Beiträge von dkonrad

    Zur Klarstellung:


    Das Problem liegt hier nicht an einer möglicherweise Missinterpretation von W3C-Standards durch Browserhersteller bzw. Anbieter von Webseiten, sondern daran, dass Microsoft und die Mozilla-Foundation unterschiedliche Vorgaben für die Aufnahme vertrauenswürdiger Wurzelzertifikate in ihren Browsern machen (diese Voraussetzungen werden nicht durch W3C normiert).


    Weitere Infos und auch Links zu Diskussionen von A-Trust mit der Mozilla-Foundation wegen dieser Problematik gibt es hier im Forum.

    Die Forumssoftware unterstützt leider nicht das automatische Einfügen von Zeilenumbrüchen in mit Code-Tags markierten Abschnitten.


    Ich habe für Sie die Möglichkeit aktiviert, Ihre eigenen Beiträge nachträglich zu editieren.

    Der Grund dafür ist, dass verschiedene Chipkarten (e-card, Maestro-Karte der Banken) als Bürgerkarte verwendet werden können. Diese Karten haben unterschiedliche Chipkartenbetriebsysteme und auch eine unterschiedliche Konfiguration bezügl. der PINs u PUKs.


    Für die e-card gilt es gibt eine Signatur-PIN, diese hat 6 oder mehr Stellen und eine sog. Karten-PIN diese hat 4 Stellen. Der Karten-PIN ist bei der e-card für alle anderen Funktionen außer der qualifizierten elektronischen Signatur zu verwenden - d.h. Zugriff auf Infobox, Verschlüsselungsfunktionen (Geheimhaltung), und auch für die einfache (d.h. nicht qualifizierte) elektronische Signatur, da hier das 2. Schlüsselpaar auf der Karte (in div. Dokumentationen auch "Geheimhaltungsschlüssel" genannt) verwendet wird. Es kann daher sein, dass in machen Programmen bzw. Beschreibungen die Begriffe "Karten-PIN" und "Geheimhaltungs-PIN" synonym verwendet werden.


    PUKs gibt es bei der e-card keine. Man hat für die Signatur-PIN 3 Versuche und für die Karten-PIN 10 Versuche, danach kann nur eine neue Karte bestellt werden.


    Auch die sog. "NULL-PIN" oder "Initial-PIN" gibt es bei der e-card nicht, diese ist z.B. bei der Aktivierung einer Maestro-Karte einzugeben.


    Eine gute Übersicht über PINs und PUKs auf e-card und Maestro-Karte finden sie hier .

    Die Zustelldauer für den RSa Brief dauert im Normalfall - wie oben erwähnt - etwa 2 Tage.
    Wenn Sie den RSa Brief nicht erhalten haben, hat nur die A-Trust die Möglichkeit nachzuvollziehen, ob und wohin der RSa Brief zugestellt wurde, deshalb müssen Sie sich diesbezüglich an die A-Trust wenden. Wenn Sie die kostenpflichtige Hotline nicht verwenden wollen, gibt es die Möglichkeit, dies auch über das A-Trust Forum zu machen, dass sich auch problemlos mit Mozilla Firefox aufrufen lässt, wenn man das SSL-Zertifikat der A-Trust akzeptiert. Der Grund, dass Firefox hier möglicherweise eine Fehlermeldung ausgibt ist, dass die A-Trust Wurzelzertifikate (und auch die anderer österreichischer Zertifizierungsanbieter) nicht im aktuellen Firefox 3 als Zertifizierungsstellen vorkonfiguriert sind. Siehe dazu diesen Forumsbeitrag.

    Die Zustellung erfolgt an die im ZMR gemeldete Hauptwohnadresse, die Dauer sollte laut A-Trust in etwa 2 Tage betragen. Sollte der RSa-Brief nicht an den Hauptwohnsitz zugestellt worden sein, kann A-Trust den Status des RSa-Briefs anhand Ihrer Kartendaten (e-card-Kartennummer 800400?. auf der Rückseite Ihrer e-card) nachverfolgen. Wenden Sie sich dazu an die A-Trust Hotline Tel.-Nr.: 0900 940 910 (kostenpflichtig) oder das A-Trust Forum zur e-card.

    Die aktuelle e-card verwendet ausschließlich 192Bit ECDSA Schlüssel. Aktuelle Standardsoftware (u.a. Microsoft Office) unterstützt zwar bereits ECDSA, allerdings nicht die auf der e-card verwendete P-192 Kurve. Siehe dazu die A-SIT Studie "Kryptosysteme basierend auf Elliptischen Kurven - Einsatz und Verbreitung in Standardsoftware (2008)".
    D.h. die e-card kann mit gängigen E-Mail Programmen nicht zum Signieren von E-Mails verwendet werden. Für die nächste e-card Generation wird es voraussichtlich eine breitere Unterstützung der verwendeten Schlüssel in Standardsoftware geben.


    Wenn sie eine Maestro-Karte als Bürgerkarte aktivieren, können Sie die Karte mit Hilfe des a.sign Clients von A-Trust in E-Mail Programme wie Thunderbird, Outlook etc. einbinden, da diese Karte neben dem ECDSA Schlüsselpaar für die qualifizierte Signatur auch über ein RSA Schlüsselpaar ("Geheimhaltungsschlüssel"), das z.B. zum Verschlüsseln bzw. Signieren von E-Mails verwendet werden kann, verfügt.


    Wie allerdings schon erwähnt, ist es die Strategie der österreichischen Verwaltung die Signatur auf Dokumente und nicht auf Mails abzustellen. Dadurch können Dokumente auch mit einer qualifizierten Signatur entsprechend dem Signaturgesetz versehen werden. Aus diesem Grund ist es keine verpflichtende Anforderung, dass eine dem Bürgerkartenkonzept entsprechende Karte in gängige E-Mail Clients integrierbar sein muss.

    Eine neue Karte können Sie über die e-Card Serviceline unter 050 124 33 11 (Nr. steht auch auf der Karte) anfordern. Das sollte kostenlos möglich sein.

    Wenn Sie Ihre PIN - das gilt sowohl für die 4-stellige Karten-PIN als auch für die 6(oder mehr)-stellige Signatur-PIN - gesperrt haben, müssen Sie eine neue Karte anfordern. Die e-Card ist so konzipiert, dass es keine PUKs gibt.


    Die 4-stellige Karten-PIN (diese muss z.B. vor Auslesen der Personenbindung eingegeben werden) wird nach 10 Fehleingaben gesperrt, die 6(oder mehr)-stellige Signatur-PIN nach 3 Fehleingaben.


    Die Funktion Ihrer Bürgerkarte können Sie mit dem Testnormal Bürgerkarte testen.

    Das Login mit Bürgerkarte ist im Normalfall ohne Erstanmeldung bei FinanzOnline möglich.
    Wenn bei Ihnen die Voraussetzungen für die Ausstellung einer UID-Nummer zutreffen, oder wenn Sie Dienstnehmer beschäftigen, ist allerdings eine Erstanmeldung notwendig.


    Es kann auch vorkommen, dass die Namensschreibweisen im Finanzamt nicht exakt mit denen im ZMR (d.h. den Daten auf der Bürgerkarte) übereinstimmen und deshalb eine Richtigstellung der Daten erforderlich ist, dass scheint bei Ihnen allerdings - wie sie in einem anderen Beitrag geschrieben haben - nicht der Fall zu sein.


    Für detailliertere Auskünfte zu FinanzOnline ist es am besten, wenn Sie sich an die FinanzOnline-Hotline (0810 / 22 11 00) wenden. Diese ist österreichweit zum Ortstarif von Montag bis Freitag, 08.00 Uhr bis 18.00 Uhr, erreichbar.

    Es kann vorkommen, dass die Namensschreibweisen im Finanzamt nicht exakt mit denen im ZMR (d.h. den Daten auf der Bürgerkarte) übereinstimmen, etwa wenn ein zweiter Vorname dem Finanzamt nicht bekannt ist. Vergleichen Sie den Namen auf Ihrer Bürgerkarte (wird bei der Anmeldung zu FinanzOnline bei der Aufforderung zur Signatur angezeigt) mit den Daten des Finanzamts (z.B. auf einem Bescheid) und wenden Sie sich allenfalls an Ihr Finanzamt, um den Namen zu ändern.


    Siehe dazu auch der Beitrag unter: "FinanzOnline Erstanmeldung funktioniert nicht"

    Wir haben diesbezüglich beim Zertifizierungsdiensteanbieter A-Trust rückgefragt:


    Leider ist die Registrierung in einer Registrierungsstelle mit einem deutschen Personalausweis nicht möglich, da die A-Trust in ihrer Certificate Policy bei einer Registrierung folgendes zur Identifikation verlangt:

    Zitat

    ... Der Antragsteller beweist seine Identität durch das Vorlegen eines gültigen, amtlichen Lichtbildausweises. Dabei sind die folgenden Ausweise zulässig:
    ? ein in Österreich ausgestellter amtlicher Lichtbildausweis (eine Liste der in Österreich gültigen amtlichen Lichtbildausweise, die von a.trust akzeptiert werden, ist auf der Homepage der a.trust zu finden) oder
    ? ein international gültiger Reisepass in deutscher und/oder englischer Sprache.


    Es bestehen daher für Sie folgende Möglichkeiten:
    [list=1]
    [*]Sie registrieren sich mit Hilfe der Online-Verfahren am e-card Portal der A-Trust. Bei der Registrierung über RSa-Brief wird der Brief an die Adresse, die der A-Trust vom ZMR rückgemeldet wird, zugestellt. D.h. wenn Sie nur an einem Zweitwohnsitz in Österreich gemeldet sind, ist das diese Adresse. Falls Sie an mehreren Zweitwohnsitzen in Österreich gemeldet sind, müssten Sie sich mit A-Trust in Verbindung setzen, um zu eruieren an welche Adresse der RSa Brief gesendet wurde. Für den Empfang des RSa-Briefs sollte dann Ihr deutscher Personalausweis akzeptiert werden.
    [*]Sie besorgen sich einen Reisepass
    [/list=1]

    Sie können Ihre e-card online als Bürgerkarte aktivieren und dann problemlos beide Karten parallel als Bürgerkarte verwenden.


    Bei Anwendungen im privatwirtschaftlichen Bereich, die nicht die Personenbindung auf der Bürgerkarte als Identifikationsmethode nutzen (das sind zur Zeit vor allem E-Banking Anwendungen), kann es sein, dass eine parallele Nutzung nicht möglich ist und nur eine der Karten genutzt werden kann. Bei E-Banking Anwendungen ist das dann meistens die Karte, deren Zertifikat im Zuge eines Registrierungsvorgangs bei der jeweiligen Bank mit den Verfügerdaten des Kontos verknüpft wird; hier sollte allerdings bei den meisten Banken ein Wechseln dieser Verknüpfung möglich sein.

    Bitte wenden Sie sich diesbezüglich an die Service-Line von bundesschatz.at (Montag bis Freitag von 8.00 - 17.00, 0800 / 123 40 400) um Ihre Kontodaten entsprechend zu ändern.


    Siehe dazu auch der Hinweis auf bundesschatz.at:

    Zitat

    Achtung: Ihre Kontodaten (bzw. die Daten des Vertretungsberechtigten) müssen mit den Daten auf Ihrer Bürgerkarte übereinstimmen. Konkret handelt es sich dabei um Ihren Vor- und Familiennamen sowie um Ihr Geburtsdatum. Sollte dies nicht der Fall sein, veranlassen Sie bitte eine Korrektur Ihrer Kontodaten bei unserem Service-Center.


    Die Zuordnung zu einem Konto bei der P.S.K. funktioniert, da bei der P.S.K die Zuordung nicht über das ZMR erfolgt.

    Die aktuelle e-card verwendet ausschließlich 192Bit ECDSA Schlüssel. Der ECDSA Algorithmus wird vom aktuellen OpenPGP Standard RFC 4880 nicht unterstützt.


    Aktuelle Standardsoftware unterstützt zwar bereits ECDSA, allerdings nicht die auf der e-card verwendete P-192 Kurve. Siehe dazu die A-SIT Studie "Kryptosysteme basierend auf Elliptischen Kurven - Einsatz und Verbreitung in Standardsoftware (2008)".


    D.h. die e-card kann mit gängigen E-Mail Programmen nicht zum Signieren von E-Mails verwendet werden.

    Der Fehler lag offenbar daran, dass vom Zertifizierungsdiensteanbieter (TC TrustCenter) des SSL-Zertifikats für http://www.bundesschatz.at eine Fehlermeldung bei der Abfrage der im Zertifikat angegebenen Widerrufslisten-URL (http://www.trustcenter.de/crl/v2/tcclass2.crl) zurückgeliefert wurde.


    Aktuell (15.9.2008, 9:23h) scheint die CRL-Abfrage über diese URL wieder zu funktionieren.


    Die Anmeldung mit Bürgerkarte bzw. die Bindung der Bürgerkarte an ein Bundesschatz-Konto sollte damit wieder problemlos möglich sein.

    Eine direkte Übertragung der Bürgerkarten- und Signaturfunktion von einer alten e-card auf eine neue e-card ist generell nicht möglich.


    D.h. wenn Sie eine neue e-card bekommen (z.B. auf Grund von Defekt, Verlust,... der alten Karte) ist eine erneute Aktivierung der Bürgerkartenfunktion (online über das e-card Portal der A-Trust oder FinanzOnline bzw. persönlich bei einer e-card Registrierungsstelle) erforderlich.


    Wenn Sie die e-card bereits vor 31.12.2007 für die el. Signatur (d.h. für die Verwaltungssignatur aktiviert haben und nun eine qualifizierte Signatur nutzen möchten, müssen Sie über die e-card Serviceline (Tel.: 050124 33 11, die Nummer steht auch auf der e-card ) eine neue e-card bestellen und die Bürgerkarten- und Signaturfunktion über die oben genannten Möglichkeiten erneut aktivieren.

    Ich nehme an, es handelt sich um einen SPR 532 / Chipdrive Pinpad Pro 532 USB Kartenleser. Das Signieren sollte mit beiden Firmware-Varianten sowohl über den CT-API als auch über PC/SC Treiber möglich sein.


    Zu diesem Gerät wurden allerdings Probleme bei der Aktivierung der PIN über den CT-API Treiber berichtet, sodass die PIN-Eingabe zur Aktivierung über den PC/SC Treiber erfolgen muss. Siehe dazu den entsprechenden Eintrag im IT Solution Support Forum


    Auch im A-Trust Forum gibt es einen Eintrag, der darauf hinweist, dass mit der alten Firmware nicht alle Funktionen des a.sign clients genutzt werden können.


    Daher würden wir empfehlen die neueste Firmware (V5.10) zu verwenden.