Beiträge von Warmuth

    Sehr geehrter Herr Maierhofer,

    Zitat

    Hier wurde nichts nachgetragen, gibt es bereits ewig, zu sehen im Verlauf der Website, zb unter [1].

    Trotz intensiver Suche, habe ich diesen Eintrag beim Studium der Unterlagen nicht gefunden. Da er wohl da war war es mein Fehler und ich entschuldige mich dafür, diesen einen Ihnen angelastet zu haben.


    Mit freundlichen Grüßen
    Michael Warmuth

    Sehr geehrter Herr Maierhofer,


    Heute nur in aller Kürze:

    Zitat

    Bezueglich freizuschaltenden Ports, siehe [1]. Hier gibt es auch einige andere interessante Infos.

    Vielen Dank für das Nachtragen der Information.

    Zitat

    Zum Thema Sicherheit gab und gibt es Regelmäßige Sicherheitsanalysen und es sind keine Angriffspunkte bekannt; zb. werden die CRLs, die ueber ldap heruntergeladen werden, digital signiert und diese Signatur wuerde natuerlich bei Aenderung der CRL sofort brechen. Verfaelschungsicherheit somit gewaehrleistet. Abhörsicherheit hier kein Thema, da die Liste öffentlich ist und von der Seite des Benutzers keine Daten zum ldap server geschickt werden.

    Vielen Dank für diese Erläuterung. Wenn hier immer alle CRLs komplett abgefragt und heruntergeladen werden ist es natürlich unproblematisch diese Verbindung nicht zu verschlüsseln.


    Hoffentlich schaffen Sie es auch die anderen Punkte (Funktion der BKU Provider-abhängig, Funktion der BKU Browser-abhängig, sowie andere "Kleinigkeiten") jetzt nach Jahren zu lösen.


    Mit freundlichen Grüßen und bestem Dank
    Michael Warmuth

    Liebe Mitleserinnen,


    ad Anmeldeproblem bei FinanzOnline:
    Das Problem ist behoben - die Anmeldung ist - zumindest derzeit - wieder möglich.


    Mit freundlichen Grüßen
    Michael Warmuth

    Sehr geehrter Herr Maierhofer,


    Zuerst einmal möchte ich mich für die Verzögerung meiner Antwort entschuldigen, aber ich habe - Gott-sei-Dank - auch anderes zu tun, als mich mit der Bürgerkarte herumzuärgern. Weiters möchte ich ganz besonders betonen, dass ich davon ausgehe, dass Sie persönlich nichts für die Inkompetenz der Planerinnen und Entwicklerinnen können und selbst unter den Folgen leiden müssen.


    Auch darf man hier nicht vergessen, dass es sich bei der Bürgerkarten-Infrastruktur nicht um ein kleines Projekt handelt, das ein Ein-Personen-Unternehmen (wie meine Wenigkeit) für einen beschränkten Personenkreis implementiert, sondern um eines für (so hoffe ich doch irgendwann) alle Bürgerinnen Österreichs. Anbetracht dessen und des langen Zeitraumes, in dem versucht wird dieses Projekt zum Laufen zu bekommen, ist der derzeitige Zustand wohl so, dass meine mehrfache Erwähnung des Wortes "Inkompetenz" sicher mehr als gerechtfertigt ist.


    Es ist mir daher ein Anliegen auf Ihre Ausführungen zu antworten, da ich hoffe, dass dies ein klitze-klitze-klitzekleiner Beitrag dazu ist dieses System durch ein funktionierendes, für alle handhabbares zu ersetzen:


    Zitat

    Die Verbindung zu 217.13.182.84 (ldap.atrust.at) wird aufgebaut um die CRLs zu laden und die Gueltigkeit der Zertifikate zu ueberpruefen, siehe [1] ganz unten. Dass diese Verbindung blockiert wird, ist bisher niemals aufgetreten, muesste jedoch in den log-files ersichtlich sein. Diese befinden sich im Homeverzeichnis des Users unter .mocca/logs . Evtl. könnten Sie mir diese per pm zukommen lassen, damit wir das überprüfen koennen.

    Ja, natürlich ist es in der Log-Datei enthalten, sind aber nur auffindbar, wenn man vorher schon weiß, was man sucht. Oder halten Sie diese Zeilen, vor allem für Laien, aussagekräftig?

    Zitat

    INFO pki - pki: PKITrustManager: Downloading crl from "ldap://ldap.a-trust.at/ou=A-Trust-nQual-03,o=A-Trust,c=AT?certificaterevocationlist?base?objectclass=eidCertificationAuthority".
    09:37:44,087 INFO pki - pki: PKITrustManager: No ldap handler registered, trying iaik version explicitely

    Ich möchte Sie in diesem Zusammenhang darauf hinweisen, dass

    • dies nirgendwo dokumentiert ist. Es fehlt, wie übrigens jede sinnvolle Aufstellung der technischen Voraussetzungen für die Nutzung der Bürgerkarte. Entweder weil die Verantwortlichen es selbst nicht wissen, oder weil diese Liste aufgrund der Länge deutlich zeigen würde wie fehlgeplant das System ist.
    • in vielen Unternehmen sehr restriktive Kommunikationsrichtlinien gelten. Es sind dort nur wenige Ports nach außen freigeschaltet und bei manchen wird mittels transparentem Proxy sogar HTTP- und HTTPS-Verkehr gefiltert. Eine Erwähnung der Notwendigkeit der Freischaltung des LDAP-Zugriffs auf den A-Trust-Server ist daher sicher nicht überflüssig.
    • eine nicht verschlüsselte Abfrage des LDAP-Servers, auch nur zum Zwecke der Validierung der Gültigkeit des Zertifikats, aus mehreren Gründen (Verfälschbarkeit, Abhörbarkeit, usw.) katastrophal wäre. Ich hoffe daher, dass diese Verbindung mittels STARTTLS verschlüsselt wird. Ist dem so?
      [/list=1]Dieses Problem klein zu reden hilft nicht bei der Lösung!


      Für Sie habe ich die unternehmensweite Firewall wieder umkonfiguriert, um extra eine Log-Datei zu erstellen, die nur den fehlerhaften Aufruf der BKU-Test-Suite bei gesperrter LDAP-Verbindung zeigt. Diese ist per PM in Bälde an Sie unterwegs.


      Zitat

      Bezueglich Java8: Unter [2] steht bereits eine pre-release version zur Verfuegung die auch unter mac funktioniert. Aber Achtung, da diese erst bei den entsprechenden Betreibern installiert wird wenn Sie offiziell released wird, funktioniert natürlich zur Zeit nur die Lokale Variante.

      Ich sehe das derzeit, wie gesagt, noch nicht wirklich als Problem. Allerdings muss zum Zeitpunkt der Freischaltung von Java 8 als Standard-Runtime durch Oracle sichergestellt sein, dass die damit kompatible BKU auf allen Systemen installiert ist. Kann man das nicht, so hat Ihr System hier einen exzessiven konzeptionellen Mangel, der sofort beseitigt gehört.


      Zitat

      Online BKU + Safari: Wie am Anfang dieses threads bereits gesagt, gibt es hier Probleme seitens Safari in Kombination mit Java und dem PCSC Treiber, daher kann ich hierzu nichts genaueres sagen.

      Zu sagen: "Das ist halt so." oder: "Das ist ein bekanntes Problem." ist keine Lösung, sondern nur ein weiterer Ausdruck von Inkompetenz. Natürlich können einzelne Lösungen in Ausnahmefällen länger benötigen, aber dann muss man[list=1]

    • sagen woran es genau liegt,
    • mitteilen, mit wem (z.B. Apple, Oracle, usw.) daran gearbeitet wird und
    • einen kurzfristigen Zeithorizont angeben bis dieses Problem behoben sein wird.[/list=1]

      Zitat

      Bezueglich Dokumentation und Provider: Wir haben leider nicht die Resourcen um jeden moeglichen Fehlerfall abzudecken und zu testen. Das ist einfach nicht moeglich. Allein die Kombination aus Betriebssystem (Windows xp, vista, 7, 8, macOs, Linux) und Java Version (6,7,8 +diverse intermediate Versionen) fuehrt bereits zu einer Unmenge an Testcases. Wenn wir jetzt auch noch einzelne Provider oder Firewallkonfigurationen testen muessten, wuerde das zuviel Zeit in Anspruch nehmen. Ich bitte hier um Verständnis.

      Nein, dafür habe ich keinerlei Verständnis!
      Und zwar aus mehreren Gründen:[list]

    • Die Bürgerkarte sollte, so hoffe ich in meiner naiven Art, für alle Bürgerinnen Österreichs sein.
    • Es darf daher keine Einschränkungen hinsichtlich, Betriebssystem, Software, Provider und ähnlichem geben.
    • Wenn spezielle Hardware benötigt wird, darf sie einerseits keinen Einschränkungen (s.o.) unterliegen, und es muss andererseits eine Liste der zertifizierten Geräte geben.

    Ist dem nicht so, so hat Ihr System hier einen exzessiven konzeptionellen Mangel, der sofort beseitigt gehört.


    Zitat

    Zu Ihrer Frage warum Sie keine Antwort mit dem Loesungsvorschlag erhalten haben: Wir bemuehen uns Fragen zeitnahe zu beantworten, haben jedoch keinen 24x7 Support. Hätten Sie die Loesung nicht bereits selbst gepostet, haette ich Sie heute gebeten mir die log files zu schicken, damit wir das Problem genauer analysieren koennen, dann haetten Sie sich evtl. die muehsame und lange Fehlersuche erspart.

    Gerade hier hat es sich um ein Standard-Problem gehandelt. Alleine meine Schilderung des Problems hätte zu einer sofortigen Antwort führen müssen in der auch folgendes zu stehen hätte:

    Zitat

    Bitte vergewissern Sie sich, dass von Ihrem Computer aus eine LDAP-Verbindung (Port 389) zum Server ldap.atrust.at (217.13.182.84) hergestellt werden kann. Bitte klären Sie dies mit Ihrem Netzwerkbetreuer.

    Gäbe es jedoch eine brauchbare Dokumentation, so wäre dies alles gar nicht notwendig gewesen.


    So, das wäre es. Bitte verzeihen Sie mir meine berechtigte Kritik, aber manchmal muss man auch die Dinge beim Namen nennen. Und, dass ausgerechnet der Service, für den ich persönlich die Bürgerkartenfunktion einsetzen möchte, nicht funktioniert, zeigt umso mehr, dass ich hier recht habe:


    Gestern und heute habe ich (erstmalig) versucht mich mit der Bürgerkarte bei Finanz-Online anzumelden (stehe mit FA in Kontakt):

    Code
    1. Fehler bei der Anmeldung
    2. Bei der Anmeldung ist ein Fehler aufgetreten.
    3. Folgende Ursachen können zu dem Fehler geführt haben:
    4. 1.Sie sind nicht mehr angemeldet (Verbindungen werden aus Sicherheitsgründen bei längerer Inaktivität beendet.)
    5. Melden Sie sich bitte erneut an.
    6. 2. Die Kommunikation mit dem Server schlug fehl.

    Siehe [url=https://www.buergerkarte.at/mvnforum/mvnforum/viewthread_thread,547_offset,0#2266]Thread 547[/url]


    Mit (gerade noch) freundlichen Grüßen
    Michael Warmuth

    Sehr geehrte Damen und Herren,


    Nachdem ich gestern keine Antwort auf meine Anfrage in diesem Thread erhalten habe und befürchte, dass ich hier auch keine kompetente solche bekomme, habe ich weitere Nachforschungen angestellt:


    Hahaha (mir fällt hier wirklich keine bessere Überschrift ein)


    Wenn ich eine Internet-Verbindung über den Provider Bob (A1) herstelle, dann startet die lokale Mokka BKU nicht einmal (bleibt beim Start-Logo stecken). Selbst nach deaktivierter Firewall am Notebook! Verwendet wird hier ein Mobile-WiFi-Adapter, sprich: es handelt sich (aus Sicht des Notebooks) um eine Internet-Anbindung über WLAN.


    Eigentümliche Verbindung


    Obige Manifestation von Inkompetenz - ich lasse dahingestellt wessen - lässt mich also die Ursache der Fehler der Bürgerkartenumgebung im Bereich Netzwerk vermuten. Eine Analyse des Protokolls der Firewall des Netzwerk-Gateways bringt erstaunliches an den Tag.


    Sowohl bei der "Bürgerkarte Test-Suite" als auch beim "EGIZ Testportal" wird versucht folgende Verbindung aufzubauen: Ziel 217.13.182.84 (eine Adresse aus dem "A-TRUST-NET"), TCP-Port 389 (LDAP). Wozu dies gut sein soll und warum dies nicht dokumentiert ist und warum hier nicht Port 636 (mit dem passenden Protokoll) verwendet wird, wird uns wohl niemand verraten. Ich kann nur hoffen, dass hier mittels StartTLS auch eine SSL-verschlüsselte Verbindung verwendet wird - einen Trace habe ich mir erspart.


    Teilweiser Erfolg


    Nach dem Freischalten der oben genannten Verbindung in der Firewall konnten folgende Tests durchgeführt werden:

    • Safari: Online BKU: Fehler
    • Safari: lokale BKU: erfolgreich
    • Firefox: Online BKU: erfolgreich
    • Safari: lokale BKU: erfolgreich


    Fehlerkatalog


    Somit ergibt sich folgender Fehlerkatalog:
    [list=1]
    [*]Dokumentation: Unvollständige Dokumentation der Voraussetzungen
    [*]Java: 8u5: Bürgerkartenumgebung stürzt ab bei Hardware-Zugriff
    [*]Safari: Online PKU funktioniert nicht
    [*]Provider: Blockierung der lokalen BKU durch Internet-Provider
    [/list=1]


    Und es bleibt natürlich die Frage:


    Warum habe ich keine Antwort mit dem Lösungsvorschlag erhalten?


    Mit gerade noch freundlichen Grüßen
    Michael Warmuth

    Sehr geehrte Damen und Herren,


    Konfiguration:

    • OS X 10.7.5 Sicherheitsupdate 2014-03
    • Safari 6.1.5 (7537.77.4)
    • Firefox 24.6.0esr
    • Java(?) SE Runtime Environment (build 1.7.0_60-b19)
    • Bürgerkartenumgebung 1.3.14-r1284
    • Zertifikat MOCCA TLS Server CA Seriennr. 185749
    • Kartenlesegerät Gemplus GemPC Twin 00 00
    • Chipkarte Typ e-card version 1.2 (G3b)


    Problem:
    [list=1]
    [*]Java: 8u5: Bürgerkartenumgebung stürzt ab bei Hardware-Zugriff
    [*]Safari: Online PKU funktioniert nicht
    [*]Safari: Lokale PKU funktioniert nicht
    [*]Firefox: Lokale PKU funktioniert nicht
    [/list=1]



    ad 1)


    Dies muss bis zum Erscheinen von Java 8 als Standard-Download-Version auf http://www.java.com behoben sein.



    ad 2)


    Auch wenn dieser Fehler als "bekannt" angeführt wird ist dies schlicht und ergreifend Inkompetenz und muss so rasch wie möglich behoben werden.



    ad 3) und 4)


    Bürgerkartenumgebung (Mocca) läuft und alle Punkte unter "Karte" und "Infos" bringen korrekte Ergebnisse. Das Zertifikat "MOCCA TLS Server CA" ist sowohl im OS X Schlüsselbund "System" mit "Immer vertrauen" für "Secure Socket Layer (SSL)", als auch in Firefox unter "Zertifizierungsstellen" mit dem Vertrauen "Dieses Zertifikat kann Websites identifizieren" und im Java Control Panel unter "CA für sichere Sites" eingetragen. Ein Zugriff auf "https://127.0.0.1:3496/" funktioniert sowohl in Safari als auch in Firefox ohne Probleme. Es ist unerheblich ob die Firewall von OS X aktiviert ist oder nicht. Auch mehrere Neustarts brachten - wie zu erwarten war - keine Veränderung.


    Mit der "Bürgerkarte Test-Suite" ("https://www.buergerkarte.at/cc-test-environment/StartTest.action") und einem Klick auf die Schaltfläche "Bürgerkarte testen / Lokale Bürgerkartenumgebung" erscheint nachfolgendes Ergebnis, wobei der erste, erfolgreiche Test sofort, alle anderen (negativen) Ergebnisse nach langer Verzögerung angezeigt werden. Dabei wird auch einmal nach dem Signatur-PIN gefragt.


    Code
    1. System-Test: Systemdaten erfolgreich erfasst
    2. Probleme mit Content-Type der BKU ...
    3. Karten-Test: Ihre Personenbindung konnte nicht ausgelesen werden ...
    4. Signatur-Test: Die Erstellung einer XMLSignatur ist fehlgeschlagen ...


    Ebenfalls unter "https://demo.egiz.gv.at/demoportal_demologin/" wird nach Klick auf "Login" gefolgt von ">lokale Bürgerkartenumgebung" nach elendslanger Zeit (ca. 2 Minuten) und einer Signatur-PIN-Abfrage nur der Fehler "?Error Code: 2010 HTTPS-Bindung: Fehler beim Aufbau der TLS-Verbindung." angezeigt.



    Was ist hier zu tun?



    Abschließend bleibt mir nur festzustellen, dass ich erschüttert über die fachliche Inkompetenz derer bin, die für dieses System verantwortlich sind. Es noch nach Jahren nicht zu schaffen eine für Jederfrau auf jedem System einfach zu installierende und zu nutzende Lösung auf die Beine zu stellen, lässt leider keinen anderen Schluss zu. Ein bemerkenswertes Detail am Rande ist, dass die sehr freundlichen und engagierten Mitarbeiterinnen im BKA-Service-Shop es selbst nur im dritten Anlauf geschafft haben meine e-Card als Bürgerkarte zu aktivieren; Unfähigkeit ist sicher nicht den Damen im Shop zuzurechnen.


    Somit bin ich für eine Umbenennung der Bürgerkarte in "MicrosoftbenutzerInnen-Software-Techniker-Card". Und dieser Vorschlag ist nicht sarkastisch oder spaßig gemeint. Da in diesem Umfeld ja gerne Abkürzungen verwendet werden, lässt sich eine passende sicher schnell ableiten.


    Mit gerade noch freundlichen Grüßen
    Michael Warmuth


    P.S.: Ich ersuche alle Leserinnen meinen stellenweise etwas harschen Ton zu entschuldigen. Nach über 3,5 h meiner Lebenszeit, die ich für die Bürgerkarte vergebens aufgewendet habe, fallen mir weitaus heftigere Worte ein, die ich hier - meiner Erziehung sei Dank - nicht wiedergegeben habe.