LinkBack URL
About LinkBacks
ZitierenOh nein. Du kannst ja den Inhalt der CD auf HD kopieren, aender und eine neue CD schreiben. Die ganzen CD Geschichten sind ein Geruecht. Ohne Zeitstempel (RFC 3161) wuerde ich da nichts riskieren!Zitat von bosc
Stefan
Mit PDF moeglich. PDF ist oeffentlich dokumentiert. Damit koennte man sich selbst in 1000 Jahren noch selbst einen PDF Viewer bauen!"Der Originalzustand des übermittelten ggf. noch verschlüsselten Dokuments muss jederzeit überprüfbar sein."
[Ich muss also dafür sorgen, dass das gespeicherte Dateiformat auch noch in vielen Jahren bei einer Betriebsprüfung "lesbar" ist]
Der Empfänger hat eine Rechnung auf Richtigkeit in Bezug auf"vor einer weiteren Verarbeitung der elektronischen Abrechnung die qualifizierte elektronische Signatur im Hinblick auf die Integrität der Daten und die Signaturberechtigung geprüft werden und das Ergebnis
dokumentiert wird;"
[Ich muss also vor einer "weiteren Verarbeitung" wie Ausdrucken oder Archivieren erst prüfen, ob die Signatur auch echt ist, und dies separat (auf Papier? in elektronischer Form?) dokumentieren]
die Anforderungen zu überprüfen. Bei einer elektronischen Rechnung
muss weiter die digitale Signatur überprüft und das Ergebnis
dokumentiert werden.
Grundsätzlich ist ohne Bedeutung, ob der Rechnungsempfänger die
Herkunft und Unverfälschtheit der Rechnung überprüft. Wird dem
Rechnungsempfänger bspw. eine Rechnung per eMail übersendet,
kann er den Text der Rechnung problemlos lesen, da dieser nicht
verschlüsselt ist. Lediglich der Teil der Datei, der die elektronische
Signatur, also den verschlüsselten Hashwert enthält, ist ihm nicht
zugänglich. Er erkennt allerdings, dass der Rechnung ein
verschlüsselter Teil angefügt ist. Der Empfänger kann somit, soweit er
selbst Unternehmer ist und die abgerechneten Leistungen für sein
Unternehmen erbracht wurden, den ausgewiesenen - und lesbaren -
Umsatzsteuerbetrag als Vorsteuer berücksichtigen.
Nimmt der Rechnungsempfänger allerdings den Vorsteuerabzug
ohne Überprüfung der elektronischen Signatur vor und stellt sich
heraus, dass die elektronische Rechnung nicht ordnungsgemäß
erstellt wurde, zB. wenn der Rechnungsaussteller lediglich eine
einfache elektronische Signatur verwendet hat, trägt der Rechnungsempfänger
das Risiko, dass die Vorsteuer nicht abgezogen werden
darf. Ggf. ist dann der durchgeführte Vorsteuerabzug wieder
rückgängig zu machen.
Gute Programme bauen einen RFC3161 komformen Zeitstempel in das Dokument ein. Damit ist es ueberpruefbar unveraenderlich und es wird egal wo/wie es gespeichert wird!"die Speicherung der elektronischen Abrechnung auf einem Datenträger erfolgt, der Änderungen nicht mehr zulässt."
[Ich müsste also jede eRechnung auf einem separaten, nicht wiederbeschreibbaren / änderbaren Datenträger speichern. Das auch noch in einem Datenformat, dass auch in Jahren noch lesbar ist (s.o.)]
Bei PKCS7 und bei PDF steckt der Schluessel im Dokument selbst! Also keine Panik auf der Titanic."der Signaturprüfschlüssel aufbewahrt wird;"
[Ich muss also von jeder eigehenden eRechnung einen Signaturschlüssel aufbewahren]
Es hoert sich also alles viel komplizierter an als es wirklich ist!
Stefan
Oh nein. Du kannst ja den Inhalt der CD auf HD kopieren, aender und eine neue CD schreiben. Die ganzen CD Geschichten sind ein Geruecht. Ohne Zeitstempel (RFC 3161) wuerde ich da nichts riskieren!
Stefan
Ruhig Blut :-). Auch auf die Gefahr hin mich zu wiederholen.Ich werde wahnsinnig ... das ist doch UNDURCHFÜHRBAR ... zumindest für 90% der mittelständischen Betriebe! Das Versenden MIT Signatur ist ja noch das kleinste Problem, aber der ERHALT und die o.g. Prüfungs- und Dokumentationspflichten ... wer ist bereit das zu machen?
Hat jemand Kontakt zur überregionalen Presse oder TV, um diesen Verwaltungswahn mal zu Thematisieren? ... DAS kann doch nicht sein!
Uwe
Wenn PKCS7 oder PDF Signaturen benutzt werden.
- Steckt der Schluessel in der Datei
- Steckt das Zertifikat in der Datei
und wenn dann noch die ganze Signatur Zeitgestempelt ist kann JEDERZEIT in gueltiges Pruefprotokoll angefertigt werden. Ohne Zeitstempel sieht das natuerlich ganz anders aus.
Stefan
Dann erkläre mir mal, was SigG § 17 (Produkte für qualifizierte elektronische Signaturen) Absatz 4 bedeutet:
wo kommt nun der Irrglaube her?(4) Die Erfüllung der Anforderungen nach den Absätzen 1 und 3 Nr. 1 sowie der Rechtsverordnung
nach § 24 ist durch eine Stelle nach § 18 zu bestätigen. Zur Erfüllung der Anforderungen
nach den Absätzen 2 und 3 Nr. 2 und 3 genügt eine Erklärung durch den Hersteller des Produkts
für qualifizierte elektronische Signaturen. Der Hersteller hat spätestens zum Zeitpunkt des Inverkehrbringens
des Produkts eine Ausfertigung seiner Erklärung in schriftlicher Form bei der Regulierungsbehörde
für Telekommunikation und Post zu hinterlegen. Herstellererklärungen, die den
Anforderungen des Gesetzes und der Rechtsverordnung nach § 24 entsprechen, werden im Amtsblatt
der Regulierungsbehörde für Telekommunikation und Post veröffentlicht.
hättest du alles gelesen, war dies genau das Thema auf das ich u.A. hinaus wollte.
...siehe SigG § 17 da stehen die Anforderungen drin.
Im übrigen finde ich es witzig, dass dein Namen mich an ein Produkt errinert, dass u.A. auch "qualifizierte" Signaturen in PDF-Dateien erstellen können soll und deren Verkäufer exakt die gleiche Meinung vertreten, wie du hier. Nämlich, dass die Software vollkommen egal ist. Problem ist dabei nur, dass ich mit genau diesen Aussagen im Gepäck vor diverser Zeit bei der BNetzagentur angerufen habe (über zig Ecken kommt man da wirklich an Kontaktdaten) und mir meine Zweifel an diesen deutlich bestätigt wurden!
...das Produkt an das ich mich erinerre hat für eine einzelne Signatur eines einzelnen PDF Dokumentes mehrfach nach meiner Pin gefragt... ist das vertrauenswürdig?
Gruß
Jan
Ich war und bin eigentlich ein sehr grosser Fan vom CCC. Aber was ich dort gerade gelesen hat laesst mich doch an deren Verstandt zweifeln. Ich habe nie soviel geballte Unwissenheit in einem Vortrag gesehen.
Wir haben die erste HBA/eGK konforme Applikation entwickelt und sind damit schon seit Monaten auf dem Markt. Ich bin deshalb bestimmt nicht neutral.
Aber die HBAs/eGKs sind doch ganz einfach und schlicht ganz einfache Signaturkarten. Wenn die so teuflisch waeren dann bitte schmeisst alle ganz schnell eure Bankkarten weg.
Die HBAs/eGKs koennten schon seit einem Jahr ausgegeben werden wenn die Akzeptanz der Bevoelkerung da waere. Da fehlt es ganz einfach an fundierter Aufklaerung. Vielleicht wuerde es dann unserem Gesundheitssystem dann auch wieder ein wenig besser gehen :-)
Bei Klasse 1 stimmt das. Klasse 2 sind aber genauso sicher. Die PIN verlaesst nie den Leser.
Die Kosten liegen definitiv nicht bei 200 Euro/Jahr. Dann wuerde die ganze Geschichte wirklich keinen Sinn mehr machen. Wenn Karte/PIN weg dann Zertifikat definitiv auch weg. Deinen private Key gibt es NUR in der Karte und nirgendwo sonst. Der wird in der Karte generiert und kann die Karte nicht verlassen. Das ist doch auch gut so oder waehre es gut wenn der private key irgendwo archiviert wuerde?Und das mit den 20 € pro Jahr ist doch wohl (leider) ein Mythos!!!Die Gesamtkosten liegen bei 200 €, weil es ja noch mehr als die Zertifikatskosten gibt! Außerdem weiß ich nicht, was passiert, wenn ich mal meine Karte / PIN verliere oder wenn sonst etwas ist, weswegen ich die Karte umtauschen muss! Ist das Zertifikat dann weg? (Und damit das Geld?)
Es gibt eine ganze Reihe von Anbietern. Aber Vorsicht. Viele sind NICHT 100%ig RFC konform und somit zeigt zum Beispiel der Adobe Reader solche Zeitstempel NICHT an! Immer vorher den Dienst testen.
Noe, ich stimme Dir 100% zu. :-)Ansonsten kann ich dir uwe.h nur sagen, dass du den Ausschnitt ja schon vorhin gepostet hast.Zum PDF-Format konkret: Ich denke schon, dass das ja DAS Archivierungsformat der Zukunft ist und wird! Oder gibt es hier Experten, die anderer Meinung sind?
Stefan
Es ist nirgendswo definiert das eine Software akkreditiert werden MUSS!Dann erkläre mir mal, was SigG § 17 (Produkte für qualifizierte elektronische Signaturen) Absatz 4 bedeutet:
wo kommt nun der Irrglaube her?
Schon klar! Wie Du an meinen Postings siehst habe ich in der Tat ALLE postings sehr ausfuehrlich gelesen. Davon abgesehen ist man sowieso als Software Hersteller fuer seine Software haftbar. Nicht nur wenn man das deklariert.
Auch klar. Du wirst mir glauben das ich und diverse Anwaelte sich schon aus rein beruflichen Gruenden damit sehr gut befassen und befasst haben.
Weshalb witzig. Ich bin Teil von Aloaha. Da gibt es nichts zu verbergen. Oder soll ich lieber ein Pseudonym benutzen?
Tja, die gute BNetzA. Die sollen sich erstmal endlich bemuehen ein 2048 Bit Root Certifikat zu erstellen. 1024 Bit wird ende 2007 ungueltig. Das ist nur noch ein gutes Jahr!
Bitte schreib Dir auf was ich jetzt sage. Die BNetzA wird es nicht schaffen ein 2048 Bit Zertifikat zu erstellen und deshalb einfach erklaeren das 1024 Bit ab 2008 doch nicht unsicher ist. LOL - sehr vertrauenserweckend wenn das kommt. Aber genau das wird vermutlich geschehen. Sehe ich zumindest so in der grossen Glaskugel.
Das liegt dran. Es soll Leute geben die vertippen sich bei der PIN Eingabe schnell....das Produkt an das ich mich erinerre hat für eine einzelne Signatur eines einzelnen PDF Dokumentes mehrfach nach meiner Pin gefragt... ist das vertrauenswürdig?
Stefan
Habe ich das geschrieben? Oder wo steht das? Für mich ist dieser Satz ziemlich klar:
...Zur Erfüllung der Anforderungen nach den Absätzen 2 und 3 Nr. 2 und 3 genügt eine Erklärung durch den Hersteller des Produkts für qualifizierte elektronische Signaturen.
hatte früh angefangen zu antworten, so dass ich deine nachgezogenen Antworten erst im Nachhinein gelesen hatte. (sah mir zu beginn extrem nach Gurilla Marketing aus
nein, konnte ich ja auch nur raten
die BNetzA hat mir nur das bestätigt, was ich mir auch dachte. Den Einsatz einer Software, die erstmal die mehrfache Pineingabe erfordert (die mit 100prozentiger Sicherheit nicht falsch war) und zu der keine Herstellererklärung vorliegt, sollte man sich seeehr gut überlegen.
Wobei ich dir mit dem Ganzen Zertifikatskram bei denen Zustimmen muss... ein wildes durcheinander. Zu den Schlüssellängen kann ich nichts sagen, da ich da nicht vom Fach bin
Das Ganze ist allerdings auch schon eine Weile her... so August '05 - da kann sich an der Software ja einiges geändert haben. Allerdings kann man auch seit dem immernoch keine Herstellererklärung, weder auf euren Seiten, noch auf der BNetzA-Seite finden (ich weiß, die sind nicht wirklich immer aktuell).
Gruß
Jan
Nein, um Gottes Willen nicht. Aber ich bin da in einer Zwickmuehle. Einerseits koennte ich ein Pseudonym benutzen und dann weiss keiner das ich gewissermassen vom Fach bin oder aber ich lasse erkennen wer ich bin und dann sieht das wie Schleichwerbung aus. In diesem Fall dachte ich die Schleichwerbung waere das kleinste Uebel.hatte früh angefangen zu antworten, so dass ich deine nachgezogenen Antworten erst im Nachhinein gelesen hatte. (sah mir zu beginn extrem nach Gurilla Marketing aus
Es ist doch Fakt das in Sachen digitaler Signatur ganz einfach das Chaos vorherrscht. Kaum jemand weiss genau wie man die ganzen Vorschriften und Gesetze auslegen soll/muss. Solange da kein Licht in den Dschungel gebracht wird sieht es fuer den kleinen Mann immer schlecht aus. Grosse Firmen haben Ihre Anwaelte die alles mal kurz abklopfen. Kleine Leute stehen im Zweifelsfall mit einem Bein im Knast. Weshalb muessen in DE Vorschriften/Gesetze immer so undeutlich sein? Tse Tse Tse. Andere Laender sind da besser dran.
Die Person bei der BNetzA am Telefon wird im Zweifelsfall am Telefon immer eine Antwort geben die auf der sicheren Seite ist. Das heisst jedoch nicht das die Antwort 100%ig korrekt ist.
Ich gebe auch zu das wir in der Tat einmal einen Bug hatten der die PIN 3x abfragte. Signaturen koennen verschieden lang sein. Aloaha muss jedoch schon vor dem Signieren die Laenge wissen. Bei dem Bug schlug die Laengenberechnung fehl. Als Fallback gab es eine Funktion die dann eine Dummy Signatur erstellt hat um die Laenge daran zu messen. Bei einigen Zertifikaten schlug die Laengenberechnung fehl und die Fallback Funktion sprang ein. Es gibt aber schon seit Ewigkeiten diese Laengenberechnung nicht mehr und damit auch die Fallback Funktion nicht mehr.
Ganz schlimm ist es meines Erachtens das deutsche akkreditierte Signaturen keinem international gebraeuchlichen Standard entsprechen. Das Resultat ist folgendes. Deutsche Signaturen werden im Ausland und bei Standard Software als ungueltig angezeigt obwohl sie gueltig sind. Es kann zum Beispiel sein das das Root Zertifikat des Benutzer Zertifikates abgelaufen ist. Windows Programme wie Outlook, Adobe etc zeigen dann gleicht die rote Flagge (was auch so sein sollte). Allerdings ist es leider in DE normal/erlaubt/so definiert.Wobei ich dir mit dem Ganzen Zertifikatskram bei denen Zustimmen muss... ein wildes durcheinander. Zu den Schlüssellängen kann ich nichts sagen, da ich da nicht vom Fach bin
Ich moechte nun auch nicht ueber den Sinn oder Unsinn der deutschen Zertifikate diskutieren. Die muessen die Deutschen nun mal so schlucken. Aber foerdern wird das sicherlich die Akzeptanz NICHT!
Wir betrachten Herstellererklaerungen als Marketing. Es haben auch nur die oben erwaehnten kleinen Leute damit Probleme. Grosse Firmen klopfen unsere Software mit ihren Anwaelten ab und sind dann zufrieden.
Nichts desto Trotz werden wir bald ein Tool mit Erklaerung auf den Markt bringen. Ganz einfach um diese Unsicherheit von den Leuten zu nehmen. Das Tool wird aber NUR die D-Sign multicard zusammen mit PC/SC 2 Lesern unterstuetzen. Multicard deshalb weil es momentan die einzige Karte mit secure PIN caching ist. Sobald es andere Karten gibt werden die dann aber auch unterstuetzt werden.
Gruss
Stefan
Der Text kommt mir doch irgendwie bekannt vor
Von daher verweise ich an dieser Stelle auch noch mal auf die Linkliste Steuerrecht in meiner Signatur
Geändert von SvenWeb (11.08.2009 um 22:26 Uhr)
Lieber sich das Hirn verrenken, als dem Finanzamt was zu schenken
Immer informativ: Linkliste Steuerrecht | Steuerlexikon | Die EÜR | Steuerinfothread | Googlebedienung
Jau,
den Text gibt es fast ueberall. Auch bei Wiesinger und Schenk (wis.de).
Ich habe den Text von Wiesinger und Schenk noch viel eher als dem 22.6 bekommen :-)
Stefan
interessant zu wissen wer alles von wem abkupfert.
Lieber sich das Hirn verrenken, als dem Finanzamt was zu schenken
Immer informativ: Linkliste Steuerrecht | Steuerlexikon | Die EÜR | Steuerinfothread | Googlebedienung
Das stimmt :-). Wahrscheinlich findet man diverse Textpassagen noch X-Mal im Netz. Jedenfalls kam mir das ganze PDF Dokument sehr bekannt vor.interessant zu wissen wer alles von wem abkupfert.
Stefan
und das Archiv...
Hi,
ein sehr interessanter Beitrag... hier.. aber das ganze geht ja eigentlich noch weiter.
Sowie ich das verstanden habe, muss/sollte oder was auch immer die entsprechende Kommunikation (z.b. EMail) auch revisionssicher archiviert werden.
Jetzt nutzen wir aber eine selbst geschriebene E-Mail -Lösung und halten die Daten dort vor.... andere speichern das in Outlook oder Thunderbird.
Wenn ich das hier : http://www.project-consult.net/portal.asp?sr=497
richtig gelesen habe, müsste dann aber die E-Mail auch noch einmal signiert(?) oder zu mindestens archiviert werden.... oder ist Thunderbird ein Archiv? Aber das ist doch nicht revisionssicher...
Wenn ich den Gedanken weiterspinne wäre das nur revisionssicher, wenn es schon signiert geschickt würde. Das bedeutet, dass alle geschäftsrelevanten Kommunikationen per E-Mail/Kontaktdatenbanken! etc. sofort eine Signatur bekommen müssten und dann revisionssicher archiviert werden sollen...?
Was ist die Konsequenz, wenn eine E-Mail mit Rechnungsanhang nicht revisionssicher gespeichert wird... denn anscheinend würde der Anhang allein nicht ausreichen und kein Steuerprüfer glaubt das, wenn man behauptet einen Datenträger erhalten zu haben.
Ähnliches Problem beim Download... ich sage dann dem Kunden da ist Dein Download und schicke ihm keinen Link???
Fragen über Fragen... je länger ich mich damit auseinandersetze je attraktiver wird die Postlösung
Dort ist eine Papierrechnung gleich eine Papierrechnung...
Grüße Tom-Tom
Flash ohne Flash! SWiSH max mit Action Script!
SWiSHkaufen.de - animierte Seiten ab 19.95 Euro
Deutscher Support SWiSH - SWiSHzone.de Deutsche Anleitungen - Hilfen - Tutorials
SWiSHZone.de
Zeitstempelserver in Digiseal Reader?
Hallo,
ich möchte die Software digiseal Reader von www.secrypt.de zum überprüfen von signierten Rechnungen benutzen.
Im Programm unter Optionen / Einstellungen Online-Dienste / Zeitstempel kann man einen Server für einen Zeitstempeldienst eintragen.
Muss ich hier einen Server eintragen, damit qualifizierte elektronische Signaturen korrekt geprüft werden?
Wenn ja, welchen Zeitstempelserver kann ich hier eintragen, der korrekt arbeitet?
Schöne Grüße
DomPromo
Also ich verstehe hier die ganze Diskussion irgendwie nicht.
Ich schreibe meine Rechnungen als PDF, speicher sie ab und versende sie an meine Kunden. Natürlich mit allen Infos wie Steuernummer, Bankverbindung etc...
Die Hauptsache ist doch:
1) Der Kunde kann an der Rechnung nichts ändern - wenn er es doch will dann kriegt er´s auch irgendwie hin, klar. Aber er betrügt dann das FA, das könnte er dann aber auch ohne meine Rechnung.
2) Der Kunde erhält die Rechnung schneller. In jeder meiner Online-Rechnungen steht ausführlich dran, dass auf Wunsch die Rechnung auch auf Papier per Post zugesandt wird. Dh. der Kunde hat die Möglichkeit, diese per Post anzufordern.
...und bisher hatte ich noch nie Probleme damit.
Also - wo ist denn nun das Problem ?
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)