Strafrechtsauszug - digital signiert

So, seit heute scheint gibt's nun für den normalen Bürger zum ersten Mal ein amtliches Dokument, welches digital signiert erhältlich ist und Rechtskraft hat - der Strafregisterauszug. Dies hat das EJPD soeben mitgeteilt. Und da es um digitale Signaturen geht, will das natürlich getestet werden.

Ich finde die Bestellseite für den Strafregisterauszug unter http://www.strafregister.admin.ch - strafregister.ch hat sich ein Domainsquatter geholt.



Im Menü Auszug bestellen wählen, dann "mit digitaler Signatur" - einfach genug. Nun habe ich zwei Möglichkeiten: Signieren mit separater Signierapplikation (hier sehe ich zum ersten Mal auf einer Bundesseite den Open eGov LocalSigner verlinkt) oder mit integrierter Signierapplikation.

Gut, also weiter. Die Datenerfassung erfolgt durch einen Assistenten, der die zu erwarteten Fragen stellt - beim Bürgerort erfolgt nach Eingabe weniger Buchstaben in schöner Web 2.0-Manier ein Vorschlag, was gemeint sein könnte.


Für die elektronische Zustellung muss ein Passwort gewählt werden - dies ist schade. Es gäbe Möglichkeiten, Auth-Zertifikate hierfür einzusetzen - wer ein qualifiziertes Zertifikat hat, ist meist auch in Besitz eines solchen.




Bezahlung - über das Bezahlsystem der Post - erledige ich per Kreditkarte. Nun wird das PDF-Formular generiert, dieses kann ich herunterladen und erhalte es auch per Mail.
Also öffnen wir dieses mal - und leider wieder eine Enttäuschung: Es ist das gleiche Formular, wie auch für die schriftliche Bestellung verwendet wird. Somit enthält es logischerweise auch kein Unterschriftsfeld. Deswegen also der Link auf den LocalSigner - nur PDFs mit Unterschriftsfeld können auch von normalen Adobe Reader-Versionen signiert werden.

Jetzt der Schock: Ich muss ein Ausweisdokument beilegen! Moment, hab ich da was nicht mitgekriegt? Ich gehe meine Screenshots durch - tatsächlich, es ist ein Scan eines Ausweispapiers nötig.



Für den Leser hier die Erklärung: Das wäre so, wie wenn der Polizist Sie nach dem Führerausweis fragt und dann nach der Identitätskarte, um zu beweisen, dass es ihr Führerausweis ist.
Naja, gut, kann man machen - rüber zum Scanner, Pass drauflegen, PDF generieren.

Nun kommt der LocalSigner zum Einsatz: Ich öffne das Formular und füge unter Einstellungen den Scan des Passes als "PDF Zusatz(seite)" an. Dann noch die Sichtbarkeit deaktivieren (in der Standardeinstellung läge die Zertifizierung genau über dem 2D-Barcode des Formulars), unterschreiben, fertig.


Nun habe ich ein PDF mit angehängtem Pass und qualifizierter digitaler Signatur. Wohin muss das nochmal? Ah ja, da war ja die Mail-Adresse auf der Seite... Such, such - bingo.

Hm, soll ich das Mail nun auch noch signieren? Stand nichts drin, dass es nötig sei - und bei einer Kommunikation mit dem Bakom habe ich gemerkt, dass digitale Signaturen in Bundesstellen nicht so beliebt sind. Aber das hier müssten sie doch verstehen? Also los, das Mail wird auch noch signiert.

Abgeschickt um 10:53 - innerhalb von 6 Stunden während der Arbeitszeit sollte der Auszug da sein. Ich lass mich überraschen.

Fazit bis hier: Endlich mal etwas, wofür ich die digitale Signatur bei einer Behörde brauchen kann. Ich konnte keine Steuererklärung damit abgeben, keine Zivilstandsbescheinigung bestellen, etc... Und nun doch endlich etwas! Nach der ersten Euphorie stellte sich eine gewisse Ernüchterung ein - das EJPD hat hier eigentlich nur einen Papierprozess digitalisiert, ohne die Vorteile der digitalen Welt zu nutzen. Zwar liegt dies im Falle der Ausweiskopie daran, dass auf im qualifizierten Zertifikat weder Geburtstag noch Bürgerort vermerkt sind, und diese deswegen notwendig ist. Doch könnte die Passwortabfrage für den Download durch eine zertifikatsbasierte Lösung erledigt werden, und für den Normalverbraucher wären PDF-Dokumente mit Signaturfeldern die zweckmässigere Lösung.

UPDATE:
Um 11:56 ist das Mail mit dem Downloadlink eingetroffen. Angeklickt, Passwort eingegeben, runtergeladen.
Zertifiziert wurde das Dokument von "Robert Dolder Head of Criminal Records 3", einen Timestamp enthält es auch - doch das Rootzertifikat fehlt mir. OK, Einstellungen des Readers kurz ändern, dass er auch den Windows Certificate Store verwendet.
Hm, Gültigkeit immer noch unbekannt.
Herausgeber-Zertifikat ist... Swisscom Diamant CA 1. Dieses wird (noch) nicht mit Adobe Reader oder Microsoft Windows (auch nicht 7, womit ich es getestet habe) ausgeliefert, ein Manko der Swisscom-Zertifikate gegenüber den SwissSign-Zertifikaten.
Also manuell nachinstallieren... Schön, es läuft - und so nebenbei bemerkt: "... ist im Strafregister nicht verzeichnet". Jawoll!

UPDATE 2:
Der Zeitstempel verwendet ein Zertifikat des Bundesamts für Informatik BIT - um diesen zu prüfen muss noch ein Zertifikat nachinstalliert werden: Das Admin-CA-A-T01 auf dieser Seite.

NACHTRAG zum Validator, Zeitungsberichte:

Was ich hier nun nicht getestet habe aber anscheinend für die Zeitungen wichtig scheint: Der Auszug kann auf einer Webseite angezeigt werden, die dann die Validierung übernimmt. Chicken-and-Egg-Situation, denn ich muss nun natürlich der Webseite/Verbindung trauen. Dies ist allerdings einfach, denn für viele Leute gewohnt:

Ist das Logo blau/grün? (leider noch blau, ein EV-SSL-Zertifikat wäre schön)

Ist ein Schlösschen da / durchgestrichen? (jepp, ist da)

Habe ich alle Fehlermeldungen / Warnungen ungelesen weggeklickt?

Aber ernsthaft, der Validator gefällt mir - denn der Adobe Reader muss ja leider relativ umständlich eingestellt werden, damit Schweizer Signaturen und Zeitstempel richtig verifiziert werden können. Für den Normalbenutzer ist dies sicher ein nützliches Tool.

Er scheint für verschiedene "Dienste" (Mandanten) bereit zu sein, und ist wohl der Open eGov Signature Validator. (Und bevor es noch weitere ausprobieren: URL-Injection funktioniert nicht). Die Prüfung von selbst-signierten Dokumenten schlägt fehl - weil man nicht berechtigt ist, Strafregisterauszüge zu erstellen. Und hier ist der grösste Nutzen des Validators: Er weiss, ob Herr Dolder gestern solche Auszüge erstellen durfte - das Programm kennt die Berechtigungen der Amtsstelle. Adobe Reader kennt diese nicht.

Medienspiegel: Fast alle übernehmen den Text der sda (stellvertretend hier Tagi). ph von der Online PC Zeitung meint es wäre für Leute im Ausland gut - leider falsch, denn für's Ausland brauchts noch ne Apostille. hjm schreibt bei insite-it.ch über die Vorteile für Stellensuchende und das voll digitalisierte HR.