qualifizierte Signatur bei E-Mails

  • Hallo zusammen,
    mich beschäftigt seit längerem eine Frage:
    Warum sind qualifizierte Signaturen nicht für E-Mails möglich ?


    Folgende Begründungen habe ich bereits gehört, sind allerdings für mich nicht einleuchtend:
    1) auf der Empfängerseite könnte kein Mailprogramm die Verifikation durchführen....
    als Gegenargument ist meiner Meinung folgendes zu nennen:Eine qualifizierte Signatur definiert sich meiner Meinung nach definiert durch den Einsatz eines qualifizierten Zertifikats (nur auf Smartcards / SSEE zu erhalten) und einem qualifizierten Zeitstempel (qualifiziert, da der Zeitstempel von einer Bundesnetzagentur akkreditierten Stelle ausgestellt werden muss) und einer Konformität zum SigG der Signaturanwendungskomponenten, welche durch eine Herstellererklärung gegeben ist. Eine Signatur ist also rechtsverbindlich sobald die Signatur auf das entsprechende Dokument (z.b. .eml (Email) oder .pdf, .tif, .jpg, .xml, .doc) erstellt worden ist. Wann, ob und wie der Empfänger die Signatur prüft, ist bei Signaturerstellung überhaupt nicht zu gewährleisten. Und selbst wenn, warum soll der Empfänger die Datei (.eml) nicht prüfen können, nur weil das der Mail-Client von-Haus-aus nicht kann. Es gibt genug andere Dokumente, wo das entsprechende Programm keine Signaturprüfungen beherrscht, selbst Adobe Reader prüft nicht SigG-konform. Der Empfänger muss in dem Fall die Datei mit einem separaten Programm (anerkannt für SigG) prüfen, und den Prüfbericht speichern.... müsste doch mit Mails auch möglich sein.


    2) Die Mail-Clients würden die qualifizierten Zertifikate ablehnen aufgrund des Attributwertes Keyusage = NonRepudiation (nicht abstreitbarkeit)
    dazu habe ich eigentlich keine Belege gefungen, und ich kann es nicht wirklich glauben, da Mails mit qualifizierten Zertifikate ja verschickt werden können, sie aber eben nur zur fortgeschrittenen Signatur zählt.


    Generell bin ich auf der Suche nach einem E-Mail-Server für qualifizierte Massensignaturen, und habe bis dato nicht ein Anbieter gefunden. Der Witz ist, dass es genügend E-Mail Server für fortgeschrittene Massensignaturen angeboten werden. Die Hersteller solcher Produkten konnten mir allerdings keine schlüssige Erklärung geben, warum das so ist. Selbst bei den Trust-Centern wurde lediglich die andere Beantragungsweise und die Ausstellung auf die Person, nicht die Organisation erklärt; was ja bei den fortgeschrittenen auch der Fall ist.


    Weiterhin frage ich mich, ob überhaupt eine Signatur von Mails mit qualifizierten Zertifikaten überhaupt sinnvoll ist, wenn sie sowieso am Ende eine fortgeschriitene Signatur bleibt und nicht rechtsverbindlich ist.... Sieht der Empfänger ob die "fortgeschrittene Signatur" mit einem fortgeschrittenen oder qualifizierten Zertifikat erstellt worden ist ??? Welche Rolle spielt dabei der qualifizierte Zeitstempel ?


    Ich bin echt für jede Erklärung und vlt für ein Verweis auf öffentl. Dokument (welches technisch oder rechtlich die qualifizierte Signatur bei Mails ausschließt) dankbar, oder [anderer Fall] eine Produktangabe welches die qualifizierte Massensignatur für Mails beherrscht.


    Vielen Dank im Voraus für eure Antworten!


    Grüße, Frank

  • Hallo Frank,


    und Willkommen im Thunderbird-Forum! :)


    Du hast ja schon richtig erkannt, daß eine *qualifizierte Signatur* nur den Einsatz von S/MIME erlaubt. (Trustcenter etc. ...)


    Soweit mir bekannt sind qualifizierte Signaturen durchaus rechtsverbindlich ~ auch für e-mails {ansonsten würde wohl auch "mein" Notar nicht immer wieder sehr viel Geld dafür ausgeben!}.
    Auch online-Geschäfte werden ja hiermit abgewickelt.


    Glücklicherweise haben wir hier im Forum einen wahren S/MIME-Spezialisten, welcher Dir sicherlich sehr viel besser als ich antworten kann.
    Weder das Argument 1) noch 2) kann ich so nachvollziehen.


    Zitat

    ... E-Mail-Server für qualifizierte Massensignaturen


    Darunter kann ich mir leider gar nichts vorstellen. Aber ggfs. kann das ein anderer. ;)


    MfG ... Vic

  • Hi Frank,


    freut mich, dass du sich so intensiv mit der Materie befasst hast.
    Du hast in deinem Beitrag die richtige Antwort selbst geschrieben.
    Zu einer QS gehört nicht nur die Erzeugung der Signatur nach SigG/SigVO, sondern auch die dafür zugelassene Signaturprüfung. Es gibt definitiv keinen MUA, welcher nach SigG zugelassen ist und es wird imho auch nie einen geben. Und du kannst als Absender auch nie garantieren, dass der Empfänger einen solchen nutzen würde.


    Die Anforderungen an ein Programm zur Signaturprüfung sind sehr hoch. Nicht umsonst gibt es davon weltweit nur eine Hand voll (ja, der AR ist mit dabei). Ich will nur erwähnen, dass zum Bsp. auch signierte Bestandteile zwingend angezeigt werden müssen, welche "unsichtbar" sind. Die berühmte weiße Schrift auf weißem Grund, usw. Diese Bestandteile würde jetzt ein beliebiger MUA nicht zeigen - aber er würde anzeigen, dass diese Mail qualifiziert signiert sei.


    Aus diesem Grund werden (auch durch automatisch laufende Signaturserver) bislang nur "Dokumente", also Mailanhänge jeglicher Art qualifiziert signiert. In der Masse sind das pdf-Dokumente, aber es gibt auch qualifizierte Signaturen für ausführbaren Binärcode, nach Bildern konvertierte Dokumente und andere Daten.


    Aus den genannten Gründen schränken wir die Verwendung der Zertifikate bewusst ein, so dass für Mailverschlüsselung und/oder -Signatur eben nur ein fortgeschrittenes Zertifikat genutzt werden kann und genau diese Funktion wird bei den Zertifikaten für QS gesperrt.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter, hallo Vic,


    erstmal vielen Dank für die wirklich schnellen, und guten Antworten ;)


    Allerdings hab ich noch eine letzte Frage. Du schreibst von einer Einschränkung der Zertifikate für Mailverschlüsselung und/oder Signatur. Ich denke damit sind die Zertifikatsattribute gemeint. Aber wie kann ich mir eine "Sperrung" solcher Zertifikate vorstellen? Theoretisch kann ich ja eine Mail mit einem qualifizierten Zertifikat signieren (auch wenn es am Ende nur eine fortgeschrittene Signatur ist). Nur was passiert dann auf der Empfängerseite, wenn das Zertifikat vom MUA gesperrt wird ? Wird überhaupt sichtbar, ob die fortgeschritten signierte Mail mit einem qualifizierten Zertifikat erstellt worden ist ?


    Zitat von "Peter_Lehmann"


    Aus den genannten Gründen schränken wir die Verwendung der Zertifikate bewusst ein, so dass für Mailverschlüsselung und/oder -Signatur eben nur ein fortgeschrittenes Zertifikat genutzt werden kann und genau diese Funktion wird bei den Zertifikaten für QS gesperrt.
    MfG Peter


    Besten Dank schonmal ;)


    Schöne Grüße, Frank

  • Das wird durch die im Zertifikat eingetragene "Schlüsselverwendung" (Thunderbird: "Verwendung des Zertifikatsschlüssels") festgelegt.
    Zum Bsp.:

    • 30 = Schlüssel-/Datenverschlüsselung
    • 6 = Signatur von crl (also für ca-Zertifikate)
    • 80 = Digitale Signatur (fortgeschritten)
    • usw.


    Auswerten muss diese Beschränkungen das jeweilige Programm. Wenn es dies nicht macht, kannst du natürlich alles mit dem Z. anstellen. Es ist auch üblich, bestimmte Einschränkungen als kritisch zu markieren. Zumindest das werten alle gängigen Programme aus.


    Ja, was geht?
    Die Programme, welche ich nutze, lassen sich nicht austricksen. Deshalb kann ich deine Frage nicht beantworten. Aber ich traue mir schon zu, auf der Konsole, also ohne ein grafisches Mailprogramm, eine signierte Mail abzusenden ... . Habe ich zwar noch nie gemacht (das mit der Signatur), aber die man-page von "mail" gibt das her. Wird ein ellenlanger kryptischer Eintrag werden ... .
    Aber da imho die Sache mit qualifiziert signierten E-Mails sinnfrei ist, werde ich mich da nicht ransetzen.


    Und nebenbei:
    Du weißt schon, dass das qualifizierte Signieren immer nur mit einer SSEE (also Chipkarte) funktioniert? Das bedeutet, dass bei einem automatischen Betrieb diese Chipkarte ständig gesteckt und dessen PIN im RAM gespeichert sein muss. Dann muss entweder jemand ständig neben diesem Server sitzen, oder dieser Server befindet sich in einem Tresor. Letzteres ist kein Witz! Das dt. SigG stellt Anforderungen, die ich in dieser Höhe trotz 30jähriger Tätigkeit auf dem Gebiet der Geheimniskrämerei nicht kannte. Deswegen sagen wir Praktiker auch, dass das dt. SigG einer der Gründe dafür ist, dass sich die el. Signatur in Deutschland nicht so recht durchsetzt. Da waren wohl zu viele Juristen und zu wenig Praktiker am Werk ... . (Grüße nach Mainz ... .)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    danke für die Antwort, du scheinst ja auf dem Gebiet ein allwissendes Buch zu sein ;)


    Da ergreife ich doch einfach die Möglichkeit dich noch etwas zu fragen :P


    Was genau können Mail-Clients mit SPINX-Plugin (sprich: Programm welches den SPHINX-Interoperabilitätstest bestanden hat)?
    Also, wieweit kann man damit Signieren? werden Anhänge vlt automatisch qualifiziert signiert ?


    Gruß, Frank

  • Jetzt muss ich passen.
    Nicht dass ich das Projekt Sphinx nicht kenne, aber ich habe mich nie mit den Clients befasst.
    Tipp: Webseite des BSI => Suchfunktion ...


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!