Hallo Zusammen,
ich bin auf der Suche nach einer ZKA Signaturkarte die PKCS#11 und die Signierung nach A004 unterstützt.
Ist es mit jeder ZKA Signaturkarte möglich 1024 Bit Schlüssel zu generieren?
Welche Möglichkeiten gibt es eine solche Signaturkarte (günstig)zu bekommen? Und ist es möglich eigene Zertifikate zu erzeugen?

Ist es richtig dass eine A004 Signatur nicht eine qualifizierte Signatur vorraussetzt? (D.h. es reicht eine fortgeschrittene?)

Fragen über Fragen
Ich hoffe mal in diesem Forum richtig und man kann mir hier helfen.
Besten Dank schon einmal im Vorraus
stift.

Hallo Stift,

mmhhh deine Fragen sind etwas seltsam, sprich, deine Fragen passen nicht so ganz zu den Fachbegriffen (bezeichnungen), die Du verwendest.
Wenn Du beschreibst, was Du vorhast, können wir Dir eventuell weiterhelfen.

Zu den Begrifflichkeiten : A004 bezieht sich nur auf FTAM oder EBICS und hat mit sonstigen Signaturanwendungen nur indirekt etwas zu tun.

Warum legst Du wert auf 1024 Bit Schlüssel? Laut Vorgabe der Bundesnetzagentur sind für Signaturen nach dem SiG längere Schlüssel vorgegeben.
Das Nachladen von Zertifikaten kann möglich sein. Eigene Zertifkate würde mich wundern. Aber selbst wenn, nutzen würden Sie Dir nichts, ausser Du benötigst Sie für interne Zwecke.

Gruß

Holger

Naja ich versuche per selbstgeschriebenes Programm die Signaturkarte über die PKCS#11 Schnittstelle anzusprechen und eine Signatur zu erzeugen. Verschiedene SmartCards unterstüzen auch eine RSA Schlüsselerzeugung. Wie sieht es da bei der ZKA-Signaturkarte aus?
Die S Trust Signaturkarte unterstützt PKCS#11 laut
Link


Ich würde gerne eine Signatur erzeugen die A004 entspricht. Laut Ebics Spezifikation steht dort:
Die Version A004 der Elektronischen Unterschrift basiert auf RSA-Signaturen, die mit
Schlüsseln generiert werden, deren Moduli eine Länge von 1024 Bit haben


Naja das hängt davon ab, ob die Signaturkarte eine Schlüsselerzeugung auf der Karte unterstützt und man somit nicht den priv Schlüssel der Karte exportieren kann.
Dann könnte man ja rein theoretisch der Bank den neuen öffent. Schlüssel schicken und ein anderes Schlüsselpaar nutzen.

Naja ich hoffe der Text ist einigermaßen verständlich ( er geht ja etwas über das Homebanking hier heraus.) Leider habe ich kein anderes Forum gefunden, wo es rein nur um die technischen Vorraussetungen oder Ähnliches geht.

Grüsse stift

Hier und besonders bei Holger bist du schon richtig *gg*

Aber nochmal gefragt: Was willst du machen ???

Ich werde das Gefühl nicht los, dass du das Rad neu erfinden willst.

CU
Frank

Mein Ziel ist es mit einer ZKA Signaturkarte eine A004 Nachricht (bankfachliche Freigabe nennt sich das wenn ich nicht irre) zu signieren.
Viel findet man ja nicht über die ZKA Signaturkarte heraus, ohne sich die Spezifikation zu kaufen. Jedoch soviel dass sie Steuermittel zur RipeMD160 Hashwerterzeugung und 9796-2 Padding mit anschließender RSA Signierung anbietet. ( Die Frage ist naturlich eh, ob man die Hashwerterzeugung lieber extern der Karte macht aus zeitgründen).
Bisher habe ich eine solche Signierung mit einer Smartcard durchgeführt, jedoch noch nicht mit der ZKA Signaturkarte. Die Smartcard habe ich über eine PKCS#11 API Wrapperklasse angesteuert. Und laut obigen link soll die Signaturkarte von S-Trust auch eine PKCS#11 Schnittstelle unterstützen.
Um auch mal eine solche ZKA - Signaturkarte zu testen, suche ich eine die recht günstig ist

so hoffe war mal wieder nicht zu speziell
Grüsse stift

S-Trust hat verschiedenen Signaturkarten, welchen mit qualifizierten (zum Nachladen der Zertis auf vorbereitete Karten) und welche lediglich fortgeschrittener Signatur (fix-and-ready Karten).

Die A004 funktioniert nur mit den fortgeschrittenen Karten, da bei den anderen die Schlüssellänge eben nicht 1024 bit ist sondern länger (A004 fordert exakt 1024bit).

Nebenbei gibt es auch "Signaturkarten" mit der Möglichkeit, sowohl die A004 für FTAM und EBICS als auch die E001 und X001 Signaturen für EBICS Kartenbasiert leisten zu können.
Die Karten tragen auf jeden Fall den Aufdruck Signaturkarte und haben auch eine irgendwie gestaltete Signaturanwendung auf dem Chip. Das ist aber keine Karte, die man für S-Trust Zertifikate verwenden könnte. Auf der Karte befinden sich bereits Schlüssel, ausgelesen wird der öffentliche Teil zwecks Übermittlung an die Bankrechner. Ich hab so ein Teil selber im Einsatz.

Letztere kann die deine Sparkasse über den eigenen Verlag besorgen, Mindestmenge 10 Stück pro Bestellung (für die Sparkasse).

hi Captain Frag,
hmm 10 Stück als Mindestbestellmenge ist schon etwas viel ich will sie ja nur testen Sind die Karten dann an die Sparkasse gebunden? d.h. ist es möglich auch andere Zertifikate darauf zu erstellen? Macht es denn überhaupt Sinn mehr als nur den A004 Schlüssel auf die Karte zu bannen?

grüsse stift

Hallo stift,

also gebunden sind die Karten nicht an die Sparkasse. Der Hintergrund ist ja, das du den öffentlichen Teil ausliest und damit die Initialisierung im FTAM oder EBICS System der Bank vornimmst. Das Banksystem erfährt überhaupt nichts vom Trägersystem der Schlüssel - es ist also keine Bindung an eine Bank möglich und zudem auch nicht sinnvoll oder gewünscht.

Die Zertifikate werden nach meinem Verständnis gar nicht benutzt, lediglich die Schlüssel dazu

Mehr als nur den A004 Schlüssel auf die Karte zu packen macht definitiv Sinn. Für FTAM gibt es ja heute schon den designierten Nachfolger EBICS, der mindestens 2 Schlüsselpaare benötigt (A004, E001, X001 - 2 dürfen gleich sein, i.d.R. E001 und X001). Da FTAM ab 2010 abgeklemmt werden kann und sicher auch wird, wären eine andere Karte halb rausgeworfenes Geld.

Das mit der Mindestbestellmenge kann, muss aber nicht dein Problem sein. Ich kenne einige Sparkassen, die diese Karten bereits im Schrank liegen haben. Wenn nicht, könnte es ja trotzdem sein das sie die für dich bestellen und den Rest dann in den eigenen Bestand übernehmen. Einfach mal freundlich nachfragen. Wenn die Sparkasse die Karte nicht kennt, verweise mal vorsichtig auf den Kartenkatalog Cards&More, Ausgabe 2007/2008, Abschnitt 1.21, untere Seitenhälfte...

Mag sein dass dann erstaunt nachgefragt wird

Hallo,



das Ding kann die ganze EBICS-Schlüsselatur verwalten, also...

?

Ich frage so gezielt nach, weil da nix von EBICS steht, sondern nur von FTAM?

Otto

Hallo Otto,

das macht nix. Die Karte kann es einfach

Captain Frag sind letztere erwähnte Karten eigentlich ZKA Signaturkarten mit entsprechendem Betriebssystem oder nur normale Smartcards?

IMHO sind es "normale" ZKA-Seccos Karten mit der Signaturapplikation und auch nem TAN-Generator drauf.