Signatur von Onlinerechnung prüfen

rethus · 24 Juni 2008

Ich habe hier einige Onlinerechnungen gesammelt... inkl. Signatur, mit der Sie verschickt wurden.
Gegengeprüft hab ich die eigentlich bisher nicht. Aber die Rechtsprechung sagt ja jetzt, das der Prüfbericht mit in die Buchhaltung muss.

Meine Frage:
Gibt es unter Linux die Möglichkeit, alle PDF-Rechnungen in einem Ordner mit den entsprechenden Signaturen (gleich benannt wie die Rechnung) zu prüfen, und einen Prüfbereicht ausdrucken zu lassen?

abgdf · 24 Juni 2008

Hallo,

hmm, was sind den das für Signaturen ? So welche, die mit einer Signaturkarte erstellt wurden ?
Würde mich auch interessieren, was dabei für Daten erzeugt werden und wie man die überprüft.

Hab schonmal nach entsprechenden Modulen für Perl unter

http://search.cpan.org/search?query=signature&mode=all

gesucht, aber es gibt offenbar viele Arten von Signaturen ...

Gruß

whois · 24 Juni 2008

Hi

Ein Thema das mich auch durchaus richtig Interessiert.
Nur eine Lösung habe ich bisher auch noch nicht gefunden.
Für Windows gibt es ja schon einige Lösungs Möglichkeiten.

cu

abgdf · 24 Juni 2008

Vielleicht macht Perl das mit einem von diesen Modulen:

http://search.cpan.org/~ajung/Crypt-X509-0.32/lib/Crypt/X509.pm
http://search.cpan.org/~leo/Convert-X509-0.1/X509.pod

Hier versucht einer sowas mit Python:
http://www.mail-archive.com/openssl-users@openssl.org/msg52849.html

Könntest Du die Signatur zum Testen vielleicht posten oder uploaden oder wäre das irgendwie ein Sicherheitsrisiko ?

Vielleicht geht auch irgendwie

Code:

gpg --verify sigfile

Das wäre natürlich noch einfacher.

Was soll bei so einer Überprüfung eigentlich als Ergebnis rauskommen ?

Gruß

whois · 26 Juni 2008

Danke für die Links da sind einige nette Sachen dabei.

rethus · 25 Aug. 2008

Und hast schon ne Lösung gefunden?

Die Signaturen nennen sich beispielsweise Rechnung_5176481.pdf.p7s
Das p7s ist die Signatur, die PDF-Datei heißt genau so, nur ohne .p7s.

Scheinbar gibt es einen Standard um zu verifizieren, weil es auch software für den Winoof-Download gibt (sigcheck.exe), die das erledigt.

Wenn ich versuche mit gpg die sache zu checken erhalte ich folgendes:

Code:

gpg --verify Rechnung_5180015.pdf.p7s Rechnung_5180015.pdf
gpg: no valid OpenPGP data found.
gpg: the signature could not be verified.
Please remember that the signature file (.sig or .asc)
should be the first file given on the command line.

rethus · 25 Aug. 2008

Irgendwelche Serverdienste muss es doch für die verifizierung geben.

Hier ist z.B. ein Anbieter: https://signmail.de/

rethus · 25 Aug. 2008

Damit Ihr meinen Spuren quer durchs internet folgen könnt:

Es scheint irgendwie mit Openssl zusammen zu hängen:

http://linux.die.net/man/1/pkcs7

Bin jetzt gerade hier, muss aber Dringend weg, deswegen konnte ich den Inhalt noch nicht checken, ließ0t sich aber vielversprechend
https://securehomes.esat.kuleuven.be/~decockd/wiki/bin/view.cgi/HowTos/SignatureVerification

rethus · 2 Dez. 2008

Also ich gebs auf. Ist ein total undurchsichtiger morast...
Keiner weiß wie man so etwas macht, aber auf jeder Webseite gibt es ne Signaturprüfung...
Scheint mir eins der bestgehütetsten Geheimnisse unseres Jahunderts zu werden :irre:

na-cx · 5 Dez. 2008

Evtl. hilft diese hier.
Stichwort OpenCA PKCS#7

nbkr · 5 Dez. 2008

Ich habe so eine Signaturkarte von der Sparkasse. Prinzipiell steckt da nichts anderes als OpenSSL bzw. X509 Zertifikate dahinter. Irgendwas scheint habe nicht ganz dem Standard zu entsprechen, so dass es nicht klappt das mit OpenSSL zu prüfen. Ich habe inzwischen einen Account bei www.signaturportal.de - da kann man Dateien auch mittels Soap-Schnittstelle signieren und verifizieren - allerdings kostet jeder Vorgang bis zu 24 Cent. Fürs Geschäft ist das aber ausreichend.

abgdf · 5 Dez. 2008

Ich habe so eine Signaturkarte von der Sparkasse.

Was kostet die denn ?

Gruß

nbkr · 5 Dez. 2008

Damals war das noch vergleichsweise günstig. Heute zahlt man zwischen 240 und 300 Euro. Siehe www.s-trust.de

abgdf · 6 Dez. 2008

Na, ganz ordentlich also

. Trotzdem, Dir vielen Dank !

Die Post scheint etwas günstiger zu sein:

http://www.deutschepost.de/dpag?tab=1&skin=hi&check=yes&lang=de_DE&xmlFile=link1015459_49577

Kann man hiermit vielleicht Signaturen prüfen:

https://oa.signtrust.de/webabfrage/dpcom/

:?

Viele Grüße

whois · 6 Dez. 2008

Naja wenn ich dem Hinweis glauben schenken darf, eher JEIN.

Wichtiger Hinweis: Es handelt sich bei dieser Abfrage um keine offizielle Auskunft des SigG-konformen Verzeichnisdienstes.

Wurde der Veröffentlichung eines Zertifikats durch den jeweiligen Inhaber nicht zugestimmt, so ist das
entsprechende Zertifikat nicht in den Verzeichnisdienst eingestellt worden und kann somit mit der Zerti-
fikatsabfrage nicht gesucht und angezeigt werden.

Signatur von Onlinerechnung prüfen

rethus

Advanced Hacker

abgdf

Guru

whois

Ultimate Guru

abgdf

Guru

whois

Ultimate Guru

rethus

Advanced Hacker

rethus

Advanced Hacker

rethus

Advanced Hacker

rethus

Advanced Hacker

na-cx

Hacker

nbkr

Guru

abgdf

Guru

nbkr

Guru

abgdf

Guru

whois

Ultimate Guru