Qes qualifizierte elektronische Signatur beA

Hallo liebes Forum!

Ich komme mit folgendem Problem nicht weiter und brauche Hilfe:

Ich habe eine offzizelle qualifizierte Signatur (qeS) bei der Bundesnotarkammer gekauft. Innerhalb der Justiz gibt es damit auch überhaupt keine Probleme.

Wir bekommen für die Signatur nur den eigenen Schlüssel, einen weiteren öffentlichen Schlüssel oder so gibt es nicht. Für die Signatur wird das Zertifikat auf der Chipkarte im Chipkartenlesegerät aufgerufen und per PIN freigegeben.

Allerdings wollte ich jetzt eine Rechnung per Mail verschicken und habe mich gefragt, wie es der Nutzer sieht und habe meine Signatur mit Kleopatra prüfen lassen. Ergebnis: Durchgefallen. Die Bundesnotarkammer sagt dazu, dass Problem ist die Prüfsoftware. Die super sichere europäische Variante könne von USA und anderen Drittstaaten nur mit Mehraufwand geprüft werden.
Mir fehlt der technische Hintergrund das zu beurteilen, aber ich finde das unlogisch.

Ich habe folgende Anlagen:
Datei mit bzw. und Signatur
Prüfergebnis Justiz
Prüfergebnis Kleopatra
Prüfprotokoll Kleopatra

Kleopatra.pdf (60.9 KB)

oje, Noob-Alarm^^ die anderen Anhänge stelle ich ein, wenn ich herausbekommen habe, wie man mehr als 1 Anhang veröffentlicht, sorry.

TEST_20230313133737414.pdf.verificationresult.html (28.5 KB)

die eigentliche Rechnung lasse ich jetzt weg, in diesem Post noch die Anlage mit der Eigentlichen Signatur

Danke für eure Hilfe,
ich entschuldige mich für etwaige Fettnäpfchen, das ist mein erster Anlauf

TEST_20230313133737414.pdf.p7s (3.05 KB)

Anhand der Screenshots würde ich folgendes behaupten:
Kleopatra kann bestätigen, dass die Datei mit dem Zertifikat signiert wurde, aber das Root Zertifikat der Bundesnotarkammer ist nicht als vertrauenswürdiges Zertifikat im System hinterlegt. Um die Prüfung komplett erfolgreich durchführen zu können, muss das Root Zertifikat der Bundesnotarkammer in den Zertifikatsspeicher importiert und ihm vertraut werden, dann kann es bei einer Überprüfung dieses Vertrauen an von der Bundesnotarkammer ausgestellte Zertifikate vererben. Da es speziell um die Frage ging wie das beim Empfänger aussieht - die müssten dementsprechend auch jeweils einmalig das Zertifikat der Bundesnotarkammer importieren und als vertrauenswürdig markieren. Die Prüfung sollte also durchaus möglich sein, erfordert aber eine Erstkonfiguration. Die sonst in der Justiz verwendete Software bringt das Root Zertifikat für ihre eigenen Prüfverfahren vermutlich selbst mit.

Die Zertifikate gäbe es übrigens hier:
https://zertifizierungsstelle.bnotk.de/veroeffentlichungen

Hallo Christoph,

handelt es sich um eine Inline-Signatur (innerhalb der PDF-Datei) oder eine detached-Signatur?

Bei der Inline-Signatur öffnet dein Rechnungsempfänger die PDF-Datei am einfachsten mit dem Acrobat Reader und bekommt, wenn es eine aktuelle Version ist, direkt bestätigt, daß es sich um eine QES handelt, weil auch dort die Herausgeber von QES schon hinterlegt sind.

Oder er besorgt sich Prüfsoftware wie Secsigner oder er nimmt die Prüfseite der EU:
https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/validation

Diese beiden Möglichkeiten sind auch für detached-Signaturen geeignet.

GPG ist für diese Signaturformate soviel ich weiß nicht geeignet, weil es die nötigen Algorithmen nicht beherrscht.

Hallo Alan,

es muss eine Signatur in einer angehängten Datei sein, denn Christoph hatte sie angehängt. :slight_smile:

Der Acrobat Reader ist eine proprietäre Software und nicht auf allen Plattformen verfügbar. Im Sinne einer allgemeinen Verfügbarkeit ist das großer Nachteil.
Das gleiche gilt für Secsigner, soweit ich weiß.

Der Nachteil der Prüfseite der EU steht auch gleich da:
" your files are going to be transmitted to the infrastructure of the European Commission" und deshalb nicht für schutzbedürftige Daten geeignet.

GnuPG beherrscht die üblichen Algorithmen, rund um CMS, insofern kann GnuPG solche Signaturen prüfen und damit kennt es auch Kleopatra. Es braucht allerdings eine Erstkonfiguration, wie Florian im Mai schon richtig geantwortet hat. Die ist zur Zeit noch schwer.

Viele Grüße
Bernhard

Hallo,

habt noch ein paar Tage geduld bitte. Ich schreibe gerade schon an den news Seiten für Gpg4win-4.2.0. https://dev.gnupg.org/source/gpg4win/browse/master/NEWS

Heute wird es wahrscheinlich noch nichts aber ich möchte es unbedingt noch diese Woche rausbekommen. Darin wird als neue Komponente “Okular” enthalten sein, als PDF reader mit voller GnuPG anbindung zur überprüfung und erstellung von signierten PDFs. Also wenn ich den Thread richtig verstehe genau das was ihr hier braucht. Damit sind dann mit den entsprechenden Zertifikaten auch Qualifizierte Elektronische Signaturen möglich.

Das wird im ersten release noch als Experimentell gekennzeichnet sein und noch nicht per default installiert werden. Aber ich würde mich von allen hier dann über Rückmeldungen freuen ob das so für euch funktioniert.

Hi Andre,
das ist sehr cool, mit Okular!

In der Fragestellung dieser Disskussion würde es nicht helfen, weil Christoph K. (der Anfragende) eine abgetrennte Signaturdatei hat, in einer juristischen Anwendung.

Seine Herausforderung wäre, die richtigen Wurzelzertifikate zu konfigurieren, wie Florian (Sch.) schon richtig geantwortet hatte (vielen Dank dafür, Florian)!

Viele Grüße
Bernhard

“Der Acrobat Reader ist eine proprietäre Software und nicht auf allen Plattformen verfügbar. Im Sinne einer allgemeinen Verfügbarkeit ist das großer Nachteil.
Das gleiche gilt für Secsigner, soweit ich weiß.”

Allgemeine Verfügbarkeit bedeutet für die nichttechnische Allgemeinheit: Windows. Die “allgemeine Verfügbarkeit”, die man in der Linux-Blase gerne meint, ist nichts anderes als faktische Nicht-Verfügbarkeit bzw. Nicht-Nutzbarkeit ohne Klimmzüge.

Der Secsigner ist übrigens für Windows, Apple, Linux und pures Java verfügbar.

Nicht nur Acrobat Reader, sondern auch andere PDF-Anwendungen wie PDF XChange zeigen qualifizierte Signaturen standardmäßig an - nur eben leider keine abgetrennten Signaturen.

Was die EU-Seite angeht: dort gibt es die Option “Send original file(s) as…” (Hash). Damit sollte eigentlich ein Übertragen der Originaldatei vermieden werden. Technisch wird jedenfalls nur der Hashwert der PDF-Datei benötigt, den auch der Browser lokal generieren und übertragen kann.

Ja, eigentlich sind detached signaturen ja auch das coolere (So wie es GnuPG ja standardmässig macht) weil man dann verifizieren kann bevor man ein möglicherweise schädliches Dokument öffnet.

Was wir mit Okular machen sind aber tatsächlich dann die sog. PDFSIG signaturen also die eingebauten zu erstellen und zu verifizieren, das ist halt eher das gebräuchliche und nach EIDAS auch das rechtsverbindliche.

Hallo Alan,

grob habe ich eine Idee davon, was Du mit “Linux-Blase” meinst.
Unschön finde ich die Abwertung die ich da herauslese.

Ich denke es ist wichtig, das wir bei zentraler Infrastruktur die Möglichkeiten der demokratischen Kontrolle haben, welche Freie Software bietet und die Möglichkeit,
notwendige Software auf Hardware der eigenen Wahl zu betreiben.

Es ist gut, wenn es den SecSigner plattformunabhängig gibt, von https://seccommerce.com/download-secsigner-secsign-id/ Danke für den Hinweis! Besser als die Situation beim Acrobat Reader (als ich das letzte Mal geschaut habe), den bekomme ich wohl auf einem ARM Rechner wie einem Rasperry Pi 4 nicht ans laufen.
Die Code-Kontrolle durch Dritte scheint der Secsigner noch nicht zu ermöglichen.

Viele Grüße
Bernhard

Hallo Bernhard,

das ist keine Abwertung, nur Frust über die tatsächliche Wertlosigkeit vieler Linux-Lösungen für die tägliche Arbeit.

Funktionierende PDF-Software auf einem Client ist keine “zentrale Infrastruktur”, und unter Linux mangelt es hier an allen Ecken. Betrachten geht vielleicht noch, aber Ordnen, Drehen, Aussortieren, Stempeln oder eben Signieren: da wird es leider düster.

Ich weiß auch nicht, was “demokratische Kontrolle” bringen soll, wenn etwas nicht funktioniert. Und ich habe wirklich über Jahre mehrfach versucht, mit meinem Client auf Linux zu wechseln und habe jedesmal frustriert aufgegeben, weil viele wichtige Anwendungen einfach nicht vorhanden sind.

Übrigens: “Okular” … als PDF reader mit voller GnuPG anbindung zur überprüfung und erstellung von signierten PDFs? Wird denn eine der handelsüblichen qualifizierten Signaturkarten auch von GPG erkannt werden? Das wäre nämlich die Grundvoraussetzung für qualifiziertes Signieren.

Klar, ob telesec oder D-Trust (Bundesdruckerei). Nenn mir lieber eine die nicht anerkannt wird, dann schauen wir uns die an.

Personalausweis ist leider ein ganz eigenes Thema. Da habe ich pläne für aber die sind noch im bereich der “Vision”. Da muss man leider unserer Regierung danken das die nicht einfach einen Handelsüblichen Krypto chip auf die Ausweise gemacht hat sondern was tolles eigenes brauchte. Wär ja auch zu schön wenn jeder mit seinem Ausweis mails entschlüsseln und signieren kann :roll_eyes:

1 Like

Da bin ich ja gespannt…

ach, der Personalausweis könnte das, die Hardware ist nicht das Problem. Es gibt nur leider keinen Dienstleister (mehr), der diese Nachladesignaturen verkauft. Aber es gibt ja zum Trost noch Krankenversicherungs-Chipkarten, die auch fast jeder hat, und SIM-Karten im Handy, Volksverschlüsselung und DeMail, da ist für jeden was dabei - nur nichts Funktionierendes.

Angeblich kommt ja von der EU demnächst eine “europäische digitale Identität”.

Kann es sein, daß du “erkennen” und “anerkennen” durcheinanderbringst? “Anerkennen” braucht nicht viel, um Signaturen zu prüfen. Angeblich kann Okular ja aber signieren, dazu muß Okular den Signaturschlüssel erkennen, um ihn anwenden zu können.

Laut Hilfe sucht Okular hier nach Schlüsseln:

Zurzeit versucht Poppler, einen der folgenden NSS-Zertifikatsspeicher der Reihe nach zu benutzen und verwendet den ersten gefundenen Zertifikatsspeicher:

  • Der Zertifikatsspeicher des aktuellen Firefox-Benutzers.
  • Den systemweiten Zertifikatsspeicher /etc/pki/nssdb.
  • Die Datei $HOME/.pki/nssdb des aktuellen Benutzers

Wenn Sie einen benutzerdefinierten Zertifikatspeicher verwenden möchten, können Sie diesen im Abschnitt PDF-Anzeigemodul im Dialog Anzeigemodule einrichten … einstellen.

Es gibt aber wohl keinen QES-Anbieter, der dort seine Schlüssel hinterlegt. Der Signaturschlüssel ist entweder auf einer Smartcard hinterlegt oder bei Fernsignatur beim QES-Anbieter. Folgerichtig erkennt Okular auch weder eine DGN-QES-Karte noch eine DATEV-Signaturkarte (die noch nicht einmal QES bietet).

Da fehlt wohl noch irgend etwas (Entscheidendes).

Hi,

Da ist die Dokumentation noch veraltet, wir haben das GnuPG Backend ja gerade erst frisch eingebaut. Früher gab es da nur das NSS backend, unter Linux kannst du zwischen NSS und GPG wählen, und in der Gpg4win Version von Okular ist halt GnuPG jetzt voreingestellt. Du solltest mit allen Karten / Zertifikaten signieren können die Kleopatra dir auch anzeigt bzw erkennt.

Wenn du unter tools configure backends gehst siehst du jetzt sowas:

Wir haben noch als offenen Fall das wir stärker hervorheben bei der Auswahl was davon Qualified und nicht Qualified Zertifikate sind.

Das Okular in Gpg4win verwendet GnuPG als Krypto-Backend und sucht dann dort nach den öffentlichen Schlüsseln (aka Zertifikate) und den privaten. Deshalb musst Du in die GnuPG Dokumentation schauen.

Und wo da genau? In das Smartcard-Howto von 2006?
https://www.gnupg.org/howtos/card-howto/en/smartcard-howto.txt

Mein Kleopatra erkennt bei beiden Karten ebenfalls gar nichts.

Es ist, auch wenn jetzt hier sicher wieder jemand eine “Abwertung” herausliest, wie so oft mit GPG und Anhang: Satz mit X.

Das kommt darauf an, was Du machen möchtest. Ich denke, es lohnt, hier anzufangen: Invoking SCDAEMON (Using the GNU Privacy Guard)

Aber: Wie oben schon gesagt. Es ist zur Zeit leider schwer zu konfigurieren.

Dann kann es der Krypto-Motor drunter auch nicht. Der nächste Schritt wäre, da mehr Diagnose-Ausgabe einzuschalten, um herauszubekommen, was das genau für Karten und Kartenlesegeräte sind.