abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Weiß DATEV, was eine Zertifikatshierarchie ist?

11
letzte Antwort am 19.11.2022 15:53:14 von Steuererklärer
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage
Steuererklärer
Aufsteiger
Offline Online
Nachricht 1 von 12
796 Mal angesehen

Beim Blick in meinen Windows-Zertifikatspeicher bin ich jedesmal irritiert. Heute habe ich einmal durchgezählt, wieviele "Vertrauenswürdige Stammzertifizierungsstellen" DATEV hat. Ich bin auf 84 Einträge gekommen (in Worten: vierundachtzig).

 

Zum Vergleich: große internationale Zertifikatsanbieter kommen im Lauf der Jahre auf zwei oder drei dieser Einträge. Technische Änderungen machen manchmal neue Stammzertifikate nötig, etwa der Umstieg von SHA-1 auf SHA-256.

 

Jetzt frage ich mich: Hat die DATEV das Prinzip der Zertifikatsinfrastruktur nach dem X.500- bzw. X.509-ITU-Standard vielleicht nicht verstanden? Es lautet vereinfacht: Es gibt EINE Stammzertifizierungsstelle, die untergeordnete Zertifikate signiert (Zwischenzertifizierungsstellen oder direkt Anwendungszertifikate), und die allein mit Vertrauen ausgestattet werden muß.

 

Es reicht nach diesem Standard, wenn die DATEV  ein einziges Stammzertifikat benutzt, das alle anderen Zertifikate signiert (oder auch deren durch Signatur ausgedrücktes Vertrauen widerruft).

 

Dieser Standard ist nicht dafür gedacht, 84 eigene Stammzertifizierungsstellen in Windows einzunisten. Wer soll so ein Zertifikat im Fall der Korruption widerrufen? Wer soll den Überblick behalten?

 

Durch diese schlechte Angewohnheit kommt es auch dazu, daß die Mails, die DATEV mit eigenen Zertifikaten signiert, immer wieder als falsch unterschrieben angezeigt werden, obwohl der Mailclient einige der Stammzertifikate kennt. Leider kennt er das entscheidende der 84 offenbar nicht.

 

Dazu würde mich wirklich einmal eine technisch fundierte Auskunft von DATEV interessieren.

 

Hier einmal ein Screenshot aus meinem Windows-Zertifikatspeicher (alle passen gar nicht drauf):

 

DATEV-Stammzertifikate.png

metalposaunist
Unerreicht
Offline Online
Nachricht 2 von 12
737 Mal angesehen

Zur DATEV Verteidigung: Sortiere das mal nach Datum. Da sind bestimmt etliche schon abgelaufen. Im Screenshot sind welche aus 2017 zu sehen. Ob man die gleich ganz löschen kann, oder ob DATEV dann 💣, kann ich nicht sagen. Aber wenn das Zertifikat selbst abgelaufen ist, kann man damit ja nicht mehr viel anfangen? 

 


@Steuererklärer schrieb:

Durch diese schlechte Angewohnheit kommt es auch dazu, daß die Mails, die DATEV mit eigenen Zertifikaten signiert, immer wieder als falsch unterschrieben angezeigt werden, obwohl der Mailclient einige der Stammzertifikate kennt.


Jetzt wieder Gewohntes dazu: Das ist nicht mal nur ein Problem bei uns Genossen. Die DATEV selbst hat Probleme damit. In meiner alten Kanzlei dachte ich auch, ich signiere schön jede E-Mail, damit man verschlüsseln kann, wer möchte und damit die E-Mail auf "Echtheit" geprüft werden kann; dazu also schön die SmartCard gesteckt und das Zertifikat davon genutzt. Leider sah man im Verlauf der E-Mail, weil DATEV als "nur-Text" antwortet, dass im Betreff der E-Mail stand: *Signatur korrekt, Fehler bei der Überprüfung* 😂 Alles klar. Die DATEV kennt also auch hier die eigenen Zertifikate der mIDentities nicht so ganz? Ich hatte nachgefragt, aber sinngemäß als Antwort hatte ich abgespeichert: Kann schon mal passen. DATEV weiß selbst nicht warum. Das Zertifikat war OK und der mIDentity auch zu 100% in Ordnung. 

#EmpoweringPeopleInTechnology – Daniel Bohle
www.metalposaunist.de
Steuererklärer
Aufsteiger
Offline Online
Nachricht 3 von 12
637 Mal angesehen

Da sind bestimmt etliche schon abgelaufen. Im Screenshot sind welche aus 2017 zu sehen. Ob man die gleich ganz löschen kann, oder ob DATEV dann , kann ich nicht sagen

 

Wer sollte die löschen? Ich? Mein Finanzamt? 😂

Mein Vorschlag: DATEV, mit dem nächsten Update.

 

 

Die DATEV kennt also auch hier die eigenen Zertifikate der mIDentities nicht so ganz

Wer soll auch bei 84 Stammzertifikaten den Überblick behalten? Da sind Fehler im System angelegt.

DATEV-Mitarbeiter
Andreas_Bär
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online
Nachricht 4 von 12
514 Mal angesehen

auf Rückfrage habe ich ein längeres internes Dokument erhalten, welches sich genau mit diesem Thema befasst. Ich habe da jetzt bestimmt nicht alles bis ins kleinste Detail verstanden, aber ich versuche Mal als Beispiel ein paar Stichpunkte zu nennen.

 

Generell kann ich aber aufgrund des Dokuments zu diesem Beitrag sagen: Ja, DATEV weiß was eine Zertifikatshierarchie ist und wie eine Muster-PKI in der Theorie aussieht. In der Praxis ist das mal wieder alles nicht so einfach:

 

  • DATEV richtet sich nach den BSI-Empfehlungen. Das BSI beurteilt die Sicherheit aktueller Verfahren für die nächsten 7 Jahre. Es macht demnach eigentlich keinen Sinn Zertifikate ohne guten Grund mit einer deutlich längeren Laufzeit auszustellen. Aktuell sind die Root-Zertifikate 10 Jahre gültig, zuvor waren es 8 Jahre. Das verringert zumindest etwas die Zahl der Root-Zertifikate, die wegen Ablauf neu ausgestellt werden müssen.
  • Technische Neuerungen (zuletzt SHA-512) sowie damit verbundene Einschränkungen. Als absehbar war, dass SHA-1 nicht mehr lange zukunftsfähig ist, gab es noch sehr viele Systeme die mit SHA-512 noch nicht umgehen konnten. Das wurde dann als Übergangslösung zusätzlich mit einem SHA-256 Root-Zertifikat gelöst.
  • Die Zertifikate sind für verschiedenste Anwendungsszenarien im Einsatz. Für Anwendungen der Finanzverwaltung gelten dann z.B. deutlich höhere Anforderungen an die kryptographischen Algorithmen, die auf der anderen Seite für andere Szenarien noch gar nicht nutzbar sind. So unterstützt dann eine bestimmte Software die neuen Algorithmen noch nicht und schon muss wieder eine neue Lösung her.
  • Wir haben zum einen Zertifikate für personalisierte SmartCards, die auf eine Person ausgestellt sind und dann den Betriebsstätten-mIDentity, welcher nicht personalisiert ist. Die Zertifikats-Policy für die personalisierten SmartCards ist Gegenstand einer ETSI-Zertifizierung. Zertifikate für den Betriebsstätten-mIDentity dürfen aufgrund der ETSI-Zertifizierung nicht unter dieser Root ausgestellt werden.
  • Organisatorisch soll schon am Root-Zertifikat festgestellt werden können, zu welcher Gruppe das Zertifikat gehört. So kann als Beispiel die Finanzverwaltung schon anhand des Root-Zertifikats erkennen, ob es sich bei der SmartCard um eine SmartCard für Berufsträger handelt.
  • Wir könnten tatsächlich manche der Szenarien mit Zwischenzertifizierungsstellen lösen und die Anzahl der Root-Zertifikate etwas verringern. Für die personalisierten Zertifikate gibt es bereits Zwischenzertifizierungsstellen für andere ist das bisher nicht geplant. So oder so würden wir aufgrund der genannten und weiterer Einschränkungen nach aktuellem Stand nicht auf nur 1 oder 2 Root-Zertifikate kommen.

 

So vervielfacht sich die Anzahl der Root-Zertifikate schnell und das waren jetzt nur ein paar Beispiele. Ich werde jetzt mit den nur angelesenen Informationen nicht in eine tiefere Diskussion einsteigen können. Ich hoffe aber ich konnte vermitteln, dass es bei DATEV Personen gibt, die sich sehr genau mit dem Thema befassen und es bewusst so gelöst wurde / werden musste.

 

Warum löschen wir die abgelaufenen Root-Zertifikate nicht? Nach erster Einschätzung waren zumindest manche der abgelaufenen Zertifikate in der Vergangenheit noch nötig, aber inzwischen bis auf eventuell sehr wenige Ausnahmen nicht mehr. Es wird daher jetzt geprüft, ob die abgelaufenen Zertifikate zukünftig automatisch gelöscht werden können.

Viele Grüße
Andreas Bär | DATEV eG
metalposaunist
Unerreicht
Offline Online
Nachricht 5 von 12
472 Mal angesehen

@Andreas_Bär schrieb:

DATEV richtet sich nach den BSI-Empfehlungen. Das BSI beurteilt die Sicherheit aktueller Verfahren für die nächsten 7 Jahre.


Mein Vertrauen ins BSI ist nachhaltig verloren: Abberufener BSI-Chef: Schönbohm wehrt sich gegen Arbeitsverbot

 

Ob man solch einer Behörde noch vertrauen kann, darf, sollte und muss - ich stelle mir Fragen. DATEV auch? Oder ist egal, dass Russland und der FSB und Co. Verbindungen / Kontakte zum BSI haben? 🤔 Was das ZDF magazin royale aufgedeckt hat ...

 

Aber wenn unsere Politiker nicht mal die Abkürzung von BSI genau kennen - Deutschland 🇩🇪 am IT-Abgrund. 

 


@Andreas_Bär schrieb:

Es wird daher jetzt geprüft, ob die abgelaufenen Zertifikate zukünftig automatisch gelöscht werden können.


Jetzt erst? Nachdem wir in der Community das Ganze auf den Tisch gebracht haben? OK.  

 

@Andreas_Bär: Und in der Cloud kann man das dann ja alles anders machen, oder? 😉 

#EmpoweringPeopleInTechnology – Daniel Bohle
www.metalposaunist.de
DATEV-Mitarbeiter
Andreas_Bär
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online
Nachricht 6 von 12
428 Mal angesehen

@metalposaunist  schrieb:

@Andreas_Bär schrieb:

DATEV richtet sich nach den BSI-Empfehlungen. Das BSI beurteilt die Sicherheit aktueller Verfahren für die nächsten 7 Jahre.


Mein Vertrauen ins BSI ist nachhaltig verloren: Abberufener BSI-Chef: Schönbohm wehrt sich gegen Arbeitsverbot

 

Ob man solch einer Behörde noch vertrauen kann, darf, sollte und muss - ich stelle mir Fragen. DATEV auch? Oder ist egal, dass Russland und der FSB und Co. Verbindungen / Kontakte zum BSI haben? 🤔 Was das ZDF magazin royale aufgedeckt hat ...

Das BSI erfindet ja kryptographische Algorithmen nicht selbst. Und sollten jetzt Vorgaben kommen, an denen Zweifel bestehen ("SHA-1 ist völlig ausreichend"), werden wir da nicht blind folgen 😄

 

 

 

@Andreas_Bär schrieb:

Es wird daher jetzt geprüft, ob die abgelaufenen Zertifikate zukünftig automatisch gelöscht werden können.


Jetzt erst? Nachdem wir in der Community das Ganze auf den Tisch gebracht haben? OK.  

Ja, jetzt erst. Aber das hört sich jetzt so an als wurde hier ein großes Problem aufgedeckt. Eigentlich ist es ja nur ein kosmetisches Problem und das noch nicht mal wirklich an der Oberfläche. Und wenn man ehrlich ist fallen viele Dinge erst auf, weil es irgendwo ein Problem gibt.

 

 

@Andreas_Bär: Und in der Cloud kann man das dann ja alles anders machen, oder? 😉 


Naja, wenn es mit der geliebten SmartCard in die Cloud geht nicht wirklich 😅

Aber bei einem SmartLogin oder dem DATEV-Konto brauchts lokal jedenfalls keine DATEV-Zertifikate.

Viele Grüße
Andreas Bär | DATEV eG
0 Kudos
Steuererklärer
Aufsteiger
Offline Online
Nachricht 7 von 12
395 Mal angesehen

@Andreas_Bär 

Vielen Dank jedenfalls für die ausführliche Antwort. BSI-Empfehlungen zu folgen ist sicher sinnvoll, da geht es sicher auch um Haftungsfragen.

 

Aber 84 Stammzertifikate als "kosmetisches Problem" zu bezeichnen, kommt auch nicht hin. Komplexität produziert immer Fehlerquellen. Wenn sich das auf 10-20 Stammzertifikate reduzieren ließe, wäre schon etwas gewonnen.

 

Und noch etwas: Wenn es genau ein Herausgeberzertifikat für die E-Mail-Schlüssel geben würde, könnte man sich mit diesem einen Zertifikat sicher relativ preisgünstig bei den Herstellern von Outlook, Thunderbird etc. einkaufen, so daß die mit der Smartcard signierten Mails überall akzeptiert werden. Das wäre mal ein echter Fortschritt.

 

0 Kudos
Steuererklärer
Aufsteiger
Offline Online
Nachricht 8 von 12
391 Mal angesehen

dass Russland und der FSB und Co. Verbindungen / Kontakte zum BSI haben? 

Was das ZDF magazin royale aufgedeckt hat ...

 

Das ZDF magazin royale hat gar nichts aufgedeckt. Der Moderator dieses Magazins ist ein Wichtigtuer und Schreihals, der einen Riesen-Bohei um Belanglosigkeiten veranstaltet. Für Frau Faeser kam das gerade recht. Herr Schönbohm hatte schließlich was gegen die Vorratsdatenspeicherung und auch sonst einen eigenen Kopf. So einen so elegant wegzubekommen, dafür kann sie sich jetzt beim ZDF bedanken.

 

https://www.businessinsider.de/politik/deutschland/affaere-um-bsi-chef-wegen-angeblichen-russland-kontakten-was-ist-wirklich-dran-an-den-vorwuerfen-a/

 

 

 

0 Kudos
metalposaunist
Unerreicht
Offline Online
Nachricht 9 von 12
347 Mal angesehen

Schon mal ins Impressum geschaut? Impressum - Business Insider

 


Ein Unternehmen der Axel Springer SE


Bild (Zeitung) – Wikipedia

 

Fällt was auf? 😉 

 

Pispers Wem gehören die Medien - YouTube sehr zu empfehlen. 

#EmpoweringPeopleInTechnology – Daniel Bohle
www.metalposaunist.de
0 Kudos
Steuererklärer
Aufsteiger
Offline Online
Nachricht 10 von 12
314 Mal angesehen

Zugegeben: in erster Linie habe ich auf den Inhalt geschaut. An dem Stand heute offenbar objektiv alles stimmt. Wobei: halten Sie diesen ZDF-Spaßvogel generell für glaubwürdiger als den Axel-Springer-Verlag?

 

Das Youtube-Video eines anderen (inzwischen verrenteten) Spaßvogels als Recherchequelle anzugeben, halte ich auch für grenzwertig. Ich argumentiere ja auch nicht mit den Teletubbies.

 

 

0 Kudos
metalposaunist
Unerreicht
Offline Online
Nachricht 11 von 12
304 Mal angesehen

@Steuererklärer schrieb:

Wobei: halten Sie diesen ZDF-Spaßvogel generell für glaubwürdiger als den Axel-Springer-Verlag?


Ja? Für mich sind der Axel Springer Verlag und die Bertelsmann Stiftung Spaßvögel. Siehe YouTube Video von Volker Pispers. Oder ist der auch ein Spaßvogel? 🤔 Unterschätzen Sie niemals die manipulierende Macht der Zeitungen. 

 


@Steuererklärer schrieb:

An dem Stand heute offenbar objektiv alles stimmt.


Wer entscheidet über Sub- und Objektivität 🤔? Für mich sind das ZDF magazin royale und weitere Sendungen des öffentlich Rechtlichen objektiv. Aber auch nur solange, bis dort nicht was gefunden wird, wie beim RBB. 

 

Lügenpresse? Willkommen im Internet. Jeder darf alles sagen. Ob Wahrheit oder nicht. Im Grunde stecken sicherlich sehr viele im "Sumpf" - aber so ein Systemwechsel dauert und solange es Geld gibt und man sich alles dafür kaufen kann, wird sich nur schwer was ändern. 

#EmpoweringPeopleInTechnology – Daniel Bohle
www.metalposaunist.de
0 Kudos
Steuererklärer
Aufsteiger
Offline Online
Nachricht 12 von 12
278 Mal angesehen

Ja, wer entscheidet über Objektivität? 😜

Und wie schreibt man öffentlich-rechtlich? (Eigentlich: öffentlichrechtlich - als Abgrenzung zu privatrechtlich)

Es ist soziologisch interessant. In jedem Forum gibt es diesen einen Platzhirsch, der irgendwie meint, sein Revier verteidigen zu müssen. Statt in Themen, zu denen er nichts beizutragen hat, einfach mal nichts beizutragen.

 

Ich bin raus hier. Schönes Wochenende.

 

 

11
letzte Antwort am 19.11.2022 15:53:14 von Steuererklärer
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage