[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Digitale Signatur durch PGP+SVN

Unter

    Wir brauchen PGP-signierte Rechnungen
    http://a2e.de/oas/06/12/06/digisig

werbe ich für den Einsatz von OpenPGP zusammen mit Zeitstempelung (auf Basis
von Subversion) als Lösung für eine hinreichend verlässliche wenn auch nicht
nach SigG zertifizierte digitale Signatur.

Ich hoffe, die Argumentation ist stichhaltig.

Wir brauchen PGP-signierte Rechnungen

Der OpenPGP-Standard stellt die Verbindlichkeit und Vertraulichkeit her, ohne
die zu arbeiten in der heutigen Zeit eigentlich nur noch lächerlich wäre, wenn
es nicht so viele Leute täten. Praktischen Nutzen bringt die Anwendung bereits
im firmen-internen Bereich, aber auch beim Nachweis von Ausgaben gegenüber dem
Finanzamt.

Fast alle unsere Kunden akzeptieren inzwischen Rechnungen in Form von
PDF-Dateien ohne Papier. Wenn jemand das mal nicht akzeptiert, versuchen wir
ihn zu bekehren und gehen dabei in unserem missionarischen Eifer manchmal
über die Grenzen dessen hinaus, was König Kunde verträgt.

Akzeptieren wir aber selber auch bloße PDF-Dateien als Rechnung?

Nein.

Sind wir Heuchler?

Einer Auftragnehmerin unseres [9]Sprachendienst-Geschäfts antwortete ich:

    > In der Anlage sende ich Ihnen meine Rechnung in PDF Datei.
    > Es müsste fur das Finanzamt auch genügen.

    Grundsätzlich sollte man ja nachweisen können, dass die Forderung
    tatsächlich erhoben wurde. Um das einigermaßen sauber zu machen, kommen
    folgende Methoden in Frage:

    1. Sie schicken neben der digitalen Version eine unterschriebene
       Papierkopie zu jeder Rechnung einzeln.

    2. Sie schicken uns ein Papierschreiben, in dem Sie erklären, dass Sie mit
       uns regelmäßig zusammenarbeiten und uns blind vertrauen, dass alles, was
       wir als Ihre Forderung dem Finanzamt vorlegen, echt ist. Ergänzend
       könnte man noch einmal jährlich Sammelunterzeichnungen von Ihnen
       einholen.

    3. Sie verwenden eine [10]fortgeschritten digitale Signatur nach
       OpenPGP/MIME.

    Natürlich ist Methode 3 unbedingt vorzuziehen. Diese Methode zu verwenden,
    erfordert keine Computer-Guru-Kenntnisse, keine großen Installationsaufwand.
    Außerdem zieht man daraus sofort unmittelbaren persönlichen Nutzen, nicht
    nur in der Kommunikation mit anderen OpenPGP-Nutzern.

    MS-Windows-Benutzern empfehle die Installation von [11]GPG4Win oder [12]PGP.
    Die Installation und Anwendung ist leicht. Man muss nur beachten, dass man
    seinen Schlüssel anschließend sorgfältig pflegt und ihn bei öffentlichen
    Servern, z.B. pgp.uni-mainz.de, anmeldet.

    Der OpenPGP-Standard stellt die Verbindlichkeit und Vertraulichkeit her,
    ohne die zu arbeiten in der heutigen Zeit eigentlich nur noch lächerlich
    wäre, wenn es nicht so viele Leute täten.

    Selbst für sich allein kann heute kaum niemand ohne so etwas wie OpenPGP
    seine Informationen vernünftig verarbeiten. Denn was macht man mit den
    vielen Passwörtern, etwa denen vom Portal der Bahn, der Bank, des
    Internet-Zugangsanbieters, des Kurierdienstes, der diversen Versandhändler?
    Alle im Kopf behalten? Überall das gleiche simple Passwort verwenden?
    Passwörter im eigenen Intranet offen sichtbar hinterlegen? Nein, alles
    falsch, man hinterlegt die Zugangsdaten in PGP-verschlüsselter Form, und
    zwar so, dass genau die Leute Zugang haben, die ihn haben sollen. Und das
    ist nur eine von zahlreichen geschäftsinternen Anwendungen von OpenPGP.

    Vielleicht verlangt das Finanzamt ja wirklich keine aussagekräftigen
    Unterlagen. Vielleicht kommen wir auch mit bloßen PDF-Dateien durch.
    Vielleicht akzeptiert das Finanzamt unsere Behauptungen über deren Echtheit
    als Nachweise. Aber im Interesse solider Geschäftsabläufe will ich mich
    eigentlich nicht auf Behauptungen stützen. Nicht einmal auf meine eigenen.
    Irgendwann kommt ja doch mal die Situation, wo man überprüfen möchte oder
    gar nachweisen muss, dass man nichts verwechselt hat und dass eine bestimmte
    Rechnung wirklich vom Absender stammt.

    Für welche der drei oben genannten Methoden sind Sie also?

OpenPGP und Projektarchiv: zeitgestempelte digitale Signatur für die Praxis

Alle Dokumente, die bei uns eingehen, werden in ein [13]SVN-Projektarchiv
aufgenommen. Damit ist der Zeitpunkt des Eingangs und jeder Änderung von uns
leicht nachvollziehbar. Durch Hinterlegung von Prüfsummen können wir ferner
auch gegenüber Dritten den Zeitpunkt jeder Textverarbeitungshandlung
nachweisen. Diese Funktion des Zeitnachweises fehlt bei OpenPGP. Beim
SVN-Projektarchiv fehlt wiederum der Nachweis, dass ein Dokument wirklich
seinem Eigentümer gehört. Diesen Nachweis liefert die OpenPGP-Anwendungen.

Durch die Kombination von OpenPGP und einem Versionierungssystem wie
Subversion haben wir effektiv einen Nachweisbarkeitsgrad, der alles
papierbasierte weit übertrifft, auch wenn er vielleicht nicht formell die
Anforderungen der "qualifizierten Signatur" nach dem Signaturgesetz erfüllt.
Doch über den Sinn dieser Anforderungen kann man streiten. Auch in der
analogen Welt gibt es eine gewisse Eigenverantwortung für die Pflege der
eigenen Signaturwerkzeuge, die einem kein Zertifizierungssystem abnehmen
kann.

[....]

Verweise

   9. http://a2e.de/oas
  10. http://a2e.de/phm/adv/digisig
  11. http://www.gpg4win.de/
  12. http://www.pgp.com/products/de/freeware.html
  13. http://subversion.tigris.org/

--
 Hartmut Pilch                            http://a2e.de/phm


---------------------------------------------------------------------
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de