Kann mir sagen wie rechtssicher eine PGP-Signatur ist? Kann ich sie beispielsweise im Verkehr mit Behörden oder Gerichten verwenden?
Vielen Dank
Wolfgang Romey
On Tue, 7 Dec 2021, Wolfgang Romey wrote:
Kann mir sagen wie rechtssicher eine PGP-Signatur ist? Kann ich sie beispielsweise im Verkehr mit Behörden oder Gerichten verwenden?
Gerichte erkennen das nicht an. Jedoch kann man mit E-Mail ähnlich zu Fax fristwahrend Schriftsätze vorab einreichen.
On Tue, 7 Dec 2021, Henning Thielemann wrote:
On Tue, 7 Dec 2021, Wolfgang Romey wrote:
Kann mir sagen wie rechtssicher eine PGP-Signatur ist? Kann ich sie beispielsweise im Verkehr mit Behörden oder Gerichten verwenden?
Gerichte erkennen das nicht an. Jedoch kann man mit E-Mail ähnlich zu Fax fristwahrend Schriftsätze vorab einreichen.
Ich muss dazu sagen: Mit PGP-Signatur habe ich es noch gar nicht versucht, aber wie soll ein Gericht überprüfen, zu welcher Person die Signatur gehört? Daher gehe ich davon aus, dass sich signierte und unsignierte E-Mail in der Akzeptanz nicht unterscheiden.
Es gibt Behörden, die PGP benutzen - einige Datenschutzbehörden z.B.
Ansonsten: Nein. Alle Gerichte ebenfalls: Nein.
Auch mit Email wirst Du bei Gerichten nichts werden, auch nicht vorab. Außer vielleicht DeMail (gibt's das noch?).
Meine Empfehlung: Faxen. Das ist das zuverlässigste Kommunikationsmittel mit Behörden und Gerichten.
Am 07.12.21 um 19:24 schrieb Henning Thielemann:
On Tue, 7 Dec 2021, Wolfgang Romey wrote:
Kann mir sagen wie rechtssicher eine PGP-Signatur ist? Kann ich sie beispielsweise im Verkehr mit Behörden oder Gerichten verwenden?
Gerichte erkennen das nicht an. Jedoch kann man mit E-Mail ähnlich zu Fax fristwahrend Schriftsätze vorab einreichen.
FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
Hallo,
das Problem ist, dass es kein etabliertes Verfahren des Signierens des Schlüssels und damit der Gewährleistung der Identität des Schlüsselinhabers gibt. Anders ist dies (rechtlich) bei der qualifizierten elektronischen Signatur, die von qualifizierten "Vertrauensdiensteanbietern" herausgegeben werden.
Letztlich geht es sogar um eine Vertrauenskette, denn man muss als Empfänger auch den identifizieren können, der den Schlüssel des Absenders signiert hat, und ihm den Schlüssel zuordnen können, mit dem er (den Schlüssel) signiert hat.
Im Januar wird das Ganze beim (Online) Freien Software Abend Thema sein.
Gruß Michael
Am 07.12.21 um 19:15 schrieb Wolfgang Romey:
Kann mir sagen wie rechtssicher eine PGP-Signatur ist? Kann ich sie beispielsweise im Verkehr mit Behörden oder Gerichten verwenden?
Vielen Dank
Wolfgang Romey
FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct
On 12/7/21 20:16, Dr. Michael Stehmann wrote:
Hallo,
das Problem ist, dass es kein etabliertes Verfahren des Signierens des Schlüssels und damit der Gewährleistung der Identität des Schlüsselinhabers gibt. Anders ist dies (rechtlich) bei der qualifizierten elektronischen Signatur, die von qualifizierten "Vertrauensdiensteanbietern" herausgegeben werden.
Letztlich geht es sogar um eine Vertrauenskette, denn man muss als Empfänger auch den identifizieren können, der den Schlüssel des Absenders signiert hat, und ihm den Schlüssel zuordnen können, mit dem er (den Schlüssel) signiert hat.
Im Januar wird das Ganze beim (Online) Freien Software Abend Thema sein.
Gruß Michael
Am 07.12.21 um 19:15 schrieb Wolfgang Romey:
Kann mir sagen wie rechtssicher eine PGP-Signatur ist? Kann ich sie beispielsweise im Verkehr mit Behörden oder Gerichten verwenden?
Vielen Dank
Wolfgang Romey
Hallo Wolfgang,
wenn du einen nPA und ein entsprechendes Lesegerät zu Hause besitzt (oder dir eins von jemand ausleihen kannst?), dann kannst du vielleicht mit einer Signatur von Governikus erfolg haben.
https://pgp.governikus.de/pgp/
... aber wahrscheinlich wird das, wie oben angesprochen, auch nochmal thematisiert.
Viele Grüße Thomas
Moin,
Am Sonntag 12 Dezember 2021 18:45:52 schrieb Thomas Doczkal:
das Problem ist, dass es kein etabliertes Verfahren des Signierens des Schlüssels und damit der Gewährleistung der Identität des Schlüsselinhabers gibt.
genau.
Am 07.12.21 um 19:15 schrieb Wolfgang Romey:
Kann mir sagen wie rechtssicher eine PGP-Signatur ist? Kann ich sie beispielsweise im Verkehr mit Behörden oder Gerichten verwenden?
Vermutlich meinst Du auch eine OpenPGP Signatur, da 'PGP' eine Marke eines Unternehmens ist, dass eine proprietäre Anwendung zur Erstellung von OpenPGP Kryptofunktionen verkauft. (Gibt es vielleicht sogar nicht mehr für Privatnutzende https://knowledge.broadcom.com/external/article/180213/how-to-license-symant...)
Der offene Standard heißt OpenPGP https://de.wikipedia.org/wiki/OpenPGP (hauptsächlich RFC4880 mit Ergänzungen) Der Wikipediaartikel hat auch einen Abschnitt zur Rechtsgültigkeit und sagt grob: technisch ginge es, wenn es einen Vertrauensanbieter gibt und Du ein Gerät für die Schlüsselspeicherung verwendest (wie eine OpenPGP Smartcard).
Governikus ist zumindest kein anerkannter Vertrauensdienstanbieter https://esignature.ec.europa.eu/efda/tl-browser/#/screen/tl/DE insofern wird es wohl keine qualifizierte Signatur darüber werden können. ;)
Als Schriftform wird eine OpenPGP Signatur dann bei Behörden nicht angesehen. Allerdings hilft eine solche Signatur natürlich, um im Zweifel etwas leichter im Einzelfall beweisen zu können. Es muss dann im Fall der Fälle argumentiert werden. Im Privatsektor können sich Vertragspartner vermutlich frei einigen, was sie akzeptieren.
OpenPGP mit Behörden erscheint mit zusätzlich sehr sinnvoll, wenn es darum geht, die Vertraulichkeit über Verschlüsselung hoch zu halten oder die Prüfen, dass eine bestimmte Info wirklich von der Behörde kommt (zum Beispiel bei IT-Sicherheitsinformationen).
Gruß, Bernhard
"Bernhard E. Reiter" bernhard@fsfe.org wrote on 2021-12-14 at 11:03:54:
OpenPGP mit Behörden erscheint mit zusätzlich sehr sinnvoll, wenn es darum geht, die Vertraulichkeit über Verschlüsselung hoch zu halten oder die Prüfen, dass eine bestimmte Info wirklich von der Behörde kommt (zum Beispiel bei IT-Sicherheitsinformationen).
Das sehe ich natürlich auch so, aber zu beachten ist aus meiner Sicht, dass manche deutsche Behörden natürlich proprietäre Software einsetzen um "gefährliche" Mails mit OpenPGP-Signaturen komplett "abzuwehren".
Siehe dazu z.B. den Schriftverkehr unter: https://www.fabiankeil.de/blog-surrogat/2014/03/30/demo-am-dagger-complex.html
Schon aus pädagogischen Gründen sende ich natürlich auch weiterhin OpenPGP-Signaturen an Behörden und gehe optimistisch erst mal davon aus, dass die Mails trotzdem empfangen werden können.
Bei der Polizei Köln, mit der ich deutlich häufiger maile als mit der Polizei in Hessen (Details siehe "Blog"), führen OpenPGP-signierte Mails angeblich zu einer gefährlich klingenden Warnung beim Empfänger. Diese Information habe ich aber, wenn ich mich recht entsinne, nur mündlich erhalten und ich habe die Meldung auch nie selbst gesehen.
Die Spezial-Experten beim Bundesamt für Sicherheitssimulation im Bereich der Informationstechnik (BSI) haben natürlich keine Angst vor OpenPGP und schicken laut Presse gelegentlich gleich den privaten Schlüssel mit:
| Öffentliche und private Schlüssel haben offenbar auch das BSI verwirrt. | Das hat einen privaten Schlüssel verschickt, allerdings mit Passwortschutz. https://www.golem.de/news/verschluesselung-bsi-verschickt-privaten-pgp-schluessel-2111-161073.html
Das halte ich persönlich nicht für sinnvoll aber dazu passt das Folgende Zitat von Felix von Leitner:
| Auf der anderen Seite erwartet vom BSI ja auch niemand | faktenbasiertes Risikomanagement oder Security. | Vom BSI erwartet man Compliance-Gehampel und Security-Theater. https://blog.fefe.de/?ts=9f6d691f
Fabian