Thunderbird mit DATEV-SmartCard / nPA

  • Thunderbird-Version: 17.0.2
    Betriebssystem + Version: Windows7
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX): gmail
    SMIME oder PGP:SMIME


    Hallo!


    Mein Arbeitgeber (mittelständische WP-/StB-Gesellschaft) wird in Kürze die Emailsignatur mittels DATEV-SmartCard einsetzen. Damit ist zwar unsere Urheberschaft und die Integrität der Email gewährleistet, aber mehr auch nicht. Für eine verschlüsselte Kommunikation mit dem Mandanten ist nötig, dass diese auch eine DATEV-SmartCard haben (oder eine andere SmartCard). Soviel ist mir auch vollkommen klar.


    Nun kommt aber das uns it-mäßig unbekannte Wesen "Mandant" und fragt, wie er denn an so eine Smart-Card kommt. Da würde ich ihm natürlich gern sagen, dass er einfach über uns eine DATEV-SmartCard bekommt und alles ist schön und sicher. (oder alternativ seinen Personalausweis dafür nutzen kann). Beim Verabschieden sagt er beiläufig, dass er natürlich Thunderbird nutzt. Und jetzt?


    Die DATEV bietet jedoch nur eine Funktionsfähigkeitsgewährleistung für Microsoft-Krempel an. Das haben aber logischerweise nicht alle unsere Mandanten.


    Hat jemand Erfahrungen, ob die DATEV-SmartCard (mit dem DATEV-Sicherheitspaket) mit Thundbird funktioniert?
    Wie sieht das mit dem neuen Personalausweis aus? (Das wäre meine Idealvorstellung!)


    Es geht mir letztlich darum, dass wir den Mandanten überhaupt antworten können "Das geht nur mit Outlook" oder "Das geht auch mit Thunderbird". Der Steuerberater muss ja letztlich immer alles beantworten können ...


    Vielen Dank für Eure Anregungen, Hinweise und Ideen!


    Heiner

  • Hallo Heiner,


    leider kann ich es Mangels der entsprechenden Karte selbst nicht testen. Aber ich habe schon mehrere Systeme erfolgreich mit dem TB nutzen können.


    Über (allgemeine) Einstellungen > Erweitert > Zertifikate > Kryptografie-Module kannst du mit "Laden" ein Neues PKCS#11 Modul einbinden. Und jetzt musst du entweder "wissen" oder "austesten".
    Zum Beispiel wird bei der von uns genutzten Middleware "Nexus Personal" auf die "personal.dll" verwiesen. Sobald die richtige dll (oder eben eine andere ensprechende Datei) eingebunden ist, wird sofort die Karte erkannt und ist verwendbar. Selbstverständlich muss die Middleware (also hier das DATEV-Sicherheitspaket, welches diese enthält) vorher installiert sein.
    Ich würde ja gern mittesten, aber .... siehe oben.


    Der nPA kann für die Verschlüsselung und elektronische Signatur IMHO (noch?) nicht verwendet werden. Das auf diesem installierte Zertifikat+private Key ist bewusst für die Verwendung "Authentisierung" beschränkt worden. Du sollst dich damit also nur sicher anmelden können. (Es ist ja auch wohl kaum in "Wolfgangs" Interesse, dem Volk quasi kostenlos ein Mittel zur Verschlüsselung seiner E-Mails in die Hand zu geben, welche er dann nur mit immensem Aufwand mitlesen kann ... .)
    Und das optional nachkaufbare Zertifikat soll auch nur für die QES einsetzbar sein.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Heiner,


    man müsste es halt in TB einbauen.
    Das sollte eigentlich kein größeres Problem sein, wenn man die Schnittsellen kennen würde.
    (habe schon sehr viele smartcards in Anwendungen integriert).
    Der nPA könnte u.U. auch eingesetzt werden, man müsste auch hier ein Verfahren mit einem Anprechpartner bei Datev diskutieren.. (den nPA habe ich ebenfalls schon in so manche Web-Anwendung intergriert)


    Viele Grüße
    Dieter

  • Hallo Dieter,


    und willkommen im Forum!
    Ob der Heiner, der am 24.01.2013 hier seine Frage gestellt und auf meine ausführliche Antwort nie geantwortet hat, heute noch mitliest, wage ich zu bezweifeln.
    Ja, DANKE sagen hätte er schon. Nur das weiß man eben nicht vorher, bevor man seine Zeit mit Antworten vertut ... .


    Nun zu deinem Posting:
    Du schreibst "man müsste ..."
    Wen meinst du damit? Ist das zufällig der gleiche den meine Frau meint, wenn sie sagt "Man müsste wieder mal den Mülleimer runterbringen/die Fenster putzen/den Keller aufräumen/die Wohnung renovieren, usw.?
    Ach ich sehe gerade, du bietest dich gleich selbst an => "(habe schon sehr viele smartcards in Anwendungen integriert)."
    PRIMA! Wan fängst du an, und wann ist es fertig? Und gleich eine "Warnung": Wir arbeiten hier alle freiwillig, in unserer Freizeit und selbstverständlich ohne Bezahlung.


    Zitat

    Der nPA könnte u.U. auch eingesetzt werden, man müsste auch hier ein Verfahren mit einem Anprechpartner bei Datev diskutieren..


    Sag, hast du meinen obigen Beitrag bis zum Ende gelesen?
    Wenn du eine Lösung hast, die reinen, also bewusst dafür beschränkten, Authentifizierungs-Zertifikate erfolgreich zum Signieren und zum Ver- /Entschlüsseln einzusetzen, dann lass es uns wissen. Vielleicht lerne ich auch auf diesem Gebiet noch was dazu. Der Staat hat auf jeden Fall keinerlei Interesse daran, sein Volk (fast) gratis mit Schlüsseln für die E-Mailverschlüsselung auszustatten. Ganz im Gegenteil! Ich befürchte nach den aktuellen "Beiträgen" bestimmter Politiker, dass "man" uns die private Verschlüsselung bald verbieten wird. Oder nur noch "staatlich bereitgestellte Verfahren" nutzen darf.


    Mir würde es schon völlig reichen, wenn sich unsere Menschen überhaupt ein paar Gedanken machen würden, um mit Verschlüsselung ihre Privatsphäre vor Beschnüffelung zu schützen. Aber die "Generation Facebook" hat sich ja von einer schützenswerten Privatsphäre ja längst veranbschiedet.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ich danke dir für deine Infos.
    Wenn ich schreibe "ich habe schon viele smardcard Anwendungen integriert" ist das eine Aussage zu der ich stehe. Dass du daraus schließt "ach du bietest dich gleich selbst an" ist deine persönliche Meinung. würde ich mal sagen.
    Und dann nur so am Rande: dass du von dir sagen kannst ich arbeite in meiner Freizeit (ohne Bezahlung) freut mich sehr für dich, nur Freizeit im Sinne von FREIE ZEIT kenne ich nicht (ich bin FREI Berufler)..
    Aber jetzt zur Sache: ich bleibe dabei, dass der nPA sich auch für Verschlüsselung nutzen lässt.
    Ich nehme deinen Beitrag daher gerne als Anregung mir das genauer zu überlegen.


    mfG Dieter

  • Zitat

    Aber jetzt zur Sache: ich bleibe dabei, dass der nPA sich auch für Verschlüsselung nutzen lässt.


    Ja selbstverständlich geht das - wenn du dir gegen "teuer Geld" von D-Trust (= TrustCenter der Bundesdruckerei) oder einem anderen TrustCenter ein für Ver-/Entschlüsselung und el. Signatur geeignetes Zertifikat dazukaufst.
    IMHO würde sich das aber jeder an Verschlüsselung und el. Signatur interessierte Mensch genauestens überlegen! Ich würde niemals freiwillig meine (vorhandene) Signaturkarte ohne Not ständig mit mir herumtragen! Bei Verlust/Diebstahl meines PA wäre dann nämlich auch noch der Zugang zu meinen empfangenen E-Mails weg, und alle von mir gesendeten E-Mails würden dann auf einmal (wegen der sofortigen Sperrung der Zertifikate!) bei den Empfängern mit einer ungültigen Signatur angezeigt. Nein, dieses Risiko sollte niemand eingehen!


    Wie schon geschrieben, das auf dem nPA vorhandene eine Zertifikat + sein privater Schlüssel ist ganz bewusst und beabsichtigt mit der Einschränkung produziert worden, dass es nur zur Authentisierung verwendet werden kann. Jeder Mailclient verweigert die Benutzung dieses Schlüsselpaares für Zwecke der Verschlüsselung und Signatur. Aber auch hier gilt, dass der Kundige selbstverständlich seinen eigenen MUA so manipulieren kann, dass dieser diese Prüfung nicht durchführt. Aber willst du auch die Programme aller deiner Mailpartner manipulieren?


    Zurück zum Thunderbird.
    Jede Microprozessor-Chipkarte der verschiedenen weltweit tätigen Hersteller funktioniert mit ihrem Betriebssystem etwas anders. Und dafür wird für jeden Chip und für jedes Betriebssystem ein so genannter "Cryptografic Service Provider" (CSP) mitgeliefert. In Richtung Chipkarte bedient dieser genau diesen Chip, in Richtung Anwendungsprogramm (hier: eben der TB) ist es eine standardisierte PKCS#11-Schnittstelle. Dieses, meist vom Lieferanten des Kartenlesers mitgelieferte "Kartenleserprogramm" beinhaltet also sowohl den Hardwaretreiber des Kartenlesers, bestimmte Hilfsfunktionen und den erwähnten CSP. Ohne die Installation dieses "Kartenleserprogrammes" funktioniert der Kartenleser nicht oder nicht richtig (weil nur mit den vom Betriebssystem mitgelieferten Standard-Treibern). Jeder Nutzer wird also dieses Programm gemäß der dem Kartenleser beiliegenden Anleitung installieren.
    Und, wie ich schon in meinem Beitrag aus dem Jahr 2013 geschrieben habe, musst du lediglich den CSP (meist eine .dll) aus diesem Programm in den Thunderbird per GUI einbinden, und schon funktioniert der TB mit IMHO jeder Chipkarte. Damit ist diese Funktion bereits im Thunderbird integriert!
    Es sei denn, du willst weltweit alle Nutzer, die eine Signaturkarte nutzen wollen, zwingen, einen einzigen Chipkartentyp zu nutzen. Dann und nur dann kannst du den CSP fest in den TB integrieren. Ich bezweifele aber, dass die Amis unseren nPA nutzen wollen. Und, es kommen immer neue und bessere Chipkarten (und somit CSP) auf den Markt. Wer soll das im TB nachpflegen?
    Das einzig vorhandene "Problem" ist, dass der Nutzer der gerne eine vorhandene Chipkarte mit dem TB nutzen will, herausfinden muss, welche .dll er im TB einbinden muss. Denn das geben die Hersteller nicht in der Anleitung bekannt. Bis jetzt konnte ich das bei den vielen von mir genutzten oder zumindest getesteten Karten innerhalb weniger Minuten durch einfaches Durchprobieren herausfinden.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ich sehe schon du bist ein echter Profi auf dem Gebiet und ich würde gerne sofort weiter diskutieren.
    Ich bin jedoch für einige Tage wegen eines Projektes total ausgebucht, und rühr mich dann wieder.


    mfG Dieter

  • aber gerne.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!