel als zusätzlich zu bezeichnen sind ... Sorry wegen meiner Polemik, aber das Thema wird hier teilweise anscheinend ohne Praxisbezug diskutiert --RSchmoldt 13:21, 27. Mai 2007 (CEST)
- Nein, ich spreche von Verfahren, die das Nach-Signieren ersetzen. Diese sind unkomplizierter und haben außerdem noch den Vorteil, das sie eine Verfälschung von Informationen verhindern. 80.171.133.169 14:42, 26. Mai 2007 (CEST)
- Es ist natürlich nicht so, dass ich, wenn ich eine Signatur einem vertrauenswürdigen Dritten in die Hand drücke, nachträglich noch eine Nachsignierung brauche, um deren Echtheit nach Zertifikatsablauf zu beweisen. Nur: Der Punkt ist, dass der grösste Teil der Signaturen wohl nicht bei einem solchen Dritten oder in einem Archivierungssystem wie du es beschreibst landen dürfte, sondern irgendwo sonst auf einem Rechner eines Unternehmens oder gar eines Privaten, der jederzeit manipulierbar ist.
- Ohne polemisch werden zu wollen - wer hat schon als Mittelständler oder Privatmann eine Signaturkarte oder gar eine Ablage auf seinem Rechner, wo mittels Zeitstempel (eines akkredierten Anbieters!) empfange Dokumente mit qualifizierter Signatur nachsigniert - und dies auch noch regelmäßig immer wieder?! Hier wird es für kleinere Unternehmen und Privatleute eher wichtig, dass Ämter, Banken, Versicherungen oder andere Dienstleister den "WebSafe" als sicheren Ablageort für meine wichtigen elektronischen Originale online, z.B. als SaaS, zur Verfügung stellen. Wenn diese Anbieter dann intern auch noch nachsignieren wollen - meinetwegen. Solche "Sicherer-Safe"-Angebote gibt es schon, nur leider im Ausland, und was eine qualfzierte elektronsiche Signatur ist oder gar das Nachsignieren - bei denen Null Ahnung geschweige denn eine Lösung. 80.171.133.169 14:42, 26. Mai 2007 (CEST)
- Könnten wir uns auf den gemeinsamen Standpunkt verständigen, dass der Ablauf der kryptographischen Sicherheit eine Rückdatierung von Signaturen ermöglicht, sodass eine Signatur, soll sie ihre Gültigkeit über den Ablauf des Zertifikats hinaus (darum geht es aus juristischer Sicht) bewahren, in einer Art und Weise gespeichert werden muss, die eine Veränderung ausschliesst und eine Datierung der Einspeisung der Signatur in das System ermöglicht?
- Die Möglichkeit des Rückdatierens ist nur eine theoretische, da es nicht nur auf das Datieren des Objektes sondern auch um die notwendige Fälschung des Umfeldes des Objektes geht. Der Ansatz ist der, man stellt möglichst schnell nach dem Empfang oder der Erzeugung eines Dokumentes mit Signatur dies in ein Archivsystem ein. Das Archiv ist in der Lage nachzuweisen, wann die Information gespeichert wurde und das sie danach nicht mehr verändert wurde (bzw. werden konnte). Siehe auch meinen jüngeren Beitrag 2006 hierzu. 80.171.133.169 14:42, 26. Mai 2007 (CEST)
- Aus der Perspektive des Juristen hat ein Zeitstempel mit qualifizierter Signatur vor allem den Vorteil, dass er einem Anscheinsbeweis zugänglich ist, d.h. dass die Echtheit der ursprünglichen Nachricht leicht bewiesen werden kann. Wenn Du den Beweis für die Sicherheit eines der von Dir geschilderten Archivierungssysteme darlegen willst, brauchst du erstmal ein Gutachten für 20'000 Euro. Das reicht wohl in der Regel, um einen Kläger abzuschrecken... Bei einer qualifizierten elektronischen Signatur brauchst Du für diesen Beweis im Wesentlichen eine aktuelle CRL des Zertifikatsherausgebers, die Signatur, das Zertifikat und eine Signaturprüfeinheit (d.h. PC mit passender Software). Es geht um einen Anscheinsbeweis. Wenn Du Signaturen willst, die juristisch was hergeben sollen, würde ich also dringend einen Zeitstempel empfehlen.--RolloM 17:40, 25. Mai 2007 (CEST)
- Genau hier ist eines der entscheidenden Probleme (weniger beim Nachsignieren sondern eher bei individuellen Unterschriften) ... weil es eben technisch nicht nachweisbar ist, ob der Karteninhaber auch wirklich signiert hat ... hat man eben mal so den Anscheinsbeweis Deutschland §371a ZPO) eingeführt, damit Juristen einfacher entscheiden können ... mit dem Effekt, ein betrogener Karteninhaber (Beklagter) muss per Gesetz seine Unschuld beweisen. Sinnvoller wären also Verfahren wie bei Papier, die dem Kläger im Zivilprozess auferlegten, seine Forderungen (wie bei Papierdokumenten) zu beweisen.
- Wir sprechen hier nicht über Sinn und Unsinn von Zeitstempeln sondern über den Unsinn des Nachsignierens. Zeitstempel machen auch in Archivsystemen zur Absicherung der Protokolle, z.B. Posteingangsbücher etc., Sinn. Was mich am meisten stört, ist, dass durch die Diskussion um die "Unsicherheit der Gültigkeit in ein paar Jahren", "den Verfall von Zertifikaten", das "Weichwerden von Signaturen", das "Verblassen von Signaturen" etc. die Akzeptanz noch mehr leidet. Der Aufwand für die qualifizierte elektronische Signatur ist bereits sehr hoch, und jetzt noch alles Nachsignieren? Wofür? Spätestens wenn irgendein großer Anbieter eine andere Form der Signatur in den Chip auf das Mainboard des Standard-PCs packt oder Signaturen mit Betriebssysteme integriert mitgeliefert werden, ist der deutsche Sonderweg zu Ende! 80.171.133.169 14:42, 26. Mai 2007 (CEST)
- Revisionssichere, also abgenommene Archivsysteme können selbstverständlich sicherstellen, dass seit Einstellungsdatum keine Veränderungen an der Datei vorgenommen wurde (siehe Verfahrendokumentation).
- Die einzige Frage, die sich aus der Signaturverordnung stellt, ist die, ob mit einer qualitativen Signatur versehenen Dateien (vor ihrer Archivierung) gemäß SigV nachsigniert werden müssen. Dazu gibt es bereits ARbeitskreise und es ist auch ein erneutes Treffen beim BMWi geplant.
- Selbstverständlich bleibt es jedem unbenommen, auf revisionssichere Archive zu verzichten und die Methode der Nachsignierung zu verwenden ... was allerdings nur Sinn macht, wenn bei Archivierung bereits ein zeitstempel erstellt wird.
- Ich nenne das alles nur Subventionsgelderbeschaffung der Kryptomafia. Eben typisch deutsch <lach>
- Rolf Schmoldt, 25.05.2007
- Genau hier ist eines der entscheidenden Probleme (weniger beim Nachsignieren sondern eher bei individuellen Unterschriften) ... weil es eben technisch nicht nachweisbar ist, ob der Karteninhaber auch wirklich signiert hat ... hat man eben mal so den Anscheinsbeweis Deutschland §371a ZPO) eingeführt, damit Juristen einfacher entscheiden können ... mit dem Effekt, ein betrogener Karteninhaber (Beklagter) muss per Gesetz seine Unschuld beweisen. Sinnvoller wären also Verfahren wie bei Papier, die dem Kläger im Zivilprozess auferlegten, seine Forderungen (wie bei Papierdokumenten) zu beweisen.
- Wir sprechen nicht vom Gleichen. Du sprichst von Verfahren, die _zusätzlich_ zur elektronischen Signatur eingesetzt werden können, um eine nachträgliche Veränderung zu verhindern.
ELU
ELU ist derzeit ein Redirect auf diesen Artikel, wobei mir nicht ganz klar wird, warum. Wofür steht "ELU"? Ich frage, weil es auch Elu gibt und hier wohl eine BKL fällig wäre. --BishkekRocks 00:37, 26. Mär. 2007 (CEST)
- Ich beschäftige mich seit Jahren mit dem Thema und habe diese Abkürzung noch nie gehört. Woher stammt sie? Sonst würde ich für eine Löschung plädieren.--RolloM 09:56, 24. Apr. 2007 (CEST)
Sprachenlinks
Viele der Sprachenlinks scheinen eigentlich zum digitalen Signatur zu gehören, oder? Saintswithin 14:39, 5. Mai 2007 (CEST)
- Ja, wobei wohl in vielen Sprachen beides in einem Artikel abgehandelt wird. --08-15 21:53, 27. Mai 2007 (CEST)
Sowas gehört in kein Lexikon!
<<<< Technische Umsetzung - Korrigierte Darstellung [Bearbeiten]
Da das Thema Elektronische Signatur anscheinend von einem Autor völlig überarbeitet wurde und dieser dabei wichtige Aspekte schlicht gelöscht hat, sind diese Korrekturen notwendig geworden. >>>>
Sowas gehört in kein Lexikon!
Aus dem Artikel ausgelagert:
Da das Thema Elektronische Signatur anscheinend von einem Autor völlig überarbeitet wurde und dieser dabei wichtige Aspekte schlicht gelöscht hat, sind diese Korrekturen notwendig geworden.
Obwohl die meisten Darstellungen des Autors korrekt sind, ist jedoch die Aussage im vorletzten Absatz des vorherigen Kapitels völlig unzutreffend. So sind von einer Vorlage gescannte Unterschriften natürlich keine biometrischen Daten, sondern lediglich ein Abbild. Bezüglich einer Unterschrift sind biometrische Daten diese erst, wenn ein gewisser Umfang von biometrischen Informationen wie z.B. XY-Position, Schreibdruck, Schreibgeschwindigkeit, etc. vorliegt.
Ganz falsch ist dazu die im vorherigen Kapitel gemachte Behauptung: "Fortgeschrittene oder gar qualifizierte elektronische Signaturen, die eine zuverlässige Identifizierung des Unterzeichners ermöglichen und eine nachträgliche Veränderung der Daten erkennen lassen müssen, können derzeit technisch NUR mit digitalen Signaturen in Verbindung mit Zertifikaten von einer Public-Key-Infrastruktur (PKI) realisiert werden."
Die Identifizierung des Signaturerstellers beruht nämlich lediglich auf der ANNAHME, dass der Eigentümer der Signaturkarte auch selbst signiert hat. Beweisen kann man das technisch niemals. Aus diesem Grund wurde der §371a (ZPO, Deutschland) eingeführt, der den Anscheinsbeweis in die Rechtsprechung einführt und damit dem Karteninhaber (Eigentümer) auferlegt, zu beweisen, er habe nicht signiert. Es werden also rechtliche und technische Dinge in beliebiger Form gemischt.
Selbstverständlich gibt es Verfahren, die unter Berücksichtigung asymmetrischer Schlüsselpaare sowie biometrischer Daten eigenhändiger Unterschriften eine ganuso sichere Identifizierung sowie Integritätsprüfung erlauben.
Zur Sache:
Gemäß Artikel 5 der EG-Signaturrichtlinie gibt es die Möglichkeit, auch zertifikatsfreie Signaturverfahren einzusetzen. Dies bedeutet im Klartext, dass der sogenannte Public Key des asymmetrischen Schlüsselpaares, das zur Signatur verwendet wurde, keiner Person zugeordnet ist.
Dazu wurde auch auf Initiative von Signature Perfect hin das Signaturgesetz (SigG Deutschland) insofern geändert (Rechtswirkung seit Januar 2005), dass es gemäß § 2, Nr. 9 des SigG nur für qualifizierte Signaturen erforderlich ist, ein Zertifikat, und dies noch qualifiziert, einem Antragsteller für eine Signaturkarte zuzuweisen. Eine gesetzliche Vorschrift, für fortgeschrittene Signaturen Zertifikate zu vergeben, also asymmetrische Schlüsselpaare zuzuordnen, gibt es nicht, zumindest nicht für Deutschland. Auf die Anfrage, warum im deutschen Signaturgesetz der Begriff Signaturschlüsselinhaber anstatt wie in der EU-Direktive der Begriff Unterzeichner verwendet wird, hat das Ministerium dazu schriftlich erklärt, dass dieser Begriff historisch aus dem alten Signaturgesetz von 1997 übernommen worden sei.
Allerdings sind gemäß deutschem Signaturgesetz für die Verschlüsselung des Hashwertes (Prüfsumme) weiterhin asymmetrische Schlüsselpaare zu verwenden, unabhängig davon, ob diese dem Signaturersteller, einer anderen Person oder überhaupt jemanden zugeordnet sind. Zum Verstandnis ist es darüber hinaus wichtig, dass Inhaberschaft (oder Besitz) nicht gleichzusetzen ist mit Eigentümerschaft. Inhaberschaft sagt lediglich aus, dass der Signaturersteller zm Zeitpunkt der Signierung ein bestimmtes Schlüsselpaar innehat, also benutzt. In diesem Zusammenhang ist auch der nachfolgende Gesetztestext zu verstehen.
Es sind die folgenden Anforderungen des SigG zu beachten: ... "fortgeschrittene elektronische Signaturen" elektronische Signaturen nach Nummer 1, die
a) ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind,
b) die Identifizierung des Signaturschlüssel-Inhabers ermöglichen,
c) mit Mitteln erzeugt werden, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und
d) mit den Daten, auf die sie sich beziehen, so verknüpft sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann...
Die alleinige Kontrolle des Erstellers und die Identifizierung des Signaturschlüsselinhabers sind hier sicherlich die größeren Anforderungen.
Zertifikatsbasierte Signaturverfahren
Bei einem zertifikatsbasierten Signaturverfahren wird das asymmetrische Schlüsselpaar, das zur Signaturerstellung und zur Signaturprüfung genutzt wird, durch ein so genanntes digitales Zertifikat einer Person zugeordnet. Diese Zuordnung wird von einem sogenannten Trust Center (auch Zertifizierungsdiensteanbieter genannt) durchgeführt und in dem digitalen Zertifikat bestätigt. In der Folge kann dann die bürgerliche Identität des Signaturschlüsselinhabers anhand des Online-Zertifikatsverzeichnisses des Trust Centers überprüft werden.
Bis heute werden nahezu ausschliesslich zertifikatsbasierte Verfahren angewandt. Der Grund hierfür liegt darin, dass nur zertifikatsbasierte Verfahren einen digitalen Erstkontakt zwischen vorher unbekannten Personen erlauben. Nicht zertifikatsbasierte Verfahren (dazu sogleich) hingegen benötigen einen sicheren Erstkontakt auf nichtdigitalem Weg, auf dem die Schlüsselinformationen ausgetauscht werden.
Gegendarstellung: Alleine im Versicherungsbereich sind in Deutschland über 50.000 Signaturerstellungseinheiten mit Unterschriftentabletts für fortgeschrittene Signaturen konkret im praktischen Einsatz mit ca. 10 Mio. erstellten fortgeschrittenen zertifikatsfreien Signaturen p.a., in Israel wickeln über 3 MILLIONEN Bankkunden ihre Bankgeschäfte elektronisch per Unterschrift ab. Über die Anzahl der aktivierten Zertifikate auf Signaturkarten für qualifizierte Signaturen schweigt man sich aber aus. Geschätzt sind weniger als 50.000 aktuell gültige Zertifikate.
Die Gesetzgebung knüpft derzeit bestimmte Rechtswirkungen, insbesondere die Gleichsetzung der qualifizierten elektronischen Signatur mit der eigenhändigen Unterschrift zur Erfüllung einer gesetzlich erforderlichen Schriftform und die Haftung für den sorgfältigen Umgang mit dem zur Signaturerstellung nötigen Signaturschlüssel, an das Vorhandensein einer qualifizierten elektronischen Signatur, also einer zertifikatsbasierten Signatur.
Zertifikatsfreie Signaturverfahren mit eigenhändigen Unterschriften
Zertifikatsfreie Signaturverfahren sind technisch selbstverständlich sicher. Da es weder bei qualifizierten noch bei fortgeschrittenen Signaturen sichergestellt werden kann, dass der zugeordnete Private Key nur einmal auf der Welt vorkommt, kann mit der Definition "einmalige elektronische Daten wie private kryptographische Schlüssel" im Signaturgesetz § 2 Nr. 4 nur gemeint sein, dass der verwendete Private Key nur an einer einzigen Stelle verfügbar ist. Bei zertifikatsbasierten qualifizierten Signaturverfahren wird daher der Private Key auf der Chipkarte hinterlegt.
Da der Unterzeichner (Signaturersteller) jedoch bei zertifikatsfreien Signaturen gar kein Private Key zur Verfügung hat, wird dieser entweder erst bei der Signaturerstellung als Element eines asymmetrischen Schlüsselpaares erzeugt oder ein Signaturdienst bietet sich als Signaturerstellungseinheit an und verwendet seinen eigenen Signaturschlüssel (Private Key). Ein während der Signaturerstellung erst erzeugter Private Key wird nach seiner Verwendung sofort verworfen, da für die Signaturprüfung lediglich der Public Key benötigt wird.
Soweit ist die Sicherheit der Integritätsprüfung gewährleistet. Für die Identifizierung des Unterzeichners sind folgende Aspekte entscheidend:
- Es geht nicht um die Ermittlung der bürgerlichen Identität. Dies wird zwar gerne im Zusammenhang mit online Geschäften (diese funktionieren bestens ohne Signaturen) in den Vordergrund gestellt, ist jedoch ein Irrtum aufgrund von Wunschdenken.
- Identifizierung heisst nun mal die Identifizierung des Unterzeichners als Unterzeichner und sonst nichts.
- Bei Unterschriften auf Papier werden exakt die gleichen biometrischen Daten vom Schriftsachverständigen genutzt, wie diese auch bei elektronisch - während der Signaturerstellung - erfassten Unterschriften zur Verfügung stehen.
- Angebliche Wiederverwendungsmöglichkeiten von Unterschriften (Replay-Attacken) sind zumindest bei solchen Verfahren ausgeschlossen, die biometrische Daten bereits während der Unterschriftenabgabe in Unterschriftenprofile wandeln. Andere Aussagen beruhen entweder auf Unkenntnis oder sind gezielt gestreute Falschinformationen.
Betrachtet man nun das sogenannte Face2Face Business, wird der Besteller, Käufer, etc. in der Regel vom Verkäufer identifiziert, das heisst, die Daten des Vertragspartners liegen vor und eine Ermittlung einer Identität wie beim anonymen Geschaft ist nicht notwendig. Die Unterschrift wird somit wie beim Papierverfahren lediglich zur Identifizierung, jedoch nicht zur Identitätsermittlung benötigt.
Am Ende steht noch die Anforderung, dass die Unterschrift und die verschlüsselte Prüfsumme nicht trennbar miteinander verbunden sind. Ich erspare mir hier den Nachweis, wie über Sessionverfahren Elemente in solcher Weise verbunden werden, und natürlich auch sicher.
Zertifikatsfreie elektronische fortgeschrittene Signaturen sind in der Regel diejenigen Verfahren, die das höchste Abdeckungspotential bieten. Dazu sind sie technisch sicher, bieten enorme Vorteile in der Prozessoptimierung und kosten den Signaturersteller keinen Cent.
- Ack. Bitte überarbeite das gründlich Rolf, oder es soll draussen bleiben. Ich habe den Abschnitt wieder gelöscht. Beachte bitte den NPOV. Sinnvollerweise sollte man den Abschnitt wohl in Verfahren zur Verwendung mit bzw. ohne Rahmenvertrag gliedern, wie ich dies in meiner Dissertation gemacht habe. Nur für letztere braucht man Signaturen mit Zertifikat, weil ansonsten der Beweis sehr viel schwieriger wird (kein Anscheinsbeweis, sondern Gutachten sind nötig). Signaturen ohne Zertifikat sind im Sinne der Richtlinie fortgeschrittene oder gar nur einfache Signaturen. Dazu gehörten PIN/TAN-Verfahren, irgendwelche Signaturen à la TNT (die man auf einem Pad abgeben muss beim Empfang) etc. Die Qualifikation als fortgeschrittene Signatur zieht aber keine besonderen Rechtsfolgen nach sich.--RolloM 18:12, 25. Mai 2007 (CEST)
Löschung Autorenbeiträge
Es ist unverständlich, dass Sichten bzw. Interpretationen zu dem rechtlichen Begriff "Elektronische Signaturen" im Zusammenhang mit den zum Verständnis notwenigen technischen Hintergründen von manchen Personen einfach gelöscht werden.
Ich hatte vorgeschlagen, dass es dazu die Möglichkeit geben sollte, die Sichten zu strukturieren und hoffe dazu noch auf Stellungnahmen. Löschungen meiner Beiträge, die in dem Umfeld von Signaturen als völlig korrekt betrachtet werden ... sind nicht akzeptierbar.
Ich werde bei der Wiederherstellung der Seite darauf achten, inwieweit einzelne Korrekturen im Sinne von Verbesserungen angebracht wurden und diese bei der Wiederherstellung eventuell gelöschter Autorenbeiträge berücksichtigen.
mfg
Rolf Schmoldt
- Hallo Rolf, Wikipedia ist eine Enzyklopädie. Da passt es nicht, wenn Kommentare, gegensätzliche Meinungen und Varianten in einem Artikel zusammengewürfelt stehen. Auch ist Wikipedia eine offene Plattform, wo jeder zur Mitarbeit eingeladen ist. Die jetzige Darstellung im Text passt daher überhaupt nicht und einen Artikel zu "bewachen" bringt auch nicht viel. Also, am Besten einen richtigen Account mit Namen einrichten und eine einheitliche Darstellung des Inhalts in einem konsistenten Abschnitt (ohne Gegendarstellungen ...) verfassen - auch wenn sie von anderen dann umgeschrieben wird. Anders als viele Kritiker bin ich der Meinung, Qualität und Wahrheit setzen sich auf Wikipedia durch. Es dauert nur eine Weile. Aber die Zeit ist es Wert. Uli
- Ich kann dem nur beipflichten. Rolf, ich habe vor einigen Wochen hier angekündigt, dass ich deine Teile löschen würde, wenn du sie nicht an die Regeln der Wikipedia anpasst. Dies ist leider nicht geschehen. Damit war die Löschung in Ordnung.--RolloM 17:25, 25. Mai 2007 (CEST)
- Das Problem liegt - wie oft - in den unterschiedlichen "Meinungen" ... Dabei werden dann anscheinend persönliche Meinungen eingefügt, die jedoch nicht belegt sind und auch falsch sind. Ich wollte mir jetzt allerdings nicht anmaßen, die Beiträge anderer Autoren einfach zu löschen ... Ich hatte ja bereits den Vorschlag gemacht, das Thema zertifikatsbasierte und zertifikatsfreie Signaturen zu strukturieren. Allerdings wäre es dabei auch vonnöten, dass verschiedene Behauptungen anderer Autoren von diesen korrigiert werden. Grundsätzlich stimme ich allerdings zu und würde mich sogar freuen, wenn eine konsistente, über die persönlichen Bevorzugungen einzelner Autoren, welche Signaturverfahren sie persönlich für die bessere halten, und damit eine sachliche, alle möglichen Verfahren einbeziehende Darstellung von "elektronischen Signaturen" möglich wäre. .--RSchmoldt 17:58, 25. Mai 2007 (CEST)
Willkür von User 08-15
Vor Jahren hatte ich an der Strukturierung der Seite mitgewirkt ... Verschiedene von mir eingeführte Kapitel sind heute noch aktuell vorhanden.
Dazu stand seit Jahren die Broschüre Leitfaden elektronische Signaturen als Literatur zur Verfügung ...
Seitdem hier User 08-15 willkürlich meine Beiträge gelöscht hatte, was leider zu einem editwar geführt hatte, hat 08-15 dann den PDF Download als Weblink eingeordnet (warum nur mein PDF ??) und nachdem ich den Download wieder als Literatur eingestuft hatte, hat ihn 08-15 gelöscht.
Frage: Seit wann ist ein PDF Download bzw. ein werbefreier allgemeiner Leitfaden ein Web - Link ?? Als Link verstehe ich immer noch den Aufruf einer Web-Seite ....
Auch die Begründung der Löschung ist ja wohl an den Haaren herbeigezogen, wahrscheinlich in Unkenntnis, dass dieser Leitfaden inzwischen belegbar über 7.000 fach downgeloadet wurden und selbst in verschiedenen fachbezogenen Universitäten als Quelle zur Einführung in die Thematik genannt wird.
Dazu kommt, dass der User 08-15 diese Argumentation erst verwendet, seitdem ich mich gegen dessen Willkür gewehrt habe, und dies dann auch zur Qualitätssicherung geführt hat.
--RSchmoldt 15:34, 27. Mai 2007 (CEST)
- Findet man dein PDF in Buchhandlungen und Bibliotheken oder im Web? Welche Universitäten benutzen denn dein PDF als Einführung in das Thema elektronische Signatur? --08-15 15:55, 27. Mai 2007 (CEST)
- http://www.signaturrecht.de/links/index.html
- http://www.kecos.de/script/35digisig.htm (Prof. Dr. Hans Jürgen Ott)
- http://www.project-consult.net/portal.asp?sr=547&lng=1
- http://www.competence-site.de/itsecurity.nsf/cc/WEBS-737EBM!OpenDocument
- http://www.siglab.de/uploads/media/Leitfaden_Elektronische_Signatur.pdf
- http://www.elektronische-steuerpruefung.de/management/sigperfect.htm
- http://www.ebpp.de/wissen/2-leitfaeden/2-signatur/?close=1
- http://www.unibw.de/inf2/getFILE?fid=1803464 (Seminar Uni der Bundeswehr, Literaturverweis)
- http://www.scriptkit.de/wiwimod+index.page+Signaturgesetz-Deutschland.htm
- http://www.2wid.net/kt3718-Technik-Informationsverarbeitung-Biometrie/st16935-Leitfaden-Elektronische-Linkdetails.htm
- http://www.pki-page.org
- http://glossar.ccegov.ch/index.php?title=Authentifizierung
- http://www.mnm-team.org/pub/Diplomarbeiten/regi06/PDF-Version/regi06.pdf (diplomarbeit)
- http://www.voi.de (Bereich ELektronische Signaturen)
- Hab ich mir schon gedacht, dass Du damit kommst ...
- Ok .. ich ziehe hiermit meine Unterstützung beim AUfbau einer sachbezogenen Seite zurück ...
- Zufrieden ? <lach>
- --RSchmoldt 18:18, 27. Mai 2007 (CEST)
Löschung auch historischer Texte
Ich habe mir erlaubt wegen der Willkür des Users 08-15 auch meine historischen Texte zu löschen. Ich bitte darum, diese entsprechend neu zu formulieren. Wer an meinen Angaben zweifelt, kann ja die alten Versionen durchforsten ... --RSchmoldt 19:36, 27. Mai 2007 (CEST)
Leider keine Antworten auf meine Fragen
Obwohl ich versucht habe, nach Anpassung der stilistischen Fehler durch Fragen in einen Dialog zu treten, habe ich bisher keine Antworten auf MEINE Fragen erhalten.
Es drängt sich dadurch für mich der Verdacht auf, dass bei bestimmten Personen, die meine schon lange vor dem Auftauchen dieser Personen eingestellten und in der Signaturbranche anerkannten Beiträge einfach gelöscht haben und nun meine neuen Beiträge durch seltsame Argumente radikal einfach löschen, ganz andere Interessen dahinter stehen, als dem Leser neutrale und sachliche Informationen zu vermitteln.
Ich nehme es insofern leicht, da auch diese Personen in Zukunft Ihre Versicherungen nur noch mittels fortgeschrittener Signatur mit eigenhändiger Unterschrift beantragen können :))
Die Wirklichkeit wird diese Leute halt irgendwann einholen .... <lach>
Vielleicht überlegen es sich die Personen ja noch einmal ... hab aber kaum Hoffnung
Rolf Schmoldt, 25.05.2007
- Da müssen deine Fragen wohl irgendwie zwischen deinen Beleidigungen und Unterstellungen untergegangen sein. Stell klar formulierte Fragen (der Übersichtlichkeit halber neue Diskussionsbeiträge bitte unten anbrigen, dafür ist der "+"-Knopf in der Kopfzeile da), und wirst auch Antworten bekommen.
- Mein Interesse hier sind Artikel mit enzyklopädischem Anspruch. Privattheorien haben da keinen Platz, und du machst leider bisher keine Anstalten aufzuzeigen, dass deine Beiträge eine allgemein anerkannte Sichtweise wiedergeben. --08-15 22:25, 25. Mai 2007 (CEST)
- Klare Frage 1: Warum sind die bisherigen Beiträge tendenziös und teilweise falsch ?
- Ich glaube kaum, dass Du Dich überhaupt mit dem Thema (meiner Beiträge) bisher auseinandergesetzt hast ... sondern benutzt lediglich die Bügelmaschine :))) warum weiss ich nicht, ist aber auch inzwischen ziemlich egal <lach>
- Ich habe niemanden beleidigt, sondern lediglich gesagt, dass entweder einer oder eventuell mehrere Autoren inhaltlichen Unfug geschrieben haben, das ist eine freie Meinungsäußerung und keine Beleidigung, aber getroffene Hunde bellen bekanntlich (ist nur ein Sprichwort, soll keine Beleidigung sein :)))
- Seltsam, dass das Wirtschaftministerium unsere Auffasungen nachvollziehen kann, aber Du etwa nicht ? Na, da hätte ich aber mehr von jemanden mit solch hohem Anspruch erwartet. :)) Ist der Gesetzestext des SigG etwa zu unverständlich ? von wegen privattheorien <nochmals lach>
- Aber es ist ja nicht zu spät, vielleicht wird's ja noch ...
- Wie schon mal jemandem Anderen gesagt, mach Dich locker ...
- Ich warte übrigens auf den Admin ... schon gerufen ?
- RSchmoldt
- Noch eine Ergänzung ... ist Dir schon mal aufgefallen dass alle meine Quellen selbst im Text angegeben sind ?
- RSchmoldt, 25.05.2007
RolloM - Es reicht
Ich habe schon meine Kommentare entschärft, aber wenn Du weiterhin meine Beiträge löschst, werde ich Dich melden ... also gib Ruhe und korrigier erst mal Deine eigenen Behauptungen.
Aus der Diskussion Kff konnte ich bereits ersehen, dass es Dir anscheinend ein wenig an know how über den rein technischen Tellerrand einer (technischen) digitalen Signatur fehlt.
Gib endlich Ruhe und fang bei Dir selbst an ... ok ?
Danke
Rolf Schmoldt
- Hallo Rolf, dein Beitrag hat zur Zeit stilistische und inhaltliche Probleme und kann in dieser Form nicht im Artikel stehen bleiben. Als erstes würde ich dich bitten, deine Aussagen im einzelnen anhand unabhängiger Quellen zu belegen - also Quellen, die insbesondere nicht von dir und deiner Firma stammen. Ansonsten müssen die Beiträge nach den Wikipedia-Regeln gelöscht werden. Details dazu findest du unter WP:QA und WP:WSGAA. --08-15 18:22, 25. Mai 2007 (CEST)
- Sorry, aber nicht ICH muss meine Behauptungen belegen, das geht ganz einfach aus den wirtschaftlichen Zahlen hervor, sondern folgende Behauptungen sind einfach FALSCH:
- 1. ausschließlich nur zertifikatsbasierte Signaturen ... das ist nun wirklich völliger Unfug
- 2. Gescannte Unterschriften sind keine biometrischen Merkmale sondern Abbilder
- Fragen:
- 1. Was ist stilistisch in meinen Beiträgen falsch ?
- 2. Was ist an meinen Beiträgen inhaltlich falsch ?
- RSchmoldt
- Doch, du musst deine Behauptungen belegen. So sind hier die Regeln. Wenn du Einzelnachweise geliefert hast, können wir die Punkte hier diskutieren, um so hoffentlich zu einem für alle akzeptablen Artikel zu kommen. --08-15 18:36, 25. Mai 2007 (CEST)
- Ich lach mich echt krumm, ich soll Dir das belegen ? Dann schau doch einfach mal ins Signaturgesetz ... da steht das alles drin ... oder lies mal die Stellungnahme des Bundeswirtschaftsministeriums an mich (verfügbar auf meiner WEB-Seite), oder lies mal die Begründung zum 1. SigÄndG, die ist fast im Wortlaut des Schreibens des Wirtschaftministeriums an mich ...
- Nebenbei, schon mal was von 5.2er Signaturen gehört, das ist der Artikel 5.2 der EU-Direktive ....
- Was für einen Beleg willst DU eigentlich ? ehrlich gemeinte Frage .... <lach>
Rolf Schmoldt
Frage, wer Bist DU eigentlich, dass Du Dich hier hier zur Bewertungsinstanz aufspielst ... kennt man Dich auch in der echten Signaturwelt oder ist das alles nur Theorie, was Du hier ablässt? :) Zum Stil, wie kommst DU dazu, meinen PDF Download nach mehreren Jahren so plötzlich als Weblink einzuordnen? Hast Du Probleme, dass es auch andere kompetente Autoren gibt ? Ich bin bekannt für meinen direkten Stil, also .... dann belege DU mal DEINE Behauptungen, die ich in notwendiger Kleinarbeit erst mal korrigieren musste. Selbst Begriffe wie Authentizität wurden von Dir im zusammenhang mit Identifizierung gleichgesetzt (wer es nicht glaubt, kann sich ja mal die alten Versionen durchschauen).
Also nochmal RolloM (wer immer dahintersteckt) ... mach Dich locker. :) Rolf Schmoldt
- Erstens bin ich nicht RolloM, sondern mehrere verschiedene Benutzer haben deinen Abschnitt aus dem Artikel entfernt; das sollte dir zu denken geben. Ein PDF-Download ist ein Weblink - das ist eine schlichte Tatsache (http-Link, du verstehst?), wobei ich persönlich nicht denke, dass dieser den Kriterien WP:WEB entspricht. Wenn du dich weigerst, die Regeln für Wikipedia-Artikel zu beachten, wird wohl ein Admin eingreifen müssen. --08-15 20:23, 25. Mai 2007 (CEST)
- Kann ich jetzt kein Deutsch mehr .... da steht eine Überschrift, die heisst Downloads und ein PDF Download soll jetzt ein Web-Link sein ... und das nur bei meinem PDF ? --RSchmoldt 13:34, 27. Mai 2007 (CEST)
- So, jetzt erkläre mir bitte, gegen welche Kriterien ich verstosse ??
- Deinen Vorschlag, einen Admin dazuzuziehen, würde ich begrüßen !! Dringend ! damit Leuten wie Dir das Handwerk endlich gelegt wird !
- Nochmals zur Sache, wogegen verstosse ich ? Hast Du die Korrekturen überhaupt gelesen ?
- RSchmoldt, 25.05.2007
- Erstens, wie gesagt, verweigerst du Quellenangaben. Zweitens hast du begründete Löschungen von drei verschiedenen Benutzern jeweils rückgängig gemacht. --08-15 20:29, 25. Mai 2007 (CEST)
- Ich verweigere keine Quellenangaben ... es ist u.a. das 1.SigÄndG ... hast Du die stellungnahme des BMWi gelesen ?
- RSchmoldt, 25.05.2007
- Die geschilderten Verfahrensweisen (oder abgewandlete) werden übrigens von weiteren Unternehmen angeboten ... StepOver GmbH, signotec GmbH, SoftPro GmbH, T-Systems, xyzmo GmbH ... --RSchmoldt 13:39, 27. Mai 2007 (CEST)
- Aha. Können wir uns einigen, alle Passagen, die nicht direkt aus dem Gesetz und der BMWi-Stellungnahme hervorgehen zu löschen? --08-15 20:35, 25. Mai 2007 (CEST)
- Da bin ich mir nicht sicher, wer Du auch sein mögest. Der Anlass war immerhin die sehr einseitige Darstellung, dass nur zertifikatsbasierte Signaturen möglich seien, ich wäre eher dafür, für den Leser verständliche ... und unterschiedliche Verfahren der elektronischen Signatur darzustellen. Ich glaube, dass alle SIgnaturverfahren in bestimmten Umfeldern ihre Berechtigung haben. Dies dient dem leser sicherlich mehr als ein reiner Gesetzestext. Eine entsprechende Struktur oder Gliederung fände ich einer Diskussion wert und hatte ich ja bereits angeboten.
- Man muss auch letzt endlich folgendes berücksichtigen ... Für den Bereich der Freiwlligen Formvereinbarungen geht es lediglich um Beweisbarkeit ... also fortgeschrittene Signature, wo sollen wir also den Bemessungswert einer Darstellung anlegen ... nur an der rechtlichen ??
- Rolf Schmoldt, 25.05.2007
- Erstens, wie gesagt, verweigerst du Quellenangaben. Zweitens hast du begründete Löschungen von drei verschiedenen Benutzern jeweils rückgängig gemacht. --08-15 20:29, 25. Mai 2007 (CEST)
- Erstens bin ich nicht RolloM, sondern mehrere verschiedene Benutzer haben deinen Abschnitt aus dem Artikel entfernt; das sollte dir zu denken geben. Ein PDF-Download ist ein Weblink - das ist eine schlichte Tatsache (http-Link, du verstehst?), wobei ich persönlich nicht denke, dass dieser den Kriterien WP:WEB entspricht. Wenn du dich weigerst, die Regeln für Wikipedia-Artikel zu beachten, wird wohl ein Admin eingreifen müssen. --08-15 20:23, 25. Mai 2007 (CEST)
Kritik
Den Abschnitt Problematik der Geheimhaltung und Weitergabe habe ich gelöscht. Gegebenenfalls sollte die Kritik prägnanter formuliert werden (SoftPSE ist eher kein gültiger Kritikpunkt, da ja auch SSEE verwendet werden können) und klar gemacht werden, wer das kritisiert. --08-15 21:49, 27. Mai 2007 (CEST)
Respekt für 08-15
Trotz meiner Auseinandersetzung mit 08-15 muss ich diesem anhand seiner Überarbeitung und Restrukturierung der Seite vom 27.05.2007 meinen Respekt zollen !!
Dies soll keine Einschmeichelei sein, sondern ernsthafte und diesmal positive Kritik .. 08-15 kann die Dinge besser auf den Punkt bringen. Ich weiss dabei zu schätzen, dass die von mir eingefügten Textveränderungen vor und nach der Überarbeitung von 08-15 nicht gelöscht wurden. Dies gibt mir zumindest die Hoffnung, dass die Seite in Zukunft tatsächlich ausgeglichenere Informationen zur Verfügung stellt und nicht nur die qualifizierte Signatur als die einzige Möglichkeit erscheinen lässt.
Allerdings könnte ich mir noch weitere Verbesserungen vorstellen ... im Sinne folgender Struktur:
- Thema
- Landesspezifische Betrachtung
Ergänzend könnte ich mir vorstellen, Praxis-Beispiele für folgende Signaturen anzuführen:
- Qualifizierte Individual-Signatur
- Fortgeschrittene Individual-Signatur mit Zertifikat
- Fortgeschrittene Individual-Signatur ohne Zertifikat
- Massensignatur (z.B. Rechnungen)
- Massensignatur (z.B. Scan-Verfahren)
- Zeitstempel
- Einfache Signaturen (Deutschland: Textform)
--RSchmoldt 14:44, 28. Mai 2007 (CEST)
Rückdatierung statt Vordatierung ??
Nach meinem Verständnis ist im Kapitel Langfirstige Sicherheit ... sicherlich Rückdatierung anstatt Vordatierung gemeint ... --RSchmoldt 15:17, 28. Mai 2007 (CEST)
- Sieht sehr so aus. --08-15 15:30, 28. Mai 2007 (CEST)