Strafrechtsauszug - digital signiert

So, seit heute scheint gibt's nun für den normalen Bürger zum ersten Mal ein amtliches Dokument, welches digital signiert erhältlich ist und Rechtskraft hat - der Strafregisterauszug. Dies hat das EJPD soeben mitgeteilt. Und da es um digitale Signaturen geht, will das natürlich getestet werden.

Ich finde die Bestellseite für den Strafregisterauszug unter http://www.strafregister.admin.ch - strafregister.ch hat sich ein Domainsquatter geholt.



Im Menü Auszug bestellen wählen, dann "mit digitaler Signatur" - einfach genug. Nun habe ich zwei Möglichkeiten: Signieren mit separater Signierapplikation (hier sehe ich zum ersten Mal auf einer Bundesseite den Open eGov LocalSigner verlinkt) oder mit integrierter Signierapplikation.

Gut, also weiter. Die Datenerfassung erfolgt durch einen Assistenten, der die zu erwarteten Fragen stellt - beim Bürgerort erfolgt nach Eingabe weniger Buchstaben in schöner Web 2.0-Manier ein Vorschlag, was gemeint sein könnte.


Für die elektronische Zustellung muss ein Passwort gewählt werden - dies ist schade. Es gäbe Möglichkeiten, Auth-Zertifikate hierfür einzusetzen - wer ein qualifiziertes Zertifikat hat, ist meist auch in Besitz eines solchen.




Bezahlung - über das Bezahlsystem der Post - erledige ich per Kreditkarte. Nun wird das PDF-Formular generiert, dieses kann ich herunterladen und erhalte es auch per Mail.
Also öffnen wir dieses mal - und leider wieder eine Enttäuschung: Es ist das gleiche Formular, wie auch für die schriftliche Bestellung verwendet wird. Somit enthält es logischerweise auch kein Unterschriftsfeld. Deswegen also der Link auf den LocalSigner - nur PDFs mit Unterschriftsfeld können auch von normalen Adobe Reader-Versionen signiert werden.

Jetzt der Schock: Ich muss ein Ausweisdokument beilegen! Moment, hab ich da was nicht mitgekriegt? Ich gehe meine Screenshots durch - tatsächlich, es ist ein Scan eines Ausweispapiers nötig.



Für den Leser hier die Erklärung: Das wäre so, wie wenn der Polizist Sie nach dem Führerausweis fragt und dann nach der Identitätskarte, um zu beweisen, dass es ihr Führerausweis ist.
Naja, gut, kann man machen - rüber zum Scanner, Pass drauflegen, PDF generieren.

Nun kommt der LocalSigner zum Einsatz: Ich öffne das Formular und füge unter Einstellungen den Scan des Passes als "PDF Zusatz(seite)" an. Dann noch die Sichtbarkeit deaktivieren (in der Standardeinstellung läge die Zertifizierung genau über dem 2D-Barcode des Formulars), unterschreiben, fertig.


Nun habe ich ein PDF mit angehängtem Pass und qualifizierter digitaler Signatur. Wohin muss das nochmal? Ah ja, da war ja die Mail-Adresse auf der Seite... Such, such - bingo.

Hm, soll ich das Mail nun auch noch signieren? Stand nichts drin, dass es nötig sei - und bei einer Kommunikation mit dem Bakom habe ich gemerkt, dass digitale Signaturen in Bundesstellen nicht so beliebt sind. Aber das hier müssten sie doch verstehen? Also los, das Mail wird auch noch signiert.

Abgeschickt um 10:53 - innerhalb von 6 Stunden während der Arbeitszeit sollte der Auszug da sein. Ich lass mich überraschen.

Fazit bis hier: Endlich mal etwas, wofür ich die digitale Signatur bei einer Behörde brauchen kann. Ich konnte keine Steuererklärung damit abgeben, keine Zivilstandsbescheinigung bestellen, etc... Und nun doch endlich etwas! Nach der ersten Euphorie stellte sich eine gewisse Ernüchterung ein - das EJPD hat hier eigentlich nur einen Papierprozess digitalisiert, ohne die Vorteile der digitalen Welt zu nutzen. Zwar liegt dies im Falle der Ausweiskopie daran, dass auf im qualifizierten Zertifikat weder Geburtstag noch Bürgerort vermerkt sind, und diese deswegen notwendig ist. Doch könnte die Passwortabfrage für den Download durch eine zertifikatsbasierte Lösung erledigt werden, und für den Normalverbraucher wären PDF-Dokumente mit Signaturfeldern die zweckmässigere Lösung.

UPDATE:
Um 11:56 ist das Mail mit dem Downloadlink eingetroffen. Angeklickt, Passwort eingegeben, runtergeladen.
Zertifiziert wurde das Dokument von "Robert Dolder Head of Criminal Records 3", einen Timestamp enthält es auch - doch das Rootzertifikat fehlt mir. OK, Einstellungen des Readers kurz ändern, dass er auch den Windows Certificate Store verwendet.
Hm, Gültigkeit immer noch unbekannt.
Herausgeber-Zertifikat ist... Swisscom Diamant CA 1. Dieses wird (noch) nicht mit Adobe Reader oder Microsoft Windows (auch nicht 7, womit ich es getestet habe) ausgeliefert, ein Manko der Swisscom-Zertifikate gegenüber den SwissSign-Zertifikaten.
Also manuell nachinstallieren... Schön, es läuft - und so nebenbei bemerkt: "... ist im Strafregister nicht verzeichnet". Jawoll!

UPDATE 2:
Der Zeitstempel verwendet ein Zertifikat des Bundesamts für Informatik BIT - um diesen zu prüfen muss noch ein Zertifikat nachinstalliert werden: Das Admin-CA-A-T01 auf dieser Seite.

NACHTRAG zum Validator, Zeitungsberichte:

Was ich hier nun nicht getestet habe aber anscheinend für die Zeitungen wichtig scheint: Der Auszug kann auf einer Webseite angezeigt werden, die dann die Validierung übernimmt. Chicken-and-Egg-Situation, denn ich muss nun natürlich der Webseite/Verbindung trauen. Dies ist allerdings einfach, denn für viele Leute gewohnt:

Ist das Logo blau/grün? (leider noch blau, ein EV-SSL-Zertifikat wäre schön)

Ist ein Schlösschen da / durchgestrichen? (jepp, ist da)

Habe ich alle Fehlermeldungen / Warnungen ungelesen weggeklickt?

Aber ernsthaft, der Validator gefällt mir - denn der Adobe Reader muss ja leider relativ umständlich eingestellt werden, damit Schweizer Signaturen und Zeitstempel richtig verifiziert werden können. Für den Normalbenutzer ist dies sicher ein nützliches Tool.

Er scheint für verschiedene "Dienste" (Mandanten) bereit zu sein, und ist wohl der Open eGov Signature Validator. (Und bevor es noch weitere ausprobieren: URL-Injection funktioniert nicht). Die Prüfung von selbst-signierten Dokumenten schlägt fehl - weil man nicht berechtigt ist, Strafregisterauszüge zu erstellen. Und hier ist der grösste Nutzen des Validators: Er weiss, ob Herr Dolder gestern solche Auszüge erstellen durfte - das Programm kennt die Berechtigungen der Amtsstelle. Adobe Reader kennt diese nicht.

Medienspiegel: Fast alle übernehmen den Text der sda (stellvertretend hier Tagi). ph von der Online PC Zeitung meint es wäre für Leute im Ausland gut - leider falsch, denn für's Ausland brauchts noch ne Apostille. hjm schreibt bei insite-it.ch über die Vorteile für Stellensuchende und das voll digitalisierte HR.

Open eGov Local Signer v2

So, nachdem ich über den SwissSigner geschrieben habe, hier nun auch noch ein Post über die neue Version des Open eGov Local Signers.

Dieser existiert schon eine ganze Weile, kam nun aber am 28. Mai in der neuen Version 2.03 heraus. Gegenüber der letzten Version hat sich einiges getan:

• Die Position der sichtbaren Signatur kann intuitiv mit der Maus festgelegt werden - früher ging dies nur relativ umständlich über Positionsangaben

• Die Benutzeroberfläche wurde überarbeitet, so kann nun statt einem installierten Adobe Reader auch ein integrierter Viewer verwendet werden.

Für die Zertifizierung von PDFs ist die Auswahl an Programmen ja relativ eingeschränkt: Es gibt die kostenpflichtigen Programme von Adobe (Acrobat), Aloaha (PDF Writer) und die kostenlosen SwissSigner und eben den Open eGov Local Signer.

Die Adobe-Programme haben einen enormen Funktionsumfang - von der Generierung und Überarbeitung von PDFs bis zur Texterkennung, sind aber auch enorm teuer.
Aloaha, vor einer Weile die einzige kostengünstige Alternative, die sowohl die Generierung als auch die Zertifizierung erlaubte, hat ein eher "handgestricktes" Interface.

Die kostenlosen SwissSigner und Open eGov Local Signer unterscheiden sich in ihrem Funktionsumfang auf den ersten Blick nicht gross - beide erlauben Signieren und Zertifizieren (Mehrfahr-Signatur), beide erlauben die Verwendung eines Zeitstempel-Servers.

SwissSigner hat darüber hinaus Funktionen, welche die Integration mit einem IncaMail / PrivaSphere-Konto erlauben. Wer ein solches besitzt, der kann direkt aus der Software heraus Nachrichten verschicken.

Aber: SwissSigner kann nur mit SwissSign-Zertifikaten umgehen (zumindest in der Public Beta, die final soll auch andere verwenden können).

Zurück zum Open eGov Local Signer:

Mir gefällt hier vor allem die Möglichkeit, Profile anzulegen, in welchen Position und Darstellung der Signatur gespeichert werden kann - wer eine Briefvorlage verwendet, der wird meist an der immer gleichen Stelle unterschreiben. Leider speichert Version 2.03 die Profile im Installationsordner ab - wer also das Programm nach C:\Programme bzw. C:\Program Files installiert, der kann bei aktiviertem UAC unter Windows Vista / 7 keine Änderungen an diesen vornehmen. Auch klappt der Trick nicht, die Applikation per Ctrl+Shift+Klick im Administrator-Modus zu starten, es werden gewisse Bibliotheken nicht gefunden.

Ein Update ist jedoch bereits in Arbeit, wie mir mitgeteilt wurde.

Im Menu "Einstellungen" -> "Konfiguration" kann der Profil-Pfad aber geändert werden. Nachdem ich diesen in einen Unterordner meines "Eigene Dateien"-Ordners verschoben habe klappte es problemlos.

Es können alle Zertifikate verwendet werden, die im Zertifikatsspeicher des jeweiligen Betriebssystems verfügbar sind - seien dies Software-Zertifikate oder solche auf Tokens oder Smart Cards.

Noch etwas zu den verschiedenen Lizenzen, unter denen die Programme veröffentlicht werden:

• Adobe und Aloaha werden unter kommerziellen Lizenzen kostenpflichtig vertrieben
• SwissSigner, da nach wie vor Beta, wird nur zu Testzwecken zur Verfügung gestellt. Entwickelt wurde es übrigens von der Abacus Research AG.

All diese Programme sind Closed-Source, und es ist eher unwahrscheinlich, dass sie Open Source werden.

• Open eGov Local Signer ist Closed-Source Freeware, obwohl die erste Version noch unter der GPL / GPL Class Path Exception stand, siehe hier.

Im Gegensatz zu den anderen Applikationen wurde diese Applikation nicht durch eine private Organisation, sondern durch den Staat in Auftrag gegeben - als Teil eines Projektes, welches die benötigten Werkzeuge für eGovernment zur Verfügung stellen soll. Ich hoffe darauf, dass die Applikation eines Tages wieder in den Status GPL Class Path Exception zurückkehrt, so dass sich jeder von ihrer Korrektheit überzeugen und allenfalls sogar daran mitentwickeln kann. Damit würde die Schweiz einen einzigartigen Weg zum eGovernment gehen - Demokratie auch bei der Software.

In Sachen Zertifikate bin ich gespannt, was mit dem neuen, Biometrischen Pass kommt. In der neuen Fassung des Ausweisgesetzes, welche das Stimmvolk ja äusserst knapp angenommen hat, wurde in Artikel 2 folgender Absatz eingefügt:

2quater Der Ausweis kann zudem elektronische Identitäten für Authentisierungs-,

Signatur- und Verschlüsselungsfunktionen enthalten.

Somit wäre es möglich, dass wir künftig einen Pass mit Qualifiziertem Zertifikat haben. Deutschland ist auch auf diesem Weg, siehe hier.

SwissSigner Public Beta

Vor wenigen Minuten erhielt ich ein Mail von SwissSign, dass eine öffentliche Beta der Signatursoftware SwissSigner verfügbar sei.
Das musste ich mir natürlich sofort ansehen - hier mal die ersten Eindrücke:

• Setup sehr gut - wird es unter Vista/Windows 7 mit UAC ausgeführt, so installiert es sich je nach verfügbaren Rechten entweder in den persönlichen Ordner des Benutzers oder in den Programm-Ordner. Vorbildlich
• Eine Assoziation mit .pdf-Dateien ist nur möglich, wenn Setup mit Administratorenrechten ausgeführt wird. Diese erfolgt dann leider aber primär, so dass PDFs immer mit dem SwissSigner geöffnet werden.

Nun also mal ein erstes PDF erstellen (Export aus Microsoft Word 2007) und mit SwissSigner öffnen - die Oberfläche ist übersichtlich und intuitiv.
Es werden verschiedene Signaturmöglichkeiten angeboten:

• Einzelsignatur
• Unsichtbare Einzelsignatur
  
• Multisignatur (Zertifizierung)
• und Unsichtbare Multisignatur

Probieren wir also mal die Einzelsignatur aus - sichtbar.
Die Statusleiste informiert mich, dass ich nun mit der rechten Maustaste das Feld für die Signatur aufziehen könne.



Sobald ich die rechte Maustaste wieder loslasse erscheint ein modaler Dialog und fragt mich nach dem Passwort des Tokens:



Im nächsten Fenster kann ich auswählen, welches Zertifikat ich verwenden möchte (qual, auth), den Ort für die Signatur angeben, ein Bild auswählen (unterstützt werden PNG, BMP oder GIF), einen Grund angeben und die Sprache auswählen:


Alles eingegeben, OK geklickt und schon wird gefragt, unter welchem Namen das signierte Dokument gespeichert werden soll. Vorgeschlagen wird "[Dokumentenname] (Signiert von
[Zertifikatsname])".

Wählt man das qualifizierte Zertifikat, so fragt die Siemens CardOS API noch nach dem 2. PIN für dieses nach, und schon erscheint das signierte Dokument.



Die Draw-Funktion lässt leider in Sachen Geschwindigkeit noch ein wenig zu wünschen übrig - Zoom In benötigt mehrere Sekunden, auch das maximieren des Fensters.
Hier ein Zoom (mit Zensur, das verwendete Bild ist meine Unterschrift) wie die Signatur auf dem Dokument aussieht:

Die erste Zeile ist der Grund, der im Dialog angegeben wird. Zeile 2 wird automatisch erstellt, Zeile 3 besteht aus dem angegeben Ort und dem aktuellen Datum.
Das Datum wird nun der Knackpunkt sein - ich stelle die Systemzeit um einen Tag zurück und signiere das PDF erneut (mit französisch als Signatursprache, mal zum Testen).
Ergebnis: Neuer Vorschlag beim Dateinamen enthält nun "signé par", das ist schön.
Datum und Uhrzeit für die Signatur werden vom Timestamp-Server geholt, das Datum für die sichtbare Unterschrift aber aus der lokalen Systemzeit:

Kleiner Lapsus, der aber sicher noch korrigiert werden kann. Hier noch die Release Notes:



und das About



Fazit fürs Erste: Eine schöne Software, aber es darf noch an den Ecken gefeilt werden. Als Alternative gibt es den Open eGov Local Signer, der mittlerweile das Beta-Stadium verlassen hat (aber nicht mehr Open ist, wie ursprünglich angekündigt). Dieser kann auch mit nicht-SwissSign-Zertifikaten umgehen.

Open eGov Local Signer neue Beta

So, die Leute vom Bund haben eine neue Version des Open eGov Local Signers rausgebracht - damit können nun PDFs zusätzlich auch mit Zeitstempel versehen werden. Die Angaben für den Timestamping-Dienst von SwissSign (noch in Beta) sind bereits integriert.

Die Beta 1 von Version 2.0 gibt's hier zum Runterladen.

Weitere neue Funktionen:

• Speicherbare Profile
• Schöner Splashscreen

Leider lässt sich das Unterschriftsfeld nun nicht mehr direkt positionieren, dies muss man umständlich über das Profil machen - schön wäre hier definitiv eine drag-and-drop-Funktion.

Die Software ist Freeware, kann also von jedermann frei runtergeladen und gratis verwendet werden.

PS: In Hoc Signo Vinces bedeutet gemäss Wikipedia "In diesem Zeichen wirst Du siegen" - hm... vincere, vinceo... ich glaube eher es heisst "siegst du"

PDFs signieren, zertifizieren

Leser meines Blogs wissen, dass ich schon eine Weile im Besitz einer qualifizierten digitalen Signatur bin. Doch ausser für Mails ist diese ziemlich unhandlich anzuwenden - in der Kanzlei haben wir zwar Aloaha, aber auf meinem eigenen PC ist keine Software, mit der ich PDFs unterzeichnen könnte. Und - mal ehrlich - wer will für die wenigen Funktionen, die die frei verfügbaren Tools nicht bieten, Adobe Acrobat kaufen? Schon der Reader ist mittlerweile zu einem über 100 MiB grossen Monster verkommen.

Jedenfalls wurde ich letzthin von den freundlichen Leuten bei Privasphere darauf hingewiesen, dass der Bund bzw. das EJPD ein Gratis-Programm zur Verfügung stellt, welches PDFs signiert. Es heisst Open eGov LocalSigner.

Mit diesem Programm lassen sich beliebige PDFs öffnen und graphische oder unsichtbare Unterschriften hinzufügen - Bedingung: Der Adobe Reader muss installiert sein.

Auch wenn es "Open" heisst - nicht vom Namen täuschen lassen, es ist (nur) Freeware. Ursprünglich hiess es auf der Open eGov Plattform dass alle Software unter GPL v2 (mit Classpath Ausnahme) angeboten werden - bis ich nach der Source anfragte, weil die Applikation zur Zeit leider nur mit der lokalen Rechnerzeit arbeitet und kein Timestamping bietet.

Immerhin: Für die nächste Version (ca. in einem Monat) wurde mir die Timestamping-Funktion angekündigt. Vielleicht wird die Funktion grad noch fertig bevor die kostenlose Beta-Phase des SwissSign-Zeitstempeldiensts endet, Hoffnung bleibt :-)

Was gibt's sonst noch? Ah ja, die Schrauben sind mittlerweile angekommen, gleich doppelt innerhalb einer Woche (habe jetzt 32 Stück, mehr als genug, wer braucht noch welche?)