ErichFreitag
commented
7 years ago Zu 2) die Signatur zeigt, dass die Daten des maschinenlesbaren Codes korrekt sind und vom Zertifikatsinhaber stammen, entsprechend einer Unterschrift. Der Kunde ist dabei irrelevant. Was man sonst noch könnte ist müßig - es ist so.
zu 3) die Signatur ist sehr wohl wichtig, darum müssen sie ja auch bei Ausfall Behebungsmaßnahmen einleiten, und zwar ohne unnötige Verzögerung
zu 4) Karte oder HSM-Anbindung. Software-Signatur ist nur für geschlossene Gesamtsysteme zulässig.
zu 5) nein, sie müssen (außer bei geschlossenen Gesamtsystemen) die Signaturbildung über die Signaturerstellungseinheit führen. Zum warum - siehe oben
zu 6) den VDA und die Seriennummer des zuletzt funktionierenden Zertifikats
zu 7) das kann wohl erst besprochen werden wenn es soweit ist
Ralf-Friedl
ztp-mino
Die Funktion des Hash des Vorbelegs ist soweit klar. Es gibt eine lückenlose Folge von Belegen, und es ist nicht möglich, einen Beleg zu entfernen, einzufügen oder zu verändern, ohne dass sich der Hash von allen folgenden Belegen ändern würde. Somit kann man sicher sein, dass der Export aus dem DEP mit den tatsächlichen Belegen übereinstimmt.
Was genau ist der Nutzen bzw. die Funkion der digitalen Signatur auf dem Kassenbeleg? Normalerweise zeigt eine Signatur, dass eine Email tatsächlich von dem Absender stammt, oder ein Server, zu dem man eine Verbindung aufbaut, tatsächlich der ist, der er vorgibt zu sein. Hier aber ist der Kunde selbst anwesend beim Verkäufer, sonst würde der Verkauf nicht über eine Kasse abgewickelt werden. Es kann also kein Nutzen für den Kunden sein, zumal dieser kein Zertifikat hat, gegen das er die Signatur prüfen könnte. Weiterhin könnte auf dem Beleg auch "Sicherheitseinrichtung ausgefallen" stehen, und dann gibt es sowieso keine Signatur. Die einzigen Belege, wo die Signatur vorgeschrieben ist, sind Startbeleg und Jahresbeleg, und beide sind nicht für den Kunden bestimmt. Auch bei einer Prüfung wird man kaum davon ausgehen, dass das Unternehmen Belege vorlegt, die es nicht selbst erstellt hat. Selbst wenn das Ziel ist, dass das Unternehmen sich gegenüber dem Finanzamt ausweist, ließe sich dies leicht dadurch erreichen, dass man den AES Key dafür nutzt, der bereits bei FinanzOnline hinterlegt ist. Zum Verschlüsseln des Umsatzzählers wurden sowieso schon 16 Bytes generiert, von denen maximal 8 verwendet wurden. Mit den restlichen Bytes könnte man zum Beispiel (einen Teil der) Steuernummer oder etwas ähnliches verschlüsseln, was das Vorliegen des AES Keys beweisen würde, und damit die Identität des Unternehmens. Beim Umsatzzähler wird darauf hingewiesen, dass der maschinenlesbare Code so kurz wie möglich sein soll und 5 Bytes ausreichen sollten. Wenn hier also schon empfohlen wird, 3 Bytes einzusparen (4 in BASE64), dann müssen die 64 Bytes für die Signatur eine wichtige Funktion haben, aber welche?
Die Regelung zu "Sicherheitseinrichtung ausgefallen" zeigen meiner Meinung nach zwei Punkte: Zum einen wird der Ausfall als wahrscheinlich genug betrachtet, dass es überhaupt wert ist, sich darüber Gedanken zu machen. Zum anderen ist die Signatur nicht wichtig genug, um deswegen die Kasse als nicht funktionsfähig zu deklarieren.
Angeblich darf zur Erstellung der Signatur nur eine externe Karte verwendet werden. Allerdings stammt diese Information von den Anbietern, die ein Interesse daran haben, diese Karten verkaufen. Ist dies korrekt? In der RKSV selbst steht unter § 3 Abkürzungen und Begriffsbestimmungen: Ziffer 23: Signaturerstellungseinheit: konfigurierte Software oder Hardware, ... Ziffer 24: Siegelerstellungseinheit: konfigurierte Software oder Hardware, ... Natürlich kann eine Signatur nicht ohne Hardware erstellt werden, aber hier steht nichts davon, dass es eine spezielle Hardware sein muss, vielmehr wird Software explizit erwähnt. Ziffer 12 definiert zwar HSM als Hardware-Sicherheitsmodul, im gesamten Text wird jedoch kein Bezug mehr darauf genommen.
Wie man auch am Mustercode sieht, gibt es keine Möglichkeit, dass die Sicherheitseinrichtung ausgefallen sein kann, wenn man das Zertifikat und den Key hat, um die Signatur zu berechnen. (Ausnahme ist, wenn zum Test ein Ausfall simuliert wird.) Ist es also zulässig, einen eigenen Key zu verwenden? Gibt es einen ZDA, der ein Zertifikat für einen eigenen Key ausstellt? Das Einfachste wäre, wenn man den öffentlichen Schlüssel direkt in FinanzOnline hinterlegen könnte, so wie man auch schon jetzt den AES Key hinterlegt. Der Aufwand beim Ausstellen von Zertifikaten ist nicht die Erstellung eines Schlüsselpaars, sondern den Inhaber zu identifizieren. Dies ist durch die Anmeldung bei FinanzOnline schon geschehen. Bei geschlossen Systemen ist es sowieso vorgesehen, den öffentlichen Schlüssel zu übergeben, warum nicht bei offenen Systemen?
Wenn es nur Zertifikate auf externen Karten gibt, mit der daraus folgenden Gefahr, dass diese Karte nicht ansprechbar ist, wie soll die Kasse darauf reagieren? Der Teil mit "Sicherheitseinrichtung ausgefallen" ist soweit klar. Auf der Karte ist jedoch auch das Zertifikat zum Key gespeichert, und aus diesem ergibt sich der ZDA und die Seriennummer des Zertifikats, und diese gehören immer auf den Beleg, auch wenn die Karte nicht ansprechbar ist. Was soll die Kasse also in die Felder ZDA und Seriennummer schreiben, wenn sie nicht auf das Zertifikat auf der Karte zugreifen kann?
In Erweiterung dazu, das Zertifikat enthält einen Key für EC256 gemäß Registrierkassenalgorithmus "R1". Es ist zumindest angedacht, dass es irgendwann einen Nachfolger geben könnte, falls "R1" als nicht mehr sicher genug gilt. Es ist auch davon auszugehen, dass es dann eine Übergangszeit geben wird, in der sowohl "R1" als auch der potentielle Nachfolger "R2" verwendet werden können. Auch dies hängt dann davon ab, was für ein Key auf der Karte ist, und folglich davon, dass die Karte ansprechbar ist.