Hallo zusammen,
nachdem ich nun auch die PGP-Verschlüsselung im Zuge eines EVN-Versands einrichten musste, dokumentiere ich die zusätzlichen Schritte, die für eine Aktivierung notwendig sind.
Wir setzen Outlook mit gpg4win (Version 4.0.3) ein. Wir haben gpg4win nach Anleitung installiert, allerdings mit folgenden Anpassungen:
- Beim Erzeugen des Schlüsselpaars muss statt der standardmäßig gewählten ECDSA-Verfahrens das RSA-Verfahren mit 2048 Bit Schlüssellänge gewählt werden. Dazu muss man beim Erstellen eines neuen Schlüsselpaars in der Maske, in der man seine E-Mail eingibt, auf Erweiterte Einstellungen klicken und RSA (+ RSA) auswählen und als Schlüssellänge 2.048 Bit auswählen. Andere Verschlüsselungsverfahren sorgen für die generische, nichtssagende Fehlermeldung beim Upload im Portal.
- Nach dem Export des öffentlichen Schlüssels und vor dem Upload im Portal muss - wie hier schon in der Antwort von @good_reception beschrieben - die Schlüsseldatei mit einem Texteditor geöffnet werden und die Version hinzugefügt werden.
- Vor dem Empfang der E-Mails muss auch MDC deaktiviert werden, ansonsten schlägt die Entschlüsselung der E-Mails fehl. Dazu muss man in dem Ordner %AppData%\gnupg eine Datei mit dem Namen gpg.conf anlegen, mit einem Texteditor öffnen und in die erste Zeile ignore-mdc-error eintragen. Danach speichern und schließen.
Insgesamt bin ich sehr verwundert, wie veraltet die eingesetzten Verfahren sind und wie schlecht gleichzeitig die Dokumentation ist. In der Dokumentation eine Installationsanleitung oder eine Empfehlung für gängige PGP-Software vorhanden. Der Link auf die Homepage des BSI ist zu generisch - man muss sich durch die Seiten suchen und Vorwissen haben, um hier die richtige Installationsanleitung zu bekommen.
Das ist wirklich störende ist allerdings, dass die Standardeinstellungen von gpg4win (das auch vom BSI für Windows empfohlen wird) mit dem RechnungOnline-Portal nicht funktionieren und es keine Hinweise auf eine Lösung gibt: Das Versions-Tag wird von Kleopatra nicht exportiert (und ist auch nicht nötig). RSA-2048 ist zwar noch in Ordnung, aber in manchen Programmen (wie z.B. Kleopatra bei gpg4win) nicht die Standardeinstellung. Zu beidem gibt es weder eine aussagekräftige Fehlermeldung noch einen Eintrag in der Dokumentation. Würde beides in der Dokumentation stehen, wäre das Problem deutlich einfacher lösbar.
Aus meiner Sicht ist das Verfahren für die Endanwender in der Konfiguration leider unzumutbar.
Viele Grüße,
Uli
