Strafrechtsauszug - digital signiert

So, seit heute scheint gibt's nun für den normalen Bürger zum ersten Mal ein amtliches Dokument, welches digital signiert erhältlich ist und Rechtskraft hat - der Strafregisterauszug. Dies hat das EJPD soeben mitgeteilt. Und da es um digitale Signaturen geht, will das natürlich getestet werden.

Ich finde die Bestellseite für den Strafregisterauszug unter http://www.strafregister.admin.ch - strafregister.ch hat sich ein Domainsquatter geholt.



Im Menü Auszug bestellen wählen, dann "mit digitaler Signatur" - einfach genug. Nun habe ich zwei Möglichkeiten: Signieren mit separater Signierapplikation (hier sehe ich zum ersten Mal auf einer Bundesseite den Open eGov LocalSigner verlinkt) oder mit integrierter Signierapplikation.

Gut, also weiter. Die Datenerfassung erfolgt durch einen Assistenten, der die zu erwarteten Fragen stellt - beim Bürgerort erfolgt nach Eingabe weniger Buchstaben in schöner Web 2.0-Manier ein Vorschlag, was gemeint sein könnte.


Für die elektronische Zustellung muss ein Passwort gewählt werden - dies ist schade. Es gäbe Möglichkeiten, Auth-Zertifikate hierfür einzusetzen - wer ein qualifiziertes Zertifikat hat, ist meist auch in Besitz eines solchen.




Bezahlung - über das Bezahlsystem der Post - erledige ich per Kreditkarte. Nun wird das PDF-Formular generiert, dieses kann ich herunterladen und erhalte es auch per Mail.
Also öffnen wir dieses mal - und leider wieder eine Enttäuschung: Es ist das gleiche Formular, wie auch für die schriftliche Bestellung verwendet wird. Somit enthält es logischerweise auch kein Unterschriftsfeld. Deswegen also der Link auf den LocalSigner - nur PDFs mit Unterschriftsfeld können auch von normalen Adobe Reader-Versionen signiert werden.

Jetzt der Schock: Ich muss ein Ausweisdokument beilegen! Moment, hab ich da was nicht mitgekriegt? Ich gehe meine Screenshots durch - tatsächlich, es ist ein Scan eines Ausweispapiers nötig.



Für den Leser hier die Erklärung: Das wäre so, wie wenn der Polizist Sie nach dem Führerausweis fragt und dann nach der Identitätskarte, um zu beweisen, dass es ihr Führerausweis ist.
Naja, gut, kann man machen - rüber zum Scanner, Pass drauflegen, PDF generieren.

Nun kommt der LocalSigner zum Einsatz: Ich öffne das Formular und füge unter Einstellungen den Scan des Passes als "PDF Zusatz(seite)" an. Dann noch die Sichtbarkeit deaktivieren (in der Standardeinstellung läge die Zertifizierung genau über dem 2D-Barcode des Formulars), unterschreiben, fertig.


Nun habe ich ein PDF mit angehängtem Pass und qualifizierter digitaler Signatur. Wohin muss das nochmal? Ah ja, da war ja die Mail-Adresse auf der Seite... Such, such - bingo.

Hm, soll ich das Mail nun auch noch signieren? Stand nichts drin, dass es nötig sei - und bei einer Kommunikation mit dem Bakom habe ich gemerkt, dass digitale Signaturen in Bundesstellen nicht so beliebt sind. Aber das hier müssten sie doch verstehen? Also los, das Mail wird auch noch signiert.

Abgeschickt um 10:53 - innerhalb von 6 Stunden während der Arbeitszeit sollte der Auszug da sein. Ich lass mich überraschen.

Fazit bis hier: Endlich mal etwas, wofür ich die digitale Signatur bei einer Behörde brauchen kann. Ich konnte keine Steuererklärung damit abgeben, keine Zivilstandsbescheinigung bestellen, etc... Und nun doch endlich etwas! Nach der ersten Euphorie stellte sich eine gewisse Ernüchterung ein - das EJPD hat hier eigentlich nur einen Papierprozess digitalisiert, ohne die Vorteile der digitalen Welt zu nutzen. Zwar liegt dies im Falle der Ausweiskopie daran, dass auf im qualifizierten Zertifikat weder Geburtstag noch Bürgerort vermerkt sind, und diese deswegen notwendig ist. Doch könnte die Passwortabfrage für den Download durch eine zertifikatsbasierte Lösung erledigt werden, und für den Normalverbraucher wären PDF-Dokumente mit Signaturfeldern die zweckmässigere Lösung.

UPDATE:
Um 11:56 ist das Mail mit dem Downloadlink eingetroffen. Angeklickt, Passwort eingegeben, runtergeladen.
Zertifiziert wurde das Dokument von "Robert Dolder Head of Criminal Records 3", einen Timestamp enthält es auch - doch das Rootzertifikat fehlt mir. OK, Einstellungen des Readers kurz ändern, dass er auch den Windows Certificate Store verwendet.
Hm, Gültigkeit immer noch unbekannt.
Herausgeber-Zertifikat ist... Swisscom Diamant CA 1. Dieses wird (noch) nicht mit Adobe Reader oder Microsoft Windows (auch nicht 7, womit ich es getestet habe) ausgeliefert, ein Manko der Swisscom-Zertifikate gegenüber den SwissSign-Zertifikaten.
Also manuell nachinstallieren... Schön, es läuft - und so nebenbei bemerkt: "... ist im Strafregister nicht verzeichnet". Jawoll!

UPDATE 2:
Der Zeitstempel verwendet ein Zertifikat des Bundesamts für Informatik BIT - um diesen zu prüfen muss noch ein Zertifikat nachinstalliert werden: Das Admin-CA-A-T01 auf dieser Seite.

NACHTRAG zum Validator, Zeitungsberichte:

Was ich hier nun nicht getestet habe aber anscheinend für die Zeitungen wichtig scheint: Der Auszug kann auf einer Webseite angezeigt werden, die dann die Validierung übernimmt. Chicken-and-Egg-Situation, denn ich muss nun natürlich der Webseite/Verbindung trauen. Dies ist allerdings einfach, denn für viele Leute gewohnt:

Ist das Logo blau/grün? (leider noch blau, ein EV-SSL-Zertifikat wäre schön)

Ist ein Schlösschen da / durchgestrichen? (jepp, ist da)

Habe ich alle Fehlermeldungen / Warnungen ungelesen weggeklickt?

Aber ernsthaft, der Validator gefällt mir - denn der Adobe Reader muss ja leider relativ umständlich eingestellt werden, damit Schweizer Signaturen und Zeitstempel richtig verifiziert werden können. Für den Normalbenutzer ist dies sicher ein nützliches Tool.

Er scheint für verschiedene "Dienste" (Mandanten) bereit zu sein, und ist wohl der Open eGov Signature Validator. (Und bevor es noch weitere ausprobieren: URL-Injection funktioniert nicht). Die Prüfung von selbst-signierten Dokumenten schlägt fehl - weil man nicht berechtigt ist, Strafregisterauszüge zu erstellen. Und hier ist der grösste Nutzen des Validators: Er weiss, ob Herr Dolder gestern solche Auszüge erstellen durfte - das Programm kennt die Berechtigungen der Amtsstelle. Adobe Reader kennt diese nicht.

Medienspiegel: Fast alle übernehmen den Text der sda (stellvertretend hier Tagi). ph von der Online PC Zeitung meint es wäre für Leute im Ausland gut - leider falsch, denn für's Ausland brauchts noch ne Apostille. hjm schreibt bei insite-it.ch über die Vorteile für Stellensuchende und das voll digitalisierte HR.

SwissSigner Public Beta

Vor wenigen Minuten erhielt ich ein Mail von SwissSign, dass eine öffentliche Beta der Signatursoftware SwissSigner verfügbar sei.
Das musste ich mir natürlich sofort ansehen - hier mal die ersten Eindrücke:

• Setup sehr gut - wird es unter Vista/Windows 7 mit UAC ausgeführt, so installiert es sich je nach verfügbaren Rechten entweder in den persönlichen Ordner des Benutzers oder in den Programm-Ordner. Vorbildlich
• Eine Assoziation mit .pdf-Dateien ist nur möglich, wenn Setup mit Administratorenrechten ausgeführt wird. Diese erfolgt dann leider aber primär, so dass PDFs immer mit dem SwissSigner geöffnet werden.

Nun also mal ein erstes PDF erstellen (Export aus Microsoft Word 2007) und mit SwissSigner öffnen - die Oberfläche ist übersichtlich und intuitiv.
Es werden verschiedene Signaturmöglichkeiten angeboten:

• Einzelsignatur
• Unsichtbare Einzelsignatur
  
• Multisignatur (Zertifizierung)
• und Unsichtbare Multisignatur

Probieren wir also mal die Einzelsignatur aus - sichtbar.
Die Statusleiste informiert mich, dass ich nun mit der rechten Maustaste das Feld für die Signatur aufziehen könne.



Sobald ich die rechte Maustaste wieder loslasse erscheint ein modaler Dialog und fragt mich nach dem Passwort des Tokens:



Im nächsten Fenster kann ich auswählen, welches Zertifikat ich verwenden möchte (qual, auth), den Ort für die Signatur angeben, ein Bild auswählen (unterstützt werden PNG, BMP oder GIF), einen Grund angeben und die Sprache auswählen:


Alles eingegeben, OK geklickt und schon wird gefragt, unter welchem Namen das signierte Dokument gespeichert werden soll. Vorgeschlagen wird "[Dokumentenname] (Signiert von
[Zertifikatsname])".

Wählt man das qualifizierte Zertifikat, so fragt die Siemens CardOS API noch nach dem 2. PIN für dieses nach, und schon erscheint das signierte Dokument.



Die Draw-Funktion lässt leider in Sachen Geschwindigkeit noch ein wenig zu wünschen übrig - Zoom In benötigt mehrere Sekunden, auch das maximieren des Fensters.
Hier ein Zoom (mit Zensur, das verwendete Bild ist meine Unterschrift) wie die Signatur auf dem Dokument aussieht:

Die erste Zeile ist der Grund, der im Dialog angegeben wird. Zeile 2 wird automatisch erstellt, Zeile 3 besteht aus dem angegeben Ort und dem aktuellen Datum.
Das Datum wird nun der Knackpunkt sein - ich stelle die Systemzeit um einen Tag zurück und signiere das PDF erneut (mit französisch als Signatursprache, mal zum Testen).
Ergebnis: Neuer Vorschlag beim Dateinamen enthält nun "signé par", das ist schön.
Datum und Uhrzeit für die Signatur werden vom Timestamp-Server geholt, das Datum für die sichtbare Unterschrift aber aus der lokalen Systemzeit:

Kleiner Lapsus, der aber sicher noch korrigiert werden kann. Hier noch die Release Notes:



und das About



Fazit fürs Erste: Eine schöne Software, aber es darf noch an den Ecken gefeilt werden. Als Alternative gibt es den Open eGov Local Signer, der mittlerweile das Beta-Stadium verlassen hat (aber nicht mehr Open ist, wie ursprünglich angekündigt). Dieser kann auch mit nicht-SwissSign-Zertifikaten umgehen.

Postzertifikat nun immer qualifiziert - und günstiger!

Wie schon letztes Jahr versprochen bietet SwissSign, die Tochterfirma der Schweizerischen Post, nun ab diesem Jahr die qualifizierten Zertifikate in einem vereinfachten Prozess an.

Bis anhin (und noch bei meinem letzten Zertifikat vom 25. Februar 2009) musste man für die Zertifizierung direkt zu SwissSign vorbeigehen - man musste einen Pass oder eine ID vorlegen und die Zertifikate wurden vor Ort gleich auf dem Stick erzeugt.

Für fortgeschrittene Zertifikate gab es schon bis dahin den Weg über die "Gelbe Identifikation". Man geht zum Postschalter, weist sich dort aus, und der Postangestellte macht eine Kopie des Ausweises. Man erhält eine CD mit der Installationssoftware, den USB-Cardreader und die Smartcard.
Einige Tage später erhält man per Post ein Passwort, mit welchem man die "Zertifikate" herunterladen kann. Wie der Prozess genau geht, das möchte ich noch herausfinden und werde da mal noch nachfragen. Schliesslich müssen die qualifizierten Zertifikate, um gültig zu sein, on-chip generiert werden (gem. ZertES) - man lädt wohl nur den signierten Public Key der einzelnen Zertifikate herunter.
Noch die PIN ändern und fertig, die Zertifikate sind einsatzbereit.

Bereits vor Monaten erwähnten SwissSign-Mitarbeiter mir gegenüber, dass sie diesen Prozess gerne auch für die qualifizierten Zertifikate verwenden würden - der geringere Aufwand würde die Kosten natürlich drastisch senken. Doch müssen alle Prozesse, die zur Ausstellung von solchen Zertifikaten dienen, von der Akkreditierungsstelle überprüft werden (KMPG). Das dauert natürlich seine Zeit, doch nun haben sie es geschafft - der Identitätsnachweis kann am Postschalter erfolgen!

Somit sind nun nur noch 4 Schritte nötig, um ein qualifiziertes Zertifikat zu erhalten:

1. Antragsformular ausfüllen
2. Gelbe Identifikation am Postschalter (kostet 20 Fr.)
3. Auf Post von SwissSign warten
4. Software installieren, Zertifikate runterladen

Was ich leider auf der Seite der Post im Moment nicht sehe, ist, ob die Zertifikate weiterhin im 3-er Pack erzeugt werden: Qualifiziert (für's Unterschreiben ohne Abstreitbarkeit), Fortgeschritten (naja, ich verwende das eigentlich nie), und Verschlüsselung (Exportierbarer Private Key, damit auch später Daten entschlüsselt werden können). Ich nehme es mal an.

Die Preise sind ganz schön gesunken - früher waren es Fr. 390 im ersten Jahr, dann Fr. 200 in den Folgejahren. Nun sind es Fr. 99 im ersten Jahr, Fr. 59 in den Folgejahren - oder einfach Fr. 199 für 3 Jahre. Das USB-Token (Cardreader) ist noch bis zum 31. August 2009 gratis, nachher kostet es 29 Fr. - hey, interessant, jetzt steht da ja Token... mal schauen, ob das weiterhin ein OmniKey Card Reader ist.

Für meine Freundin haben wir nun das Antragsformular schon mal ausgefüllt, gelbe ID machen wir morgen, ich mache ein Update falls sich beim Aktivierungsprozess gross was geändert haben sollte.

Von RFID, Zertifikaten und Pässen

Diese Woche hat mich eine Kollegin auf die Webseite des "Überparteilichen Referendumskomitees gegen Biometrische Schweizer Pässe und Identitätskarten" aufmerksam gemacht.

Ich wusste bis dahin noch gar nicht, dass die Entscheidung über unsere neuen Pässe und Identitätskarten bereits gefallen war. Dies hat der Nationalrat in der Sommersession kurz und bündig abgehandelt. Der Bundesbeschluss sieht vor, dass künftig beide Ausweispapiere einen Chip enthalten können (nicht müssen, AWG Art. 1 Abs. 2bis) und dass, wie zu erwarten war, biometrische Daten darauf gespeichert werden.

Die Anwendung von Radio Frequency Identification RFID ist im Gesetz nicht konkret erwähnt oder gefordert, gemäss AWG Art. 2a Abs. 1 bestimmt der Bundesrat die technischen Anforderungen.

Abs. 2 dieses Artikels gefällt mir besonders:
Der Bundesrat ist befugt, mit anderen Staaten Verträge über das Lesen der im Chip
gespeicherten Fingerabdrücke abzuschliessen, sofern die betreffenden Staaten über
einen Datenschutz verfügen, der dem schweizerischen gleichwertig ist.

Dies schliesst für den Moment zumindest die Vereinigten Staaten aus - nur die Staaten der Europäischen Union haben ein "gleichwertiges Datenschutzniveau" (gemäss dem Datenschutzbeauftragten des Kantons Zürich, Herrn Bäriswyl).

AWG Art. 1 Abs. 2quater ist auch noch sehr interessant:
Der Ausweis kann zudem elektronische Identitäten für Authentisierungs-,
Signatur- und Verschlüsselungsfunktionen enthalten.
Somit scheint klar, wo wir Schweizer (nicht ausländerfeindlich gemeint, aber der Bundesbeschluss sieht keine entsprechende Passage im Ausländergesetz vor) künftig unsere Zertifikate aufbewahren werden.

Technisch dürfte es bei einem RFID-Chip wohl kaum möglich sein, ein Zertifikat on-chip zu generieren, wie dies das ZertES verlangt (zu wenig Leistung) - und der Pass hat sowieso nicht Smartcard-Format. (Die Idee eines Passes mit USB-Anschluss gefällt mir zwar, wäre was für ne Fotomontage). Also bleibt nur die Identitätskarte. Da die "Vorteile" von RFID auf der Hand liegen wird auf diese Funktionalität wohl kaum verzichtet - die Karte mit 2 Chips auszustatten dürfte nicht billig sein.

Was kann unser Ausweispapier also künftig im besten Fall?

• Es kennt unsere persönlichen Daten wie Name, Vorname usw. gemäss AWG Art. 2
  
• Es enthält ein Foto und unsere Fingerabdrücke
• Es kann digital unterschreiben
  und das Beste:
  
• es kann diese Informationen weitergeben ohne dass wir es mitkriegen :-)

Klar, ein Schutz sollte gegeben sein - so kann der Pass 06 nur ausgelesen werden wenn die Maschine vorher den Code auf der Plastikkarte ausliest - ohne diesen erhält sie nur wenige (keine?) Informationen vom Chip. Aber die Technik schreitet voran , und RFID breitet sich aus. Seit ein paar Wochen bekam ich plötzlich zwischendurch keinen Zutritt mehr zur HSR, oder der Automat spuckte nichts aus, wenn ich mein Portmonnaie auf den Leser legte. (Ja, auch wir haben RFID-Legis - von Kudelsky, heissen Legic). Dachte mir nicht viel dabei, vielleicht waren ja zuviele Münzen dazwischen. Als ich aber mal genauer hinsah merkte ich, dass es "Unbekannt" hiess - da meldete sich was anderes! Und wer hätte es gedacht, es ist die CineCard der Kitag - stand auch nirgends, dass da ein RFID-Chip drin ist. Also, mal Buchführung über meine RFIDs:

• Kitag - check
• Oyster Card (London Underground) - check
  
• Legic für Hochschule für Technik - check

... und das Problem ist, ich weiss nicht mal ob das alle sind! Es bleibt wohl nur noch eins: Shoppen gehen, und zwar RFID-abschirmende Portmonnaies und einen Tag-Sucher...

PS: Im September nehme ich an einer Führung durch den Future Store teil, alles mit RFID. Mehr dazu sicher hier.

PDFs signieren, zertifizieren

Leser meines Blogs wissen, dass ich schon eine Weile im Besitz einer qualifizierten digitalen Signatur bin. Doch ausser für Mails ist diese ziemlich unhandlich anzuwenden - in der Kanzlei haben wir zwar Aloaha, aber auf meinem eigenen PC ist keine Software, mit der ich PDFs unterzeichnen könnte. Und - mal ehrlich - wer will für die wenigen Funktionen, die die frei verfügbaren Tools nicht bieten, Adobe Acrobat kaufen? Schon der Reader ist mittlerweile zu einem über 100 MiB grossen Monster verkommen.

Jedenfalls wurde ich letzthin von den freundlichen Leuten bei Privasphere darauf hingewiesen, dass der Bund bzw. das EJPD ein Gratis-Programm zur Verfügung stellt, welches PDFs signiert. Es heisst Open eGov LocalSigner.

Mit diesem Programm lassen sich beliebige PDFs öffnen und graphische oder unsichtbare Unterschriften hinzufügen - Bedingung: Der Adobe Reader muss installiert sein.

Auch wenn es "Open" heisst - nicht vom Namen täuschen lassen, es ist (nur) Freeware. Ursprünglich hiess es auf der Open eGov Plattform dass alle Software unter GPL v2 (mit Classpath Ausnahme) angeboten werden - bis ich nach der Source anfragte, weil die Applikation zur Zeit leider nur mit der lokalen Rechnerzeit arbeitet und kein Timestamping bietet.

Immerhin: Für die nächste Version (ca. in einem Monat) wurde mir die Timestamping-Funktion angekündigt. Vielleicht wird die Funktion grad noch fertig bevor die kostenlose Beta-Phase des SwissSign-Zeitstempeldiensts endet, Hoffnung bleibt :-)

Was gibt's sonst noch? Ah ja, die Schrauben sind mittlerweile angekommen, gleich doppelt innerhalb einer Woche (habe jetzt 32 Stück, mehr als genug, wer braucht noch welche?)

Postzertifikat - Bald für Vista und andere gute Neuigkeiten!

So, gute Nachrichten!

Gestern bekam ich einen Anruf von Herrn Cavegn, Produkt Manager bei SwissSign. Er hatte meine Anleitung für die Postzertifikate unter Vista gesehen und wollte sich dafür bedanken.

Dazu gabs ein paar wundervolle News, was in Sachen Zertifikate demnächst zu erwarten ist:

1. Die langerwartete Vista-Unterstützung soll voraussichtlich noch im Februar kommen - mit einer sauberen Installationsroutine, die Treiber, API und alles aufsetzt. Die lange Verzögerung entstand, weil die verschiedenen involvierten Teilkomponenten alle die verschlüsselte Übertragung des Keys an den Chip erlauben mussten.
   
   
   
2. Der Prozess für die Ausstellung eines qualifizierten Zertifikats soll noch im Laufe dieses Jahres stark vereinfacht werden und dann noch einfacher ablaufen wie bei einem fortgeschrittenen Zertifikat. Basieren wird das Ganze auf der Gelben Identifikation, welche das persönliche Erscheinen bei der Registration Authority ersetzt. Reader, Chip und PIN werden dann getrennt verschickt, die PIN per eigenhändiger Auslieferung. Diese Vereinfachung des Verfahrens erlaubt es dann auch, kostengünstiger zu arbeiten und dies wird auch an den Kunden weitergegeben.

Qualifiziertes Zertifikat!

So, seit Mittwoch Nachmittag habe ich nun ein qualifiziertes Zertifikat von Swiss Sign. Ausgestellt wurde es in Zürich, und noch macht das ganze Prozedere einen etwas provisorischen Eindruck:

Zuerst komme ich zum Empfang im Gebäude der Post, die freundliche Dame am Empfang wusste nicht, was ein Zertifikat ist. Naja, zum Glück hatte ich einen Namen (der nicht in ihrem Telefonbuch war...) und eine direkte Telefonnummer.

Frau Klug, die das Zertifikat ausstellen würde, holte mich in der Lobby ab und führte mich in eine grössere Büroabteilung, die gerade eingerichtet wird. Ihr Tisch und die Laptops sind mittendrin. Mit den Spickzetteln und etwas Improvisieren gelang es schliesslich, die Keypairs zu generieren und zertifizieren zu lassen. Frau Klug gestand mir dann, dass dies das erste Mal sei, dass sie das mit einem Kunden durchgeführt hatte. Aber sie hat sich tapfer geschlagen, danke vielmals!

Postzertifikat - ein Update

So, vor langer Zeit habe ich ja mal die Anleitung für die Installation der Post-Zertifikate unter Windows Vista angefangen - hier nun die Version wie es bei mir zur Zeit funktioniert:

1. Dongle einstecken, er wird automatisch erkannt, allerdings mit den in Windows integrierten Treibern. Führe nun Windows Update aus, damit der neue Treiber heruntergeladen und installiert wird (OmniKey Cardman 6121, alternativ Treiber hier herunterladen)

2. Auf der Installations-CD unter
Disk1\InstData\VM\install.exe

die Eigenschaften wie oben auf dem Bild gezeigt setzen.
Programm im Kompatibilitätsmodus ausführen für
Windows XP (Service Pack 2)

Berechtigungsstufe
"Programm als Administrator ausführen"

3. Setup wie in Anleitung angegeben ausführen - wenn Windows Vista sich beschwert dass der Hersteller des Treibers nicht überprüft werden konnte einfach abnicken.

4. Neustarten -> Sollte funktionieren.

EDIT: Bei manchen funktioniert es erst, wenn per Windows Update die neuen Treiber für den OmniKey geladen werden.

PostZertifikat - Antwort auf mein Mail

Heute Mittag kam die Antwort auf mein Mail (siehe unten)

Sehr geehrter Herr Mauchle

Vielen Dank für Ihre Mitteilung.

Gerne haben wir Ihr Mail als Verbesserungsvorschlag an die zuständige Stelle weitergeleitet. Bei weiteren Versänden werden wir dies gerne berücksichtigen.
Wir sind jederzeit froh über Feedback und danken Ihnen für die erwähnten Punkte.

Wir hoffen Ihnen momentan mit diesen Angaben weitergeholfen zu haben und wünschen Ihnen einen schönen Tag.

Freundliche Grüsse

EDIT: Name der Absenderin entfernt

PostZertifikat - der Sicherheitswitz

Gestern nachmittag bekam ich folgende Nachricht von ccc.postzertifikat@dcl.ch

Geschätzte/r Postzertifikatsbesitzer/in
Der Lieferant der Chip-Karten für das PostZertifikat hat vor kurzem eine neue Version der Treiber-Software für Windows hergestellt. Für Mac und Linux wird dies demnächst der Fall sein. Konsultieren Sie dazu bitte den Download-Bereich auf unserer Webseite.

In der neuen Version ist der Einsatz der Postzertifikate in verschiedenen Anwendungen optimiert. Bitte führen Sie das neue Update gemäss beigelegter Anleitung durch. Beachten Sie dabei, dass Sie das Update erst nach der vollständigen Installation der Zertifikate ausführen.
Link auf die Anleitung für die Installation des Updates
Link auf die neue Treiber-Software für Windows
Wir wünschen Ihnen viele nützliche Anwendungen Ihres PostZertifikats.
Freundliche Grüsse
Die Schweizerische Post
PostMail
Team PostZertifikat
Wichtig für Nutzer von Outlook
Outlook verwendet für die Verschlüsselung zurzeit das falsche Zertifikat. Dieser Umstand kann seitens PostZertifikat nicht automatisch korrigiert werden. Sie müssen daher eine manuelle Einstellung vornehmen. Eine Anleitung dazu finden Sie im Download-Bereich unserer Webseite. Ohne diese manuelle Einstellung können verschlüsselte E-Mails bei Verlust oder Defekt des Chips nicht mehr dargestellt werden.


Darauf habe ich wie folgt geantwortet:

Sehr geehrte Damen und Herren des Teams PostZertifikat
Dieses E-Mail kann wohl nicht ihr Ernst sein.

• Sie verschicken eine Nachricht von einer anderen Domain als postzertifikat.ch


• Sie signieren diese Nachricht nicht


• Sie erwarten, dass die Empfänger eine nicht-signierte Datei von einem Server im Internet herunterladen


• die heruntergeladene Programmbibliothek soll anschliessend eine bisherige im System-Ordner überschreiben.

Als einzige Sicherheitsmassnahme ist zu werten, dass die Datei auf dem Server postzertifikat.ch liegt und der (aufmerksame) Benutzer überprüfen kann, ob die Verbindung zu diesem Server gesichert ist.
Diese Nachricht könnte jeder geschrieben haben, und die Programmbibliothek könnte genausogut ein trojanisches Pferd sein!
Sie widersprechen mit dieser Vorgehensweise allen bis anhin geschaffenen Sicherheitsmassnahmen zum PostZertifikat. Auch wenn es damit nicht direkt möglich ist, dem Empfänger das Zertifikat "abzuluchsen" kann trotzdem enormer Schaden entstehen.
Ich möchte Sie bitten, dies für künftige Informationen an die Kunden zu beachten. Besten Dank im Voraus
Florian Mauchle
PS: Ich habe für Interessierte eine Installationsanleitung für das PostZertifikat unter Windows Vista unter www.mauchle.name/blog veröffentlicht.

Bin gespannt auf die Antwort, die werde ich hier posten.

Post-Zertifikat in Vista, 2. Teil

So, mittlerweile geht's ein Stück weiter:
Die Post hat mir ein Mail geschickt mit der URL, wo ich mein Zertifikat herunterladen kann - aber Achtung, wer als Default-Browser Firefox installiert hat sollte VORHER die Anleitung für Firefox lesen. Sonst geht's spätestens bei Teil 3 schief.

Teil 1: Das Laden der-Zertifikats
Nachdem man sich unter der gemailten URL mittels Seriennummer authentifiziert hat bekommt man das erste Zertifikat,

auth2007_<Vorname>_<Zweitname>_<Nachname>.ss7

Eine Seite weiter gibt's das zweite Zertifikat,

qual2007_<Vorname>_<Zweitname>_<Nachname>.ss7
(Hier sei angemerkt: Wieso heisst das Ding qual...? Ist schliesslich nicht QUALifiziert, Mogelpackung das...).

Nach einem Klick auf weiter kommt nun eine Webpage mit Warnhinweis - noch nicht weiterklicken!

Teil 2: Zertifikate auf den Chip laden
Nun müssen diese beiden Dateien auf den Dongle geladen werden - bzw. eigentlich auf den Chip der drin ist. Am USB-Port einstecken und dann die Files rüberladen mit

\Program Files\PostZertifikat\HELPER_Tool\CertImporter.exe auth2007_<Vorname>_<Zweitname>_<Nachname>.ss7

und

\Program Files\PostZertifikat\HELPER_Tool\CertImporter.exe qual2007_<Vorname>_<Zweitname>_<Nachname>.ss7

Zur Sicherheit sollten Sie den Dongle nun aus- und wieder einstecken.

Teil 3: Das Verschlüsselungszertifikat laden
Im Browser können Sie nun wieder auf "Weiter" klicken - wenn das System für die Authentifizierung gegenüber der Seite das Zertifikat auf dem Dongle findet ist alles in Ordnung. Ausserdem wird der Browser das Root-Zertifikat von Swiss Sign importieren wollen. Müssen wir wohl zulassen...
Nun kommt das letzte File, das Verschlüsselungszertifikat.

crypt2007_<Vorname>_<Zweitname>_<Nachname>.ss12


Speichern und ähnlich wie in Schritt 2 mit

\Program Files\PostZertifikat\HELPER_Tool\CertImporter.exe crypt2007_<Vorname>_<Zweitname>_<Nachname>.ss12

auf den Chip laden.

Tja, leider war's das - habe noch keine Software unter Vista gefunden die nun die Zertifikate von dort verwenden kann - es scheint so als ob die Software Siemens Hipath SIcurity Card API in der Version 3.1 B (Build 23) noch nicht Vista-fähig ist. Gegooglet und noch nichts gefunden, sobald ich was habe melde ich es hier.

EDIT: Es läuft! Zumindest teilweise. Die Zertifikate funktionieren in Vista mit Microsoft Office Outlook 2003, Mozilla Firefox 2.0, Internet Explorer 7.0.
An Thunderbird arbeite ich noch...

Post Zertifikat unter Windows Vista installieren

Seit einigen Tagen kriegt man nun bei der Schweizer Post Zertifikate. Die Installations-CD ist zwar nicht für Windows Vista geeignet, man kann es aber trotzdem installieren. Hier die Anleitung:



0. Trotz Fehlermeldungen und anscheinlicher Effektlosigkeit das Autorun auf der CD ausführen.

1. Von der CD die Datei
Disk1\InstData\Resource1.zip
öffnen. Wir benötigen von hier den Ordner

$IA_PROJECT_DIR$\SwissPostResources\Components

2. Nun benötigen wir die Treiber für den OmniKey-Kartenleser. Das Produkt selbst heisst CardMan Dongle USB 6121 (CCID). Wir brauchen den PC/SC-Treiber und den API-Treiber .

Dekomprimieren Sie beide in Verzeichnisse ihrer Wahl, z.B. C:\Omnikey

3. Stecken Sie den Dongle zum ersten Mal ein. Wenn Windows ihn erkennt und nach dem Treiber fragt geben Sie das entsprechende Verzeichnis an, z.B.
C:\OmniKey\CardMan3x21 PCSC driver V1.1.1.6.
Fragt es nicht nach dem Treiber sollten Sie diesen manuell über den Gerätemanager austauschen.
EDIT: Gerade herausgefunden: Vista findet beim nächsten Windows Update den neuen Treiber automatisch und lädt diesen herunter - eine schöne Vereinfachung.

4. Als nächstes benötigen wir den OmniKey API-Treiber. Starten Sie das Setup aus dem entsprechenden Verzeichnis, z.B.
C:\OmniKey\CT-API_V4_0_2_1\setup.exe.
Wenn dieses nun den Leser "OMNIKEY CardMan 6121 0" erkennt hat es mit dem Treiber schon mal geklappt.

5. Nun kommt die PostSoftware. Kopieren Sie die Dateien aus den Components-Unterordnern wie folgt:

Components\HELPER_Tool\Windows\SIECADIR\bin nach
Program Files\PostZertifikat\HELPER_Tool

Components\PIN_Tool\Windows\SIECADIR\bin nach
Program Files\PostZertifikat\PIN_Tool

Components\Software_Chipkarte\Windows\WINDIR nach
Windows\System32

Components\Software_Chipkarte\Windows\SIECADIR\bin nach
Program Files\PostZertifikat\PIN_Tool

6. Das Anpassen der PIN. Nun muss vor der ersten Verwendung die Transport-PIN auf eine eigene PIN geändert werden. Dies geschieht

mit dem Programm Program Files\PostZertifikat\PIN_Tool\siecapin.exe

7. So, nun warte ich auf das Zertifkat von der Post, ich dieses erhalte werde ich die weiteren Punkte hier melden. Wahrscheinlich geschieht dies mit dem Programm
Program Files\PostZertifikat\HELPER_Tool\CertImporter.exe.