digitale Unterschrift auf der I5

[raff]

Hat jemand Erfahrung mit digitaler Unterschrift auf der I5 bzw. ist das überhaupt möglich?

Hi,
die Frage ist mir ins Auge gesprungen, da ich jetzt auf der i5 die Programmierung für die digitale Massensignatur im gesetzlichen Rahmen für z.B.: Vorsteuerabzugsberechtigte rechnungen durchführe.

Grundsätzlich gibt es auf der i5 den DCM, der die nötigen Hashwerte für meine PDF, oder MAildokumente aufgrund eines Signaturschlüssels erzeugen könnte und ih somit einfach die PDF's signieren könnte. Leider sagt der Gesetzgeber "nö - niet erlaubt". Der Schlüssel darf nicht als Softkey auf irgedeiner Festplatte herumhängen, sondern muss auf einer Karte eingebrannt werden. dass macht www.d-trust.de oder www.a-trust.at (usw...).
Und was die meisten User nicht wissen, dass der Prozessor der Karte (!) den Signaturhash erzeugt, und kein direkter Durchgriff zum Schlüssel (digitale Unterschrift) möglich ist.
Das bedeutet, dass ich einen Kartenleser an die AS400 anschliessen müsste, die Schnittstellen pro Hersteller und Modell ausprogrammieren muss, damit das Ding mir pro Quersumme eines Dokumentes dann einen String zurückschickt, den ich im PDF oder e-Mail einbaue. Ziemlich aufwendig, und bisher noch nicht ausprogrammiert.

Einfacher ist die Methode, wo der Kartenleser an einem PC hängt, auf dem eine Massen(!)signatursoftware rennt und ein freigegebenes IFS-Verzeichniss von der i5 überwacht. Ich stelle dorthin meine PDF-Dokumente automatisiert von der AS400 hinein, der PC-Server signiert mir die, und ich hole sie mir dann ab und versende sie von der i5 gleich weiter.
Für die Erstellung von PDF-s und E-Mails auf i5 und Überwachung von Verzeichnissen gibt es bereits Output-Management-Systeme. Auch für die asynchrone Kommunikation zwischen Massensignatursoftware (PC) und i5.

will aber keine Werbung machen...

[Spoolmaster]

Also wir sind Anbieter einer Output-Management-Lösung. Da immer mehr Kunden auf diese Schiene der Rechnungsstellung wollen versuchen wir auch im Moment einen kompetenten Partner für die digitale Massensignatur zu finden. Ich weiss jedoch nicht auf welche Art wir setzen sollen.

PC-Basiert oder eher auf der AS/400. Wenn einer ne Meinung dazu hat kann er es ja posten.

Greetz

Spoolmaster

[kuempi von stein]

Also wir sind Anbieter einer Output-Management-Lösung. Da immer mehr Kunden auf diese Schiene der Rechnungsstellung wollen versuchen wir auch im Moment einen kompetenten Partner für die digitale Massensignatur zu finden. Ich weiss jedoch nicht auf welche Art wir setzen sollen.

PC-Basiert oder eher auf der AS/400. Wenn einer ne Meinung dazu hat kann er es ja posten.

Greetz

Spoolmaster

hello,

interessantes thema, leider zur zeit noch wenig feedback hier.
siehe auch
http://www.rlpforen.de/showthread.php?t=8262

wie soll den as/400 basiert aussehen?
der ganze driss geht doch ohne kartenleser == pc basiert nicht?

berichte mal bitte wenn du vorwärts gekommen bist...

kuempi

[Spoolmaster]

Also um die Hardware...Karte und Kartenleser wird man wohl nicht herumkommen. Heisst dann aber jedes mal wenn man was signieren will in den Maschinenraum rennen und die Karte reinstecken und bla.... oder kann man das irgendwo zentralisieren. Beispielsweise an einem Terminal oder gar über Client Access

[kuempi von stein]

Also um die Hardware...Karte und Kartenleser wird man wohl nicht herumkommen. Heisst dann aber jedes mal wenn man was signieren will in den Maschinenraum rennen und die Karte reinstecken und bla.... oder kann man das irgendwo zentralisieren. Beispielsweise an einem Terminal oder gar über Client Access

hehe...
so sieht es der gesetzgeber vor, ja.
aber mal ein beispiel aus der praxis:
angenommen da sitzt eine person und macht den ganzen tag nix anneres als signieren.
eine sig dauert mit pineingabe usw. sagen wir mal mindestens 2 sekunden, ich denke im realen leben eher 5.
macht 12 teile in der minute. bzw. 720 inner stunde.
das gibt dann pro (arbeits)tag so rund 5000 - 6000 stück maximal.

da frag ich mich was die machen, die mehr als 6000 pro tag rausschicken müssen?


also es gibt NATÜRLICH schon lösungen die nicht ganz konform mit den buchstaben des gesetzes übereinstimmen.
setzt dich mit den anbietern solcher lösungen an einen tisch und die bieten dir auch ne automatik OHNE jedesmal den quatsch machen zu müssen.
aber die wollen alle höllisch kohle haben dafür (im grossen und ganzen).

k.

[Spoolmaster]

Stimmt... Aber es muss doch eine Möglichkeit geben die Massensignatur auf der AS/400 gesetzeskonform durchzuführen. Also Avenum soll da was anbieten aber die Produkbeschreibung sagt nicht allzu viel aus.

So wie es scheint wird aller wahrscheinlichkeit nach die Lösung AS/400 - PC genommen werden, da diese bis jetzt noch am sinnvollsten erscheint

Greetz

SpoolMaster

[kuempi von stein]

Stimmt... Aber es muss doch eine Möglichkeit geben die Massensignatur auf der AS/400 gesetzeskonform durchzuführen. Also Avenum soll da was anbieten aber die Produkbeschreibung sagt nicht allzu viel aus.

So wie es scheint wird aller wahrscheinlichkeit nach die Lösung AS/400 - PC genommen werden, da diese bis jetzt noch am sinnvollsten erscheint

Greetz

SpoolMaster

hello,

aufgrund der "unklarheiten" habe ich nochmal nachgeschlagen...
bei der bundesnetzagentur (ehemals regtp) ist das ganz gut beschrieben alles.
hier mal der link bezüglich massenverarbeitung:
http://www.bundesnetzagentur.de/enid...ortss8_wt.html

grussle

k.

[Bruegge]

Hallo,

es gibt schon Möglichkeiten, Signaturkartenleser etc. an die AS400 anzuschließen. Über entsprechende Crypto Bibliotheken gibt es dann den Rest.

Arbeite gerade an einem solchen Projekt.

[holgerscherer]

hier mal der link bezüglich massenverarbeitung:
http://www.bundesnetzagentur.de/enid...ortss8_wt.html

Das liest sich so beruhigend, dass man das Thema am besten wieder fallen läßt ;-)

-h

[KM]

Hallo,

ich würde diesen Thread hier gerne nochmal reaktivieren, da bei uns dieses Thema (Massensignatur von Rechnungen im PDF-Format) auch ansteht. Wir wollen demnächst wahrscheinlich auch von Papierrechnungen auf eMail umstellen. Bis jetzt ist mir schon mal klar, dass ich eine Signaturkarte und ein Kartenlesegerät dafür brauche. Wie läuft das dann mit der Signierung der Rechnungen genau ab ? Brauche ich eine Massensignatursoftware auf einem PC, der z.B. ein bestimmtes IFS-Verzeichnis überwacht bzw. abarbeitet, so wie weiter oben schon mal beschrieben ? Gibt es so eine Software auch für die iSeries ? Ich habe irgendwo gelesen, dass Toolmaker die bisher einzige native Lösung anbietet. Kann man sowas auch selbst programmieren oder ist das zu aufwendig ? Gibt es vielleicht schon irgendwelche Java-Tools dazu, die man einbinden kann ? Wie sieht das mit der PIN-Eingabe aus ? Muß man die einmalig eingeben und läuft dann danach ein Serverjob bis man ihm wieder abbricht ? Was habt Ihr bisher für Erfahrungen gemacht ? Welche Software habt Ihr im Einsatz ?

so viele Fragen...

Gruß,
KM

[fb@bruegge.biz]

Wie bereits erwähnt, hat Toolmaker da die einzige native Lösung für AS400. Ich bin der Entwickler dieser Lösung.

Ich würde in jedem Fall davon abraten, die Sache selbst zu programmieren. Es war schon mit einem erheblichen Aufwand verbunden und man muss sich mit Dingen herumschlagen, die man gar nicht wissen will.

Grundsätzlich wird über das Netzwerk ein Kobil Kartenterminal an die AS400 angeschlossen. Dieses Terminal gibt es ebenfalls bei Toolmaker.

Die Signaturkarten werden bei der Telekom beantragt und müssen nach Erhalt noch "scharf" geschaltet werden, da die Prüfung der Signatur ebenfalls eine online Prüfung des Zertifikats enthält.

Grundsätzlich können alle Dateitypen signiert werden. Sie können das Erstellen der PDF Datei, Signatur und Email Versand komplett von der Toolmaker Software machen lassen, oder auch nur einen Befehl aus der Software zum Signieren verwenden und sich um den Rest selbst kümmern.

Bei Signatur der ersten Datei wird dann am Kartenterminal die PIN abgefragt und diese bleibt je nach Einstellung der Software für eine bestimmte Anzahl von Signaturen oder einen bestimmten Zeitraum aktiv. D.h. sie brauchen die PIN nicht jedes Mal einzugeben.

Die Software erstellt dann eine Signataurdatei in PKCS7, also einen allgemeingültigen Signaturstandard und nichts Toolmaker-Spezifisches.

Es werden dann zwei Dateien zum Empfänger gesendet. Die PDF Datei und die PKCS7 Datei. Mit Programmen unterschiedlichster Hersteller (kostenlos im WWW) kann diese Signatur dann gemäß Signaturgesetzt vom Empfänger geprüft werden.

PDF unterstützt zwar eine eigene Signatur, wo die Signatur Teil der PDF Datei wird, jedoch gibt es da noch keine zertifizierten Anbieter von Software zur Verifizierung. Auch Adobe selbst ist nicht zertifiziert und kann die Signatur nicht nach SigG prüfen.

Da wird sich aber sicher in den nächsten 1-2 Jahren sicher was tun. Wobei bei Toolmaker bereits an der integrierten PDF Signatur gearbeitet wird. In jedem Fall würde ich schon heute mit der Signatur anfangen und nicht warten, bis sich Adobe bemüht, was Richtiges auf die Beine zu stellen.

[i-effect]

Hallo,

ich kenne da noch jemanden. Es ist mein Kollege. Von ihm ist:
i-effect *SIGG - Qualifizierte Elektronische Signatur

Würde mich auch wundern, wenn es nicht noch weitere gäbe, die native entwickeln.

Martin

Wie bereits erwähnt, hat Toolmaker da die einzige native Lösung für AS400. Ich bin der Entwickler dieser Lösung.

Ich würde in jedem Fall davon abraten, die Sache selbst zu programmieren. Es war schon mit einem erheblichen Aufwand verbunden und man muss sich mit Dingen herumschlagen, die man gar nicht wissen will.

Grundsätzlich wird über das Netzwerk ein Kobil Kartenterminal an die AS400 angeschlossen. Dieses Terminal gibt es ebenfalls bei Toolmaker.

Die Signaturkarten werden bei der Telekom beantragt und müssen nach Erhalt noch "scharf" geschaltet werden, da die Prüfung der Signatur ebenfalls eine online Prüfung des Zertifikats enthält.

Grundsätzlich können alle Dateitypen signiert werden. Sie können das Erstellen der PDF Datei, Signatur und Email Versand komplett von der Toolmaker Software machen lassen, oder auch nur einen Befehl aus der Software zum Signieren verwenden und sich um den Rest selbst kümmern.

Bei Signatur der ersten Datei wird dann am Kartenterminal die PIN abgefragt und diese bleibt je nach Einstellung der Software für eine bestimmte Anzahl von Signaturen oder einen bestimmten Zeitraum aktiv. D.h. sie brauchen die PIN nicht jedes Mal einzugeben.

Die Software erstellt dann eine Signataurdatei in PKCS7, also einen allgemeingültigen Signaturstandard und nichts Toolmaker-Spezifisches.

Es werden dann zwei Dateien zum Empfänger gesendet. Die PDF Datei und die PKCS7 Datei. Mit Programmen unterschiedlichster Hersteller (kostenlos im WWW) kann diese Signatur dann gemäß Signaturgesetzt vom Empfänger geprüft werden.

PDF unterstützt zwar eine eigene Signatur, wo die Signatur Teil der PDF Datei wird, jedoch gibt es da noch keine zertifizierten Anbieter von Software zur Verifizierung. Auch Adobe selbst ist nicht zertifiziert und kann die Signatur nicht nach SigG prüfen.

Da wird sich aber sicher in den nächsten 1-2 Jahren sicher was tun. Wobei bei Toolmaker bereits an der integrierten PDF Signatur gearbeitet wird. In jedem Fall würde ich schon heute mit der Signatur anfangen und nicht warten, bis sich Adobe bemüht, was Richtiges auf die Beine zu stellen.