Hallo zusammen!
Ich besitze seit einigen Tagen ein Softwarezertifikat für die Elster-Online Authentifizierung. Oder exakter formuliert, ich besitze eine mit PIN geschützte PFX-Datei, die zwei private Schlüssel, zwei zu den Schlüsseln passende Zertifikate, ein CA-Zertifikat und ein Root-Zertifikat enthält. Alle diese Bestandteile kann man aus der PFX-Datei auslesen und könnte sie auch auf einer Smartcard speichern.
Elster unterstützt auch die Zertifikats-basierte Authentifzierung mittels Smartcards oder Sicherheitsstick. Letzteres ist technisch nichts anderes als ein USB-Kartenleser mit eingelöteter G&D Smartcard, so dass Stick- und Card-basierte AUthentifizierung technisch völlig gleich ablaufen. Ich habe den Eindruck, dass die Treiber für den Sicherheitsstick und die unterstützten Smartcards allesamt nur aus einer PKCS*11-Bibliothek bestehen, so dass ich vermute, dass Elster nicht nur die offiziell erwähnten Smartcards und den einen Sicherheitsstick unterstützt, sondern vmtl. jede Smartcard und auch jeden Sicherheitsstick, für den eine PKCS*11-Bibliothek bereitgestellt werden kann.
Vermute ich da richtig?
Könnte ich also mein Software-Zertifikat auf irgendeiner der Smartcards speichern, die vom OpenSC (www.opensc.org) Projekt unterstützt werden und dann mit dem OpenSC PKCS*11-Treiber von Elster aus auf diese Karte zugreifen.
Oder sind in Elster irgendwelche Mechanismen eingebaut, die nur die Nutzung von offiziell "zugelassenen" Smartcards ermöglichen? Elster könnte ja alle "zugelassenen" PKCS*11-Bibliotheken signieren und nur mit signierten Bibliotheken zusammenarbeiten. Dann bräuchte ich die OpenSC PKCS*11-Bibliothek erst gar nicht auszuprobieren.
Ansonsten wäre es doch interessant herauszufinden, ob Elster nur mit kommerziellen Smartcards zusammenarbeitet oder auch mit freien Lösungen.
Viele Grüße
pk1
PS: Nur so am Rande: der PKCS*11-Standard wird eigentlich mit einem Lattenzaun zwischen PKCS und 11 geschrieben und nicht mit einem Stern. Aber die Verwendung eines Lattenzauns bestraft die Forensoftware mit einer sehr irreführenden Fehlermeldung. Ich dachte schon, ich müsste den ganzen Beitrag noch mal tippen.
Ich besitze seit einigen Tagen ein Softwarezertifikat für die Elster-Online Authentifizierung. Oder exakter formuliert, ich besitze eine mit PIN geschützte PFX-Datei, die zwei private Schlüssel, zwei zu den Schlüsseln passende Zertifikate, ein CA-Zertifikat und ein Root-Zertifikat enthält. Alle diese Bestandteile kann man aus der PFX-Datei auslesen und könnte sie auch auf einer Smartcard speichern.
Elster unterstützt auch die Zertifikats-basierte Authentifzierung mittels Smartcards oder Sicherheitsstick. Letzteres ist technisch nichts anderes als ein USB-Kartenleser mit eingelöteter G&D Smartcard, so dass Stick- und Card-basierte AUthentifizierung technisch völlig gleich ablaufen. Ich habe den Eindruck, dass die Treiber für den Sicherheitsstick und die unterstützten Smartcards allesamt nur aus einer PKCS*11-Bibliothek bestehen, so dass ich vermute, dass Elster nicht nur die offiziell erwähnten Smartcards und den einen Sicherheitsstick unterstützt, sondern vmtl. jede Smartcard und auch jeden Sicherheitsstick, für den eine PKCS*11-Bibliothek bereitgestellt werden kann.
Vermute ich da richtig?
Könnte ich also mein Software-Zertifikat auf irgendeiner der Smartcards speichern, die vom OpenSC (www.opensc.org) Projekt unterstützt werden und dann mit dem OpenSC PKCS*11-Treiber von Elster aus auf diese Karte zugreifen.
Oder sind in Elster irgendwelche Mechanismen eingebaut, die nur die Nutzung von offiziell "zugelassenen" Smartcards ermöglichen? Elster könnte ja alle "zugelassenen" PKCS*11-Bibliotheken signieren und nur mit signierten Bibliotheken zusammenarbeiten. Dann bräuchte ich die OpenSC PKCS*11-Bibliothek erst gar nicht auszuprobieren.
Ansonsten wäre es doch interessant herauszufinden, ob Elster nur mit kommerziellen Smartcards zusammenarbeitet oder auch mit freien Lösungen.
Viele Grüße
pk1
PS: Nur so am Rande: der PKCS*11-Standard wird eigentlich mit einem Lattenzaun zwischen PKCS und 11 geschrieben und nicht mit einem Stern. Aber die Verwendung eines Lattenzauns bestraft die Forensoftware mit einer sehr irreführenden Fehlermeldung. Ich dachte schon, ich müsste den ganzen Beitrag noch mal tippen.
> Offizieller ELSTER-BLOG:
Kommentar