Die harte Tour zur sicheren Signatur – Teil 1: Ein Fehlschlag
25. Juni 2007
Dieser Eintrag befasst sich mit der Installation von Soft- und Hardware zur Erstellung einer sicheren Signatur nach österr. Signaturgesetz auf (Intel-)Macs (OS X). Nach ein paar Fehlschlägen stellte sich am Ende gar noch der Erfolg ein …
Den diversen Anleitungen auf der Seite der a.sign bzw. Bürgerkartenseite folgend gehe ich frisch ans Werk um zunächst einmal eine „einfache“ (=“nicht sichere“) Signatur in Mozilla Thunderbird vornehmen zu können:
- Download der aktuellen Treiber für den REINERSCT (Cberjack mit Tastatur, erhalten von der Bawag vor ca. 2 Jahren)
- Installation der Treiber (CyberJack USB Treiber (nur CT-API).pkg) erfolgreich, es sind auch keine PC/SC Prozesse im Hintergrund am Laufen
- Installation a.signClient_MAC_OSX_0.9.3.dmg – OK.
- Installation des Thunderbird XPI (aktuelles atrusttools_TB.xpi beim zweiten Anlauf gefunden, wozu kugelt auf der Seite der a.sign noch eine alte Version herum?!?!)
Ergebnis: Thunderbird hat einen neuen Menüpunkt – der aber leider nichts macht. Die PKCS-Bibliothek lässt sich nicht aktivieren, Fehlermeldung „Modul konnte nicht geladen werden.“ Hat das jemals jemand ausprobiert? Und die Dialogfelder lassen nicht gerade auf eine sorgfältig entwickelte Anwendung schließen.
Ingo Lantschner's ITblog 
Würden die endlich mal jemanden Fragen, der sich mit sowas auskennt… :-(
Das tun sie aber nicht. Die meisten Hersteller solcher Signatur/ID-Karten-lösungen stellen sich wirklich dämlich an, wenn Sie Ihre Software auf Mac OS X portieren, weil sie sämtliche dafür vorhandenen Tools und Schnittstellen einfach ignorieren, und quasi gewaltsam versuchen einen Weg darum zu bauen.
Mac OS X bringt nämlich ab Werk bereits die Schnittstellen mit, die man zum anmelden, signieren, verschlüsseln oder authentifiziern mit Signaturkarten benötigt. Auch die Software zum sichten, prüfen, erzeugen, löschen und verwalten von Schlüsseln, Zertifikaten und den Karten, befindet sich bereits auf dem System. Ab Werk werden sogar bereits einige Nationale ID-Karten aus Japan, Belgien, Finnland und natürlich den Vereinigten Staaten unterstützt.
Das hätte die Vorteile einer besseren Integration ins System, dass dem Applikationsentwickler der Kartentreiber völlig egal sein kann und man einen deutlich geringeren Zeitaufwand zur Entwicklung benötigt.
Das Thema „Digitale Signaturen unter Mac OS X“ hat mich wieder so aufgeregt, dass ich daraus jetzt einen Artikel in meinem Blog (http://www.cat-box.de/) machen musste, sonst würde ich wahrscheinlich noch platzen. :-)
Der Grund, warum Hersteller von Signaturanwendungskomponenten das CDSA Framework von Apple vernachlässigen bis ignorieren ist so einfach wie interessant.
Sowohl im österreichischen, als auch im deutschen Gesetz (SigG/SigV) gibt es den Ausdruck der „Qualifizierten elektronischen Signatur“. Der UNterschied zur digitalen Signatur (die mit dem CDSA API ja „locker“ machbar wäre) ist die Rechtsverbindlichkeit.
Für diese Rechtsvebrindlichkeit müssen entsprechende Signaturanwendungskomponenten zertifiziert sein, oder zumindest eine sog. Herstellererklärung vorweisen. Nur dann gilt die Signatur als rechtsverbidlich. Eine solche Zertifizierung, wie sie in Deutschland der TÜV/IT in Zusammenarbeit mit dem BSI vornimmt, erhält man als Hersteller aber nur dann, wenn man sämtliche Quellen beteiligter Komponenten offenlegen kann.
Dies ist beim CDSA Framework aber genausowenig der Fall, wie bei MicroSoft und deren CSP Konzept. Prinzipiell ginge das dort ja auch, aber da CSP nicht offenliegt, müssen Hersteller von Signaturanwendungen eben dem „ganzen Weg zu Fuss gehen“ und alles selber coden.
Weitere Probleme bestehen darin, dass selbst in der aktuellen PCSC2.x immernoch keine wirkliche Standardisierung von sCardControl für sichere Pineingabe/änderung herstellerübergreifend realisiert werden kann. Dies ist aber teilweise Pflicht (Bankenumfeld, Sozialversicherer etc.)
Da man sich hier also weder auf PCSC, noch auf Apple (CDSA) verlassen kann, kommt man als Hersteller eben leider nicht drum herum, alles selber zu machen.
Traurig finde ich die Situation aber auch.
Cheers
Jan