# Qualifizierte Signatur auf Chipkarte: Was bringts bei Linux?

## SvenFischer

Ich verwende online Banking mit einem Class 3 Chipkartenleser mit Moneyplex und das funktioniert prima.

Nun überlege ich wegen Elster und Co mir so eine qualifizierte Signatur auf Chipkarte zuzulegen, wenn ich damit auch e-mails unterschreiben kann. Bisher klappt das ganz gut mit Signaturen als Dateien von Cacert, aber auf Karte und dann noch mit externer PIN Tastatur?

Wer verwendet soetwas und welche Software unterstützt das? Zu gerne würde ich das mit kmail verwenden, aber finde nichts dazu...

----------

## jkoerner

Last edited by jkoerner on Sat May 21, 2011 4:04 pm; edited 1 time in total

----------

## sprittwicht

Da schmeißen wir aber gerade einiges durcheinander.   :Rolling Eyes: 

Dem Threadstarter ging es darum, E-Mails zu unterschreiben. Das hat erstmal nichts mit Verschlüsselung zu tun, sondern nur mit Authentizität. Und die lässt sich wohl mit einer Signatur besser sicherstellen, wenn sich der private Signierschlüssel auf einer Chipkarte befindet und den Kartenleser nie verlässt. Bei deinen "gängigen Verfahren" befindet sich der private Schlüssel immer auf irgendeinem Datenträger und kann dort von anderen Nutzern, Trojanern oder nach einem Plattencrash vielleicht sogar vom nächsten eBay-Käufer entwendet werden.

----------

## jkoerner

Last edited by jkoerner on Sat May 21, 2011 4:04 pm; edited 1 time in total

----------

## py-ro

Ist aber leider keine gültige qualifizierte Signatur und damit untauglich um z.B. Rechnungen zu unterschreiben.

Leider ist mir bisher keine möglichkeit bekannt, mit freier Software, den aktuellen Stand der Chipkarten einzusetzen. Mit der letzten Version, die leider nicht mehr gültig ist, ging es mit OpenSSL.

Py

----------

## SvenFischer

GnuPG != X509

Nun, mit der qualifizierten Signatur kann man auch PDF's unterschreiben. Ob damit auch eine Verschlüsselung möglich ist... vielleicht!? Wer kann dazu mehr berichten? Wird in dem Zertifikat auch die e-mail Adresse gespeichert?

Wie kann man den überhaupt mal erfahren, was auf der Karte so enthalten ist (Daten, Zertifikat(-skette))?

Was mich bisher stört ist die tatsache, das scheinbar alle Karten nur zwei Jahre Gültigkeit haben, die Post bietet scheinbar drei Jahre Gültigkeit an (nicht unerheblich, bei dem Preis!).

Und jetzt noch ein oben drauf: Könnte ich meine CAcert auf einer solchen Karte speichern? Wie bringe ich Programme dazu den Zugriff auf die Smartcard umzuleiten? Ich denke, das hier noch ziemlich viel programmiert werden muß. RedHat bietet schon heute an, das ein System nur hochfährt, wenn die SC das freigibt. Die Basics müssen also schon implementiert sein.

Mir ist klar, das das wohl nur wenige bisher interessiert hat, aber soll nicht bald eine Signatur im Personalausweis enthalten sein und so endlich der breiten Masse soetwas zur Verfügung stehen?

----------

## py-ro

Es sind bei den Karten, zusätzlich zum Key für die qualifizierte Signatur, noch ein klassisches Public-/Privatekey Paar gespeichert.

Leider habe ich bisher nur vom Winux Projekt eine Software gefunden, mit der man PDF mit dem gleichen Standard signieren kann, nur leider ohne Chipkarte, womit sie in D nicht als qualifiziert gilt.

Die E-Mail Adresse wird nicht mit gespeichert, dafür aber die persönlichen Daten, sofern eine qualifizierte Signatur genutzt werden soll. Die E-Mail Adresse lässt sich allerdings, AFAIK, als Attribut hinzufügen. Dies muss aber auch schon bei der Ausstellung des Zertifikats geschehen.

Die rechtlichen Anforderungen an solch unterschriebene Rechnungen sind übrigens enorm und weit am Ziel vorbei und machen das System eigentlich nicht tragbar.

Opensource Software in der Community zu entwickeln ist deshalb schwierig, da, je nach Informationsquelle verschieden, mindestens eine Selbsterklärung des Herstellers oder sogar eine Prüfung durch entsprechende Stellen des Bundes erfolgen muss(teuer).

Py

----------

## SvenFischer

Per Zufall bin ich darauf gestossen und werde weiter forschen (USE: smartcard, X509, openct)

```

[ebuild   R   ] app-crypt/gnupg-2.0.9  USE="bzip2 doc nls openct* smartcard* -ldap -pcsc-lite (-selinux)" 0 kB

[ebuild   R   ] net-misc/openssh-5.1_p1-r2  USE="X X509* kerberos pam skey smartcard* tcpd -hpn -ldap -libedit (-selinux) -static" 150 kB

```

----------

