Hallo zusammen,
mich beschäftigt seit längerem eine Frage:
Warum sind qualifizierte Signaturen nicht für E-Mails möglich ?
Folgende Begründungen habe ich bereits gehört, sind allerdings für mich nicht einleuchtend:
1) auf der Empfängerseite könnte kein Mailprogramm die Verifikation durchführen....
als Gegenargument ist meiner Meinung folgendes zu nennen:Eine qualifizierte Signatur definiert sich meiner Meinung nach definiert durch den Einsatz eines qualifizierten Zertifikats (nur auf Smartcards / SSEE zu erhalten) und einem qualifizierten Zeitstempel (qualifiziert, da der Zeitstempel von einer Bundesnetzagentur akkreditierten Stelle ausgestellt werden muss) und einer Konformität zum SigG der Signaturanwendungskomponenten, welche durch eine Herstellererklärung gegeben ist. Eine Signatur ist also rechtsverbindlich sobald die Signatur auf das entsprechende Dokument (z.b. .eml (Email) oder .pdf, .tif, .jpg, .xml, .doc) erstellt worden ist. Wann, ob und wie der Empfänger die Signatur prüft, ist bei Signaturerstellung überhaupt nicht zu gewährleisten. Und selbst wenn, warum soll der Empfänger die Datei (.eml) nicht prüfen können, nur weil das der Mail-Client von-Haus-aus nicht kann. Es gibt genug andere Dokumente, wo das entsprechende Programm keine Signaturprüfungen beherrscht, selbst Adobe Reader prüft nicht SigG-konform. Der Empfänger muss in dem Fall die Datei mit einem separaten Programm (anerkannt für SigG) prüfen, und den Prüfbericht speichern.... müsste doch mit Mails auch möglich sein.
2) Die Mail-Clients würden die qualifizierten Zertifikate ablehnen aufgrund des Attributwertes Keyusage = NonRepudiation (nicht abstreitbarkeit)
dazu habe ich eigentlich keine Belege gefungen, und ich kann es nicht wirklich glauben, da Mails mit qualifizierten Zertifikate ja verschickt werden können, sie aber eben nur zur fortgeschrittenen Signatur zählt.
Generell bin ich auf der Suche nach einem E-Mail-Server für qualifizierte Massensignaturen, und habe bis dato nicht ein Anbieter gefunden. Der Witz ist, dass es genügend E-Mail Server für fortgeschrittene Massensignaturen angeboten werden. Die Hersteller solcher Produkten konnten mir allerdings keine schlüssige Erklärung geben, warum das so ist. Selbst bei den Trust-Centern wurde lediglich die andere Beantragungsweise und die Ausstellung auf die Person, nicht die Organisation erklärt; was ja bei den fortgeschrittenen auch der Fall ist.
Weiterhin frage ich mich, ob überhaupt eine Signatur von Mails mit qualifizierten Zertifikaten überhaupt sinnvoll ist, wenn sie sowieso am Ende eine fortgeschriitene Signatur bleibt und nicht rechtsverbindlich ist.... Sieht der Empfänger ob die "fortgeschrittene Signatur" mit einem fortgeschrittenen oder qualifizierten Zertifikat erstellt worden ist ??? Welche Rolle spielt dabei der qualifizierte Zeitstempel ?
Ich bin echt für jede Erklärung und vlt für ein Verweis auf öffentl. Dokument (welches technisch oder rechtlich die qualifizierte Signatur bei Mails ausschließt) dankbar, oder [anderer Fall] eine Produktangabe welches die qualifizierte Massensignatur für Mails beherrscht.
Vielen Dank im Voraus für eure Antworten!
Grüße, Frank