Skip to Content.
Sympa Menu

cacert-de - Re: [CAcert-DE] Gerichtstauglichkeit von Cacert.org?

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: [CAcert-DE] Gerichtstauglichkeit von Cacert.org?


Chronological Thread 
  • From: Bernhard Froehlich <ted AT convey.de>
  • To: Deutschsprachige CAcert Support Liste <cacert-de AT lists.cacert.org>
  • Subject: Re: [CAcert-DE] Gerichtstauglichkeit von Cacert.org?
  • Date: Thu, 12 Oct 2006 11:54:53 +0200
  • List-archive: <https://lists.cacert.org/cgi-bin/mailman/private/cacert-de>
  • List-id: Deutschsprachige CAcert Support Liste <cacert-de.lists.cacert.org>

Michael Vogel wrote:
Moin!

Mein Arbeitgeber möchte Dokumente gerichtstauglich signieren
(Prüfberichte) und hat gestern die Idee vorgestellt. Da habe ich ihm
erzählt, dass ich Assurer für eine CA bin, die kostenfrei Zertifikate
ausstellt.

Nun hat er mich gefragt, inwieweit diese Zertifikate dann vor einem
Gericht bestehen würden. Es geht hierbei nicht nur um deutsche, sondern
auch US-amerikanische Gerichte.

Gibt es da schon Erfahrungen oder definitive Aussagen?

Michael
Zu US-amerikanischen Gerichten kann ich leider nichts sagen, vielleicht hilft das weiter was ich zur Situation in Deutschland mal eruiert habe:

Nach deutschem Recht handelt es sich bei einer Signatur mit einem CACert-Zertifikat vermutlich (ich bin kein Anwalt, ich kann nur lesen) um eine "fortgeschrittene digitale Signatur" nach dem Signaturgesetz, nicht aber um eine "qualifizierte digitale Signatur", die der eigenhändigen Unterschrift gleichgesetzt ist.

An die "qualifizierte digitale Signatur" sind extrem hohe Anforderungen gesetzt, u.a. braucht man im Moment wohl auf jeden Fall eine Chipkarte mit einem Klasse 2 Kartenleser (die mit eigenem PinPad zur PIN-Eingabe), zertifizierte Software zur Erstellung der Signatur und ein Zertifikat von einer zertifizierten CA, d.h. die CA ist auch nur ein Glied in der Kette...

Die Anforderungen an eine "fortgeschrittene digitale Signatur" sind wesentlich geringer, da wird im wesentlichen "der Stand der Technik" verlangt, was m.E. bei CACert-Zertifikaten für Schlüssel von ausreichender Länge (sagen wir mal 2048 Bit) schon gegeben sein sollte. Eine solche Signatur ist aber der freien Beweiswürdigung des Gerichtes unterworfen, d.h. es muss im Einzelfall entschieden werden, wie die Signatur beurteilt wird. Was ich gehört habe wird sie in der Regel als "etwas besser als eine eigenhändige Unterschrift auf einem empfangenen Fax" eingeordnet, was für Prüfberichte vermutlich nicht ausreicht.

Meines Wissens verlangen z.B. die Finanzämter bei digitalen Unterlagen (wie z.B. Rechnungen) eine qualifizierte Signatur, was m.E. einfach nicht machbar ist, denn wenn man den Gesetzestext streng nimmt, da dann für jede Rechnung jemand die PIN für die Karte manuell eingeben müsste. Wie das die Telekom mit ihren Online-Rechnungen macht ist mir schleierhaft, ich vermute mal, dass die "qualifizierte digitale Signatur" durch die Rechtsprechung schon wieder zu einem guten Teil aufgeweicht wurde, da bin ich aber nicht auf dem aktuellen Stand.

Ich würde vermuten, dass eine "fortgeschrittene digitale Signatur" nach dem Signaturgesetz auch vor US-Gerichten anerkannt wird, allein aus dem Grund weil die Anforderungen extrem streng sind (schließlich kann man mit einer solchen Signatur z.B. auch sein Haus oder seine Firma verkaufen).

Nach deutschem Recht fürchte ich dass man für diese Anforderungen um eine qualifizierte Signatur nicht drum rum kommen wird, was schätzungsweise Investitionen im Bereich von 1000€ (können auch locker 5000€ werden, der größte Kostenblock ist vermutlich die Software) für Chipkarte, Leser, Software und Zertifikat zur Folge hat.

MfG
Ted
;)

--
PGP Public Key Information
Download complete Key from http://www.convey.de/ted/tedkey_convey.asc
Key fingerprint = 31B0 E029 BCF9 6605 DAC1  B2E1 0CC8 70F4 7AFB 8D26


Attachment: smime.p7s
Description: S/MIME Cryptographic Signature




Archive powered by MHonArc 2.6.16.

Top of Page