ABAKUS

KSK Kunden koennen sparen laut
https://www.heise.de/security/news/meldung/64010

und auch Deutsche Bank Kunden, da ist der Link im anderen Forum

Wenn es bloß die 50.- wären, das wäre ja noch simpel. Das eigentliche Problem ist die Signatursoftware, die 'eigentlich' auch zertifiziert sein muß. Und das Ergebnis: Es gibt kaum welche (siehe https://www.bundesnetzagentur.de/ ) - und wenn, dann darf man pro Rechnung einmal die PIN eingeben.

Hoffe ja nur dass man den Private Key auch lokal - auf eigenes Risiko - aufm Rechner speichern darf statt jedesmal das Kartenlesegeraet mit sich rumzuschleppen und dauernd ne PIN einzugeben, was ich fuer mal so richtig schwachsinnig erachte ,)

@Airport1, mir scheint, Du hast dich noch nicht wirklich damit beschäftigt, was eine 'qualifizierte elektronische Signatur' erfordert und bedeutet.

Und an was willst Du das fest machen?

Falls es wegen meiner Anti-Liebe zu Kartenleser ist:
Daher ja auf EIGENES RISIKO den PrivateKey lokal speichern, und wenn man dazu was umgehen muss damit es geht dann mach ich das auch Wenn ich was absolut nicht leiden kann dann 1001 Kleinst-Zusatz-Geraete.. fuer mich umstaendlich und unnoetig. Bei mir kommt hoechstens die Katze an den Rechner

Und an was willst Du das fest machen?

Daran, daß Du einmal Unsinn schreibst und den blühenden Unsinn ein zweites Mal wiederholst, ohne dies zu merken.

Dann nenne mir doch bitte was daran denn nun KONKRET der bluehende Unsinn sein soll, anstatt Dich hinter blumigen Worten zu verstecken

Habe schon bei der T Systems nachgehakt ob man den Key lokal runterziehen koenne, daraufhin hiess es ungefaehr so: wenn es ueberhaupt geht, wir wissen nicht wie, aber wenn dann auf eigenes Risiko.

Oben steht ein Link - und deine Signatur wäre korrekt: Airport1: Wo Informationen fehlen, wachsen die Geruechte.

Der PIN Code ist soweit ich weiss nix anderes als eine Art Zugriffs-Code um dem Karten-Leser salopp zu sagen "schick mal den PrivateKey rueber" (evtl. noch paar andere Daten wie Authority etc.), aber mehr ist das nicht. Ob nun die Software noch lame ist, nicht so weit ist oder oder ist doch ne andere Story. Das Einzige was ich mir denken kann dass irgendwo mal wieder ne Ueberregelung der Legislative in schoenstem Amtsdeutsch, aber salopp uebersetzt: "dass es nur gilt wenn man jedesmal per PIN bestaetigt...", aber glaube ja nicht man kann das nicht unterlaufen und pruefen kann/will/wird das keiner *fg*

Noe, die Signatur muesste eher sein:

SEO := Brauchen keine Drogen um Piratenschiffe durch den Wald wandern zu sehen

Der PIN Code ist soweit ich weiss nix anderes als eine Art Zugriffs-Code um dem Karten-Leser salopp zu sagen "schick mal den PrivateKey rueber"

Ja, so stellt sich Hänschen Klein eine Chipkarte vor - keine Information, aber Gerüchte verbreiten.

Zitat ( https://www.bsi.de/esig/basics/techbas/ ... /index.htm - dort https://www.bsi.de/esig/basics/techbas/ ... chkomp.pdf )

Die zur Erzeugung oder Prüfung digitaler Signaturen erforderlichen technischen Komponenten müssen so beschaffen sein, daß
...
der private Signaturschlüssel erst nach Identifikation des Inhabers
durch Besitz und Wissen angewendet werden kann und bei der Anwendung
nicht preisgegeben wird;

[Erläuterung]

MK 2.3 Einsatz von Sicherheitsvorkehrungen, die sicherstellen, daß der private Signaturschlüssel erst nach Identifikation des Inhabers durch
* Besitz (z.B. Chipkarte) und Wissen (z.B. PIN) sowie
* bei Bedarf zusätzlich eines biometrischen Merkmals (z.B. Fingerstruktur)
zur Anwendung freigegeben wird und der private Signaturschlüssel bei Anwendung den Schlüsseldatenträger nicht verläßt.
Dies kann z.B. durch ein entsprechendes Betriebssystem und entsprechende
Applikationen auf einer Chipkarte erreicht werden.

Sprich: Der private Key kommt nicht aus der Chipkarte heraus, nicht einmal in den Kartenleser. Aber unser Hänschen Klein @Airport1 will den Schlüssel auf dem Rechner speichern.

PS: Verteile doch mal tausende von blanko unterschriebenen Seiten von dir in der Fußgängerzone - einige werden dir sicherlich dankbar sein.

Jo das ist das Amtsdeutsch dafuer.

Den obersten 3zeiligen Absatz wuerde ich gerne aushebeln, jo. Muss ja niemand wissen.

Das unter MK 2.3 geschriebene liest sich so als wuerde der PK nicht die Chipkarte verlassen, das wuerde ja heissen/bedeuten dass der Chipkartenleser selber verschluesseln muesste, da es wo anders nicht geht, um diese Regelung erfuellen zu koennen.

Dein Vergleich hinkt ansonsten ENORM(st), denn wenn ich es lokal auf meinem Rechner speichere, ist das was ganz anderes als in der Fussgaengerzone blanko unterschriebene Seiten zu verteilen. Oder kommt man an Deinen Rechner so einfach. Ich wiederhole daher nochmal: auf eigenes Risiko.

Meine SEO Signatur scheint Dich ganz schoen zu aergern, ist aber ok

Hierzu stelle ich fest dass ich lediglich die Frage nach der Moeglichkeit des Runterkopierens des PKs gestellt habe (wer weiss alles? Niemand!), ich habe mich nie und nimmer als Digitaler-Signatur-Experte bezeichnet oder so. Nahrung gab das u.a. zusaetzlich weil die T-Systems das grundsaetzlich nicht verneint hat. Fragen wird ja noch erlaubt sein Kann auch nicht erkennen Geruechte verbreitet zu haben, dann waeren ja alle Fragen Geruechte und das stimmt so wohl kaum

Sorry, @Airport1, aber irgendwie scheinst Du ziemlich auf der Leitung zu stehen und ziemlich faul zu sein, dich einmal selbst schlau zu machen, stattdessen schreibst Du weiteren Unsinn.

Oben steht der Gesetzestext Signaturverordnung, unten folgen die technischen Richtlinien, die geprüft werden und erfüllt sein müssen, damit es sich um eine Chipkarte für eine qualifizierte Signatur handelt. Und nicht der Kartenleser verschlüsselt oder berechnet den Hashwert, sondern die Applikation auf der Chipkarte erledigt dies.

Also wirst Du gar keine Chipkarte für eine qualifizierte elektronische Signatur in die Hände bekommen, mit der Du das testen könntest.

Und wenn Du einen T-Systems-Menschen fragst, ob man Unterschriften fälschen könne - der Versuch, einen solchen Schlüssel auszulesen, liegt auf diesem Niveau -, was erwartest Du da für eine Antwort?