OPENLiMiT SignCubes Viewer

Transcription

Elektronisches Handbuch
OPENLiMiT SignCubes
2.1.6.3
Copyright © OPENLiMiT SignCubes AG 2008
Diese Dokumentation ist geistiges Eigentum der OPENLiMiT SignCubes AG.
Sie darf ohne vorherige schriftliche Einwilligung der OPENLiMiT SignCubes AG nicht (auch
nicht in Auszügen) vervielfältigt oder veröffentlicht werden, unabhängig von der Art und
Weise oder mit welchen Mitteln, elektronisch oder mechanisch, dieses geschieht. Die in
dieser Dokumentation verwendeten Soft- oder Hardwarebezeichnungen sind genauso wie
Firmen- oder Markennamen in den meisten Fällen eingetragene Warenzeichen oder Marken
und Eigentum der jeweiligen Hersteller. Sie werden ohne Gewährleistung der freien
Verwendbarkeit benutzt. Wir richten uns im Wesentlichen nach den Schreibweisen der
Hersteller. Die Wiedergabe von Waren- und Handelsnamen etc. in dieser Dokumentation auch ohne besondere Kennzeichnung - berechtigt nicht zu der Annahme, dass solche
Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten
sind.
Alle in dieser Dokumentation enthaltenen Informationen wurden mit größter Sorgfalt
zusammengestellt. Dennoch können fehlerhafte Angaben nicht völlig ausgeschlossen
werden. Die OPENLiMiT SignCubes AG, die Autoren und die Übersetzer haften nicht für
eventuelle Fehler oder deren Folgen. In dieser Dokumentation werden insbesondere
Informationen über Signaturgesetze und entsprechende Verordnungen gegeben. Diese
Informationen sollen zum Verständnis beitragen und haben nicht den Anspruch auf
Vollständigkeit. Es obliegt jedem Nutzer selbst, sich über die gesetzlichen Grundlagen, auf
denen die beschriebene Technologie beruht, zu informieren und die entsprechenden
Maßnahmen zu ergreifen.
Diese Dokumentation bietet dem Erwerber eine Anleitung zu den OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3. In Einzelfällen kann es zu Abweichungen zwischen
den beschriebenen Abläufen, der Dokumentation und der tatsächlichen Anwendung
kommen. Die OPENLiMiT SignCubes AG übernimmt keine Haftung für etwaige
Abweichungen und deren Folgen.
Da die Software ständig weiter entwickelt wird, behält sich die OPENLiMiT SignCubes AG
Änderungen am Inhalt der Dokumentation ohne Ankündigung vor.
Das Handbuch beschreibt sowohl die Sicherheitsfunktionalität als auch die korrekte
Konfiguration und den richtigen Umgang mit den Produkten OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3. Die OPENLiMiT SignCubes Basiskomponenten 2.1,
Version 2.1.6.3 wurden einer Evaluierung nach Common Criteria v2.1 mit Prüfniveau EAL4+
unterzogen und haben eine Sicherheitsbestätigung durch das Bundesamt für Sicherheit in
der Informationstechnik (BSI) erhalten. Mehr Informationen zur Produktzertifizierung finden
Sie auf den Webseiten des BSI unter http://www.bsi.de und der Bundesnetzagentur für
Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) unter
http://www.bundesnetzagentur.de.
Dieses Handbuch gehört zum Lieferumfang des bestätigten Produktes.
Die Zertifizierungs-ID für das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1,
Version
2.1.6.3
lautet
BSI-DSZ-CC-0494.
Die
Sicherheitsvorgaben
und
die
Zertifizierungsreporte können in englischer Sprache von den Webseiten des Bundesamtes
für Sicherheit in der Informationstechnik bezogen werden.
Hinweise und Kommentare richten Sie bitte an [email protected].
OPENLiMiT SignCubes AG
Zugerstraße 76 B
CH - 6341 Baar
Switzerland
Web: www.openlimit.com
Inhalt
Einleitung
1
Typografische Konventionen..........................................................................................................2
Bevor Sie beginnen ........................................................................................................................3
Mindestanforderungen und Sicherheitsmaßnahmen .....................................................................5
Installation ......................................................................................................................................8
Freischalten der Lizenz ................................................................................................................12
Betriebssysteme...........................................................................................................................16
Kartenleser ...................................................................................................................................17
Chipkarten ....................................................................................................................................20
Produktbestandteile......................................................................................................................22
Grundlagen der elektronischen Signatur
23
Public Key Verfahren ...................................................................................................................25
Signaturerzeugung .......................................................................................................................26
Signaturverifikation.......................................................................................................................28
Rechtliche Aspekte der elektronischen Signatur .........................................................................31
Sicherheitskomponenten der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3
35
OPENLiMiT SignCubes Security Environment Manager .............................................................44
OPENLiMiT SignCubes Viewer....................................................................................................47
OPENLiMiT SignCubes Integrity Tool..........................................................................................50
Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3
53
Konfigurationsoptionen des OPENLiMiT SignCubes Security Environment Managers ..............55
Option: Lizenzeinstellungen und Lizenzupgrade ...............................................................56
Option: Allgemeine Einstellungen ......................................................................................57
Option: Verzeichnisse ........................................................................................................60
Option: PIN-Abfrage...........................................................................................................61
Option: Zertifikate...............................................................................................................64
Option: Algorithmen ...........................................................................................................66
Chipkarten Optionen ....................................................................................................................68
Eigenschaften ....................................................................................................................69
Zertifikate exportieren ........................................................................................................72
PIN ändern .........................................................................................................................74
Arbeiten mit den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3
76
Arbeiten mit dem OPENLiMiT SignCubes Security Environment Manager.................................77
Signaturverifikation.......................................................................................................................81
Arbeiten mit dem OPENLiMiT SignCubes Integrity Tool .............................................................90
Sperrlistenaktualisierung........................................................................................................... 100
Arbeiten mit dem OPENLiMiT SignCubes Viewer .................................................................... 105
Signaturerzeugung .................................................................................................................... 123
Attributzertifikate........................................................................................................................ 128
Zeitstempeldienste .................................................................................................................... 131
Arbeitsabläufe
134
Dateiformate.............................................................................................................................. 135
Signieren ................................................................................................................................... 138
Signatur prüfen.......................................................................................................................... 140
Zusammenfassung ......................................................................................................... 141
Details ............................................................................................................................. 142
Online Prüfung von Zertifikaten ...................................................................................... 143
Online Status................................................................................................................... 144
Erstellen Prüfprotokoll..................................................................................................... 147
Verschlüsselung ........................................................................................................................ 152
Daten verschlüsseln........................................................................................................ 153
Verschlüsselungszertifikat exportieren ........................................................................... 155
Zertifikate installieren ...................................................................................................... 156
Verzeichnisdienst............................................................................................................ 158
Entschlüsselung ........................................................................................................................ 160
Daten entschlüsseln........................................................................................................ 161
OPENLiMiT SignCubes Shell Extension
162
Die erste Signatur mit OPENLiMiT SignCubes......................................................................... 163
Shell Extension Menü ............................................................................................................... 164
Dateien und Icons im Explorer .................................................................................................. 165
Adobe Plugin
167
Adobe Plugin Grundeinstellungen............................................................................................. 168
PDF Dokument signieren................................................................................................ 171
Signatur im PDF prüfen .................................................................................................. 173
Der OPENLiMiT TIFF/PDF (PDF/A) Drucker
176
Eigenschaften des OPENLiMiT PDF Producer......................................................................... 180
Eigenschaften des OPENLiMiT TIFF Producers ...................................................................... 181
Eigenschaften des OPENLiMiT SignCubes Druckers (nur Windows NT) ................................ 182
Drucker Eigenschaften - Einstellungen........................................................................... 183
Drucker Eigenschaften - Dateiformate............................................................................ 185
Drucker Eigenschaften - Dateiname erstellen ................................................................ 188
Drucker Eigenschaften - Programm - Start..................................................................... 190
Drucker Eigenschaften - Wasserzeichen........................................................................ 192
Drucker Eigenschaften - Embed Annotation................................................................... 194
E-Mail Clients
196
Microsoft Outlook und Microsoft Outlook Express .................................................................... 197
Microsoft Outlook Einstellungen ..................................................................................... 198
Signieren und Verschlüsseln .......................................................................................... 203
Verschlüsselungszertifikate in Kontakt integrieren ......................................................... 204
Mozilla / Netscape Mail ............................................................................................................. 207
Mozilla / Netscape Mail Client Sicherheitseinstellungen ................................................ 208
Arbeiten mit Mozilla / Netscape Mail............................................................................... 220
Mozilla Thunderbird................................................................................................................... 224
Thunderbird Sicherheitseinstellungen ............................................................................ 225
Arbeiten mit Thunderbird ................................................................................................ 238
Lotus Notes ............................................................................................................................... 242
Lotus Notes 6.5.4 Sicherheitseinstellungen.................................................................... 243
Arbeiten mit Lotus Notes 6.5.4........................................................................................ 248
Lotus Notes 5 .................................................................................................................. 251
SSL Authentisierung
252
Internet Explorer........................................................................................................................ 254
Mozilla Firefox Browser Sicherheitseinstellungen..................................................................... 256
Mozilla Firefox SSL Authentisierung ......................................................................................... 259
Mozilla / Netscape Browser Sicherheitseinstellungen .............................................................. 261
Mozilla / Netscape SSL Authentisierung ................................................................................... 264
Erste Hilfe
266
Wie gehe ich mit Fehlermeldungen um? .................................................................................. 267
Fehlermeldungen vor oder während der Installation................................................................. 270
Fehlermeldungen OPENLiMiT SignCubes Security Environment Manager............................. 272
Fehlermeldungen des OPENLiMiT SignCubes Viewer............................................................. 300
Technischer Support ................................................................................................................. 320
Index
321
1
Einleitung
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 sind eine evaluierte und
bestätigte Signaturanwendungskomponente gemäß deutschem Signaturgesetz (SigG) und
der Signaturverordnung (SigV).
Die bestätigten Komponenten bestehen aus dem OPENLiMiT SignCubes Security
Environment Manager, dem OPENLiMiT SignCubes Viewer sowie dem OPENLiMiT
SignCubes Integrity Tool, die auch Gegenstand der vorliegenden Benutzerdokumentation
Version 2.1.6.3 sind.
Die
vorliegende
Dokumentation
Version
2.1.6.3
beschreibt
die
genannten
Produktbestandteile und gibt Hinweise zur korrekten und sicheren Konfiguration des
Produktes. Weiterhin werden alle Fehlermeldungen aufgelistet und Hinweise zum korrekten
Umgang mit Fehlermeldungen gegeben.
Bevor Sie anfangen, mit dem Produkt zu arbeiten, lesen Sie bitte die folgenden Kapitel der
Hilfe aufmerksam durch:
Bevor Sie beginnen
Mindestanforderungen und Sicherheitsmaßnahmen
Sicherheitskomponenten der OPENLiMiT SignCubes Basiskomponenten 2.1,
Version 2.1.6.3
Konfiguration der OPENLiMiT SignCubes Basiskomponenten (siehe "Konfiguration
der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3")
Eine Anleitung zum Umgang mit dem Produkt sowie der Nutzung einzelner Funktionen im
Detail, finden Sie im Kapitel Arbeiten mit den OPENLiMiT SignCubes Basiskomponenten
2.1, Version 2.1.6.3.
2
Typografische Konventionen
Diese Hilfe verwendet einige typografische Konventionen, die Ihnen die Arbeit mit dem
elektronischen Handbuch erleichtern.
Formatierung
Beschreibung
Fetter Text
Mit dieser Formatierung werden besonders
wichtige Passagen markiert.
kursiv
Mit
dieser
Formatierung
Menübefehle
und
werden
z.B.
Arbeitsabfolgen
gekennzeichnet.
Normaler Text
Dies ist die normale Textformatierung für
dieses Handbuch.
3
Bevor Sie beginnen
Die vorliegende Benutzerdokumentation Version 2.1.6.3 ist Bestandteil der erfolgten
Sicherheitsevaluierung und Sicherheitsbestätigung und bezieht sich ausschließlich auf die
OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3.
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 sind Bestandteil des
Produktes, das Sie auf CD-ROM oder Online von der OPENLiMiT SignCubes AG oder
einem ihrer Reseller erworben haben. Das vorliegende Handbuch Version 2.1.6.3 beschreibt
ausschließlich den korrekten Umgang mit den Basiskomponenten, für die weiteren
Produktbestandteile steht Ihnen eine separate Hilfe zur Verfügung.
Die
OPENLiMiT
SignCubes
Basiskomponenten
2.1,
Version
2.1.6.3
sind
eine
Sicherheitssoftware, die Ihnen die Erstellung und Verifikation elektronischer Signaturen
konform zum deutschen Signaturgesetz (SigG) und zur Signaturverordnung (SigV) bietet.
Für die sichere Benutzung der OPENLiMiT SignCubes Basiskomponenten 2.1, Version
2.1.6.3 benötigen Sie neben der Software eine Chipkarte und einen Kartenleser mit sicherer
PIN-Eingabe.
Dieses Handbuch Version 2.1.6.3 erläutert die Grundlagen zur elektronischen Signatur, die
Sicherheitskomponenten
und
Sicherheitsfunktionen
des
Produktes,
zur
korrekten
Konfiguration sowie den Umgang mit dem Produkt. In einem separaten Kapitel werden die
Fehlermeldungen und mögliche Ursachen für diese Fehlermeldungen aufgeführt. Dieses
Kapitel
enthält
Hinweise
und
Handlungsempfehlungen,
für
den
Fall,
dass
eine
Fehlermeldung von dem Produkt angezeigt wird.
Sie sollten die folgenden Kapitel lesen, um sicher zu stellen, dass Ihr Rechner die
Voraussetzung für den Einsatz des Produktes erfüllt:
Betriebssysteme
Chipkarten
Kartenleser
Produktbestandteile
Sie sollten vor der ersten Verwendung des Produktes das Kapitel Freischalten der Lizenz
lesen, um die richtige Freischaltung der Lizenz vorzunehmen. Wir empfehlen außerdem,
dass Sie vor der ersten Verwendung der OPENLiMiT SignCubes Basiskomponenten 2.1,
Version
2.1.6.3
das
Kapitel
Konfiguration
der
Basiskomponenten 2.1, Version 2.1.6.3 vollständig lesen.
OPENLiMiT
SignCubes
4
Hinweis:
Sofern
Ihr
Betriebssystem
Benutzerrechte
unterstützt,
benötigen
Sie
Administrationsrechte, um die OPENLiMiT SignCubes Basiskomponenten 2.1, Version
2.1.6.3 zu installieren.
Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt
nach der Installation und vor der ersten Anwendung des Produktes das OPENLiMiT
SignCubes Integrity Tool ausführen, um die Korrektheit der Installation zu verifizieren.
Weitere Informationen dazu finden Sie in dem Kapitel Arbeiten mit dem OPENLiMiT
SignCubes Integrity Tool.
5
Bitte stellen Sie sicher, dass Ihr Rechner und Ihre Einsatzumgebung den Anforderungen aus
den Kapiteln
Betriebssysteme
Chipkarten
Kartenleser
entsprechen.
Die folgenden Sicherheitsmaßnahmen müssen für den korrekten Einsatz des Produktes
eingehalten werden:
Benutzer sowie evtl. Administrations- und Wartungspersonal müssen den Anweisungen
der Benutzerdokumentation Folge leisten.
Wenn Sie das Produkt auf CD-ROM oder einem anderen Speichermedium bezogen
haben, müssen Sie dieses geschützt vor dem Zugriff durch unberechtigte dritte Personen
aufbewahren. Bevor Sie das Produkt installieren, stellen Sie bitte sicher, dass alle
Sicherheitsmerkmale (wie z.B. Siegel und Laminierungen) der Verpackung unbeschädigt
sind. Sollten Sie Zweifel an der Authentizität des Installationsmediums haben, wenden
Sie sich an den Lieferanten.
Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie
unbedingt nach der Installation und vor der ersten Anwendung das OPENLiMiT
SignCubes Integrity Tool ausführen, um die Korrektheit der Installation zu verifizieren.
Für den Einsatz der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 in
der Windows Terminal Umgebung ist der Server in einer zutrittsgeschützten
Einsatzumgebung
und
innerhalb
eines
verschließbaren
und
versiegelten
Elektroschrankes unterzubringen.
Sie müssen als Benutzer regelmäßig, wenigstens jedoch einmal im Monat, die Integrität
der Produktinstallation auf Ihrem Rechner prüfen. Verwenden Sie dazu die OnlineKomponente, die Ihnen über die Webseite https://www.openlimit.com/integritytool zu
diesem Zwecke zur Verfügung gestellt wird.
In der Windows Terminal Umgebung ist die Produktintegrität serverseitig sofort nach der
Installation und dann regelmäßig, mindestens jedoch einmal im Monat, durch die
Administratoren zuverlässig im Vier-Augen-Prinzip zu kontrollieren.
6
Verwenden Sie stets einen Virenscanner und stellen Sie sicher, dass die aktuellen
Virendefinitionen des Herstellers installiert sind. Wenn der Virenscanner keine BackdoorProgramme erkennen kann, sollten Sie ein entsprechendes zusätzliches Programm
installieren.
Für den Fall, dass Sie über einen Internet-Anschluss verfügen, müssen Sie eine Firewall
einsetzen, um das Betriebssystem Ihres Computers vor Angriffen aus dem Internet zu
schützen.
Stellen Sie sicher, dass Sie über die volle Kontrolle über eingelegte Speichermedien und
Netzwerkfreigaben verfügen. Konfigurieren Sie Ihren Rechner niemals so, dass auf den
Installationspfad des Produktes über Netzwerkfreigaben durch Dritte zugegriffen werden
kann.
Der Zugriff und die Verwendung des Produktes durch den Anwender muss durch die
Konfiguration des Rechners ermöglicht werden. Das bedeutet, dass der Rechner so
konfiguriert sein muss, dass der Anwender durch den Computer-Administrator die Rechte
eingeräumt bekommt, die er zur Benutzung des Produktes benötigt.
Hinweis: Für den Einsatz der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3
auf Windows Terminalserver 2003 hat die Remoteverbindung zwischen dem Terminalserver
und dem bzw. den Terminalclients grundsätzlich verschlüsselt mit 128 Bit zu erfolgen.
Bei Windows Terminal Server 2003 in Verbindung mit den Betriebsystemen Windows XP
und Windows Vista clientseitig ist die Verschlüsselung mit 128 Bit bereits Standard für die
Verbindung und unbedingt zu verwenden.
Wenn Sie diese Regeln nicht einhalten, verlassen Sie die Umgebung, für die das Produkt
zertifiziert und bestätigt ist. Die folgenden Anforderungen kann das Produkt nicht leisten:
Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrtheit
und der Geheimhaltung der privaten Schlüssel obliegt der Chipkarte.
Sicherstellung der korrekten Uhrzeit auf dem Rechner des Anwenders. Das Produkt
OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 kann keine Aussagen
über die Plausibilität der eingestellten Uhrzeit auf dem Rechner des Anwenders treffen.
Sicherstellung
der
Integrität
des
Betriebssystems.
Das
Produkt
enthält
keine
Mechanismen, um die Integrität seiner Umgebung zu prüfen. Sie müssen geeignete
Vorkehrungen treffen, um eine Kompromittierung des Betriebssystems zu vermeiden.
7
Sicherheit der kryptografischen Operationen. Das Produkt verwendet Bibliotheken zur
Erzeugung und Verifikation elektronischer Signaturen über das RSA Public Key
Verfahren. Zur Signaturerzeugung ist der Einsatz einer Chipkarte unabdingbar. Das
Produkt kann die Stärke der kryptografischen Mechanismen nicht garantieren und keine
Aussagen über die Stärke der kryptografischen Funktionen treffen.
Die Leistungsmerkmale des Produktes sind auf diejenigen Funktionen beschränkt, die in
diesem Handbuch Version 2.1.6.3 wiedergegeben werden. Als Anwender des Produktes
sind Sie verpflichtet, die technischen und organisatorischen Maßnahmen einzuhalten, die
von der vorliegenden Benutzerdokumentation Version 2.1.6.3 vorgegeben werden.
8
Installation
Um mit den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 arbeiten zu
können, benötigen Sie eine Chipkarte mit einem Zertifikat für die qualifizierte elektronische
Signatur gemäß deutschem Signaturgesetz und einen Kartenleser. Die für die OPENLiMiT
SignCubes Basiskomponenten 2.1, Version 2.1.6.3 zulässigen Chipkarten sind in dem
Kapitel Chipkarten aufgelistet.
Die zulässigen Kartenleser sind in dem Kapitel Kartenleser aufgeführt.
Stellen Sie sicher, dass Sie eine entsprechende Chipkarte zur Verfügung haben und der
Kartenleser ordnungsgemäß installiert ist, bevor Sie anfangen, mit der Software zu arbeiten.
Hinweis: Um einen Lizenzschlüssel mit dem Lizenz-Wizard zu aktivieren, benötigen Sie eine
Produktkonfiguration, mit der die Verwendung eines unterstützten Chipkartenterminals und
einer unterstützten Signaturkarte möglich ist. Verwenden Sie das OPENLiMiT SignCubes
Integrity Tool, um die installierten Module anzuzeigen.
Bevor Sie das Produkt installieren, lesen Sie den Abschnitt Mindestanforderungen und
Sicherheitsmaßnahmen und Betriebssysteme gründlich, um zu gewährleisten, dass Ihr
System einem der angegebenen Betriebssysteme entspricht.
Sie können das Produkt wahlweise per Download über einen Web-Shop oder auf einem
Installationsmedium, wie z.B. einer CD-ROM, bezogen haben. Der im Folgenden dargestellte
Ablauf ist für beide Varianten identisch. Das Installationsprogramm kopiert die OPENLiMiT
SignCubes Basiskomponenten 2.1, Version 2.1.6.3 auf Ihren Rechner. Stellen Sie bitte nach
der Installation sicher, dass das korrekte Produkt installiert wurde, in dem Sie das
OPENLiMiT SignCubes Integrity Tool ausführen. Mehr Informationen dazu finden Sie im
Kapitel Arbeiten mit dem OPENLiMiT SignCubes Integrity Tool.
Falls Sie das Setup auf einer CD-ROM erhalten haben und diese in das Laufwerk einlegen,
wird bei aktiviertem Autostart das Setup automatisch gestartet. Wenn Sie das Setup über
einen Download bezogen haben, müssen Sie das Programm 'setup.exe' ausführen. Sie
sehen dann das Fenster zur Sprachauswahl. Die OPENLiMiT SignCubes Basiskomponenten
2.1, Version 2.1.6.3 werden in deutscher und englischer Sprache ausgeliefert:
Wenn Sie jetzt auf OK klicken, überprüft das Setup Programm die Installationsumgebung
unter folgenden Gesichtspunkten:
Entspricht das Betriebsystem den aufgeführten Mindestanforderungen?
9
Sind die Mindestanforderungen an den Internet Explorer erfüllt?
Verfügt der Benutzer über Administrationsrechte?
Ist der schreibende Zugriff auf die Registry möglich?
Wenn diese Voraussetzungen nicht erfüllt sind, wird eine Fehlermeldung angezeigt und das
Setup Programm beendet. Wenn die Prüfung erfolgreich verlaufen ist, startet der
Installationsvorgang.
In dem folgenden Fenster haben Sie die Möglichkeit, den Zielordner für die Programmdaten
zu ändern.
Wenn Sie jetzt auf Weiter klicken, wird eine Seite angezeigt, auf der Sie die
Lizenzvereinbarungen akzeptieren müssen.
10
Nachdem Sie die Lizenzvereinbarungen akzeptiert haben, beginnt der eigentliche
Installationsvorgang.
Nach Bestätigung des Befehls Fertigstellen wird der OPENLiMiT SignCubes Security
Environment Manager automatisch gestartet und das Modul zum Freischalten der Lizenz
geöffnet.
Hinweis zur Installation für Windows Terminalserver: Zur Arbeit mit den OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 über Windows Terminal Server 2000 mit Citrix
Frame oder 2003 mit oder ohne Citrix Frame müssen die OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 als Terminaldienste im Anwendungsmodus (nicht im
Remoteverwaltungsmodus)
installiert
werden.
Es
ist
ausreichend,
die
OPENLiMiT
SignCubes Basiskomponenten 2.1, Version 2.1.6.3 serverseitig zu installieren.
Bei der Installation der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 in der
Windows Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame
Umgebung ist eine zuverlässige Administration des Servers durch das Vier-Augen-Prinzip zu
gewährleisten.
Die Kartenlesertreiber müssen in identischer Version sowohl auf dem Windows Terminal
Server als auch auf dem bzw. den Clientrechnern installiert sein.
11
Darüber hinaus gibt es für die Installation der OPENLiMiT SignCubes Basiskomponenten
2.1, Version 2.1.6.3 in der Windows Terminal Server 2000 mit Citrix Frame oder 2003 mit
oder ohne Citrix Frame Umgebung eine zusätzliche Dokumentation. Diese wird gesondert
durch die OPENLiMiT SignCubes AG zur Verfügung gestellt.
Hinweis zur sicheren Konfiguration: Bei der Installation der OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 wird automatisch eine sichere Konfiguration des
Produktes eingestellt. Sie sollten Änderungen in den Konfigurationseinstellungen mit Hilfe
der in diesem Handbuch Version 2.1.6.3 beschriebenen Konfigurationsoptionen für die
OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 erst dann vornehmen, wenn
Sie im Umgang mit den Funktionalitäten vertraut sind. Grundsätzlich sollte das Produkt
immer
mit
den
empfohlenen
Einstellungen
betrieben
werden.
Über
den
Button
Ausgangskonfiguration haben Sie die Möglichkeit, die bei der Installation eingerichteten
Optionen wieder herzustellen.
12
Freischalten der Lizenz
Wenn
Sie
das
Produkt
zum
ersten
Mal
starten,
werden
Sie
aufgefordert,
Lizenzierungsinformationen einzugeben. Sie haben die Lizenzinformationen entweder direkt
von der OPENLiMiT SignCubes AG oder einem ihrer Reseller erhalten. Wenn der
Lizenzmanager gestartet wird, sehen Sie den folgenden Dialog. Lesen Sie die Informationen
gründlich und vergewissern Sie sich, dass Sie die Informationen verstanden haben.
Klicken Sie so lange auf Weiter, bis Sie aufgefordert werden, den Lizenzcode einzugeben.
13
Geben Sie den Lizenzcode ein oder klicken Sie auf den Button Reader.
14
Nachdem Sie den Lizenzcode eingegeben haben, werden Sie aufgefordert, eine Signatur zu
erzeugen. Sie können die Daten im OPENLiMiT SignCubes Viewer betrachten, um sich zu
vergewissern, dass keine persönlichen oder vertraulichen Daten in den Lizenzinformationen
enthalten sind.
Nach Abschluss der Lizenzfreischaltung steht die Lizenz allen Anwendern des Computers
zur Verfügung.
15
Wenn Sie später eine andere Lizenz erwerben, können Sie ein Upgrade der Lizenz
vornehmen. Gehen Sie dazu auf den Menüpunkt Eigenschaften des OPENLiMiT SignCubes
Security Environment Managers und wählen Sie das Register Lizenz aus. Klicken Sie auf
Lizenz-Upgrade, um eine Änderung der Lizenzinformationen vorzunehmen.
Hinweis: Beachten Sie unbedingt, dass eine Weitergabe der Lizenzinformationen an Dritte
nicht erlaubt ist und strafrechtlich durch die OPENLiMiT SignCubes AG verfolgt wird. Die zur
Verfügung stehende Funktionalität des Produktes Version 2.1.6.3 hängt von dem Lizenzcode
ab, den Sie erhalten haben. Sie können sich auf der Eigenschaftsseite des Produktes
anzeigen lassen, welche Funktionen Sie lizenziert haben. Der grüne Haken bedeutet dabei,
dass die Funktion zur Verfügung steht. Nicht verfügbare Funktionalität wird auch nicht
angezeigt.
Für die Freischaltung der Lizenz ist keine Online-Aktivierung des Produktes notwendig. Sie
schützen die Lizenz jedoch durch die Erzeugung einer Signatur vor dem Missbrauch durch
unberechtigte Dritte. Durch die Unterzeichnung der Lizenz mit Ihrem Signaturzertifikat
beweisen Sie, dass Sie die Lizenz erworben haben und können dies auch in der Anzeige der
Lizenzinformationen überprüfen. Mehr Informationen finden Sie im Kapitel Option:
Lizenzeinstellungen und Lizenzupgrade.
16
Betriebssysteme
Für die Arbeit mit dem Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version
2.1.6.3 benötigen Sie einen Intel 586 kompatiblen Prozessor, mindestens 90 MB freien
Festplattenplatz und mindestens 64 MB RAM. Auf dem Rechner muss mindestens der
Internet Explorer ab Version 5.01 installiert sein. Wenn Sie nicht über diese Mindestversion
des Internet Explorers verfügen, laden Sie sich bitte die neueste Version des Internet
Explorers von der Webseite der Firma Microsoft herunter. Darüber hinaus muss die Java
Virtual Machine (JVM) ab Version 1.4.2.08 mit dem zugehörigen JRE (Java Runtime
Environment) auf dem Computer installiert sein. Wenn Sie nicht über die Java Virtual
Machine verfügen, können Sie diese unter http://java.sun.com herunterladen.
Die folgenden Betriebssysteme werden von diesem Produkt unterstützt:
Windows NT 4.0 ab Service Pack 6.0
Windows 2000 ab Service Pack 2.0
Windows 2003
Windows XP
Windows XP 64 Bit Edition
Windows XP Tablet PC Edition
Windows Vista 32 Bit und 64 Bit
Windows 2000 Terminal Server mit Citrix Meta-Frame
Windows 2003 Terminal Server mit und ohne Citrix Meta-Frame
Abhängig vom Zustand Ihres Betriebssystems nimmt das Setup Programm Aktualisierungen
des Betriebssystems vor. Dafür kann ein mehrmaliger Neustart des Rechners notwendig
sein, was nicht auf die Installation der Software OPENLiMiT Basiskomponenten 2.1, Version
2.1.6.3 sondern auf die notwendigen Betriebssystemupdates zurückzuführen ist.
Das Setup für die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 nimmt
ggf. notwendige Updates des Betriebssystems vor. Diese Updates stellen sicher, dass die
Shell32.dll in der Mindestversion 4.0 sowie die Microsoft SmartCard Base Components in
der Minimalversion 1.0 vorhanden sind.
Hinweis: Um den Rechner optimal vor Sicherheitslücken zu schützen und die korrekte Arbeit
des Produktes zu gewährleisten, sollten stets die aktuellen Sicherheits-Updates installiert
werden. Schützen Sie Ihren Rechner durch einen aktuellen Virenscanner und, sofern Sie
über eine Internetanbindung verfügen, mit einer Firewall.
17
Kartenleser
Der
Einsatz
der
folgenden
Kartenleser
wird
durch
die
OPENLiMiT
SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 unterstützt:
Cherry Smartboard G83-6700 LQ
Cherry Smartboard G83-6744 LU
Kobil Systems B1 Pro USB
Cherry ST-2000
Kobil KAAN Advanced
SCM Microsystems SPRx32/ChipDrive PinPad
Reiner SCT cyberJack e-com v2.0
Reiner SCT cyberJack pinpad v2.0
Omnikey Cardman 3621
Fujitsu Siemens S26381-K329-V2xx HOS:01
Unter dem Betriebssystem Windows Vista werden die folgenden Kartenleser unterstützt:
Cherry Smartboard G83-6744 LU
Cherry ST-2000
SCM Microsystems SPRx32/ChipDrive PinPad (Firmware version 5.10)
Kobil Systems B1 Pro USB
Kobil KAAN Advanced
18
Für die Erzeugung gesetzeskonformer (qualifizierter) Signaturen dürfen nur diejenigen SigGkonformen Kartenleser eingesetzt werden, die in diesem Handbuch Version 2.1.6.3
angegeben werden. Zum Zeitpunkt der Bestätigung des Produktes waren die aufgelisteten
Kartenleser nach dem deutschen Signaturgesetz bestätigt und dürfen zur Erzeugung
qualifizierter elektronischer Signaturen eingesetzt werden:
Hinweis: Das Produkt unterstützt die Verwendung von Kartenlesern, die keine sichere PINEingabe erlauben. Wenn Sie einen solchen Kartenleser verwenden, bewegen Sie sich
außerhalb der bestätigten Konfiguration. Für die SigG-konforme Konfiguration der
OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 ist nur die Verwendung der
aufgeführten, bestätigten Kartenleser zulässig.
Hinweis: Die folgenden Kartenleser sind auf Grund von Abweichungen in der Kompatibilität
mit den genannten Signaturkarten nicht für die Erzeugung qualifizierter Signaturen
verwendbar.
Cherry Smartboard G83-6700 LQ:
SECCOS-Karten:
ZKA Banking signature card, v6.2b NP und 6.2f NP, Type 3 von Giesecke & Devrient
ZKA Banking signature card v6.31 NP, Type 3 von Giesecke & Devrient
ZKA Banking signature card v6.32, Type 3 von Giesecke & Devrient
ZKA Banking Signature Card, Version 6.4 von Giesecke & Devrient
ZKA Banking Signature Card, Version 6.51 von Giesecke & Devrient
ZKA Banking Signature Card, v6.6 von Giesecke & Devrient
ZKA signature card, version 5.10 von Gemplus-mids GmbH
ZKA signature card, version 5.11 M from Gemplus-mids GmbH (Gemalto)
ZKA SECCOS Sig v1.5.3 von Sagem Orga GmbH
STARCOS 3.0 with Electronic Signature Application v3.0 from Giesecke & Devrient
Kobil B1 Professional
Siemens CardOS M4.3 B
CardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AG
Kobil KAAN Advanced
TCOS 3.0 Signature Card, Version 1.1
Weitere Informationen bezüglich Inkompatibilitäten bei Kartenlesern und Karten entnehmen
Sie bitte der Bestätigungsurkunde.
19
Hinweis: Für die Arbeit mit den Terminal Servern Windows 2000 mit Citrix Meta-Frame und
Windows 2003 mit und ohne Citrix Meta-Frame müssen die Kartenlesertreiber in identischer
Version sowohl auf dem Windows Terminal Server als auch auf dem bzw. den
Clientrechnern installiert sein.
20
Chipkarten
Das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 ist für den
Einsatz folgender Chipkarten vorgesehen:
ZKA Banking signature card, v6.2 NP, v6.2b NP und 6.2f NP, Type 3 von Giesecke &
Devrient
ZKA Banking signature card, v6.31 NP, Type 3 von Giesecke & Devrient
ZKA Banking signature card, v6.32, Type 3 von Giesecke & Devrient
ZKA signature card, ZKA 680 V5A, Version 5.10 von Gemplus-mids GmbH
ZKA signature card, ZKA 680 V5A, Version 5.11 von Gemplus-mids GmbH
ZKA Signatur Karte, Version 5.02 der Gemplus-mids GmbH
SecV1.5.3 from SAGEM ORGA GmbH
STARCOS 3.0 with Electronic Signature Application v3.0 von Giesecke & Devrient
(dgnserviceCard)
(Signaturkarte DATEV eG)
(Deutsche Post Com GmbH)
(Signtrust MCard Deutsche Post Com GmbH)
CardOS V4.3B Re_Cert with Application for Digital Signature von Siemens AG (BA
PKCS#15 User Card)
CardOS V4.3B Re_Cert with Application for Digital Signature von Siemens AG (DTRUST card 2.0 2c)
CardOS V4.3B Re_Cert with Application for Digital Signature von Siemens AG (DTRUST card 2.0 multicard)
Siemens CardOS M4.3 B
CardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AG in
conjunction with the Siemens Card-API
21
ZKA signature card, version 5.11 M von Gemplus GmbH (Gemalto)
CardOS V4.3B Re_Cert with Application for Digital Signature von Siemens AG (DTRUST card 2.2 2ca)
TCOS 3.0 Signature Card, Version 1.1 (NetKey 3.0)
TCOS 3.0 Signature Card, Version 1.1 (NetKey 3.0M)
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 unterstützen auch
PKCS#15 kompatible Karten, die nicht in dieser Liste aufgeführt sind. Die vorliegende
Sicherheitsbestätigung erstreckt sich nicht auf die Verwendung dieser Karten! OPENLiMiT
übernimmt keine Garantie, dass jede PKCS#15 kompatible Karte mit dem Produkt
zusammen arbeitet. Die Verwendung von Chipkarten, die nicht in diesem Handbuch
aufgeführt sind, liegt außerhalb der Bestätigung und ist daher nicht für die Erzeugung
qualifizierter Signaturen geeignet.
Die aufgelisteten Karten beziehen sich auf bestätigte Signaturkarten, die auf der Webseite
der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
(Bundesnetzagentur) veröffentlicht wurden.
Hinweis: Wenn Sie eine Signaturkarte verwenden, die die Erzeugung mehrerer Signaturen in
einem Durchgang erlaubt, müssen Sie die speziellen Sicherheitsauflagen, welche für diesen
Betriebsmodus verlang werden, einhalten. Diese Sicherheitsauflagen finden Sie in den
Bestätigungsurkunden für diese Karten unter www.bundesnetzagentur.de.
22
Produktbestandteile
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 beinhalten die folgenden
Bestandteile:
OPENLiMiT SignCubes Security Environment Manager als zentralen Bestandteil zur
Verwaltung verfügbarer Signaturkarten, Kartenleser und zur Konfiguration des Produktes.
Mehr
Informationen
finden
sie
im
Kapitel
OPENLiMiT
SignCubes
Security
Environment Manager.
OPENLiMiT SignCubes Viewer. Mehr Informationen finden Sie im Kapitel OPENLiMiT
SignCubes Viewer.
OPENLiMiT SignCubes Integrity Tool (Online). Mehr Informationen finden Sie im Kapitel
OPENLiMiT SignCubes Integrity Tool.
die vorliegende Benutzerdokumentation Version 2.1.6.3.
Im Kapitel Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.1, Version
2.1.6.3 finden Sie Erläuterungen zur richtigen Konfiguration des Produktes. Die richtige
Bedienung
wird
Ihnen
im
Kapitel
Arbeiten
mit
den
OPENLiMiT
SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 erklärt. Der Umgang mit Fehlermeldungen wird
Ihnen im Kapitel Erste Hilfe ausführlich erläutert.
23
Grundlagen der elektronischen Signatur
Elektronische Daten können leicht manipuliert werden. Ob im Internet oder direkt auf dem
Computer - Veränderungen von Daten können bislang kaum ausgeschlossen werden.
Aus einem Dokument können Passagen einfach gestrichen oder eingefügt werden. Der
Urheber eines Dokuments ist nicht festzustellen. Genauso können Daten, die per E-Mail
verschickt werden oder auf der Festplatte gespeichert sind, durch Hacker oder Trojaner
ausgelesen werden. Zudem hat das Internet einen großen Nachteil: Niemand weiß, mit wem
er es auf der anderen Seite zu tun hat.
Deshalb war es auch lange Zeit undenkbar, dass elektronische Daten, die noch dazu im
Internet verschickt werden, wo man den Kommunikationspartner nicht sehen kann, mit etwas
ähnlichem wie einer Unterschrift versehen werden können.
Durch die elektronische Signatur können zwei Probleme behoben werden:
Eine unbemerkte Datenmanipulation ist nicht mehr möglich.
Der Unterzeichner kann eindeutig identifiziert werden.
Die Signatur macht jegliche absichtliche oder unabsichtliche Manipulation sofort ersichtlich.
Über die Zertifikatsprüfung kann bewiesen werden, dass die Signatur nicht gefälscht wurde,
der Zertifikatsinhaber also echt ist. Dabei werden keine persönlichen Daten des Inhabers
preisgegeben - lediglich der Name.
In diesem Abschnitt werden Ihnen die Grundlagen zur elektronischen Signatur auf Basis des
RSA Verfahrens dargestellt. Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version
2.1.6.3 unterstützen die Erzeugung und Verifikation elektronischer Signaturen auf Basis
einer Chipkarte und eines Kartenterminals. Die Hashwertberechnung für die qualifizierte
elektronische Signatur wird nach den Verfahren SHA-256, SHA-384, SHA-512 und RIPE-MD
160 vorgenommen, welche als anerkannte Verfahren für die Berechnung kryptografischer
Prüfsummen durch die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post
und Eisenbahnen (Bundesnetzagentur) ausgewiesen sind. Das RSA Verfahren ist ein
asymmetrisches Verfahren, welches die Einbettung des Produktes in eine PKI (Public Key
Infrastruktur) ermöglicht.
24
Häufig wird im Zusammenhang mit der elektronischen Signatur auch von der elektronischen
Unterschrift
gesprochen.
elektronischen
Signatur,
Das
deutsche
insbesondere
Signaturgesetz
der
erläutert
fortgeschrittenen
und
den
Begriff
der
der
qualifizierten
elektronischen Signatur. In diesem Handbuch werden Sie häufig die Begriffe der Signatur
und der elektronischen Unterschrift lesen - beide Begriffe sind richtig und bedeuten inhaltlich
das Gleiche.
Die rechtlichen Aspekte zur elektronischen Signatur sind ausführlich im Abschnitt Rechtliche
Aspekte der elektronischen Signatur erläutert.
25
Public Key Verfahren
Die Signatur und die Verschlüsselung, die mit einer Signaturkarte und dieser Software
durchgeführt werden, basieren auf einer Public Key Infrastruktur (PKI). Sowohl bei der
Signatur als auch bei der Datenverschlüsselung kommt eine asymmetrische
Verschlüsselung zum Einsatz. Asymmetrisch bedeutet: Es werden immer zwei
verschiedene Schlüssel verwendet, der private Schlüssel (private key) und der öffentliche
Schlüssel (public key), die sich gegenseitig ergänzen. Daten, die mit dem einen Schlüssel
"zugeschlossen" wurden, können nur mit dem anderen wieder "aufgeschlossen" werden.
Der private Schlüssel befindet sich bei Chipkarten auf dem Chip der Karte und lässt sich
nicht auslesen. Die zu verarbeitenden Daten werden auf den Chip geladen, dort ver- oder
entschlüsselt und wieder in den Computer übertragen. Um den privaten Schlüssel zu
benutzen, wird die richtige PIN benötigt, die zusätzliche Sicherheit gewährleistet. Der
öffentliche Schlüssel ist in ein Zertifikat integriert und steht jedermann in
Verzeichnisdiensten im Internet zur Verfügung oder kann per E-Mail versendet werden. Um
sicher zu gehen, dass dieses Zertifikat und somit der Schlüssel nicht gefälscht wurde, lässt
sich die Signatur des Herausgebers prüfen.
Beim Signieren wird der private Schlüssel auf der Karte verwendet. Somit ist zweifelsfrei
belegt: die Signatur kann nur vom Karteninhaber sein - nur er hat die Karte und die PIN.
Beim Prüfen der Signatur wird der öffentliche Schlüssel verwendet, denn jeder soll eine
Signatur prüfen können. Die Verschlüsselung verwendet die beiden Schlüssel in
umgekehrter Reihenfolge. Hier kommt der öffentliche Schlüssel des Empfängers zum
Einsatz, so dass nur dieser die Daten mit seinem privaten Schlüssel wieder entschlüsseln
kann.
Da der Chip einer Chipkarte für die Verarbeitung großer Datenmengen sehr lange benötigen
würde, wird bei der Verschlüsselung ein automatisch generierter Zufallsschlüssel verarbeitet.
Bei der Signatur wird ein Hashwert verschlüsselt, der einem Dokument eindeutig zugeordnet
werden kann.
26
Signaturerzeugung
Die Signatur hat verschiedene Zwecke: Einerseits wird eine qualifizierte Signatur verwendet,
um Briefe, Verträge etc. zu unterzeichnen. Andererseits gibt es auch fortgeschrittene
Signaturen, die meistens dazu verwendet werden, Daten zu sichern, die man nicht
unterschreiben möchte. Beispielsweise können auch Bild- oder Ton-Dateien signiert werden.
Die Signatur schützt zwar nicht vor Veränderungen, macht diese aber eindeutig erkennbar.
Ist eine Signatur intakt, bedeutet das, dass die Daten nicht geändert wurden.
Beim Signieren einer Datei wird ein Hashwert gebildet, der mit einem Fingerabdruck
vergleichbar ist. Zwei Dokumente können nie denselben Hashwert haben, es sei denn, sie
sind identisch.
Dieser Hashwert wird nach dem RSA Verfahren unter Verwendung eines Schlüssels mit
einer Länge von mindestens 1024 Bit (abhängig von der verwendeten Karte) verschlüsselt.
Die Verschlüsselung des Hashwerts findet auf dem Chip der Karte statt. Dieser kleine
Prozessor kann kleinere Datenmengen verarbeiten. Solch ein Vorgehen ist deshalb wichtig,
weil der private Schlüssel die Karte so nie verlässt. Denn jegliche Daten, die in einem
Computer sind, sind auch potentiell unsicher. Der Schlüssel bekommt also lediglich den
Befehl, eine kleine Menge an Daten zu verschlüsseln. Die verschlüsselten Daten werden
anschließend wieder in den Computer zurückgeschickt. Vorher muss der private Schlüssel
durch die richtige PIN (Personal Identification Number) freigegeben werden, d.h., die Karte
wird geöffnet.
27
Hier ist der empfindlichste Punkt der gesamten Signatur. Nicht die Technik ist es, die den
größten Unsicherheitsfaktor darstellt, sondern der Mensch. Folgende Punkte sollten Sie
unbedingt beachten:
•
Schreiben Sie die PIN niemals auf die Karte, den Kartenleser oder in die Nähe Ihres
Computers.
•
Lassen Sie sich nicht bei der PIN-Eingabe zusehen.
•
Achten Sie darauf, dass auch aus der Ferne (Fenster gegenüber etc.) niemand Einblick
auf Ihre Tastatur oder den Kartenleser hat.
•
Geben Sie die PIN in keinem Fall an eine andere Person weiter.
•
Benutzen Sie nach Möglichkeit (vor allem, wenn Sie wichtige Verträge o.ä. signieren)
einen Kartenleser mit sicherer PIN-Eingabe.
•
Nach dreimaliger falscher PIN-Eingabe ist der private Schlüssel unbrauchbar.
•
Lassen Sie Ihre Karte nie liegen, wenn Sie den Raum verlassen oder Ihre
Aufmerksamkeit abgelenkt ist.
Diese hier kompliziert erscheinenden Vorgänge erledigt die Software natürlich automatisch.
Der Nutzer muss nur auf Signieren klicken, die PIN eingeben und hat sofort eine signierte
Datei. Diese besteht aus verschlüsseltem Hashwert, Originaldatei und öffentlichem
Schlüssel.
Grundsätzlich benötigen Sie für eine qualifizierte Signatur ein qualifiziertes Zertifikat. Die
Signaturerzeugung als technischer Prozess sollte immer auf einer sicheren
Signaturerzeugungseinheit, bestehend aus Kartenterminal, möglichst mit sicherer PINEingabe, und einer Chipkarte vorgenommen werden. Weiterhin benötigen Sie eine Software,
die Ihnen ein vertrauenswürdiges Umfeld für die Erzeugung einer elektronischen Signatur
bietet. Grundsätzlich sollten Sie bei der Erzeugung einer qualifizierten elektronischen
Signatur immer auf eine vorherige Visualisierung der Inhalte bestehen.
28
Signaturverifikation
Folgende Punkte sind bei der Prüfung wichtig:
•
Ist das Dokument wirklich unverändert? Integrität der Daten.
•
Ist der Signaturinhaber echt? Wurde sein Zertifikat nicht inzwischen gefälscht?
Authentizität des Inhabers.
•
Ist das Zertifikat nicht gesperrt? Zertifikatsstatus.
1. Die Integrität des Dokuments lässt sich über den Hashwert beweisen:
Das Dokument wird erneut gehasht. Der alte Hashwert wird entschlüsselt und mit dem
neuen verglichen: Sind beide Hashwerte identisch, ist bewiesen, dass das Dokument nicht
verändert wurde. Das erledigt die Software bei jeder Prüfung automatisch und in Echtzeit,
d.h., die Software prüft den Hashwert ständig - nicht nur einmal. So werden auch
Manipulationen am geöffneten Dokument sichtbar. Um den alten Hashwert zu entschlüsseln,
benötigt der Prüfer den öffentlichen Schlüssel des Unterzeichners, denn die Signatur wurde
ja mit der Karte, also mit dem privaten Schlüssel erstellt.
Dieser öffentliche Schlüssel wird als Zertifikat an das signierte Dokument angehängt.
29
2. Prüfung des Signaturzertifikates
Die Echtheit und Unversehrtheit eines Zertifikates, also des mitgesendeten öffentlichen
Schlüssels, wird über die Signatur des Herausgebers geprüft: Jedes persönliche Zertifikat ist
von einem Trustcenter (CA) signiert. Ist diese Signatur gültig, wurde auch das Zertifikat nicht
geändert. Natürlich kann auch die Echtheit des Herausgeberzertifikats geprüft werden, das
oft wieder von einer anderen Instanz herausgegeben wurde. So ergibt sich ein
Zertifizierungspfad, der sich bis zu einer vertrauenswürdigen Instanz (Root CA oder
Wurzelzertifikat) zurückverfolgen lässt. Ist dieser Zertifizierungspfad korrekt und die Wurzel
vertrauenswürdig, beweist dies die Authentizität des Signaturinhabers.
In Deutschland ist bei qualifizierten Signaturen die Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) die oberste Instanz
(Wurzel). Auch dieser Punkt wird von der Software überprüft. Logischerweise kann die
Software aber nur überprüfen, ob der Zertifizierungspfad lückenlos ist. Um aber die
verschiedenen Instanzen (CA's) des Pfades und das Wurzelzertifikat zu sehen, muss der
Nutzer den Zertifizierungspfad überprüfen. Ob die Wurzel vertrauenswürdig ist (z.B. bei
Signaturen aus anderen Ländern), obliegt der Entscheidung jedes Einzelnen.
3. Prüfung des Zertifikatsstatus
Der Zertifikatsstatus, d.h. die Information, ob ein Zertifikat zu dem Zeitpunkt der
Signaturerstellung gesperrt war, kann beim Herausgeber überprüft werden: Die Trustcenter
stellen Sperrlisten zum Download zur Verfügung oder haben eine Online-Zertifikatsabfrage
bzw. bieten beides an. Wenn jemand seine Signaturkarte verliert, kann er diese über einen
24-Stunden Service sperren lassen und wird sofort gelistet.
Die Prüfung des Zertifikatsstatus erfordert ein aktives Eingreifen des Benutzers. Wenn es
sich um eine wichtige Unterschrift handelt (im Gegensatz zu einer Datensicherung), sollte
vor der Signaturprüfung die aktuelle Sperrliste heruntergeladen werden. Handelt es sich um
ein Trustcenter, das eine Online-Abfrage anbietet, kann der Zertifikatsstatus direkt über das
Internet abgefragt werden.
30
Wichtig ist dabei auch immer der Signaturzeitpunkt. Beispiel: Eine Signatur wurde am
1.7.2004 erstellt und wird dann ein Jahr später, am 1.7.2005 geprüft. Der Zertifikatsstatus
sagt aus, dass das Zertifikat seit dem 1.12.2004 gesperrt ist (z.B. Karte verloren). Das
bedeutet, dass die Signatur wahrscheinlich dennoch gültig ist. Denn zum Zeitpunkt der
Signaturerstellung war der Karteninhaber noch im Besitz seiner Karte. Der Zeitpunkt wird bei
der Signaturerstellung in die Signatur mit einbezogen. Allerdings kann immer nur die Zeit
benutzt werden, die das Betriebssystem des Computers zur Verfügung stellt. Bei
bestehenden Zweifeln ist es am sichersten, sich das Dokument noch einmal signieren bzw.
einen Zeitstempel hinzufügen zu lassen.
Die Mechanismen der Signaturprüfung sind im Kapitel Arbeiten mit den OPENLiMiT
SignCubes Basiskomponenten 2.1, Version 2.1.6.3 - Signaturverifikation beschrieben. Als
Benutzer des Produktes müssen Sie diesen Abschnitt gelesen haben, um das angezeigte
Prüfergebnis des Produktes richtig interpretieren zu können.
31
Rechtliche Aspekte der elektronischen Signatur
Die Verwendung der elektronischen Signatur ist gesetzlich geregelt. Für die Europäische
Union trat im Januar 2000 die Richtlinie über die Gemeinschaftlichen Rahmenbedingungen
für elektronische Signaturen in Kraft. Diese Richtlinie enthält die Verpflichtung für jedes
Mitgliedsland, die Regelungen in nationales Recht umzuwandeln. So werden elektronische
Signaturen auch im internationalen Geschäftsverkehr möglich.
In Deutschland sind die Rahmenbedingungen für rechtlich verbindliche elektronische
Signaturen durch das Signaturgesetz (SigG), die Signaturverordnung (SigV) sowie das Erste
Gesetz zur Änderung des Signaturgesetzes (1.SigÄndG) festgelegt.
Die wesentlichsten Punkte der europäischen Richtlinie:
Die Gesetze kennen verschiedene Arten von Signaturen. Einfache Signaturen, fortgeschrittene
Signaturen und qualifizierte Signaturen. Eine Signatur wird als qualifiziert bezeichnet, wenn
sie:
ausschließlich dem Unterzeichner zugeordnet ist,
die Identifizierung des Unterzeichners ermöglicht,
mit Mitteln erstellt wird, die nur der Unterzeichner kontrolliert,
jede nachträgliche Änderung der signierten Daten erkennbar macht
und auf einem qualifizierten Zertifikat beruht.
Ein qualifiziertes Zertifikat wird nur von einem qualifizierten Zertifizierungsdiensteanbieter
(Trustcenter) ausgestellt. Dabei gelten ganz besonders strenge Anforderungen hinsichtlich
der Sicherheit der Schlüsselerstellung und der Organisation des Trustcenters. Die Einhaltung
der gesetzlichen Vorschriften durch die Trustcenter wird von einer nationalen Behörde
kontrolliert.
In
Deutschland
ist
das
die
Bundesnetzagentur
für
Elektrizität,
Gas,
Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur), im Internet unter
www.bundesnetzagentur.de. Dort finden Sie auch eine Liste der qualifizierten und
akkreditierten Trustcenter, die aktuellen Signaturgesetze und weitere Informationen zur
Signatur.
Die Rechtswirkung elektronischer Signaturen
Qualifizierte Signaturen ...
erfüllen die Anforderungen in Bezug auf elektronische Daten genauso wie die
handschriftliche Unterschrift Anforderungen in Bezug auf Daten erfüllt, die auf Papier
vorliegen.
32
sind vor Gericht als Beweismittel zugelassen.
... heißt es in den europäischen Richtlinien. Inwiefern diese Vorgaben in nationales Gesetz
umgewandelt wurden, ist in jedem Land etwas unterschiedlich.
Aber es bedeutet, dass elektronische Signaturen der eigenhändigen Unterschrift weitgehend
gleichgestellt sind. In Deutschland ist dies durch die Änderung des § 126 BGB über die
Schriftform
umgesetzt
worden.
Darin
wird
bestätigt,
dass
die
Schriftform
eines
unterschriebenen Dokuments mit der qualifizierten Signatur und einem elektronischen
Dokument ersetzt werden kann.
Allerdings gibt es auch Ausnahmen. In besonders empfindlichen Bereichen ist die
elektronische Signatur nicht erlaubt, z.B.:
Kündigung von Arbeitsverhältnissen
Zeugnisse
Bürgschaften
Notarielle Beurkundungen
Außerdem sind qualifizierte Signaturen vor Gericht als Beweis zugelassen, können aber eine
Urkunde nicht ersetzen. Dies liegt in der Definition einer Urkunde begründet. Der Beweiswert
ist aber so hoch einzustufen (Siehe § 126 BGB), dass sie einem Urkundenbeweis sehr nahe
kommen dürfte.
Anerkennung der verwendeten kryptografischen Algorithmen
Das Bundesamt für Sicherheit in der Informationstechnik hat den "Entwurf des BSI für den
Algorithmenkatalog 2008", welcher die Gültigkeit und Anerkennung der verwendeten
Algorithmen regelt, veröffentlicht. Sie können die aktuelle Fassung des Dokuments von den
Webseiten des Bundesamt für Sicherheit in der Informationstechnik www.bsi.de herunter
laden.
Die folgende Tabelle fasst die Eignung der Hashfunktionen zusammen:
geeignet
Ende 2007
bis Erzeugung
geeignet
qualifizierter
Ende 2009
Zertifikate*:
geeignet
SHA-1
qualifizierter
geeignet bis Ende
2014
Zertifikate**:
bis
geeignet bis Ende
Ende 2009
SHA-1
bis Erzeugung
2010
RIPEMD-160
SHA-1,
160
RIPEMD- SHA-224,
256,
SHASHA-384,
SHA-512
(SHA-1,
160)***
RIPEMD-
33
*d.h. zur Erzeugung qualifizierter Zertifikate, nicht aber zur Erzeugung und Prüfung anderer
qualifiziert signierter Daten.
** d.h. zur Erzeugung qualifizierter Zertifikate bei ≥20 Bit Entropie der Seriennummer, nicht
aber zur Erzeugung und Prüfung anderer qualifiziert signierter Daten.
***ausschließlich zur Prüfung qualifizierter Zertifikate.
34
Für den RSA Algorithmus und die zugehörigen Schlüssellängen hat das Bundesamt für
Sicherheit in der Informationstechnik die folgenden Vorgaben herausgegeben:
Zeitraum
bis Ende 2007
bis Ende 2008
bis Ende 2009
bis Ende 2010
bis Ende 2014
1024
1280
1536
1728
1976
(Mindestw.)
(Mindestw.)
(Mindestw.)
(Mindestw.)
(Mindestw.)
2048 (Empf.)
2048 (Empf.)
2048 (Empf.)
2048 (Empf.)
2048 (Empf.)
Parameter
n
35
Sicherheitskomponenten der OPENLiMiT
SignCubes Basiskomponenten 2.1,
Version 2.1.6.3
OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 ist ein Produkt zum
Erzeugen und Verifizieren fortgeschrittener und qualifizierter elektronischer Signaturen sowie
zum Ver- und Entschlüsseln von Dokumenten. Die folgenden Abschnitte beschreiben die
Sicherheitsmerkmale, die Ihnen durch die OPENLiMiT SignCubes Basiskomponenten 2.1,
Version 2.1.6.3 zur Verfügung gestellt werden. Der genaue Wortlaut kann dem durch das
BSI veröffentlichten Zertifizierungsreport in englischer Sprache für das Produkt entnommen
werden.
Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit Zertifikaten
unter Verwendung eines Kartenterminals und einer Smartcard
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten die Funktion zur
Berechnung von kryptographischen Prüfsummen (Hashwerten) nach den Algorithmen SHA1, SHA-256, SHA-384, SHA-512 und RIPE-MD 160. Diese Algorithmen werden von der
Bundesnetzagentur bzw. dem Bundesamt für Sicherheit in der Informationstechnik als
geeignete Algorithmen für die Hashwertberechnung bei qualifizierten elektronischen
Signaturen eingestuft. Ab 2008 ist der Hashalgorithmus SHA-1 für die Erzeugung
qualifizierter Signaturen nicht mehr zulässig. Es gibt dazu eine Übergangsregelung, die
voraussichtlich bis Juni 2008 gültig ist.. Über den aktuellen Stand der Übergangsregelung für
den Hashalgorithmus SHA-1auf informieren Sie sich bitte auf der Internetseite der
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
(Bundesnetzagentur) im Internet unter www.bundesnetzagentur.de.
Im nächsten Schritt wird der berechnete Hashwert von einer Chip-Karte verwendet, um nach
dem RSA Verfahren eine elektronische Signatur zu erzeugen. Bei der Signaturerzeugung
können Sie auf den OPENLiMiT SignCubes Viewer zurückgreifen, um die Daten, die Sie
signieren möchten, in einer rechtsverbindlichen Art und Weise anzuzeigen.
36
Bei der Erstellung der Signaturdatei können automatisch eine OCSP-Antwort, ein
Zeitstempel
sowie
Attributzertifikate
zu
verwenden.
aufgenommen
Das
verwendete
werden,
um
diese
Signaturzertifikat
bei
wird
der
immer
automatisch in die Signaturdatei aufgenommen, um eine eindeutige Identifikation des
Signaturerzeugers sicherzustellen.
Verwenden Sie stets einen Kartenleser mit sicherer PIN-Eingabe und qualifizierte
Chipkarten. Sie benötigen eine gültige Lizenz ab Modus 2 für das Produkt, um diese
Sicherheitsfunktion nutzen zu können.
Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die
Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten.
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten die Funktion zur
Prüfung von Signaturen an beliebigen Dateien, deren kryptographische Prüfsummen
(Hashwerte) nach den Algorithmen SHA-1, SHA-256, SHA-384, SHA-512 und RIPE-MD 160
berechnet wurden. Dabei wird eindeutig erkennbar, auf welche Daten sich die elektronische
Signatur bezieht. Das Produkt teilt Ihnen mit, ob der Originalhashwert und der
Verifikationshashwert identisch sind oder nicht, d.h. ob die Daten verändert wurden oder
nicht.
Für qualifizierte Signaturen ist der Hashalgorithmus SHA-1 ab 2008 nicht mehr zulässig. Für
die Erzeugung anderer z.B. fortgeschrittener Signaturen kann der Algorithmus SHA-1
weiterhin zum Einsatz kommen. Für die Signaturverifikation mit dem Hashalgorithmus SHA-1
gibt es eine Übergangsregelung geben, die voraussichtlich bis Juni 2008 gültig ist.. Über den
aktuellen Stand der Übergangsregelung für den Hashalgorithmus SHA-1informieren Sie sich
bitte auf der Internetseite der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation,
Post und Eisenbahnen (Bundesnetzagentur) im Internet unter www.bundesnetzagentur.de.
Bei der Signaturprüfung wird aus dem Signaturzertifikat das Herausgeberzertifikat ermittelt
und die dazugehörige Sperrliste vom lokalen Datenträger geladen. Innerhalb der Sperrliste
wird überprüft, ob ein entsprechender Eintrag für das Zertifikat vorhanden ist. War das
Zertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt, wird Ihnen dies angezeigt.
Sie haben die Möglichkeit, eine OCSP-Abfrage zum Signaturzertifikat durchzuführen. Das
Ergebnis der OCSP-Abfrage wird Ihnen in einer Statusmeldung angezeigt.
Wurden bei der Signaturerstellung die Optionen zur automatischen OCSP-Abfrage,
Erstellung eines Zeitstempels sowie das Mitsignieren von Attributzertifikate eingestellt, so
werden diese Informationen bei der Signaturprüfung automatisch angezeigt.
Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. Für eine korrekte
Zetrifikatsprüfung anhand der Sperrlisten sollten Sie regelmäßig die aktuellen Sperrlisten laden.
37
Erkennung von Manipulationen an Programm-Modulen
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten die Funktion zum
Erkennen von Manipulationen an den ausgelieferten Bibliotheken und ausführbaren Dateien.
Das Prüfmodul ermittelt die Hashwerte aller Bibliotheken und ausführbaren Dateien und
vergleicht diese mit den Signaturen der einzelnen Dateien. Bei Abweichungen werden die
OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 deaktiviert und Sie werden
durch eine Textmeldung informiert.
Es wird automatisch sichergestellt, dass das Prüfmodul nur von einer berechtigten
Anwendung geladen werden kann. Das bedeutet, dass diese Anwendung mit dem gleichen
Schlüssel signiert sein muss wie das auf Ihrem Rechner installierte Produkt.
Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, werden die OPENLiMiT
SignCubes Basiskomponenten 2.1, Version 2.1.6.3 deaktiviert. Der sichere Zustand der
Anwendung ist nicht mehr gewährleistet, da eine Manipulation vorgenommen wurde. Mit
einer Textmeldung werden Sie auf diesen Zustand hingewiesen.
Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten.
Anzeige der zu signierenden oder bereits signierten Daten
Der in den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 enthaltene
OPENLiMiT SignCubes Viewer bietet die Funktion, Inhalte, die angezeigt werden sollen,
eindeutig darzustellen. Der OPENLiMiT SignCubes Viewer sichert, dass die angezeigte
Datei frei von verdeckten oder aktiven Inhalten ist. Weiterhin werden Sie informiert, falls
aktive oder nicht darstellbare Inhalte in der Datei enthalten sind.
Bei der sicheren Anzeige der Datei (PDF-, Text- oder TIFF Format) werden die folgenden
Arbeitsschritte vorgenommen: Zunächst wird das Format geprüft. Handelt es sich um ein
unbekanntes Format, wird eine entsprechende Fehlermeldung ausgegeben, die den Hinweis
enthält, dass diese Datei nicht dargestellt werden kann. Werden aktive bzw. verdeckte
Inhalte in der Datei erkannt, wird Ihnen eine Warnmeldung angezeigt.
Der OPENLiMiT SignCubes Viewer kann Dokumente anzeigen, die der PDF Spezifikation
1.7 entsprechen (Abweichungen von der PDF Spezifikation werden weiter unten in diesem
Kapitel aufgelistet). Die TIFF Erkennung richtet sich nach der Adobe TIFF Spezifikation 6.0.
Für die Erkennung von Textdokumenten gelten die folgenden Regeln:
Die folgenden Zeichen werden von dem OPENLiMiT SignCubes Viewer untersucht, um zu
erkennen, dass es sich bei dem vorliegenden Dokument um ein Textdokument handelt.
a) das NULL Byte (0x00)
b) die Zeichen TAB (0x09), CR (Cariage Return, 0x0d) und LF (Line Feed, 0x0a)
38
c) die Zeichen von 0x01 bis 0x1f mit Ausnahme der unter a) und b) angegebenen
Zeichen
d) die Zeichen von ' ' bis '~' (0x20 bis 0x7e)
e) die deutschen ANSI-Umlaute (0xc4 (Ä), 0xd6 (Ö), 0xdc (Ü),
0xe4 (ä), 0xf6 (ö), 0xfc
(ü))
f) die deutschen DOS Umlaute (0x81 (ü), 0x84 (ä), 0x8e (Ä), 0x94 (ö), 0x99 (Ö), 0x9a
(Ü))
g) alle restlichen Zeichen
Die folgenden Regeln für die Erkennung von Textdateien durch den OPENLiMiT SignCubes
Viewer werden formuliert:
Eine Sequenz von Zeichen der Kategorie a) ist am Ende einer Datei zulässig. Ein
Zeichen der Kategorie a) innerhalb der Datei ist zulässig, mit Ausnahme der Erläuterung
aus dem vorhergehenden Satz. Das Vorkommen von Zeichen der Kategorie a) innerhalb
der Datei und am Ende der Datei ist nicht zulässig.
Tritt mehr als ein Zeichen der Kategorie c) auf, handelt es sich nicht um eine Textdatei.
Wenn bereits 2 Zeichen der Kategorie a) gefunden wurden, sind Zeichen der Kategorie c)
nicht erlaubt.
Liegt die Gesamtanzahl der Zeichen innerhalb der Datei aus Kategorie b), d), e) und f)
unter 80%, handelt es sich nicht um eine Textdatei.
Weiterhin werden Warnungen durch den OPENLiMiT SignCubes Viewer generiert, wenn
eines der folgenden Szenarien zutrifft.
Die Kategorie g) ist nicht leer. In diesem Falle wird die folgende Warnung angezeigt: "Die
Datei enthält Zeichen, die nicht eindeutig darstellbar sind!"
Die Kategorien e) und f) sind beide nicht leer. In diesem Falle wird die folgende Warnung
angezeigt, wenn nicht bereits das vorhergehende Szenario zutrifft: "Die Datei enthält
sowohl 'DOS'- als auch 'Windows'-Umlaute. Eine eindeutige Identifikation der korrekten
Darstellung ist nicht möglich."
Wenn Zeichen der Kategorie a) und/oder c) in dem Dokument vorhanden sind, wird die
folgende Warnmeldung angezeigt: "Die Datei enthält Zeichen, die nicht eindeutig
darstellbar sind!"
Hinweis: Das hexadezimale Zeichen 0x00 wird wie folgend dargestellt: <0x00>. Das hexadezimale Zeichen
0x7F wird wie folgend dargestellt: <0x7f02>. Das Zeichen 0x00 führt zwar zu einer Warnmeldung des
Viewers, es wird jedoch im Analysedialog keine gesonderte Warnmeldung ausgegeben, da dieses
Zeichen in jedem Zeichensatz eine eindeutige Darstellung hat.
39
Der OPENLiMiT SignCubes Viewer verarbeitet in PDF Dateien keine aktiven CodeElemente, wie etwa Java-Script oder Multimedia-Objekte. Da das PDF Format die
Einbettung verschiedener Ansichten ein und desselben Objektes erlaubt, zeigt der
OPENLiMiT SignCubes Viewer grundsätzlich nur die Standard-Ansicht für diese Objekte an.
Das bedeutet, dass Sie bei vorhandenen alternativen Darstellungen von Objekten
grundsätzlich die Analysefunktionen des OPENLiMiT SignCubes Viewers benutzen müssen,
um festzustellen, ob die alternativen Darstellungen Elemente enthalten, die den Inhalt des
Dokuments verfälschen und Sie evtl. nicht bereit wären, diese Dokumentinhalte zu signieren.
Die PDF Anzeige des OPENLiMiT SignCubes Viewers unterstützt das Dokumentformat PDF
1.7. Wenn Sie ein PDF Dokument mit dem OPENLiMiT SignCubes Viewer untersuchen,
sollten Sie sicher stellen, dass die Angaben der PDF-Versionsnummer in dem Dokument der
Version 1.7 oder darunter entspricht. Versionen nach der PDF-Version 1.7 können in dem
Viewer nicht zweifelsfrei dargestellt werden, da spätere Versionen Elemente enthalten
können, die vom Viewer nicht erkannt und auch nicht dargestellt werden können.
Der Viewer enthält einige Abweichungen zu diesem Standard (Dokumentformat 1.7), die Sie
kennen sollten:
Der OPENLiMiT SignCubes Viewer unterstützt keine Transparenz.
Der OPENLiMiT SignCubes Viewer zeigt grundsätzlich die Standardansicht von PDF
Objekten an. Das PDF Format erlaubt die Angabe von alternativen Ansichten eines
Objektes, die Ansicht kann z.B. von der Bildschirmauflösung abhängig sein. In diesem
Falle werden Sie von dem Produkt gewarnt und haben die Möglichkeit, die Mittel des
OPENLiMiT SignCubes Viewer zu verwenden, um die alternativen Darstellungen zu
untersuchen.
Der OPENLiMiT SignCubes Viewer unterstützt keine Multimedia-Elemente. Die
Möglichkeit, z.B. animierte Flash-Filme anzuzeigen wird von dem Produkt nicht
unterstützt. In diesem Falle wird Ihnen die Standard-Darstellung (z.B. das Flash-Icon)
angezeigt.
Die Funktion zur Anzeige von PDF Dateien hängt von der Lizenz ab, die Sie erworben
haben. Wenn Ihre Lizenz nicht erlaubt, PDF Dateien anzuzeigen, steht Ihnen diese Funktion
auch nicht zur Verfügung.
Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel
Mindestanforderungen dargelegten Anforderungen sicherstellen. Es werden keine aktiven Inhalte wie
Scripte oder Programmcode interpretiert.
Schutz vor Hashwertmanipulation
40
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten einen Schutz vor
Hashwertverfälschung während des Signaturvorganges. Dazu wird vor dem Signaturvorgang
der Hashwert über die zu signierenden Daten gebildet. Nach dem Signaturvorgang überprüft
das Produkt die erzeugte Signatur, indem es die Signatur mit dem öffentlichen Schlüssel des
verwendeten Signaturzertifikates verifiziert. Abschließend wird Ihnen eine Textmeldung
angezeigt, dass die Daten signiert wurden.
Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel
Mindestanforderungen dargelegten Anforderungen sicherstellen.
Sicherstellung der Unversehrtheit des Produktes
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten die Funktion zum
Prüfen der Integrität der installierten Programm-Module. Diese Sicherheitsfunktion wird durch
das OPENLiMiT SignCubes Integrity Tool realisiert. Das OPENLiMiT SignCubes Integrity
Tool ist ein Java-Applet, das die Hash-Werte an den ausgelieferten sicherheitsrelevanten
Modulen überprüft und somit sicherstellt, dass sich die Module noch in dem Zustand
befinden, wie sie ursprünglich ausgeliefert und installiert wurden.
Für die Nutzung des OPENLiMiT SignCubes Integrity Tool ist das Java Plugin notwendig,
das über die Internetseite www.openlimit.com/integritytool geladen wird. Das Java Plugin
sollte grundsätzlich erst nach positiver Prüfung der Signatur des Applets gestartet werden.
Das Ergebnis der Prüfung durch das OPENLiMiT SignCubes Integrity Tool wird Ihnen in
einer Textmeldung angezeigt. Stellt das Prüfmodul eine Beschädigung der Modulsignaturen
fest, ist der sichere Zustand der Anwendung nicht mehr gewährleistet und Sie sollten das
Produkt auf Ihrem Rechner neu installieren.
Die Überprüfung der Unversertheit der Programm-Module sollte regelmäßig, d.h. mindestens
einmal im Monat, durchgeführt werden.
Stellen Sie sicher, dass sie die im Kapitel Betriebssysteme aufgeführte Version der Java Virtual Machine
installiert haben, um die korrekte Arbeitsweise dieser Funktion sicherzustellen.
Import und Verarbeitung von OCSP Abfragen
Das Produkt bietet Ihnen die Möglichkeit, über das OCSP (Online Certificate Status Protocol)
Protokoll die Gültigkeit eines Zertifikates zu prüfen. Dazu können Sie zu einem Zertifikat eine
OCSP Anfrage mit Hilfe des Produktes stellen und erhalten eine entsprechende Antwort von
der CA, die das Zertifikat ausgestellt hat. Sie sollten diese Möglichkeit immer dann nutzen,
wenn Sie sich über die Gültigkeit eines Zertifikates direkt beim Herausgeber versichern
möchten.
41
Sie haben ebenfalls die Möglichkeit, das Produkt so zu konfigurieren, dass eine OCSP
Antwort vom Herausgeber automatisch zur elektronischen Signatur hinzugefügt wird. Damit
geben Sie dem Empfänger einer von Ihnen signierten Datei die Gewissheit, dass Ihr
Zertifikat zum Zeitpunkt der Signaturerstellung nicht gesperrt war. Es besteht die Möglichkeit,
dass Sie sich die Einzelheiten der OCSP Antwort anzeigen lassen. In diesem Falle haben
Sie außerdem die Möglichkeit, das Zertifikat zu begutachten, welches die OCSP Antwort
unterschrieben hat.
Während des Imports der OCSP Antwort prüft das Produkt immer die mathematische
Gültigkeit der Antwort. Ist die mathematische Gültigkeit nicht erfolgreich geprüft worden,
werden die OCSP Daten nicht importiert. Wenn Sie die Details zur OCSP Antwort
begutachten, prüft das Produkt automatisch die gesamte Zertifikatskette bis hin zum
Wurzelzertifikat auf der Basis von Sperrlisten. Stellen Sie in diesem Falle sicher, dass Sie
über aktuelle Sperrlisten auf Ihrem Rechner verfügen.
Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen
dargelegten Anforderungen erfüllen.
Import und Anbringen von Zeitstempeln
Das Produkt erlaubt Ihnen das automatische Anbringen eines Zeitstempels an Daten, die Sie
signiert haben. Dabei wird der Zeitstempel auf mathematische Korrektheit der Signatur
überprüft und in die Signaturdatei, die Sie erzeugt haben, mit aufgenommen. Kann die
mathematische Korrektheit der Signatur nicht erfolgreich geprüft werden, wird der
Zeitstempel nicht mit aufgenommen und Ihnen wird eine entsprechende Fehlermeldung
angezeigt.
Um einen Zeitstempel automatisch zu den signierten Daten aufzunehmen, müssen Sie
entsprechende Konfigurationseinstellungen an dem Produkt vornehmen.
Prüfung von Zeitstempeln
Wenn Sie eine signierte Datei erhalten, die einen Zeitstempel beinhaltet, können Sie die
Gültigkeit des Zeitstempels überprüfen. Zu diesem Zweck haben Sie einen Dialog zur
Verfügung, der Ihnen die Einzelheiten des Zeitstempels anzeigt. In diesem Falle wird die
Signatur des Zeitstempels basierend auf Sperrlisten bis hin zum Wurzelzertifikat überprüft.
Sie erhalten neben den eigentlichen Informationen, die Ihnen der Zeitstempel bereitstellt
Informationen darüber, ob die Signatur des Zeitstempels selber gültig ist. Stellen Sie vor der
Verwendung dieser Funktion sicher, dass Sie über aktuelle Sperrlisten verfügen.
42
Freischalten und Verwendung von lizenzierten Funktionen
Gemeinsam mit dem Produkt und Ihrer Signaturkarte haben Sie einen Lizenzschlüssel
erhalten, den Sie bei der ersten Benutzung des Produktes eingeben müssen. Wenn Sie über
keinen Lizenzschlüssel verfügen, können sie das Produkt zum Prüfen von Signaturen
verwenden, jedoch keine Signaturen erstellen. Der Lizenzierungsassistent wird Sie durch
den Lizenzierungsvorgang führen. Dabei werden keine vertraulichen Daten verwendet oder
mit dem Hersteller des Produktes ausgetauscht. Sie werden während der Lizenzierung des
Produktes aufgefordert, die vom Produkt erzeugte Lizenzdatei zu signieren. Dieser Vorgang
dient zu Ihrer Absicherung, damit Sie später sicher sein können, eine gültige Lizenz Ihres
Produktes zu verwenden.
Wenn Sie über keinen Lizenzcode verfügen, können Sie das Produkt zum Verifizieren von
PKCS#7 Signaturen an TIFF und Text Dokumenten verwenden. Eine Signaturerzeugung ist
in diesem Falle nicht möglich.
Weiterhin werden die folgenden Modi in Abhängigkeit von der installierten Lizenz
unterschieden:
Reader-Modus: Im Reader-Modus haben Sie die Möglichkeit, TIFF und Text Dokumente
mit dem Viewer zu betrachten. Die Prüfung von PKCS#7 Signaturen an diesen
Dokumenten ist möglich, allerdings können Sie mit einer solchen (kostenfreien) Lizenz
keine Signaturen erzeugen.
Modus 2: Sie haben die Möglichkeit, TIFF und Text Dokumente zu betrachten und an
diesen Dokumenten PKCS#7 Signaturen zu erzeugen. Sie können PKCS#7 Signaturen
an diesen Dokumenten prüfen.
Modus 3: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente zu betrachten. Sie
können aber nur TIFF und Text Dokumente mit PKCS#7 Signaturen versehen. Sie haben
die Möglichkeit, PKCS#7 Signaturen an allen drei Dokumentformaten zu überprüfen.
Darüber hinaus können Sie in PDF Dateien eingebettete Signaturen verifizieren.
Modus 4: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit
PKCS#7 Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu
prüfen. PDF Signaturen können ebenfalls geprüft werden.
Modus 5: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit
PKCS#7 Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu
prüfen. Sie können zusätzlich eingebettete PDF Signaturen erzeugen und verifizieren.
Der in diesem Zusammenhang verwendete Begriff PKCS#7 Signatur bezieht sich
ausschließlich auf abgesetzte bzw. verbundene Signaturen. Signaturen innerhalb von PDF
Dokumenten werden als PDF Signaturen bezeichnet, auch wenn diese technisch auf dem
PKCS#7 Format basieren.
43
Ein Upgrade der bei der Installation mitgelieferten Readerlizenz ist jederzeit möglich,
allerdings benötigen Sie für diesen Vorgang eine Signaturkarte. Das Einspielen einer Lizenz
mit geringeren Rechten als die bereits freigeschalteten Funktionen wird von dem Produkt
verhindert bzw. nicht akzeptiert.
44
OPENLiMiT SignCubes Security Environment
Manager
Der OPENLiMiT SignCubes Security Environment Manager ist das Kernstück des
Softwarepaketes OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3. Er wird
standardmäßig automatisch mit dem Betriebssystem gestartet. Andernfalls kann der
OPENLiMiT SignCubes Security Environment Manager über Start/Programme/OPENLiMiT
SignCubes/OPENLiMiT SignCubes Manager gestartet werden. Er stellt die folgenden
Funktionen zur Verfügung:
Berechnung des Hashwertes unter Verwendung einer der Algorithmen SHA-1, SHA-256,
SHA-384, SHA-512 und RIPE-MD 160.
Erzeugung der Signatur unter Verwendung einer Chipkarte und eines Kartenlesers mit
sicherer PIN-Eingabe
Hinzufügen eines Zeitstempels zu einer erzeugten elektronischen Signatur
Unterstützung von Attributzertifikaten bei der Erzeugung einer elektronischen Signatur
Unterstützung der OCSP Abfrage bei der Erzeugung einer elektronischen Signatur
Prüfung von Signaturzertifikaten über OCSP und CRL
Anzeige der OCSP Informationen zu einem Zertifikat
Verarbeitung von Zeitstempelinformationen während der Signaturprüfung
Anzeige von Zeitstempelinformationen
Sicherstellung der Integrität und korrekten Installation der OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3
Bereitstellung
eines
Interfaces
für
die
Signaturerzeugung,
Prüfung
und
Produktkonfiguration
Im Prozess der Verifikation einer Signatur zeigt der OPENLiMiT SignCubes Security
Environment Manager die zur Verfügung stehenden Informationen des qualifizierten
Attributzertifikates, das zu dem qualifizierten Zertifikat zugehört, an. Der OPENLiMiT
SignCubes Security Environment Manager ist in der Lage zu erkennen, ob ein
Attributzertifikat zu einem Zertifikat dazugehört und bringt es zur Anzeige, sofern dieses
vorhanden ist.
45
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 arbeiten mit Daten im
PKCS#7
Format.
Das
bedeutet,
dass
das
Produkt
OPENLiMiT
SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 mit allen Anwendungen, die dieses Format
unterstützen, kompatibel ist.
Das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 steuert die
Kartenleser über PC/SC oder CT-API Schnittstellen an. Einige Hersteller liefern separate
Programmbibliotheken zur Ansteuerung der sicheren PIN-Eingabe am Kartenleser. Die
OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 verwenden diese Module,
sofern
diese
vorhanden
sind.
Die
durch
die
Software
OPENLiMiT
SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 unterstützten Chipkarten finden Sie in dem Abschnitt
Chipkarten. Die Liste der unterstützten Kartenleser finden Sie in dem Abschnitt
Kartenleser.
Es ist möglich, mehrere Kartenterminals und Signaturkarten parallel zu nutzen. Für jedes
Kartenterminal wird Ihnen ein entsprechendes Icon im System-Tray angezeigt.
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 dürfen für die
Erzeugung qualifizierter (rechtskonformer) Signaturen nur mit SigG konformen Kartenlesern
verwendet werden. Eine Liste dieser Geräte wird durch die Bundesnetzagentur für
Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) unter
www.bundesnetzagentur.de veröffentlicht.
Die Signaturprüfung erfolgt nach dem Schalenmodell und zusätzlich nach dem Kettenmodell
(für qualifizierte Zertifikate) von dem Zertifikat des Anwenders bis zu dem Wurzelzertifikat der
CA unter Einbeziehung der Sperrlisten.
Zusätzlich
zu
der
Sperrlistenabfrage
unterstützen
die
OPENLiMiT
SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 das Online Certificate Status Protocol (OCSP). Das
OCSP Protokoll ermöglicht die Online-Abfrage der Gültigkeit eines Zertifikates. Diese
Prüfung kann nur durchgeführt werden, wenn die Information zu dem OCSP Responder
verfügbar ist. Das bedeutet, dass das Zertifikat eine Information enthalten muss, die es
ermöglicht den OCSP Responder zu identifizieren.
Eine weitere Funktion des OPENLiMiT SignCubes Security Environment Managers ist die
Arbeit mit Zeitstempeln. Ein Zeitstempel kann eine Angabe im Zusammenhang mit der
Signaturerstellung sein, aber auch eine Information bei der Signaturprüfung. Weitere
Informationen zu Zeitstempeldiensten erhalten Sie in dem Abschnitt Zeitstempeldienste.
Die Verfahrensweise der Beschaffung der Informationen des OCSP, der Sperrlisten und des
Zeitstempels sind nicht Bestandteil der Evaluierung.
46
Hinweis: Die Signaturerzeugung besteht immer aus zwei Teilschritten: der Erzeugung des
Hashwertes und der Verschlüsselung des Hashwertes mit dem privaten Schlüssel des
Zertifikates. Die Verschlüsselung des Hashwertes findet immer auf der Chipkarte statt, so
dass der private Schlüssel Ihres Signaturzertifikates dem OPENLiMiT SignCubes Security
Environment Manager zu keinem Zeitpunkt der Signaturerzeugung und auch zu allen
anderen Zeitpunkten nicht bekannt ist. Dieses Verfahren stellt sicher, dass ein Missbrauch
des privaten Schlüssels des Zertifikates ausgeschlossen ist.
Die Verfahren zur Signaturerzeugung und Verifikation arbeiten mit dem RSA Verfahren für
Public Key Kryptographie. Die Stärke der verwendeten Schlüssel beträgt bis zu 2048 Bit und
ist von der eingesetzten Chip-Karte abhängig.
Wird eine elektronische Signatur erzeugt, so legt der OPENLiMiT SignCubes Security
Environment Manager bei der Codierung des PKCS#7 Datencontainers die komplette
Zertifikatsliste bis hin zum Wurzelzertifikat in dem Container ab. Das bedeutet, dass somit
immer die komplette Zertifikatsliste für das prüfende Programm zur Verfügung steht und eine
vollständige Signaturprüfung erfolgen kann.
Es gibt für den Anwender keine direkte Möglichkeit, den OPENLiMiT SignCubes Security
Environment
Manager
zur
Signaturerzeugung,
Signaturverifikation,
Ver-
und
Entschlüsselung zu benutzen. Um diese Funktionalitäten zu nutzen, steht Ihnen der
OPENLiMiT SignCubes Viewer zur Verfügung.
Der OPENLiMiT SignCubes Security Environment Manager enthält Mechanismen, die
sicherstellen, dass die ausgelieferten Module nicht manipuliert wurden. Dazu überprüft der
OPENLiMiT SignCubes Security Environment Manager die Programmbibliotheken während
des Ladevorganges auf die Korrektheit ihrer Signaturen. Wenn Sie eine Fehlermeldung
erhalten, dass die Signatur einer Programmbibliothek beschädigt ist, deaktiviert der
OPENLiMiT SignCubes Security Environment Manager den Zugang zu den angebotenen
Sicherheitsfunktionen. Die genauen Meldungen sind im Kapitel Fehlermeldungen des
OPENLiMiT SignCubes Security Environment Manager (siehe "Fehlermeldungen
OPENLiMiT SignCubes Security Environment Manager") aufgeführt. Hilfeanleitungen in
solchen Situationen finden Sie ebenfalls in diesem Kapitel.
47
Der
OPENLiMiT
SignCubes
Viewer
ist
Bestandteil
der
OPENLiMiT
SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 und bietet dem Anwender die Möglichkeit, sich
gemäß den Anforderungen des §17 Absatz 2 SigG die zu signierenden Daten bzw. bereits
signierte Daten anzeigen zu lassen. Der OPENLiMiT SignCubes Viewer sichert, dass die
angezeigte Datei frei von verdeckten oder aktiven Inhalten ist. Weiterhin werden Sie
informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind.
Bei der Signaturprüfung zeigt der OPENLiMiT SignCubes Viewer die Daten an, auf die sich
die zur Prüfung ausgewählte Signatur bezieht.
Hinweis: Der OPENLiMiT SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente
darzustellen und den Inhalt dieser Dokumente zu untersuchen. Die PDF Dokumente
entsprechen der PDF 1.7 Spezifikation. Sie sollten sich in jedem Fall vergewissern, um
welche Version es sich bei der verwendeten PDF Datei handelt. Das TIFF Dokument kann
eine mehrseitige TIFF Datei (Multipage-TIFF) sein. Die dargestellten Dokumentformate
hängen von der erworbenen Lizenz ab.
Werden unbekannte Inhalte oder Spezifikationen in den Dokumenten entdeckt, werden Sie
von dem OPENLiMiT SignCubes Viewer darüber informiert. Werden Inhalte gefunden, die
als verdeckte oder aktive Inhalte erkannt werden, sollten Sie das Dokument nicht signieren.
Der OPENLiMiT SignCubes Viewer kann diese Inhalte nicht entfernen sondern die
Dokumente nur untersuchen. Wenn Sie das Dokument dennoch signieren, unterschreiben
Sie ein Dokument, welches Sie nicht in seiner richtigen Darstellungsform betrachten
konnten.
Wenn Sie ein farbiges TIFF Dokument signieren wollen, sollten Sie immer von der
Möglichkeit der Graustufen und Schwarz/Weiß Betrachtung des Dokuments innerhalb des
OPENLiMiT SignCubes Viewer Gebrauch machen. Der Abschnitt Arbeiten mit dem
OPENLiMiT SignCubes Viewer zeigt Ihnen am Beispiel einer manipulierten TIFF Datei, wie
Sie verdeckte Inhalte in einem solchen Dokument erkennen können. In diesem Kapitel
erhalten Sie darüber hinaus eine Beschreibung der Darstellungsmöglichkeiten weiterer
Dateiinhalte wie Bilder, Java Scripte und Texte, die in PDF Dateien enthalten sein können.
Mit dem OPENLiMiT SignCubes Viewer können Dateien im Format PDF, TIFF und TEXT
geöffnet werden, wobei diese Dokumente mit einer PKCS#7 Signatur versehen sein können.
In diesem Falle haben Sie die Möglichkeit, die Gültigkeit der Signatur vom Viewer aus zu
prüfen.
48
Der OPENLiMiT SignCubes Viewer kann als separates Programm oder innerhalb des
Signaturanforderungsdialoges
gestartet
werden.
Innerhalb
des
Signaturanforderungsdialoges können Sie den OPENLiMiT SignCubes Viewer nur dann
verwenden, wenn auch ein PDF, Text oder TIFF Dokument als das zu signierende
Dokument erkannt wird. Der OPENLiMiT SignCubes Viewer wird als Programm siqView.exe
im Installationspfad der Anwendung installiert, weiterhin wird während der Installation eine
Verknüpfung im Startmenü des Betriebssystems erzeugt.
Der OPENLiMiT SignCubes Viewer kann die Dokumente zwar untersuchen und Warnungen
zu den Dokumenten generieren sowie Prüfdetails anzeigen, jedoch muss die Entscheidung,
ob eine Signatur an dem Dokument erzeugt werden soll, durch den Anwender selbst
getroffen werden. Die inhaltliche Interpretation eines angezeigten Dokuments obliegt
vollständig dem Benutzer und kann durch den OPENLiMiT SignCubes Viewer nicht geleistet
werden.
Hinweis zu den anzeigbaren Dokumentformaten
Die anzeigbaren Dokumentformate hängen von der erworbenen Lizenz ab. Wenn Ihre Lizenz
die Anzeige von PDF Dokumenten nicht erlaubt, können solche Dokumente auch nicht
dargestellt werden. Wenn Sie über keinen Lizenzcode für das Produkt verfügen, können sie
auch grundsätzlich keine elektronischen Signaturen mit dem Produkt erzeugen. Mehr
Informationen
finden
Sie
in
der
Beschreibung
der
Lizenzierungsvarianten
unter
Sicherheitskomponenten der OPENLiMiT SignCubes Basiskomponenten 2.1, Version
2.1.6.3.
Hinweis für die Signaturerzeugung:
Im folgenden Abschnitt wird erklärt, in welcher Situation der OPENLiMiT SignCubes Viewer
ein Verbunddokument bzw. eine abgesetzte Signatur erzeugt. Für die Erzeugung von
Signaturen benötigen Sie eine entsprechende Lizenz.
Ausgangsdatei
Erzeugtes Dateiformat
TIFF-Datei ohne Signatur
Signatur
wird
als
abgesetzte
Signaturdatei
wird
als
abgesetzte
Signaturdatei
wird
der
abgesetzten
Signaturdatei
der
abgesetzten
Signaturdatei
erzeugt.
Text-Datei ohne Signatur
Signatur
erzeugt.
TIFF-Datei mit abgesetzter Signatur
Signatur
hinzugefügt.
Text-Datei mit abgesetzter Signatur
Signatur
wird
hinzugefügt.
TIFF-Datei mit verbundener Signatur
Signatur wird dem Verbunddokument hinzugefügt.
49
Ausgangsdatei
Erzeugtes Dateiformat
Text-Datei mit verbundener Signatur
PDF Datei ohne Signatur oder mit In Abhängigkeit von der Lizenz wird entweder eine
eingebetteter Signatur
eingebettete PDF Signatur oder eine abgesetzte
PKCS#7 Signatur erzeugt.
PDF Datei mit abgesetzter Signatur
Signatur
wird
der
abgesetzten
Signatur
hinzugefügt.
PDF Datei mit verbundener Signatur
50
OPENLiMiT SignCubes Integrity Tool
Wenn Sie in die Situation geraten, dass Sie nicht mehr sicher sind, ob Ihr Rechner nicht
manipuliert wurde, müssen Sie sicherstellen, dass das Produkt OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 noch wie vorgesehen arbeitet.
Um die Integrität des Produktes auf Ihrem Rechner sicherzustellen, sollten Sie sich nicht nur
auf die korrekte Arbeitsweise des OPENLiMiT SignCubes Security Environment Managers
verlassen. Sie benötigen ein unabhängiges Werkzeug, welches im Zweifelsfall in der Lage
ist, von einem vertrauenswürdigen Medium aus die Integrität des installierten Produktes auf
Ihrem Rechner zu überprüfen.
Das OPENLiMiT SignCubes Integrity Tool überprüft die Hash-Werte an den installierten
sicherheitsrelevanten
Programmbibliotheken.
Es
wird
festgestellt,
ob
sich
die
Programmbibliotheken noch in dem Zustand befinden, wie sie ursprünglich ausgeliefert und
installiert wurden. Nach erfolgter Prüfung wird ein Prüfbericht erstellt.
Dazu berechnet das Java-Applet die Hashwerte nach SHA-256 und vergleicht sie mit den
OPENLiMiT - Originalen. Sie können das Applet über die folgende URL aufrufen:
https://www.openlimit.com/integritytool
Weiterhin
zeigt
Ihnen
das
OPENLiMiT
SignCubes
Integrity
Tool
an,
welche
Chipkartenterminals und Signaturkarten von Ihrer Installation unterstützt werden. Wenn Sie
eine Signaturkarte verwenden möchten, die von der aktuellen Installation nicht unterstützt
wird, können Sie diese Unterstützung durch ein Add-On Setup zu Ihrer derzeitigen
Installation hinzufügen. Verwenden Sie in jedem Falle das OPENLiMiT SignCubes Integrity
Tool um zu überprüfen, ob die beabsichtigten Module Ihrer Installation hinzugefügt worden
sind.
Das OPENLiMiT SignCubes Integrity Tool bietet die Möglichkeit, Konfigurationen für
Chipkarten zusätzlich zu der Standardinstallation einzuspielen. Diese Konfiguration sind
Initialisierungsdateien, die festlegen, welcher Hash- und Signaturalgorithmus für die jeweilige
Signaturkarte verwendet wird. Das OPENLiMiT SignCubes Integrity Tool kennt alle
möglichen Konfigurationen für die Signaturalgorithmen und prüft bei dem Integritätscheck
auch die verwendeten Algorithmen.
Weitere Informationen dazu finden Sie in dem Kapitel Arbeiten mit dem OPENLiMiT
SignCubes Integrity Tool
51
Das Applet OPENLiMiT SignCubes Integrity Tool ist signiert, die Signatur wird von der Java
Virtual Machine (JVM) geprüft. Sie müssen dem Zertifikat explizit vertrauen, mit dem das
Applet signiert wurde. Die Seriennummer des Zertifikates, mit dem das Applet signiert wurde,
lautet [15 87 85 19 94 64 90 08 09 13 38 86 08 35 33 72 42 88 47 0] und wurde von VeriSign
herausgegeben. Das Zertifikat ist vom 27.06.2006 bis zum 27.06.2009 gültig. Für den Fall,
dass das Zertifikat erneuert wird, veröffentlicht OPENLiMiT die Seriennummer des aktuellen
Zertifikats auf der Webseite.
Neben den im Kapitel Betriebssysteme genannten Voraussetzungen ist für die Abarbeitung
des Java-Applets die korrekte Browserkonfiguration zur Verwendung der JVM notwendig.
Weitere Hinweise zur Arbeit mit dem Java-Applet erhalten Sie in dem Kapitel Arbeiten mit
dem OPENLiMiT SignCubes Integrity Tool.
Stellt das OPENLiMiT SignCubes Integrity Tool fest, dass sich die Programmbibliotheken
nicht mehr in ihrem Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem
Rechner installieren. Vorher sollten Sie jedoch mit einem aktuellen Virenscanner überprüfen,
ob Ihr Rechner von einem Virus befallen wurde oder ein anderes Programm Ihren Rechner
manipuliert hat.
Hinweis: Starten Sie das OPENLiMiT SignCubes Integrity Tool nur von der Webseite
https://www.openlimit.com/integritytool und nach Prüfung des Server-Zertifikats.
Sie müssen als Nutzer das Prüfprogramm regelmäßig ausführen, um die Integrität des Produktes
sicherzustellen. Regelmäßig bedeutet in diesem Zusammenhang mindestens einmal im Monat. Weiterhin
müssen Sie die Integrität des Produktes auf Ihrem Rechner sicherstellen, sobald Sie den Verdacht haben,
dass die Programmdateien geändert wurden.
Falls Sie das Produkt über einen Download bezogen haben, sollten Sie in jedem Fall, bevor Sie das
Produkt zum ersten Mal anwenden, das OPENLiMiT SignCubes Integrity Tool ausführen, um die
Korrektheit der Installation zu verifizieren.
53
Konfiguration der OPENLiMiT SignCubes
In diesem Abschnitt werden Ihnen die Konfigurationsoptionen des Produktes OPENLiMiT
SignCubes Basiskomponenten 2.1, Version 2.1.6.3 dargelegt und auf die sichere
Konfiguration des Produktes eingegangen. Darüber hinaus werden Sie in jedem Abschnitt
dieser Benutzerdokumentation Version 2.1.6.3 auf die sicheren Parameter bei der
Konfiguration hingewiesen. Abweichende Konfigurationen sollten Sie nach Möglichkeit nicht
einsetzen, da unter Umständen der sichere Betrieb des Produktes nicht mehr gewährleistet
werden kann. Vor der Arbeit mit dem Produkt müssen Sie die Konfiguration der
Benutzereinstellungen des Produktes überprüfen, insbesondere, wenn Sie an einem
Arbeitsplatz arbeiten, an dem auch andere Benutzer Zugriff auf das Produkt haben.
Administration und Administratorrolle:
Das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 erlaubt die
individuelle Konfiguration der Benutzereinstellungen. Diese individuelle Konfiguration kann
allerdings nur dann vorgenommen werden, wenn Sie als Benutzer über Administratorrechte
verfügen oder Ihnen ein Administrator des Betriebssystems Administrationsrechte einräumt.
Dies gilt daher nur für die Betriebssysteme Windows NT 4.0, Windows 2000 und Windows
XP, da die individuelle Konfiguration des Produktes an Hand der vorhandenen Nutzer
vorgenommen wird.
Die Administration des Produktes ist also an die Administratorrolle des Betriebssystems
geknüpft. Es wird keine gesonderte Unterscheidung zwischen diesen beiden Rollen im
Verlauf dieses Handbuches vorgenommen. Wenn in diesem Handbuch von der Rolle des
Administrators gesprochen wird, ist damit ein Benutzer mit Administrationsrechten auf dem
jeweiligen Rechner gemeint bzw. ein Benutzer, dem durch den jeweiligen Administrator des
Betriebssystems das Recht eingeräumt wurde, das Produkt individuell zu konfigurieren.
Einräumen von Konfigurationsrechten an andere Benutzer:
Sie können die Bindung an die Administratorrolle im Betriebssystem zur Konfiguration des
Produktes OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 aufheben, indem
Sie einen Wert in der Registry ändern. Diese Änderung hat dann zur Folge, dass jeder
Benutzer des Rechners eine individuelle Konfiguration des Produktes vornehmen kann. Da
das Produkt automatisch eine sichere Konfiguration nach der Installation einnimmt, sollten
Sie von dieser Option nach Möglichkeit keinen Gebrauch machen.
54
Öffnen Sie den Registry Editor des Betriebssystems.
Öffnen Sie den Schlüssel HKLM/Software/SignCubes/Options
Öffnen sie durch einen doppelten Klick auf den Eintrag Options den Wert User
Tragen Sie statt der vorkonfigurierten 0 eine 1 ein.
Mit diesem Eintrag haben Sie die Administratorrolle für das Produkt OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3, die durch das Betriebssystem vorgegeben ist,
aufgehoben. Jetzt kann jeder Benutzer individuelle Einstellungen vornehmen, die auch für
jeden Benutzer separat verwaltet werden. Durch diesen Mechanismus ist sichergestellt, dass
keine
separaten
Administrationsrollen
für
das
Basiskomponenten 2.1, Version 2.1.6.3 definiert sind.
Produkt
OPENLiMiT
SignCubes
55
Konfigurationsoptionen des OPENLiMiT SignCubes
Security Environment Managers
Der OPENLiMiT SignCubes Security Environment Manager bietet zwei Menüs zur
Konfiguration. Das erste Kontextmenü des OPENLiMiT SignCubes Security Environment
Managers wird beim Klicken auf das OPENLiMiT Icon geöffnet. Das zweite Kontextmenü
enthält spezifische Konfigurationsoptionen für die jeweilige Chipkarte und wird im Kapitel
Chipkarten Optionen behandelt.
Wenn Sie auf das Icon OPENLiMiT klicken, wird ein Kontextmenü geöffnet.
Hier sind Menüpunkte betreffend der Software gelistet:
Sperrlistenaktualisierung: Während der Signaturprüfung werden immer die aktuell auf
dem Rechner verfügbaren Sperrlisten verwendet. Daher sollten Sie in regelmäßigen
Abständen (im Normalfall täglich) diese Option nutzen, um aktuelle Sperrlisten auf Ihren
Rechner herunter zuladen. Zusätzlich zur Sperrlistenprüfung können Sie die Online Prüfung nutzen, um den Status des Signaturzertifikates zu ermitteln. Für die Online Prüfung benötigen Sie eine Internetverbindung. Diese wird durch den OPENLiMiT
SignCubes Security Environment Manager nicht automatisch hergestellt.
Eigenschaften: Hier werden Einzelheiten über die Software angegeben. Sie können sich
die installierten Module sowie deren Versionsnummern anzeigen lassen. Weiterhin
können Sie sehen, welche Funktionen Sie lizenziert haben. Für dieses Produkt tragen die
Programm-Module die Versionskennung 2.1.6.3.
Einstellungen: In diesem Menü können sie globale Einstellungen am OPENLiMiT
SignCubes Security Environment Manager vornehmen. Um diese Einstellungen
vornehmen zu können, benötigen Sie die Rechte eines Administrators.
Hilfe: Mit diesem Befehl wird die Benutzerdokumentation zu den OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 geöffnet.
Info: Hier werden Copyright- und Versionsinformationen der Basiskomponenten
angezeigt.
56
Beenden: Mit diesem Befehl wird der OPENLiMiT SignCubes Security Environment
Manager beendet. Dann kann keine Signaturerzeugung bzw. Signaturverifikation
vorgenommen werden.
Option: Lizenzeinstellungen und Lizenzupgrade
Wenn Sie sich vergewissern wollen, welche Lizenz des Produktes Sie erworben haben,
können Sie sich über den Menüpunkt Eigenschaften des OPENLiMiT SignCubes Security
Environment
Managers
die
mit
Ihrem
eingegebenen
Lizenzcode
verbundenen
freigeschalteten Eigenschaften des Produktes anzeigen lassen. Ein grünes Häkchen
bedeutet, dass Sie die jeweilige Eigenschaft des Produktes lizenziert haben und Ihnen diese
damit zur Verfügung steht. Funktionen, die Ihnen nicht zur Verfügung stehen, werden Ihnen
auch nicht angezeigt.
Wenn Sie in dem Menüpunkt Eigenschaften des OPENLiMiT SignCubes Security
Environment Managers auf den Knopf Lizenzinhaber klicken, wird Ihnen das Zertifikat
desjenigen Benutzers angezeigt, der die Lizenz auf dem Rechner freigeschaltet hat. Wenn
Sie selbst die Lizenz frei geschaltet haben, muss Ihr Zertifikat in diesem Dialog angezeigt
werden.
57
Wenn Sie mehr Funktionen des Produktes nutzen möchten als Sie mit dem Lizenzcode
freigeschaltet haben, können Sie einen entsprechenden Lizenzcode von der OPENLiMiT
SignCubes AG oder einem ihrer Vertriebspartner erwerben. Sie müssen in diesem Falle das
Produkt nicht deinstallieren, sondern können auf den Button Lizenz-Upgrade klicken. In
diesem Falle wird der Lizenzmanager erneut gestartet und Sie können über einen
entsprechenden Lizenzcode die gewünschten Funktionen frei schalten.
Hinweis:
Geben Sie die Installationspfade der OPENLiMiT SignCubes Basiskomponenten 2.1,
Version 2.1.6.3 nicht im Netzwerk für andere Benutzer frei.
Vor Verwendung der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3
sollten Sie nochmals prüfen, ob die Lizenz korrekt ist, in dem Sie das OPENLiMiT
SignCubes Basiskomponenten 2.1, Version 2.1.6.3 Icon, Eigenschaften anklicken und
sich die verfügbaren Funktionen anzeigen lassen. Gleichfalls sollten Sie das Zertifikat
des Lizenzinhabers prüfen.
Wenn
der
Lizenzierungsassistent
beim
Start
der
OPENLiMiT
SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 erscheint, ist keine Lizenzdatei vorhanden. Wenn
dies trotz erfolgreich durchgeführter Lizenzierung auftritt, wurde eventuell die Lizenzdatei
gelöscht. In diesem Falle sollten Sie die Integrität des Betriebssystem mit einem
geeigneten Programm (z.B. Virenscanner) überprüfen und sicherstellen, dass nicht
unberechtigte Dritte auf Ihren Rechner zugreifen können.
Option: Allgemeine Einstellungen
Wenn Sie im Kontextmenü des OPENLiMiT SignCubes Security Environment Managers auf
Einstellungen geklickt haben, erscheint ein Dialog mit Registerkarten, die in den folgenden
Abschnitten beschrieben werden.
Hinweis: Sie können die Einstellungen an den Registerkarten nur dann ändern, wenn Sie
auch über Administrationsrechte verfügen. Für das Produkt OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 ist keine spezielle Administratorrolle definiert.
Weitere Erläuterungen finden Sie im Abschnitt Konfiguration der OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3.
58
Die folgenden Optionen können Sie hier einstellen:
Autostart des OPENLiMiT SignCubes Security Environment Managers: Setzen das
Häkchen in der Checkbox, wenn Sie möchten, dass der OPENLiMiT SignCubes Security
Environment Manager automatisch beim Start des Betriebssystems gestartet wird. Diese
Option wird bei der Installation der Software aktiviert. Wenn Sie dieses Verhalten nicht
möchten, können Sie das Häkchen entfernen.
Sprache: Hier wird Ihnen die aktuell eingestellte Sprache angezeigt. Das Produkt
unterstützt die Sprachen Deutsch, Englisch und Italienisch.
Signaturformat: Hier haben Sie die Möglichkeit, das Dateiformat für zu signierende
Dokumente einzustellen (Dokument und Signatur in einer Datei oder Dokument und
Signatur in zwei verschiedenen Dateien). Diese Option hat keine Auswirkungen auf die
sichere Anzeigeeinheit. Die erzeugten Dokumentformate der sicheren Anzeigeeinheit
sind
im
Kapitel
Sicherheitskomponenten
Basiskomponenten 2.1, Version 2.1.6.3 erläutert.
der
OPENLiMiT
SignCubes
59
Attributzertifikate automatisch mitsignieren: Sofern dieser Haken gesetzt ist, werden bei
der Signaturerzeugung alle unter dem Ordner 'Eigene Dateien\Attribute Certificates'
vorhandenen Attributzertifikate dahingehend durchsucht, ob sie zu diesem Zertifikat dazu
gehören. Falls dies der Fall ist, wird das Attributzertifikat mitsigniert und dem
Signaturzertifikat hinzugefügt.
Signaturen automatisch mit Zeitstempel versehen: Hier können Sie den Signaturdaten
automatisch einen Zeitstempel hinzufügen. Der Zeitstempel wird jedoch nicht mitsigniert,
d.h., der Zeitstempel wird nicht durch die neu erstellte Signatur geschützt.
Signaturen automatisch mit OCSP-Status versehen: Mit der Aktivierung dieser Funktion
wird automatisch eine OCSP-Abfrage durchgeführt und das Abfrageergebnis wird den
Signaturdaten hinzugefügt. Die OCSP-Antwort wird nicht durch die neu erstellte Signatur
geschützt.
Durch Anklicken des Buttons Ausgangskonfiguration werden die mit der Installation
vorgenommenen Voreinstellungen wieder hergestellt. Durch die Anwendung dieses
Befehls werden nur die Einstellungen für den aktiven Benutzer zurück gesetzt, nicht
jedoch die Einstellungen, die für alle Benutzer gelten.
Hinweis zur sicheren Konfiguration:
Sie sollten den OPENLiMiT SignCubes Security Environment Manager automatisch beim
Start des Betriebssystems starten lassen. Es wird nur dann das Deaktivieren dieser
Option empfohlen, wenn das PC/SC Subsystem nach dem OPENLiMiT SignCubes
Security Environment Manager gestartet wird und dieser dadurch beim Start des
Betriebssystems keine Kartenleser erkennt.
Das Speichern der Originaldaten und der Signatur in einer Datei oder die Erzeugung
einer abgetrennten Signaturdatei haben keinen Einfluss auf die Sicherheit des Produktes
OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3.
Wenn Sie sich nicht sicher sind, ob sich Ihre Installation in der Originalkonfiguration
befindet, verwenden Sie bitte den Befehl Ausgangskonfiguration, um die von Ihnen
vorgenommenen Änderungen zu verwerfen.
60
Hinweis für die Einstellungen des Signaturformats wenn Sie über die OPENLiMiT SignCubes Shell
Extension verfügen: Wenn Sie die Einstellungen so treffen, dass Verbunddokumente beim
Signaturvorgang erzeugt werden und Sie ein Dokument über die OPENLiMiT SignCubes
Shell-Extension signieren, erhalten Sie ein Dokument mit der Endung '*.p7m'. Wenn Sie nun
die Originaldaten ein weiteres Mal signieren möchten, werden Sie nach dem Namen der
Ausgabedatei über einen 'Datei speichern unter...' Dialog gefragt, da die Signatur nicht dem
'.p7m' Dokument hinzugefügt wird. Wenn Sie den Dateinamen beibehalten, wird das
Originaldokument überschrieben. Sie können aber auch einen anderen Dateinamen
angeben, unter dem dieses Dokument dann abgelegt wird.
Die OPENLiMiT SignCubes Shell-Extension ist kein Bestandteil der OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3, greift aber über eine ebenfalls zertifizierte
Schnittstelle auf die Funktionen des Produktes zurück.
Option: Verzeichnisse
Sie haben im Register Verzeichnisse die Möglichkeit, die Verzeichnisse für Sperrlisten und
Stammzertifikate, die von der Software verwendet werden, umzukonfigurieren. Machen Sie
von dieser Möglichkeit nur dann Gebrauch, wenn Sie sich sicher sind, dass Sie verstanden
haben, wozu diese Verzeichnisse von der Software genutzt werden.
61
Unter dem Register Verzeichnisse können die Speicherpfade für sicherheitsrelevante Dateien
festgelegt werden. Standardmäßig steht der Pfad auf C:\Programme\OPENLiMiT\Data\ und
dann der Name des jeweiligen Ordners.
Was bedeutet sicherheitsrelevant? Beispiel Sperrlisten: Das Produkt OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 verwendet bei der Prüfung von Signaturen
Sperrlisten, um die Gültigkeit des Signaturzertifikates bei der Signaturerzeugung zu
überprüfen. Die Sperrlisten, die Sie manuell vom Sperrlistenverteilungspunkt abrufen,
werden im Verzeichnis für Sperrlisten gespeichert. Wenn Sie die Verzeichnisse für die
Sperrlisten
ändern,
sollten
Sie
entweder
die
in
diesem
Verzeichnis
bei
der
Softwareinstallation abgelegten Dateien ebenfalls in das geänderte Verzeichnis kopieren
oder nach der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann
die korrekte Signaturprüfung durch das Produkt nicht gewährleistet werden.
Sperrlisten: Certificate Revocation Lists (CRLs) sind Listen mit gesperrten Zertifikaten, die
von den Trustcentern herausgegeben werden. Anhand der Sperrlisten wird geprüft, ob das
verwendete Signaturzertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt war.
PKDs (Public Key Directories) sind Verzeichnisse, in denen die öffentlichen Schlüssel, d.h.,
die Zertifikate von verschiedenen Herausgebern gelistet sind. Hier sind derzeit die von der
Bundesnetzagentur herausgegebenen CA-Zertifikate enthalten.
CTLs
(Certificate
Trust
Lists)
sind
Verzeichnisse,
in
denen
vertrauenswürdige
Wurzelzertifikate abgelegt werden können. Das Zertifikat der Bundesnetzagentur, dem wir
generell vertrauen, ist in der Software integriert. Wenn Sie einer anderen Wurzel vertrauen
möchten, speichern Sie das Zertifikat in diesem Ordner und legen Sie die CA-Zertifikate
auch unter den PKDs ab.
Wenn sie die Verzeichniseinstellungen falsch konfigurieren oder nicht alle notwendigen
Schritte
vornehmen,
damit
die
Verzeichnisse
von
den
OPENLiMiT
SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 richtig genutzt werden können, ist ein scheinbares
Fehlverhalten der Software möglich. Durch Ihre Einstellungen konfigurieren Sie selbst,
welchen Zertifikaten Sie vertrauen und welchen nicht.
Hinweis: Wenn Sie die Verzeichnisse ändern, dürfen die neuen Verzeichnisse nicht
schreibgeschützt sein, da sonst das Ablegen von Sperrlisten in dem Verzeichnis fehlschlägt.
Hinweis für die sichere Konfiguration:
Sie sollten die Einstellungen der Verzeichnisse nicht ändern. Wenn Sie die Verzeichnisse
ändern, beeinflussen Sie das Sicherheitsverhalten des Produktes. Sie sollten diese
Einstellungen nur ändern, wenn Sie die obigen Ausführungen richtig verstanden haben.
Option: PIN-Abfrage
62
In diesem Register können Sie die Optionen für die PIN-Eingabe konfigurieren. Gehen Sie
sensibel mit den einstellbaren Optionen um, da ein Missbrauch Ihrer Signaturkarte durch
falsches oder unachtsames Vorgehen mit diesen Optionen erleichtert werden könnte.
In diesem Dialog sind Optionen aufgeführt, welche die Eingabe oder Abfrage der PIN
(personal identification number) betreffen:
Sichere PIN-Eingabe automatisch verwenden
Diese Option garantiert, dass bei Kartenlesern, welche die sichere PIN-Eingabe
unterstützen, diese auch automatisch verwendet wird. Diese Option kann in der
ausgelieferten Konfiguration nicht abgewählt werden und sollte für eine sichere Konfiguration
des Produktes immer aktiviert sein. Wenn Sie nicht die sichere PIN-Eingabe verwenden,
steigt die Gefahr des Ausspähens der PIN durch entsprechende Programme.
Karte für mehrere Arbeitsschritte öffnen
Wenn Sie größere Arbeitsaufgaben vor sich haben, die eine ständige Wiederholung der PINEingabe erfordern, können Sie auch die Karte öffnen. Dann wird die PIN einmalig beim
ersten Signaturvorgang abgefragt. Weitere Eingaben sind nicht mehr erforderlich in
Abhängigkeit von Ihren weiteren Einstellungen. Dies ist beispielsweise sehr praktisch, wenn
man eine Vielzahl von Dokumenten entschlüsseln muss. Auch die Signatur von zahlreichen
Dateien kann so zeitsparend erledigt werden.
63
Diese Funktion ist für die in dem Kapitel Chipkarten genannten Karten nur für die
fortgeschrittene Signatur verfügbar.
PIN abfragen
Falls Sie die Karte für mehrere Arbeitsschritte öffnen wollen, haben Sie zusätzlich die
Möglichkeit, diese Option einzuschränken:
für qualifizierte Signaturen, fortgeschrittene
Signaturen und für Entschlüsselung stehen folgende Varianten zur Verfügung:
bei jeder Verwendung: Jedes Mal wird die PIN abgefragt.
automatisch mit Begrenzung: Je nach Begrenzung ist die Benutzung eingeschränkt.
keine weitere Abfrage: Die PIN muss nicht mehr eingegeben werden.
Beispiel: Wenn Sie nur Entschlüsseln möchten, dann stellen sie die Auswahl bei
qualifizierten und sonstigen Signaturen auf bei jeder Verwendung und bei Entschlüsseln auf
keine weitere Abfrage.
Begrenzung:
Haben Sie oben auf automatisch mit Begrenzung gestellt, können Sie unten eine
Begrenzung nach Anzahl oder Zeit eingeben. Wenn Sie die Parameter gesetzt haben und
während des Arbeitens mit der Karte die Parameter ändern, müssen Sie die Karte ziehen
und neu in das Chipkarten-Terminal stecken, damit die geänderten Einstellungen wirksam
werden.
Sicherheitshinweis: Wenn Sie die Optionen so konfigurieren, dass Sie keine PIN mehr
eingeben müssen, gehen Sie ein erhöhtes Risiko des Missbrauchs Ihrer Signaturkarte ein.
Sie sollten diese Optionen nur dann verwenden, wenn Ihr Rechner sicher frei von bösartiger
Software wie Viren und Backdoor Programmen ist. Weiterhin sollten Sie Ihre Signaturkarte
immer aus dem Kartenleser entfernen, sobald Sie den Arbeitsplatz verlassen. Wenn Sie
diese Mindestsicherheitsanforderungen nicht befolgen, können unberechtigte Dritte mit Ihrer
Karte Signaturen erzeugen, die vor dem Gesetzgeber den Wert Ihrer persönlichen
Unterschrift haben. Vor diesen Szenarien können Sie sich nur selbst durch den
verantwortungsvollen Umgang mit Ihrer Signaturkarte schützen.
Hinweis:
Das 'Offen Halten' für mehrere Arbeitsschritte wird nur von Chip-Karten unterstützt, die durch
das Trust-Center in dieser Konfiguration ausgeliefert werden.
Die Option Sichere PIN-Eingabe automatisch verwenden muss aktiviert sein. Diese
Option zwingt das Produkt, die sichere PIN-Eingabe automatisch zu verwenden.
64
Die Option Karte für mehrere Arbeitsschritte öffnen sollte deaktiviert sein. Wenn Sie die
Karte für mehrere Arbeitsschritte geöffnet halten, gehen Sie das Risiko eines
Missbrauchs Ihrer Karte durch Dritte ein. Dieses Risiko kann durch die Software nur
bedingt abgewehrt werden. In diesem Falle gelten die erhöhten Sicherheitsauflagen der
Chipkarten für diesen Betriebsmodus. Mehr Informationen finden Sie im Abschnitt
Chipkarten.
Option: Zertifikate
Im Register Zertifikate können Sie Einstellungen für den Umgang mit den vorhandenen
Zertifikaten vornehmen.
Wenn Sie die Option bei Signatur nur verfügbare Zertifikate anzeigen wählen, werden
automatisch nur die Zertifikate verwendet, die auf der eingelegten Chipkarte zur Verfügung
stehen. Wenn Sie diese Option deaktivieren, werden ebenfalls auch Zertifikate anderer
Personen berücksichtigt, die an diesem Arbeitsplatz arbeiten. Sie beeinflussen also den
Umgang mit den Zertifikaten durch das Produkt.
65
Wichtiger Hinweis: Grundsätzlich wird die Erzeugung einer elektronischen Signatur immer auf
der eingelegten Chipkarte vorgenommen. Wenn Sie auch Zertifikate anderer Personen bei
der Signaturerzeugung angezeigt bekommen, bedeutet dies nicht, dass Sie auch eine
Signatur mit diesem Zertifikat erzeugen können. Das Produkt wird Ihnen lediglich mitteilen,
dass Sie die entsprechende Chipkarte in das Kartenterminal einlegen müssen.
Die Option SmartCard-Zertifikate automatisch registrieren bedeutet, dass die auf der
Chipkarte vorhandenen Zertifikate automatisch im Microsoft Zertifikatsspeicher registriert
werden.
Die Option Automatisch registrierte Zertifikate ständig verfügbar halten bedeutet, dass die
von der Chipkarte registrierten Zertifikate auch nach der Entnahme aus dem Chipkarten
Terminal im Microsoft Zertifikatsspeicher verfügbar bleiben. Wenn Sie diese Option
deaktivieren, werden die vorher registrierten Zertifikate automatisch wieder deregistriert.
Die angebotene Option bei Signatur nur verfügbare Zertifikate anzeigen hat keinen
Einfluss auf das Sicherheitsverhalten des Produktes.
Die angebotene Option SmartCard-Zertifikate automatisch registrieren hat keinen
Einfluss auf das Sicherheitsverhalten des Produktes.
Die angebotene Option Automatisch registrierte Zertifikate ständig verfügbar halten hat
keinen Einfluss auf das Sicherheitsverhalten des Produktes.
66
Option: Algorithmen
Im Register Algorithmen haben Sie die Möglichkeit, den bei der Signaturerzeugung zu
verwendenden Hashalgorithmus einzustellen bzw. die für die Ver- und Entschlüsselung zum
Einsatz kommenden Verschlüsselungsalgorithmen auszuwählen.
Die für die Signaturerzeugung zur Verfügung gestellten Algorithmen entsprechen dem
Signaturgesetz.
Grundsätzlich sollten Sie die standardmäßig eingestellten und empfohlenen Algorithmen
verwenden. Das ist für die Signaturerzeugung SHA-256 und für die Ver- und
Entschlüsselung 3DES. Der Hash - Algorithmus SHA-1 steht zur Einstellung zur
Verfügung, ist aber für den Einsatz qualifizierter Signaturen ab 2008 nicht mehr zulässig.
Dazu gibt es Übergangsregelungen, über die Sie sich auf der Internetseite der
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
(Bundesnetzagentur) im Internet unter www.bundesnetzagentur.de informieren sollten.
Hinweis: Nutzen Sie bitte die Möglichkeit, sich über das OPENLiMiT SignCubes Integritätstool
die eingestellte Konfiguration für die Chipkarte anzeigen zu lassen.
67
Für die Ver- bzw. Entschlüsselung sollten Sie nur dann andere Einstellungen vornehmen,
wenn es aus Gründen der Kompatibilität mit anderen Programmen notwendig ist.
68
Chipkarten Optionen
Mit einem Klick auf das gelbe Chipsymbol (vorausgesetzt die Karte befindet sich im
Kartenleser) wird das Kontextmenü geöffnet. Die Menüpunkte betreffen Funktionalitäten, die
im Zusammenhang mit der Karte oder dem Kartenleser stehen.
Die folgenden Punkte werden im Chipkarten Menü angeboten:
Verschlüsselungszertifikat
exportieren:
Mit
dieser
Option
können
Sie
das
Verschlüsselungszertifikat von Ihrer Chipkarte in eine Datei speichern. Weitere
Informationen erhalten Sie in dem Kapitel Zertifikate exportieren. Diese Funktion ist nur
dann verfügbar, wenn Sie über ein Verschlüsselungszertifikat verfügen. Ob Sie über ein
solches Zertifikat verfügen, können Sie im Menüpunkt Eigenschaften an Hand der
aufgelisteten Zertifikate auf Ihrer Chipkarte überprüfen.
Eigenschaften: Die Eigenschaften des installierten Kartenlesers werden hier angezeigt.
Ist eine Karte im Kartenleser vorhanden, werden auch die Karteneigenschaften, wie die
Kartennummer und das Zertifikat angezeigt. Weitere Informationen erhalten Sie in dem
Kapitel Eigenschaften.
Einstellungen: Dieser Menüpunkt wird in den Konfigurationsoptionen des OPENLiMiT
SignCubes Security Environment Managers erläutert.
Info: Hier werden Copyright- und Versionsinformationen angezeigt.
Beenden: Mit diesem Menüpunkt wird der OPENLiMiT SignCubes Security Environment
Manager geschlossen.
69
Eigenschaften
Durch Anklicken des gelben Chipsymbols in der Taskleiste (Karte befindet sich im
Kartenleser) und Auswahl des Menüpunktes Eigenschaften erhalten Sie folgende
Informationen:
Unter dem Register Kartenleser wird die Bezeichnung des Kartenlesers und die
Ansteuerung des Kartenlesers angezeigt. Bei Kartenlesern mit sicherer PIN Eingabe wird
auf diese Funktion als Ergänzung zum Kartenleser hingewiesen.
Unter dem Register Karte sehen Sie die Bezeichnung der Karte (meist mit Herausgeber),
die Kartennummer und das Betriebssystem der Karte.
70
Unter dem Register PIN's werden die zu den Zertifikaten der im Kartenleser steckenden
Karte gültigen PIN's angezeigt. Nach Auswahl eines PIN's werden in dem unteren
Fenster als Detailinformationen die minimale Länge und sofern vorhanden die maximale
Länge angezeigt. Gleichzeitig werden die Schaltflächen für weitere Funktionen aktiv. In
Abhängigkeit von der Zulässigkeit stehen die Funktionen Freischalten, Ändern und
Entsperren zur Verfügung.
71
Unter dem Register Zertifikate werden die Zertifikate der Karte, die im Leser steckt,
angezeigt. Nach Anklicken eines Zertifikats in der Liste werden in dem unteren Fenster
die Einzelinformationen angezeigt.
72
Im Abschnitt Zertifikate exportieren können Sie nachlesen, wie Sie die auf Ihrer Karte
vorhandenen Zertifikate in eine Datei speichern können, um auch anderen
Kommunikationspartnern Ihre Zertifikate zu schicken.
In dem Abschnitt Attributzertifkate werden weitere Information zum Handling mit den
Signaturzertifikaten zugehörigen Attributen gegeben.
•
Es werden keine Optionen zur Verfügung gestellt, die einen Einfluss auf das
Sicherheitsverhalten des Produktes haben.
Zertifikate exportieren
Damit Sie Ihren Kommunikationspartnern Ihr Verschlüsselungszertifikat schicken können,
müssen Sie es zunächst aus der Karte extrahieren und in eine Datei exportieren. Diese
Datei können Sie dann einfach per E-Mail verschicken.
1 Stecken Sie die Karte in den Leser und achten Sie darauf, dass sie erkannt wird.
2 Klicken Sie das gelbe Chip-Symbol in der Taskleiste an.
73
Wählen
1
Sie
den
Punkt
exportieren.
Im Fenster Zertifikat exportieren wird der Dateiname angegeben und der Speicherort
ausgewählt. Wahrscheinlich werden Sie den Namen des Zertifikatsinhabers, also Ihren
eigenen, angeben wollen.
2 Mit einem Klick auf Speichern, ist das Zertifikat als *.cer Datei gespeichert und kann für
jede Standard-Verschlüsselungssoftware benutzt werden.
•
Es werden keine Optionen angeboten, die einen Einfluss auf das Sicherheitsverhalten
des Produktes haben können.
74
PIN ändern
Im OPENLiMiT SignCubes Security Environment Manager können Sie die PIN bzw. PIN's
Ihrer Smartcard jederzeit ändern. Dies sollten Sie tun, wenn Sie das Gefühl haben, dass
andere Personen Ihre PIN kennen.
Wählen Sie nach Anklicken des gelben Chipsymbols in der Taskleiste Eigenschaften und
anschließend das Register PINs.
Wählen Sie die zu ändernde PIN und klicken Sie auf Ändern. Geben Sie dann die
aktuelle PIN ein, um die Änderung überhaupt zu ermöglichen.
Danach wird nach der neuen PIN gefragt. Geben Sie diese ein und bestätigen Sie mit
OK.
75
•
Die neue PIN muss nochmals bestätigt werden. Geben Sie diese ein weiteres Mal ein.
•
Sie haben die PIN jetzt geändert.
Verwenden Sie niemals eine triviale PIN, die den Missbrauch Ihrer Karte durch Dritte
erleichtern könnte und notieren Sie die PIN niemals auf der Karte oder an Orten, wo Dritte in
die Kenntnis Ihrer PIN gelangen könnten. Verwenden Sie nur Kartenleser mit sicherer PINEingabe, um die PIN Ihrer Chip-Karte zu ändern. Stellen Sie sicher, dass die Eingabe der
neuen PIN nicht durch Dritte beobachtet wird, da diese dadurch in Kenntnis Ihrer PIN
gelangen könnten.
76
Arbeiten mit den OPENLiMiT SignCubes
Die folgenden Abschnitte beschreiben den Umgang mit den einzelnen Bestandteilen der
OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3. Dieses Kapitel soll Ihnen
den Umgang mit dem Produkt erleichtern und Ihnen dabei helfen, schnell mit den einzelnen
Programmfunktionen vertraut zu werden.
77
Arbeiten mit dem OPENLiMiT SignCubes Security
Environment Manager
Der OPENLiMiT SignCubes Security Environment Manager ist als zentraler Bestandteil der
Anwendung OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 für die
Bereitstellung und Überwachung aller Sicherheitsaufgaben des Produktes verantwortlich.
Für Sie als Benutzer sind vor allem die folgenden Punkte relevant:
Der
OPENLiMiT
SignCubes
Security
Environment
Manager
verwaltet
die
angeschlossenen Kartenleser und überwacht die eingelegten Chipkarten.
Der OPENLiMiT SignCubes Security Environment Manager bietet Ihnen Optionen zur
Auswahl an, welche die Chipkarte und die erzeugten Dokumente betreffen. Zur
Konfiguration dieser Optionen müssen Sie über Administrationsrechte auf Ihrem Rechner
verfügen.
Als Standard wird der OPENLiMiT SignCubes Security Environment Manager automatisch
beim Start des Betriebssystems gestartet. Sie haben allerdings die Möglichkeit, dieses
Verhalten in den Konfigurationseinstellungen des OPENLiMiT SignCubes Security
Environment Managers zu verändern und müssen diesen dann manuell starten.
Während der Arbeit mit dem OPENLiMiT SignCubes Security Environment Manager werden
Sie durch entsprechende Statusmeldungen über den jeweiligen Bearbeitungsstand
informiert:
Sie haben eine Chipkarte in den Kartenleser gesteckt, diese wird erkannt und
identifiziert:
•
Sie haben den Befehl Signatur erzeugen aktiviert, es läuft die Datenaufbereitung
(Hashwertberechnung) bzw. die Signaturerzeugung.
•
Sie haben den Befehl Signatur prüfen aktiviert, es läuft die Hashwertberechnung und der
Abgleich mit den Sperrlisten.
78
Falls Ihnen diese Informationen nicht mehr angezeigt werden sollen, haben Sie die
Möglichkeit, durch Anklicken der Option ausblenden, die Anzeige zu unterdrücken.
Hinweis: Wenn der OPENLiMiT SignCubes Security Environment Manager gestartet wurde,
erscheint das OPENLiMiT Icon in der Taskleiste neben der Uhrzeit.
Hinweis für den manuellen Start:
Unter dem folgenden Menüpunkt können Sie den OPENLiMiT SignCubes Security
Environment Manager manuell starten. Das Programmverzeichnis kann je nach verwendeter
Spracheinstellung variieren. Diese Hilfe beschreibt den Umgang mit einem
deutschsprachigen Betriebssystem.
Start – Programme – OPENLiMiT SignCubes - OPENLiMiT SignCubes Manager
ACHTUNG: Um die Funktionen der Software nutzen zu können, muss der OPENLiMiT
SignCubes Security Environment Manager gestartet sein. Andernfalls haben Sie keinen
Zugang zu den Funktionen des Produktes. Wenn keine Gründe existieren, den OPENLiMiT
SignCubes Security Environment Manager manuell zu starten, dann lassen Sie die Option
auf „automatisch starten“ eingestellt.
Der OPENLiMiT SignCubes Security Environment Manager kann mehrere Kartenleser und
Chipkarten parallel verwalten. Welche Kartenleser und Chipkarten unterstützt werden, ist in
dem Abschnitt Kartenleser bzw. Chipkarten im Detail ausgeführt.
Für jeden erkannten Kartenleser erscheint ein graues Chip-Symbol in der Taskleiste, wenn
keine Karte im Kartenleser vorhanden ist. Ist eine Chipkarte im Kartenleser vorhanden,
erscheint für jede erkannte Chipkarte ein gelbes Chip-Symbol in der Taskleiste.
Erkennung einer Chipkarte durch den OPENLiMiT SignCubes Security Environment
Manager
Steckt keine Karte im Kartenleser, wird für jeden erkannten Kartenleser ein graues Chip
Symbol angezeigt.
Wenn Sie die Karte in den Leser stecken, wird das Symbol gelb und bekommt ein grünes
Fragezeichen (achten Sie darauf, dass die Karte im Leser einrastet).
Hat der OPENLiMiT SignCubes Security Environment Manager die Karte richtig erkannt,
verschwindet das Fragezeichen und der Chip ist gelb. Der erkannte Kartentyp wird
automatisch angezeigt.
79
Jetzt können Sie mit der eingelegten Chipkarte arbeiten. Wenn bereits vor dem Start des
OPENLiMiT SignCubes Security Environment Managers eine Chipkarte in den Kartenleser
eingelegt wurde, erkennt dieser die Karte automatisch.
Hinweis:
Ein gelber Chip mit rotem Kreuz bzw. rotem Fragezeichen erscheint, wenn die Karte verkehrt
in den Leser gesteckt wurde oder eine Karte verwendet wurde, die nicht kompatibel ist.
Die verwendbaren Karten sind in dem Abschnitt Chipkarten aufgeführt.
Ist das Chip-Symbol in der Taskleiste rot, bedeutet dies, dass die Karte geöffnet ist oder
Operationen, wie z.B. die Hashwertverschlüsselung auf der Chipkarte ausgeführt werden.
Karte „geöffnet“ bedeutet, dass Sie mehrere Operationen hintereinander ausführen können,
ohne erneut die PIN eingeben zu müssen. Das kann sinnvoll sein, wenn Sie mehrere
Dokumente hintereinander signieren möchten. Aus Sicherheitsgründen sollten Sie diese
Möglichkeit nur dann nutzen, wenn Sie sich absolut sicher sind, dass kein Missbrauch mit
der Karte vorgenommen werden kann. Verlassen Sie nie Ihren Arbeitsplatz, ohne vorher die
Karte aus dem Kartenleser zu entnehmen. Unberechtigte Personen könnten sonst diesen
Umstand ausnutzen und Signaturen mit Ihrer Chipkarte erzeugen.
Hinweis:
Beim Klicken auf die Icons in der Taskleiste bekommen Sie verschiedene Menüs angeboten.
Wenn sie auf das Icon des OPENLiMiT SignCubes Security Environment Manager klicken,
wird Ihnen das Konfigurationsmenü für den OPENLiMiT SignCubes Security Environment
Manager angeboten. Für diese Optionen benötigen Sie Administrationsrechte auf ihrem
Arbeitsrechner. Wenn Sie auf das graue Chipsymbol klicken, bekommen Sie ein
eingeschränktes Menü angeboten, in welchem Sie sich Informationen zum verwendeten
Kartenleser anzeigen lassen können. Wenn Sie nach dem Einlegen der Chipkarte auf das
gelbe Chipsymbol klicken, bekommen Sie ein Menü für die jeweilige Chipkarte angeboten.
Die angebotenen Menüpunkte werden ebenso wie die Menüpunkte für den OPENLiMiT
SignCubes Security Environment Manager im Kapitel Konfiguration der OPENLiMiT
SignCubes Basiskomponenten 2.1, Version 2.1.6.3 behandelt.
Hinweis:
80
Wenn der OPENLiMiT SignCubes Security Environment Manager Daten verarbeitet, rotiert
das Icon des OPENLiMiT SignCubes Security Environment Managers in der Taskleiste im
Uhrzeigersinn, um zu verdeutlichen, dass momentan eine Operation ausgeführt wird. Wenn
Sie also große Datenmengen signieren wollen (z.B. ein Dokument mit einer Größe von 300
MB), haben Sie immer eine Information darüber, dass momentan Daten verarbeitet werden.
Wenn Sie mit der Maus über das Icon in der Taskleiste fahren, werden Sie sehen, dass auch
der Tooltip-Text des OPENLiMiT SignCubes Security Environment Managers Ihnen mit der
Meldung 'Daten werden bearbeitet' eine entsprechende Information gibt.
Hinweis:
Der OPENLiMiT SignCubes Security Environment Manager reagiert für die Kartenleser SPR
332 und SPR 532 der Firma SCM Microsystems an der USB-Schnittstelle auf die Plug &
Play Ereignisse des Betriebssystems. Wenn Sie also einen solchen Kartenleser verwenden,
haben Sie die Möglichkeit, bei laufendem OPENLiMiT SignCubes Security Environment
Manager einen solchen Kartenleser hinzu zu nehmen oder von der USB Schnittstelle zu
entfernen. Für jeden angesteckten Kartenleser wird ein neues Chipsymbol angezeigt und der
Tooltipp an diesem Icon teilt Ihnen mit, um welchen Kartenleser es sich handelt. Nachdem
Ihnen das Chip-Symbol angezeigt wird, ist der Kartenleser voll einsatzbereit. Um diese
Eigenschaften nutzen zu können, müssen Sie den korrekten Treiber des Herstellers für
diesen Kartenleser installiert haben. Sind keine Treiber vorhanden, kann das Produkt auch
nicht mit dem Kartenleser arbeiten bzw. diesen auch nicht erkennen.
81
Der folgende Abschnitt beschreibt, wie Sie eine Signaturprüfung unter Verwendung des
Produktes OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 vornehmen
können. Grundsätzlich vertraut das Produkt dem Wurzelzertifikat der Bundesnetzagentur für
Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur). Aber
auch andere Wurzelzertifikate können im Betriebssystem als vertrauenswürdig bereitgestellt
werden.
Grundsätzlich gilt: Wenn Sie mit abgesetzten Signaturen arbeiten, muss die Signaturdatei den
gleichen Namen wie das Originaldokument mit der zusätzlichen Endung '.p7s' tragen. Dies
ist Voraussetzung, damit der OPENLiMiT SignCubes Security Environment Manager die
zugehörigen Originaldaten erkennen und die Signatur verifizieren kann.
Verfahren zur Signaturprüfung durch die OPENLiMiT SignCubes Basiskomponenten 2.1, Version
2.1.6.3
Im ersten Schritt wird immer überprüft, ob die elektronische Signatur mathematisch korrekt
ist.
Dies
bedeutet,
dass
bei
der
Signaturprüfung
die
OPENLiMiT
SignCubes
Basiskomponenten 2.1, v2.1.6.3 die Prüfsumme (den Hashwert) über die signierten Daten
grundsätzlich erneut berechnen und die vorliegende Signatur gegen diesen neu berechneten
Hashwert prüfen. Ist diese Prüfung erfolgreich, dann ist die Signatur mathematisch korrekt.
Es kann jedoch noch keine Aussage zur tatsächlichen Gültigkeit der elektronischen Signatur
getroffen werden. Dafür wird in einem weiteren Schritt die Gültigkeit der Zertifikate,
angefangen beim verwendeten Signaturzertifikat bis hin zur Wurzel der Zertifikatskette
geprüft.
Zur Ermittlung der Zertifikatskette werden die in den Signaturdaten enthaltenen Zertifikate
herangezogen. Kann die Zertifikatskette aus den verfügbaren Signaturdaten nicht ermittelt
werden,
können
die
OPENLiMiT
SignCubes
Basiskomponenten
auf
alternative
Zertifikatsspeicher, wie den Microsoft Zertifikatsspeicher oder die Festplatte zurück greifen.
Kann die Zertifikatskette nicht gebildet werden, dann treffen die OPENLiMiT SignCubes
Basiskomponenten keine Aussage zur Gültigkeit der geprüften elektronischen Signatur. Es
wird angezeigt, dass die Signatur mathematisch korrekt ist. Es wird jedoch weiterhin
angezeigt, dass benötigte Zertifikate in der Zertifikatskette fehlen und somit keine
abschließende Aussage zur Gültigkeit der elektronischen Signatur getroffen werden kann.
82
War die Ermittlung des Zertifikatspfades erfolgreich, wird dieser einer Prüfung nach dem
Schalenmodell
unterworfen.
Das
Schalenmodell
besagt,
dass
alle
Zertifikate
im
Zertifikatspfad zum Signaturzeitpunkt gültig und nicht zurückgezogen sein müssen, damit die
Signatur als gültig verifiziert werden kann. Ist diese Prüfung erfolgreich und die
Zertifikatskette vollständig, wird dem Benutzer angezeigt, dass die Signatur gültig ist.
Allgemeine Anforderungen bei der Prüfung elektronischer Signaturen
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 prüfen die Zertifikate
einer Kette in jedem Falle gegen die zur Verfügung stehenden Sperrlisten. Wird ein
entsprechender Sperreintrag für eines der geprüften Zertifikate gefunden, so wird Ihnen
dieser Sperrstatus auch zur Kenntnis gebracht.
Hinweis: Achten Sie bitte darauf, dass stets aktuelle Sperrlisten bei der Signaturprüfung zur
Verfügung stehen.
Da die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 die lokale Systemzeit
zur Codierung des Signaturzeitpunktes verwendet, ist die korrekte Einstellung der
Systemzeit notwendig. Sie sind als Nutzer der OPENLiMiT SignCubes Basiskomponenten
für die Korrektheit der Systemzeit verantwortlich. In allen anderen Fällen kann die Prüfung,
insbesondere nach dem Kettenmodell, durch das Produkt nicht zuverlässig vorgenommen
werden. Durch die Prüfung nach dem Schalen- und dem Kettenmodell verwendet das
Produkt zwei voneinander unabhängig arbeitende Prüfmechanismen, die jedoch beide auf
Sperrlisten angewiesen sind, welche die oben genannten Bedingungen an den
Herausgabezeitpunkt erfüllen.
Ist in der Signaturdatei ein Zeitstempel vorhanden, wird auch eine Aussage zur Gültigkeit der
Signatur an dem Zeitpunkt geliefert, den der Zeitstempel ausweist. Um die vollständige
Gültigkeit des Zeitstempels zu prüfen, müssen Sie den Detaildialog für Zeitstempel
verwenden. Nähere Informationen hierzu finden Sie im Kapitel Zeitstempeldienste.
Hinweis: Ist in dem Signaturabschnitt kein Zeitpunkt der Signaturerzeugung enthalten, wird
die aktuelle Systemzeit als Prüfzeitpunkt verwendet und angezeigt.
Hinweis: Bei der Signaturprüfung müssen Sie immer den Zertifikatspfad des geprüften
Signaturzertifikats
überprüfen.
Das
Produkt
verwendet
auch
vertrauenswürdige
Stammzertifikate aus dem Microsoft Zertifikatsspeicher, d.h., es kann zu der Aussage
kommen, dass die geprüfte Signatur gültig ist, obwohl Sie dem Wurzelzertifikat nicht
vertrauen. Die Gültigkeit der elektronischen Signatur ist im technischen Sinne zwar korrekt,
aber evtl. wollen Sie als Benutzer dem Stammzertifikat nicht vertrauen. Daher ist die Prüfung
des Zertifikatspfades unerlässlich. Diese Prüfung können Sie vornehmen, in dem Sie sich
das Signaturzertifikat über Details anzeigen lassen und im Zertifikatsdialog das Register
Zertifizierungspfad auswählen.
83
Wenn ein Wurzelzertifikat bei der Signaturprüfung gefunden wurde, geben die OPENLiMiT
SignCubes Basiskomponenten den Ablageort an.
Die Zertifikate der Bundesnetzagentur sind den OPENLiMiT SignCubes Basiskomponenten
2.1, Version 2.1.6.3 durch signierte Vertrauenslisten bekannt. In diesem Fall benennt das
Produkt das verwendete Wurzelzertifikat als 'Vertrauenswürdiges Zertifikat'.
Wurde
das
Zertifikat
aus
dem
Microsoft
Stammspeicher
für
vertrauenswürdige
Stammzertifizierungsstellen bezogen, zeigt das Produkt im Zertifizierungspfad ,Zertifikat aus
dem Microsoft Stammspeicher für vertrauenswürdige Zertifikate' an.
Wurde das Zertifikat aus dem CTL Verzeichnis des Produktes bezogen, zeigt das Produkt
,Zertifikat aus dem CTL Verzeichnis' an.
Diese Information wird nur angezeigt, wenn ein Wurzelzertifikat im Zertifizierungspfad
gefunden wurde.
Hinweis: Wenn Sie ein PDF-Dokument prüfen, welches mehrere eingebettete Signaturen
enthält, müssen Sie im Prüfdialog den Befehl 'Daten anzeigen' verwenden, um diejenige
Dokumentversion zu sehen, auf die sich die jeweilige Unterschrift bezieht.
Das PDF Format erlaubt nach einer Signatur, das Dokument weiter zu ändern. Die
elektronische Unterschrift bezieht sich jedoch immer auf die konkrete Version des
Dokuments, die Sie nur aus dem Prüfdialog heraus eindeutig anzeigen lassen können. Das
bedeutet auch, dass die Signatur nicht für das geänderte Dokument gilt, sondern exakt für
die Dokumentversion, die Ihnen im Prüfdialog über den OPENLiMiT SignCubes Viewer
angezeigt wird.
Prüfung qualifizierter elektronischer Signaturen
Grundsätzlich wird bei jeder vorliegenden Signatur geprüft, ob dies eine qualifizierte
elektronische Signatur ist. Die OPENLiMiT SignCubes Basiskomponenten ermitteln dies an
mehreren Kriterien: Das verwendete Signaturzertifikat das Attribut QC-Statement mit dem
Wert EU-QC-konform oder SigG-konform aufweisen. Des weiteren muss das verwendete
Signaturzertifikat von einem angezeigten oder akkreditierten Zertifizierungsdiensteanbieter
herausgegeben worden sein. Die OPENLiMiT SignCubes Basiskomponenten 2.1, v2.1.6.3
verfügen über eigene Verwaltungsmechanismen für diese Einstufung. Die Zertifikate der
ZDA's und der Bundesnetzagentur müssen in einer signierten Vertrauensliste vorliegen, die
ausschließlich durch OPENLiMiT gepflegt wird.
84
Treffen die genannten Kriterien zu, so erfolgt die Prüfung der Zertifikatskette nach dem
Kettenmodell. Dieses Gültigkeitsmodell für Zertifikatsketten erlaubt, dass elektronische
Signaturen mit Zertifikaten erzeugt werden können, deren Herausgeberzertifikate zum
Zeitpunkt der Signaturerstellung bereits abgelaufen sind. Dies erlaubt eine kürzere Laufzeit
einzelner Zertifikat in der Zertifikatskette und erhöht somit die Sicherheit der in Deutschland
verwendeten Zertifikatsinfrastruktur. In allen anderen Fällen erfolgt die Prüfung nach dem so
genannten Schalenmodell.
Die OPENLiMiT SignCubes Basiskomponenten zeigen in eindeutiger Art und Weise an, ob
das Herausgeberzertifikat als angezeigter oder akkreditierter Zertifizierungsdiensteanbieter
in der aktuell verwendeten Vertrauensliste enthalten ist. Ist dies der Fall, wurde die Signatur
nach dem Kettenmodell geprüft. Alle anderen Signaturen, die mit den OPENLiMiT
SignCubes Basiskomponenten 2.1, v2.1.6.3 geprüft werden, werden unter Verwendung des
Schalenmodells geprüft. Detaillierte Informationen zu den verschiedenen Prüfmodellen
finden Sie auf der Webseite der Bundesnetzagentur (http://www.bundesnetzagentur.de).
Für
beide
Gültigkeitsmodelle
gilt,
dass
das
verwendete
Signaturzertifikat
zum
Signaturerzeugungszeitpunkt gültig sein muss. Das Herausgeberzertifikat kann beim
Kettenmodell bereits abgelaufen sein, beim Schalenmodell ist dies nicht zulässig. In keinem
von beiden Gültigkeitsmodellen darf eines der Zertifikate in der Kette zurückgezogen sein,
z.B. wegen Bruch des Signaturschlüssels.
Besonderheiten im Zusammenhang mit dem Katalog zulässiger Algorithmen
Die Bundesnetzagentur veröffentlicht jedes Jahr einen so genannten Algorithmenkatalog,
der die Verwendung der zulässigen Algorithmen für die qualifizierte elektronische Signatur
regelt. Dieser Algorithmenkatalog wird durch die OPENLiMiT SignCubes Basiskomponenten
2.1, Version 2.1.6.3 abgebildet. Dies bedeutet, dass die OPENLiMiT SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 überprüfen, ob der verwendete Algorithmus und der
verwendete Signaturschlüssel den Anforderungen an diesen Katalog genügen. Ist dies nicht
der Fall, wird die geprüfte Signatur auch nicht als gültig geprüft und es wird ein Hinweistext
angezeigt, dass Algorithmen verwendet werden, die keine Aussage über die tatsächliche
Gültigkeit der Signatur zulassen.
Wird
Ihnen
eine
entsprechende
Meldung
durch
die
OPENLiMiT
SignCubes
Basiskomponenten 2.1, Version 2.1.6.3 angezeigt, sollten Sie die Webseiten der
Bundesnetzagentur sowie den Bundesanzeiger heranziehen, um die Korrektheit der
eingesetzten Algorithmen unabhängig zu prüfen. Da im Jahr 2008 der Hashalgorithmus
SHA-1 für die qualifizierte elektronische Signatur nicht mehr zulässig sein wird und eine
definitive Festlegung eines Übergangszeitraums noch nicht getroffen wurde, müssen Sie bei
der Prüfung elektronischer Signaturen im Zweifelsfall die aktuell von der Bundesnetzagentur
veröffentlichten Dokumente zu Rate ziehen.
85
Signaturprüfung vornehmen
Nachdem Sie auf eine signierte Datei geklickt haben, erscheint der Dialog Details zur
Signaturprüfung:
In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig,
ungültig oder zumindest mathematisch korrekt ist.
Ist eine Signatur ungültig, dann wurden die Daten verändert oder die Zertifizierungskette
konnte nicht aufgelöst werden. Dieser Signatur können Sie nicht vertrauen.
Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert
wurde. Außerdem wurde auch die Signatur an sich nicht manipuliert. In der Regel müssen
Sie aber noch den Onlinestatus des verwendeten Signaturzertifikates prüfen, um wirklich
sicher zu sein, dass das verwendete Signaturzertifikat in Ordnung ist.
Dies wird unter den Details, also unter dem Tab mit dem Namen des Signaturinhabers
genauer untersucht.
Hinweis: Falls in Ihrer Programmversion OPENLiMiT SignCubes Basiskomponenten 2.1,
Version 2.1.6.3 das Modul zum Erstellen eines Prüfprotokolls mit installiert wurde, haben Sie
die Möglichkeit, durch Anklicken des Buttons Speichern ein Prüfprotokoll zu erzeugen und zu
speichern. Andernfalls wird der Button nicht angezeigt.
86
Die Bedeutung der einzelnen Punkte
Hashwertüberprüfung: Integrität der Daten
positiv: Die Daten wurden seit der Signatur nicht verändert.
Wird als Zusatzinformation ein Hinweis angezeigt, dass die Signtur als ungeeignet eingestuft
wird, dann bedeutet das, dass für die Berechnung des Hashwertes ein Hashalgorithmus
(z.B. SHA-1) verwendet wurde, der für die Erzeugung qualifizierter Signaturen nicht zulässig
ist.
negativ: Die Hashwerte stimmen nicht überein, die Daten wurden möglicherweise verändert.
Prüfung von Signatur und Zertifizierungspfad: Beschädigung der Signatur und
Vollständigkeit des Zertifizierungspfades
Wird als Zusatzinformation ein Hinweis angezeigt, dass die verwendeten Signaturparameter
als ungeeignet eingestuft werden, dann bedeutet das, dass entweder für die Berechnung
des Hashwertes ein Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung
qualifizierter Signaturen nicht zulässig ist oder die verwendeten Schlüssel nicht die
erfolderlich Länge größer als 1024 Bit besaßen.
Zeitpunkt der Signaturerzeugung: Hier wird die Zeit angegeben, die auf dem Rechner zur
Signaturerzeugung eingestellt war.
Vertrauensbasis: Zeigt die Quelle für das Wurzel- bzw. Rootzertifikat an, auf der die
Prüfung des Zertifikats beruht. Weiterhin wird der für die Signaturprüfung verwendete
Algorithmenkatalog angezeigt.
87
Zertifikatsstatus: Sperrung der Signatur. Anhand von Sperrlisten wird geprüft, ob das
Zertifikat gesperrt wurde. Wenn hier nicht geprüft werden kann, empfiehlt sich das
Herunterladen von aktuellen Sperrlisten oder eine Online-Prüfung über den Button
Onlinestatus...
Über den Button Details, Auswahl des Zertifikats und wiederum Anklicken des Buttons
Details können Sie sich die Zertifikatseigenschaften anzeigen lassen.
Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt
werden.
Nach einem Klick auf Onlinestatus... wird die OCSP-Abfrage geöffnet. Für die Prüfung muss
eine Verbindung mit dem Internet bestehen.
Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig,
gesperrt oder unbekannt.
88
Wenn Sie auf den Button Details klicken, können Sie sich die Details zur OCSP-Abfrage
anzeigen lassen.
Wenn Sie unter dem Register Zusammenfassung auf den Button Signatur-Zertifikat
anzeigen klicken, können Sie die Details des Zertifikatspfades nachvollziehen.
89
Um die Quelle der OCSP Antwort zu prüfen, sollten Sie immer das Zertifikat, welches die
OCSP Antwort unterzeichnet hat, anzeigen lassen. Sie müssen selbst entscheiden, ob Sie
dem Zertifikat vertrauen.
Unter dem Register OCSP Details werden Ihnen weitere Detailinformationen zu der OCSP
Antwort angezeigt.
Hinweis: Auch wenn Sie in regelmäßigen Abständen die aktuellen Sperrlisten der
Zertifikatsherausgeber beziehen, sollten Sie auf jeden Fall immer eine OCSP Abfrage
durchführen. Lassen Sie sich das Zertifikat der OCSP Antwort anzeigen und entscheiden Sie
selbst, ob Sie diesem vertrauen.
.
90
Arbeiten mit dem OPENLiMiT SignCubes Integrity
Tool
Das OPENLiMiT SignCubes Integrity Tool ist ein Programm zur Überprüfung der HashWerte an den ausgelieferten sicherheitsrelevanten Modulen und stellt somit sicher, dass sich
die Module noch in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert
wurden.
Das OPENLiMiT SignCubes Integrity Tool sollte grundsätzlich über die Internetseite
https://www.openlimit.com/integritytool gestartet werden.
In dem Fall, dass Sie das Produkt über einen Download erhalten und installiert haben,
sollten Sie, bevor Sie das Produkt zum ersten Mal einsetzen, das OPENLiMiT SignCubes
Integrity Tool ausführen, um die Korrektheit der Installation zu verifizieren.
Stellt das OPENLiMiT SignCubes Integrity Tool fest, dass die Module sich nicht mehr in
ihrem Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner
installieren. Vorher sollten Sie jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr
Rechner von einem Virus befallen wurde oder ein anderes Programm Ihren Rechner
manipuliert hat.
Starten
Sie
das
Integritätstool
über
die
Internetseite
https://www.openlimit.com/integritytool. Die Java Virtual Machine (JVM) überprüft
daraufhin die Signatur des Applets und öffnet einen Dialog mit Sicherheitshinweisen.
91
Die Seriennummer des Signaturzertifikates für das OPENLiMiT SignCubes Integrity Tool
finden Sie in dieser Benutzerdokumentation unter OPENLiMiT SignCubes Integrity Tool.
Zur Sicherheit sollten Sie immer die Signatur des Applets über den Befehl Weitere
Informationen prüfen und erst dann den Start des Applets selbst freigeben.
Nach Anklicken des Button Zertifikatsdetails werden die Informationen zu dem Zertifikat
einschließlich der Seriennummer angezeigt.
92
•
In dem folgenden Fenster wird Ihnen der Pfad für die OPENLiMiT Programminstallation
angezeigt.
Standardmäßig
ermittelt
das
Java-Applet
beim
Start
das
Installationsverzeichnis. Falls dieser nicht automatisch gefunden wurde bzw. nicht korrekt
angezeigt wird, stellen Sie bitte den Pfad über den Button 'Installationspfad'
entsprechend ein.
•
Gleichzeitig haben Sie die Möglichkeit, über den Button Sprachauswahl die Sprache
einzustellen. Das OPENLiMiT SignCubes Integrity Tool wird in deutsch und englisch
bereitgestellt.
93
.
Hinweis: Geben Sie die Installationspfade der OPENLiMiT SignCubes Basiskomponenten
2.1, Version 2.1.6.3 nicht im Netzwerk für andere Benutzer frei.
Nach Anklicken des Button Prüfung starten wird das OPENLiMiT SignCubes Integrity Tool
gestartet.
94
Ist der Dateistatus für alle Dateien OK, so ist die Integrität der Software erfolgreich
nachgewiesen.
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 können optional Module
enthalten wie die siq0*.dll, siq1*.dll und siq2*.dll. Diese Module beinhalten die Ansteuerung
konkreter Kartenterminals. Ist ein Modul vorhanden, dann wird auch jeweils eine Liste der
dadurch unterstützten Kartenterminals angezeigt:
siq0rsct.dll
95
siq0scmm.dll
SCM Microsystems SPRx32/Chipdrive PinPad
siq0ok.dll
siq0kby.dll (PC/SC) oder siq0kbyct.dll (CT-API)
Kobil Systems B1 Pro
Kobil KAAN Advanced
siq0chy.dll
Cherry G83-6700
Cherry G83-6744
Cherry ST-2000
siq0fsc.dll
Chipkartenbetriebssysteme und Chipkarten
siq0dba.dll und siq1dba.dll unterstützt das SECCOS Chipkartensystem in Vebrindung mit
der Siemens API
sq1seccos.dll unterstützt das SECCOS Chipkartenbetriebssystem
siq1cm43.dll unterstützt das Siemens CardOS M4.3B
siq1spk3.dll unterstützt SPK3
siq1tcos3x.dll unterstützt TCOS 3.0
Chipkarten-OS
Chipkartenprofil
Chipkartenname im Produkt
siq1seccos.dll
siq2ds2.dll
Alle Karten des Sparkassenverlags
siq1cm43.dll
siq2cm43.dll
D-TRUST Karte
Generische SigG-Ansteuerung der Siemens
Karten
siq1spk3.dll
siq2dgn2.dll
dgnserviceCard
96
siq2dp2.dll
Signtrust Card (Deutsche Post Com GmbH)
Signaturkarte (DATEV eG)
Signaturkarte (BNotK)
siq1tcos3x.dll
siq2nks43.dll
NetKey 3.0 und NetKey 3.0M
siq0dba.dll,
siq2dba.dll
BA User Card mit Siemens Card API
siq1dba.dll
Das Fehlen eines oder mehrerer dieser Module wird durch den Status Nicht installiert
ausgewiesen. Die Integrität der OPENLiMiT SignCubes Basiskomponenten 2.1, Version
2.1.6.3 ist trotzdem sichergestellt.
Ab Version 2.1.6.3 bietet das OPENLiMiT SignCubes Integrity Tool dem Anwender die
Möglichkeit, Konfigurationen für Chipkarten zusätzlich einzuspielen. Diese Konfiguration sind
Initialisierungsdateien, die festlegen, welcher Hash- und Signaturalgorithmus für die jeweilige
Signaturkarte verwendet wird.
Das OPENLiMiT SignCubes Integrity Tool kennt alle möglichen Konfigurationen für die
Signaturalgorithmen und prüft bei der Integritätsprüfung auch die verwendeten Algorithmen.
Wird eine Kartenkonfiguration gefunden, die nicht den Vorgaben der Bundesnetzagentur
entspricht, wird eine Warnung an den Benutzer generiert und angezeigt. Wird eine
Konfigurationsdatei gefunden, die unbekannt ist, wird dieser Zustand dem Benutzer
angezeigt.
Beispiel 1:
Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das
Integrity Tool bildet den Hashwert über die Initialisierungsdatei und stellt dabei fest, dass
diese Datei festlegt, dass die SECCOS Karten mit SHA-1 als Hashwert signieren sollen. In
diesem Falle wird durch das Integrity Tool der folgende Text generiert: „Das Modul ist so
konfiguriert, dass SHA-1 als Hashalgorithmus bei der Signatur zugelassen ist. Bitte prüfen
Sie auf der Webseite der Bundesnetzagentur (http://www.bundesnetzagentur.de), ob mit
dieser Konfiguration die Anforderungen an die qualifizierte Signatur erfüllt werden.“
Beispiel 2:
Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das
Integrity Tool bildet den Hashwert über die Initialisierungsdatei und stellt dabei fest, dass
diese Datei festlegt, dass die SECCOS Karten mit SHA-256 als Hashwert signieren sollen. In
diesem Fall wird durch das Integrity Tool der folgende Text generiert: „Das Modul ist so
konfiguriert, dass SHA-256 als Hashalgorithmus bei der Signatur verwendet wird.“
97
Hinweis: Die Sprachressourcen der OPENLiMiT SignCubes Basiskomponenten 2.1, Version
2.1.6.3 sind in der deuSEMk.dll bzw. der engSEMk.dll gespeichert. Mindestens eine der
beiden Dateien muss vorhanden sein, ansonsten wird die Integrität der OPENLiMiT
SignCubes Basiskomponenten 2.1, Version 2.1.6.3 nicht bestätigt. Für die jeweilige
Sprachressource müssen auch die dazugehörige Hilfe und der Viewer vorhanden sein,
ansonsten wird die Integrität ebenfalls nicht bestätigt.
Nach Bestätigung des Informationsfensters mit OK erhalten Sie die Liste der Dateien, die
geprüft wurden und den Dateistatus angezeigt.
Folgende Dateizustände werden unterschieden:
OK: Die Prüfung des Hashwertes ist positiv, d.h. die Datei entspricht der
Originalinstallation.
Unbekannt: Das ist der Ausgangsstatus für alle Dateien vor der Prüfung. Dieser Status
wird auch angezeigt, wenn keine Prüfung möglich ist.
Datei verändert: Die Datei wurde nach der Installation verändert.
Datei nicht gefunden: Die Datei wurde nicht gefunden.
Datei nicht lesbar: Die Datei ist nicht lesbar und der Hashwert konnte nicht berechnet
werden.
Nicht installiert: Dieser Status trifft nur für die optionalen Module zu, falls diese nicht
installiert sind.
98
Nach Anklicken des Button Speichern haben Sie die Möglichkeit, das Ergebnis der Prüfung
zu speichern.
•
Schließen Sie das Browserfenster, um den Prüfprozess zu beenden.
Wurden Dateien bzw. Signaturen manipuliert, sind nicht vorhanden bzw. konnten nicht
gelesen werden, teilt Ihnen das Programm dies mit einer entsprechenden Meldung mit. Die
Integrität ist damit nicht bestätigt.
Hinweis: Im Falle von Abweichungen vom Originalzustand der Installation müssen Sie den
Rechner auf sicherheitstechnische Veränderungen und Eingriffe prüfen.
99
Es wird empfohlen, dass Sie in diesem Falle die Software mit Hilfe des
Installationsprogrammes deinstallieren und erneut installieren. Falls die Verifikation des
Zertifikates durch die JVM fehlschlägt oder andere Dialoge als die abgebildeten angezeigt
werden, insbesondere wenn eine andere Seriennummer für das Signaturzertifikat angezeigt
wird, wird nicht das korrekte Prüfprogramm ausgeführt. In diesem Falle dürfen Sie sich nicht
auf die Statusaussagen des Tools verlassen und müssen Ihre Installation der JVM sowie die
URL, von der Sie das OPENLiMiT SignCubes Integrity Tool bezogen haben, mit den
Angaben im Handbuch vergleichen.
100
Sperrlistenaktualisierung
Die Sperrlistenaktualisierung ist ein Zusatzmodul zu den bestätigten Basiskomponenten und
kann aus dem Menü des Security Environment Managers gestartet werden. Im weiteren
Verlauf
wird
dieses
Zusatzprogramm
als
OPENLiMiT
SignCubes
Sperrlistenaktualisierungsassistent bezeichnet.
Der
folgende
Abschnitt
beschreibt
die
Benutzung
des
OPENLiMiT
SignCubes
Sperrlistenaktualisierungsassistenten im Detail. Etwaige Fehlermeldungen des OPENLiMiT
SignCubes
Sperrlistenaktualisierungsassistenten
sind
im
Kapitel
Fehlermeldungen
OPENLiMiT SignCubes Security Environment Manager enthalten.
Um eine sichere Signaturprüfung zu gewährleisten, sollten Sie vor der Signaturprüfung die
aktuellsten
Sicherheitsdateien
herunterladen.
Diese
Sicherheitsdateien
bestehen
hauptsächlich aus Sperrlisten, aber auch die Public Key Directories der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) sollten
in regelmäßigen Abständen aktualisiert werden. Sie haben als Benutzer die Möglichkeit,
auszuwählen, welche Sperrlisten heruntergeladen werden sollen. Sie können am
Wurzelzertifikat der geprüften Signatur erkennen, welche Sperrliste Sie verwenden müssen,
um die Signatur korrekt zu prüfen. Als Arbeitsschritt empfiehlt es sich aber immer, vor der
eigentlichen Signaturprüfung stets alle Sperrlisten herunter zu laden, da Sie im Regelfall
nicht wissen, von welchem Zertifikat die zu prüfende Signatur erzeugt wurde und wie das
zugehörige Herausgeberzertifikat lautet.
So laden Sie eine aktuelle Sperrliste herunter:
Klicken Sie auf das OPENLiMiT Icon in der Taskleiste.
Wählen Sie den Menüpunkt Sperrlistenaktualisierung.
Daraufhin öffnet sich der OPENLiMiT SignCubes Sperrlistenaktualisierungsassistent mit
einer Startseite, die Sie mit Weiter bestätigen können.
101
•
Wählen Sie aus der Liste mit einem Klick in die Checkboxen die gewünschten
Sicherheitsdateien aus.
Klicken Sie jetzt auf Weiter
102
Wenn Sie jetzt auf Starten klicken, werden die aufgelisteten Dateien aktualisiert. Mit
einem Klick auf Zurück können Sie die Auswahl noch einmal ändern.
Der Dateistatus gibt an, wie weit der Download der jeweiligen Datei fortgeschritten ist. Am
Ende wird eine Liste mit Ergebnissen erstellt.
Klicken Sie auf Fertigstellen
103
Hinweis: Um diese Dateien zu aktualisieren, benötigen Sie eine Internetverbindung. Konnte
die Verbindung nicht hergestellt werden, wird als Statusmeldung 'Fehler beim Download'
angezeigt. Aktuelle Sperrlisten sind notwendig um eine erfolgreiche Signaturprüfung
vornehmen zu können. Wenn sie die Sperrlisten nicht aktualisieren, können Sie auch keine
Signaturen bzw. das verwendete Signaturzertifikat und die Zertifikatskette als gültig
verifizieren.
Hinweis: Die Sperrlistenaktualisierung kann über Proxy - Server erfolgen. Voraussetzung
dafür ist, dass die entsprechenden Einstellungen über den Internetexplorer/Extras/
Internetoptionen/Internetverbindungen vorgenommen wurden. (Eine automatische
Konfiguration ist nicht vorgesehen.)
Falls eine Anmeldung über User und Passwort erforderlich ist, sind die folgenden
Einstellungen notwendig:
•
Öffnen Sie die Datei siqSOL.ini in dem Ordner C:\Programme\OPENLiMiT\Data mit
einem beliebigen Editor.
•
Entfernen Sie vor der Bezeichnung User= und Pass= jeweils das Semikolon und tragen
Ihre Zugangsdaten für den Proxy - Server ein.
104
105
Arbeiten mit dem OPENLiMiT SignCubes Viewer
Der OPENLiMiT SignCubes Viewer kann aus dem Signaturanforderungsdialog und bei der
Signaturprüfung (PKCS#7 Dateien) jeweils über den Button Daten anzeigen gestartet
werden, vorausgesetzt es handelt sich um Daten im PDF, TIFF oder TXT Format und die
Anzeige dieser Dateiformate wurde durch einen entsprechenden Lizenzcode freigeschaltet.
In diesem Fall werden Ihnen die Daten, die Sie signieren bzw. deren Signatur Sie prüfen
wollen, angezeigt. Die Schaltflächen zur Signaturerzeugung und Signaturverifikation sind
nicht aktiv.
Darüber hinaus kann der OPENLiMiT SignCubes Viewer als separates Programm über Start
- Programme - OPENLiMiT SignCubes - OPENLiMiT SignCubes Viewer gestartet werden.
Beim Start über den Programmordner wird das Programm ohne Datei geöffnet.
Nachdem eine Datei geöffnet wurde, sehen Sie im linken Bereich der Anzeige unter dem
OPENLiMiT Logo eine Dateivorschau, welche Ihnen die einzelnen Seiten des Dokuments
mit der Seitennummer anzeigt. Mit einem Klick auf die jeweilige Vorschauseite springt die
Seitenansicht im rechten Bereich der Anwendung auf die angewählte Seite. Im dargestellten
Beispiel umfasst die TIFF Datei nur eine Seite.
106
Der OPENLiMiT SignCubes Viewer stellt Ihnen die folgenden Toolbars zur Verfügung.
Die Toolbar Standard:
Die folgenden Funktionen können über diese Toolbar angesprochen werden:
Datei öffnen: Hier können Sie eine TIFF oder Textdatei in die Ansicht laden.
Datei speichern unter: Hier können Sie die Datei unter einem beliebigen Namen
speichern.
Seitenansicht: Es wird eine Druckvorschau generiert.
Drucken: Hier können Sie die Datei ausdrucken.
Dateiinhalt: Es werden in Abhängigkeit von dem geöffneten Dateiformat weitere
Dateiinhalte angezeigt.
Info: Es werden die Versionsinformation und die Copyright Informationen angezeigt.
Hilfe: Es wird die Benutzerdokumentation (dieses Handbuch) geöffnet
Die Toolbar Ansicht:
107
Diese Toolbar ist nur bei TIFF Dateien aktiv. Textdateien werden immer im Verhältnis 1:1
dargestellt.
Breite anpassen: Das dargestellte Bild wird an die Breite des Fensters angepasst.
Alles darstellen: Das dargestellte Bild wird so in das Fenster eingepasst, dass die
gesamte Seite in dem Fenster dargestellt wird.
Pixelgenau darstellen: Das Bild wird 1:1 pixelgenau dargestellt.
•
Benutzerdefiniert darstellen: Es erscheint ein Dialog, der Ihnen die Auswahl eines
Zoomverhältnisses zwischen 10% und 300% ermöglicht.
•
Schwarz/Weiß Darstellung: Sie haben hier die Möglichkeit, ein TIFF-Dokument, welches
als Farb- oder Graustufendarstellung vorliegt, in eine Schwarz/Weiß Darstellung zu
transformieren.
Graustufendarstellung: Das aktuelle TIFF-Dokument wird in Graustufen dargestellt.
Originaldarstellung: Wenn Sie von der Option zur Schwarz/Weiß Darstellung oder der
Graustufendarstellung Gebrauch gemacht haben, kommen Sie hier wieder zur
Originalansicht.
Die Toolbar Signatur:
Diese Toolbar ist nur dann aktiv, wenn das Programm nicht aus dem
Signaturanforderungsdialog gestartet wurde.
•
Signatur erzeugen: Hier können Sie über den OPENLiMiT SignCubes Security
Environment Manager die angezeigte Datei elektronisch signieren.
Signatur prüfen: Hier können Sie über den OPENLiMiT SignCubes Security Environment
Manager eine Prüfung der elektronischen Signatur vornehmen.
In Abhängigkeit von den zur Verfügung stehenden Funktionalitäten können Buttons für
weitere Anwendungen angezeigt werden wie z.B. dem Mailversand.
Hinweise für den Umgang mit Meldungen während der Dokumentanalyse
Wenn ein Dokument durch den OPENLiMiT SignCubes Viewer geöffnet werden soll,
untersucht der OPENLiMiT SignCubes Viewer dieses Dokument nach versteckten Inhalten.
Der folgende Abschnitt zeigt Ihnen, wie Sie mit einer solchen Meldung umgehen können.
108
Wenn Sie eine TIFF - Datei in den OPENLiMiT SignCubes Viewer laden, kann die folgende
Meldung erscheinen.
Diese Meldung bedeutet, dass die TIFF Datei zwar inhaltlich korrekt ist, aber Datenfelder
enthält, die in der Darstellung nicht angezeigt werden. Der OPENLiMiT SignCubes Viewer
gibt Ihnen die Möglichkeit, diese Datenbereiche ebenfalls zu untersuchen. Um diese
Bereiche zu untersuchen, klicken Sie auf:
•
das Symbol für weitere Dateiinhalte in der Toolbar
•
oder
den
Menüpunkt
Ansicht
-
weitere
Dateiinhalte...
Ihnen wird dann ein Dialog angezeigt, der Ihnen sämtliche Informationen zu den angezeigten
Dateiinhalten liefert.
109
Sie können sich z.B. in einer TIFF-Datei alle Tags, nur Text Tags oder auch nur die
unbekannten Tags anzeigen lassen. In dem unteren Fenster wird dieser Bereich dann
Hexadezimal kodiert dargestellt bzw. Sie können die Darstellung auch auf Dezimalzahlen
umschalten. Wenn Sie den Scrollbalken des Fensters nach unten bewegen, sehen Sie einen
Bereich, in dem versucht wird, die enthaltenen Informationen als Text darzustellen. Dies gibt
Ihnen die Möglichkeit, verborgene Inhalte zu erkennen und z.B. zu entscheiden, ob Sie die
Datei trotz dieser Inhalte signieren möchten. Häufig enthalten TIFF-Dateien noch
Zusatzinformationen, wie einen Autor. Diese Informationen werden in der Bildverarbeitung
oft nicht mit dargestellt. Mit der Analyse durch den OPENLiMiT SignCubes Viewer haben Sie
trotz allem noch die Möglichkeit, auch diese verborgenen Inhalte zu betrachten.
Hinweis: Die Untersuchung der verwendeten TIFF-Dateien richtet sich an der Adobe TIFFSpezifikation 6.0 aus. Wenn TIFF-Dateien verwendet werden, die nicht dieser Spezifikation
entsprechen, kann das gelieferte Produkt diese Dateien nicht analysieren und korrekt als
TIFF Datei erkennen.
Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt
2.1.6.3 beschrieben.
Untersuchung von TIFF-Dokumenten in der Schwarz-Weiß Darstellung
110
Das folgende Beispiel erklärt Ihnen, wie Sie versteckte Inhalte in TIFF-Dokumenten
erkennen können, die auf Grund unzureichender Kontrastierung in der Ansicht nicht
erscheinen. Sie laden eine Grafik mit dem OPENLiMiT SignCubes Viewer, die im ersten
Schritt wie folgt dargestellt wird.
Im nächsten Schritt sollten Sie grundsätzlich eine Untersuchung der dargestellten Grafik
vornehmen, da auf Grund zu geringer Farbkontraste enthaltene Informationen bei der
Darstellung am Monitor verloren gehen können. Sie klicken auf den Knopf zur Schwarz/Weiß
Darstellung und sehen den folgenden Dialog.
111
Sie können nahtlos die Einstellung festlegen, ab welchem Punkt die Farbwerte der Farbe
Schwarz zugeordnet werden. Sie bewegen den Schieberegler bis auf eine volle SchwarzWeiß Darstellung und können somit den Inhalt der Datei nun genauer untersuchen. Damit
haben Sie grundsätzlich die Möglichkeit, jede farbige Grafik auf verdeckte Inhalte hin zu
untersuchen. Nachdem Sie die Einstellungen vorgenommen haben, klicken Sie auf OK. In
der folgenden Darstellung erkennen Sie nun den Inhalt, der auf Grund der unzureichenden
Farbkontraste des Monitors sonst nicht sichtbar gewesen wäre.
Sie haben mit Hilfe des OPENLiMiT SignCubes Viewers den versteckten Inhalt entdeckt und
sollten von der Erzeugung einer elektronischen Signatur absehen.
112
Grundsätzlicher Hinweis: Der OPENLiMiT SignCubes Viewer kann Sie nicht von der
Interpretation der angezeigten Daten befreien. Das TIFF Format ist kein Dateiformat,
welches eine Interpretation des dargestellten Inhaltes durch ein Programm wie den
OPENLiMiT SignCubes Viewer zulässt. Die Untersuchung der Daten auf versteckte Inhalte
wird Ihnen durch diesen Produktbestandteil ermöglicht, allerdings müssen Sie selbst solche
Untersuchungen mit Hilfe der vorhandenen Mechanismen vornehmen. Das TIFF-Format
sieht die Verwendung bestimmter Kompressionsformate innerhalb einer TIFF-Datei vor. Die
sichere Anzeigeeinheit erkennt nicht alle Kompressionsformate und kann daher auch nicht
alle Kompressionsformate anzeigen. In diesem Falle wird die Textmeldung angezeigt: 'Das
Format der Datei ist nicht geeignet'.
Um Inhalte, wie Sie in dem obigen Szenario erläutert wurden, sicher zu erkennen,
müssen Sie bei farbigen TIFF-Dokumenten immer eine Analyse in der Schwarz/Weiß
Darstellung vornehmen. Sie könnten sonst ein Dokument signieren, welches Sie in
seinem Inhalt nicht bereit wären, zu signieren.
Hinweis bei der Analyse von Text-Dateien
Bei der Analyse von Textdokumenten kann der OPENLiMiT SignCubes Viewer melden, dass
Zeichen erkannt wurden, für die keine eindeutige Darstellung definiert ist. Das bedeutet,
dass Zeichen erkannt wurden, die sowohl im OEM Schriftsatz als auch im ANSI Schriftsatz
eine unterschiedliche Bedeutung haben.
113
Wenn Sie sich nicht sicher sind, ob dadurch der Inhalt eines Textdokuments verfälscht wird,
können Sie sich ebenfalls unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der
Toolbar Klarheit verschaffen. Die folgende Grafik zeigt, wie die Analyse solcher mehrfach
belegten Zeichen im Detail dargestellt wird.
114
Ihnen wird angezeigt, welche Zeichen wie oft erkannt wurden. Wenn Sie auf ein Zeichen in
der Liste klicken, wird Ihnen zu jedem Vorkommen des Zeichens angezeigt, in welcher Zeile
und Spalte des Dokuments dieses Zeichen gefunden wurde. So können Sie sich Klarheit
verschaffen, ob das Dokument immer noch den Inhalt hat, den Sie auch bereit sind, zu
signieren.
Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt
2.1.6.3 beschrieben.
Bei dem Öffnen einer PDF Datei mit dem OPENLiMiT SignCubes Viewer kann der folgende
Hinweis auftreten:
Damit werden Sie darauf hingewiesen, dass in der PDF Datei Java Scripte enthalten sind.
Diese werden in dem OPENLiMiT SignCubes Viewer nicht ausgeführt. In dem darauf
folgenden Fenster erhalten Sie den Hinweis auf "Weitere Dateiinhalte", die Sie sich über
Ansicht Weitere Dateiinhalte ansehen können.
115
Unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar haben Sie die
Möglichkeit, sich weitere Dateiinhalte zu dem geöffneten PDF Dokument anzeigen zu
lassen:
116
Allgemein: Es werden Ihnen in zusammengefasster Form die wichtigsten Dateiinhalte
aufgelistet.
Bilder: Zeigt an, welche Bilder auf welcher Seite zu finden sind.
Java Script: Gibt Ihnen eine Auflistung der in dem PDF enthaltenen Java Scripte und dazu
weitere Detailinformationen.
Kommentare: Es werden die Kommentare des PDF mit ihrer Position aufgelistet.
Alle Texte: Unter diesem Register werden alle in dem PDF enthaltenen Texte getrennt nach
den einzelnen Seiten dargestellt.
Viewer Meldungen: In diesem Register werden Ihnen weitere Prüfdetails als Hinweis
angezeigt.
Schriften: Es werden die in dem PDF verwendeten Schriftarten aufgezeigt.
Annotationen: Es werden Zusatzinformationen zu in dem PDF enthaltenen Formularfeldern
angezeigt.
Wählen Sie das Register Allgemein erhalten Sie solche Informationen zu dem PDF wie
Dateiname, enthaltene Java Scripte sowie Bilder und die Kopfdaten des PDF angezeigt.
117
Wählen Sie in dem Register Bilder ein Bild aus und klicken die Schaltfläche Zeigen an,
erhalten Sie eine Liste aller in dem PDF enthaltenen Bilder, die Sie sich fortlaufend anzeigen
lassen können.
118
Die in der PDF Datei enthaltenen Java Scripte werden Ihnen unter dem Register Java Script
angezeigt:
Über das Register Alle Texte werden die in der PDF Datei enthaltenen Texte getrennt nach
den einzelnen Seiten zusammengefasst.
119
Nach Klicken auf die Schaltfläche Zeigen erhalten Sie die Textinformation in dem
Textextraktionsdialog übersichtlich angezeigt:
120
Unter dem Register Viewer Meldungen werden Ihnen weitere Detailinformationen angezeigt,
die sich aus der Prüfung der Daten bei der Erstellung der Ansicht im Viewer ergeben haben.
Hinweis: Achten Sie darauf, welche Fonts vom Viewer zur Darstellung der Texte verwendet
werden. Es ist möglich, dass bei der Erzeugung des PDF Dokuments Fonts verwendet
wurden, die auf Ihrem Betriebssystem nicht installiert sind. In diesem Falle muss der Viewer
diese Fonts durch andere, ähnliche Fonts ersetzen. Verwenden Sie zur Prüfung von Texten
immer den Text-Extraktionsdialog (Registerkarte: Alle Texte, Button: Anzeigen) um sich über
den dargestellten Text zu vergewissern.
Unter dem Register Schriften werden Ihnen die in der PDF Datei verwendeten Schriftarten
angezeigt mit der Information, ob diese Schriftart in der Datei eingebettet ist oder vom
Betriebssystem zugeladen wird.
121
Unter dem Register 'Annotationen' werden Ihnen weitere Zusatzinformationen angezeigt, die
in der PDF Datei Formularfeldern hinzugefügt sind.
122
Hinweis: Verschiedene Grafik-Programme bieten die Möglichkeit, Vektor Grafiken zu
erstellen und diese in ein PDF Dokument einzubetten. Der Viewer bietet nicht die
Möglichkeit, solche Vektor Grafiken (oder auch so genannte Splines) zu extrahieren und
separat darzustellen oder zu untersuchen. Wenn Sie ein PDF Dokument mit Text signieren
wollen, vergewissern Sie sich vorab immer über den Text-Extraktionsdialog über den
vorhandenen Text. Wenn in diesem Dialog nicht der gesamte Text erscheint, der
vermeintlich in dem PDF Dokument vorhanden ist, ist dieser fehlende Text eine Vektorgrafik.
Solche Dokumente sollten Sie auf keinen Fall signieren!
Hinweis: Der OPENLiMiT SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente
darzustellen.
Die
PDF
Dokumente
entsprechen
der
PDF
1.7
Spezifikation.
Die
Abweichungen von dieser Spezifikation wurden bereits im Kapitel Sicherheitskomponenten
der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 aufgeführt. Das TIFF
Dokument kann eine mehrseitige TIFF Datei (Multipage-TIFF) sein. TXT Dokumente müssen
den Regeln für Textdokumente entsprechen. Diese Syntaxprüfung ist auch bei Dokumenten
im Rich Text Format (RTF) oder bei HTML-Quellcode erfolgreich. Die generierte Ansicht
entspricht dabei immer dem Dokumentquellcode, d.h., eine Interpretation der Dateiinhalte,
wie sie z.B. bei HTML Dokumenten von einem Browser vorgenommen wird, kann nicht
geleistet werden.
Hinweis: Wenn Sie sich nach der Anzeige durch den OPENLiMiT SignCubes Viewer
hinsichtlich der zu signierenden Daten nicht sicher sind, dann sollten Sie diese Daten
nicht signieren.
123
Signaturerzeugung
Das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bietet Ihnen die
Möglichkeit, eine qualifizierte Signatur nach dem deutschen Signaturgesetz zu erstellen. Es
können aber auch fortgeschrittene und andere Signaturen erzeugt werden. Im
Signaturgesetz werden verschiedene Anforderungen an eine qualifizierte Signatur gestellt.
So muss der Benutzer z.B. die Möglichkeit haben, die zu signierenden Daten in einer
geeigneten Darstellungsform zu betrachten. Diese Möglichkeit wird Ihnen in dem Produkt
OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 über den OPENLiMiT
SignCubes Viewer eingeräumt.
Das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 ist für den
Umgang mit den im Kapitel Chipkarten aufgelisteten Smartcards bestimmt. Sie müssen bei
der Signaturerzeugung immer darauf achten, dass Sie das richtige Zertifikat für die
Signaturerzeugung verwenden.
Es ist technisch ohne weiteres möglich, Signaturen mit beliebigen Zertifikaten zu erzeugen.
Um eine qualifizierte Signatur zu erzeugen, müssen Sie immer ein Zertifikat verwenden,
dessen Eigenschaften ausdrücklich darauf verweisen, dass es für die Erzeugung
unabweisbarer elektronischer Signaturen vorgesehen ist. Diese Eigenschaften werden Ihnen
beim Zertifikatsauswahldialog unter Verwendungszweck (Zulässige allgemeine Zwecke)
angezeigt.
Weiterhin können Sie sich mit einem Klick auf den Button Details ... die Eigenschaften des
Zertifikates im Zertifikatseigenschaftendialog anzeigen lassen.
Die angezeigten Zertifikatseigenschaften sind in der folgenden Abbildung enthalten:
124
Klicken Sie auf OK, um diesen Dialog wieder zu schließen. Um eine Signatur zu erzeugen,
haben Sie mit den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 mehrere
Möglichkeiten. Wenn Sie z.B. eine Signatur über den OPENLiMiT SignCubes Viewer
erzeugen, klicken Sie auf das Symbol 'Signatur erzeugen' oder wählen den entsprechenden
Menüpunkt.
125
Anschließend erscheint der Signaturanforderungsdialog:
Die folgenden Informationen sind in dem Signaturanforderungsdialog enthalten:
Anwendung: Enthält den Namen der Anwendung sowie den Pfad der Anwendung. Hier
können Sie jederzeit erkennen, mit welcher Anwendung eine elektronische Signatur
erzeugt werden soll.
126
Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. Mit dem
Knopf Zertifikat anzeigen können Sie sich das Zertifikat jederzeit anzeigen lassen.
Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der eingelegten
Karte angezeigt.
Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese
Kategorie sorgfältig, damit Sie bei Karten mit mehreren PIN's nicht die falsche PIN
eingeben.
Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an.
Daten: Zeigt an, welche Datei signiert werden soll. Mit einem Klick auf den Knopf Daten
anzeigen können Sie wiederum den OPENLiMiT SignCubes Viewer starten, um die
Daten zu betrachten.
Mit einem Klick auf den Knopf Signatur erzeugen können Sie jetzt die elektronische Signatur
erzeugen. Beachten Sie bitte, dass automatisch die sichere PIN-Eingabe gestartet wird.
Wenn die Daten signiert wurden, erscheint ein Informationsfenster, welches Ihnen mitteilt,
dass die Daten signiert wurden.
Hinweis: Wenn Sie automatisch eine OCSP-Antwort und/oder einen Zeitstempel während
der Signaturerzeugung einbinden, sollten Sie nach der Signaturerstellung die Signatur
prüfen und sich die Einzelheiten der OCSP-Antwort und des eingeholten Zeitstempels
anzeigen lassen. Die Gültigkeit der OCSP-Antwort und des Zeitstempels werden erst dann
auf Sperrlistenbasis vollständig geprüft, wenn Sie sich die Eigenschaften der eingebundenen
Daten anzeigen zu lassen.
Hinweis: Die OPENLiMiT SignCubes Basiskomponenten bieten die Möglichkeit, mehrere
Dateien in einem Durchgang zu signieren. Damit Sie diesen Modus verwenden können,
benötigen Sie jedoch eine zusätzliche OPENLiMiT Anwendung. Wenn dieser Modus aktiviert
wird, erscheint der folgende Signaturanforderungsdialog.
127
In diesem Falle wird der Button 'Daten anzeigen' in Abhängigkeit von der ausgewählten
Datei aktiviert.
Hinweis:
Die
Aktivierung
des
Mehrfachsignaturmodus
erkennen
Sie
an
der
Dateiauswahlliste. Wenn Sie diesen Dialog sehen, können Sie mit einem Klick auf den Pfeil
die Dateiauswahlliste aufklappen und erkennen, welche Dateien signiert werden sollen.
Wenn der Signaturvorgang gestartet wird, erscheint ein Fortschrittsdialog, der Sie über die
aktuell zu signierende Datei informiert. Wenn Sie den Button 'Abbrechen' drücken, werden
alle bis zu diesem Zeitpunkt erzeugten Signaturdateien wieder verworfen.
Hinweis: Da Sie in diesem Modus mehrere Dateien in einem Durchgang signieren können,
sollten Sie sich stets über Inhalt aller zu signierenden Daten vergewissern.
128
Attributzertifikate
Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten dem Anwender
die Möglichkeit, der elektronischen Signatur mit dem Signaturzertifikat zusätzliche
Attributzertifikate hinzuzufügen.
Dazu wird in dem OPENLiMiT SignCubes Security Environment Manager die Option
Attributzertifikate automatisch mitsignieren eingestellt. Im Ergebnis dessen wird bei jeder
Signaturerstellung das zu dem Signaturzertifikat zugehörige Attributzertifikat bzw. die
Attributzertifikate (es sind auch mehrere möglich) hinzugefügt.
Klicken Sie in der Task-Leiste auf das OPENLiMiT Symbol, wählen Sie den Menüpunkt
Einstellungen und setzen für Attributzertifikate automatisch mitsignieren den Haken.
•
Bei der Signaturerstellung mit dieser eingestellten Option erfolgt die Integration des
Attributzertifikats
automatisch.Voraussetzung
dafür
ist,
dass
die
Datei
des
Attributzertifikats in dem Verzeichnis Eigene Dateien\AttributeCertificates abgelegt ist und
zum Signaturzertifikat gehört.
•
Die Informationen des Attributzertifikats werden bei der Signaturprüfung zusätzlich zu
den Daten des Signaturzertifikats angezeigt. Starten Sie dazu die Signaturprüfung
129
Klicken Sie auf Details und wählen anschließend in dem Fenster Attributzertifikat, dann
erhalten Sie in der unteren Hälfte des Fensters den Inhalt des Attributzertifikats und
weitere Informationen angezeigt.
Wenn Sie das Attributzertifikat markiert haben und auf den Knopf Details klicken, wird Ihnen
das Attributzertifikat in einem entsprechenden Dialog angezeigt.
130
Hinweis: Das Verzeichnis Eigene Dateien/AttributeCertificates wird durch den OPENLiMiT
SignCubes Security Environment Manager automatisch beim ersten Einlesen einer
Smartcard angelegt. Die Attributzertifikate müssen in diesem Verzeichnis abgelegt sein.
131
Zeitstempeldienste
Mit dem in den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3
bereitgestellten Zeitstempeldienst haben Sie die Möglichkeit, sich die
Zeitstempelinformationen, die Daten hinzugefügt wurden, anzeigen zu lassen und dessen
Signatur zu prüfen. Starten Sie dazu die Signaturprüfung:
Klicken Sie auf die Schaltfläche Details.
132
Starten Sie den Befehl Details. In dem folgenden Fenster wird unter dem Register
Zusammenfassung das Ergebnis der Signaturprüfung zu der angeführten Prüfzeit
dargestellt. Unter dem Register TSP-Details erhalten Sie weitere Einzelinformationen.
133
Wenn Sie auf den Registerkartenreiter TSP-Details klicken, werden Ihnen detaillierte
Informationen zum Zeitstempel angezeigt.
Wenn Sie auf den Knopf 'Signatur-Zertifikat anzeigen' klicken, wird Ihnen das Zertifikat
angezeigt, welches den Zeitstempel unterzeichnet hat. Zudem wird Ihnen die komplette
Zertifikatskette zu diesem Zertifikat angezeigt. Sie sollten immer die Gültigkeit des Zertifikats,
mit dem der Zeitstempel signiert ist, prüfen.
Wenn Sie mit dem Produkt einen Zeitstempel abholen, sollten Sie immer das
unterzeichnende Zertifikat des Zeitstempels überprüfen um sicherzustellen, dass Sie vom
beabsichtigten Zeitstempeldienst eine Antwort erhalten haben. Das Produkt kann die Quelle
des Zeitstempels nicht garantieren, die Prüfung mit Hilfe des Zertifikates muss von Ihnen
durchgeführt werden. Sie müssen in jedem Fall selbst entscheiden, ob Sie dem Zeitstempel
vertrauen.
Hinweis: Wenn in der PKCS#7 Signaturdatei ein Zeitstempel vorhanden ist, wird Ihnen
automatisch auch das Ergebnis der Gültigkeitsprüfung der Signatur zu dem Zeitpunkt
mitgeteilt, der durch den Zeitstempel angegeben wird.
Hinweis: Die Funktion des Zeitstempeldienstes kann nur dann genutzt werden, wenn am PC
eine Internetverbindung zu dem Zeitstempeldiensteanbieter besteht.
134
Arbeitsabläufe
Die Arbeitsabläufe unter den verschiedenen Modulen der OPENLiMiT SignCubes Software
sind immer wieder die selben. Deshalb beschreiben wir in diesem separaten Kapitel nur die
immer wiederkehrenden Abläufe. Wie diese gestartet oder angesteuert werden, können Sie
in dem Abschnitt unter Arbeiten mit den OPENLiMiT SignCubes Basiskomponenten
2.1.6.3 nachlesen.
135
Dateiformate
Die OPENLiMiT SignCubes 2.1 Software speichert Daten in verschiedenen Dateiformaten
ab. Das Format können Sie über den OPENLiMiT SignCubes Security Environment Manager
einstellen. Standardmäßig wird bei der Installation der Software das Format so eingestellt,
dass die Signaturdatei und die Originaldaten in einer Datei gespeichert werden.
p7s - Fomat
*.p7s Dateien sind PKCS#7-Daten: Es handelt sich dabei um eine abgesetzte Signatur
(detached signature). Das heißt, die signierten Daten und die Signatur sind in zwei
getrennten Dateien gespeichert. Diese Vorgehensweise hat den Vorteil, dass man sich die
Originaldaten mit dem dazugehörigen Programm ansehen kann. Solange diese nicht
geändert werden, bleibt auch die Signatur gültig. Die Signatur ist mit der Originaldatei durch
den selben Dateinamen verbunden. Wenn Sie eine p7s Datei mit einem Doppelklick öffnen,
wird automatisch die Signaturprüfung gestartet.
p7m - Format
*.p7m Dateien sind PKCS#7-Daten: Dahinter können sich signierte, verschlüsselte oder
signierte und verschlüsselte Daten verbergen.
Signierte bzw. signierte und verschlüsselte p7m-Dateien liegen als Verbund-Dateien vor.
Das heißt, die Datei beinhaltet sowohl eine oder mehrere Signaturen im p7s-Format als auch
die Originaldaten, welche signiert oder signiert und verschlüsselt wurden. Wenn Sie eine
p7m-Datei doppelklicken, wird die Datei entschlüsselt, sofern sie verschlüsselt war.
Anschließend wird die Signaturprüfung gestartet, sofern eine Signatur vorhanden ist.
136
Hinweis: Verschlüsselte Daten werden immer als *.p7m Datei gespeichert. Bei Signaturen
mit der OPENLiMiT SignCubes Shell Extension können Sie zwischen p7s (Daten und
Signatur getrennt) oder p7m (Daten und Signatur in einer Datei) wählen, indem Sie die
Einstellungen ändern.
ors - Format
*.ors Dateien sind Online-Statusabfragen zu Zertifikaten. Der Status eines Zertifikats kann
bei der Signaturerstellung oder - prüfung vom Trustcenter abgefragt werden und gibt eine
Aussage über die Gültigkeit des Zertifikats.
tsr - Format
*.tsr Dateien sind Zeitstempelinformationen. Zur Erzeugung von Zeitstempeln benötigt der
User einen speziell freigeschalteten Zugriff auf einen Zeitstempel-Dienst. Ein Zeitstempel
gibt eine Aussage darüber, dass gewisse Daten zu einem bestimmten Zeitpunkt existiert
haben. Dies wird durch eine digital signierte Bescheinigung einer Zertifizierungsstelle
bestätigt.
crl - Format
*.crl - Dateien sind Sperrlisten: Durch Anklicken mit der rechten Maustaste wird die Sperrliste
geöffnet und Sie können sich weitere Details zu einzelnen Zertifikaten anzeigen lassen.
cer - Format
137
*.cer - Dateien sind Zertifikatsdateien: Mit einem Doppelklick haben Sie die Möglichkeit, sich
dieses Zertifikat anzeigen zu lassen.
138
Signieren
Die OPENLiMiT SignCubes Software bietet Ihnen verschiedene Möglichkeiten, qualifizierte
Signaturen nach deutschem Signaturgesetz zu erstellen. Es können aber auch
fortgeschrittene oder andere Signaturen erstellt werden.
Unabhängig davon, aus welchem Modul heraus Sie den Vorgang der Signaturerzeugung
starten, ist der nachfolgend beschriebene Ablauf immer gleich:
Datei signieren
Nach dem Start der Signaturerzeugung öffnet sich ein Fenster, in dem die Details der
Signaturanforderung angezeigt werden. Hier sehen Sie das Zertifikat, welches zur
Signaturerzeugung verwendet wird, die Karte, die erforderliche PIN, den Kartenleser und die
zu signierenden Daten.
Vor der Signaturerzeugung solllten Sie sich im Fall von Daten im TXT, TIFF oder PDF
Format über Daten anzeigen die zu signierenden Daten im OPENLiMiT SignCubes Viewer
anzeigen lassen, um sicher zu sein, welche Daten Sie tatsächlich signieren.
Klicken Sie auf Signatur erzeugen.
Je nach Kartenleser erscheint nun eine unterschiedliche Meldung.
geben Sie die PIN auf der Tastatur des Kartenlesers ein, eventuell müssen Sie diese mit
OK bestätigen.
Anschließend erscheint ein Fenster mit der Meldung, dass die Daten signiert wurden.
139
Sollte hier ein Fenster mit der Meldung erscheinen, dass die eingegebene Signatur-PIN
zurückgewiesen wurde, dann bedeutet das, dass Sie eine falsche PIN eingegeben haben.
140
Signatur prüfen
Die Prüfung einer Signatur erfordert Sorgfalt und Umsicht. Folgende Punkte sollten geprüft
werden:
•
Ist das Dokument wirklich unverändert?
•
Ist der Signaturinhaber echt?
•
Ist das Zertifikat nicht gesperrt?
Einige Teile der Prüfung werden automatisch von der Software vorgenommen. Ob aber
einem Zertifikat vertraut werden kann, liegt in der Entscheidung des Benutzers. Qualifizierte
Signaturen nach dem deutschen Signaturgesetz lassen sich lückenlos zurückverfolgen bis
zur Bundesnetzagentur. Das Herausgeberzertifikat der Bundesnetzagentur ist in die
Software integriert. Dieser Zertifizierungspfad muss mathematisch korrekt und lückenlos
sein. Aber auch andere Wurzelzertifikate können im Betriebssystem als vertrauenswürdig
definiert werden.
Deshalb bleibt es grundsätzlich dem Benutzer überlassen, welchen Zertifikaten er vertraut
und welchen nicht.
Weitere Information zu den Abläufen der Signaturprüfung und der Public Key Infrastruktur
finden Sie unter Grundlagen der elektronischen Signatur.
141
Zusammenfassung
Nachdem Sie auf Signatur Prüfen geklickt haben, erscheint der Dialog Details zur
Signaturprüfung:
In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig,
ungültig oder mathematisch korrekt ist.
Ist eine Signatur ungültig dann wurden die Daten verändert. Dieser Signatur können Sie
nicht vertrauen.
Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert
wurde. Außerdem wurde auch die Signatur an sich nicht manipuliert. Empfehlenswert ist es
in diesem Fall, eine OCSP Abfrage durchzuführen und sich auf diesem Weg die Gültigkeit
der Signatur bestätigen zu lassen. Dazu wählen Sie den Register mit dem Namen des
Signaturinhabers.
142
Details
Nach Anklicken des Registers mit dem Namen des Signaturinhabers wird Ihnen folgendes
Fenster angezeigt.
Im Einzelnen erhalten Sie folgende Informationen:
Hashwertprüfung: Hier wird die Integrität der Daten überprüft. Ist die Hashwertprüfung
positiv, bedeutet dies, dass die Daten seit dem Signieren nicht verändert wurden.
Negativ bedeutet, dass die Daten verändert wurden - in diesem Fall ist die Signatur
ungültig. Wird als Zusatzinformation ein Hinweis angezeigt, dass die Signatur als
ungeeignet eingestuft wird, dann bedeutet das, dass für die Berechnung des Hashwertes
ein Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung qualifizierter
Signaturen nicht zulässig ist.
Prüfung von Signatur und Zertifizierungspfad: Hier wird angegegeben ob, eine
Beschädigung der Signatur vorliegt und ob der Zertifizierungspfad vollständig ist.
Zeitpunkt der Signaturerzeugung (Systemzeit): Hier wird die Zeit angegeben, die auf
dem Rechner zum Zeitpunkt der Signaturerzeugung eingestellt war.
Vertrauensbasis: Hier wird die Vertrauenswürdigkeit des Zertifikats angegeben.
Weiterhin wird der für die Signaturprüfung verwendete Algorithmenkatalog angezeigt.
143
Zertifikatsstatus: Anhand von Sperrlisten wird geprüft, ob das Zertifikat gesperrt wurde.
Wenn hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von aktuellen
Sperrlisten oder eine Online-Prüfung über den Button Onlinestatus...
Aktuelle Zeit als Prüfzeit (Sperrlistenprüfung): Anhand von Sperrlisten wird geprüft,
ob das Zertifikat zum Zeitpunkt der Prüfung gültig war.
Online Prüfung von Zertifikaten
Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt
werden.
Nach einem Klick auf Onlinestatus... in dem Fenster OPENLiMiT SignCubes - Details zur
Unterschriftsprüfung wird das Fenster Online Status-Prüfung (OCSP) geöffnet. Für die
Prüfung muss eine Verbindung mit dem Internet bestehen.
Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig,
gesperrt oder unbekannt. Das Ergebnis der Online Status-Prüfung wird im normalen PrüfDialog nicht angezeigt. Der Prüf-Dialog bezieht sich lediglich auf die Sperrlisten.
144
Online Status
Wurde bei der Signaturerstellung der Signatur ein Online Status zugefügt, dann können Sie
sich diesen bei der Signaturprüfung ansehen.
Klicken Sie auf Details, um die Einzelheiten der Signaturprüfung anzuzeigen.
Wählen Sie dann Online Status aus und klicken Sie auf Details, um die Einzelheiten der
Online Status Prüfung zum Zeitpunkt der Signaturerzeugung zu sehen.
Klicken Sie auf Details.
145
Mit Zertifikat anzeigen wird das Zertifikat der Person angezeigt, die die Signatur erzeugt
hat.
Mit Signatur-Zertifikat anzeigen wird das Zertifikat der Zertifizierungsstelle angezeigt, die
die Online Status Antwort signiert hat.
Mit Online Status exportieren können Sie die Datei als *.ors speichern. Um sich das
Ergebnis der OnlinePrüfung vollständig ansehen zu können, müssen Sie das dazugehörige
Zertifikat (Beispiel: Daneller,Dana.cer) in dem gleichen Ordner ablegen.
146
147
Erstellen Prüfprotokoll
Falls in Ihrer Programmversion der OPENLiMiT SignCubes 2.1 das Modul zum Erstellen
eines Prüfprotokolls mit installiert wurde, haben Sie die Möglichkeit, durch Anklicken des
Button Speichern ein Prüfprotokoll zu erzeugen und zu speichern. Andernfalls wird der
Button nicht angezeigt.
Wählen Sie das Verzeichnis und den Dateinamen für das Prüfprotokoll aus. Standardmäßig
wird das Protokoll in dem Ordner Eigene Dateien\VerificationProtocols abgespeichert.
Das Prüfprotokoll enthält folgende Angaben:
148
Dokumentbeschreibung: Die Dokumentbeschreibung zeigt den Dateinamen und das
temporäre Verzeichnis an, in dem das Prüfprotokoll als Datei zwischengespeichert wird,
bevor
es
entweder
Dateien\VerificationsProtocolls
abschließend
oder
in
in
einem
dem
durch
Verzeichnis
den
Anwender
Eigene
definierten
Verzeichnis abgelegt wird.
Prüfumgebung: Die Prüfumgebung weist aus, wann (Datum und Uhrzeit) die Prüfung
durchgeführt wurde und durch welchen Nutzer.
Zusammenfassung der Prüfergebnisse: Hier wird das Ergebnis der Hashwertprüfung
und die Überprüfung der Zertifizierungskette zusammengefasst dargestellt.
Informationen zur Signatur: An dieser Stelle erhalten Sie weitere Detailinformationen
zur Signatur wie den Namen des Unterzeichners, die Signaturzeit, die Vertrauensbasis
des Herausgeberzertifikats, den Hashwert, das Ergebnis der Hashwertprüfung und
welcher Signaturalgorithmus verwendet wurde.
Informationen zum verwendeten Signatur-Zertifikat: Hier werden die Angaben zum
Herausgeberzertifikat,
d.h.
wer
ist
der
Herausgeber,
die
Seriennummer
Herausgeberzeitifikats und die Gültigkeit ausgewiesen.
Durch die Symbolik im Hintergrund des Prüfprotokolls (grüner Haken, gelbes
Ausrufezeichen, roter Warnkreis) wird das Ergebnis der Prüfung optisch zusätzlich
verdeutlicht. Dabei haben die Symbole folgende Bedeutung:
Grüner Haken: Die Signatur wurde gültig geprüft.
des
149
Gelbes Ausrufezeichen: Es gibt Hinweise darauf, dass die Signatur nicht vollständig
geprüft werden konnte, weil z.B. Sperrlisten oder Herausgeberzertifikate fehlten bzw. nicht
aktuell waren. In diesem Fall sollten Sie die Aktualisierung der Sperrlisten einschließlich der
Vertrauenslisten durchführen und die Signaturverifikation nochmals starten. Weitere
Informationen dazu finden Sie in dem Kapitel Sperrlistenaktuslierung.
150
Roter Warnkreis: Dieses Symbol weist daraufhin, dass die Datei eine ungültige Signatur
besitzt. In diesem Fall sollten Sie im Detail prüfen, ob die Daten manipuliert wurden, das
Zertifikat abgelaufen oder gesperrt ist.
151
Hinweis: In Abhängigkeit von dem installierten Programm-Modul zum Erstellen des
Prüfprotokolls kann die o.g. Beschreibung abweichen. Das kann sowohl das Dateiformat des
Prüfprotokolls als auch die Informationen, die im Ergebnis der Prüfung dargestellt und
gespeichert werden, betreffen.
152
Verschlüsselung
Die Verschlüsselung schützt vor den Augen Dritter. Sie können jegliche Daten verschlüsseln,
egal ob diese auf dem Rechner gespeichert oder ob sie per e-Mail über das Internet
gesendet werden. Da die Verschlüsselung aber nicht vor Viren schützt, ist es ratsam,
verschlüsselte Daten, die archiviert werden sollen, zusätzlich auf externen Datenträgern zu
sichern bzw. nach dem Entschlüsseln auf jeden Fall nach Viren zu prüfen.
Zunächst wird das Dokument mit einem Zufallsschlüssel im Triple DES Verfahren
verschlüsselt. Das heisst, das Dokument wird dreimal hintereinander mit 192 bit
verschlüsselt. Der Zufallsschlüssel wird dann mit dem öffentlichen Schlüssel des
Empfängers verschlüsselt. Hier kommt die 1024bit RSA-Verschlüsselung zum Einsatz.
Man benötigt zum Verschlüsseln also immer den öffentlichen Schlüssel des Empfängers
(das können auch mehrere sein). Dieser ist in ein Verschlüsselungszertifikat integriert und
kann im Verzeichnisdienst des Trustcenters abgerufen und auf dem Computer installiert
werden. Sie können sich auch die Verschlüsselungszertifikate Ihrer Kommuniktionspartner
per e-Mail schicken lassen. Ihr eigenes Zertifikat können Sie aus der Karte exportieren. Alle
installierten Zertifikate werden von der Software automatisch angezeigt. Das verschlüsselte
Dokument und der verschlüsselte Zufallsschlüssel werden dann zusammen archiviert oder
per e-Mail an die Kommunikationspartner versandt.
153
In der Praxis ist es empfehlenswert, Daten durch eine Kombination von elektronischer
Signatur und Verschlüsselung zu sichern.
Daten verschlüsseln
Die Verschlüsselung von Daten ist nicht gesetzlich geregelt. Dennoch ist es ratsam, Daten
zusätzlich zur Signatur zu verschlüsseln, weil dadurch gewährleistet wird, dass nur
bestimmte Personen Einblick in die Daten haben.
Wenn Sie Daten verschlüsseln, sollten Sie mindestens zwei Zertifikate verwenden (Ihres und
das einer vertrauenswürdigen Person). Wenn Sie Ihre Karte verlieren sollten oder sie auf
andere Art unbrauchbar wird, sind die verschlüsselten Daten ansonsten unwiederbringlich
verloren. Es gibt keine Kopien Ihres privaten Schlüssels und eine Wiederherstellung ist
unmöglich.
Verschlüsselungszertifikate auswählen
Nachdem Sie auf Verschlüsseln geklickt haben, erscheint der Dialog zur Auswahl von
Verschlüsselungszertifikaten.
Hier werden alle öffentlichen Schlüssel angezeigt, die auf dem Rechner installiert sind.
Sollten Sie auf der linken Seite keine Zertifikate außer Ihr eigenes sehen, müssen Sie sich
die öffentlichen Schlüssel der Empfänger beschaffen. Sie haben dazu mehrere
Möglichkeiten:
•
Download oder Installation über den Verzeichnisdienst, dazu erhalten Sie weitere
Informationen in dem Abschnitt Verzeichnisdienst
•
durch Installation des Schlüssels, den Sie als cer - Datei erhalten haben, falls Sie mit
diesem Kommunikationspartner mehrfach verschlüsselt kommunizieren wollen; Weitere
Informationen finden Sie in dem Abschnitt Zertifikate installieren
•
oder durch Einfügen der *.cer - Datei, in dem Sie auf den Button aus Datei klicken
Nur die Zertifikatsinhaber der ausgewählten Zertifikate können die Datei entschlüsseln. Es ist
also ratsam, auch das eigene Zertifikat hinzuzufügen.
154
•
Wenn ein Zertifikat selektiert ist, können im unteren Fenster die Informationen dazu
angesehen werden.
•
Nach einem Klick auf Hinzufügen oder einem Doppelklick auf den Zertifikatsnamen
wird das Zertifikat in die rechte Liste kopiert.
•
Klicken Sie dann auf Übernehmen, um die Daten für die ausgewählten Zertifikate zu
verschlüsseln.
Selektierte Zertifikate können mit Hinzufügen und Entfernen von einem Fenster ins andere
verschoben werden. Unter Details... wird das ausgewählte Zertifikat angezeigt. Um sicher zu
gehen, dass das Zertifikat nicht gesperrt ist, kann nach einem Klick auf Details... der
Onlinestatus geprüft werden, wenn die CA das unterstützt. Ansonsten funktioniert meist
auch eine Suche im Verzeichnisdienst (Button weitere...).
Einstellung des Verschlüsselungsalgorithmus:
Für den Verschlüsselungsalgorithmus sollten Sie nur dann andere Einstellungen vornehmen,
wenn es aus Gründen der Kompatibilität mit anderen Programmen unbedingt notwendig ist.
155
Verschlüsselungszertifikat exportieren
Der OPENLiMiT SignCubes Security Environment Manager bietet Ihnen die Möglichkeit, Ihr
Verschlüsselungszertifikat zu exportieren. Das Zertifikat können Sie dann z.B. per e-Mail an
eine andere Person senden, damit diese wiederum Dokumente für Sie verschlüsseln kann.
Weitere Informationen dazu finden Sie in dem Kapitel Chipkarten Optionen/Zertifikate
exportieren.
156
Zertifikate installieren
Ein Zertifikat aus dem Verzeichnisdienst installieren Sie einfach, indem Sie auf den Button
Installieren im Ergebnisdialog klicken. Das Zertifikat erscheint beim nächsten Verschlüsseln
automatisch im Zertifikatsauswahldialog.
Die Zertifikate auf der Karte, die in Ihrem Kartenleser stecken, werden automatisch installiert.
Wenn Sie ein Zertifikat auf anderem Weg erhalten, z.B. per e-Mail, liegt es als Datei vor. Sie
müssen es über den Zertifikatsdialog von Windows installieren.
Zertifikate unter Windows installieren
•
Doppelklicken Sie das Zertifikat im Windows Explorer.
•
Im Zertifikatsdialog von Windows auf Zertifikat installieren klicken.
Die Gültigkeitsangaben des Windows Zertifikatsdialoges sollten Sie nicht interessieren, da
Windows nicht immer mit Signatur-Zertifikaten umgehen kann. Negative Aussagen haben
keine Relevanz. Gründe dafür können neben Inkompatibilität mit den Signaturstandards
auch fehlende Algorithmen sein.
Daraufhin öffnet sich der Assistent für die Installation:
•
Nach dem Startdialog folgt mit einem Klick auf Weiter der Zertifikatsspeicherdialog.
•
Wählen Sie: Alle Zertifikate in folgendem Speicher speichern.
•
Klicken Sie auf Durchsuchen...
•
Wählen Sie den Ordner Andere Personen und bestätigen Sie mit OK.
•
Klicken Sie im Assistenten auf Weiter
•
und anschließend auf Fertig stellen.
157
Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im Zertifikatsauswahl
Dialog.
158
Verzeichnisdienst
Nach einem Klick auf weitere... wird der Verzeichnis Client geöffnet.
Suche
Für die Suche können Sie Wildcards (*) benutzen. Das sind Platzhalter, die man für
unbekannte Buchstaben plazieren kann. Wenn Sie dies nicht tun, müssen Sie die exakte
Schreibweise des gesuchten Namens kennen. Geben Sie am besten den Nachnamen
zwischen Wildcards ein: z.B. *Daneller*. Wenn es sich um einen sehr häufigen Namen
handelt, ist als Suchbegriffe die E-Mail-Adresse empfehlenswert.
Zertifikat suchen
•
Tragen Sie den oder die Suchbegriffe in die Felder ein.
•
Wählen Sie den Verzeichnisdienst der CA, die das Zertifikat herausgegeben hat.
•
Klicken Sie auf Starten.
Zum Suchen nicht auf Weiter sondern auf Starten klicken. Die Weiter und Zurück Button
ermöglichen eine erneute Suche und ein einfaches Hin- und Herschalten zwischen Ergebnisund Suchdialog.
Wenn Sie eine Fehlermeldung erhalten, dass die zulässige Größe überschritten ist, dann
haben Sie zu viele Suchergebnisse erhalten. Diese Funktion dient dem Datenschutz, so
dass nicht einfach mit einer * * -Suche alle Zertifikate gefunden werden können. Geben Sie
weitere Buchstaben in den Suchbegriff ein.
Ergebnis
Im Ergebnisdialog werden alle gefundenen Zertifikate angezeigt.
159
Zertifikate übernehmen
•
Mit einem Klick auf den Namen wird rechts die Zertifikatsinformation angezeigt.
•
Über den Button Details kommt man zur Zertifikatsanzeige, wo man sich noch einmal die
Einzelheiten ansehen kann. Die meisten CAs nehmen gesperrte und ungültige Zertifikate
aus dem Verzeichnisdienst, so dass sich eine Statusprüfung erübrigt, wenn man hier ein
Zertifikat gefunden hat.
Damit das Zertifikat auf dem Rechner bei jeder Verschlüsselung automatisch angezeigt wird,
kann es installiert werden. Dies sollten Sie für Zertifikate tun, die Sie oft benutzen.
•
Haken Sie die Checkbox vor dem Namen der Zertifikate an, die für die Verschlüsselung
übernommen werden sollen.
•
Klicken Sie auf Übernehmen.
Die Zertifikate erscheinen dann im Zertifikatsauswahl Dialog (Verschlüsseln) auf der rechten
Seite.
160
Entschlüsselung
Um das Dokument wieder entschlüsseln zu können, wird der Zufallsschlüssel im Klartext
benötigt. Er kann nur mit dem privaten Schlüssel entschlüsselt werden. Dazu braucht der
Benutzer die Karte mit dem, zu dem öffentlichen Schlüssel zugehörigen privaten Schlüssel
und der PIN.
Ist der Zufallsschlüssel entschlüsselt, kann auch das gesamte Dokument entschlüsselt
werden. Auch diese Abläufe übernimmt die Software automatisch.
Durch dieses Verfahren ist gesichert, dass nur der Karteninhaber mit seiner PIN das
Dokument entschlüsseln und lesen kann. Die Daten können auch für mehrere Zertifikate
verschlüsselt werden. Wir empfehlen grundsätzlich, alle Daten, mindesten mit zwei
öffentlichen Schlüsseln, für eine andere vertrauenswürdige Person und sich selbst, zu
verschlüsseln. Bei Daten, die versendet werden, empfiehlt sich das eigene Zertifikat und das
des Empfängers. Wenn die eigene Karte verloren geht, oder möglicherweise aus anderen
Gürnden nicht mehr verwendbar ist, können die Daten immer noch mit der zweiten Karte
(der des Empfängers oder der vertrauenswürdigen Person) entschlüsselt werden.
161
Daten entschlüsseln
Dateien entschlüsseln
Zum Entschlüsseln wir der zu dem öffentlichen Schlüssel zugehörige private Schlüssel
benötigt. Aus diesem Grund muss zum Entschlüsseln die globale PIN eingegeben werden.
Es erscheint ein Fenster mit der Meldung, dass die Datei entschlüsselt wurde.
Klicken Sie auf OK.
Danach sollten die Daten wieder im Klartext vorliegen. Um viele Dateien hintereinander ohne
ständige PIN-Eingabe zu entschlüsseln, können Sie die Karte auch "öffnen". Weitere
Informationen dazu finden Sie in dem Abschnitt PIN-Abfrage.
162
OPENLiMiT SignCubes Shell Extension
Die OPENLiMiT SignCubes Shell Extension ermöglicht die Signatur und Verschlüsselung
direkt im Windows Explorer. Darüber hinaus sind das Prüfen von Signaturen und die
Entschlüsselung integriert. Wenn Sie eine Datei mit der rechten Maustaste anklicken, finden
Sie im Kontextmenü den Punkt OPENLiMiT SignCubes.
Wählen Sie diesen aus, erhalten Sie in Abhängigkeit von der ausgewählten Dateistruktur
verschiedene Funktionen angeboten. Weitere Informationen erhalten Sie in den
nachfolgenden Abschnitten.
163
Die erste Signatur mit OPENLiMiT SignCubes
Die erste Signatur haben Sie bereits mit der Lizenzierung der Software erstellt. In den
nachfolgenden Abschritten wird beschrieben, wie Sie eine weitere Signatur erzeugen.
Wählen Sie eine beliebige Datei (im Beispiel eine *.tif Datei) im Explorer aus.
•
Klicken Sie im Explorer die Datei mit der rechten Maustaste an.
•
Wählen Sie OPENLiMiT SignCubes - Datei signieren
Weitere Informationen zur Signaturerzeugung finden Sie in dem Abschnitt Signieren.
Im Ergebnis der Signaturerstellung wird eine p7m-Datei mit dem selben Namen der
Ursprungsdatei erzeugt. Darüber hinaus bleibt die Original-Datei erhalten. Die p7m-Datei
enthält sowohl die Original-Daten als auch die Signatur. Durch Anklicken dieser p7m-Datei
mit der rechten Maustaste können Sie die Signaturen prüfen und bei Bedarf die Datei
getrennt als txt-Datei und p7s-Datei abspeichern.
164
Shell Extension Menü
Wenn Sie eine Datei im Windows Explorer mit der rechten Maustaste anklicken, öffnet sich
das Kontexmenü mit dem Menüpunkt OPENLiMiT SignCubes. Unter diesem finden Sie in
der Regel die Punkte:
•
Datei signieren
•
Datei verschlüsseln
•
Datei signieren und verschlüsseln
Weitere Punkte, wie z.B.
•
Signatur(en) prüfen
•
Datei entschlüsseln
•
Datei und Signatur(en) trennen
•
Datei und Signaturen verbinden
•
Zertifikat anzeigen
•
Online Status anzeigen
•
Zeitstempel erzeugen
•
Sperrlisten anzeigen
erscheinen, wenn es sich um bereits signierte oder verschlüsselte Dateien bzw. einen
Zeitstempel oder eine Online Status-Datei handelt. Die Funktionen, die durch diese Befehle
angestoßen werden, sind unter Arbeitsabläufe im Einzelnen erklärt.
165
Dateien und Icons im Explorer
Mit OPENLiMiT SignCubes lassen sich verschiedene Dateiformate erzeugen. Diese erkennt
man im Explorer auch an Ihren Icons (bei Windows 2000 oder höher). Zeitstempel können in
der OPENLiMiT SignCubes Software nicht erzeugt werden.
p7m Dateien: Verschlüsselte Dateien oder Dateien, die eine Signatur beinhalten,
bekommen ein blaues Tresor-Icon mit der Aufschrift p7m.
p7s Dateien: Abgesetze Signaturen, die durch ihren Dateinamen mit der Ausgangsdatei
logisch verknüpft sind, bekommen ein blaues Tresor-Icon mit der Aufschrift p7s.
ors-Dateien: Online Status Response Dateien, die durch das Exportieren von OCSP
Antworten entstehen, bekommen ein Zertifikats-Icon mit einem roten Siegel.
tsr-Dateien: Zeitstempel Dateien, die durch ihren Dateinamen mit der Ausgangsdatei
logisch verknüpft sind, bekommen ein Uhr-Icon mit einem roten Siegel.
Allerdings werden diese Dateien in den neueren Betriebssystemen als verborgene Dateien
oft nicht angezeigt. Um sie sichtbar zu machen, muss man unter den Ordneroptionen des
Windows Explorers (Menü Extras - Ordneroptionen - Reiter Ansicht) unter versteckte
Dateien und Ordner die Option alle Dateien und Ordner anzeigen aktivieren und
Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren.
166
Weitere Informationen zu den Dateien finden Sie auch unter Dateiformate.
167
Adobe Plugin
Das Adobe Plugin ermöglicht die Signatur direkt unter Adobe Acrobat ab Version 7.0.8.
Wurden PDF Formulare vom Herausgeber mit zusätzlichen Rechten versehen (Adobe
Formular Server Lösungen), lassen sich diese Formulare auch im Adobe Reader ab Version
7.0.8 signieren. Zudem können digitale Signaturen in einem PDF Formular geprüft werden.
Das Adobe Plugin wird automatisch installiert, soweit Adobe Reader oder Adobe Acrobat auf
Ihrem Computer installiert ist.
Falls Sie das Adobeprogamm erst nach der OPENLiMiT SignCubes Software installieren,
müssen Sie das Plugin nachträglich installieren. Falls Sie dazu das Installationsprogramm
benötigen, wenden Sie sich bitte an OPENLiMiT.
168
Adobe Plugin Grundeinstellungen
Grundeinstellungen festlegen
Der hier beschriebene Ablauf bezieht sich ausschliesslich auf die Produkte Adobe Reader ab
Version 7.0.8 und Adobe Acrobat 7.0.8.
•
Öffnen Sie Adobe Reader oder Adobe Acrobat.
•
Über das Bearbeiten-Menü kommen Sie zu dem Menüpunkt Grundeinstellungen...
•
Wählen Sie im linken Bereich Sicherheit aus.
•
Setzen Sie ein Häkchen für Beim Öffen des Dokuments Unterschriften prüfen, und
klicken Sie dann auf Erweiterte Grundeinstellungen.
169
•
Unter dem Reiter Überprüfung sollten Sie folgende Einstellungen vornehmen:
•
Wählen Sie Immer Standardmethode verwenden (Überschreibt die im Dokument
angegebene Methode).
•
Wählen Sie dann als Standardmethode zum Überprüfen von Unterschriften:
"OPENLiMiT SignCubes PDF Plugin, Version 2.0.1.3".
Unter dem Reiter Erstellung sollten Sie die Einstellungen wie folgt vornehmen:
Wählen Sie als Standardmethode beim Unterschreiben und Verschlüsseln von
Dokumenten: "OPENLiMiT SignCubes PDF Plugin, Version 2.0.1.3".
170
Mit OK werden die Einstellungen gespeichert.
171
PDF Dokument signieren
Für die Erzeugung einer Signatur in PDF Dokumenten ist in der OPENLiMiT SignCubes
Software ein Adobe Plugin integriert. Dieses bietet Ihnen unter bestimmten Voraussetzungen
die Möglichkeit, das PDF Dokument im Adobe Reader oder Adobe Acrobat zu signieren.
Wenn ein PDF Dokument oder PDF Formular ein oder mehrere Felder für digitale
Signaturen enthält, so können Sie mit dem Adobe Plugin eine qualifizierte digitale Signatur
direkt in diesem PDF erstellen und dieses anschließend speichern.
Um ein solches PDF mit dem Adobe Reader zu signieren, muss dieses mit zusätzlichen
Rechten versehen worden sein (Adobe Formular Server Lösungen). Um ein PDF mit Adobe
Acrobat zu signieren, reicht es aus, wenn das Signaturfeld mit Adobe Acrobat erstellt wurde.
Um ein Signaturfeld mit Adobe Acrobat selbst zu erstellen, lesen Sie bitte in der Adobe
Acrobat Hilfe nach.
So signieren Sie ein PDF Dokument
•
Öffnen Sie das Dokument.
Das PDF Dokument enthält ein oder mehrere Signatur-Felder. Ein Signaturfeld erkennen Sie
am roten Pfeil links oben im Feld.
•
Stecken Sie Ihre Smartcard in den Kartenleser und warten Sie, bis diese erkannt ist (bis
das Chip-Symbol in der Taskleiste gelb ist).
•
Klicken Sie das entsprechende Signaturfeld an.
Anschließend öffnet sich das Signaturanforderungsfenster. Hier erhalten Sie die Information,
welches Zertifikat zur Signaturerzeugung verwendet wird, die Karte, die erforderliche PIN,
den Kartenleser und den Dateinamen der zu signierenden Daten.
172
•
Durch Anklicken des Button Daten anzeigen wird der OPENLiMiT SignCubes Viewer
gestartet und Sie können sich die Daten im Viewer darstellen lassen. Diese Prüfung der
Daten sollten Sie in jedem Fall immer vornehmen, um sich versteckte Inhalte bzw.
andere Informationen anzeigen zu lassen und um sicher zu sein, welche Informationen
Sie signieren.
•
Klicken Sie nach Schliessen des Viewers auf Signatur erzeugen.
173
Signatur im PDF prüfen
PDF Dokumente können Signaturen enthalten, die in einem extra dafür vorgesehenen
Signaturfeld integriert sind, oder Signaturen, die in das PDF Dokument eingebettet sind,
jedoch nicht in einem Signaturfeld vorliegen. In diesem Fall handelt es sich um sogenannte
"unsichtbare" Signaturen.
Signaturen in Unterschriftsfeldern prüfen
•
Enthält ein PDF Dokument bereits eine digitale Signatur in einem dafür vorgesehenen
Signaturfeld, so können Sie mit Adobe Reader oder Adobe Acrobat diese Signatur
prüfen. Die Signaturprüfung wird mit den Einstellungen vorgenommen, die Sie unter
Adobe Acrobat oder Adobe Reader festgelegt haben. Weitere Informatioonen dazu
finden Sie in dem Abschnitt Adobe Plugin Grundeinstellungen.
•
Öffnen Sie das PDF Dokument und klicken Sie auf ein Unterschriftsfeld, das bereits eine
Signatur enthält.
Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OPENLiMiT
SignCubes PDF Plugin" ausgewählt haben, so erscheint folgender Dialog:
In der Zusammenfassung steht das Ergebnis der Signaturprüfung. Ein Beispiel für ein
Prüfergebnis wäre z.B.:
•
Die Datei ist gültig signiert. oder
•
Die Signatur ist mathematisch korrekt.
174
Für genauere Informationen lesen Sie bitte in den Abschnitten Signaturverifikation bzw.
Signaturen prüfen nach.
Unsichtbare Signaturen prüfen
Enthält ein PDF Dokument eine unsichtbare digitale Signatur, so können Sie mit Adobe
Reader oder Adobe Acrobat diese Signatur prüfen. Die Signaturprüfung wird mit den
Einstellungen vorgenommen, die Sie unter Adobe Acrobat oder Adobe Reader festgelegt
haben.
•
Öffnen Sie das PDF Dokument und klicken Sie dann links auf den Reiter Unterschriften,
um alle Unterschriften des Dokuments anzusehen.
•
Wählen Sie jetzt eine Unterschrift aus, klicken Sie dann auf Optionen und wählen Sie
Unterschrift prüfen.
Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OPENLiMiT
SignCubes PDF Plugin, Version 2.0.1.3" ausgewählt haben, so erscheint folgender Dialog:
175
Detaillierte Informationen zu den Ergebnissen der Signaturprüfung finden Sie in dem
Abschnitt Signaturen prüfen.
176
Der OPENLiMiT TIFF/PDF (PDF/A)
Drucker
Die OPENLiMiT SignCubes Software bietet Ihnen mit dem OPENLiMiT TIFF/PDF Drucker
die Möglichkeit, aus anderen Programmen heraus wie z.B. Microsoft Word Daten an die
sichere Anzeigeeinheit, den OPENLiMiT SignCubes Viewer auszugeben. Die übertragenen
Daten werden über den OPENLiMiT TIFF/PDF Drucker in eine sicher darstellbare Bilddatei
(TIFF) oder in eine PDF Datei konvertiert. Die Ausgabe über den OPENLiMiT TIFF/PDF
Drucker ist mit jedem auf Ihrem System druckbaren Dokument möglich.
177
Hinweis: Der OPENLiMiT TIFF/PDF Drucker steht für das Betriebssystem Windows NT
nicht zur Verfügung. Unter Windows NT wird der OPENLiMiT SignCubes Drucker installiert.
Dieser kann Dateien nur in das TIFF Format konvertieren.
Visualisieren
Drucken Sie die Datei in dem Programm aus, in dem sie erstellt wurde. Normalerweise
geht das über den Befehl Datei - Drucken.
Wählen Sie den OPENLiMiT TIFF Producer für die Ausgabe der Datei im TIFF Format oder
den OPENLiMiT PDF Producer für die Konvertierung als PDF Datei und bestätigen Sie mit
OK.
Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\TIFFOutput
abgespeichert. Unter dem Betriebssystem Microsoft Vista finden Sie die Datei in dem
Ordner Dokumente\TIFFOutput.
Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der
Extension (tif).
Für die Konvertierung in ein PDF Format wählen Sie den OPENLiMiT PDF Producer.
178
Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\PDFOutput
abgespeichert. Unter dem Betriebssystem Microsoft Vista finden Sie die Datei in dem
Ordner Dokumente\PDFOutput.
Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der
Extension (pdf).
•
Unter Windows NT wählen Sie den OPENLiMiT SignCubes Drucker aus und bestätigen
mit OK.
179
•
•
Daraufhin öffnet sich die Darstellung im OPENLiMiT SignCubes Viewer. Sollte es lange
dauern, bis Ihre Datei im OPENLiMiT SignCubes Viewer dargestellt wird, liegt es
möglicherweise daran, dass die gewählten Eigenschaften des Druckers mit einer hohen
Auflösung eingestellt sind.
180
Eigenschaften des OPENLiMiT PDF Producer
Nach Auswahl des OPENLiMiT PDF Producer und Anklicken deas Buttons Eigenschaften
haben Sie Möglichkeit die Standardeinstellungen des Druckers zu verändern.
Über das Menü PDF Compliance Level haben Sie die Möglichkeit die PDF - Version
PDF 1.4
PDF 1.5 oder
PDF/A-1b
auszuwählen.
181
Eigenschaften des OPENLiMiT TIFF Producers
Nach Auswahl des OPENLiMiT TIFF Producer und Anklicken des Buttons Eigenschaften
haben Sie Möglichkeit die Standardeinstellungen des Druckers zu verändern.
182
Eigenschaften des OPENLiMiT SignCubes Druckers
(nur Windows NT)
Diese Drucker wird nur unter dem Betriebssystem NT installiert, da der OPENLiMiT PDF
Producer und der OPENLiMiT TIFF Producer nicht für Windows NT verfügbar sind.
Ändern der Druckereigenschaften
•
In dem Programm, in dem Sie gerade arbeiten, wählen Sie Datei - Drucken...
•
Unter "Name" wählen Sie den OPENLiMiT SignCubes Drucker
•
Klicken Sie auf Eigenschaften...
Daraufhin sind mehrere Reiter zu sehen.
Reiter
Beschreibung
Einstellungen
Generelle Einstellungen des Druckers
Dateiformate
Ausgabeformat der Datei
Dateiname erstellen
Ausgabename der Datei
Programm-Start
Wasserzeichen
Kommentar
einbeziehen
Programm, das nach dem Drucken
startet
Wasserzeichen in Datei generieren
Bemerkung Einfügen
183
Drucker Eigenschaften - Einstellungen
Hier wählen Sie die Papiergröße aus. Sollte die gewählte
Papiergröße kleiner sein als das zu druckende
Dokument, dann werden Teile des Dokuments in der
Papier Größe Papier
SignCubes Visualisierung nicht angezeigt. Wenn dies
der Fall ist sollten Sie einen Warnhinweis erhalten,
sobald Sie auf OK gedrückt haben.
Hier werden die Breite und Höhe des gewählten Papiers
Paper
Breite; angezeigt. Unter Einheiten können Sie die Einheit
Papier Höhe
festlegen in der die Breite und Höhe des Papiers
angezeigt werden.
FAX
header
beigelegt
Erweiterte
Papiergröße
Hat unter OPENLiMiT SignCubes keine Funktion.
Die Auflösung des Ausgabeformats wird für Fax
Fax
Erstelle faxfähiges optimiert. Da die Auflösung sehr gering ist, wird die
Auflösung
Abbild
Visualisierung des Dokuments eine niedrige Qualität
haben. Wir empfehlen diese Funktion nicht anzuwenden.
Ausrichtung
Hochformat
Querformat
Querformat,
Grad gedreht
/ Hier kann Hochformat (Portrait) oder Querformat
(Landscape) ausgewählt werden.
90 Es wird ein Querformat ausgegeben, aber nochmals um
90° gedreht.
Die graphische Auflösung der Visualisierung wird hier
festgelegt. Wichtig: Mit den Einstellungen in diesem
Abschnitt können Sie Qualität und Größe der
GraphikAuflösung
Ausgabedatei entscheidend verändern. Bei zu hoher
Auflösung
Einstellung werden die Dateien unnötig gross und die
Visualisierung kann länger dauern. Darüber hinaus
könnten auf Grund der Grösse der Datei Probleme
auftreten, falls Sie die signierte Datei anschliessend per
e-Mail versenden wollen.
184
High Resolution - Hohe Auflösung. Die Ausgabe sieht
sehr gut aus, es dauert länger bis die Visualisierung
erstellt ist, die Datei wird sehr groß.
Medium Resolution - Mittlere Auflösung (Standard
Einstellung). Schnellere Visualisierung, Druckstandard.
Gut für Textdokumente und Tabellen.
Draft Resolution - Vorschau Auflösung. Sehr schnelle
Ausgabe, niedrige Qualität.
CUSTOM Resolution - Benutzerdefinierte Auflösung.
Hier können Sie selbst festlegen, mit welcher Auflösung
Sie arbeiten wollen. Benutzen Sie zur Eingabe die
beiden Felder unterhalb.
horizontale
Auflösung
Hier wird die horizontale Auflösung angezeigt.
vertikale Auflösung Anzeige der vertikalen Auflösung.
erzwinge
Druckerauflösung
Keine Funktion unter OPENLiMiT SignCubes.
Größe der Datei, die der OPENLiMiT SignCubes Drucker
Bildgröße
zur Visualisierung erstellt. Generell gilt: Je größer die
Datei, desto besser die Qualität der Visualisierung und
umso länger dauert die Ausgabe und umgekehrt.
185
Drucker Eigenschaften - Dateiformate
Unter diesem Reiter finden Sie Optionen für das Ausgabeformat.
In diesem Menü finden sich verschiedene Dateiformate für
die Visualisierung.
Dateiformat
Wichtig: Behalten Sie das Standard Format bei (TIFF
Packed), bei manchen anderen Einstellungen wird die Datei
nicht gedruckt.
186
Hier kann die Anzahl der Farben festgelegt werden. 1bit
1bit, 8 bit, 8 bit
Farbtiefe
Graustufen,
24
bit
(schwarz-weiss), 8 bit (256 Farben), 8 bit Graustufen (256
Grautöne), 24 bit (16,7 Mio. Farben). Wie bei der grafischen
Auflösung gilt auch hier, je besser die Qualität der
Visualisierung, desto größer das erzeugte Dokument und
desto länger dauert die Ausgabe.
Optionen
mehrseitiges Bild Hier ist per Default ein Häkchen gesetzt, da sonst nur eine
erzeugen
Keine Imagedatei
erstellen
Osteuropäischer
Zeichensatz
TIFF
Optionen
Fotoqualität
Seite des Originaldokuments in der Ausgabe erscheint.
Unterstützt das Drucken von Osteuropäischen Schriftzeichen.
Textdatei
Der Drucker erstellt zusätzlich eine *.txt Datei mit dem Inhalt
erstellen
des Dokuments.
Das Ändern der Standardeinstellungen kann dazu führen
dass keine Visualisierung erfolgt.
187
188
Drucker Eigenschaften - Dateiname erstellen
Diese Einstellungen legen fest, wie der Dateiname
Methode
zur
(prefix) und Dateianhang (extension) erstellt werden.
Erstellung
des
Nehmen Sie in diesem Bereich keine Änderungen
vor, da sonst eventuell keine Visualisierung möglich
Namen
ist.
Standard Einstellung: Dateiname und Dateianhang
Use
the werden automatisch erstellt.
document
Wichtig: Nehmen Sie in diesem Bereich keine
name
Änderungen vor, da sonst eventuell keine
Visualisierung möglich ist.
Wenn unter Methode zur Erstellung des Namen die
Standard Einstellung gewählt ist, ist keine Eingabe
Dateiname
nötig.
Dateinamen
Prefix
Datei
Erweiterung
Bei Standard Einstellung ist keine Eingabe nötig.
Bei Standard Einstellung ist keine Eingabe nötig.
Hier wird der Ordner angezeigt, in dem der Drucker
die temporären Dateien für die Visualisierung
Ausgabepfad
speichert.
Wichtig: Nehmen Sie in diesem Bereich keine
Änderungen vor, da sonst eventuell keine
Visualisierung möglich ist.
GruppendateiOptionen
Unter OPENLiMiT SignCubes keine Funktion.
189
190
Drucker Eigenschaften - Programm - Start
Hier sollte ein Häkchen gesetzt sein. Falls dem nicht
so ist, wird der OPENLiMiT SignCubes Viewer nicht
Anwendung
gestartet (es erfolgt keine Visualisierung). Die
automatisch starten
Standardeinstellung wird wieder hergestellt, sobald
sich ein Benutzer am Betriebssystem neu anmeldet
oder der Computer neu gestartet wird.
Das für die Visualisierung zu startende Programm
wird hier angezeigt. Auch hier wird die
Anwendung
Standardeinstellung wieder hergestellt, sobald sich
ein Benutzer am Betriebssystem neu anmeldet, oder
ein Neustart erfolgt.
vor
Druckausführung
starten
nach
Druckausf.
starten
Diese Option sollten Sie nicht wählen, da der
OPENLiMiT SignCubes Viewer nicht starten wird.
Standardeinstellung. Auch hier gilt, die Einstellung
wird nach neuer Anmeldung am Betriebssystem oder
Neustart wieder hergestellt.
Hier sollte ein Häkchen gesetzt sein, da sonst keine
Parameter
Visualisierung erfolgt. Nach Neustart des Computers
übergeben
oder neuer Anmeldung am Betriebssystem wird auch
diese Einstellung wieder hergestellt.
Darstellung
Anwendung
der Bestimmt die Größe des Fensters, in dem die
Anwendung startet
NachrichtenSchnittstelle
deaktivieren
Diese Funktion steht nicht zur Verfügung.
191
192
Drucker Eigenschaften - Wasserzeichen
Wasserzeichen
Aktivieren Sie diese Option, um Ihr Dokument
drucken
mit einem Wasserzeichen zu versehen.
WasserzeichenOptionen
Wasserzeichen
zur
ersten
nur Aktivieren Sie diese Option, um das
Seite Wasserzeichen nur auf der ersten Seite des
hizufügen
Seiten
Hochformat
Dokuments anzubringen.
im
Wählen Sie in diesem Bereich eine Datei aus,
die als Wasserzeichen auf alle Seiten im
Hochformat ausgegeben werden soll.
Wählen Sie in diesem Bereich eine Datei aus,
Seiten im Querformat die als Wasserzeichen auf alle Seiten im
Querformat ausgegeben werden soll.
Wasserzeichen
Hier wählen Sie die Datei aus, die als
Datei:
Wasserzeichen ausgegeben werden soll.
Center = Mittig
Streched to Fit = über die ganze Seite
Position:
gestreckt
Streched to Width = über die Seitenbreite
gestreckt
Tile = gekachelt
Helligkeit:
Legen Sie hier die Helligkeit des jeweiligen
Wasserzeichens fest.
193
194
Drucker Eigenschaften - Embed Annotation
Alle unter diesem Reiter gewählten Optionen werden bei neuer Anmeldung an das
Betriebssystem oder Neustart des Computers zurückgesetzt.
Wenn Sie hier ein Häkchen setzen, können Sie
Kommentare
Bemerkungen in die zu signierende Datei einfügen.
einbeziehen
Der hier geschriebene Text wird in die TIFF Datei
eingebettet.
Geben Sie Text hier ein.
Zeichenfolge
Schriftart
Schriftarten können hier definiert werden.
Das aktuelle Datum wird eingefügt, wenn Sie hier ein
Datum
Häkchen setzen.
Format
des
Datums
Hier legen Sie ein Datumsformat fest.
Mit einem Häkchen hier fügt man die Uhrzeit ein.
Zeit
Hier legen Sie das Format für die Uhrzeit fest und
Zeit-Format
wählen, ob Sie Minuten, Sekunden und Zeitzone mit
einbeziehen wollen.
Kommentar Position
Hier wählen Sie, wie der Text platziert wird.
Farbe
Die Farbe des Textes kann hier gewählt werden.
195
196
E-Mail Clients
Die Software OPENLiMiT SignCubes 2.1 unterstützt das Signieren und Verschlüsseln von EMails in verschiedenen E-Mail Programmen. In diesem Kapitel werden die vorzunehmenden
Einstellungen und die grundlegenden Arbeitsschritte der unterstützen E-Mail Clients kurz
beschrieben.
Die folgenden Erklärungen betreffen hauptsächlich Funktionen und Einstellungen der
unterstützen E-Mail Clients und erheben keinen Anspruch auf Vollständigkeit. Sollte hier
etwas fehlen, empfehlen wir grundsätzlich, in der Hilfe oder im Handbuch des jeweiligen
Programms nachzusehen.
Voraussetzung für das Arbeiten mit den verschiedenen E-Mail Programmen ist, dass das
Programm richtig installiert ist und das E-Mail Konto, das der E-Mail Adresse Ihres Zertifikats
entspricht richtig eingerichtet wurde. Um zu erfahren wie Sie ein E-Mail Konto einrichten,
lesen Sie bitte die Hilfe des jeweiligen E-Mail Programms.
197
Microsoft Outlook und Microsoft Outlook Express
Microsoft Outlook und Microsoft Outlook Express sind zwei oft verwendete E-Mail
Programme. Mit dem OPENLiMiT SignCubes Cryptographic Service Provider (CSP) können
Sie E-Mails in Microsoft Outlook oder Microsoft Outlook Express signieren und
verschlüsseln.
Der OPENLiMiT SignCubes Cryptographic Service Provider kommt nur dann zum Einsatz,
wenn Informationen der Karte benötigt werden, d.h. bei der Signaturerzeugung und beim
Entschlüsseln. Das Verschlüsseln und die Signaturprüfung erfolgt durch Microsoft Outlook
bzw. Microsoft Outlook Express selbst.
198
Microsoft Outlook Einstellungen
Um mit Microsoft Oulook bzw. Microsoft Outlook Express alle Sicherheitsfunktionen
ausführen zu können, benötigen Sie ein e-Mail Konto mit der e-Mail Adresse, die in Ihrem
Zertifikat steht. Diese haben Sie beim Ausfüllen des Karten-Antrages angegeben. Beim
Signieren oder Entschlüsseln wird dann automatisch Ihr Zertifikat genommen, wenn die
Karte im Kartenleser steckt.
Outlook Express
Die folgenden Sicherheitseinstellungen sind unbedingt einzurichten, damit Sie Ihre Mails
signieren und/ oder verschlüsseln können.
•
Stecken Sie Ihre Chipkarte in den Kartenleser und warten Sie, bis das Chipsymbol gelb
ist.
•
Klicken Sie im Hauptmenü auf Extras / Konten.
•
Wählen Sie nun das Mailkonto aus, bei dem die Mailadresse mit der in Ihrem Zertifikat
enthaltenen Mailadresse übereinstimmt.
•
Klicken Sie auf Eigenschaften und wählen Sie das Register „Sicherheit“ aus.
•
Für die E-Mail-Signatur wählen Sie über den ersten Button „Auswählen…“ Ihr Zertifikat
für den Zweck „Sichere E-Mail“ aus.
•
Nehmen Sie diese Einstellungen auch für das Verschlüsselungszertifikat über den
2.Button „Auswählen…“ vor.
•
Der Algorithmus bleibt auf 3DES eingestellt.
199
Bestätigen Sie die Einstellungen mit OK
Wenn Sie automatisch signieren und verschlüsseln möchten, dann können Sie dies unter
Extras - Optionen - Sicherheit einstellen.
200
Hinweis: Die nachfolgend beschriebenen Einstellungen sind nicht zwingend notwendig. Sie
sollten diese Einstellungen nur in dem Fall nochmal prüfen, falls der Empfänger Ihre Mail
nicht lesen kann.
•
Unter Extras - Optionen - Lesen klicken Sie auf Schriftarten.
•
Dort stellen Sie einen 7 Bit Code ein. Zum Beispiel wählen Sie oben aus der Liste
Unicode und unten bei der Codierung UTF-7.
•
Dann klicken Sie auf den Button Als Standard, um diese Codierung als Standard
einzustellen.
Sie können aber auch jede Nachricht einzeln signieren und/oder verschlüsseln.
Microsoft Outlook
Bei Microsoft Outlook müssen Sie erst das Signaturzertifikat und das
Verschlüsselungszertifikat auswählen.
•
Unter Extras - Optionen - Sicherheit gibt es den Bereich e-Mail sichern.
•
Klicken Sie hier auf Einstellungen...
•
Wählen Sie unter Bevorzugte Sicherheitseinstellungen: das Sicherheitsformat für
Nachrichten: S/MIME.
201
•
Wählen Sie unter Zertifikate und Algorithmen folgende Einstellungen:
•
Signaturzertifikat: Ihr e-Mail Signaturzertifikat
•
Hashalgorithmus: SHA1
•
Verschlüsselungszertifikat: Ihr e-Mail Verschlüsselungszertifikat
•
Verschlüsselungsalgorithmus: 3DES
•
"Signierten Nachrichten diese Zertifikate hinzufügen" aktivieren.
•
Klicken Sie auf OK.
Unter dem Tab Sicherheit können Sie die automatische Signatur und Verschlüsselung von
Nachrichten einstellen. Dies ist aber für jede e-Mail auch einzeln möglich.
202
203
Signieren und Verschlüsseln
In Outlook oder Outlook Express haben Sie unter Extras - Optionen - Sicherheit die
Möglichkeit, die Sicherheitseinstellungen für alle e-Mails einzustellen. Wenn Sie bei jeder eMail selbst entscheiden möchten, ob diese verschlüsselt und/oder signiert werden soll, wird
dies im e-Mail Fenster eingestellt.
Wenn Sie mehrere e-Mail Konten eingerichtet haben, müssen Sie über das Konto mit der eMailadresse senden, die in Ihrem Zertifikat enthalten ist. Outlook überprüft die Angaben und
falls diese nicht übereinstimmen, kann keine Signatur erzeugt werden.
Outlook Express/Outlook 2003
Bei Outlook Express können Sie direkt im e-Mail Fenster auf den Button Signieren oder
Verschlüsseln klicken und anschließend auf Senden. Nach Eingabe der PIN ist die e-Mail
signiert.
Outlook 2000
Unter Outlook 2000 müssen Sie zum Signieren und Verschlüsseln im e-Mail Fenster auf
Optionen klicken und dort die entsprechenden Kästchen anhaken.
Outlook XP
Klicken Sie im e-Mail Fenster auf Optionen, oben rechts auf Sicherheitseinstellungen und
dann die Kästchen Signieren und Verschlüsseln anhaken.
Signatur und Klartext senden
Wenn Sie die Signatur und den Klartext separat senden (detached signature), können auch
die Empfänger Ihre e-Mail lesen, deren Client signierte Nachrichten nicht unterstützen (z.B.
AOL). Einige können auch die Signatur prüfen (z.B. T-Online).
•
In
Outlook
Express
finden
Sie
die
Einstellung
unter
Extras/Optionen/Sicherheit/Button "Erweitert". Dort sollte kein Häkchen unter
"Nachricht vor dem Signieren verschlüsseln (PKCS#7)" gesetzt sein. Um jedoch eine
e-Mail ohne Klartext zu senden, muss dieses Häkchen wieder gesetzt werden.
•
In Outlook finden Sie die Einstellung unter Extras/Optionen/Sicherheit. Dort sollte ein
Häkchen für "Signierte Nachrichten als Klartext senden" gesetzt sein.
Um e-Mails verschlüsseln zu können, müssen die Zertifikate der Empfänger in die
dazugehörigen Kontakte integriert sein.
204
Verschlüsselungszertifikate in Kontakt integrieren
Um für eine bestimmte Person zu verschlüsseln, muss das Zertifikat (digitale ID) der
Kontaktperson in Ihrem System installiert sein. Dazu lassen Sie sich eine signierte e-Mail
von Ihrem Kommunikationspartner schicken.
So integrieren Sie ein Verschlüsselungszertifikat (digitale ID) in einem Kontakt
Outlook
•
Öffnen Sie die signierte e-Mail
•
Klicken Sie mit der rechten Maustaste auf den Namen des Absenders Von: Mailadresse
•
Wählen Sie Zu den Kontakten hinzufügen aus.
•
im Register Zertifikate können Sie sich das Zertifikat ansehen
•
klicken Sie auf den Button Speichern und Schliessen, damit das Zertifikat dem Kontakt
hinzugefügt wird.
Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt.
Bei einem neuen Kontakt wird dieser automatisch angelegt. Ab diesem Zeitpunkt können eMails für den Empfänger verschlüsselt werden.
205
206
Outlook Express
•
Öffnen Sie die signierte e-Mail
•
Klicken Sie mit der rechten Maustaste auf den Namen des Absenders.
•
Wählen Sie Zum Adressbuch hinzufügen aus.
Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt.
Bei einem neuen Kontakt wird dieser angelegt. Ab diesem Zeitpunkt können e-Mails für den
Empfänger verschlüsselt werden.
207
Mozilla / Netscape Mail
Mozilla Mail ist ein Programm der Mozilla Foundation und wird gebündelt mit dem Mozilla
Browser angeboten.
Netscape ist eine Mozilla Distribution, die sich grundsätzlich nur in der Oberfläche von
Mozilla unterscheidet. Da sich mit der deutsche Version von Mozilla einige wichtige
Funktionen nicht richtig darstellen lassen, wurde für diese Dokumentation Netscape 7.1
verwendet.
Falls Sie eine deutsche Version von Mozilla verwenden, besteht die Möglichkeit, dass einige
Texte oder Button nicht oder nur unvollständig dargestellt werden.
Zudem kommt es vor, dass sich Mozilla und Netscape in der Benennung von Button und
Kapitel zum Teil unterscheiden.
In diesem Kapitel wird der Umgang mit Mozilla 1.6 bzw. Netscape 7.1 erklärt.
208
Mozilla / Netscape Mail Client Sicherheitseinstellungen
Starten Sie zunächst Netscape Mail: Start - Programme - Netscape 7.1 - eMail &
Diskussionsforen
Sollten Sie Netscape Mail zum ersten Mal starten, so wird das Programm Ihnen mit einem
Assistenten beim Einrichten eines E-Mail Kontos behilflich sein. Um e-Mails signieren
/verschlüsseln zu können, muss unbedingt ein Mailkonto für die Mailadresse eingerichtet
sein, die auch in Ihrem Zertifikat enthalten ist (siehe gelbes
Chipsymbol/Eigenschaften/Zertifikate).
Hinweis: Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser
ordnungsgemäss installiert ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die
notwendigen Zertifikate auf Ihrer Karte befinden.
Klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen, um das folgende Fenster
zu öffnen.
209
Kryptographie Modul installieren
Wählen Sie aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate
Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...
Jetzt öffnet sich das Fenster des Geräte-Managers, in dem alle geladenen
Sicherheitsmodule zu sehen sind.
210
•
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11-Modul zu
installieren.
•
Geben Sie dem Modul zunächst einen Namen, z.B. OPENLiMiT SignCubes PKCS#11Modul, und klicken Sie dann auf Durchsuchen...
Navigieren
Sie
nun
zum
SignCubes
Programm-Verzeichnis
(Standard:
C:\Programme\OPENLiMiT), wählen Sie dort die Datei siqp11.dll aus, und klicken Sie
auf Öffnen.
211
•
Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses
Modul installieren wollen, nochmals mit OK.
•
Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls
mit OK.
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OPENLiMiT
SignCubes 2.1 Software.
212
Schliessen Sie den Geräte-Manager mit einem Klick auf OK, um weitere Einstellungen
vornehmen zu können.
Das Mozilla/Netscape Einstellungsfenster sollte noch geöffnet und die Kategorie Zertifikate
zu sehen sein.
Klicken Sie auf den Button Zertifikate verwalten, um den Zertifikat-Manager zu öffnen
und die Vertrauenswürdigkeit für die Zertifikate einzustellen.
Der Zertifikat-Manager übernimmt die Verwaltung von Zertifikaten. Unter dem Register Ihre
Zertifikate werden die Zertifikate angezeigt, welche auf Ihrer Karte gespeichert sind.
Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck
"Aussteller nicht verrauenswürdig" oder "Aussteller unbekannt" beinhaltet und
klicken Sie auf Anzeigen.
213
•
Mozilla/Netscape bringt die Meldung "Zertifikat konnte aus unbekannten Gründen
nicht zugelassen werden." Der Inhalt dieser Meldung ist abhängig von dem jeweiligen
Zertifikat.
•
Unter Ausgestellt von finden Sie den Herausgeber Ihres Zertifikats, für den Sie die
Vertrauenswürdigkeit einstellen müssen. Vermerken Sie sich diese Information und
schliessen Sie das Fenster.
•
Klicken Sie auf den Reiter Aussteller und markieren Sie Ihren Zertifikatsaussteller.
•
Klicken Sie nun den Aussteller Ihres Zertifikats an.
214
Über den Button Bearbeiten in dem Fenster Vertrauenseinstellungen für.. sollten Sie
mindestens für den 2. Punkt ein Häkchen setzen.
Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen
importieren.
Klicken Sie dazu auf den Button Importieren, wählen Sie unter
C:\Programme\OPENLiMiT\Data\CRLs den entsprechenden Aussteller aus, z.B. für die
OPENLiMiT CA wählen Sie "OPENLiMiT", markieren Sie die Datei OPENLiMiT_CA.cer und
klicken Sie auf Öffnen.
Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordner des Programmverzeichnisses
finden, müssen Sie sich das Zertifikat des Zertifikatsherausgebers direkt downloaden und
installieren. In den meisten Fällen finden Sie diese Daten auf den jeweiligen Internetseiten.
Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.
215
Jetzt vertrauen Sie dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate
wird für Ihr Zertifikat "Unterzeichnen, Unterschrift oder Verschlüsseln" angezeigt.
Nach dem Sie diese Einstellungen vorgenommen haben, erscheint in dem folgenden
Fenster die Meldung, für welchen Verwendungszweck das Zertifikat verifiziert wurde.
216
•
Schliessen Sie den Zertifikats-Manager und das Einstellungsfenster.
Zertifikate für die Signatur und Verschlüsselung auswählen
•
Klicken Sie in der Menüleiste nun auf Bearbeiten - eMail und Diskussionsforen-KontoEinstellungen...
•
Wählen Sie jetzt im linken Bereich des Fensters unter Ihrem Mailkonto (muss die
Mailadresse enthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu der
folgenden Ansicht zu gelangen.
217
An dieser Stelle legen Sie fest, welche Zertifikate zur Signatur und Verschlüsselung
verwendet werden sollen.
Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen.
Mozilla / Netscape schlägt Ihnen an dieser Stelle für die Signatur von E-Mails automatisch
ein Zertifikat vor.
Klicken Sie auf OK.
Nun öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche
Zertifikat zum Ver- und Entschlüsseln verwenden wollen. Bestätigen Sie mit OK.
218
Anschließend solten Sie überprüfen, ob das übernommene Zertifikat für die Verschlüsselung
geeignet ist. Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen
an. Für den Zweck sollte mindestens "Verschlüsseln" angezeigt werden.
•
Klicken Sie nun auf OK. Damit wird Ihnen erneut das Fenster mit der Rubrik "Sicherheit"
angezeigt.
•
Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn
Sie Ihre E-Mails generell signieren wollen.
•
Wählen Sie, ob Sie Ihre E-Mails verschlüsselt oder unverschlüsselt versenden wollen.
Sie können diese Einstellung beim Erstellen einer E-Mail immer noch ändern.
219
Sie haben alle Sicherheitseinstellungen für Mozilla/Netscape vorgenommen und können das
Fenster mit OK schließen.
220
Arbeiten mit Mozilla / Netscape Mail
E-Mails signieren und verschlüsseln
•
Starten Sie zunächst Mozilla/Netscape Mail und verfassen Sie eine neue E-Mail.
•
Klicken Sie jetzt auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für
die E-Mail nochmals zu prüfen und gegebenenfalls zu ändern.
Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für
denjenigen eine E-Mail verschlüsseln zu können.
Empfangen von signierten und verschlüsselten E-Mails
Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.
221
•
Klicken Sie auf das Stift-Symbol, um die Details der Signatur zu prüfen.
Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN
aufgefordert, bevor Sie die Nachricht lesen können. Verschlüsselte Nachrichten sind mit
einem Schlüssel-Symbol gekennzeichnet.
222
•
Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.
So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Personen in den
Zertifikat-Manager:
Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, brauchen Sie
den öffentlichen Schlüssel dieser Person.
Variante 1:
•
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail.
•
Wenn Sie die E-Mail öffnen, integriert Mozilla /Netscape Mail das mitgesendete Zertifikat
automatisch in den Zertifikat-Manager unter Andere Personen.
Variante 2:
223
•
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem
als
Anhang.
Informationen
zum
Export
eines
Verschlüsselungszertifikats finden Sie in dem Abschnitt Verschlüsselungszertifikat
exportieren.
•
Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,
•
Importieren Sie diese dann in dem Zertifikat-Manager unter Zertifikate anderer
Personen.
•
Wählen Sie dazu: Bearbeiten - Einstellungen - Privatsphäre & Sicherheit - Zertifikate
•
Klicken Sie auf Zertifikate verwalten.
•
Wählen Sie im Zertifikat-Manager den Register Andere Personen aus.
•
Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei (*.cer Datei)
aus, die Sie auf Ihrem Computer abgespeichert haben.
Das Zertifikat ist im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für diese Person
verschlüsseln.
Beachten Sie, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer
bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine
andere E-Mail Adresse der gleichen Person senden.
224
Mozilla Thunderbird
Mozilla Thunderbird ist ein E-Mail Programm der Mozilla Foundation. Es bietet alle
Funktionen eines modernen E-Mail Programms und kann mit PKCS#11 Modulen umgehen.
Benutzern von Microsoft Outlook wird die Bedienung von Thunderbird leichtfallen, da viele
der gängigsten Funktionen ähnlich sind.
In diesem Kapitel wird der Umgang mit Thunderbird 1.0.2 beschrieben. Sollten Sie eine
andere Version von Thunderbird verwenden, so kann es zu Abweichungen mit den hier
aufgeführten Abläufen kommen.
225
Thunderbird Sicherheitseinstellungen
•
Starten Sie zunächst Thunderbird. Sollten Sie Thunderbird zum ersten Mal starten, so
wird Ihnen das Programm mit einem Assistenten beim Einrichten eines E-Mail Kontos
behilflich sein.
Um E-Mails signieren /verschlüsseln zu können, muss unbedingt ein Mailkonto für die
Mailadresse eingerichtet sein, die auch in Ihrem Zertifikat enthalten ist (siehe gelbes
Chipsymbol/Eigenschaften/Zertifikate).
Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser ordnungsgemäss
installiert ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen
Zertifikate auf Ihrer Karte befinden.
Klicken Sie in der Menüleiste Extras - Einstellungen an, um das folgende Fenster zu
öffnen.
Wählen Sie Erweitert aus und scrollen Sie den Balken rechts im Fenster zum Abschnitt
Zertifikate.
226
Kryptographie-Modul installieren
Klicken Sie auf den Button Kryptographie-Module.
Jetzt öffnet sich Thunderbird's Kryptographie-Modul-Manager mit einer Ansicht aller
bereits geladener Komponenten.
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu
installieren.
227
Geben Sie dem Modul zunächst einen Namen, z.B. OPENLiMiT SignCubes PKCS#11
Modul, und klicken Sie dann auf Durchsuchen...
Navigieren
Sie
nun
zum
SignCubes
Installations-Verzeichnis
(Standard:
C:\Programme\OPENLiMiT), wählen Sie dort die Datei siqp11.dll aus und klicken Sie
auf Öffnen.
228
•
Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses
Modul installieren wollen, nochmals mit OK.
•
Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls
mit OK.
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OPENLiMiT
SignCubes 2.1 Software.
Schließen Sie nun den Kryptographie-Modul-Manager mit einem Klick auf OK, um
weitere Einstellungen vorzunehmen.
229
Das Thunderbird Einstellungsfenster sollte noch geöffnet und der Abschnitt Zertifikate zu
sehen sein.
Klicken Sie auf den Button Zertifikate, um den Thunderbird-Zertifikat-Manager zu
öffnen.
Der Zertifikat-Manager übernimmt die Verwaltung der Zertifikate. Unter dem Register Ihre
Zertifikate sind die Zertifikate zu sehen, die sich auf Ihrer Karte befinden.
230
•
Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck
"Aussteller nicht vertrauenswürdig" oder "Herausgeber unbekannt" anzeigt.
•
Klicken Sie auf Ansicht.
231
Thunderbird bringt standardmäßig die Ausschrift "Dieses Zertifikat konnte aus
unbekannten Gründen nicht verifiziert werden." Diese Meldung ist zertifikatsabhängig
und kann im Einzelfall abweichen.
•
Unter Herausgegeben für finden Sie den Herausgeber Ihres Zertifikats. Vermerken Sie
sich bitte diese Information und schließen Sie das Fenster.
•
Klicken Sie das Register "Zertifizierungsstellen" an und markieren Sie Ihren
Zertifikatsaussteller.
232
Über den Button Bearbeiten sollten Sie in dem Fenster "Vertrauenseinstellungen"
mindestens für den 2. Punkt ein Häkchen setzen.
•
Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen
importieren.
•
Klicken Sie dazu auf den Button Importieren,
•
wählen Sie unter C:\Programme\OPENLiMiT\Data\CRLs den entsprechenden Aussteller
aus, z.B. für die OPENLiMiT CA wählen Sie den Ordner "OPENLiMiT",
•
markieren Sie die Datei "OPENLiMiT _CA.cer" und klicken Sie auf Öffnen.
Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordern des Programmverzeichnisses
finden, müssen Sie sich das Zertifikat direkt von dem Zertfikatsaussteller (im Regelfall per
die Web-Seite) downloaden.
Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.
233
Sie sollten mindestens für den 2. Punkt ein Häkchen setzen. Jetzt vertrauen Sie dem
Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr Zertifikat
"Unterzeichnen, Unterschrift oder Verschlüsseln" angezeigt.
Wählen Sie erneut das Register Ihre Zertifikate aus.
Klicken Sie auf Ansicht, um weitere Detailinformationen zu erhalten.
Wenn alle Einstellungen korrekt ausgeführt wurden, sehen Sie folgendes Fenster, in dem
Ihnen mitgeteilt wird, für welchen Verwendungszweck das Zertifikat verifiziert wurde.
234
Klicken Sie auf Schließen. Anschließend können Sie auch den Zertifikat-Manager und
das Einstellungs-Fenster schließen.
235
Zertifikate für die Signatur und Verschlüsselung auswählen
•
Klicken Sie in der Menüleiste auf Extras - Konten.
•
Wählen Sie im linken Bereich des Fensters unter Ihrem Mailkonto (muss die
Mailadresse enthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu
folgender Ansicht zu gelangen.
•
Legen Sie fest, welche Zertifikate für die Signatur und Verschlüsselung verwendet
werden sollen.
•
Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen.
236
Thunderbird schlägt Ihnen an dieser Stelle automatisch ein Zertifikat für die Signatur von EMails vor.
Klicken Sie nun auf OK.
Es öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche
Zertifikat zum Ver- und Entschlüsseln verwenden wollen.
Klicken Sie hier auf OK.
Sie sollten überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist.
Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen an. Für den
Zweck sollte mindestens "Verschlüsseln" angezeigt werden.
•
Klicken Sie auf OK. Anschließend erscheint wieder das Fenster mit der Rubrik
"Sicherheit"
237
•
Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn
Sie Ihre E-Mails generell signieren wollen.
•
Wählen Sie, ob Sie Ihre E-Mails standardmäßig verschlüsselt oder unverschlüsselt
versenden wollen.
Sie können diese Einstellungen beim Erstellen einer E-Mail immer noch ändern.
Sie haben alle Sicherheitseinstellungen für Thunderbird vorgenommen und können das
Fenster mit OK schließen.
238
Arbeiten mit Thunderbird
Bevor Sie die hier beschriebenen Abläufe ausführen können, müssen Sie das E-Mail
Programm
konfigurieren.
Lesen
Sie
dazu
das
Kapitel
Thunderbird
Sicherheitseinstellungen.
E-Mails signieren und verschlüsseln
•
Starten Sie Thunderbird und verfassen Sie eine neue E-Mail.
•
Klicken Sie auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die EMail nochmals zu prüfen und gegebenenfalls zu ändern.
Beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für
denjenigen eine E-Mail verschlüsseln zu können.
Empfangen von signierten und verschlüsselten E-Mails
Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.
239
Klicken Sie auf das Stift-Symbol, um die Signatur der E-Mail zu prüfen.
Mit einem Klick auf Unterschriftszertifikat ansehen, können Sie sich die Details zum
Zertifikat anzeigen lassen.
Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN
aufgefordert, bevor Sie die Nachricht lesen können. Verschlüsselte Nachrichten sind mit
einem Schlüssel-Symbol gekennzeichnet.
240
Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.
So integrieren Sie den öffentlichen Schlüssel von Zetrifikaten anderer Person in den
Zertifikat-Manager:
Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, benötigen Sie
den öffentlichen Schlüssel des Empfängers.
Variante 1:
•
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail.
•
Wenn Sie die E-Mail öffnen, integriert Thunderbird das mitgesendete Zertifikat
automatisch in den Zertifikat-Manager unter Zertifikate anderer Personen.
241
Variante 2:
•
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem
Verschlüsselungszertifikat als Anhang. Weitere Informationen zu dem Export von
Verschlüsselungszertifikaten finden Sie in dem Abschnitt Verschlüsselungszertifikat
exportieren.
•
Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,
•
Importieren Sie diese dann in den Zertifikat-Manager unter Zertifikate anderer
Personen.
•
Wählen Sie dazu: Extras - Einstellungen - Erweitert - Zertifikate
•
Wählen Sie dann im Zertifikat-Manager den Register Zertifikate anderer Personen
aus.
•
Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie
auf Ihrem Computer abgespeichert haben.
Das Zertifikat ist jetzt im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für die
Person, der dieses Zertifikat gehört, verschlüsseln.
Beachten Sie bitte, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit
einer bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine
andere E-Mail Adresse der gleichen Person senden.
242
Lotus Notes
Lotus Notes ist ein E-Mail Programm, welches sehr umfassende Funktionen bietet. Hier
werden nur die Funktionen beschrieben, welche in direkter Verbindung mit dem Empfangen
und Versenden von signierten und verschlüsselten E-Mails stehen.
Die hier beschriebenen Abläufe beziehen sich auf die Software Lotus Notes 6.5, Version
6.5.4 Deutsch. Bitte beachten Sie, dass frühere Versionen (z.B. Lotus Notes 6.5.3 Deutsch)
nicht ausreichend lokalisiert sind und daher manche Funktionen (z.B. Internet-Zertifikate von
Smartcard importieren) nicht möglich sind. Dies hat zur Folge, dass die Vorgängerversionen
nicht ohne weiteres für die hier beschriebenen Abläufe zu verwenden sind.
Sollten Sie eine ältere Version von Lotus Notes 6.5 oder Lotus Notes 6 verwenden, so kann
es hilfreich sein, erst ein Update auf die oben genannte Version zu installieren, bevor Sie
versuchen, die hier beschriebenen Abläufe nachzuvollziehen.
243
Lotus Notes 6.5.4 Sicherheitseinstellungen
Voraussetzung für die Sicherheitseinstellungen in Lotus Notes
Bevor Sie die hier beschriebenen Einstellungen vornehmen können, müssen folgende
Voraussetzungen erfüllt sein:
•
Ihr E-Mail Konto muss ordnungsgemäß eingerichtet sein,
•
die OPENLiMiT SignCubes 2.1 Software und der Kartenleser müssen installiert sein,
•
OPENLiMiT SignCubes 2.1 ist gestartet,
•
die Karte befindet sich im Kartenleser und wurde erkannt.
Installieren des PKCS#11 Treibers
Damit Lotus Notes mit den Zertifikaten auf Ihrer Smartcard arbeiten kann, muss zunächst
der PKCS#11 Treiber in Lotus Notes installiert werden.
Wählen Sie zunächst Datei - Sicherheit - Benutzersicherheit...
•
Klicken Sie auf Ihre Identität im linken Bereich des Fensters.
•
Wählen Sie anschließend Ihre Smartcard.
244
Jetzt öffnet sich ein Fenster zur Smartcard Konfiguration.
Klicken Sie nun auf das Ordner-Symbol, um eine Smartcard-Treiberdatei zu installieren.
Daraufhin öffnet sich ein Fenster zum Auswählen des Smartcard Treibers.
•
Navigieren
Sie
nun
zu
dem
SignCubes
Programmverzeichnis
C:\Programme\ OPENLiMiT) und wählen die Datei siqp11.dll aus.
•
Klicken Sie auf Öffnen, um den Treiber zu installieren.
(Standard:
245
Daraufhin wird das Fenster zur Smartcard Konfiguration dargestellt, in welchem Sie jetzt
den installierten Treiber sehen.
Klicken Sie auf Fortfahren..., um die Installation abzuschließen.
Installation Ihres Signatur-Zertifikats
Damit Sie das auf Ihrer Smartcard gespeicherte Signaturzertifikat zum Signieren von E-Mails
in Lotus Notes nutzen können, müssen Sie dieses zunächst installieren.
•
Wählen Sie Ihre Zertifikate in dem linken Bereich des Fensters aus.
•
Klicken Sie dann auf den Button Zertifikate abrufen... und wählen Sie aus dem Menü
den Punkt Internet-Zertifikat von einer Smartcard importieren.
246
Hinweis: Wenn Sie eine ältere deutsche Version von Lotus Notes 6.5 oder 6 (z.B. Lotus
Notes 6.5.3 Deutsch) verwenden ist diese Schaltfläche gegraut und Sie können somit keine
Smartcard Zertifikate importieren. Installieren Sie in diesem Fall ein Update auf Lotus Notes
6.5.4.
Wenn die Zertifikate erfolgreich importiert wurden, erscheint folgende Meldung.
Wählen Sie nun Ihre Internet-Zertifikate aus dem Menü.
Jetzt werden die von der Smartcard importierten Zertifikate angezeigt werden.
Wenn Ihr Zertifikat nicht angezeigt wird, sollten Sie Lotus Notes beenden, neu starten und
dann zu diesem Dialog zurückkehren (Datei - Sicherheit - Benutzersicherheit- Ihre
Identität - Ihre Zertifikate - Menü: Ihre Internet-Zertifikate).
247
248
Arbeiten mit Lotus Notes 6.5.4
Bevor Sie damit beginnen können, mit Lotus Notes 6.5.4 signierte oder verschlüsselte EMails zu versenden oder zu empfangen, stellen Sie sicher, dass das Programm
ordnungsgemäss konfiguriert ist. Lesen Sie dazu das Kapitel Lotus Notes 6.5.4
Versenden einer signierten E-Mail
•
Erstellen Sie zunächst ein neues Memo.
•
Klicken Sie dann auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für
Signieren.
•
Klicken Sie auf OK, um die Einstellungen zu speichern.
•
Jetzt können Sie die E-Mail senden.
Sie werden dazu aufgefordert, eine Signatur zu erzeugen. Weitere Informationen dazu
finden Sie in dem Abschnitt Signieren.
So integrieren Sie den öffentlichen Schlüssel des Zertifikats einer anderen Person in
Lotus Notes:
•
Die Person, für die Sie verschlüsseln wollen muss Ihnen dazu eine signierte E-Mail
senden.
•
Öffnen Sie die E-Mail, klicken Sie dann auf den Button Werkzeuge und wählen Sie im
Menü Absender in Adressbuch aufnehmen aus.
249
Es öffnet sich ein Fenster, zur Aufnahme der Daten in das Adressbuch.
•
Wählen Sie jetzt das Register Erweitert aus, und aktivieren Sie die Option
Gegebenenfalls x.509-Zertifikate aufnehmen.
•
Klicken Sie OK, um die Daten zu speichern.
250
Versenden einer verschlüsselten E-Mail
Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für
denjenigen verschlüsseln zu können.
•
Erstellen Sie zunächst ein neues Memo.
•
Klicken Sie auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für
Verschlüsseln.
•
Klicken Sie dann auf OK, um die Einstellungen zu speichern.
251
•
Jetzt können Sie Ihre verschlüsselte E-Mail versenden.
Lotus Notes 5
Zur Verwendung Ihrer Smartcard unter Lotus Notes 5 wird ein PKCS#11 Treiber benötigt.
Dieser wird unter Lotus Notes 5 über Trusted Mime eingebunden. Dazu muss Trusted Mime
auf dem Rechner installiert sein. Um genaue Informationen zu erhalten, wie Sie den
PKCS#11 Treiber in Trusted Mime richtig einbinden, informieren Sie sich bitte in der Trusted
Mime Dokumentation.
Der PKCS#11 Treiber befindet sich im Installationsverzeichnis der OPENLiMiT SignCubes
2.1 Software ( Standard: C:\Programme\ OPENLiMiT\siqp11.dll )
Weitere Informationen finden Sie in dem Abschnitt Arbeiten mit Lotus Notes 6.5.4.
252
SSL Authentisierung
Mit den Modulen der OPENLiMiT SignCubes Software sind Sie in der Lage, sich an einer
Webseite welche SSL Authentisierung verwendet, anzumelden. Diese Aufgabe wird je nach
Verwendung des Web-Browsers vom CSP oder vom PKCS#11 Treiber übernommen.
253
Über SSL:
Secure Sockets Layer (SSL) ist ein Verschlüsselungsprotokoll für Datenübertragung im
Internet. Wenn eine Verbindung zu einer Webseite über SSL hergestellt wird, geschieht dies
in etwa so:
•
Zunächst
sendet
der
Client
(Web-Browser
mit
dem
Sie
arbeiten)
eine
Verbindungsanfrage an den Server (dort ist die Webseite, die Sie besuchen wollen).
•
Daraufhin antwortet der Server und sendet ein Zertifikat.
•
Indem Sie bestätigen, dass Sie dem Zertifikat des Servers vertrauen, ermöglichen Sie
Ihren Web-Browser die Verbindung zum Server herzustellen. (Dieser Schritt wird unter
Umständen automatisch durchgeführt, z.B. dann, wenn das Server-Zertifikat von Ihrem
Web-Browser bereits als vertrauenswürdig eingestuft wird.)
•
Eventuell will der Server aber auch wissen ob, Sie die Person sind, für die Sie sich
ausgeben und sendet eine entsprechende Anfrage an Ihren Web-Browser (Bidiretionelle
SSL Authentifizierung).
•
Jetzt müssen Sie sich dem Server gegenüber identifizieren, indem Sie die Anfrage des
Servers signieren. Dabei kommen die Module der Software zum Einsatz.
•
Nun ist eine sichere Verbindung über SSL hergestellt.
Wenn Sie mehr über SSL wissen wollen, lesen Sie unter
http://de.wikipedia.org/wiki/Secure_Sockets_Layer nach.
Die folgenden Web-Browser werden für die SSL Authentisierung von OPENLiMiT SignCubes
2.1 unterstützt:
•
Internet Explorer ab Version 6
•
Mozilla ab Version 1.6 (entspricht Netscape ab Version 7.1)
•
Firefox ab Version 1.0.4
Der Internet Explorer nutzt dazu den Cryptographic Service Provider (CSP). Firefox und
Mozilla / Netscape hingegen verwenden den PKCS#11 Treiber. Firefox und Mozilla /
Netscape müssen daher richtig konfiguriert werden, bevor die SSL Authentisierung gestartet
werden kann. Wenn Sie mit Firefox oder Mozilla / Netscape arbeiten, lesen Sie deshalb bitte
die Kapitel Firefox Browser Sicherheitseinstellungen bzw. Mozilla / Netscape Browser
254
Internet Explorer
Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet,
müssen Sie Ihre Karte in den Leser stecken und warten bis diese erkannt wurde
(Chipsymbol ist gelb).
Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie
eine SSL Verschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie
sich dem Server gegenüber nicht identifizieren. Zudem sendet der Server nicht unbedingt ein
Zertifikat an Sie. Es wird zwar eine sichere Verbindung hergestellt, jedoch ist es möglich,
dass Sie die Daten, die Sie übermitteln nicht an die Stelle senden, an die Sie diese zu
senden glauben.
Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden
werden.
Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung
Wenn Sie mit Internet Explorer eine Webseite aufsuchen, die SSL Authentisierung
verwendet, wird eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die
sichere Webseite anzeigen wollen.
•
Bestätigen Sie den Dialog mit Ja, um fortzufahren.
•
Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite
angezeigt. Lesen Sie diese aufmerksam durch und lassen Sie sich das Zertifikat
anzeigen. Um den Vorgang fortzusetzen, müssen Sie diesem Zertifikat vertrauen und mit
Ja bestätigen.
Warten Sie nun einen Moment, bis sich der Signaturanforderungsdialog der OPENLiMiT
SignCubes 2.1 Software öffnet.
Klicken Sie jetzt auf Signatur erzeugen und geben Sie Ihre globale PIN ein. Damit
identifizieren Sie sich gegenüber dem Server.
255
Die Verbindung zur Webseite wird hergestellt. Alle Daten, die nun zwischen Ihnen und der
Webseite ausgetauscht werden, werden über eine sichere Verbindung geschickt.
256
Mozilla Firefox Browser Sicherheitseinstellungen
Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so
konfigurieren, dass dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten
umgehen kann.
Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser richtig installiert
ist, Ihre Karte sich in diesem befindet, erkannt wurde und die notwendigen Zertifikate sich
auf Ihrer Karte befinden.
Öffnen Sie den Web-Browser und klicken Sie dann in der Menüleiste auf Extras Einstellungen.
Wählen Sie nun aus der Spalte links im Fenster Erweitert und scrollen Sie dann im
rechten Teil des Fensters bis zum Abschnitt Zertifikate.
Klicken Sie jetzt auf Kryptographie-Module verwalten...
Es öffnet sich der Kryptographie-Modul-Manager mit einer Ansicht der bereits aktiven
Komponenten.
257
•
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches
zum Umgang mit Ihrer Karte notwendig ist, zu installieren.
•
Geben Sie dem Modul zunächst einen Namen, z.B. OPENLiMiT SignCubes PKCS#11
Modul, und klicken Sie dann auf Durchsuchen...
Navigieren Sie zum SignCubes Installations-Verzeichnis (Standard: C:\Programme\
OPENLiMiT), wählen Sie dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen.
258
Klicken Sie nun auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie
dieses Modul installieren wollen, bestätigen Sie dies mit OK.
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul.
Jetzt ist Firefox richtig konfiguriert.
259
Mozilla Firefox SSL Authentisierung
müssen Sie Ihre Karte in den Leser stecken und warten, bis diese erkannt wurde (gelbes
Chipsymbol).
senden glauben.
werden.
Wenn Sie mit Firefox eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird
eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite
anzeigen wollen.
Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite
Ja bestätigen.
Sie können das Zertifikat temporär oder für immer akzeptieren. Wenn Sie das Zertifikat für
immer akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der
Webseite nicht mehr angezeigt.
Es wird der Signaturanforderungsdialog der OPENLiMiT SignCubes 2.1 Software geöffnet.
•
Klicken Sie jetzt auf Signatur erzeugen
•
Geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit identifizieren Sie sich gegenüber
dem Server.
260
Es wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der
Webseite ausgetauscht werden, werden über eine sichere Verbindung geschickt.
261
Mozilla / Netscape Browser Sicherheitseinstellungen
Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so
konfigurieren, dass dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten
umgehen kann.
Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser richtig installiert
ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate
auf Ihrer Karte befinden.
Öffnen Sie den Web-Browser und klicken Sie in der Menüleiste auf Bearbeiten Einstellungen.
Wählen Sie nun aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate
Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...
Jetzt öffnet sich ein Fenster in dem bereits geladene Sicherheitsmodule angezeigt werden.
262
•
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches
zum Umgang mit Ihrer Karte notwendig ist, zu installieren.
•
Geben Sie dem Modul zunächst einen Namen, z.B. "OPENLiMiT SignCubes PKCS#11
Modul" und klicken Sie auf Durchsuchen...
Navigieren Sie zum OPENLiMiT SignCubes Installations-Verzeichnis (Standard:
C:\Programme\ OPENLiMiT), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf
Öffnen.
263
Klicken Sie auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses
Modul installieren wollen, bestätigen Sie dies mit OK.
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul.
Jetzt ist Mozilla /Netscape richtig konfiguriert.
264
Mozilla / Netscape SSL Authentisierung
müssen Sie Ihre Karte in den Leser stecken und warten, bis sie erkannt wurde (gelbes
Chipsymbol).
senden glauben.
werden.
Wenn Sie mit Mozilla / Netscape eine Webseite aufsuchen, die SSL Authentisierung
verwendet, wird eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die
sichere Webseite anzeigen wollen.
Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteurtern Webseite
Ja bestätigen.
Sie können das Zertifikat temporär oder dauerhaft akzeptieren. Wenn Sie das Zertifikat
dauerhaft akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch
der Webseite nicht mehr angezeigt.
Es öffnet sich der Signaturanforderungsdialog der OPENLiMiT SignCubes 2.1 Software.
•
Klicken Sie auf Signatur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein.
Damit identifizieren Sie sich gegenüber dem Server.
265
Jetzt wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und
der Webseite ausgetauscht werden, werden über eine sichere Verbindung geschickt.
266
Erste Hilfe
In diesem Kapitel wird der Umgang mit Fehlermeldungen des Produktes beschrieben. In den
folgenden Auflistungen finden Sie mögliche Fehler, deren Ursache und wie Sie als Benutzer
auf diese Fehler reagieren können oder müssen.
267
Wie gehe ich mit Fehlermeldungen um?
Im Idealfall läuft das Produkt auf Ihrem Rechner so, dass Sie nie eine Fehlermeldung sehen.
Da aber das Produkt Sicherheitskomponenten (siehe "Sicherheitskomponenten der
OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3") enthält, die Sie vor
manipulierten Inhalten bei der Darstellung und bei der Signaturerzeugung schützen sollen,
werden Sie im Laufe der Arbeit mit dem Produkt auch mit solchen vermeintlichen
Fehlermeldungen konfrontiert, die Sie auf ein Sicherheitsrisiko oder auf einen tatsächlich
erfolgten Angriff auf ein durch das Produkt zu schützendes Objekt hinweisen.
Der folgende Abschnitt gibt Ihnen eine Übersicht, wie das Produkt auf versuchte
Manipulationen oder Änderungen reagiert und wie Sie als Benutzer in diesem Falle
verfahren sollten. Dieser Abschnitt soll Sie als Benutzer des Produktes so sensibilisieren,
dass Sie in der Lage sind, den sicheren Zustand des Produktes zu erkennen und
Abweichungen richtig zu interpretieren.
Der OPENLiMiT SignCubes Viewer meldet, dass die Fontdatei cour.ttf nicht vorhanden
oder manipuliert ist:
Hintergrund: Der OPENLiMiT SignCubes Viewer verwendet den Font Courier New zur
Darstellung von Textinhalten. Diese Schriftart ist eine symmetrische Schriftart und die
Verwendung soll dazu beitragen, dass Sie den angezeigten Text eindeutig lesen können.
Die Interpretation des angezeigten Textes aus inhaltlicher Sicht kann die gesicherte
Anzeigeeinheit allerdings nicht leisten, Sie müssen als Benutzer selbst entscheiden, ob Sie
den angezeigten Text signieren wollen oder nicht.
Ursache: In diesem Falle kommen zwei Ursachen in Frage. Die Datei kann wissentlich oder
unwissentlich aus dem System entfernt worden sein. Da diese Font-Datei integraler
Bestandteil des Betriebssystems ist, kommt eine wissentliche oder unwissentliche
Manipulation des Betriebssystems in Betracht. Als zweite Ursache kann der Austausch oder
die Manipulation dieser Datei in Betracht gezogen werden. Wenn Sie z.B. ein
Grafikbearbeitungsprogramm auf Ihrem Rechner installieren, welches die vorhandene Datei
des Betriebssystems austauscht, kann diese Fehlermeldung auftreten. Sie sollten aber in
Betracht ziehen, dass ein Angreifer versucht hat, die Datei so zu manipulieren, dass z.B. das
Euro Zeichen gegen das Zeichen für britische Pfund ausgetauscht wurde.
268
Benutzerinteraktion: Wenn die Fehlermeldung angezeigt wird, müssen Sie als Benutzer
selbst entscheiden, ob Sie der Darstellung durch den OPENLiMiT SignCubes Viewer
vertrauen. Der OPENLiMiT SignCubes Viewer kann in diesem Fall keine Garantie geben,
dass der angezeigte Text dem entspricht, wie er mit der korrekten Version der Font Datei
angezeigt werden würde. Vertrauen Sie im Zweifelsfall der Darstellung nicht und erzeugen
Sie keine elektronische Signatur an dem angezeigten Dokument.
Der Rechner stürzt während der Signaturerzeugung ab oder der Kartenlesertreiber
bleibt 'hängen':
Hintergrund: Wenn Inkompatibilitäten zwischen dem Betriebssystem und dem verwendeten
Kartenlesertreiber
existieren,
kann
möglicherweise
der
Rechner
während
der
Signaturerzeugung abstürzen oder das System reagiert nicht mehr auf Benutzerinteraktion.
Das ist kein Fehler, der durch das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1,
Version 2.1.6.3 verursacht wird.
Benutzerinteraktion: Wenn der Rechner abstürzt oder hängen bleibt, sollten Sie auf jeden
Fall den Rechner abschalten und neu starten. Nur dieses Vorgehen gibt Ihnen als Benutzer
die Sicherheit, dass der Arbeitsspeicher des Rechners neu initialisiert wird und keine
Speicherbereiche im RAM des Rechners verbleiben, die evtl. noch die erzeugte
elektronische Signatur beinhalten. Wenn das Problem häufiger auftritt, sollten Sie sich an
den Hersteller des verwendeten Kartenlesers wenden und Informationen einholen, welcher
Treiber für Ihren Kartenleser geeignet ist.
Bei der Arbeit mit dem Produkt können Sie mit der Anwendung keine Signaturen mehr
erzeugen oder prüfen. Der Tooltip im Systemtray zeigt an: 'Deaktiviert wegen
Manipulationsverdacht':
Hintergrund: Eine Sicherheitsfunktion des Produktes bietet einen Selbstschutz des
Programmes gegen Manipulationsversuche durch andere Programme oder durch unbefugte
Dritte. Wenn ein Bestandteil des Produktes erkennt, dass z.B. eine Programmbibliothek
ausgetauscht wurde, wird dies dem OPENLiMiT SignCubes Security Environment Manager
gemeldet, welcher daraufhin die Funktionen zur Signaturerzeugung und Verifikation
deaktiviert.
Ursache: Möglicherweise hat jemand versucht, den Zustand des Produktes auf Ihrem
Rechner zu manipulieren oder so zu
verändern, dass daraus ein Schaden für Sie als
Anwender entstehen könnte. Wenn Sie versucht haben, Bibliotheken aus älteren Versionen
mit dem Produkt zu verwenden, gilt dies ebenfalls als Manipulationsversuch und das
Programm wird deaktiviert.
269
Benutzerinteraktion: Sie sollten jetzt mit dem OPENLiMiT SignCubes Integrity Tool den
Zustand Ihrer lokalen Installation überprüfen. Dieses Programm teilt Ihnen detailliert mit,
welche Programmbibliothek von dem Manipulationsversuch betroffen ist. Sie sollten keine
weiteren Interaktionen mit dem Produkt ausführen, insbesondere sollten Sie nicht versuchen,
eine elektronische Signatur zu erzeugen. Wenn Sie ein nicht vom Hersteller authorisiertes
Update eingespielt haben, müssen Sie das Produkt deinstallieren und erneut installieren.
Wenn Sie sich nicht sicher sind, wie Sie weiter mit dem Produkt verfahren sollen, wenden
Sie sich an den Hersteller, der Ihnen in diesem Fall Tipps für ein weiteres Vorgehen geben
kann.
270
Fehlermeldungen vor oder während der Installation
Die folgenden Fehlermeldungen können vor oder während der Installation angezeigt
werden.
Fehlermeldung
Ursache
Benutzeraktion
Ihr Betriebssystem wird
Diese Fehlermeldung kann nach
Sie müssen ein Betriebsystem
nicht unterstützt. Bitte
dem Sprachauswahldialog und
verwenden, welches den
verwenden Sie für diese
vor dem Anzeigen der ersten
Mindestanforderungen
Anwendung ein anderes Dialogseite für das Setup der
Betriebssystem. Das
OPENLiMiT SignCubes
Setup wird beendet.
Basiskomponenten 2.1, Version
genügt.
2.1.6.3 generiert werden.
Die Betriebsystemversion, auf
der das Produkt installiert werden
soll, entspricht nicht den
Mindestvoraussetzungen.
Ihre gegenwärtige
Sie müssen sich mit
Windows-Anmeldung ist
Administrationsrechten an
nicht mit
dem Rechner anmelden.
Administratoren-Rechten Dialogseite für das Setup der
ausgestattet. Um das
OPENLiMiT SignCubes
Setup ausführen zu
können, müssen Sie sich 2.1.6.3 generiert werden.
als Administrator
Sie sind nicht mit
anmelden. Das Setup
Administrationsrechten
wird beendet.
angemeldet.
Ihr Internet Explorer ist
Sie müssen eine Version des
älter als Version 5.01
Microsoft Internet Explorers
SP2. Bitte installieren
installieren, die den
Sie zunächst einen
Dialogseite für das Setup der
Anforderungen des Produktes
neueren Internet
OPENLiMiT SignCubes
genügt.
Explorer. Das Setup wird Basiskomponenten 2.1, Version
beendet.
2.1.6.2 generiert werden.
Ihr Betriebsystem genügt nicht
den Mindestanforderungen.
271
Fehlermeldung
Ursache
Benutzeraktion
Sie haben für die
Ihr Benutzerprofil erlaubt keinen
Sie müssen sich mit einem
Registry keine Rechte
schreibenden Zugriff auf die
Konto anmelden, das über
zum Schreiben. Die
Registry des Betriebsystems.
Schreibrechte auf die Registry
Installation kann nur mit
verfügt. Wenn Sie Programme
Schreibrechten
verwenden, die den
fortgesetzt werden
schreibenden Zugriff auf die
Registry verhindern, sollten
Sie diese deaktivieren.
Konnte Verzeichnis nicht Diese Fehlermeldung kann
Sie sollten prüfen, ob Sie über
erstellen.
während des eigentlichen
Schreibrechte für das
Installationsvorganges des
ausgewählte
Setups der OPENLiMiT
Installationsverzeichnis
SignCubes Basiskomponenten
verfügt.
2.1, Version 2.1.6.2 generiert
werden.
Das Verzeichnis zum Installieren
der Anwendung konnte nicht
erstellt werden.
272
Fehlermeldungen OPENLiMiT SignCubes Security
Environment Manager
Die folgenden Abschnitte erklären, welche Fehlermeldungen auftreten können und wie Sie
diese Fehlermeldungen bewerten müssen.
Grundsätzlich werden alle Fehlermeldungen vom OPENLiMiT SignCubes Security
Environment Manager generiert, es sei denn, die Fehlermeldung betrifft den OPENLiMiT
SignCubes Viewer. Der OPENLiMiT SignCubes Viewer realisiert selbständig Prüfroutinen,
welche die Erkennung von Dokumentformaten betreffen. In der folgenden Tabelle werden
die Fehlermeldungen für den OPENLiMiT SignCubes Security Environment Manager
aufgelistet und die mögliche Fehlerursache benannt.
Fehlermeldung des
Mögliche Ursache
Auswirkungen auf den
OPENLiMiT
sicheren Zustand des
SignCubes Security
Produktes/ Benutzerreaktion
Environment
Managers
Der eingegebene
Diese Fehlermeldung kommt
Sie sollten den Lizenzmanager
Lizenzcode ist
nach Überprüfung des
erneut starten und den
ungültig.
eingegebenen Lizenzcodes.
Lizenzcode exakt eingeben. Der
sichere Zustand des Produktes
wird nicht beeinflusst.
Bei der Freischaltung
Diese Fehlermeldung kann
Sie sollten sollte den
der Lizenz ist ein
während des
Lizenzmanager erneut starten
Fehler aufgetreten.
Lizenzierungsvorganges
und auf die exakte Eingabe des
generiert werden.
Lizenzcodes achten. Der
wird nicht beeinflusst.
273
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
unerwarteter Fehler
Dieser Fehler kann in der
Signaturprüfung:Detailanzeige:Zu
Zertifikatsdetailanzeige auftreten. stand der Hashwertprüfung: ist
Die Fehlermeldung wird
undefiniert. Der sichere Zustand
angezeigt, wenn die Prüfung des des Produktes ist nicht betroffen.
Zertifikates oder des Pfades zum Der Hashwert konnte nicht
Herausgeber fehlschlägt.
geprüft werden.
Es ist ein Fehler aufgetreten, der
nicht im Rahmen der
vorhandenen Fehlerbehandlung
abgefangen werden konnte.
Versuchen Sie es zu
Wenn Sie eine OCSP-Anfrage
Diese Fehlermeldung besagt,
einem späteren
starten und diese von der
dass das Produkt Ihnen keine
Zeitpunkt erneut.
Gegenstelle nicht bearbeitet
Aussage zum Zertifikatsstatus
werden kann, kann diese
liefern kann. Sie müssen selbst
Statusmeldung erscheinen.
entscheiden, ob Sie dem
Die OCSP-Anfrage kann durch
Signaturzertifikat vertrauen. Der
die Gegenstelle zum
gegenwärtigen Zeitpunkt nicht
ist in diesem Fall nicht betroffen.
bearbeitet werden.
274
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Prüfen Sie bitte, ob
Diese Statusmeldung erscheint, Der sichere Zustand ist in
Sie mit dem Internet
wenn für eine Operation eine
verbunden sind.
Internetverbindung notwendig
ist, diese aber nicht besteht.
Wenn Sie aktuelle Sperrlisten
abrufen oder eine OCSP
Abfrage durchführen wollen,
wird eine Internet Verbindung
benötigt. Wenn die Verbindung
nicht hergestellt werden kann,
werden Sie mit dieser Meldung
aufgefordert, die Internet
Verbindung zu überprüfen.
diesem Falle nicht betroffen.
275
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die
Bei folgenden Aktionen kann
In diesem Falle ist das Produkt
Signaturkomponente
diese Fehlermeldung
entweder nicht korrekt installiert
konnte nicht
erscheinen:
oder beschädigt. Der sichere
initialisiert werden!
Signaturerzeugung aus dem Zustand des Produktes kann
OPENLiMiT SignCubes
nicht gewährleistet werden. Sie
Viewer .
sollten das Programm erneut
Signaturverifikation aus dem
installieren.
OPENLiMiT SignCubes
Viewer.
Alle Operationen, bei denen
ein Subsystem auf das
OPENLiMiT SignCubes Job
Interface zurückgreift.
Der OPENLiMiT SignCubes
Security Environment Manager
konnte nicht gestartet werden
bzw. das OPENLiMiT
SignCubes Job Interface konnte
nicht geladen werden.
Die Daten wurden
Die Daten konnten nicht signiert Die Chipkarte sendete eine
nicht signiert!
werden. Diese Fehlermeldung
Statusmeldung, die besagt,
ist ein Hinweis auf eine
dass die Daten von der
fehlerhafte Kommunikation
Chipkarte nicht verarbeitet
zwischen dem OPENLiMiT
wurden. Der sichere Zustand
SignCubes Security
des Produktes ist nicht
Environment Manager und der
gefährdet, Sie sollten die
verwendeten Chipkarte, außer
Operation wiederholen.
Sie brechen den
Signaturvorgang ab.
276
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die Datei ist nicht
Diese Fehlermeldung kann bei
Der sichere Zustand des
signiert!
der Signaturprüfung über den
Produktes ist nicht betroffen.
Entweder wurde die
auftreten.
Signaturdatei nicht korrekt
Sie haben versucht, die Signatur erzeugt oder es hat eine
an einer nicht signierten Datei
Manipulation der Signaturdatei
zu überprüfen. Es ist
stattgefunden, die zur Folge hat,
beispielsweise eine
dass die Signaturdatei leer ist.
Signaturdatei vorhanden, jedoch
enthält die Signaturdatei keine
Signatur.
Die Datei besitzt eine
Diese Statusmeldung kann im
ungültige Signatur!
Dialog zur Signaturprüfung
Produktes ist nicht betroffen. Es
angezeigt werden. Die
wurde erkannt, dass die
Signaturprüfung ist im Abschnitt Signatur ungültig ist. Sie sollten
Arbeiten mit den OPENLiMiT
dem empfangenen Dokument
SignCubes
bzw. der Signatur nicht
Basiskomponenten 2.1,
vertrauen.
Version 2.1.6.3
beschrieben.
Die Signatur passt nicht zu den
Originaldaten. Ursache können
die Manipulation der
Originaldaten, z.B. durch
Übertragungsfehler als auch
gezielte Manipulationen der
Originaldaten oder der Signatur
sein.
277
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Der Zertifikatsstatus
konnte nicht
Dialog zur Signaturprüfung
Produktes ist nicht betroffen. Sie
vollständig geprüft
angezeigt werden. Die
sollten eine OCSP Abfrage
werden!
Signaturprüfung ist im Abschnitt vornehmen.
Arbeiten mit den OPENLiMiT
SignCubes
Basiskomponenten 2.1,
Version 2.1.6.3
beschrieben.
Diese Statusmeldung erscheint
bei der Signaturverifikation.
Diese Meldung erscheint immer
dann, wenn die Gültigkeit des
Zertifikats nicht über eine
Sperrliste, die nach dem
Signaturzeitpunkt
herausgegeben wurde, geprüft
werden kann.
278
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Der Dateityp konnte
Die Statusmeldung kann
nicht ermittelt werden! angezeigt werden, wenn eine
Produktes ist nicht betroffen.
Datei über OPENLiMiT
SignCubes Viewer signiert oder
verifiziert werden soll.
Das Modul zur
Dokumentenerkennung konnte
nicht ermitteln, um welchen
Dateityp es sich handelt. Es war
dem Modul zur
Dokumenterkennung nicht
möglich, die Datei lesend zu
öffnen.
Es liegen keine
Die Statusmeldung kann
Informationen über
angezeigt werden, wenn eine
Produktes ist nicht gefährdet.
Signaturen vor!
Signatur über OPENLiMiT
SignCubes Viewer verifiziert
werden soll.
Der Detaildialog für die
Signaturprüfung wurde
aufgerufen, ohne dass
Signaturinformationen
übergeben wurden.
Die Statusabfrage
konnte nicht erzeugt
auftreten, wenn im
werden.
Zertifikatsdetaildialog auf den
Knopf Onlinestatus geklickt wird.
Es ist ein interner Fehler bei der
Erzeugung der OCSP Abfrage
aufgetreten.
279
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die Antwort des
Zertifikatsherausgeber auftreten, wenn im
s konnte nicht
verarbeitet werden.
Knopf Onlinestatus geklickt wird.
Die OCSP Antwort des
Zertifikatsherausgebers enthält
Fehler, die eine weitergehende
Verarbeitung der OCSP Antwort
unmöglich machen. Die OCSP
Antwort konnte nicht nach dem
ASN.1 Standard dekodiert
werden.
Die Antwort des
s enthält einen
Die OCSP Antwort konnte
unbekannten
Knopf Onlinestatus geklickt wird. jedoch nicht korrekt verarbeitet
Statuswert.
Der vom Herausgeber
werden. Sie müssen selbst
übermittelte Zertifikatsstatus
entspricht nicht der Spezifikation Signaturzertifikat vertrauen.
nach RFC 2560.
Die Anfrage an den
konnte von diesem
Sie müssen selbst entscheiden,
nicht verarbeitet
Knopf Onlinestatus geklickt wird. ob Sie dem Signaturzertifikat
werden.
Der Zertifikatsherausgeber
konnte die OCSP Anfrage des
Produkts OPENLiMiT
2.1, Version 2.1.6.3 nicht
verarbeiten.
vertrauen.
280
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die Anfrage führte
beim
auftreten, wenn im
Zertifikatsherausgeber Zertifikatsdetaildialog auf den
zu einem internen
Fehler.
Der Zertifikatsherausgeber
vertrauen.
konnte die OCSP Anfrage des
Produkts OPENLiMiT
2.1, Version 2.1.6.3 nicht
verarbeiten. Es ist ein interner
Fehler beim
Zertifikatsherausgeber
aufgetreten.
Die Anfrage kann
durch den
auftreten, wenn im
zur Zeit nicht
Knopf Onlinestatus geklickt wird. ob Sie dem verwendeten
bearbeitet werden.
Der Zertifikatsherausgeber kann Signaturzertifikat vertrauen.
die OCSP Anfrage momentan
Alternativ können Sie die OCSP
nicht verarbeiten. Sie sollten den Abfrage zu einem späteren
Vorgang zu einem späteren
Zeitpunkt noch einmal
Zeitpunkt noch einmal
durchführen.
wiederholen.
Die Anfrage wurde
durch den
auftreten, wenn im
mit einem nicht
Knopf Onlinestatus geklickt wird. jedoch nicht korrekt verarbeitet
benutzten Statuscode Der vom Herausgeber
beantwortet.
Die OCSP Antwort konnte
entspricht nicht der Spezifikation Signaturzertifikat vertrauen.
nach RFC 2560.
281
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Der
fordert, daß die
Allerdings kann keine gültige
Anfrage signiert wird.
Knopf Onlinestatus geklickt wird. OCSP Anfrage an den
Signierte Anfragen
Es existieren Formate für OCSP Zertifikatsherausgeber gestellt
werden zur Zeit nicht
Anfragen, bei denen die Anfrage werden. Sie müssen selbst
unterstützt.
vom Anfragenden signiert sein
muss. Das ist z.B. bei
Signaturzertifikat vertrauen.
kostenpflichtigen OCSP
Respondern der Fall. Dieses
Format wird vom Produkt
OPENLiMiT SignCubes
2.1.6.3 nicht unterstützt.
Sie haben beim
nicht die erforderliche Zertifikatsdetaildialog auf den
Allerdings kann keine gültige
Berechtigung, um den Knopf Onlinestatus geklickt wird. OCSP Anfrage an den
Status abzufragen.
Der Zertifikatsherausgeber kann Zertifikatsherausgeber gestellt
durch eine eigene Richtlinie
festlegen, wer berechtigt ist,
eine OCSP Anfrage an diesen
zu senden. Wenn Sie keine
entsprechende Berechtigung
haben, wird Ihnen diese
Fehlermeldung angezeigt.
282
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die Anfrage wurde
durch den
auftreten, wenn im
mit einem
unbekannten
Der vom Herausgeber
Statuscode
beantwortet.
entspricht nicht der Spezifikation
vertrauen.
nach RFC 2560.
Die Statusabfrage
konnte nicht
auftreten, wenn im
durchgeführt werden.
Allerdings sollten Sie
Knopf Onlinestatus geklickt wird. überprüfen, ob eine
Möglicherweise ist keine
Internetverbindung vorhanden
Internetverbindung verfügbar.
ist.
Sie haben noch zwei
Diese Meldung kann bei der
Versuche, die gültige
Signaturerzeugung auftreten.
<PIN> einzugeben.
Sie haben insgesamt drei
Sie sollten beim nächsten
Versuche, die jeweilig
Versuch die korrekte PIN
abgefragte PIN korrekt
eingeben.
einzugeben. <PIN> steht z.B.
für die globale PIN. Wenn diese
Meldung erscheint, haben Sie
bereits einmal die falsche PIN
eingegeben.
283
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Sie haben noch einen Diese Meldung kann bei der
Versuch, die gültige
<PIN> einzugeben.
Sie haben insgesamt drei
Sie sollten beim nächsten
Wird erneut die
Versuche, die jeweilig
Versuch die korrekte PIN
falsche <PIN>
abgefragte PIN korrekt
eingeben.
eingegeben, wird die
einzugeben. <PIN> steht z.B. für
Karte unbrauchbar!
die globale PIN. Wenn diese
Meldung erscheint, haben Sie
bereits zweimal die falsche PIN
eingegeben.
Die Karte wurde durch Diese Meldung kann bei der
mehrfache
Fehleingabe
Sie haben durch dreimaliges
Allerdings können Sie die
unbrauchbar
Eingeben der falschen PIN die
Chipkarte mit dem Produkt nicht
gemacht.
Karte für die weitere Benutzung
mehr verwenden.
unbrauchbar gemacht.
Der
Diese Meldung kann beim
Fehlbedienungszähler Versuch der Signaturerzeugung Produktes ist nicht gefährdet.
ist abgelaufen.
auftreten.
Allerdings können Sie die
Der Fehlbedienungszähler der
Chipkarte mit dem Produkt nicht
Karte zeigt an, dass die PIN
mehr verwenden.
insgesamt dreimal falsch
eingegeben wurde.
284
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die eingegebene PIN
Diese Fehlermeldung kann beim Der sichere Zustand des
entspricht nicht den
Ändern der PIN der Chipkarte
Anforderungen der
auftreten.
Sie sollten allerdings beim
Karte!
Die Chipkarte stellt bestimmte
Festlegen der PIN über den
Anforderungen an die Qualität
Menüpunkt PIN ändern eine PIN
der PIN. Bei einer TeleSec
wählen, die den Anforderungen
E4NetKey Karte muss die Pin
der verwendeten Karte genügt.
mindestens 6-stellig höchstens
jedoch 16-stellig sein.
Bei der Übertragung
des Kommandos an
Versuch der Signaturerzeugung Produktes ist nicht gefährdet.
die Karte trat ein
auftreten.
Sie sollten den Vorgang
unerwarteter Fehler
Beim Senden des Kommandos
wiederholen. Wenn der Fehler
auf!
an die Chipkarte ist ein Fehler
permanent auftritt, sollten Sie
aufgetreten. Die Chipkarte hat
mit dem zur Verfügung
mit einem Kartenstatus
stehenden Modul zur
geantwortet, der nicht dem
Integritätsprüfung die korrekte
erwarteten Status entsprach.
Installation des Produktes auf
dem Rechner prüfen.
Die eingegebenen
PINs sind nicht
Ändern der PIN der Chipkarte
identisch!
auftreten.
Dieser Fehler kann beim Ändern wiederholen.
der PIN auftreten, wenn die
erste und die Bestätigungspin
nicht identisch sind.
285
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die eingegebene PIN
wurde
zurückgewiesen!
auftreten.
Die Verifikation der PIN durch
wiederholen.
die Chipkarte ist fehlgeschlagen.
Sie haben die falsche PIN
eingegeben.
Die PIN wurde nicht in Diese Meldung kann beim
der erwarteten Zeit
eingegeben!
auftreten.
Sie haben zu lange gewartet,
wiederholen.
um die PIN einzugeben. die
meisten Kartenleser mit sicherer
PIN Eingabe unterstützen die
Verwendung von Timeouts
während der PIN Eingabe.
Sie müssen die Karte
zuerst freischalten!
auftreten.
Sie müssen eine freigeschaltete
Vor der Verwendung muss die
Karte verwenden. Ggf. können
Karte freigeschaltet werden.
Sie mit dem Menüpunkt Karte
freischalten Ihre Karte für die
weitere Verwendung
freischalten.
286
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Sie müssen die Karte
zuerst entsperren.
auftreten.
Sie müssen vor einer weiteren
Sie haben durch mehrfaches
Verwendung der Karte diese
Eingeben der falschen Pin die
durch die Eingabe der PUK
Karte gesperrt. Sie müssen vor
wieder entsperren.
einer weiteren Verwendung der
Karte diese durch die Eingabe
des PUK wieder entsperren.
Zur Zeit stehen keine
geeigneten Zertifikate Versuch der Signaturerzeugung Produktes ist nicht gefährdet.
zur Verfügung!
auftreten.
Sie müssen sicherstellen, dass
Möglicherweise wollen Sie eine
Sie einen Kartenleser installiert
Datei signieren und haben
und eine Chipkarte eingelegt
keinen Kartenleser
haben, die vom Produkt
angeschlossen oder keine
verwendet werden kann.
Chipkarte eingelegt.
Die Antwort ist nicht
vom erwarteten Typ
auftreten, wenn im
BASIC.
Das Format BASIC ist bisher
das standardisierte Format für
OCSP - Antworten.
Möglicherweise werden zu
einem späteren Zeitpunkt neue
Formate definiert, die vom
Produkt dann nicht unterstützt
werden.
287
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die Antwort hat nicht
die erwartete Version. auftreten, wenn im
Die OCSP - Antwort hat nicht
die erwartete Version.
Beim Prüfen der
Antwort ist ein
auftreten, wenn im
unerwarteter interner
Fehler aufgetreten.
Die empfangene OCSP Antwort Signaturzertifikat vertrauen.
konnte nicht korrekt überprüft
werden. Möglicherweise sind
syntaktische Fehler in der
OCSP-Antwort vorhanden.
Die Antwort enthält
Diese Statusmeldung kann
mindestens eine
auftreten, wenn im
unbekannte kritische
Erweiterung.
Kritische Erweiterungen sind
Antwortzusätze, die Ihnen bei
der Auswertung der OCSP Antwort zur Kenntnis gelangen
sollten. Das Produkt OPENLiMiT
2.1, Version 2.1.6.3 ist nicht in
der Lage, diese kritische
Erweiterung korrekt zu
interpretieren.
288
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die Antwort ist nicht
Signaturgesetz
auftreten, wenn im
konform (positive
Kenntnisaussage
fehlt).
In der Antwort ist nicht die
Aussage enthalten, dass der
Herausgeber das Zertifikat
kennt.
eine unleserliche
auftreten, wenn im
Zeitangabe der letzten Zertifikatsdetaildialog auf den
Überprüfung.
Der Zeitpunkt der letzten
Überprüfung gibt an, wann der
OCSP-Antwortende die
Gültigkeit des Zertifikats das
letzte Mal geprüft hat. Das
Zeitformat in der OCSP-Antwort
für diese Überprüfung konnte
nicht dekodiert werden.
Der in der OCSP
Antwort angegebene
auftreten, wenn im
Zeitpunkt weicht von
Ihrer lokalen
Systemzeit ab. Der
Der Zeitpunkt der letzten
angegebene Zeitpunkt Zertifikatsprüfung durch den
liegt in der Zukunft.
OCSP-Antwortenden liegt
gegenüber der lokalen
Systemzeit in der Zukunft.
Signaturzertifikat vertrauen. Sie
sollten die lokale Systemzeit
überprüfen.
289
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
eine unleserliche
auftreten, wenn im
Zeitangabe der
nächsten
Überprüfung.
Der Zeitpunkt der nächsten
Überprüfung gibt an, wann der
OCSP-Antwortende die
Gültigkeit des Zertifikats das
Nächste mal prüfen wird. Das
Zeitformat in der OCSP-Antwort
für diese Überprüfung konnte
nicht dekodiert werden.
Die Antwort ist wegen Diese Statusmeldung kann
der aufgeführten
auftreten, wenn im
Gründe nicht oder nur Zertifikatsdetaildialog auf den
Sie sollten dem Zertifikat nicht
bedingt
Knopf Onlinestatus geklickt wird. vetrauen.
vertrauenswürdig.
Diese Meldung erscheint, sobald
Gründe vorliegen, der
empfangenen OCSP-Antwort
nur bedingt oder nicht zu
vertrauen.
Die Antwort gilt nicht
für das angefragte
auftreten, wenn im
Zertifikat!!
Knopf Onlinestatus geklickt wird. vertrauen und die Integrität des
Die empfangene Antwort bezieht Betriebssystems überprüfen.
sich nicht auf das angefragte
Zertifikat. Eine solche Meldung
kann ein Indikator für die
Manipulation der Antwort durch
Dritte sein (Man in the Middle).
290
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Interner Fehler beim
Lesen eines
auftreten, wenn im
Zertifikates.
Sie sollten Zertifikaten, die nicht
Knopf Onlinestatus geklickt wird. korrekt durch das Produkt
Ein Zertifikat, welches vom
dekodiert werden können, nicht
Produkt benötigt wird, konnte
vertrauen.
nicht gelesen oder dekodiert
werden.
Die Signatur der
Antwort konnte nicht
auftreten, wenn im
geprüft werden.
Sie müssen entscheiden, ob Sie
Knopf Onlinestatus geklickt wird. dem Zertifikat vertrauen.
Die Signatur der OCSP Antwort
konnte nicht verifiziert werden.
Möglicherweise ist der Hashwert
der Signatur manipuliert worden
oder es konnte kein Zertifikat zu
der Signatur ermittelt werden.
Das Zertifikat der
Gegenstelle konnte
auftreten, wenn im
nicht gefunden
werden:
Nach dem ISIS-MTT Standard
sollte das Zertifikat des OCSP
Antwortenden in der OCSP
Antwort enthalten sein. Das
Zertifikat ist in der Antwort aber
nicht enthalten.
291
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Das Zertifikat der
Gegenstelle konnte
auftreten, wenn im
nicht positiv geprüft
Allerdings kann die OCSP
werden.
Knopf Onlinestatus geklickt wird. Antwort auf Grund veralteter
Möglicherweise existiert kein
Sperrlisten nicht korrekt
Sperrliste für die OCSP Signatur verarbeitet werden. Sie sollten
oder die Sperrliste ist veraltet.
die lokalen Sperrlisten
Eine Sperrliste gilt als veraltet,
aktualisieren.
wenn der in der Sperrliste
angegebene Zeitpunkt für die
Erneuerung der Sperrliste auf
dem lokalen Rechner
überschritten wurde.
Das Zertifikat der
Gegenstelle
auftreten, wenn im
berechtigt nicht zur
OCSP-Signatur.
Das Zertifikat, mit welchem die
OCSP Antwort signiert wurde,
berechtigt den Signierenden
nicht zu einer OCSP Signatur.
Die positive
Kenntnisaussage ist
auftreten, wenn im
fehlerhaft.
Die positive Kenntnisaussage ist Signaturzertifikat vertrauen.
entweder nicht vorhanden oder
ist fehlerhaft.
292
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Es fehlt ein expliziter
Hinweis auf die
auftreten, wenn im
Gültigkeit der Antwort Zertifikatsdetaildialog auf den
trotz abgelaufenem
Zertifikat.
Das angefragte Zertifikat ist
sowohl abgelaufen und die
Antwort enthält keinerlei Hinweis
darauf, ob die Gegenstelle
Kenntnis vom Status dieses
Zertifikates hat.
OCSP Response
Interner Fehler
auftreten, wenn im
Die OCSP Antwort konnte vom
Knopf Onlinestatus geklickt wird. Produkt nicht korrekt verarbeitet
Es ist ein interner Fehler bei der werden. Sie müssen selbst
Prüfung der OCSP Antwort
aufgetreten.
verwendeten Signaturzertifikat
vertrauen.
Die Gültigkeit der
Antwort wird nicht
auftreten, wenn im
mehr garantiert.
Das Zertifikat ist der Gegenstelle Signaturzertifikat vertrauen.
zwar bekannt, die Zeit für die
Informationsaufbewahrung zu
dem angefragten Zertifikat ist
allerdings abgelaufen.
293
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Zu dem Zertifikat fehlt Diese Fehlermeldung kann
das
durch den Zertifikatsdetaildialog Produktes ist nicht gefährdet.
Herausgeberzertifikat. ausgelöst werden.
In der internen
ob Sie dem verwendeten
Zertifikatsverwaltung wurde das
Herausgeberzertifikat nicht
gefunden.
Zu einem der
Herausgeber wurde
Signaturprüfdialog erscheinen.
keine Sperrliste
Für einen Herausgeber existiert
gefunden.
keine Sperrliste auf dem lokalen ob Sie dem verwendeten
Rechner.
sollten die aktuellen Sperrlisten
abrufen.
Fehler beim Erzeugen Diese Statusmeldung kann beim Der sichere Zustand des
eines Zeitstempels.
Holen eines Zeitstempels
erscheinen.
Sie können versuchen, den
Während des Empfangs des
Zeitstempel erneut einzuholen.
Zeitstempels ist ein Fehler
aufgetreten, so dass der
Zeitstempel von dem Produkt
nicht eingeholt werden konnte.
Fehler beim Holen
einer OCSP Antwort.
Holen einer OCSP Antwort
auftreten.
Sie können versuchen, eine
Möglicherweise besteht keine
erneute OCSP Abfrage
Verbindung zum Internet oder
durchzuführen.
der OCSP Responder ist nicht
erreichbar.
294
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Zu einem der
Herausgeberzertifika- Signaturprüfdialog erscheinen.
te wurde keine
Es ist zwar eine Sperrliste
aktuelle Sperrliste
vorhanden, jedoch ist diese
gefunden.
Sperrliste abgelaufen. Sie
sollten die Sperrlisten über den
sollten die aktuellen Sperrlisten
OPENLiMiT SignCubes
abrufen.
Sperrlistenaktualisierungsassist
ent aktualisieren.
Von einem der
Herausgeber wurde
das Zertifikat
Das Zertifikat wurde durch den
zurückgezogen
Herausgeber zurückgezogen
vertrauen.
(das Zertifikat ist in der
Sperrliste als zurückgezogen
markiert).
Die Sperrliste einer
der Herausgeber hat
unbekannte Fehler.
Die verwendete hat entweder
Sie sollten die aktuellen
syntaktische Fehler oder enthält Sperrlisten abrufen und den
Zusätze, die vom Produkt nicht
Vorgang wiederholen.
verarbeitet werden können.
Zusätzlich sollten Sie eine
OCSP Abfrage zu dem Zertifikat
durchführen.
Von diesem Inhaber
ist keine Sperrliste
vorhanden.
Zu einem konkreten
Herausgeber wurde kein
Sperrlisten abrufen und den
Sperrliste gefunden.
295
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die Sperrliste dieses
Inhabers ist
abgelaufen.
Die Sperrliste des konkreten
Herausgebers ist abgelaufen.
Sie sollten die Sperrlisten über
den OPENLiMiT SignCubes
Sperrlistenaktualisierungsassist
ent aktualisieren.
Das Prüfzertifikat ist
nach der Sperrliste
dieses Inhabers
Der konkrete Herausgeber hat
zurückgezogen.
dieses Zertifikat zurückgezogen. vertrauen.
Die Sperrliste dieses
Inhabers hat
unbekannte Fehler.
Die Sperrliste dieses konkreten
Herausgebers weist Fehler auf.
Sie vertrauen keinem
der Wurzelzertifikate!
Diese Meldung sagt aus, dass
keinem der Wurzelzertifikate
vertraut wird.
296
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Das Modul <x> besitzt Diese Fehlermeldung kann beim Der sichere Zustand des
eine ungültige
Start des OPENLiMiT
Produktes ist nicht
Signatur. Das
SignCubes Security
gewährleistet. Sie müssen mit
Programm wird
Environment Managers
Hilfe des zur Verfügung
beendet.
generiert werden.
stehenden Integritätschecks die
gesamte Installation überprüfen.
die Signatur des angegebenen
Sie müssen das Produkt
Programm-Moduls beschädigt
deinstallieren und erneut
ist oder die Originaldaten (das
installieren.
Modul) und die Signaturdatei
nicht zueinander passen. Aus
Sicherheitsgründen wird die
Anwendung OPENLiMiT
2.1, Version 2.1.6.3 in diesem
Falle beendet.
Das Zertifikat wurde
nicht geprüft.
Diese Statusmeldung sagt aus,
dass die Zertifikate nicht geprüft ob Sie dem verwendeten
wurden.
Alternativ sollten Sie eine OCSP
Abfrage zu dem Zertifikat
durchführen.
297
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die zu signierenden
Daten wurden vor der immer dann auftreten, wenn Sie Produktes kann gefährdet sein.
Signaturerzeugung
eine digitale Signatur über einen Der sichere Zustand ist nur
verändert!
der Produktbestandteile
dann nicht gefährdet, wenn Sie
erzeugen wollen.
nicht selbst aus Versehen die
Daten zwischenzeitlich geändert
die Originaldaten, die vom
haben. In jedem anderen Fall
Produktbestandteil zur Signatur
sollten Sie die Arbeit mit dem
an den OPENLiMiT SignCubes
Produkt einstellen und eine
Security Environment Manager
Integritätsprüfung des Produktes
übergeben wurden,
vornehmen. Wird bei der
zwischenzeitlich verändert
Integritätsprüfung keine
wurden.
Veränderung des Produktes
entdeckt, sollte mit Hilfe eines
Virenscanners der Rechner auf
böswillige Programme hin
untersucht werden.
Das Produkt nimmt in diesem
Falle einen sicheren Zustand
ein, da die Funktionen zur
Signaturerzeugung und
Signaturverifikation durch den
OPENLiMiT SignCubes Security
Environment Manager in diesem
Falle deaktiviert werden.
298
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Der eingesetzte
Sie sollten sich über die
Hashalgorithmus wird der Signaturverifikation
Veröffentlichungen der
als ungeeignet
auftreten.
Bundesnetzagentur unter
eingestuft.
www.bundesnetzagentur.de
für die Signaturerzeugung ein
informieren, welcher
Hashalgorithmus verwendet
Hashalgorithmus zulässig ist.
wurde, der für die Erzeugung
qualifizierter Signaturen nicht
zulässig ist.
Die verwendeten
Signaturparameter
der Signaturverifikation
Veröffentlichungen der
werden als
auftreten.
Bundesnetzagentur unter
ungeeignet eingestuft. Diese Meldung sagt aus, dass
für die Signaturerzeugung
entweder ein Hashalgorithmus
Hashalgorithmus und welche
verwendet wurde, der für die
Schlüssellängen zulässig sind.
Erzeugung qualifizierter
Signaturen oder die verwendete
Schlüssellänge nicht zulässig
ist.
Die verwendeten
Algorithmen
der Signaturerprüfung auftreten. Veröffentlichungen der
entsprechen nicht den Diese Meldung weist darauf hin, Bundesnetzagentur unter
Prüfvorgaben.
dass ein Hashalgorithmus
verwendet wurde, der nicht den
Vorgaben der
Hashalgorithmus und welche
Bundesnetzagentur entspricht.
Schlüssellängen zulässig sind.
Dieser Hinweis erscheint in der
Zusammenfassung des
Prüfdialogs.
299
Fehlermeldung des
Mögliche Ursache
OPENLiMiT
SignCubes Security
Environment
Managers
Die von der Karte
erzeugte Signatur
der Signaturerzeugung
Produktes ist gefährdet. Sie
entspricht nicht den
auftreten.
sollten den OPENLiMiT
zu signierenden
SignCubes Security
Daten!
nicht der Hashwert signiert
Environment Manager beenden
wurde, der beabsichtigt wurde.
und den Rechner
herunterfahren, um
sicherzugehen, dass sich keine
digitalen Signaturen mehr im
Speicher befinden.
Ein Fehler ist bei der
Initialisierung
Start des Assistenten zur
Produktes kann gefährdet sein.
aufgetreten. Das
Sperrlistenaktualisierung
Sie sollten mit dem zur
Programm kann nicht
generiert werden.
Verfügung stehenden
weiter ausgeführt
Bei der Sperrlistenaktualisierung Prüfprogramm die Integrität der
werden. Wenden Sie
ist ein Fehler bei der
sich bitte an die
Initialisierung des OPENLiMiT
Online-Hilfe und
SignCubes
prüfen Sie Ihre
Sperrlistenaktualisierungsassis-
Installation.
tenten aufgetreten, der eine
weitere Benutzung des
Sperrlisten
Aktualisierungsassistenten
unmöglich macht.
Installation überprüfen.
300
Fehlermeldungen des OPENLiMiT SignCubes Viewer
Der OPENLiMiT SignCubes Viewer kann ebenfalls Fehlermeldungen generieren, die in der
folgenden Tabelle aufgelistet sind.
Grundsätzlich gilt: Wenn eine Fehlermeldung generiert wird, über deren Bedeutung Sie sich
nicht sicher sind, sollten Sie das Dokument nicht signieren.
Fehlermeldung
Fehlerursache
Auswirkungen auf den sicheren
des OPENLiMiT
Zustand des
SignCubes
Produktes/Benutzerreaktion
Viewer
Das Format der
Diese Fehlermeldung kann beim
Der sichere Zustand des Produktes ist
Datei ist nicht
Öffnen einer Datei mit dem
nicht gefährdet. Sie sollten die Datei
geeignet!
nicht signieren, wenn Sie für die Daten
direkt durch diese oder beim
über kein sicheres Anzeigemodul
Öffnen einer Datei über den
verfügen.
Signaturanforderungsdialog
generiert werden.
Sie haben versucht, eine Datei
mit dem OPENLiMiT SignCubes
Viewer zu öffnen, die weder als
PDF, TIFF noch als Text Datei
erkannt wurde. Diese
Fehlermeldung wird Ihnen auch
dann angezeigt, wenn aktive
Inhalte in dem Dokument
vorhanden sind.
301
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Sie verfügen
nicht über die
nicht gefährdet.
benötigte Lizenz, OPENLiMiT SignCubes Viewer
um Dateien
generiert werden.
dieses Formates Sie haben versucht, eine Datei
anzuzeigen!
mit dem OPENLiMiT SignCubes
Viewer zu öffnen, die
entsprechend dem
Funktionsumfang der installierten
Lizenz nicht geöffnet werden
kann.
Es steht keine
Diese Fehlermeldung wird
gültige Lizenz zur generiert, wenn der Viewer auf
Diese Fehlermeldung wird Ihnen nur
angezeigt, falls Sie eine Datei mit dem
Verfügung. Das
einem PC gestartet wird, auf dem Viewer öffnen wollen und über keine
Programm wird
keine Lizenz für die OPENLiMiT
Lizenz verfügen (auch nicht über eine
beendet.
Reader-Lizenz).
2.1, Version 2.1.6.3 installiert ist. Wenn diese Fehlermeldung erscheint,
Sie haben vesucht, den
ist die Lizenzdatei von Ihrem Rechner
entfernt worden. Der sichere Zustand
zu starten, obwohl keine Lizenz
des Produktes ist nicht betroffen,
für die OPENLiMiT SignCubes
jedoch sollten Sie mit einem
geeigneten Programm (Virenscanner
2.1.6.3 installiert ist.
etc.) die Integrität Ihres Betriebssystes
überprüfen. Eventuell haben
unberechtigte Dritte Zugriff auf Ihren
Rechner erlangt.
302
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Die Schriftart
Diese Fehlermeldung tritt auf,
'Courier New',
wenn die Datei cour.ttf auf dem
betroffen. Sie sollten überprüfen, ob
die für die
Computer nicht vorhanden ist
die Datei cour.ttf auf dem Rechner
Darstellung von
oder von der Dateiversion
vorhanden ist. Sie sollten keine
Text verwendet
abweicht, die der
Signaturen an Text-Dokumenten
wird, wurde auf
Originalinstallation entspricht.
vornehmen, da die korrekte
diesem
Diese Fehlermeldung wird beim
Darstellung nicht mehr gewährleistet
Computer nicht
Start des OPENLiMiT SignCubes werden kann.
gefunden oder
Viewers gemeldet bzw. beim
stimmt nicht mit
Öffnen eines Textdokuments.
der
Originalinstallatio
n überein.
Fehler beim
Zugriff auf die
nicht gefährdet. Sie sollten den
Datei!
generiert werden.
Beim Zugriff auf die zu öffnende
Datei (Kommandozeile oder
Menübefehl) ist ein Fehler
aufgetreten. Die Datei existiert
nicht oder kann nicht gelesen
werden.
303
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Die Datei enthält Diese Fehlermeldung kann
sowohl 'DOS' als während der Untersuchung von
nicht gefährdet. Sie sollten eine
auch 'Windows'
Textdokumenten auftreten.
Untersuchung des Textdokuments wie
Umlaute. Eine
Das Textdokument enthält
im Kapitel Arbeiten mit dem
korrekte
Zeichen, die als Umlaute in der
SignCubes Viewer beschrieben,
Darstellung ist
Windows Darstellung erkannt
vornehmen.
u.U. nicht
werden. Darüber hinaus sind
möglich.
aber auch Zeichen in dem
dokument vorhanden, die als
Umlaute in der DOS Codierung
interpretiert werden.
Die Datei enthält Diese Fehlermeldung kann
Zeichen, für die
während der Untersuchung von
nicht gefährdet. Sie sollten eine
keine eindeutige
Textdokumenten auftreten.
Untersuchung des Textdokuments wie
Darstellung
Das Dokument enthält Zeichen,
im Kapitel Arbeiten mit dem
definiert ist.
für die in verschiedenen
Schriftsätzen verschiedene
beschrieben, vornehmen.
Darstellungen definiert sind.
304
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Die TIFF Datei
hat eine Größe
nicht gefährdet. Sie müsen die
von <X>. Sie
enthaltenen Daten in dem Dokument
enthält <n> freie
genauer untersuchen. Sie müssen
(scheinbar
selbst entscheiden, ob Sie das
ungenutzte)
Dokument signieren wollen oder nicht.
Bereiche mit
generiert werden.
einer
Eine TIFF-Datei wurde geöffnet,
Gesamtgröße
deren Inhalt nicht vollständig
von <Y>.
durch die enthaltenen Tags
belegt wird. Die durch <Y>
angegebene Anzahl von Bytes
der Datei wird durch den
‚offiziellen’ Dateiinhalt nicht
verwendet und kann verborgene
Inhalte enthalten. Die Meldung
wird ausgegeben, wenn die Zahl
der nicht adressierten Bytes
mehr als 50 beträgt. In jedem
Fall können diese Bytes unter
‚Ansicht / Weitere Dateiinhalte’
betrachtet werden. (Einzelne
nicht belegte Bytes bzw. kleinere
ungenutzte Dateibereiche sind in
TIFF-Dateien normal. Sie
entstehen durch Füllbytes, die
bei der Anordnung von Tabellen
auf WORD- oder DWORDGrenzen erforderlich werden,
aber auch durch die Bearbeitung
der TIFF-Datei.)
305
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Fehler in TIFF-
Struktur: Tag
nicht gefährdet. Sie müssen die
'StripOffset'
Zeiger ohne
Größenangabe!
generiert werden.
Interner Fehler in der TIFFStruktur. Der Inhalt kann u.U.
nicht korrekt angezeigt werden.
Weitere Fehlermeldungen sind
möglich. Diese Meldung kann nur
im Fall einer beschädigten TIFFDatei auftreten.
Fehler in TIFF-
Struktur: Tag
'TileOffsets' ohne OPENLiMiT SignCubes Viewer
'TileByteCount'
gefunden!
generiert werden.
Interner Fehler in der TIFFStruktur. Der Inhalt kann u.U.
nicht korrekt angezeigt werden.
möglich. Diese Meldung kann nur
im Fall einer beschädigten TIFFDatei auftreten.
306
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Fehlendes Tag!
generiert werden.
Es wurde ein Tag nicht
gefunden. Es ist ein Fehler im
Programm aufgetreten.
Fehlerhafter
TagType!
nicht gefährdet. Der Benutzer muss die
genauer untersuchen. Der Benutzer
muss selbst entscheiden, ob er das
Dokument signieren will oder nicht.
generiert werden.
Fehler in der TIFF-Struktur. Der
Typ eines Tag’s entspricht nicht
der Spezifikation. Weitere
Fehlermeldungen sind möglich.
(Tritt beim Markieren eines Tag’s
auf, wenn dieses Tag nicht der
Spezifikation entspricht.)
307
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Fehler in
DataLength
(erwartet 'X'
gefunden 'Y')
generiert werden.
Datenumfang eines Tag’s
entspricht nicht der Spezifikation.
Tritt nur auf, wenn die
Spezifikation den Datenumfang
des Tag’s explizit festlegt und
das Tag dieser Festlegung nicht
entspricht. Weitere
308
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Fehler in
DataLength
(erwartet 'X1'
oder 'X2'
gefunden 'Y')
generiert werden.
Datenumfang eines Tag’s
entspricht nicht der Spezifikation.
Tritt nur auf, wenn die
Spezifikation den Datenumfang
des Tag’s explizit festlegt und
das Tag dieser Festlegung nicht
entspricht. Weitere
309
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Fehler in
DataType
(erwartet '2'
(ASCII) gefunden direkt durch diese oder beim
'<X>')
generiert werden.
Datentyp eines Tag's entspricht
nicht der Spezifikation. Tritt nur
auf, wenn die Spezifikation den
Datentyp des Tag's explizit
festlegt und das Tag dieser
Festlegung nicht entspricht.
möglich.
310
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Fehler in Datei!
Zeiger
ausserhalb des
Bereichs!
generiert werden.
Es ist ein Fehler in der TIFFDatei aufgetreten. Eine Adresse
in der Struktur der TIFF-Datei
verweist auf Daten, die hinter
dem Ende der Datei liegen. Tritt
auf, wenn die TIFF-Datei
unvollständig ist (abgeschnitten)
oder die Adressdaten in der
Datei beschädigt wurden.
zu erwarten.
311
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Fehler in Datei!
Überschneidung! Öffnen einer Datei mit dem
generiert werden.
Fehler in der TIFF-Datei. Eine
Adresse in der Struktur der TIFFDatei verweist auf Daten, die in
einem Bereich der Datei liegen,
in dem bereits andere Daten
identifiziert wurden. Tritt auf,
wenn die Adressdaten in der
Datei beschädigt wurden.
zu erwarten.
Die
Der sichere Zustand des Produktes
Signaturkompon
kann nicht gewährleistet werden. Sie
ente konnte nicht OPENLiMiT SignCubes Viewer
sollten mit dem zur Verfügung
initialisiert
stehenden Modul zur Integritätsprüfung
werden!
die Integrität der Installation auf dem
Rechner überprüfen.
generiert werden.
Das SignCubes Job Interface
steht nicht zur Verfügung. Dies
ist ein kritischer Fehler. Sie
sollten mit dem OPENLiMiT
SignCubes Integrity Tool die
korrekte Installation des
Produktes auf dem Arbeitsplatz
überprüfen.
312
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Auf die Datei
'<NAME>' kann
nicht gefährdet. Sie sollten den
nicht zugegriffen OPENLiMiT SignCubes Viewer
werden:
generiert werden.
Die Datei <'NAME'> wurde
ursprünglich geöffnet und
gelesen, steht bei einem
späteren Zugriff jedoch nicht
mehr zur Verfügung. Die
Fehlermeldung des
Betriebssystems steht in einer
zweiten Zeile.
Beim Laden des
TIFF-Bildes ist
nicht gefährdet. Allerdings kann das
ein Fehler
Dokument nicht angezeigt werden. Sie
aufgetreten:
müssen entscheiden, ob Sie das
Dokument trotzdem signieren möchten,
obwohl kein sicheres Anzeigemodul
generiert werden.
zur Verfügung steht.
Es wurde ein Fehler festgestellt,
der sich auf die Struktur der
TIFF-Datei bzw. die Auswertung
des Inhalts bezieht. Beispiel:
Nicht unterstützte
Kompressionsverfahren oder
Fehler in der Dateistruktur. Eine
genaue Bezeichnung des
Fehlers - in englischer Sprache steht in der zweiten Zeile.
313
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Es sind <Anzahl> Diese Fehlermeldung wird
Java Script
generiert, wenn der OPENLiMiT
nicht gefährdet. Sie sollten sich jedoch
Elemente im
SignCubes Viewer Java Script
über den Inhalt der Java Script
Dokument
Elemente identifiziert hat.
Elemente über den Menüpunkt
enthalten.
Sie sollten sich über den
'Weitere Dateiinhalte' informieren.
Menüpunkt 'Weitere Dateiinhalte' Im Zweifelsfall sollten Sie die
über den Inhalt der Java Scripte
Unterzeichnung des Dokuments nicht
informieren.
fortsetzen.
Fehler in der
Datenlänge
Öffnen eines PDF Dokuments
nicht gefährdet, jedoch sollten Sie die
angezeigt werden.
Datei nicht weiter verarbeiten, da ein
Fehler in der internen
Dokumentstruktur vorliegt.
Fehler im Zugriff
auf die Datei!
Öffnen eines Dokuments
nicht gefährdet. Sie haben jedoch eine
angezeigt werden.
Datei ausgewählt, die nicht geöffnet
werden kann. Beispielsweise kann die
Datei exklusiv durch eine dritte
Applikation blockiert sein.
Das Modul
Diese Fehlermeldung kann Ihnen Der sichere Zustand des Produktes ist
<Name des
beim Start des Viewers
nicht mehr gewährleistet. Das
Moduls> besitzt
angezeigt werden.
Programm wird beendet. Sie sollten mit
eine ungültige
dem zur Verfügung stehenden Modul
Signatur! Das
zur Integritätsprüfung die Integrität der
Programm wird
Installation auf dem Rechner
beendet.
überprüfen und sicherstellen, dass
nicht unberechtigte Dritte Zugriff auf
Ihren Rechner haben.
314
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Das Modul
Diese Fehlermeldung kann Ihnen Der sichere Zustand des Produktes ist
<Name des
beim Start des Viewers
nicht mehr gewährleistet. Das
Moduls> konnte
angezeigt werden.
Programm wird beendet. Sie sollten mit
nicht geladen
dem zur Verfügung stehenden Modul
werden! Das
zur Integritätsprüfung die Integrität der
Programm wird
Installation auf dem Rechner
beendet.
überprüfen und sicherstellen, dass
nicht unberechtigte Dritte Zugriff auf
Ihren Rechner haben.
Das Dokument
ist beschädigt
nicht betroffen. Der Viewer hat jedoch
und muss
angezeigt werden.
erkannt, dass das vorliegende
repariert werden.
Dokument nicht verarbeitet oder
angezeigt werden kann.
Eine solches Dokument sollten Sie
nicht signieren.
Die Datei-Ende
Markierung
nicht betroffen. Der Viewer hat jedoch
(EOF) wurde
angezeigt werden.
erkannt, dass das vorliegende
nicht gefunden.
Dokument einen syntaktischen Fehler
enthält.
Die Datei konnte Diese Fehlermeldung kann beim
nicht geöffnet
nicht gefährdet, die Datei konnte
werden.
angezeigt werden.
jedoch nicht geöffnet werden.
Ein unerwarteter
Diese Fehlermeldung wird
Fehler ist
angezeigt, wenn ein Fehler
nicht gefährdet.
aufgetreten!
aufgetreten ist, der eine weitere
Sie sollten die laufende Operation
Verarbeitung der Daten
jedoch abbrechen bzw. den Viewer
unmöglich macht.
schliessen.
315
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
- es sind
Diese Meldung kann Ihnen beim
alternative
nicht betroffen, jedoch hat der Viewer
Abbildungen
angezegt werden.
erkannt, dass Anweisungen in dem
enthalten
PDF Dokument vorhanden sind, die
nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht
signieren.
- es sind
Anweisungen zur Öffnen eines PDF Dokuments
Ausführung
angezegt werden.
externer
Programme
enthalten
signieren.
- es sind
Verweise auf
externe Dateien
angezegt werden.
enthalten
signieren.
- es sind
Verzweigungen
<Links> auf
angezegt werden.
externe
Dokumente
enthalten
signieren.
316
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
- es sind
Anweisungen
zum Verbergen
angezegt werden.
von Inhalten
enthalten
signieren.
- es sind
Anweisungen
zum Zugriff auf
angezegt werden.
das Internet
enthalten
signieren.
- es sind
Anweisungen
zum Abspielen
angezegt werden.
von Media-Clips
enthalten
signieren.
- es sind
Ausführung
angezegt werden.
benannter
Aktionen
enthalten
signieren.
317
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
- es sind
optionale Inhalte Öffnen eines PDF Dokuments
enthalten
angezegt werden.
signieren.
- es sind
Steuerung von
angezegt werden.
Media-Clips
enthalten
signieren.
- es sind
Übermittlung von angezegt werden.
Formulardaten
enthalten
signieren.
- es sind
Anweisungen
zum Abspielen
angezegt werden.
von Sound
enthalten
signieren.
318
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
- es sind
Steuerung
angezegt werden.
besonderer
Lesereihenfolgen
enthalten
signieren.
- es wird
Transparenz
verwendet
angezegt werden.
signieren.
- es wurden
Inhalte entdeckt, Öffnen eines PDF Dokuments
die nicht zum
angezegt werden.
Dokument
gehören
signieren.
- es sind
Anweisungen
zum Abspielen
angezegt werden.
von Filmen
enthalten
signieren.
319
Fehlermeldung
Fehlerursache
des OPENLiMiT
Zustand des
SignCubes
Viewer
Das Dokument
Der sichere Zustand ist nicht betroffen.
hat eine neuere
sie haben jedoch ein Dokument
Version als 1.6
angezeigt werden.
geöffnet, welches eine PDF-Version
und kann aus
spezifiziert, die größer als die erwartete
diesem grund
Version 1.6 ist.
u.U. nicht
Das bedeutet, dass die Datei unter
eindeutig und
Umständen nicht korrekt angezeigt
fehlerfrei
wird. Sie sollten eine solche Datei nicht
dargestellt
signieren, da der Viewer die
werden.
zweifelsfreie Darstellung des
Dokuments nicht gewährleisten kann.
Es steht der
Diese Meldung kann Ihnen bei
Der sichere Zustand ist nicht betroffen.
Anwendung nicht der Verwendung des Text-
Sie sollten jedoch den Viewer
genügend
Extrakionsdialogs des Viewers
schliessen und das Dokument erneut
Speicher zur
angezeigt werden.
öffnen.
Verfügung! Bitte
beenden Sie die
Unter bestimmten Umständen stellt
Anwendung und
das Betriebssystem nicht genügend
starten Sie diese
Speicher für die Anwendung zur
neu.
Verfügung. Um eine Missinterpretation
der Daten auszuschliessen, sollten Sie
das Dokument jedoch schliessen und
erneut öffnen. Sie sollten das
Dokument jedoch nicht signieren,
bevor Sie den Inhalt des Dokuments
nicht zweifelsfrei erkennen konnten.
320
Technischer Support
Bei Fragen in der Arbeit mit dem Produkt OPENLiMiT SignCubes 2.1 sollten Sie zunächst
die Beschreibung in dem entsprechenden Kapitel des elektronischen Handbuches bzw. in
der Benutzerdokumentation der OPENLiMiT SignCubes 2.1 nachlesen.
Fehlermeldungen und Erklärungen finden Sie im Kapitel Erste Hilfe.
Darüber hinaus steht Ihnen zur Unterstützung für die Software OPENLiMiT SignCubes 2.1
ein telefonischer Support zur Verfügung. Weitere Informationen zum technischen Support
und zu häufig gestellten Fragen (FAQ) finden Sie im Internet unter: www.openlimit.com.
Vorab sollten Sie sich darüber informieren, welche Softwareversion Sie installiert haben.
Diese Meldung finden Sie unter Start - Programme - OPENLiMiT - Show Version.
321
Index
A
Adobe Plugin • 167
Adobe Plugin Grundeinstellungen • 168
Arbeiten mit dem OPENLiMiT SignCubes Integrity Tool • 90
Arbeiten mit dem OPENLiMiT SignCubes Security Environment Manager • 77
Arbeiten mit dem OPENLiMiT SignCubes Viewer • 105
Arbeiten mit den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 • 76
Arbeiten mit Lotus Notes 6.5.4 • 249
Arbeiten mit Mozilla / Netscape Mail • 220
Arbeiten mit Thunderbird • 239
Arbeitsabläufe • 134
Attributzertifikate • 128
B
Betriebssysteme • 16
Bevor Sie beginnen • 3
C
Chipkarten • 20
Chipkarten Optionen • 68
D
Dateien und Icons im Explorer • 165
Dateiformate • 135
Daten entschlüsseln • 161
Daten verschlüsseln • 153
Der OPENLiMiT SignCubes Drucker • 176
Details • 142
Die erste Signatur mit OPENLiMiT SignCubes • 163
Drucker Eigenschaften - Dateiformate • 185
Drucker Eigenschaften - Dateiname erstellen • 188
Drucker Eigenschaften - Einstellungen • 183
Drucker Eigenschaften - Embed Annotation • 194
Drucker Eigenschaften - Programm - Start • 190
Drucker Eigenschaften - Wasserzeichen • 192
E
Eigenschaften • 69
Eigenschaften des Druckers • 182
Einleitung • 1
E-Mail Clients • 196
Entschlüsselung • 160
Erste Hilfe • 267
Erstellen Prüfprotokoll • 147
322
F
Fehlermeldungen des OPENLiMiT SignCubes Viewer • 301
Fehlermeldungen OPENLiMiT SignCubes Security Environment Manager • 46, 273
Fehlermeldungen vor oder während der Installation • 271
Freischalten der Lizenz • 12
G
Grundlagen der elektronischen Signatur • 23
I
Installation • 8
Internet Explorer • 255
K
Kartenleser • 17
Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.2 • 53
Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 • 1, 57
Konfigurationsoptionen des OPENLiMiT SignCubes Security Environment Managers • 55
L
Lotus Notes • 243
Lotus Notes 5 • 252
Lotus Notes 6.5.4 Sicherheitseinstellungen • 244
M
Microsoft Outlook Einstellungen • 198
Microsoft Outlook und Microsoft Outlook Express • 197
Mindestanforderungen und Sicherheitsmaßnahmen • 5
Mozilla / Netscape Browser Sicherheitseinstellungen • 262
Mozilla / Netscape Mail • 207
Mozilla / Netscape Mail Client Sicherheitseinstellungen • 208
Mozilla / Netscape SSL Authentisierung • 265
Mozilla Firefox Browser Sicherheitseinstellungen • 257
Mozilla Firefox SSL Authentisierung • 260
Mozilla Thunderbird • 225
O
Online Prüfung von Zertifikaten • 143
Online Status • 144
OPENLiMiT SignCubes Integrity Tool • 50
OPENLiMiT SignCubes Security Environment Manager • 44
OPENLiMiT SignCubes Shell Extension • 162
OPENLiMiT SignCubes Viewer • 47
Option
Algorithmen • 66
Allgemeine Einstellungen • 57
Lizenzeinstellungen und Lizenzupgrade • 56
PIN-Abfrage • 61
Verzeichnisse • 60
Zertifikate • 64
P
PDF Dokument signieren • 171
323
PIN ändern • 74
Produktbestandteile • 3, 22
Public Key Verfahren • 25
R
Rechtliche Aspekte der elektronischen Signatur • 31
S
Shell Extension Menü • 164
Sicherheitskomponenten der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.2 • 35,
109, 268
Signatur im PDF prüfen • 173
Signatur prüfen • 140
Signaturerzeugung • 26, 123
Signaturverifikation • 28, 81
Signieren • 138, 249
Signieren und Verschlüsseln • 203
Sperrlistenaktualisierung • 100
SSL Authentisierung • 253
T
Technischer Support • 321
Thunderbird Sicherheitseinstellungen • 226
Typografische Konventionen • 2
V
Verschlüsselung • 152
Verschlüsselungszertifikat exportieren • 155
Verschlüsselungszertifikate in Kontakt integrieren • 204
Verzeichnisdienst • 158
W
Wie gehe ich mit Fehlermeldungen um? • 268
Z
Zeitstempeldienste • 131
Zertifikate exportieren • 72
Zertifikate installieren • 156
Zusammenfassung • 141

OPENLiMiT SignCubes Viewer

Transcription

Similar documents

S-TRUST Sign

Elektronisches Handbuch OpenLimit SignCubes 2.5.0.4

5.2.4 Hinweise der Bundessteuerberaterkammer zum Datenschutz

Längerfristiger Zugriff auf verschlüsselte Daten bei Smartcard

Alles Wissenswerte zum neuen Personalausweis.

„Konzeption einer Public Key Infrastructure für die FHTW“

Getting Started 2.5.0.2

25. Januar 2013

Digitale Fotografie von Streichinstrumenten

03/2016 – Das beA geht an den Start, S. 10f.

Norwegische Waldkatze

Vortrag in PDF-Format - St.Galler Juristenverein

Einsatz und Bedeutung elliptischer Kurven - A-SIT

Bürgerblatt September 2010

Thawte Certificate Center