Elektronisches Handbuch OpenLimit SignCubes 2.5.0.4

Transcription

Elektronisches Handbuch
Elektronisc
hes
Handbuch
OpenLimit
SignCubes
2.5.0.4
OpenLimit SignCubes 2.5.0.4
Stand: 25.04.2012
Handbuch OpenLimit SignCubes 2.5.0.4
Copyright © OpenLimit SignCubes AG 2012
Diese Dokumentation ist geistiges Eigentum der OpenLimit SignCubes AG.
Sie darf ohne vorherige schriftliche Einwilligung der OpenLimit SignCubes AG nicht (auch nicht in
Auszügen) vervielfältigt oder veröffentlicht werden, unabhängig von der Art und Weise oder mit welchen
Mitteln, elektronisch oder mechanisch, dieses geschieht. Die in dieser Dokumentation verwendeten Softoder Hardwarebezeichnungen sind genauso wie Firmen- oder Markennamen in den meisten Fällen
eingetragene Warenzeichen oder Marken und Eigentum der jeweiligen Hersteller. Sie werden ohne
Gewährleistung der freien Verwendbarkeit benutzt. Wir richten uns im Wesentlichen nach den
Schreibweisen der Hersteller. Die Wiedergabe von Waren- und Handelsnamen etc. in dieser Dokumentation
- auch ohne besondere Kennzeichnung - berechtigt nicht zu der Annahme, dass solche Namen im Sinne der
Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten sind.
Alle in dieser Dokumentation enthaltenen Informationen wurden mit größter Sorgfalt zusammengestellt.
Dennoch können fehlerhafte Angaben nicht völlig ausgeschlossen werden. Die OpenLimit SignCubes AG,
die Autoren und die Übersetzer haften nicht für eventuelle Fehler oder deren Folgen. In dieser
Dokumentation werden insbesondere Informationen über Signaturgesetze und entsprechende
Verordnungen gegeben. Diese Informationen sollen zum Verständnis beitragen und haben nicht den
Anspruch auf Vollständigkeit. Es obliegt jedem Nutzer selbst, sich über die gesetzlichen Grundlagen, auf
denen die beschriebene Technologie beruht, zu informieren und die entsprechenden Maßnahmen zu
ergreifen.
Diese Dokumentation bietet dem Erwerber eine Anleitung zu den OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.4. In Einzelfällen kann es zu Abweichungen zwischen den beschriebenen Abläufen, der
Dokumentation und der tatsächlichen Anwendung kommen. Die OpenLimit SignCubes AG übernimmt keine
Haftung für etwaige Abweichungen und deren Folgen.
Da die Software ständig weiter entwickelt wird, behält sich die OpenLimit SignCubes AG Änderungen am
Inhalt der Dokumentation ohne Ankündigung vor.
Das Handbuch beschreibt sowohl die Sicherheitsfunktionalität als auch die korrekte Konfiguration und den
richtigen Umgang mit den Produkten OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4. Die
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 wurden einer Evaluierung nach Common
Criteria v2.3 mit Prüfniveau EAL4+ unterzogen und haben eine Sicherheitsbestätigung durch das
Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Mehr Informationen zur
Produktzertifizierung finden Sie auf den Webseiten des BSI unter http://www.bsi.de und der
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur)
unter http://www.bundesnetzagentur.de.
Dieses Handbuch gehört zum Lieferumfang des bestätigten Produktes.
Die Verfahrens-ID für das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 lautet TSystems.02241.TU. Die Sicherheitsvorgaben und die Zertifizierungsreporte können in englischer Sprache
von den Webseiten des Bundesamtes für Sicherheit in der Informationstechnik bezogen werden.
Hinweise und Kommentare richten Sie bitte an [email protected].
OpenLimit SignCubes AG
Zugerstraße 76 B
CH - 6341 Baar
Switzerland
www.openlimit.com
Inhaltsverzeichnis
1
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
Einleitung
Typografische Konventionen
Bevor Sie beginnen
Mindestanforderungen und Sicherheitsmaßnahmen
Installation
Freischalten der Lizenz
Betriebssysteme
Kartenleser
Chipkarten
Produktbestandteile
9
9
10
11
13
17
20
21
23
24
2
2.1
2.2
2.3
2.4
Grundlagen der elektronischen Signatur
Public Key Verfahren
Signaturerzeugung
Signaturverifikation
Rechtliche Aspekte der elektronischen Signatur
25
26
27
29
32
3
3.1
3.2
3.3
Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten
OpenLimit SignCubes Security Environment Manager
OpenLimit SignCubes Viewer
OpenLimit SignCubes Integrity Tool
35
42
45
47
4
4.1
Konfiguration der OpenLimit SignCubes Basiskomponenten
49
Konfigurationsoptionen des OpenLimit SignCubes Security Environment Managers 50
4.1.1
Option: Lizenzeinstellungen und Lizenzupgrade
52
4.1.2
Option: Allgemeine Einstellungen
53
4.1.3
Option: Verzeichnisse
56
4.1.4
Option: PIN-Abfrage
57
4.1.5
Option: Zertifikate
60
4.1.6
Option: Algorithmen
62
Chipkarten Optionen
Eigenschaften
63
64
4.3.1
Zertifikate exportieren
68
4.3.2
PIN ändern
69
4.2
4.3
5
5.1
5.2
5.3
5.4
5.5
5.6
5.7
5.8
5.9
Arbeiten mit den OpenLimit SignCubes Basiskomponenten
Arbeiten mit dem OpenLimit SignCubes Security Environment Manager
Arbeiten mit dem OpenLimit SignCubes Integrity Tool
Sperrlistenaktualisierung
Arbeiten mit dem OpenLimit SignCubes Viewer
Signaturerzeugung
Attributzertifikate
Zeitstempeldienste
XML Signaturen
71
71
75
87
98
103
122
127
132
138
6
6.1
6.2
6.3
Arbeitsabläufe
Dateiformate
Signieren
Signatur prüfen
142
142
144
146
6.3.1
Zusammenfassung
147
6.3.2
Details
148
6.3.3
Online Prüfung von Zertifikaten
149
6.3.4
Online Status
151
6.3.5
Erstellen Prüfprotokoll
154
Verschlüsselung
158
6.4.1
Daten verschlüsseln
160
6.4
6.4.2
Verschlüsselungszertifikat exportieren
162
6.4.3
Zertifikate installieren
162
6.4.4
Verzeichnisdienst
164
Entschlüsselung
166
Daten entschlüsseln
167
6.5
6.5.1
7
7.1
7.2
7.3
OpenLimit SignCubes Shell Extension
Die erste Signatur mit OpenLimit SignCubes
Shell Extension Menü
Dateien und Icons im Explorer
168
168
169
170
8
8.1
Adobe Plugin
Adobe Plugin Grundeinstellungen
171
172
8.1.1
PDF Dokument signieren
174
8.1.2
Signatur im PDF prüfen
175
9
9.1
9.2
Der OpenLimit TIFF/PDF (PDF/A) Drucker
Eigenschaften des OpenLimit PDF Producer
Eigenschaften des OpenLimit TIFF Producers
178
182
183
10
10.1
E-Mail Clients
Microsoft Outlook und Microsoft Outlook Express
183
184
10.1.1
Microsoft Outlook Einstellungen
184
10.1.2
Signieren und Verschlüsseln
188
10.1.3
Verschlüsselungszertifikate in Kontakt integrieren
190
Mozilla / Netscape Mail
192
10.2.1
Mozilla / Netscape Mail Client Sicherheitseinstellungen
192
10.2.2
Arbeiten mit Mozilla / Netscape Mail
206
10.2
10.3
Mozilla Thunderbird
210
10.3.1
Thunderbird Sicherheitseinstellungen
10.3.2
Arbeiten mit Thunderbird
225
Lotus Notes
230
10.4
211
10.4.1
Lotus Notes 6.5.4 Sicherheitseinstellungen
231
10.4.2
Arbeiten mit Lotus Notes 6.5.4
236
10.4.3
Lotus Notes 5
239
11
11.1
11.2
11.3
11.4
11.5
SSL Authentisierung
Internet Explorer
Mozilla Firefox Browser Sicherheitseinstellungen
Mozilla Firefox SSL Authentisierung
Mozilla / Netscape Browser Sicherheitseinstellungen
Mozilla / Netscape SSL Authentisierung
240
241
242
246
247
251
12
12.1
12.2
12.3
12.4
12.5
Erste Hilfe
Wie gehe ich mit Fehlermeldungen um?
Fehlermeldungen vor oder während der Installation
Fehlermeldungen OpenLimit SignCubes Security Environment Manager
Fehlermeldungen des OpenLimit SignCubes Viewer
Technischer Support
252
252
255
257
269
279
Glossar
CC
Die Common Criteria ist ein internationales Normen- und Regelwerk, welches Vorgaben zur
sicherheitstechnischen Untersuchung von IT Produkten definiert.
CRL
Eine Certificate List ist eine Liste, die von einem Zertifikatsanbieter herausgegeben wird und eine Liste aller
Zertifikate enthält, die zum Zeitpunkt des Abrufs der Sperrliste durch den Inhaber des Zertifikats gesperrt
worden ist.
OCSP
Online Certificate Status Protocol ist ein Protokoll, welches über eine Online Abfrage die Möglichkeit bietet, bei
dem Herausgeber zu erfragen, ob ein Zertifikat bekannt bzw. gesperrt ist. Dieses verfahren wird als sogenannte
Positiv-Auskunft bezeichnet.
RSA
Kryptographische Mechanismen, benannt nach den Erfindern Ronald L. Rivest, Adi Shamir und Leonard Adleman
ECDSA
Elliptic Curve Digital Signature Algorithm, kryptographische Mechanismen basierend auf elliptischen Kurven
CMS
Cryptographic Message Syntax – beschreibt das Standardformat für kryptographische Nachrichten
1
Einleitung
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 sind eine evaluierte und bestätigte
Signaturanwendungskomponente gemäß deutschem Signaturgesetz (SigG) und der Signaturverordnung
(SigV).
Die bestätigten Komponenten bestehen aus dem OpenLimit SignCubes Security Environment Manager, dem
OpenLimit SignCubes Viewer sowie dem OpenLimit SignCubes Integrity Tool, die auch Gegenstand der
vorliegenden Benutzerdokumentation Version 2.5.0.4 sind.
Die vorliegende Dokumentation Version 2.5.0.4 beschreibt die genannten Produktbestandteile und gibt
Hinweise zur korrekten und sicheren Konfiguration des Produktes. Weiterhin werden alle Fehlermeldungen
aufgelistet und Hinweise zum korrekten Umgang mit Fehlermeldungen gegeben.
Bevor Sie anfangen, mit dem Produkt zu arbeiten, lesen Sie bitte die folgenden Kapitel der Hilfe
aufmerksam durch:
Bevor Sie beginnen
Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4
Konfiguration der OpenLimit SignCubes Basiskomponenten
Eine Anleitung zum Umgang mit dem Produkt sowie der Nutzung einzelner Funktionen im Detail, finden Sie
im Kapitel Arbeiten mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4.
1.1
Typografische Konventionen
Diese Hilfe verwendet einige typografische Konventionen, die Ihnen die Arbeit mit dem elektronischen
Handbuch erleichtern.
Formatierung
Beschreibung
Fetter Text
Mit dieser Formatierung werden besonders wichtige Passagen
markiert.
Dies ist die normale Textformatierung für dieses Handbuch.
Normaler Text
1.2
Bevor Sie beginnen
Die vorliegende Benutzerdokumentation Version 2.5.0.4 ist Bestandteil der erfolgten
Sicherheitsevaluierung und Sicherheitsbestätigung und bezieht sich ausschließlich auf die OpenLimit
SignCubes Basiskomponenten 2.5, Version 2.5.0.4.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 sind Bestandteil des Produktes, das Sie
auf CD-ROM oder Online von der OpenLimit SignCubes AG oder einem ihrer Reseller erworben haben. Das
vorliegende Handbuch Version 2.5.0.4 beschreibt ausschließlich den korrekten Umgang mit den
Basiskomponenten, für die weiteren Produktbestandteile steht Ihnen eine separate Hilfe zur Verfügung.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 sind eine Sicherheitssoftware, die Ihnen
die Erstellung und Verifikation elektronischer Signaturen konform zum deutschen Signaturgesetz (SigG)
und zur Signaturverordnung (SigV) bietet. Für die sichere Benutzung der OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4 benötigen Sie neben der Software eine Chipkarte und einen
Kartenleser mit sicherer PIN-Eingabe.
Dieses Handbuch Version 2.5.0.4 erläutert die Grundlagen zur elektronischen Signatur, die
Sicherheitskomponenten und Sicherheitsfunktionen des Produktes, zur korrekten Konfiguration sowie den
Umgang mit dem Produkt. In einem separaten Kapitel werden die Fehlermeldungen und mögliche Ursachen
für diese Fehlermeldungen aufgeführt. Dieses Kapitel enthält Hinweise und Handlungsempfehlungen, für
den Fall, dass eine Fehlermeldung von dem Produkt angezeigt wird.
Sie sollten die folgenden Kapitel lesen, um sicher zu stellen, dass Ihr Rechner die Voraussetzung für den
Einsatz des Produktes erfüllt:
Betriebssysteme
Chipkarten
Kartenleser
Produktbestandteile
Sie sollten vor der ersten Verwendung des Produktes das Kapitel Freischalten der Lizenz lesen, um die
richtige Freischaltung der Lizenz vorzunehmen. Wir empfehlen außerdem, dass Sie vor der ersten
Verwendung der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 das Kapitel Konfiguration der
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 vollständig lesen.
Hinweis: Sofern Ihr Betriebssystem Benutzerrechte unterstützt, benötigen Sie Administrationsrechte,
um die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 zu installieren.
Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt nach der
Installation und vor der ersten Anwendung des Produktes das OpenLimit SignCubes Integrity Tool
ausführen, um die Korrektheit der Installation zu verifizieren. Weitere Informationen dazu finden Sie in
dem Kapitel Arbeiten mit dem OpenLimit SignCubes Integrity Tool.
1.3
Bitte stellen Sie sicher, dass Ihr Rechner und Ihre Einsatzumgebung den Anforderungen aus den Kapiteln
Betriebssysteme
Chipkarten
Kartenleser
entsprechen.
Die folgenden Sicherheitsmaßnahmen müssen für den korrekten Einsatz des Produktes eingehalten
werden:
Benutzer sowie evtl. Administrations- und Wartungspersonal müssen den Anweisungen der
Benutzerdokumentation Folge leisten.
Wenn Sie das Produkt auf CD-ROM oder einem anderen Speichermedium bezogen haben, müssen Sie dieses
geschützt vor dem Zugriff durch unberechtigte dritte Personen aufbewahren. Bevor Sie das Produkt
installieren, stellen Sie bitte sicher, dass alle Sicherheitsmerkmale (wie z.B. Siegel und Laminierungen) der
Verpackung unbeschädigt sind. Sollten Sie Zweifel an der Authentizität des Installationsmediums haben,
wenden Sie sich an den Lieferanten.
Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt nach der
Installation und vor der ersten Anwendung das OpenLimit SignCubes Integrity Tool ausführen, um die
Korrektheit der Installation zu verifizieren.
Für den Einsatz der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 in der Windows Terminal
Umgebung ist der Server in einer zutrittsgeschützten Einsatzumgebung und innerhalb eines
verschließbaren und versiegelten Elektroschrankes unterzubringen.
Sie müssen als Benutzer regelmäßig, wenigstens jedoch einmal im Monat, die Integrität der
Produktinstallation auf Ihrem Rechner prüfen. Verwenden Sie dazu die Online-Komponente, die Ihnen über
die Webseite https://www.OpenLimit.com/integritytool zu diesem Zwecke zur Verfügung gestellt wird.
In der Windows Terminal Umgebung ist die Produktintegrität serverseitig sofort nach der Installation und
dann regelmäßig, mindestens jedoch einmal im Monat, durch die Administratoren zuverlässig im VierAugen-Prinzip zu kontrollieren.
Verwenden Sie stets einen Virenscanner und stellen Sie sicher, dass die aktuellen Virendefinitionen des
Herstellers installiert sind. Wenn der Virenscanner keine Backdoor-Programme erkennen kann, sollten Sie
ein entsprechendes zusätzliches Programm installieren.
Für den Fall, dass Sie über einen Internet-Anschluss verfügen, müssen Sie eine Firewall einsetzen, um das
Betriebssystem Ihres Computers vor Angriffen aus dem Internet zu schützen.
Stellen Sie sicher, dass Sie über die volle Kontrolle über eingelegte Speichermedien und
Netzwerkfreigaben verfügen. Konfigurieren Sie Ihren Rechner niemals so, dass auf den Installationspfad
des Produktes über Netzwerkfreigaben durch Dritte zugegriffen werden kann.
Der Zugriff und die Verwendung des Produktes durch den Anwender muss durch die Konfiguration des
Rechners ermöglicht werden. Das bedeutet, dass der Rechner so konfiguriert sein muss, dass der
Anwender durch den Computer-Administrator die Rechte eingeräumt bekommt, die er zur Benutzung des
Produktes benötigt.
Hinweis: Für den Einsatz der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 auf Windows
Terminalserver 2003 hat die Remoteverbindung zwischen dem Terminalserver und dem bzw. den
Terminalclients grundsätzlich verschlüsselt mit 128 Bit zu erfolgen.
Bei Windows Terminal Server 2003 in Verbindung mit den Betriebssystemen Windows XP und Windows
Vista clientseitig ist die Verschlüsselung mit 128 Bit bereits Standard für die Verbindung und unbedingt zu
verwenden.
Wenn Sie diese Regeln nicht einhalten, verlassen Sie die Umgebung, für die das Produkt zertifiziert und
bestätigt ist. Die folgenden Anforderungen kann das Produkt nicht leisten:
Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrtheit und der
Geheimhaltung der privaten Schlüssel obliegt der Chipkarte.
Sicherstellung der korrekten Uhrzeit auf dem Rechner des Anwenders. Das Produkt OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4 kann keine Aussagen über die Plausibilität der eingestellten Uhrzeit
auf dem Rechner des Anwenders treffen.
Sicherstellung der Integrität des Betriebssystems. Das Produkt enthält keine Mechanismen, um die
Integrität seiner Umgebung zu prüfen. Sie müssen geeignete Vorkehrungen treffen, um eine
Kompromittierung des Betriebssystems zu vermeiden.
Sicherheit der kryptografischen Operationen. Das Produkt verwendet Bibliotheken zur Erzeugung
Verifikation elektronischer Signaturen über das RSA bzw. ECDSA Public Key Verfahren.
Signaturerzeugung ist der Einsatz einer Chipkarte unabdingbar. Das Produkt kann die Stärke
kryptografischen Mechanismen nicht garantieren und keine Aussagen über die Stärke
kryptografischen Funktionen treffen.
und
Zur
der
der
Die Leistungsmerkmale des Produktes sind auf diejenigen Funktionen beschränkt, die in diesem Handbuch
Version 2.5.0.4 wiedergegeben werden. Als Anwender des Produktes sind Sie verpflichtet, die technischen
und organisatorischen Maßnahmen einzuhalten, die von der vorliegenden Benutzerdokumentation Version
2.5.0.4 vorgegeben werden.
1.4
Installation
Um mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 arbeiten zu können, benötigen Sie
eine Chipkarte mit einem Zertifikat für die qualifizierte elektronische Signatur gemäß deutschem
Signaturgesetz und einen Kartenleser. Die für die OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 zulässigen Chipkarten sind in dem Kapitel Chipkarten aufgelistet.
Die zulässigen Kartenleser sind in dem Kapitel Kartenleser aufgeführt.
Stellen Sie sicher, dass Sie eine entsprechende Chipkarte zur Verfügung haben und der Kartenleser
ordnungsgemäß installiert ist, bevor Sie anfangen, mit der Software zu arbeiten.
Hinweis: Um einen Lizenzschlüssel mit dem Lizenz-Wizard zu aktivieren, benötigen Sie eine
Produktkonfiguration, mit der die Verwendung eines unterstützten Chipkartenterminals und einer
unterstützten Signaturkarte möglich ist. Verwenden Sie das OpenLimit SignCubes Integrity Tool, um die
installierten Module anzuzeigen.
Bevor Sie das Produkt installieren, lesen Sie den Abschnitt Mindestanforderungen und
Sicherheitsmaßnahmen und Betriebssysteme gründlich, um zu gewährleisten, dass Ihr System einem der
angegebenen Betriebssysteme entspricht.
Sie können das Produkt wahlweise per Download über einen Web-Shop oder auf einem
Installationsmedium, wie z.B. einer CD-ROM, bezogen haben. Der im Folgenden dargestellte Ablauf ist für
beide Varianten identisch. Das Installationsprogramm kopiert die OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.4 auf Ihren Rechner. Stellen Sie bitte nach der Installation sicher, dass das korrekte
Produkt installiert wurde, in dem Sie das OpenLimit SignCubes Integrity Tool ausführen. Mehr
Informationen dazu finden Sie im Kapitel Arbeiten mit dem OpenLimit SignCubes Integrity Tool.
Falls Sie das Setup auf einer CD-ROM erhalten haben und diese in das Laufwerk einlegen, wird bei
aktiviertem Autostart das Setup automatisch gestartet. Wenn Sie das Setup über einen Download bezogen
haben, müssen Sie das Programm 'setup.exe' ausführen. Sie sehen dann das Fenster zur Sprachauswahl.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 werden in deutscher und englischer
Sprache ausgeliefert:
Wenn Sie jetzt auf OK klicken, überprüft das Setup Programm die Installationsumgebung unter folgenden
Gesichtspunkten:
1.
2.
3.
4.
Entspricht das Betriebssystem den aufgeführten Mindestanforderungen?
Sind die Mindestanforderungen an den Internet Explorer erfüllt?
Verfügt der Benutzer über Administrationsrechte?
Ist der schreibende Zugriff auf die Registry möglich?
Wenn diese Voraussetzungen nicht erfüllt sind, wird eine Fehlermeldung angezeigt und das Setup
Programm beendet. Wenn die Prüfung erfolgreich verlaufen ist, startet der Installationsvorgang.
In dem folgenden Fenster haben Sie die Möglichkeit, den Zielordner für die Programmdaten zu ändern.
Wenn Sie jetzt auf Weiter klicken, wird eine Seite angezeigt, auf der Sie die Lizenzvereinbarungen
akzeptieren müssen.
Nachdem Sie die Lizenzvereinbarungen akzeptiert haben, beginnt der eigentliche Installationsvorgang.
Nach Bestätigung des Befehls Fertigstellen wird der OpenLimit SignCubes Security Environment Manager
automatisch gestartet und das Modul zum Freischalten der Lizenz geöffnet.
Hinweis zur Installation für Windows Terminalserver: Zur Arbeit mit den OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4 über Windows Terminal Server 2003 mit oder ohne Citrix Frame
müssen die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 als Terminaldienste im
Anwendungsmodus (nicht im Remoteverwaltungsmodus) installiert werden. Es ist ausreichend, die
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 serverseitig zu installieren.
Bei der Installation der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 in der Windows
Terminal Server 2003 mit oder ohne Citrix Frame Umgebung ist eine zuverlässige Administration des
Servers durch das Vier-Augen-Prinzip zu gewährleisten.
Die Kartenlesertreiber müssen nur auf den Clientrechnern installiert sein.
Darüber hinaus gibt es für die Installation der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4
in der Windows Terminal Server 2003 mit oder ohne Citrix Frame Umgebung eine zusätzliche
Dokumentation. Diese wird gesondert durch die OpenLimit SignCubes AG zur Verfügung gestellt.
Hinweis zur sicheren Konfiguration: Bei der Installation der OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.4 wird automatisch eine sichere Konfiguration des Produktes eingestellt. Sie sollten
Änderungen in den Konfigurationseinstellungen mit Hilfe der in diesem Handbuch Version 2.5.0.4
beschriebenen Konfigurationsoptionen für die OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 erst dann vornehmen, wenn Sie im Umgang mit den Funktionalitäten vertraut sind.
Grundsätzlich sollte das Produkt immer mit den empfohlenen Einstellungen betrieben werden. Über den
Button Ausgangskonfiguration haben Sie die Möglichkeit, die bei der Installation eingerichteten
Optionen wieder herzustellen.
1.5
Freischalten der Lizenz
Wenn Sie das Produkt zum ersten Mal starten, werden Sie aufgefordert, Lizenzierungsinformationen
einzugeben. Sie haben die Lizenzinformationen entweder direkt von der OpenLimit SignCubes AG oder
einem ihrer Reseller erhalten. Wenn der Lizenzmanager gestartet wird, sehen Sie den folgenden Dialog.
Lesen Sie die Informationen gründlich und vergewissern Sie sich, dass Sie die Informationen verstanden
haben.
Klicken Sie so lange auf Weiter, bis Sie aufgefordert werden, den Lizenzcode einzugeben.
Geben Sie den Lizenzcode ein oder klicken Sie auf den Button Reader.
Nachdem Sie den Lizenzcode eingegeben haben, werden Sie aufgefordert, eine Signatur zu erzeugen. Sie
können die Daten im OpenLimit SignCubes Viewer betrachten, um sich zu vergewissern, dass keine
persönlichen oder vertraulichen Daten in den Lizenzinformationen enthalten sind.
Nach Abschluss der Lizenzfreischaltung steht die Lizenz allen Anwendern des Computers zur Verfügung.
Wenn Sie später eine andere Lizenz erwerben, können Sie ein Upgrade der Lizenz vornehmen. Gehen Sie
dazu auf den Menüpunkt Eigenschaften des OpenLimit SignCubes Security Environment Managers und
wählen Sie das Register Lizenz aus. Klicken Sie auf Lizenz-Upgrade, um eine Änderung der
Lizenzinformationen vorzunehmen.
Hinweis: Beachten Sie unbedingt, dass eine Weitergabe der Lizenzinformationen an Dritte nicht erlaubt
ist und strafrechtlich durch die OpenLimit SignCubes AG verfolgt wird. Die zur Verfügung stehende
Funktionalität des Produktes Version 2.5.0.4 hängt von dem Lizenzcode ab, den Sie erhalten haben. Sie
können sich auf der Eigenschaftsseite des Produktes anzeigen lassen, welche Funktionen Sie lizenziert
haben. Der grüne Haken bedeutet dabei, dass die Funktion zur Verfügung steht. Nicht verfügbare
Funktionalität wird auch nicht angezeigt.
Für die Freischaltung der Lizenz ist keine Online-Aktivierung des Produktes notwendig. Sie schützen die
Lizenz jedoch durch die Erzeugung einer Signatur vor dem Missbrauch durch unberechtigte Dritte. Durch
die Unterzeichnung der Lizenz mit Ihrem Signaturzertifikat beweisen Sie, dass Sie die Lizenz erworben
haben und können dies auch in der Anzeige der Lizenzinformationen überprüfen. Mehr Informationen
finden Sie im Kapitel Option: Lizenzeinstellungen und Lizenzupgrade.
1.6
Betriebssysteme
Für die Arbeit mit dem Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 benötigen Sie
einen Intel 586 kompatiblen Prozessor, mindestens 120 MB freien Festplattenplatz und mindestens 128 MB
RAM. Auf dem Rechner muss mindestens der Internet Explorer ab Version 5.01 installiert sein. Wenn Sie
nicht über diese Mindestversion des Internet Explorers verfügen, laden Sie sich bitte die neueste Version
des Internet Explorers von der Webseite der Firma Microsoft herunter. Darüber hinaus muss die Java
Virtual Machine (JVM) ab Version 1.4.2.08 mit dem zugehörigen JRE (Java Runtime Environment) auf dem
Computer installiert sein. Wenn Sie nicht über die Java Virtual Machine verfügen, können Sie diese unter
http://java.sun.com herunterladen.
Die folgenden Betriebssysteme werden von diesem Produkt unterstützt:
Windows 2003
Windows 2003 64 Bit Edition
Windows XP Home und Professional
Windows XP 64 Bit Edition
Windows XP Tablet PC Edition
Windows Vista 32 Bit und 64 Bit
Windows 2008
Windows 2008 64 Bit Edition
Windows 2003 Terminal Server mit und ohne Citrix Meta-Frame
Windows 2008 Terminal Server
Windows 7 32 Bit und 64 Bit Edition
Abhängig vom Zustand Ihres Betriebssystems nimmt das Setup Programm Aktualisierungen des
Betriebssystems vor. Dafür kann ein mehrmaliger Neustart des Rechners notwendig sein, was nicht auf die
Installation der Software OpenLimit Basiskomponenten 2.5, Version 2.5.0.4 sondern auf die notwendigen
Betriebssystemupdates zurückzuführen ist.
Das Setup für die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 nimmt ggf. notwendige
Updates des Betriebssystems vor. Diese Updates stellen sicher, dass die Shell32.dll in der Mindestversion
4.0 sowie die Microsoft SmartCard Base Components in der Minimalversion 1.0 vorhanden sind.
Hinweis: Um den Rechner optimal vor Sicherheitslücken zu schützen und die korrekte Arbeit des
Produktes zu gewährleisten, sollten stets die aktuellen Sicherheits-Updates installiert werden.
Schützen Sie Ihren Rechner durch einen aktuellen Virenscanner und, sofern Sie über eine
Internetanbindung verfügen, mit einer Firewall.
1.7
Kartenleser
Der Einsatz der folgenden Kartenleser wird durch die OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 unterstützt:
Cherry Smartboard G83-6700 LQ
Cherry Smartboard G83-6744 LU
Cherry ST-2000
Fujitsu Siemens S26381-K329-V2xx HOS:01
Fujitsu SmartCase KB SCR eSIG (S26381-K529-Vxxx, HOS:01, FW v.1.21)
Kobil KAAN Advanced
Kobil KAAN TriB@nk
Kobil EMV-TriCAP Reader
Kobil SecOVID Reader III
Omnikey Cardman 3621
Reiner SCT cyberJack e-com v2.0
Reiner SCT cyberJack pinpad v2.0
Reiner SCT cyberJack e-com plus v3.0
Reiner SCT cyberJack secoder
Reiner SCT cyberJack RFID standard, Version 1.2
Reiner SCT cyberJack RFID komfort, Version 1.0
SCM Microsystems SPRx32/ChipDrive PinPad (Firmware version 4.15 oder 5.10)
medCompact eHealth Card Terminal BCS Version 02.00 (Varianten mit 1 bzw. 2 Slots)
SCM eHealth Kartenterminal eHealth200 BCS (HW:R1.4, FW V2.01u)
Gemalto GCR 5500-D BCS V1.0 (FW 1.14)
CCV CARD STAR/medic2, Firmware CARD STAR/medic2, Version M1.53G, Modell 6020-4
Für die Erzeugung gesetzeskonformer (qualifizierter) Signaturen dürfen nur diejenigen SigG-konformen
Kartenleser eingesetzt werden, die in diesem Handbuch Version 2.5.0.4 angegeben werden. Zum Zeitpunkt
der Bestätigung des Produktes waren die aufgelisteten Kartenleser nach dem deutschen Signaturgesetz
bestätigt und dürfen zur Erzeugung qualifizierter elektronischer Signaturen eingesetzt werden:
Hinweis: Das Produkt unterstützt die Verwendung von Kartenlesern, die keine sichere PIN-Eingabe
erlauben. Wenn Sie einen solchen Kartenleser verwenden, bewegen Sie sich außerhalb der bestätigten
Konfiguration. Für die SigG-konforme Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.4 ist nur die Verwendung der aufgeführten, bestätigten Kartenleser zulässig.
Hinweis: Die folgenden Kartenleser sind auf Grund von Abweichungen in der Kompatibilität mit den
genannten Signaturkarten nicht für die Erzeugung qualifizierter Signaturen verwendbar.
Cherry Smartboard G83-6700 LQ:
ZKA Banking Signature card, v6.2 NP, v6.2b NP, 6.2f NP, Type 3 from Giesecke & Devrient
ZKA Banking signature card, v6.31 NP, Type 3 from Giesecke & Devrient
ZKA Banking Signature Card, v6.32, Type 3 from Giesecke & Devrient
ZKA Banking signature card, v6.4 from Giesecke & Devrient
ZKA Banking signature card, v6.51 from Giesecke & Devrient
ZKA Banking Signature Card, Version 6.6 from Giesecke & Devrient GmbH
ZKA-Signaturkarte, ZKA 680 V5A, Version 5.10 from Gemplus-mids GmbH
ZKA-Signaturkarte, ZKA 680 V5A, Version 5.11 from Gemplus-mids GmbH
ZKA signature card, version 5.11 M from Gemplus GmbH (Gemalto)
ZKA Signatur Karte, Version 5.02 from Gemplus-mids GmbH
SecV1.5.3, from SAGEM ORGA GmbH
STARCOS 3.0 with Electronic Signature Application V3.0
STARCOS 3.2 QES, Version 1.1
ZKA Banking Signature Card, Version 7.1.2 (ecD 7.1.2) from Giesecke & Devrient GmbH
ZKA Banking Signature card, Version 7.2.1 (ecD 7.2.1) from Giesecke & Devrient
ZKA signature card, Version 6.01 (ZKA680) from Gemplus GmbH (Gemalto)
ZKA signature card, Version 6.32 M from Gemalto GmbH
STARCOS 3.2 QES v.2.0, product name "Signtrust Card 3.2"
STARCOS 3.2 QES v.2.0, product name "Signtrust MCard 3.2"
STARCOS 3.2 QES v.2.0, product name "Signtrust MCard100 3.2"
Reiner SCT pinpad 2.0
TCOS 3.0 Signature Card, Version 1.1
medCompact eHealth Card Terminal BCS Version 02.00
STARCOS 3.0 with Electronic Signature Application V3.0
Nur unter Win 7 32Bit
Weitere Informationen bezüglich Inkompatibilitäten bei Kartenlesern und Karten entnehmen Sie bitte der
Bestätigungsurkunde.
Hinweis: Für die Arbeit mit den Terminal Servern Windows 2003 mit und ohne Citrix Meta-Frame
müssen die Kartenlesertreiber nur auf den Clientrechnern installiert sein.
1.8
Chipkarten
Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 ist für den Einsatz folgender
Chipkarten vorgesehen:
STARCOS 3.0 with Electronic Signature Application V3.0 from Giesecke & Devrient
Siemens CardOS M4.3 B
ZKA Banking signature card, v6.2b NP and 6.2f NP, Type 3 from Giesecke & Devrient
ZKA Banking signature card, v6.2 NP, Type 3 from Giesecke & Devrient
ZKA Banking signature card v6.31 NP, Type 3 from Giesecke & Devrient
ZKA Banking signature card v6.32, Type 3 from Giesecke & Devrient
ZKA Banking Signature Card, Version 6.4 from Giesecke & Devrient
ZKA Banking Signature Card, Version 6.51 from Giesecke & Devrient
ZKA Banking Signature Card, v6.6 from Giesecke & Devrient
ZKA Banking Signature Card, Version 7.1.2 (ecD 7.1.2) von Giesecke & Devrient GmbH
ZKA Banking Signature Card, Version 7.2.1 (ecD 7.2.1) von Giesecke & Devrient GmbH
ZKA signature card, version 5.02 from Gemplus-mids GmbH
ZKA signature card, ZKA 680 V5A Version 5.10 from Gemplus-mids GmbH
ZKA signature card, ZKA 680 V5A Version 5.11 from Gemplus-mids GmbH
ZKA signature card, ZKA 680 V5A Version 5.11 M from Gemplus GmbH (Gemalto)
ZKA signature card, Version 6.01 (ZKA680) from Gemplus GmbH (Gemalto)
ZKA signature card, Version 6.32 M from Gemalto GmbH
ZKA SECCOS Sig v1.5.3 from Sagem Orga GmbH
dgnserviceCard
CardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AG
BA PKCS#15 User Card with Siemens Card-API
ACOS EMV-A03V1, Configuration B and Digital Signature Application a-sign Premium
STARCOS 3.2 QES Version 1.1
STARCOS 3.2 QES v.2.0, Produktname "Signtrust Card 3.2"
STARCOS 3.2 QES v.2.0, Produktname "Signtrust MCard 3.2"
STARCOS 3.2 QES v.2.0, Produktname "Signtrust MCard100 3.2"
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 unterstützen auch PKCS#15 kompatible
Karten, die nicht in dieser Liste aufgeführt sind. Die vorliegende Sicherheitsbestätigung erstreckt sich
nicht auf die Verwendung dieser Karten! OpenLimit übernimmt keine Garantie, dass jede PKCS#15
kompatible Karte mit dem Produkt zusammen arbeitet. Die Verwendung von Chipkarten, die nicht in
diesem Handbuch aufgeführt sind, liegt außerhalb der Bestätigung und ist daher nicht für die Erzeugung
qualifizierter Signaturen geeignet.
Die aufgelisteten Karten beziehen sich auf bestätigte Signaturkarten, die auf der Webseite der
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur)
veröffentlicht wurden.
Hinweis: Wenn Sie eine Signaturkarte verwenden, die die Erzeugung mehrerer Signaturen in einem
Durchgang erlaubt, müssen Sie die speziellen Sicherheitsauflagen, welche für diesen Betriebsmodus
verlangt werden, einhalten. Diese Sicherheitsauflagen finden Sie in den Bestätigungsurkunden für diese
Karten unter:
www.bundesnetzagentur.de
1.9
Produktbestandteile
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 beinhalten die folgenden Bestandteile:
OpenLimit SignCubes Security Environment Manager als zentralen Bestandteil zur Verwaltung
verfügbarer Signaturkarten, Kartenleser und zur Konfiguration des Produktes. Mehr
Informationen finden sie im Kapitel OpenLimit SignCubes Security Environment Manager.
OpenLimit SignCubes Viewer. Mehr Informationen finden Sie im Kapitel OpenLimit SignCubes
Viewer.
OpenLimit SignCubes Integrity Tool (Online). Mehr Informationen finden Sie im Kapitel OpenLimit
SignCubes Integrity Tool.
die vorliegende Benutzerdokumentation Version 2.5.0.4.
Im Kapitel Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 finden Sie
Erläuterungen zur richtigen Konfiguration des Produktes. Die richtige Bedienung wird Ihnen im Kapitel
Arbeiten mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 erklärt. Der Umgang mit
Fehlermeldungen wird Ihnen im Kapitel Erste Hilfe ausführlich erläutert.
Hinweis: In Abhängigkeit von der Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.4 steht die Funktion zur Signaturerzeugung und -prüfung über IBM Lotus Formes Viewer
zur Verfügung. Das OpenLimit SignCubes Integrity Tool zeigt Ihnen an, ob dieses zusätzliche Modul
installiert ist.
Weiterhin verfügen die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 über die Möglichkeit,
XML-Signaturen zu erzeugen bzw. zu verifizieren. Die Funktionalitäten können nur durch die Integration in
Drittanwendungen aktiviert werden. In dem Kapitel XML Signaturen finden Sie weitere Informationen zur
Erzeugung und Verifikation von XML-Signaturen.
2 Grundlagen der elektronischen Signatur
Elektronische Daten können leicht manipuliert werden. Ob im Internet oder direkt auf dem Computer Veränderungen von Daten können bislang kaum ausgeschlossen werden.
Aus einem Dokument können Passagen einfach gestrichen oder eingefügt werden. Der Urheber eines
Dokuments ist nicht festzustellen. Genauso können Daten, die per E-Mail verschickt werden oder auf der
Festplatte gespeichert sind, durch Hacker oder Trojaner ausgelesen werden. Zudem hat das Internet einen
großen Nachteil: Niemand weiß, mit wem er es auf der anderen Seite zu tun hat.
Deshalb war es auch lange Zeit undenkbar, dass elektronische Daten, die noch dazu im Internet verschickt
werden, wo man den Kommunikationspartner nicht sehen kann, mit etwas ähnlichem wie einer
Unterschrift versehen werden können.
Durch die elektronische Signatur können zwei Probleme behoben werden:
Eine unbemerkte Datenmanipulation ist nicht mehr möglich.
Der Unterzeichner kann eindeutig identifiziert werden.
Die Signatur macht jegliche absichtliche oder unabsichtliche Manipulation sofort ersichtlich. Über die
Zertifikatsprüfung kann bewiesen werden, dass die Signatur nicht gefälscht wurde, der Zertifikatsinhaber
also echt ist. Dabei werden keine persönlichen Daten des Inhabers preisgegeben - lediglich der Name.
In diesem Abschnitt werden Ihnen die Grundlagen zur elektronischen Signatur auf Basis des RSA bzw.
ECDSA Verfahrens dargestellt. Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4
unterstützen die Erzeugung und Verifikation elektronischer Signaturen auf Basis einer Chipkarte und eines
Kartenterminals. Die Hashwertberechnung für die qualifizierte elektronische Signatur wird nach den
Verfahren SHA-224, SHA-256, SHA-384 und SHA-512 vorgenommen, welche als anerkannte Verfahren für die
Berechnung kryptografischer Prüfsummen durch die Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur)
gemäß dem derzeitigen
Algorithmenkatalog
vom
30.12.2011
(www.bundesnetzagentur.de/cln_1912/DE/Sachgebiete/QES/Veroeffentlichungen/Algorithmen/algorithalg_n
ode.html) ausgewiesen sind. Das RSA- bzw. ECDSA-Verfahren sind asymmetrische Verfahren, welche die
Einbettung des Produktes in eine PKI (Public Key Infrastruktur) ermöglichen.
Häufig wird im Zusammenhang mit der elektronischen Signatur auch von der elektronischen Unterschrift
gesprochen. Das deutsche Signaturgesetz erläutert den Begriff der elektronischen Signatur, insbesondere
der fortgeschrittenen und der qualifizierten elektronischen Signatur. In diesem Handbuch werden Sie
häufig die Begriffe der Signatur und der elektronischen Unterschrift lesen - beide Begriffe sind richtig und
bedeuten inhaltlich das Gleiche.
Die rechtlichen Aspekte zur elektronischen Signatur sind ausführlich im Abschnitt Rechtliche Aspekte der
elektronischen Signatur erläutert.
2.1
Public Key Verfahren
Die Signatur und die Verschlüsselung, die mit einer Signaturkarte und dieser Software durchgeführt
werden, basieren auf einer Public Key Infrastruktur (PKI). Sowohl bei der Signatur als auch bei der
Datenverschlüsselung kommt eine asymmetrische Verschlüsselung zum Einsatz. Asymmetrisch bedeutet:
Es werden immer zwei verschiedene Schlüssel verwendet, der private Schlüssel (private key) und der
öffentliche Schlüssel (public key), die sich gegenseitig ergänzen. Daten, die mit dem einen Schlüssel
"zugeschlossen" wurden, können nur mit dem anderen wieder "aufgeschlossen" werden.
Der private Schlüssel befindet sich bei Chipkarten auf dem Chip der Karte und lässt sich nicht auslesen.
Die zu verarbeitenden Daten werden auf den Chip geladen, dort ver- oder entschlüsselt und wieder in den
Computer übertragen. Um den privaten Schlüssel zu benutzen, wird die richtige PIN benötigt, die
zusätzliche Sicherheit gewährleistet. Der öffentliche Schlüssel ist in ein Zertifikat integriert und steht
jedermann in Verzeichnisdiensten im Internet zur Verfügung oder kann per E-Mail versendet werden. Um
sicher zu gehen, dass dieses Zertifikat und somit der Schlüssel nicht gefälscht wurde, lässt sich die
Signatur des Herausgebers prüfen.
Beim Signieren wird der private Schlüssel auf der Karte verwendet. Somit ist zweifelsfrei belegt: die
Signatur kann nur vom Karteninhaber sein - nur er hat die Karte und die PIN. Beim Prüfen der Signatur
wird der öffentliche Schlüssel verwendet, denn jeder soll eine Signatur prüfen können. Die
Verschlüsselung verwendet die beiden Schlüssel in umgekehrter Reihenfolge. Hier kommt der öffentliche
Schlüssel des Empfängers zum Einsatz, so dass nur dieser die Daten mit seinem privaten Schlüssel wieder
entschlüsseln kann.
Da der Chip einer Chipkarte für die Verarbeitung großer Datenmengen sehr lange benötigen würde, wird
bei der Verschlüsselung ein automatisch generierter Zufallsschlüssel verarbeitet. Bei der Signatur wird ein
Hashwert verschlüsselt, der einem Dokument eindeutig zugeordnet werden kann.
2.2
Signaturerzeugung
Die Signatur hat verschiedene Zwecke: Einerseits wird eine qualifizierte Signatur verwendet, um Briefe,
Verträge etc. zu unterzeichnen. Andererseits gibt es auch fortgeschrittene Signaturen, die meistens dazu
verwendet werden, Daten zu sichern, die man nicht unterschreiben möchte. Beispielsweise können auch
Bild- oder Ton-Dateien signiert werden. Die Signatur schützt zwar nicht vor Veränderungen, macht diese
aber eindeutig erkennbar. Ist eine Signatur intakt, bedeutet das, dass die Daten nicht geändert wurden.
Beim Signieren einer Datei wird ein Hashwert gebildet, der mit einem Fingerabdruck vergleichbar ist. Zwei
Dokumente können nie denselben Hashwert haben, es sei denn, sie sind identisch.
Dieser Hashwert wird nach dem RSA bzw. ECDSA Verfahren unter Verwendung eines Schlüssels (mit einer
Länge von mindestens 2048 Bit für qualifizierte Signaturen) verschlüsselt. Die Verschlüsselung des
Hashwerts findet auf dem Chip der Karte statt. Dieser kleine Prozessor kann kleinere Datenmengen
verarbeiten. Solch ein Vorgehen ist deshalb wichtig, weil der private Schlüssel die Karte so nie verlässt.
Denn jegliche Daten, die in einem Computer sind, sind auch potentiell unsicher. Der Schlüssel bekommt
also lediglich den Befehl, eine kleine Menge an Daten zu verschlüsseln. Die verschlüsselten Daten werden
anschließend wieder in den Computer zurückgeschickt. Vorher muss der private Schlüssel durch die
richtige PIN (Personal Identification Number) freigegeben werden, d.h., die Karte wird geöffnet.
Hier ist der empfindlichste Punkt der gesamten Signatur. Nicht die Technik ist es, die den größten
Unsicherheitsfaktor darstellt, sondern der Mensch. Folgende Punkte sollten Sie unbedingt beachten:
Schreiben Sie die PIN niemals auf die Karte, den Kartenleser oder in die Nähe Ihres Computers.
Lassen Sie sich nicht bei der PIN-Eingabe zusehen.
Achten Sie darauf, dass auch aus der Ferne (Fenster gegenüber etc.) niemand Einblick auf Ihre
Tastatur oder den Kartenleser hat.
Geben Sie die PIN in keinem Fall an eine andere Person weiter.
Benutzen Sie nach Möglichkeit (vor allem, wenn Sie wichtige Verträge o.ä. signieren) einen
Kartenleser mit sicherer PIN-Eingabe.
Nach dreimaliger falscher PIN-Eingabe ist der private Schlüssel unbrauchbar.
Lassen Sie Ihre Karte nie liegen, wenn Sie den Raum verlassen oder Ihre Aufmerksamkeit
abgelenkt ist.
Diese hier kompliziert erscheinenden Vorgänge erledigt die Software natürlich automatisch. Der Nutzer
muss nur auf Signieren klicken, die PIN eingeben und hat sofort eine signierte Datei. Diese besteht aus
verschlüsseltem Hashwert, Originaldatei und öffentlichem Schlüssel.
Grundsätzlich benötigen Sie für eine qualifizierte Signatur ein qualifiziertes Zertifikat. Die
Signaturerzeugung als technischer Prozess sollte immer auf einer sicheren Signaturerzeugungseinheit,
bestehend aus Kartenterminal, möglichst mit sicherer PIN-Eingabe, und einer Chipkarte vorgenommen
werden. Weiterhin benötigen Sie eine Software, die Ihnen ein vertrauenswürdiges Umfeld für die
Erzeugung einer elektronischen Signatur bietet. Grundsätzlich sollten Sie bei der Erzeugung einer
qualifizierten elektronischen Signatur immer auf eine vorherige Visualisierung der Inhalte bestehen.
2.3
Folgende Punkte sind bei der Prüfung wichtig:
Ist das Dokument wirklich unverändert? Integrität der Daten.
Ist der Signaturinhaber echt? Wurde sein Zertifikat nicht inzwischen gefälscht? Authentizität
des Inhabers.
Ist das Zertifikat nicht gesperrt? Zertifikatsstatus.
1. Die Integrität des Dokuments lässt sich über den Hashwert beweisen:
Das Dokument wird erneut gehasht. Der alte Hashwert wird entschlüsselt und mit dem neuen verglichen:
Sind beide Hashwerte identisch, ist bewiesen, dass das Dokument nicht verändert wurde. Das erledigt die
Software bei jeder Prüfung automatisch und in Echtzeit, d.h., die Software prüft den Hashwert ständig nicht nur einmal. So werden auch Manipulationen am geöffneten Dokument sichtbar. Um den alten
Hashwert zu entschlüsseln, benötigt der Prüfer den öffentlichen Schlüssel des Unterzeichners, denn die
Signatur wurde ja mit der Karte, also mit dem privaten Schlüssel erstellt.
Dieser öffentliche Schlüssel wird als Zertifikat an das signierte Dokument angehängt.
2. Prüfung des Signaturzertifikates
Die Echtheit und Unversehrtheit eines Zertifikates, also des mit gesendeten öffentlichen Schlüssels, wird
über die Signatur des Herausgebers geprüft: Jedes persönliche Zertifikat ist von einem Trustcenter (CA)
signiert. Ist diese Signatur gültig, wurde auch das Zertifikat nicht geändert. Natürlich kann auch die
Echtheit des Herausgeberzertifikats geprüft werden, das oft wieder von einer anderen Instanz
herausgegeben wurde. So ergibt sich ein Zertifizierungspfad, der sich bis zu einer vertrauenswürdigen
Instanz (Root CA oder Wurzelzertifikat) zurückverfolgen lässt. Ist dieser Zertifizierungspfad korrekt und
die Wurzel vertrauenswürdig, beweist dies die Authentizität des Signaturinhabers.
In Deutschland ist bei qualifizierten Signaturen die Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) die oberste Instanz (Wurzel). Auch dieser
Punkt wird von der Software überprüft. Logischerweise kann die Software aber nur überprüfen, ob der
Zertifizierungspfad lückenlos ist. Um aber die verschiedenen Instanzen (CAs) des Pfades und das
Wurzelzertifikat zu sehen, muss der Nutzer den Zertifizierungspfad überprüfen. Ob die Wurzel
vertrauenswürdig ist (z.B. bei Signaturen aus anderen Ländern), obliegt der Entscheidung jedes Einzelnen.
3. Prüfung des Zertifikatsstatus
Der Zertifikatsstatus, d.h. die Information, ob ein Zertifikat zu dem Zeitpunkt der Signaturerstellung
gesperrt war, kann beim Herausgeber überprüft werden: Die Trustcenter stellen Sperrlisten zum Download
zur Verfügung oder haben eine Online-Zertifikatsabfrage bzw. bieten beides an. Wenn jemand seine
Signaturkarte verliert, kann er diese über einen 24-Stunden Service sperren lassen und wird sofort
gelistet.
Die Prüfung des Zertifikatsstatus erfordert ein aktives Eingreifen des Benutzers. Wenn es sich um eine
wichtige Unterschrift handelt (im Gegensatz zu einer Datensicherung), sollte vor der Signaturprüfung die
aktuelle Sperrliste heruntergeladen werden. Handelt es sich um ein Trustcenter, das eine Online-Abfrage
anbietet, kann der Zertifikatsstatus direkt über das Internet abgefragt werden.
Wichtig ist dabei auch immer der Signaturzeitpunkt. Beispiel: Eine Signatur wurde am 1.7.2004 erstellt und
wird dann ein Jahr später, am 1.7.2005 geprüft. Der Zertifikatsstatus sagt aus, dass das Zertifikat seit dem
1.12.2004 gesperrt ist (z.B. Karte verloren). Das bedeutet, dass die Signatur wahrscheinlich dennoch gültig
ist. Denn zum Zeitpunkt der Signaturerstellung war der Karteninhaber noch im Besitz seiner Karte. Der
Zeitpunkt wird bei der Signaturerstellung in die Signatur mit einbezogen. Allerdings kann immer nur die
Zeit benutzt werden, die das Betriebssystem des Computers zur Verfügung stellt. Bei bestehenden
Zweifeln ist es am sichersten, sich das Dokument noch einmal signieren bzw. einen Zeitstempel hinzufügen
zu lassen.
Die Mechanismen der Signaturprüfung sind im Kapitel Arbeiten mit den OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4 - Signaturverifikation beschrieben. Als Benutzer des Produktes
müssen Sie diesen Abschnitt gelesen haben, um das angezeigte Prüfergebnis des Produktes richtig
interpretieren zu können.
2.4
Rechtliche Aspekte der elektronischen Signatur
Die Verwendung der elektronischen Signatur ist gesetzlich geregelt. Für die Europäische Union trat im
Januar 2000 die Richtlinie über die Gemeinschaftlichen Rahmenbedingungen für elektronische Signaturen
in Kraft. Diese Richtlinie enthält die Verpflichtung für jedes Mitgliedsland, die Regelungen in nationales
Recht umzuwandeln. So werden elektronische Signaturen auch im internationalen Geschäftsverkehr
möglich.
In Deutschland sind die Rahmenbedingungen für rechtlich verbindliche elektronische Signaturen durch das
Signaturgesetz (SigG), die Signaturverordnung (SigV) sowie das Erste Gesetz zur Änderung des
Signaturgesetzes (1.SigÄndG) festgelegt.
Die wesentlichsten Punkte der europäischen Richtlinie
Die Gesetze kennen verschiedene Arten von Signaturen. Einfache Signaturen, fortgeschrittene Signaturen
und qualifizierte Signaturen. Eine Signatur wird als qualifiziert bezeichnet, wenn sie:
ausschließlich dem Unterzeichner zugeordnet ist,
die Identifizierung des Unterzeichners ermöglicht,
mit Mitteln erstellt wird, die nur der Unterzeichner kontrolliert,
jede nachträgliche Änderung der signierten Daten erkennbar macht
und auf einem qualifizierten Zertifikat beruht.
Ein qualifiziertes Zertifikat wird nur von einem qualifizierten Zertifizierungsdiensteanbieter (Trustcenter)
ausgestellt. Dabei gelten ganz besonders strenge Anforderungen hinsichtlich der Sicherheit der
Schlüsselerstellung und der Organisation des Trustcenters. Die Einhaltung der gesetzlichen Vorschriften
durch die Trustcenter wird von einer nationalen Behörde kontrolliert. In Deutschland ist das die
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur),
im Internet unter www.bundesnetzagentur.de. Dort finden Sie auch eine Liste der qualifizierten und
akkreditierten Trustcenter, die aktuellen Signaturgesetze und weitere Informationen zur Signatur.
Die Rechtswirkung elektronischer Signaturen
Qualifizierte Signaturen ...
erfüllen die Anforderungen in Bezug auf elektronische Daten genauso wie die handschriftliche
Unterschrift Anforderungen in Bezug auf Daten erfüllt, die auf Papier vorliegen.
sind vor Gericht als Beweismittel zugelassen.
... heißt es in den europäischen Richtlinien. Inwiefern diese Vorgaben in nationales Gesetz umgewandelt
wurden, ist in jedem Land etwas unterschiedlich.
Aber es bedeutet, dass elektronische Signaturen der eigenhändigen Unterschrift weitgehend gleichgestellt
sind. In Deutschland ist dies durch die Änderung des § 126 BGB über die Schriftform umgesetzt worden.
Darin wird bestätigt, dass die Schriftform eines unterschriebenen Dokuments mit der qualifizierten
Signatur und einem elektronischen Dokument ersetzt werden kann.
Allerdings gibt es auch Ausnahmen. In besonders empfindlichen Bereichen ist die elektronische Signatur
nicht erlaubt, z.B.:
Kündigung von Arbeitsverhältnissen
Zeugnisse
Bürgschaften
Notarielle Beurkundungen
Außerdem sind qualifizierte Signaturen vor Gericht als Beweis zugelassen, können aber eine Urkunde nicht
ersetzen. Dies liegt in der Definition einer Urkunde begründet. Der Beweiswert ist aber so hoch
einzustufen (Siehe § 126 BGB), dass sie einem Urkundenbeweis sehr nahe kommen dürfte.
Anerkennung der verwendeten kryptografischen Algorithmen
Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA)
veröffentlicht jährlich eine Übersicht über die Algorithmen und zugehörigen Parameter, die zur Erzeugung
von Signaturschlüsseln, zum Hashen zu signierender Daten und zur Erzeugung und Prüfung qualifizierte
elektronischer Signaturen als geeignet anzusehen sind. Die aktuelle Fassung des Dokuments können Sie
von den Webseiten der BNetzA
herunter laden.
Die folgende Tabelle fasst die Eignung der Hashfunktionen zusammen:
geeignet bis Ende
2007
(Übergangsfrist bis
Ende Juni 2008)
Erzeugung
qualifizierter
Zertifikate*:
geeignet bis
Ende 2009
Erzeugung
geeignet bis
qualifizierter
Ende 2010
Zertifikate**:
geeignet bis Ende 2010
geeignet bis
Ende 2015
SHA-1
SHA-1
SHA-1
SHA-224
SHA-256, SHA(SHA-1, RIPEMD- 384, SHA-512
160)***
RIPEMD-160
geeignet bis
Ende 2018
* d.h. zur Erzeugung qualifizierter Zertifikate, nicht aber zur Erzeugung und Prüfung anderer qualifiziert
signierter Daten.
** d.h. zur Erzeugung qualifizierter Zertifikate bei mindestens 20 Bit Entropie in der Seriennummer, nicht
aber zur Erzeugung und Prüfung anderer qualifiziert signierter Daten.
*** ausschließlich zur Prüfung qualifizierter Zertifikate.
Für den RSA Algorithmus und die zugehörigen Schlüssellängen hat das Bundesamt für Sicherheit in der
Informationstechnik die folgenden Vorgaben herausgegeben:
Zeitraum
Parameter
bis Ende 2007
bis Ende 2008
(Übergangsfrist bis
Ende März 2008)
bis Ende 2009
bis Ende 2010
bis Ende 2018
n
1024 (Mindestw.)
1536 (Mindestw.)
1728 (Mindestw.)
1976 (Mindestw.)
2048 (Empf.)
1280 (Mindestw.)
Die folgende Tabelle fasst die Bitlängen für den DSA (Digital Signature Algorithm) basierend auf den
elliptischen Kurven zusammen:
Zeitraum
Parameter
bis Ende 2007
bis Ende 2008
bis Ende 2009
bis Ende 2015
p
1024 (Mindestwert)
1280 (Mindestwert)
1536 (Mindestwert) 2048
2048
q
160
160
160
256
224
bis Ende 2018
3 Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 ist ein Produkt zum Erzeugen und Verifizieren
fortgeschrittener und qualifizierter elektronischer Signaturen sowie zum Ver- und Entschlüsseln von
Dokumenten. Die folgenden Abschnitte beschreiben die Sicherheitsmerkmale, die Ihnen durch die
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 zur Verfügung gestellt werden. Der genaue
Wortlaut kann dem durch das BSI veröffentlichten Zertifizierungsreport in englischer Sprache für das
Produkt entnommen werden.
Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit Zertifikaten unter
Verwendung eines Kartenterminals und einer Smartcard
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 bieten die Funktion zur Berechnung von
kryptographischen Prüfsummen (Hashwerten) nach den Algorithmen SHA-1, SHA-224, SHA-256, SHA-384,
SHA-512 und RIPE-MD 160. Der korrekte Algorithmus wird von der Anwendung automatisch festgelegt. Um
bei Bedarf diese Einstellungen anwenderspezifisch vornehmen zu können, sind entsprechende
Einstellungen in der Registrydatei notwendig. Die Algorithmen SHA-256, SHA-384 und SHA-512 werden von
der
Bundesnetzagentur
gemäß
dem
Algorithmenkatalog
vom
30.12.2011
unter
www.bundesnetzagentur.de/cln_1912/DE/Sachgebiete/QES/Veroeffentlichungen/Algorithmen/algorithmen_
node.html bis Ende 2018 (und der Algorithmus SHA-224 bis Ende 2015) als geeignete Algorithmen für die
Hashwertberechnung bei qualifizierten elektronischen Signaturen eingestuft.
Im nächsten Schritt wird der berechnete Hashwert von einer Chip-Karte verwendet, um nach dem RSA bzw.
ECDSA Verfahren eine elektronische Signatur zu erzeugen. Bei der Signaturerzeugung können Sie auf den
OpenLimit SignCubes Viewer zurückgreifen, um die Daten, die Sie signieren möchten, in einer
rechtsverbindlichen Art und Weise anzuzeigen.
Bei der Erstellung der Signaturdatei können automatisch eine OCSP-Antwort, ein Zeitstempel sowie
Attributzertifikate aufgenommen werden, um diese bei der Signaturverifikation zu verwenden. Das
verwendete Signaturzertifikat wird immer automatisch in die Signaturdatei aufgenommen, um eine
eindeutige Identifikation des Signaturerzeugers sicherzustellen.
Verwenden Sie stets einen Kartenleser mit sicherer PIN-Eingabe und qualifizierte Chipkarten. Sie
benötigen eine gültige Lizenz ab Modus 2 für das Produkt, um diese Sicherheitsfunktion nutzen zu können.
Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die
Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 bieten die Funktion zur Prüfung von
Signaturen an beliebigen Dateien, deren kryptographische Prüfsummen (Hashwerte) nach den Algorithmen
SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 berechnet wurden. Dabei wird eindeutig
erkennbar, auf welche Daten sich die elektronische Signatur bezieht. Das Produkt teilt Ihnen mit, ob der
Originalhashwert und der Verifikationshashwert identisch sind oder nicht, d.h. ob die Daten verändert
wurden oder nicht.
Für qualifizierte Signaturen ist der Hashalgorithmus SHA-1 ab 01.07.2008 nicht mehr zulässig. Für die
Erzeugung anderer z.B. fortgeschrittener Signaturen kann der Algorithmus SHA-1 weiterhin zum Einsatz
kommen.
Bei der Signaturprüfung wird aus dem Signaturzertifikat das Herausgeberzertifikat ermittelt und die
dazugehörige Sperrliste vom lokalen Datenträger geladen. Innerhalb der Sperrliste wird überprüft, ob ein
entsprechender Eintrag für das Zertifikat vorhanden ist. War das Zertifikat zum Zeitpunkt der
Signaturerzeugung bereits gesperrt, wird Ihnen dies angezeigt.
Sie haben die Möglichkeit, eine OCSP-Abfrage zum Signaturzertifikat durchzuführen. Das Ergebnis der
OCSP-Abfrage wird Ihnen in einer Statusmeldung angezeigt.
Wurden bei der Signaturerstellung die Optionen zur automatischen OCSP-Abfrage, Erstellung eines
Zeitstempels sowie das Mitsignieren von Attributzertifikate eingestellt, so werden diese Informationen bei
der Signaturprüfung automatisch angezeigt.
Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. Für eine korrekte
Zertifikatsprüfung anhand der Sperrlisten sollten Sie regelmäßig die aktuellen Sperrlisten laden.
Erkennung von Manipulationen an Programm-Modulen
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 bieten die Funktion zum Erkennen von
Manipulationen an den ausgelieferten Bibliotheken und ausführbaren Dateien. Das Prüfmodul ermittelt die
Hashwerte aller Bibliotheken und ausführbaren Dateien und vergleicht diese mit den Signaturen der
einzelnen Dateien. Bei Abweichungen werden die OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 deaktiviert und Sie werden durch eine Textmeldung informiert.
Es wird automatisch sichergestellt, dass das Prüfmodul nur von einer berechtigten Anwendung geladen
werden kann. Das bedeutet, dass diese Anwendung mit dem gleichen Schlüssel signiert sein muss wie das
auf Ihrem Rechner installierte Produkt.
Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, werden die OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4 deaktiviert. Der sichere Zustand der Anwendung ist nicht mehr
gewährleistet, da eine Manipulation vorgenommen wurde. Mit einer Textmeldung werden Sie auf diesen
Zustand hingewiesen.
Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten.
Anzeige der zu signierenden oder bereits signierten Daten
Der in den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 enthaltene OpenLimit SignCubes
Viewer bietet die Funktion, Inhalte, die angezeigt werden sollen, eindeutig darzustellen. Der OpenLimit
SignCubes Viewer sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhalten ist.
Weiterhin werden Sie informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind.
Bei der sicheren Anzeige der Datei (PDF-, Text- oder TIFF Format) werden die folgenden Arbeitsschritte
vorgenommen: Zunächst wird das Format geprüft. Handelt es sich um ein unbekanntes Format, wird eine
entsprechende Fehlermeldung ausgegeben, die den Hinweis enthält, dass diese Datei nicht dargestellt
werden kann. Werden aktive bzw. verdeckte Inhalte in der Datei erkannt, wird Ihnen eine Warnmeldung
angezeigt.
Der OpenLimit SignCubes Viewer kann Dokumente anzeigen, die der PDF Spezifikation 1.7 entsprechen
(Abweichungen von der PDF Spezifikation werden weiter unten in diesem Kapitel aufgelistet). Die TIFF
Erkennung richtet sich nach der Adobe TIFF Spezifikation 6.0. Für die Erkennung von Textdokumenten
gelten die folgenden Regeln:
Die folgenden Zeichen werden von dem OpenLimit SignCubes Viewer untersucht, um zu erkennen, dass es
sich bei dem vorliegenden Dokument um ein Textdokument handelt.
a)
b)
c)
d)
e)
f)
g)
das NULL Byte (0x00)
die Zeichen TAB (0x09), CR (Cariage Return, 0x0d) und LF (Line Feed, 0x0a)
die Zeichen von 0x01 bis 0x1f mit Ausnahme der unter a) und b) angegebenen Zeichen
die Zeichen von ' ' bis '~' (0x20 bis 0x7e)
die deutschen ANSI-Umlaute (0xc4 (Ä), 0xd6 (Ö), 0xdc (Ü), 0xe4 (ä), 0xf6 (ö), 0xfc (ü))
die deutschen DOS Umlaute (0x81 (ü), 0x84 (ä), 0x8e (Ä), 0x94 (ö), 0x99 (Ö), 0x9a (Ü))
alle restlichen Zeichen
Die folgenden Regeln für die Erkennung von Textdateien durch den OpenLimit SignCubes Viewer werden
formuliert:
Eine Sequenz von Zeichen der Kategorie a) ist am Ende einer Datei zulässig. Ein Zeichen der
Kategorie a) innerhalb der Datei ist zulässig, mit Ausnahme der Erläuterung aus dem
vorhergehenden Satz. Das Vorkommen von Zeichen der Kategorie a) innerhalb der Datei und am
Ende der Datei ist nicht zulässig.
Tritt mehr als ein Zeichen der Kategorie c) auf, handelt es sich nicht um eine Textdatei. Wenn
bereits 2 Zeichen der Kategorie a) gefunden wurden, sind Zeichen der Kategorie c) nicht erlaubt.
Liegt die Gesamtanzahl der Zeichen innerhalb der Datei aus Kategorie b), d), e) und f) unter
80%, handelt es sich nicht um eine Textdatei.
Weiterhin werden Warnungen durch den OpenLimit SignCubes Viewer generiert, wenn eines der
folgenden Szenarien zutrifft.
Die Kategorie g) ist nicht leer. In diesem Falle wird die folgende Warnung angezeigt: "Die Datei
enthält Zeichen, die nicht eindeutig darstellbar sind!"
Die Kategorien e) und f) sind beide nicht leer. In diesem Falle wird die folgende Warnung
angezeigt, wenn nicht bereits das vorhergehende Szenario zutrifft: "Die Datei enthält sowohl
'DOS'- als auch 'Windows'-Umlaute. Eine eindeutige Identifikation der korrekten Darstellung ist
nicht möglich."
Wenn Zeichen der Kategorie a) und/oder c) in dem Dokument vorhanden sind, wird die folgende
Warnmeldung angezeigt: "Die Datei enthält Zeichen, die nicht eindeutig darstellbar sind!"
Hinweis: Das hexadezimale Zeichen 0x00 wird wie folgend dargestellt: <0x00>. Das hexadezimale
Zeichen 0x7F wird wie folgend dargestellt: <0x7f02>. Das Zeichen 0x00 führt zwar zu einer
Warnmeldung des Viewers, es wird jedoch im Analysedialog keine gesonderte Warnmeldung
ausgegeben, da dieses Zeichen in jedem Zeichensatz eine eindeutige Darstellung hat.
Der OpenLimit SignCubes Viewer verarbeitet in PDF Dateien keine aktiven Code-Elemente, wie etwa JavaScript oder Multimedia-Objekte. Da das PDF Format die Einbettung verschiedener Ansichten ein und
desselben Objektes erlaubt, zeigt der OpenLimit SignCubes Viewer grundsätzlich nur die Standard-Ansicht
für diese Objekte an. Das bedeutet, dass Sie bei vorhandenen alternativen Darstellungen von Objekten
grundsätzlich die Analysefunktionen des OpenLimit SignCubes Viewers benutzen müssen, um
festzustellen, ob die alternativen Darstellungen Elemente enthalten, die den Inhalt des Dokuments
verfälschen und Sie evtl. nicht bereit wären, diese Dokumentinhalte zu signieren.
Die PDF Anzeige des OpenLimit SignCubes Viewers unterstützt das Dokumentformat PDF 1.7. Wenn Sie ein
PDF Dokument mit dem OpenLimit SignCubes Viewer untersuchen, sollten Sie sicher stellen, dass die
Angaben der PDF-Versionsnummer in dem Dokument der Version 1.7 oder darunter entspricht. Versionen
nach der PDF-Version 1.7 können in dem Viewer nicht zweifelsfrei dargestellt werden, da spätere Versionen
Elemente enthalten können, die vom Viewer nicht erkannt und auch nicht dargestellt werden können.
Der Viewer enthält einige Abweichungen zu diesem Standard (Dokumentformat 1.7), die Sie kennen
sollten:
Der OpenLimit SignCubes Viewer unterstützt keine Transparenz.
Der OpenLimit SignCubes Viewer zeigt grundsätzlich die Standardansicht von PDF Objekten an.
Das PDF Format erlaubt die Angabe von alternativen Ansichten eines Objektes, die Ansicht kann
z.B. von der Bildschirmauflösung abhängig sein. In diesem Falle werden Sie von dem Produkt
gewarnt und haben die Möglichkeit, die Mittel des OpenLimit SignCubes Viewer zu verwenden,
um die alternativen Darstellungen zu untersuchen.
Der OpenLimit SignCubes Viewer unterstützt keine Multimedia-Elemente. Die Möglichkeit, z.B.
animierte Flash-Filme anzuzeigen wird von dem Produkt nicht unterstützt. In diesem Falle wird
Ihnen die Standard-Darstellung (z.B. das Flash-Icon) angezeigt.
Die Funktion zur Anzeige von PDF Dateien hängt von der Lizenz ab, die Sie erworben haben. Wenn Ihre
Lizenz nicht erlaubt, PDF Dateien anzuzeigen, steht Ihnen diese Funktion auch nicht zur Verfügung.
Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel
Mindestanforderungen dargelegten Anforderungen sicherstellen. Es werden keine aktiven Inhalte wie
Scripte oder Programmcode interpretiert.
Schutz vor Hashwertmanipulation
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 bieten einen Schutz vor
Hashwertverfälschung während des Signaturvorganges. Dazu wird vor dem Signaturvorgang der Hashwert
über die zu signierenden Daten gebildet. Nach dem Signaturvorgang überprüft das Produkt die erzeugte
Signatur, indem es die Signatur mit dem öffentlichen Schlüssel des verwendeten Signaturzertifikates
verifiziert. Abschließend wird Ihnen eine Textmeldung angezeigt, dass die Daten signiert wurden.
Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel
Mindestanforderungen dargelegten Anforderungen sicherstellen.
Sicherstellung der Unversehrtheit des Produktes
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 bieten die Funktion zum Prüfen der
Integrität der installierten Programm-Module. Diese Sicherheitsfunktion wird durch das OpenLimit
SignCubes Integrity Tool realisiert. Das OpenLimit SignCubes Integrity Tool ist ein Java-Applet, das die
Hash-Werte an den ausgelieferten sicherheitsrelevanten Modulen überprüft und somit sicherstellt, dass
sich die Module noch in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden.
Für die Nutzung des OpenLimit SignCubes Integrity Tool ist das Java Plugin notwendig, das über die
Internetseite
www.openlimit.com/integritytool
geladen wird. Das Java Plugin sollte grundsätzlich erst nach positiver Prüfung der Signatur des Applets
gestartet werden.
Das Ergebnis der Prüfung durch das OpenLimit SignCubes Integrity Tool wird Ihnen in einer Textmeldung
angezeigt. Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, ist der sichere Zustand der
Anwendung nicht mehr gewährleistet und Sie sollten das Produkt auf Ihrem Rechner neu installieren.
Die Überprüfung der Unversehrtheit der Programm-Module sollte regelmäßig, d.h. mindestens einmal im
Monat, durchgeführt werden.
Stellen Sie sicher, dass sie die im Kapitel Betriebssysteme aufgeführte Version der Java Virtual Machine
installiert haben, um die korrekte Arbeitsweise dieser Funktion sicherzustellen.
Import und Verarbeitung von OCSP Abfragen
Das Produkt bietet Ihnen die Möglichkeit, über das OCSP (Online Certificate Status Protocol) Protokoll die
Gültigkeit eines Zertifikates zu prüfen. Dazu können Sie zu einem Zertifikat eine OCSP Anfrage mit Hilfe
des Produktes stellen und erhalten eine entsprechende Antwort von der CA, die das Zertifikat ausgestellt
hat. Sie sollten diese Möglichkeit immer dann nutzen, wenn Sie sich über die Gültigkeit eines Zertifikates
direkt beim Herausgeber versichern möchten.
Sie haben ebenfalls die Möglichkeit, das Produkt so zu konfigurieren, dass eine OCSP Antwort vom
Herausgeber automatisch zur elektronischen Signatur hinzugefügt wird. Damit geben Sie dem Empfänger
einer von Ihnen signierten Datei die Gewissheit, dass Ihr Zertifikat zum Zeitpunkt der Signaturerstellung
nicht gesperrt war. Es besteht die Möglichkeit, dass Sie sich die Einzelheiten der OCSP Antwort anzeigen
lassen. In diesem Falle haben Sie außerdem die Möglichkeit, das Zertifikat zu begutachten, welches die
OCSP Antwort unterschrieben hat.
Während des Imports der OCSP Antwort prüft das Produkt immer die mathematische Gültigkeit der
Antwort. Ist die mathematische Gültigkeit nicht erfolgreich geprüft worden, werden die OCSP Daten nicht
importiert. Wenn Sie die Details zur OCSP Antwort begutachten, prüft das Produkt automatisch die
gesamte Zertifikatskette bis hin zum Wurzelzertifikat auf der Basis von Sperrlisten. Stellen Sie in diesem
Falle sicher, dass Sie über aktuelle Sperrlisten auf Ihrem Rechner verfügen.
Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen
dargelegten Anforderungen erfüllen.
Import und Anbringen von Zeitstempeln
Das Produkt erlaubt Ihnen das automatische Anbringen eines Zeitstempels an Daten, die Sie signiert
haben. Dabei wird der Zeitstempel auf mathematische Korrektheit der Signatur überprüft und in die
Signaturdatei, die Sie erzeugt haben, mit aufgenommen. Kann die mathematische Korrektheit der Signatur
nicht erfolgreich geprüft werden, wird der Zeitstempel nicht mit aufgenommen und Ihnen wird eine
entsprechende Fehlermeldung angezeigt.
Um einen Zeitstempel automatisch zu den signierten Daten aufzunehmen, müssen Sie entsprechende
Konfigurationseinstellungen an dem Produkt vornehmen.
Prüfung von Zeitstempeln
Wenn Sie eine signierte Datei erhalten, die einen Zeitstempel beinhaltet, können Sie die Gültigkeit des
Zeitstempels überprüfen. Zu diesem Zweck haben Sie einen Dialog zur Verfügung, der Ihnen die
Einzelheiten des Zeitstempels anzeigt. In diesem Falle wird die Signatur des Zeitstempels basierend auf
Sperrlisten bis hin zum Wurzelzertifikat überprüft. Sie erhalten neben den eigentlichen Informationen, die
Ihnen der Zeitstempel bereitstellt, Informationen darüber, ob die Signatur des Zeitstempels selber gültig
ist. Stellen Sie vor der Verwendung dieser Funktion sicher, dass Sie über aktuelle Sperrlisten verfügen.
Freischalten und Verwendung von lizenzierten Funktionen
Gemeinsam mit dem Produkt und Ihrer Signaturkarte haben Sie einen Lizenzschlüssel erhalten, den Sie bei
der ersten Benutzung des Produktes eingeben müssen. Wenn Sie über keinen Lizenzschlüssel verfügen,
können sie das Produkt zum Prüfen von Signaturen verwenden, jedoch keine Signaturen erstellen. Der
Lizenzierungsassistent wird Sie durch den Lizenzierungsvorgang führen. Dabei werden keine vertraulichen
Daten verwendet oder mit dem Hersteller des Produktes ausgetauscht. Sie werden während der
Lizenzierung des Produktes aufgefordert, die vom Produkt erzeugte Lizenzdatei zu signieren. Dieser
Vorgang dient zu Ihrer Absicherung, damit Sie später sicher sein können, eine gültige Lizenz Ihres
Produktes zu verwenden.
Wenn Sie über keinen Lizenzcode verfügen, können Sie das Produkt zum Verifizieren von PKCS#7
Signaturen an TIFF und Text Dokumenten verwenden. Eine Signaturerzeugung ist in diesem Falle nicht
möglich.
Weiterhin werden die folgenden Modi in Abhängigkeit von der installierten Lizenz unterschieden:
Reader-Modus: Im Reader-Modus haben Sie die Möglichkeit, TIFF und Text Dokumente mit dem
Viewer zu betrachten. Die Prüfung von PKCS#7 Signaturen an diesen Dokumenten ist möglich,
allerdings können Sie mit einer solchen (kostenfreien) Lizenz keine Signaturen erzeugen.
Modus 2: Sie haben die Möglichkeit, TIFF und Text Dokumente zu betrachten und an diesen
Dokumenten PKCS#7 Signaturen zu erzeugen. Sie können PKCS#7 Signaturen an diesen
Dokumenten prüfen.
Modus 3: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente zu betrachten. Sie können
aber nur TIFF und Text Dokumente mit PKCS#7 Signaturen versehen. Sie haben die Möglichkeit,
PKCS#7 Signaturen an allen drei Dokumentformaten zu überprüfen. Darüber hinaus können Sie
in PDF Dateien eingebettete Signaturen verifizieren.
Modus 4: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7
Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. PDF
Signaturen können ebenfalls geprüft werden.
Modus 5: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7
Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. Sie können
zusätzlich eingebettete PDF Signaturen erzeugen und verifizieren.
Der in diesem Zusammenhang verwendete Begriff PKCS#7 Signatur bezieht sich ausschließlich auf
abgesetzte bzw. verbundene Signaturen. Signaturen innerhalb von PDF Dokumenten werden als PDF
Signaturen bezeichnet, auch wenn diese technisch auf dem PKCS#7 Format basieren.
Ein Upgrade der bei der Installation mitgelieferten Readerlizenz ist jederzeit möglich, allerdings benötigen
Sie für diesen Vorgang eine Signaturkarte. Das Einspielen einer Lizenz mit geringeren Rechten als die
bereits freigeschalteten Funktionen wird von dem Produkt verhindert bzw. nicht akzeptiert.
3.1
OpenLimit SignCubes Security Environment Manager
Der OpenLimit SignCubes Security Environment Manager ist das Kernstück des Softwarepaketes OpenLimit
SignCubes Basiskomponenten 2.5, Version 2.5.0.4. Er wird standardmäßig automatisch mit dem
Betriebssystem gestartet. Andernfalls kann der OpenLimit SignCubes Security Environment Manager über
Start/Programme/OpenLimit SignCubes/OpenLimit SignCubes Manager gestartet werden. Er stellt die
folgenden Funktionen zur Verfügung:
Berechnung des Hashwertes unter Verwendung einer der Algorithmen SHA-1, SHA-224, SHA-256,
SHA-384, SHA-512 und RIPE-MD 160.
Erzeugung der Signatur unter Verwendung einer Chipkarte und eines Kartenlesers mit sicherer
PIN-Eingabe
Hinzufügen eines Zeitstempels zu einer erzeugten elektronischen Signatur
Unterstützung von Attributzertifikaten bei der Erzeugung einer elektronischen Signatur
Unterstützung der OCSP Abfrage bei der Erzeugung einer elektronischen Signatur
Prüfung von Signaturzertifikaten über OCSP und Sperrlisten (CRL)
Anzeige der OCSP Informationen zu einem Zertifikat
Verarbeitung von Zeitstempelinformationen während der Signaturprüfung
Anzeige von Zeitstempelinformationen
Sicherstellung der Integrität und korrekten Installation der OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4
Bereitstellung eines Interfaces für die Signaturerzeugung, Prüfung und Produktkonfiguration
Im Prozess der Verifikation einer Signatur zeigt der OpenLimit SignCubes Security Environment Manager
die zur Verfügung stehenden Informationen des qualifizierten Attributzertifikates, das zu dem
qualifizierten Zertifikat zugehört, an. Der OpenLimit SignCubes Security Environment Manager ist in der
Lage zu erkennen, ob ein Attributzertifikat zu einem Zertifikat dazugehört und bringt es zur Anzeige,
sofern dieses vorhanden ist.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 arbeiten mit Daten im PKCS#7 Format
oder bei XML Daten im XML Signaturformat. Das bedeutet, dass das Produkt OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4 mit allen Anwendungen, die diese Formate unterstützen,
kompatibel ist.
Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 steuert die Kartenleser über
PC/SC oder CT-API Schnittstellen an. Einige Hersteller liefern separate Programmbibliotheken zur
Ansteuerung der sicheren PIN-Eingabe am Kartenleser. Die OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.4 verwenden diese Module, sofern diese vorhanden sind. Die durch die Software OpenLimit
SignCubes Basiskomponenten 2.5, Version 2.5.0.4 unterstützten Chipkarten finden Sie in dem Abschnitt
Chipkarten. Die Liste der unterstützten Kartenleser finden Sie in dem Abschnitt Kartenleser.
Es ist möglich, mehrere Kartenterminals und Signaturkarten parallel zu nutzen. Für jedes Kartenterminal
wird Ihnen ein entsprechendes Icon im System-Tray angezeigt.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 dürfen für die Erzeugung qualifizierter
(rechtskonformer) Signaturen nur mit SigG konformen Kartenlesern verwendet werden. Eine Liste dieser
Geräte wird durch die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
(Bundesnetzagentur) unter www.bundesnetzagentur.de veröffentlicht.
Die Signaturprüfung erfolgt für qualifizierte Zertifikate nach dem Kettenmodell und für nicht qualifizierte
Zertifikate nach dem Schalenmodell) von dem Zertifikat des Anwenders bis zu dem Wurzelzertifikat der CA
unter Einbeziehung der Sperrlisten.
Zusätzlich zu der Sperrlistenabfrage unterstützen die OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 das Online Certificate Status Protocol (OCSP). Das OCSP Protokoll ermöglicht die Online-Abfrage der
Gültigkeit eines Zertifikates. Diese Prüfung kann nur durchgeführt werden, wenn die Information zu dem
OCSP Responder verfügbar ist. Das bedeutet, dass das Zertifikat eine Information enthalten muss, die es
ermöglicht den OCSP Responder zu identifizieren.
Eine weitere Funktion des OpenLimit SignCubes Security Environment Managers ist die Arbeit mit
Zeitstempeln. Ein Zeitstempel kann eine Angabe im Zusammenhang mit der Signaturerstellung sein, aber
auch eine Information bei der Signaturprüfung. Weitere Informationen zu Zeitstempeldiensten erhalten Sie
in dem Abschnitt Zeitstempeldienste .
Die Verfahrensweise der Beschaffung der Informationen des OCSP, der Sperrlisten und des Zeitstempels
sind nicht Bestandteil der Evaluierung.
Hinweis: Die Signaturerzeugung besteht immer aus zwei Teilschritten: der Erzeugung des Hashwertes
und der Verschlüsselung des Hashwertes mit dem privaten Schlüssel des Zertifikates. Die
Verschlüsselung des Hashwertes findet immer auf der Chipkarte statt, so dass der private Schlüssel
Ihres Signaturzertifikates dem OpenLimit SignCubes Security Environment Manager zu keinem
Zeitpunkt der Signaturerzeugung und auch zu allen anderen Zeitpunkten nicht bekannt ist. Dieses
Verfahren stellt sicher, dass ein Missbrauch des privaten Schlüssels des Zertifikates ausgeschlossen
ist.
Die Verfahren zur Signaturerzeugung und Verifikation arbeiten mit dem RSA bzw. ECDS Verfahren für
Public Key Kryptographie. Die Stärke der verwendeten Schlüssel beträgt bis zu 2048 Bit und ist von der
eingesetzten Chip-Karte abhängig.
Wird eine elektronische Signatur erzeugt, so legt der OpenLimit SignCubes Security Environment Manager
bei der Codierung des PKCS#7 Datencontainers bzw. der XML Signatur die komplette Zertifikatsliste bis hin
zum Wurzelzertifikat in dem Container ab. Das bedeutet, dass somit immer die komplette Zertifikatsliste
für das prüfende Programm zur Verfügung steht und eine vollständige Signaturprüfung erfolgen kann.
Es gibt für den Anwender keine direkte Möglichkeit, den OpenLimit SignCubes Security Environment
Manager zur Signaturerzeugung, Signaturverifikation, Ver- und Entschlüsselung zu benutzen. Um diese
Funktionalitäten zu nutzen, steht Ihnen der OpenLimit SignCubes Viewer zur Verfügung.
Der OpenLimit SignCubes Security Environment Manager enthält Mechanismen, die sicherstellen, dass die
ausgelieferten Module nicht manipuliert wurden. Dazu überprüft der OpenLimit SignCubes Security
Environment Manager die Programmbibliotheken während des Ladevorganges auf die Korrektheit ihrer
Signaturen. Wenn Sie eine Fehlermeldung erhalten, dass die Signatur einer Programmbibliothek
beschädigt ist, deaktiviert der OpenLimit SignCubes Security Environment Manager den Zugang zu den
angebotenen Sicherheitsfunktionen. Die genauen Meldungen sind im Kapitel Fehlermeldungen des
OpenLimit SignCubes Security Environment Manager aufgeführt. Hilfeanleitungen in solchen Situationen
finden Sie ebenfalls in diesem Kapitel.
3.2
OpenLimit SignCubes Viewer
Der OpenLimit SignCubes Viewer ist Bestandteil der OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 und bietet dem Anwender die Möglichkeit, sich gemäß den Anforderungen des §17 Absatz 2 SigG die
zu signierenden Daten bzw. bereits signierte Daten anzeigen zu lassen. Der OpenLimit SignCubes Viewer
sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhalten ist. Weiterhin werden Sie
informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind.
Bei der Signaturprüfung zeigt der OpenLimit SignCubes Viewer die Daten an, auf die sich die zur Prüfung
ausgewählte Signatur bezieht.
Hinweis: Der OpenLimit SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen
und den Inhalt dieser Dokumente zu untersuchen. Die PDF Dokumente entsprechen der PDF 1.7
Spezifikation. Sie sollten sich in jedem Fall vergewissern, um welche Version es sich bei der
verwendeten PDF Datei handelt. Das TIFF Dokument kann eine mehrseitige TIFF Datei (Multipage-TIFF)
sein. Die dargestellten Dokumentformate hängen von der erworbenen Lizenz ab.
Werden unbekannte Inhalte oder Spezifikationen in den Dokumenten entdeckt, werden Sie von dem
OpenLimit SignCubes Viewer darüber informiert. Werden Inhalte gefunden, die als verdeckte oder aktive
Inhalte erkannt werden, sollten Sie das Dokument nicht signieren. Der OpenLimit SignCubes Viewer kann
diese Inhalte nicht entfernen sondern die Dokumente nur untersuchen. Wenn Sie das Dokument dennoch
signieren, unterschreiben Sie ein Dokument, welches Sie nicht in seiner richtigen Darstellungsform
betrachten konnten.
Wenn Sie ein farbiges TIFF Dokument signieren wollen, sollten Sie immer von der Möglichkeit der
Graustufen und Schwarz/Weiß Betrachtung des Dokuments innerhalb des OpenLimit SignCubes Viewer
Gebrauch machen. Der Abschnitt Arbeiten mit dem OpenLimit SignCubes Viewer zeigt Ihnen am Beispiel
einer manipulierten TIFF Datei, wie Sie verdeckte Inhalte in einem solchen Dokument erkennen können. In
diesem Kapitel erhalten Sie darüber hinaus eine Beschreibung der Darstellungsmöglichkeiten weiterer
Dateiinhalte wie Bilder, Java Scripte und Texte, die in PDF Dateien enthalten sein können.
Mit dem OpenLimit SignCubes Viewer können Dateien im Format PDF, TIFF und TEXT geöffnet werden,
wobei diese Dokumente mit einer PKCS#7 Signatur versehen sein können. In diesem Falle haben Sie die
Möglichkeit, die Gültigkeit der Signatur vom Viewer aus zu prüfen.
Der OpenLimit SignCubes Viewer kann als separates Programm oder innerhalb des
Signaturanforderungsdialoges gestartet werden. Innerhalb des Signaturanforderungsdialoges können Sie
den OpenLimit SignCubes Viewer nur dann verwenden, wenn auch ein PDF, Text oder TIFF Dokument als
das zu signierende Dokument erkannt wird. Der OpenLimit SignCubes Viewer wird als Programm
‘siqView.exe ‘ im Installationspfad der Anwendung installiert, weiterhin wird während der Installation eine
Verknüpfung im Startmenü des Betriebssystems erzeugt.
Der OpenLimit SignCubes Viewer kann die Dokumente zwar untersuchen und Warnungen zu den
Dokumenten generieren sowie Prüfdetails anzeigen, jedoch muss die Entscheidung, ob eine Signatur an
dem Dokument erzeugt werden soll, durch den Anwender selbst getroffen werden. Die inhaltliche
Interpretation eines angezeigten Dokuments obliegt vollständig dem Benutzer und kann durch den
OpenLimit SignCubes Viewer nicht geleistet werden.
Hinweis zu den anzeigbaren Dokumentformaten
Die anzeigbaren Dokumentformate hängen von der erworbenen Lizenz ab. Wenn Ihre Lizenz die Anzeige
von PDF Dokumenten nicht erlaubt, können solche Dokumente auch nicht dargestellt werden. Wenn Sie
über keinen Lizenzcode für das Produkt verfügen, können sie auch grundsätzlich keine elektronischen
Signaturen mit dem Produkt erzeugen. Mehr Informationen finden Sie in der Beschreibung der
Lizenzierungsvarianten unter Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.4.
Hinweis für die Signaturerzeugung:
Im folgenden Abschnitt wird erklärt, in welcher Situation der OpenLimit SignCubes Viewer ein
Verbunddokument bzw. eine abgesetzte Signatur erzeugt. Für die Erzeugung von Signaturen benötigen Sie
eine entsprechende Lizenz.
Ausgangsdatei
Erzeugtes Dateiformat
TIFF-Datei ohne Signatur
Signatur wird als abgesetzte Signaturdatei erzeugt.
Ausgangsdatei
Erzeugtes Dateiformat
Text-Datei ohne Signatur
Signatur wird als abgesetzte Signaturdatei erzeugt.
TIFF-Datei mit abgesetzter Signatur
Signatur wird der abgesetzten Signaturdatei hinzugefügt.
Text-Datei mit abgesetzter Signatur
Signatur wird der abgesetzten Signaturdatei hinzugefügt.
TIFF-Datei mit verbundener Signatur
Signatur wird dem Verbunddokument hinzugefügt.
Text-Datei mit verbundener Signatur
PDF Datei ohne Signatur oder mit eingebetteter In Abhängigkeit von der Lizenz wird entweder
Signatur
eine eingebettete PDF Signatur oder eine abgesetzte
PKCS#7 Signatur erzeugt.
3.3
PDF Datei mit abgesetzter Signatur
Signatur wird der abgesetzten Signatur hinzugefügt.
PDF Datei mit verbundener Signatur
OpenLimit SignCubes Integrity Tool
Wenn Sie in die Situation geraten, dass Sie nicht mehr sicher sind, ob Ihr Rechner nicht manipuliert wurde,
müssen Sie sicherstellen, dass das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4
noch wie vorgesehen arbeitet.
Um die Integrität des Produktes auf Ihrem Rechner sicherzustellen, sollten Sie sich nicht nur auf die
korrekte Arbeitsweise des OpenLimit SignCubes Security Environment Managers verlassen. Sie benötigen
ein unabhängiges Werkzeug, welches im Zweifelsfall in der Lage ist, von einem vertrauenswürdigen
Medium aus die Integrität des installierten Produktes auf Ihrem Rechner zu überprüfen.
Das OpenLimit SignCubes Integrity Tool überprüft die Hash-Werte an den installierten
sicherheitsrelevanten Programmbibliotheken. Es wird festgestellt, ob sich die Programmbibliotheken noch
in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden. Nach erfolgter Prüfung
wird ein Prüfbericht erstellt.
Dazu berechnet das Java-Applet die Hashwerte nach SHA-256 und vergleicht sie mit den OpenLimit Originalen. Sie können das Applet über die folgende URL aufrufen:
https://www.OpenLimit.com/integritytool
Weiterhin zeigt Ihnen das OpenLimit SignCubes Integrity Tool an, welche Chipkartenterminals und
Signaturkarten von Ihrer Installation unterstützt werden. Wenn Sie eine Signaturkarte verwenden
möchten, die von der aktuellen Installation nicht unterstützt wird, können Sie diese Unterstützung durch
ein Add-On Setup zu Ihrer derzeitigen Installation hinzufügen. Verwenden Sie in jedem Falle das OpenLimit
SignCubes Integrity Tool um zu überprüfen, ob die beabsichtigten Module Ihrer Installation hinzugefügt
worden sind.
Das OpenLimit SignCubes Integrity Tool bietet die Möglichkeit, Konfigurationen für Chipkarten zusätzlich
zu der Standardinstallation einzuspielen. Diese Konfiguration sind Initialisierungsdateien, die festlegen,
welcher Hash- und Signaturalgorithmus für die jeweilige Signaturkarte verwendet wird. Das OpenLimit
SignCubes Integrity Tool kennt alle möglichen Konfigurationen für die Signaturalgorithmen und prüft bei
dem Integritätscheck auch die verwendeten Algorithmen.
Weitere Informationen dazu finden Sie in dem Kapitel Arbeiten mit dem OpenLimit SignCubes Integrity
Tool
Das Applet OpenLimit SignCubes Integrity Tool ist signiert, die Signatur wird von der Java Virtual Machine
(JVM) geprüft. Sie müssen dem Zertifikat explizit vertrauen, mit dem das Applet signiert wurde. Die
Seriennummer
des
Zertifikates,
mit
dem
das
Applet
signiert
wurde,
lautet
[30927389024320750942604185761776278687] und wurde von VeriSign herausgegeben. Das Zertifikat ist
vom 27.05.2009 bis zum 27.05.2012 gültig. Für den Fall, dass das Zertifikat erneuert wird, veröffentlicht
OpenLimit die Seriennummer des aktuellen Zertifikats auf der Webseite.
Neben den im Kapitel Betriebssysteme genannten Voraussetzungen ist für die Abarbeitung des JavaApplets die korrekte Browserkonfiguration zur Verwendung der JVM notwendig.
Weitere Hinweise zur Arbeit mit dem Java-Applet erhalten Sie in dem Kapitel Arbeiten mit dem OpenLimit
SignCubes Integrity Tool.
Stellt das OpenLimit SignCubes Integrity Tool fest, dass sich die Programmbibliotheken nicht mehr in
ihrem Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher
sollten Sie jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen
wurde oder ein anderes Programm Ihren Rechner manipuliert hat.
Hinweis: Starten Sie das OpenLimit SignCubes Integrity Tool nur von der Webseite
https://www.OpenLimit.com/integritytool
und nach Prüfung des Server-Zertifikats.
Sie müssen als Nutzer das Prüfprogramm regelmäßig ausführen, um die Integrität des Produktes
sicherzustellen. Regelmäßig bedeutet in diesem Zusammenhang mindestens einmal im Monat. Weiterhin
müssen Sie die Integrität des Produktes auf Ihrem Rechner sicherstellen, sobald Sie den Verdacht haben,
dass die Programmdateien geändert wurden.
Falls Sie das Produkt über einen Download bezogen haben, sollten Sie in jedem Fall, bevor Sie das Produkt
zum ersten Mal anwenden, das OpenLimit SignCubes Integrity Tool ausführen, um die Korrektheit der
Installation zu verifizieren.
4 Konfiguration der OpenLimit SignCubes Basiskomponenten
In diesem Abschnitt werden Ihnen die Konfigurationsoptionen des Produktes OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4 dargelegt und auf die sichere Konfiguration des Produktes
eingegangen. Darüber hinaus werden Sie in jedem Abschnitt dieser Benutzerdokumentation Version 2.5.0.4
auf die sicheren Parameter bei der Konfiguration hingewiesen. Abweichende Konfigurationen sollten Sie
nach Möglichkeit nicht einsetzen, da unter Umständen der sichere Betrieb des Produktes nicht mehr
gewährleistet werden kann. Vor der Arbeit mit dem Produkt müssen Sie die Konfiguration der
Benutzereinstellungen des Produktes überprüfen, insbesondere, wenn Sie an einem Arbeitsplatz arbeiten,
an dem auch andere Benutzer Zugriff auf das Produkt haben.
Administration und Administratorrolle
Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 erlaubt die individuelle
Konfiguration der Benutzereinstellungen. Diese individuelle Konfiguration kann allerdings nur dann
vorgenommen werden, wenn Sie als Benutzer über Administratorrechte verfügen oder Ihnen ein
Administrator des Betriebssystems Administrationsrechte einräumt. Dies gilt daher nur für die
Betriebssysteme Windows XP und Windows Vista, da die individuelle Konfiguration des Produktes an Hand
der vorhandenen Nutzer vorgenommen wird.
Die Administration des Produktes ist also an die Administratorrolle des Betriebssystems geknüpft. Es wird
keine gesonderte Unterscheidung zwischen diesen beiden Rollen im Verlauf dieses Handbuches
vorgenommen. Wenn in diesem Handbuch von der Rolle des Administrators gesprochen wird, ist damit ein
Benutzer mit Administrationsrechten auf dem jeweiligen Rechner gemeint bzw. ein Benutzer, dem durch
den jeweiligen Administrator des Betriebssystems das Recht eingeräumt wurde, das Produkt individuell zu
konfigurieren.
Einräumen von Konfigurationsrechten an andere Benutzer
Sie können die Bindung an die Administratorrolle im Betriebssystem zur Konfiguration des Produktes
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 aufheben, indem Sie einen Wert in der
Registry ändern. Diese Änderung hat dann zur Folge, dass jeder Benutzer des Rechners eine individuelle
Konfiguration des Produktes vornehmen kann. Da das Produkt automatisch eine sichere Konfiguration
nach der Installation einnimmt, sollten Sie von dieser Option nach Möglichkeit keinen Gebrauch machen.
1.
2.
3.
4.
Öffnen Sie den Registry Editor des Betriebssystems.
Öffnen Sie den Schlüssel HKLM/Software/SignCubes/Options
Öffnen sie durch einen doppelten Klick auf den Eintrag Options den Wert User
Tragen Sie statt der vorkonfigurierten 0 eine 1 ein.
Mit diesem Eintrag haben Sie die Administratorrolle für das Produkt OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4, die durch das Betriebssystem vorgegeben ist, aufgehoben. Jetzt
kann jeder Benutzer individuelle Einstellungen vornehmen, die auch für jeden Benutzer separat verwaltet
werden. Durch diesen Mechanismus ist sichergestellt, dass keine separaten Administrationsrollen für das
Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 definiert sind.
4.1
Konfigurationsoptionen des OpenLimit SignCubes Security Environment Managers
Der OpenLimit SignCubes Security Environment Manager bietet zwei Menüs zur Konfiguration. Das erste
Kontextmenü des OpenLimit SignCubes Security Environment Managers wird beim Klicken auf das
OpenLimit Icon geöffnet. Das zweite Kontextmenü enthält spezifische Konfigurationsoptionen für die
jeweilige Chipkarte und wird im Kapitel Chipkarten Optionen behandelt.
Wenn Sie auf das Icon OpenLimit klicken, wird ein Kontextmenü geöffnet.
Hier sind Menüpunkte betreffend der Software gelistet:
Sperrlistenaktualisierung: Während der Signaturprüfung werden immer die aktuell auf dem
Rechner verfügbaren Sperrlisten verwendet. Daher sollten Sie in regelmäßigen Abständen (im
Normalfall täglich) diese Option nutzen, um aktuelle Sperrlisten auf Ihren Rechner herunter
zuladen. Zusätzlich zur Sperrlistenprüfung können Sie die Online - Prüfung nutzen, um den
Status des Signaturzertifikates zu ermitteln. Für die Online - Prüfung benötigen Sie eine
Internetverbindung. Diese wird durch den OpenLimit SignCubes Security Environment Manager
nicht automatisch hergestellt.
Eigenschaften: Hier werden Einzelheiten über die Software angegeben. Sie können sich die
installierten Module sowie deren Versionsnummern anzeigen lassen. Weiterhin können Sie
sehen, welche Funktionen Sie lizenziert haben. Für dieses Produkt tragen die Programm-Module
die Versionskennung 2.5.0.4.
Einstellungen: In diesem Menü können sie globale Einstellungen am OpenLimit SignCubes
Security Environment Manager vornehmen. Um diese Einstellungen vornehmen zu können,
benötigen Sie die Rechte eines Administrators.
Hilfe: Mit diesem Befehl wird die Benutzerdokumentation zu den OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4 geöffnet.
Info: Hier werden Copyright- und Versionsinformationen der Basiskomponenten angezeigt.
Beenden: Mit diesem Befehl wird der OpenLimit SignCubes Security Environment Manager
beendet. Dann kann keine Signaturerzeugung bzw. Signaturverifikation vorgenommen werden.
4.1.1
Option: Lizenzeinstellungen und Lizenzupgrade
Wenn Sie sich vergewissern wollen, welche Lizenz des Produktes Sie erworben haben, können Sie sich über
den Menüpunkt Eigenschaften des OpenLimit SignCubes Security Environment Managers die mit Ihrem
eingegebenen Lizenzcode verbundenen freigeschalteten Eigenschaften des Produktes anzeigen lassen. Ein
grünes Häkchen bedeutet, dass Sie die jeweilige Eigenschaft des Produktes lizenziert haben und Ihnen
diese damit zur Verfügung steht. Funktionen, die Ihnen nicht zur Verfügung stehen, werden Ihnen auch
nicht angezeigt.
Wenn Sie in dem Menüpunkt Eigenschaften des OpenLimit SignCubes Security Environment Managers auf
den Knopf Lizenzinhaber klicken, wird Ihnen das Zertifikat desjenigen Benutzers angezeigt, der die Lizenz
auf dem Rechner freigeschaltet hat. Wenn Sie selbst die Lizenz frei geschaltet haben, muss Ihr Zertifikat in
diesem Dialog angezeigt werden.
Wenn Sie mehr Funktionen des Produktes nutzen möchten als Sie mit dem Lizenzcode freigeschaltet
haben, können Sie einen entsprechenden Lizenzcode von der OpenLimit SignCubes AG oder einem ihrer
Vertriebspartner erwerben. Sie müssen in diesem Falle das Produkt nicht deinstallieren, sondern können
auf den Button Lizenz-Upgrade klicken. In diesem Falle wird der Lizenzmanager erneut gestartet und Sie
können über einen entsprechenden Lizenzcode die gewünschten Funktionen frei schalten.
Hinweis: Geben Sie die Installationspfade der OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 nicht im Netzwerk für andere Benutzer frei.
Vor Verwendung der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 sollten Sie nochmals
prüfen, ob die Lizenz korrekt ist, in dem Sie das OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 Icon, Eigenschaften anklicken und sich die verfügbaren Funktionen anzeigen lassen. Gleichfalls
sollten Sie das Zertifikat des Lizenzinhabers prüfen.
Wenn der Lizenzierungsassistent beim Start der OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 erscheint, ist keine Lizenzdatei vorhanden. Wenn dies trotz erfolgreich durchgeführter
Lizenzierung auftritt, wurde eventuell die Lizenzdatei gelöscht. In diesem Falle sollten Sie die Integrität
des Betriebssystems mit einem geeigneten Programm (z.B. Virenscanner) überprüfen und sicherstellen,
dass nicht unberechtigte Dritte auf Ihren Rechner zugreifen können.
4.1.2
Option: Allgemeine Einstellungen
Wenn Sie im Kontextmenü des OpenLimit SignCubes Security Environment Managers auf Einstellungen
geklickt haben, erscheint ein Dialog mit Registerkarten, die in den folgenden Abschnitten beschrieben
werden.
Hinweis: Sie können die Einstellungen an den Registerkarten nur dann ändern, wenn Sie auch über
Administrationsrechte verfügen. Für das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 ist keine spezielle Administratorrolle definiert. Weitere Erläuterungen finden Sie im Abschnitt
Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4.
Die folgenden Optionen können Sie hier einstellen:
Autostart des OpenLimit SignCubes Security Environment Managers: Setzen das Häkchen in
der Checkbox, wenn Sie möchten, dass der OpenLimit SignCubes Security Environment Manager
automatisch beim Start des Betriebssystems gestartet wird. Diese Option wird bei der
Installation der Software aktiviert. Wenn Sie dieses Verhalten nicht möchten, können Sie das
Häkchen entfernen.
Sprache: Hier wird Ihnen die aktuell eingestellte Sprache angezeigt. Das Produkt unterstützt die
Sprachen Deutsch und Englisch.
Signaturformat: Hier haben Sie die Möglichkeit, das Dateiformat für zu signierende Dokumente
einzustellen (Dokument und Signatur in einer Datei oder Dokument und Signatur in zwei
verschiedenen Dateien). Diese Option hat keine Auswirkungen auf die sichere Anzeigeeinheit,
d.h. der OpenLimit SignCubes Viewer erzeugt grundsätzlich PKCS#7 Signaturen (getrennte
Dateien). Die erzeugten Dokumentformate der sicheren Anzeigeeinheit sind im Kapitel
Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4
erläutert. Die Einstellung für XML-Signaturen wird wirksam, wenn die Signaturerzeugung der XML
Daten über eine Drittanwendung gestartet wird. Weitere Informationen dazu finden Sie in dem
Abschnitt XML Signaturen.
Attributzertifikate automatisch mitsignieren: Sofern dieser Haken gesetzt ist, werden bei der
Signaturerzeugung alle unter dem Ordner 'Eigene Dateien\Attribute Certificates' vorhandenen
Attributzertifikate dahingehend durchsucht, ob sie zu diesem Zertifikat dazu gehören. Falls dies
der Fall ist, wird das Attributzertifikat mitsigniert und dem Signaturzertifikat hinzugefügt.
Signaturen automatisch mit Zeitstempel versehen: Hier können Sie den Signaturdaten
automatisch einen Zeitstempel hinzufügen. Der Zeitstempel wird jedoch nicht mitsigniert, d.h.,
der Zeitstempel wird nicht durch die neu erstellte Signatur geschützt.
Signaturen automatisch mit OCSP-Status versehen: Mit der Aktivierung dieser Funktion wird
automatisch eine OCSP-Abfrage durchgeführt und das Abfrageergebnis wird den Signaturdaten
hinzugefügt. Die OCSP-Antwort wird nicht durch die neu erstellte Signatur geschützt.
Durch Anklicken des Buttons Ausgangskonfiguration werden die mit der Installation
vorgenommenen Voreinstellungen wieder hergestellt. Durch die Anwendung dieses Befehls
werden nur die Einstellungen für den aktiven Benutzer zurück gesetzt, nicht jedoch die
Einstellungen, die für alle Benutzer gelten.
Hinweis zur sicheren Konfiguration: Sie sollten den OpenLimit SignCubes Security Environment Manager
automatisch beim Start des Betriebssystems starten lassen. Es wird nur dann das Deaktivieren dieser
Option empfohlen, wenn das PC/SC Subsystem nach dem OpenLimit SignCubes Security Environment
Manager gestartet wird und dieser dadurch beim Start des Betriebssystems keine Kartenleser erkennt.
Das Speichern der Originaldaten und der Signatur in einer Datei oder die Erzeugung einer abgetrennten
Signaturdatei haben keinen Einfluss auf die Sicherheit des Produktes OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4.
Wenn Sie sich nicht sicher sind, ob sich Ihre Installation in der Originalkonfiguration befindet, verwenden
Sie bitte den Befehl Ausgangskonfiguration, um die von Ihnen vorgenommenen Änderungen zu verwerfen.
Hinweis für die Einstellungen des Signaturformats: Wenn Sie die Einstellungen so treffen, dass
Verbunddokumente beim Signaturvorgang erzeugt werden und Sie ein Dokument über die OpenLimit
SignCubes Shell-Extension signieren, erhalten Sie ein Dokument mit der Endung '*.p7m'. Wenn Sie nun
die Originaldaten ein weiteres Mal signieren möchten, werden Sie nach dem Namen der Ausgabedatei
über einen 'Datei speichern unter...' Dialog gefragt, da die Signatur nicht dem '.p7m' Dokument
hinzugefügt wird. Wenn Sie den Dateinamen beibehalten, wird das Originaldokument überschrieben. Sie
können aber auch einen anderen Dateinamen angeben, unter dem dieses Dokument dann abgelegt wird.
Die OpenLimit SignCubes Shell-Extension ist kein Bestandteil der OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.4, greift aber über eine ebenfalls zertifizierte Schnittstelle auf die Funktionen des
Produktes zurück.
4.1.3
Option: Verzeichnisse
Sie haben im Register Verzeichnisse die Möglichkeit, die Verzeichnisse für Sperrlisten und
Stammzertifikate, die von der Software verwendet werden, umzukonfigurieren. Machen Sie von dieser
Möglichkeit nur dann Gebrauch, wenn Sie sich sicher sind, dass Sie verstanden haben, wozu diese
Verzeichnisse von der Software genutzt werden.
Unter dem Register Verzeichnisse können die Speicherpfade für sicherheitsrelevante Dateien festgelegt
werden. Standardmäßig steht der Pfad auf C:\Programme\OpenLimit\Data\ und dann der Name des
jeweiligen Ordners.
Was bedeutet sicherheitsrelevant? Beispiel Sperrlisten: Das Produkt OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4 verwendet bei der Prüfung von Signaturen Sperrlisten, um die
Gültigkeit des Signaturzertifikates bei der Signaturerzeugung zu überprüfen. Die Sperrlisten, die Sie
manuell vom Sperrlistenverteilungspunkt abrufen, werden im Verzeichnis für Sperrlisten gespeichert.
Wenn Sie die Verzeichnisse für die Sperrlisten ändern, sollten Sie entweder die in diesem Verzeichnis bei
der Softwareinstallation abgelegten Dateien ebenfalls in das geänderte Verzeichnis kopieren oder nach
der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann die korrekte
Signaturprüfung durch das Produkt nicht gewährleistet werden.
Sperrlisten: Certificate Revocation Lists (CRLs) sind Listen mit gesperrten Zertifikaten, die von
den Trustcentern herausgegeben werden. Anhand der Sperrlisten wird geprüft, ob das
verwendete Signaturzertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt war.
PKDs: (Public Key Directories) sind Verzeichnisse, in denen die öffentlichen Schlüssel, d.h., die
Zertifikate von verschiedenen Herausgebern gelistet sind. Hier sind derzeit die von der
Bundesnetzagentur herausgegebenen CA-Zertifikate enthalten.
CTLs: (Certificate Trust Lists) sind Verzeichnisse, in denen vertrauenswürdige Wurzelzertifikate
abgelegt werden können. Das Zertifikat der Bundesnetzagentur, dem wir generell vertrauen, ist
in der Software integriert. Wenn Sie einer anderen Wurzel vertrauen möchten, speichern Sie das
Zertifikat in diesem Ordner und legen Sie die CA-Zertifikate auch unter den PKDs ab.
Wenn sie die Verzeichniseinstellungen falsch konfigurieren oder nicht alle notwendigen Schritte
vornehmen, damit die Verzeichnisse von den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4
richtig genutzt werden können, ist ein scheinbares Fehlverhalten der Software möglich. Durch Ihre
Einstellungen konfigurieren Sie selbst, welchen Zertifikaten Sie vertrauen und welchen nicht.
Hinweis: Wenn Sie die Verzeichnisse ändern, dürfen die neuen Verzeichnisse nicht schreibgeschützt
sein, da sonst das Ablegen von Sperrlisten in dem Verzeichnis fehlschlägt.
Hinweis für die sichere Konfiguration: Sie sollten die Einstellungen der Verzeichnisse nicht ändern.
Wenn Sie die Verzeichnisse ändern, beeinflussen Sie das Sicherheitsverhalten des Produktes. Sie
sollten diese Einstellungen nur ändern, wenn Sie die obigen Ausführungen richtig verstanden haben.
4.1.4
Option: PIN-Abfrage
In diesem Register können Sie die Optionen für die PIN-Eingabe konfigurieren. Gehen Sie sensibel mit den
einstellbaren Optionen um, da ein Missbrauch Ihrer Signaturkarte durch falsches oder unachtsames
Vorgehen mit diesen Optionen erleichtert werden könnte.
In diesem Dialog sind Optionen aufgeführt, welche die Eingabe oder Abfrage der PIN (personal
identification number) betreffen:
Sichere PIN-Eingabe automatisch verwenden: Diese Option garantiert, dass bei Kartenlesern,
welche die sichere PIN-Eingabe unterstützen, diese auch automatisch verwendet wird. Diese
Option kann in der ausgelieferten Konfiguration nicht abgewählt werden und sollte für eine
sichere Konfiguration des Produktes immer aktiviert sein. Wenn Sie nicht die sichere PINEingabe verwenden, steigt die Gefahr des Ausspähens der PIN durch entsprechende Programme.
Karte für mehrere Arbeitsschritte öffnen: Wenn Sie größere Arbeitsaufgaben vor sich haben,
die eine ständige Wiederholung der PIN-Eingabe erfordern, können Sie auch die Karte öffnen.
Dann wird die PIN einmalig beim ersten Signaturvorgang abgefragt. Weitere Eingaben sind nicht
mehr erforderlich in Abhängigkeit von Ihren weiteren Einstellungen. Dies ist beispielsweise sehr
praktisch, wenn man eine Vielzahl von Dokumenten entschlüsseln muss. Auch die Signatur von
zahlreichen Dateien kann so zeitsparend erledigt werden.
Diese Funktion ist für die in dem Kapitel Chipkarten genannten Karten nur für die fortgeschrittene
Signatur verfügbar.
PIN abfragen: Falls Sie die Karte für mehrere Arbeitsschritte öffnen wollen, haben Sie zusätzlich
die Möglichkeit, diese Option einzuschränken.
Für qualifizierte Signaturen, fortgeschrittene Signaturen und für Entschlüsselung stehen folgende
Varianten zur Verfügung:
bei jeder Verwendung: Jedes Mal wird die PIN abgefragt.
automatisch mit Begrenzung: Je nach Begrenzung ist die Benutzung eingeschränkt.
keine weitere Abfrage: Die PIN muss nicht mehr eingegeben werden.
Beispiel: Wenn Sie nur Entschlüsseln möchten, dann stellen sie die Auswahl bei qualifizierten und
sonstigen Signaturen auf bei jeder Verwendung und bei Entschlüsseln auf keine weitere Abfrage.
Begrenzung: Haben Sie oben auf automatisch mit Begrenzung gestellt, können Sie unten eine
Begrenzung nach Anzahl oder Zeit eingeben. Wenn Sie die Parameter gesetzt haben und
während des Arbeitens mit der Karte die Parameter ändern, müssen Sie die Karte ziehen und
neu in das Chipkarten-Terminal stecken, damit die geänderten Einstellungen wirksam werden.
Sicherheitshinweis: Wenn Sie die Optionen so konfigurieren, dass Sie keine PIN mehr eingeben müssen,
gehen Sie ein erhöhtes Risiko des Missbrauchs Ihrer Signaturkarte ein. Sie sollten diese Optionen nur
dann verwenden, wenn Ihr Rechner sicher frei von bösartiger Software wie Viren und Backdoor
Programmen ist. Weiterhin sollten Sie Ihre Signaturkarte immer aus dem Kartenleser entfernen, sobald
Sie den Arbeitsplatz verlassen. Wenn Sie diese Mindestsicherheitsanforderungen nicht befolgen,
können unberechtigte Dritte mit Ihrer Karte Signaturen erzeugen, die vor dem Gesetzgeber den Wert
Ihrer persönlichen Unterschrift haben. Vor diesen Szenarien können Sie sich nur selbst durch den
verantwortungsvollen Umgang mit Ihrer Signaturkarte schützen.
Hinweis: Das 'Offen Halten' für mehrere Arbeitsschritte wird nur von Chip-Karten unterstützt, die durch
das Trust-Center in dieser Konfiguration ausgeliefert werden.
Hinweis zur sicheren Konfiguration: Die Option Sichere PIN-Eingabe automatisch verwenden muss
aktiviert sein. Diese Option zwingt das Produkt, die sichere PIN-Eingabe automatisch zu verwenden.
Die Option Karte für mehrere Arbeitsschritte öffnen sollte deaktiviert sein. Wenn Sie die Karte für mehrere
Arbeitsschritte geöffnet halten, gehen Sie das Risiko eines Missbrauchs Ihrer Karte durch Dritte ein. Dieses
Risiko kann durch die Software nur bedingt abgewehrt werden. In diesem Falle gelten die erhöhten
Sicherheitsauflagen der Chipkarten für diesen Betriebsmodus. Mehr Informationen finden Sie im Abschnitt
Chipkarten.
4.1.5
Option: Zertifikate
Im Register Zertifikate können Sie Einstellungen für den Umgang mit den vorhandenen Zertifikaten
vornehmen.
Wenn Sie die Option bei Signatur nur verfügbare Zertifikate anzeigen wählen, werden automatisch nur
die Zertifikate verwendet, die auf der eingelegten Chipkarte zur Verfügung stehen. Wenn Sie diese Option
deaktivieren, werden ebenfalls auch Zertifikate anderer Personen berücksichtigt, die an diesem
Arbeitsplatz arbeiten. Sie beeinflussen also den Umgang mit den Zertifikaten durch das Produkt.
Hinweis: Grundsätzlich wird die Erzeugung einer elektronischen Signatur immer auf der eingelegten
Chipkarte vorgenommen. Wenn Sie auch Zertifikate anderer Personen bei der Signaturerzeugung
angezeigt bekommen, bedeutet dies nicht, dass Sie auch eine Signatur mit diesem Zertifikat erzeugen
können. Das Produkt wird Ihnen lediglich mitteilen, dass Sie die entsprechende Chipkarte in das
Kartenterminal einlegen müssen.
Die Option SmartCard-Zertifikate automatisch registrieren bedeutet, dass die auf der Chipkarte
vorhandenen Zertifikate automatisch im Microsoft Zertifikatsspeicher registriert werden.
Die Option Automatisch registrierte Zertifikate ständig verfügbar halten bedeutet, dass die von der
Chipkarte registrierten Zertifikate auch nach der Entnahme aus dem Chipkarten Terminal im Microsoft
Zertifikatsspeicher verfügbar bleiben. Wenn Sie diese Option deaktivieren, werden die vorher registrierten
Zertifikate automatisch wieder deregistriert.
Hinweis zur sicheren Konfiguration: Die angebotene Option bei Signatur nur verfügbare Zertifikate
anzeigen hat keinen Einfluss auf das Sicherheitsverhalten des Produktes.
Die angebotene Option SmartCard-Zertifikate automatisch registrieren hat keinen Einfluss auf das
Sicherheitsverhalten des Produktes.
Die angebotene Option Automatisch registrierte Zertifikate ständig verfügbar halten hat keinen Einfluss
auf das Sicherheitsverhalten des Produktes.
4.1.6
Option: Algorithmen
Im Register Algorithmen haben Sie die Möglichkeit, den bei der Signaturerzeugung zu verwendenden
Hashalgorithmus einzustellen bzw. die für die Ver- und Entschlüsselung zum Einsatz kommenden
Verschlüsselungsalgorithmen auszuwählen.
Die für die Signaturerzeugung zur Verfügung gestellten Algorithmen entsprechen dem Signaturgesetz.
Hinweis zur sicheren Konfiguration: Grundsätzlich sollten Sie die standardmäßig eingestellten und
empfohlenen Algorithmen verwenden. Das ist für die Signaturerzeugung SHA-256 und für die Ver- und
Entschlüsselung 3DES. Der Hash-Algorithmus SHA-1 steht zur Einstellung zur Verfügung, ist aber für den
Einsatz qualifizierter Signaturen ab 01.07.2008 nicht mehr zulässig.
Für die Ver- bzw. Entschlüsselung sollten Sie nur dann andere Einstellungen vornehmen, wenn es aus
Gründen der Kompatibilität mit anderen Programmen notwendig ist.
4.2
Chipkarten Optionen
Mit einem Klick auf das gelbe Chipsymbol (vorausgesetzt die Karte befindet sich im Kartenleser) wird das
Kontextmenü geöffnet. Die Menüpunkte betreffen Funktionalitäten, die im Zusammenhang mit der Karte
oder dem Kartenleser stehen.
Die folgenden Punkte werden im Chipkarten Menü angeboten:
Verschlüsselungszertifikat exportieren: Mit dieser Option können Sie das
Verschlüsselungszertifikat von Ihrer Chipkarte in eine Datei speichern. Weitere Informationen
erhalten Sie in dem Kapitel Zertifikate exportieren. Diese Funktion ist nur dann verfügbar, wenn
Sie über ein Verschlüsselungszertifikat verfügen. Ob Sie über ein solches Zertifikat verfügen,
können Sie im Menüpunkt Eigenschaften an Hand der aufgelisteten Zertifikate auf Ihrer
Chipkarte überprüfen.
Eigenschaften: Die Eigenschaften des installierten Kartenlesers werden hier angezeigt. Ist eine
Karte im Kartenleser vorhanden, werden auch die Karteneigenschaften, wie die Kartennummer
und das Zertifikat angezeigt. Weitere Informationen erhalten Sie in dem Kapitel Eigenschaften.
Einstellungen: Dieser Menüpunkt wird in den Konfigurationsoptionen des OpenLimit SignCubes
Security Environment Managers erläutert.
Info: Hier werden Copyright- und Versionsinformationen angezeigt.
Beenden: Mit diesem Menüpunkt wird der OpenLimit SignCubes Security Environment Manager
geschlossen.
4.3
Eigenschaften
Durch Anklicken des gelben Chipsymbols in der Taskleiste (Karte befindet sich im Kartenleser) und
Auswahl des Menüpunktes Eigenschaften erhalten Sie folgende Informationen:
Unter dem Register Kartenleser werden die Bezeichnung des Kartenlesers und die Ansteuerung des
Kartenlesers angezeigt. Bei Kartenlesern mit sicherer PIN Eingabe wird auf diese Funktion als Ergänzung
zum Kartenleser hingewiesen.
Unter dem Register Karte sehen Sie die Bezeichnung der Karte (meist mit Herausgeber), die
Kartennummer und das Betriebssystem der Karte.
Unter dem Register PINs werden die zu den Zertifikaten der im Kartenleser steckenden Karte gültigen PINs
angezeigt. Nach Auswahl eines PINs werden in dem unteren Fenster als Detailinformationen die minimale
Länge und sofern vorhanden die maximale Länge angezeigt. Gleichzeitig werden die Schaltflächen für
weitere Funktionen aktiv. In Abhängigkeit von der Zulässigkeit stehen die Funktionen Freischalten, Ändern
und Entsperren zur Verfügung.
Unter dem Register Zertifikate werden die Zertifikate der Karte, die im Leser steckt, angezeigt. Nach
Anklicken eines Zertifikats in der Liste werden in dem unteren Fenster die Einzelinformationen angezeigt.
Im Abschnitt Zertifikate exportieren können Sie nachlesen, wie Sie die auf Ihrer Karte vorhandenen
Zertifikate in eine Datei speichern können, um auch anderen Kommunikationspartnern Ihre Zertifikate zu
schicken.
In dem Abschnitt Attributzertifkate werden weitere
Signaturzertifikaten zugehörigen Attributen gegeben.
Information
zum
Handling
mit
den
Hinweis zur sicheren Konfiguration: Es werden keine Optionen zur Verfügung gestellt, die einen
Einfluss auf das Sicherheitsverhalten des Produktes haben.
4.3.1
Zertifikate exportieren
Damit Sie Ihren Kommunikationspartnern Ihr Verschlüsselungszertifikat schicken können, müssen Sie es
zunächst aus der Karte extrahieren und in eine Datei exportieren. Diese Datei können Sie dann einfach per
E-Mail verschicken.
Stecken Sie die Karte in den Leser und achten Sie darauf, dass sie erkannt wird.
Klicken Sie das gelbe Chip-Symbol in der Taskleiste an.
Wählen Sie den Punkt Verschlüsselungszertifikat exportieren.
Im Fenster Zertifikat exportieren wird der Dateiname angegeben und der Speicherort
ausgewählt. Wahrscheinlich werden Sie den Namen des Zertifikatsinhabers, also Ihren eigenen,
angeben wollen.
Mit einem Klick auf Speichern, ist das Zertifikat als *.cer Datei gespeichert und kann für jede
Standard-Verschlüsselungssoftware benutzt werden.
Hinweis zur sicheren Konfiguration: Es werden keine Optionen angeboten, die einen Einfluss auf das
Sicherheitsverhalten des Produktes haben können.
4.3.2
PIN ändern
Im OpenLimit SignCubes Security Environment Manager können Sie die PIN bzw. PINs Ihrer Smartcard
jederzeit ändern. Dies sollten Sie tun, wenn Sie das Gefühl haben, dass andere Personen Ihre PIN kennen.
Wählen Sie nach Anklicken des gelben Chipsymbols in der Taskleiste Eigenschaften und anschließend das
Register PINs.
Wählen Sie die zu ändernde PIN und klicken Sie auf Ändern. Geben Sie dann die aktuelle PIN ein, um die
Änderung überhaupt zu ermöglichen.
Danach wird nach der neuen PIN gefragt. Geben Sie diese ein und bestätigen Sie mit OK.
Die neue PIN muss nochmals bestätigt werden. Geben Sie diese ein weiteres Mal ein.
Sie haben die PIN jetzt geändert.
Hinweis zur sicheren Konfiguration: Verwenden Sie niemals eine triviale PIN, die den Missbrauch Ihrer
Karte durch Dritte erleichtern könnte und notieren Sie die PIN niemals auf der Karte oder an Orten, wo
Dritte in die Kenntnis Ihrer PIN gelangen könnten. Verwenden Sie nur Kartenleser mit sicherer PINEingabe, um die PIN Ihrer Chip-Karte zu ändern. Stellen Sie sicher, dass die Eingabe der neuen PIN
nicht durch Dritte beobachtet wird, da diese dadurch in Kenntnis Ihrer PIN gelangen könnten.
5 Arbeiten mit den OpenLimit SignCubes Basiskomponenten
Die folgenden Abschnitte beschreiben den Umgang mit den einzelnen Bestandteilen der OpenLimit
SignCubes Basiskomponenten 2.5, Version 2.5.0.4. Dieses Kapitel soll Ihnen den Umgang mit dem Produkt
erleichtern und Ihnen dabei helfen, schnell mit den einzelnen Programmfunktionen vertraut zu werden.
5.1
Arbeiten mit dem OpenLimit SignCubes Security Environment Manager
Der OpenLimit SignCubes Security Environment Manager ist als zentraler Bestandteil der Anwendung
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 für die Bereitstellung und Überwachung aller
Sicherheitsaufgaben des Produktes verantwortlich. Für Sie als Benutzer sind vor allem die folgenden
Punkte relevant:
Der OpenLimit SignCubes Security Environment Manager verwaltet die angeschlossenen Kartenleser und
überwacht die eingelegten Chipkarten.
Der OpenLimit SignCubes Security Environment Manager bietet Ihnen Optionen zur Auswahl an, welche die
Chipkarte und die erzeugten Dokumente betreffen. Zur Konfiguration dieser Optionen müssen Sie über
Administrationsrechte auf Ihrem Rechner verfügen.
Als Standard wird der OpenLimit SignCubes Security Environment Manager automatisch beim Start des
Betriebssystems gestartet. Sie haben allerdings die Möglichkeit, dieses Verhalten in den
Konfigurationseinstellungen des OpenLimit SignCubes Security Environment Managers zu verändern und
müssen diesen dann manuell starten.
Während der Arbeit mit dem OpenLimit SignCubes Security Environment Manager werden Sie durch
entsprechende Statusmeldungen über den jeweiligen Bearbeitungsstand informiert:
Sie haben eine Chipkarte in den Kartenleser gesteckt, diese wird erkannt und identifiziert:
Sie haben den Befehl Signatur erzeugen aktiviert, es läuft die Datenaufbereitung (Hashwertberechnung)
bzw. die Signaturerzeugung.
Nach dem Aufbereiten der Daten werden Sie zur PIN Eingabe über die sichere PIN-Eingabe aufgefordert.
Sie haben den Befehl Signatur prüfen aktiviert, es läuft die Hashwertberechnung und der Abgleich mit den
Sperrlisten.
Falls Ihnen diese Informationen nicht mehr angezeigt werden sollen, haben Sie die Möglichkeit, durch
Anklicken der Option ausblenden, die Anzeige zu unterdrücken.
Hinweis: Wenn der OpenLimit SignCubes Security Environment Manager gestartet wurde, erscheint das
OpenLimit Icon in der Taskleiste neben der Uhrzeit.
Hinweis für den manuellen Start: Unter dem folgenden Menüpunkt können Sie den OpenLimit SignCubes
Security Environment Manager manuell starten. Das Programmverzeichnis kann je nach verwendeter
Spracheinstellung variieren. Diese Hilfe beschreibt den Umgang mit einem deutschsprachigen
Betriebssystem.
Start – Programme – OpenLimit SignCubes - OpenLimit SignCubes Manager
ACHTUNG: Um die Funktionen der Software nutzen zu können, muss der OpenLimit SignCubes Security
Environment Manager gestartet sein. Andernfalls haben Sie keinen Zugang zu den Funktionen des
Produktes. Wenn keine Gründe existieren, den OpenLimit SignCubes Security Environment Manager
manuell zu starten, dann lassen Sie die Option auf „automatisch starten“ eingestellt.
Der OpenLimit SignCubes Security Environment Manager kann mehrere Kartenleser und Chipkarten
parallel verwalten. Welche Kartenleser und Chipkarten unterstützt werden, ist in dem Abschnitt
Kartenleser bzw. Chipkarten im Detail ausgeführt.
Für jeden erkannten Kartenleser erscheint ein graues Chip-Symbol in der Taskleiste, wenn keine Karte im
Kartenleser vorhanden ist. Ist eine Chipkarte im Kartenleser vorhanden, erscheint für jede erkannte
Chipkarte ein gelbes Chip-Symbol in der Taskleiste.
Erkennung einer Chipkarte durch den OpenLimit SignCubes Security Environment Manager
Steckt keine Karte im Kartenleser, wird für jeden erkannten Kartenleser ein graues Chip Symbol angezeigt.
Wenn Sie die Karte in den Leser stecken, wird das Symbol gelb und bekommt ein grünes Fragezeichen
(achten Sie darauf, dass die Karte im Leser einrastet).
Hat der OpenLimit SignCubes Security Environment Manager die Karte richtig erkannt, verschwindet das
Fragezeichen und der Chip ist gelb. Der erkannte Kartentyp wird automatisch angezeigt.
Jetzt können Sie mit der eingelegten Chipkarte arbeiten. Wenn bereits vor dem Start des OpenLimit
SignCubes Security Environment Managers eine Chipkarte in den Kartenleser eingelegt wurde, erkennt
dieser die Karte automatisch.
Ein gelber Chip mit rotem Kreuz bzw. rotem Fragezeichen erscheint, wenn die Karte verkehrt in den Leser
gesteckt wurde oder eine Karte verwendet wurde, die nicht kompatibel ist.
Die verwendbaren Karten sind in dem Abschnitt Chipkarten aufgeführt.
Ist das Chip-Symbol in der Taskleiste rot, bedeutet dies, dass die Karte geöffnet ist oder Operationen, wie
z.B. die Hashwertverschlüsselung auf der Chipkarte ausgeführt werden.
Karte „geöffnet“ bedeutet, dass Sie mehrere Operationen hintereinander ausführen können, ohne erneut
die PIN eingeben zu müssen. Das kann sinnvoll sein, wenn Sie mehrere Dokumente hintereinander
signieren möchten. Aus Sicherheitsgründen sollten Sie diese Möglichkeit nur dann nutzen, wenn Sie sich
absolut sicher sind, dass kein Missbrauch mit der Karte vorgenommen werden kann. Verlassen Sie nie
Ihren Arbeitsplatz, ohne vorher die Karte aus dem Kartenleser zu entnehmen. Unberechtigte Personen
könnten sonst diesen Umstand ausnutzen und Signaturen mit Ihrer Chipkarte erzeugen.
Beim Klicken auf die Icons in der Taskleiste bekommen Sie verschiedene Menüs angeboten. Wenn sie auf
das Icon des OpenLimit SignCubes Security Environment Manager klicken, wird Ihnen das
Konfigurationsmenü für den OpenLimit SignCubes Security Environment Manager angeboten. Für diese
Optionen benötigen Sie Administrationsrechte auf ihrem Arbeitsrechner. Wenn Sie auf das graue
Chipsymbol klicken, bekommen Sie ein eingeschränktes Menü angeboten, in welchem Sie sich
Informationen zum verwendeten Kartenleser anzeigen lassen können. Wenn Sie nach dem Einlegen der
Chipkarte auf das gelbe Chipsymbol klicken, bekommen Sie ein Menü für die jeweilige Chipkarte
angeboten. Die angebotenen Menüpunkte werden ebenso wie die Menüpunkte für den OpenLimit SignCubes
Security Environment Manager im Kapitel Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.4 behandelt.
Hinweis: Wenn der OpenLimit SignCubes Security Environment Manager Daten verarbeitet, rotiert das
Icon des OpenLimit SignCubes Security Environment Managers in der Taskleiste im Uhrzeigersinn, um
zu verdeutlichen, dass momentan eine Operation ausgeführt wird. Wenn Sie also große Datenmengen
signieren wollen (z.B. ein Dokument mit einer Größe von 300 MB), haben Sie immer eine Information
darüber, dass momentan Daten verarbeitet werden. Wenn Sie mit der Maus über das Icon in der
Taskleiste fahren, werden Sie sehen, dass auch der Tooltip-Text des OpenLimit SignCubes Security
Environment Managers Ihnen mit der Meldung 'Daten werden bearbeitet' eine entsprechende
Information gibt.
Hinweis: Der OpenLimit SignCubes Security Environment Manager reagiert für die Kartenleser SPR 332
und SPR 532 der Firma SCM Microsystems an der USB-Schnittstelle auf die Plug & Play Ereignisse des
Betriebssystems. Wenn Sie also einen solchen Kartenleser verwenden, haben Sie die Möglichkeit, bei
laufendem OpenLimit SignCubes Security Environment Manager einen solchen Kartenleser hinzu zu
nehmen oder von der USB Schnittstelle zu entfernen. Für jeden angesteckten Kartenleser wird ein
neues Chipsymbol angezeigt und der Tooltipp an diesem Icon teilt Ihnen mit, um welchen Kartenleser
es sich handelt. Nachdem Ihnen das Chip-Symbol angezeigt wird, ist der Kartenleser voll einsatzbereit.
Um diese Eigenschaften nutzen zu können, müssen Sie den korrekten Treiber des Herstellers für diesen
Kartenleser installiert haben. Sind keine Treiber vorhanden, kann das Produkt auch nicht mit dem
Kartenleser arbeiten bzw. diesen auch nicht erkennen.
5.2
Der folgende Abschnitt beschreibt, wie Sie eine Signaturprüfung unter Verwendung des Produktes
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 vornehmen können. Grundsätzlich vertraut
das Produkt den Wurzelzertifikaten der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post
und Eisenbahnen (Bundesnetzagentur). Aber auch andere Wurzelzertifikate können im Betriebssystem als
vertrauenswürdig bereitgestellt werden (vgl. Abschnitt ‚Import von Zertifikaten in den Microsoft
Zertifikatsspeicher‘).
Grundsätzlich gilt: Wenn Sie mit abgesetzten Signaturen arbeiten, muss die Signaturdatei den gleichen
Namen wie das Originaldokument mit der zusätzlichen Endung '.p7s' tragen. Dies ist Voraussetzung, damit
der OpenLimit SignCubes Security Environment Manager die zugehörigen Originaldaten erkennen und die
Signatur verifizieren kann.
Verfahren zur Signaturprüfung durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4
Im ersten Schritt wird immer überprüft, ob die elektronische Signatur mathematisch korrekt ist. Dies
bedeutet, dass bei der Signaturprüfung die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 die
neu berechnete Prüfsumme (den Hashwert) über die signierten Daten erfolgreich gegen die vorliegende
Signatur prüfen und die Zertifikatskette bis zu einem Vertrauensanker bilden konnten. Es kann jedoch
noch keine Aussage zur tatsächlichen Gültigkeit der elektronischen Signatur getroffen werden. Dafür wird
in einem weiteren Schritt die Gültigkeit der Zertifikate angefangen beim verwendeten Signaturzertifikat
bis hin zur Wurzel der Zertifikatskette geprüft.
Zur Ermittlung der Zertifikatskette werden die in den Signaturdaten enthaltenen Zertifikate herangezogen.
Kann die Zertifikatskette aus den verfügbaren Signaturdaten nicht ermittelt werden, können die OpenLimit
SignCubes Basiskomponenten auf alternative Zertifikatsspeicher, wie den Microsoft Zertifikatsspeicher
oder die Festplatte zurück greifen (vgl. Abschnitt ‚Import von Zertifikaten in den Microsoft
Zertifikatsspeicher‘). Kann die Zertifikatskette nicht gebildet werden, dann treffen die OpenLimit
SignCubes Basiskomponenten keine Aussage zur Gültigkeit der geprüften elektronischen Signatur. Es wird
jedoch angezeigt, dass benötigte Zertifikate in der Zertifikatskette fehlen und somit keine abschließende
Aussage zur Gültigkeit der elektronischen Signatur getroffen werden kann. Bitte aktualisieren Sie deshalb
regelmäßig die Sicherheitsdateien (s. Kapitel „Sperrlistenaktualisierung“)! Hinweise zur Prüfung
abgesetzter Zeitstempel finden Sie im Abschnitt ‚Prüfung elektronischer Zeitstempel-Dateien‘.
War die Ermittlung des Zertifikatspfades eines qualifizierten Zertifikats erfolgreich, wird dieser einer
Prüfung nach dem Kettenmodell (siehe Abschnitt ‚Prüfung qualifizierter elektronischer Signaturen‘)
unterworfen. Für nicht qualifizierte Zertifikate erfolgt die Prüfung nach dem Schalenmodell. Ist diese
Prüfung erfolgreich und die Zertifikatskette vollständig, wird dem Benutzer angezeigt, dass die Signatur
gültig ist.
Allgemeine Anforderungen bei der Prüfung elektronischer Signaturen
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 prüfen die Zertifikate einer Kette in jedem
Falle gegen die zur Verfügung stehenden Sperrlisten. Wird ein entsprechender Sperreintrag für eines der
geprüften Zertifikate gefunden, so wird Ihnen dieser Sperrstatus auch zur Kenntnis gebracht.
Hinweis: Achten Sie bitte darauf, dass stets aktuelle Sperrlisten bei der Signaturprüfung zur Verfügung
stehen.
Da die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 die lokale Systemzeit zur Codierung
des Signaturzeitpunktes verwenden, ist die korrekte Einstellung der Systemzeit notwendig. Sie sind als
Nutzer der OpenLimit SignCubes Basiskomponenten für die Korrektheit der Systemzeit verantwortlich. In
allen anderen Fällen kann die Prüfung, insbesondere nach dem Kettenmodell, durch das Produkt nicht
zuverlässig vorgenommen werden. Durch die Prüfung nach dem Schalen- und dem Kettenmodell
verwendet das Produkt zwei voneinander unabhängig arbeitende Prüfmechanismen, die jedoch beide auf
Sperrlisten angewiesen sind, welche die oben genannten Bedingungen an den Herausgabezeitpunkt
erfüllen.
Ist in der Signaturdatei ein Zeitstempel vorhanden, wird auch eine Aussage zur Gültigkeit der Signatur an
dem Zeitpunkt geliefert, den der Zeitstempel ausweist. Um die vollständige Gültigkeit des Zeitstempels zu
prüfen, müssen Sie den Detaildialog für Zeitstempel verwenden. Nähere Informationen hierzu finden Sie im
Kapitel Zeitstempeldienste . Hinweise zur Prüfung von abgesetzten Zeitstempeln finden Sie im Abschnitt
‚Prüfung elektronischer Zeitstempel-Dateien‘.
Hinweis: Ist in dem Signaturabschnitt kein Zeitpunkt der Signaturerzeugung enthalten, wird die
aktuelle Systemzeit als Prüfzeitpunkt verwendet und angezeigt. Sie können diesen Umstand, daran
erkennen, dass der (angenommene) Signaturerstellungszeitpunkt beinahe identisch zum Prüfzeitpunkt
ist. Bezüglich Ihrer Entscheidung, ob Sie das Prüfergebnis verwerten wollen, sollten Sie also u. a. die
folgenden Informationen einfließen lassen: a.) der Zeitpunkt, zu dem die Prüfung des Zertifikatsstatus
stattgefunden hat (also der Zeitpunkt, zu dem der Zertifikatsstatus nachweislich vorliegt) und b.) den
Zeitpunkt der Signaturerzeugung.
Hinweis: Bei der Signaturprüfung können Sie sich immer den Zertifizierungspfad des geprüften
Signaturzertifikats anzeigen lassen. Die Kontrolle des Zertifizierungspfades und der bei der
Signaturprüfung festgestellten Vertrauensbasis können Sie vornehmen, indem Sie sich das
Signaturzertifikat über ‚Details‘ anzeigen lassen und im Zertifikatsdialog das Register ‚Zertifizierungspfad‘
auswählen.
Wenn ein Wurzelzertifikat bei der Signaturprüfung gefunden wurde, geben die OpenLimit SignCubes
Basiskomponenten den Ablageort wie folgt an:
Die Zertifikate der Bundesnetzagentur sind den OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 durch signierte Vertrauenslisten bekannt. In diesem Fall benennt das Produkt das verwendete
Wurzelzertifikat als 'Vertrauenswürdiges Zertifikat'.
Wurde
das
Zertifikat
aus
dem
Microsoft
Stammspeicher
für
vertrauenswürdige
Stammzertifizierungsstellen bezogen, zeigt das Produkt im Zertifizierungspfad als Vertrauensbasis
,Zertifikat aus dem Microsoft Stammspeicher für vertrauenswürdige Zertifikate' an.
Wurde das Zertifikat aus dem CTL Verzeichnis des Produktes bezogen, zeigt das Produkt als
Vertrauensbasis ,Zertifikat aus dem CTL Verzeichnis' an.
Diese Information wird nur angezeigt, wenn ein Wurzelzertifikat im Zertifizierungspfad gefunden wurde.
Hinweis: Wenn Sie ein PDF-Dokument prüfen, welches mehrere eingebettete Signaturen enthält,
müssen Sie im Prüfdialog den Befehl 'Daten anzeigen' verwenden, um diejenige Dokumentversion zu
sehen, auf die sich die jeweilige Unterschrift bezieht.
Das PDF Format erlaubt nach einer Signatur, das Dokument weiter zu ändern. Die elektronische
Unterschrift bezieht sich jedoch immer auf die konkrete Version des Dokuments, die Sie nur aus dem
Prüfdialog heraus eindeutig anzeigen lassen können. Das bedeutet auch, dass die Signatur nicht für das
geänderte Dokument gilt, sondern exakt für die Dokumentversion, die Ihnen im Prüfdialog über den
OpenLimit SignCubes Viewer angezeigt wird.
Prüfung qualifizierter elektronischer Signaturen
Grundsätzlich wird bei jeder vorliegenden Signatur geprüft, ob dies eine qualifizierte elektronische
Signatur ist. Die OpenLimit SignCubes Basiskomponenten ermitteln dies an mehreren Kriterien: Das
verwendete Signaturzertifikat muss das Attribut QC-Statement mit dem Wert EU-QC-konform oder SigGkonform aufweisen. Des Weiteren muss das verwendete Signaturzertifikat von einem angezeigten oder
akkreditierten Zertifizierungsdiensteanbieter herausgegeben worden sein. Die OpenLimit SignCubes
Basiskomponenten 2.5, v2.5.0.4 verfügen über eigene Verwaltungsmechanismen für diese Einstufung. Die
Zertifikate der ZDAs und der Bundesnetzagentur müssen in einer signierten Vertrauensliste vorliegen, die
ausschließlich durch OpenLimit gepflegt wird.
Treffen die genannten Kriterien zu, so erfolgt die Prüfung der Zertifikatskette dieser qualifizierten
elektronischen Signatur vom Signaturzertifikat bis zum Vertrauensanker nach dem Kettenmodell. Dieses
Gültigkeitsmodell basiert auf der Prüfung der einzelnen Zertifikate der Zertifikatskette auf ihre Gültigkeit
zum jeweiligen Anwendungszeitpunkt als Prüfzeitpunkt. Das heißt, dass zum einen das Signaturzertifikat
zum angegebenen Zeitpunkt der Signaturerstellung gültig war und zum anderen dass alle
Herausgeberzertifikate bis zum Wurzelzertifikat (Vertrauensanker) der Zertifikatskette zum Zeitpunkt der
Ausstellung des jeweils ausgegebenen Zertifikats gültig waren. Das Kettenmodell erlaubt, dass
elektronische Signaturen mit Zertifikaten erzeugt werden können, deren Herausgeberzertifikate zum
Zeitpunkt der Signaturerstellung bereits abgelaufen sind. Dies erlaubt eine kürzere Laufzeit einzelner
Zertifikat in der Zertifikatskette und erhöht somit die Sicherheit der in Deutschland verwendeten
Zertifikatsinfrastruktur. Die Prüfung nicht qualifizierter elektronischer Signaturen (fortgeschrittene
Signaturen) erfolgt nach dem Schalenmodell, bei dem die Gültigkeit aller Zertifikate der Zertifikatskette
zum Zeitpunkt der Verifikation als Prüfzeitpunkt festgestellt wird. Detaillierte Informationen zu den
verschiedenen Prüfmodellen finden Sie auf der Webseite der Bundesnetzagentur:
http://www.bundesnetzagentur.de
Die OpenLimit SignCubes Basiskomponenten zeigen in eindeutiger Art und Weise an, ob das
Herausgeberzertifikat als angezeigter oder akkreditierter Zertifizierungsdiensteanbieter in der aktuell
verwendeten Vertrauensliste enthalten ist. Ist dies der Fall, wurde die Signatur nach dem Kettenmodell
geprüft. Alle anderen Signaturen, die mit den OpenLimit SignCubes Basiskomponenten 2.5, v2.5.0.4 geprüft
werden, werden unter Verwendung des Schalenmodells geprüft.
Besonderheiten im Zusammenhang mit dem Katalog zulässiger Algorithmen
Die Bundesnetzagentur veröffentlicht jedes Jahr einen so genannten Algorithmenkatalog, der die
Verwendung der zulässigen Algorithmen für die qualifizierte elektronische Signatur regelt (siehe
www.bundesnetzagentur.de/cln_1912/DE/Sachgebiete/QES/Veroeffentlichungen/Algorithmen/algorithmen_
node.html). Dieser Algorithmenkatalog wird durch die OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 abgebildet. Dies bedeutet, dass die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4
überprüfen, ob der verwendete Algorithmus und der verwendete Signaturschlüssel den Anforderungen aus
diesem Katalog genügen. Ist dies nicht der Fall, wird die geprüfte Signatur auch nicht als gültig geprüft,
und es wird ein Hinweistext angezeigt, dass Algorithmen verwendet werden, die keine Aussage über die
tatsächliche Gültigkeit der Signatur zulassen. Die OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 werden mit den Daten des Algorithmenkatalogs 2012 (vom 30.12.2011) ausgeliefert. Bitte
vergewissern Sie sich, ob nicht Daten eines neueren Algorithmenkatalogs verfügbar sind, indem Sie
regelmäßig die Sicherheitsdateien aktualisieren (s. Kapitel „Sperrlistenaktualisierung“)! Wird Ihnen dieser
Hinweistext durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 angezeigt, sollten Sie
die Webseiten der Bundesnetzagentur sowie den Bundesanzeiger heranziehen, um die Korrektheit der
eingesetzten Algorithmen unabhängig zu prüfen.
Signaturprüfung vornehmen
Nachdem Sie auf eine signierte Datei geklickt haben, erscheint der Dialog Details zur Signaturprüfung:
In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig, zumindest
mathematisch korrekt ist oder dass die Datei signiert, jedoch der Zertifikatspfad unvollständig ist.
Wenn die Anzeige der Signaturprüfung eine Signatur als gültig ausweist, dann war die Vergleichsprüfung
des Hashwertes positiv, und es konnte die Zertifizierungskette vom Signaturzertifikat bis zum
Vertrauensanker vollständig gebildet und erfolgreich geprüft werden. Prüfen Sie immer in den Details zur
Signatur, ob die Sperrprüfung unter Verwendung einer OCSP-Auskunft durchgeführt wurde. Nur so können
Sie sicher sein, dass das Signaturzertifikat zum Signaturzeitpunkt gültig und nicht gesperrt war.
Wenn die Anzeige der Signaturprüfung eine Signatur als mathematisch korrekt ausweist, dann war die
Vergleichsprüfung des Hashwertes positiv, und es konnte die Zertifizierungskette vom Signaturzertifikat
bis zum Vertrauensanker vollständig gebildet und mit Ausnahme der Sperrprüfung für alle Zertifikate der
Zertifizierungskette erfolgreich geprüft werden. Für diesen Fall empfiehlt sich, die Online Status-Prüfung
(OCSP) des verwendeten Signaturzertifikates bzw. eine Aktualisierung der Sicherheitsdateien (zwecks
Aktualisierung der Sperrlisten) durchzuführen, um zu prüfen, dass das verwendete Signaturzertifikat zum
Zeitpunkt der Signaturerzeugung gültig und nicht gesperrt war. Die Online Status-Prüfung (OCSP) ist der
Sperrlisten-Aktualisierung vorzuziehen.
Wenn die Anzeige der Signaturprüfung ausweist, dass die Datei signiert, jedoch der Zertifikatspfad
unvollständig ist, bedeutet dies, dass die Zertifizierungskette zu einem vertrauenswürdigen
Herausgeberzertifikat nicht vollständig gebildet werden konnte, weil den OpenLimit SignCubes
Basiskomponenten Zertifikate fehlen, die zur vollständigen Bildung der Zertifizierungskette vom
Signaturzertifikat bis zum Vertrauensanker notwendig sind. In diesem Fall empfiehlt es sich, die
Vertrauenslisten zu aktualisieren (s. Kapitel „Sperrlistenaktualisierung“)!
Wenn die Anzeige der Signaturprüfung eine Signatur als ungültig ausweist, können Sie die zutreffende
Ursache ermitteln, indem Sie das Register mit dem Namen des Signaturzertifikatinhabers auswählen. Dort
werden Ihnen die zugehörigen Detailinformationen angezeigt. Einer oder beide der folgenden Fälle sind
eingetreten:
1.
Das Ergebnis der Hashwertprüfung ist negativ. Das bedeutet, die Originaldaten wurden verändert.
2. Das Ergebnis der Prüfung von Signatur und Zertifikatskette ist negativ. Das bedeutet, die
Zertifikatskette konnte zwar vollständig gebildet, jedoch nicht erfolgreich geprüft werden, weil z.B. ein
Sperreintrag für einzelne oder alle an der Signatur beteiligten Zertifikate zum Prüfzeitpunkt vorliegt.
Hinweis: Falls in Ihrer Programmversion OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4
das Modul zum Erstellen eines Prüfprotokolls mit installiert wurde, haben Sie die Möglichkeit, durch
Anklicken des Buttons Speichern ein Prüfprotokoll zu erzeugen und zu speichern. Andernfalls wird der
Button nicht angezeigt.
Die Bedeutung der einzelnen Punkte
Hashwertüberprüfung: Integrität der Daten
positiv: Die Daten wurden seit der Signatur nicht verändert.
Wird als Zusatzinformation ein Hinweis angezeigt, dass der eingesetzte Hashalgorithmus als ungeeignet
eingestuft wird, dann bedeutet das, dass für die Berechnung des Hashwertes ein Hashalgorithmus (z.B.
SHA-1) verwendet wurde, der für die Erzeugung qualifizierter Signaturen nicht zulässig ist.
negativ: Die Hashwerte stimmen nicht überein, die Daten wurden möglicherweise verändert.
Prüfung von Signatur und Zertifizierungspfad: Beschädigung der Signatur und Vollständigkeit
des Zertifizierungspfades
Wird als Zusatzinformation ein Hinweis angezeigt, dass die verwendeten Signaturparameter als
ungeeignet eingestuft werden, dann bedeutet das, dass entweder für die Berechnung des Hashwertes ein
Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung qualifizierter Signaturen nicht
zulässig ist, oder die verwendeten Schlüssel nicht die erforderliche Länge (z.B. 1024 Bit) besaßen.
Zeitpunkt der Signaturerzeugung: Hier wird die Zeit angezeigt, die in der Signatur als
Signaturerstellungszeitpunkt
angegeben
ist.
Ist
in
der
Signatur
kein
Signaturerstellungszeitpunkt angegeben, dann wird hier die Meldung „keine Angaben“ angezeigt
und als Prüfzeitpunkt die aktuelle Zeit verwendet. Bitte lesen Sie in diesem Fall den 2. Hinweis
im Abschnitt „Allgemeine Anforderungen bei der Prüfung elektronischer Signaturen“ in diesem
Kapitel bzgl. fehlender Angaben zum Signaturerstellungszeitpunkt in Signaturen!
Vertrauensbasis: Zeigt die Quelle für das Wurzel- bzw. Rootzertifikat an, auf der die Prüfung des
Zertifikats beruht. Weiterhin wird der für die Signaturprüfung verwendete Algorithmenkatalog
angezeigt.
Zertifikatsstatus: Ergebnis der Sperrprüfung des Zertifikats. Anhand von Sperrlisten wird
geprüft, ob das Zertifikat gesperrt wurde. Die Gültigkeit des Zertifikats zum Zeitpunkt der
Signaturerzeugung prüfen Sie bitte über die Online-Abfrage (OCSP), in dem Sie auf den Button
Onlinestatus... klicken.
Über den Button Details, Auswahl des Zertifikats und wiederum Anklicken des Buttons Details können Sie
sich die Zertifikatseigenschaften anzeigen lassen.
Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt werden.
Nach einem Klick auf Onlinestatus... wird die OCSP-Abfrage geöffnet. Für die Prüfung muss eine
Verbindung mit dem Internet bestehen.
Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt oder
unbekannt .
Wenn Sie auf den Button Details klicken, können Sie sich die Details zur OCSP-Abfrage anzeigen lassen.
Wenn Sie unter dem Register Zusammenfassung auf den Button Signatur-Zertifikat anzeigen klicken,
können Sie die Details des Zertifikatspfades nachvollziehen.
Um die Quelle der OCSP Antwort zu prüfen, sollten Sie immer das Zertifikat, welches die OCSP Antwort
unterzeichnet hat, anzeigen lassen.
Unter dem Register OCSP Details werden Ihnen weitere Detailinformationen zu der OCSP Antwort
angezeigt.
Hinweis: Auch wenn Sie in regelmäßigen Abständen die aktuellen Sperrlisten der
Zertifikatsherausgeber beziehen, sollten Sie auf jeden Fall immer eine OCSP Abfrage durchführen.
Online Status-Prüfungen sind Prüfungen gegen Sperrlisten vorzuziehen.
Prüfung elektronischer Zeitstempel-Dateien
Eine besondere Art elektronischer Signaturen stellen elektronische Zeitstempel dar. Hierbei wurde der
Hashwert eines Dokuments einem Zeitstempeldiensteanbieter vorgelegt, der diesen unter Angabe des
genauen Zeitpunkts der Vorlage des Hashwerts signiert. Nachfolgend werden die bei der Prüfung
elektronischer Zeitstempel angezeigten Ergebnisse erläutert.
Grundsätzlich gilt: Wenn Sie mit Zeitstempel-Dateien (abgesetzte Zeitstempel) arbeiten, muss die
Zeitstempel-Datei den gleichen Namen wie das Originaldokument mit der zusätzlichen Endung '.tsr' tragen.
Dies ist Voraussetzung, damit der OpenLimit SignCubes Security Environment Manager die zugehörigen
Originaldaten zuordnen und den Zeitstempel verifizieren kann.
Nachdem Sie auf eine Zeitstempel-Datei geklickt haben, erscheint der Dialog Zeitstempel-Prüfung (TSP), in
dem Ihnen die im Zeitstempel vorliegende Zeitangabe, der Herausgeber des Zeitstempels und das Ergebnis
der Prüfung angezeigt werden.
Wurden Änderungen an den mit dem Zeitstempel versehenen Daten festgestellt, wird Ihnen die Meldung
angezeigt, dass der Hash der Vergleichsdaten nicht dem des Zeitstempels entspricht.
Konnten die Datei, auf die sich der Zeitstempel bezieht, nicht ermittelt werden, wird Ihnen die Meldung
angezeigt, dass der Vergleich mit den Ursprungsdaten nicht ausgeführt wurde.
Immer angezeigt wird Ihnen das Ergebnis der Prüfung des Signaturzertifikats des Zeitstempels und der
verwendeten Vertrauensbasis. Die Erläuterungen zu diesen Angaben entnehmen Sie bitte den
vorangehenden Abschnitten zur Signaturprüfung.
Details zum Herausgeber und ob es sich um einen qualifizierten Zeitstempel handelt, finden Sie unter dem
Register ‚Details‘ (siehe auch Abschnitt ‚Prüfung qualifizierter elektronischer Signaturen‘).
Import von Zertifikaten in den Microsoft Zertifikatsspeicher
Sie können Herausgeberzertifikate, welche den OpenLimit SignCubes Basiskomponenten nicht bekannt
sind, in den Microsoft Zertifikatsspeicher für Zwischenzertifizierungsstellen importieren, um die
vollständige Bildung des Zertifikatspfads zu ermöglichen.
Ein solcher Import beeinflusst nicht das Ergebnis der Prüfung qualifizierter Signaturen und qualifizierter
Zeitstempel, weil für diese Prüfungen als Vertrauensanker ausschließlich Zertifikate der signierten
Vertrauenslisten der OpenLimit SignCubes Basiskomponenten herangezogen werden.
Für die Prüfung nicht qualifizierter Signaturen können den OpenLimit SignCubes Basiskomponenten
unbekannte Herausgeberzertifikate explizit in den Microsoft Zertifikatsspeicher für vertrauenswürdige
Stammzertifizierungsstellen importiert werden. Die OpenLimit SignCubes Basiskomponenten weisen dann
darauf hin, dass als Vertrauensbasis ein Zertifikat aus dem Microsoft Stammspeicher für
vertrauenswürdige Zertifikate verwendet wurde.
Ein Zertifikat importieren Sie in einen Microsoft Zertifikatsspeicher, indem Sie auf die zu importierende
Zertifikatsdatei doppelklicken und auf ‚Zertifikat installieren‘ drücken. Sie können auch im Kontextmenü
der Zertifikatsdatei auf ‚Zertifikat installieren‘ klicken.
5.3
Arbeiten mit dem OpenLimit SignCubes Integrity Tool
Das OpenLimit SignCubes Integrity Tool ist ein Programm zur Überprüfung der Hash-Werte an den
ausgelieferten sicherheitsrelevanten Modulen und stellt somit sicher, dass sich die Module noch in dem
Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden.
Das OpenLimit SignCubes Integrity Tool sollte grundsätzlich über die Internetseite
https://www.openlimit.com/integritytool
gestartet werden.
In dem Fall, dass Sie das Produkt über einen Download erhalten und installiert haben, sollten Sie, bevor Sie
das Produkt zum ersten Mal einsetzen, das OpenLimit SignCubes Integrity Tool ausführen, um die
Korrektheit der Installation zu verifizieren.
Stellt das OpenLimit SignCubes Integrity Tool fest, dass die Module sich nicht mehr in ihrem
Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher sollten Sie
jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen wurde oder
ein anderes Programm Ihren Rechner manipuliert hat.
Starten Sie das Integritätstool über die Internetseite https://www.OpenLimit.com/integritytool. Die Java
Virtual Machine (JVM) überprüft daraufhin die Signatur des Applets und öffnet einen Dialog mit
Sicherheitshinweisen.
Die Seriennummer des Signaturzertifikates für das OpenLimit SignCubes Integrity Tool finden Sie in dieser
Benutzerdokumentation unter OpenLimit SignCubes Integrity Tool.
Zur Sicherheit sollten Sie immer die Signatur des Applets über den Befehl Weitere Informationen prüfen
und erst dann den Start des Applets selbst freigeben.
Nach Anklicken des Button Zertifikatsdetails werden die Informationen zu dem Zertifikat einschließlich der
Seriennummer angezeigt.
In dem folgenden Fenster wird Ihnen der Pfad für die OpenLimit Programminstallation angezeigt.
Standardmäßig ermittelt das Java-Applet beim Start das Installationsverzeichnis. Falls dieser nicht
automatisch gefunden wurde bzw. nicht korrekt angezeigt wird, stellen Sie bitte den Pfad über den Button
'Installationspfad' entsprechend ein.
Gleichzeitig haben Sie die Möglichkeit, über den Button Sprachauswahl die Sprache einzustellen. Das
OpenLimit SignCubes Integrity Tool wird in deutsch und englisch bereitgestellt.
Hinweis: Geben Sie die Installationspfade der OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.4 nicht im Netzwerk für andere Benutzer frei.
Nach Anklicken des Button Prüfung starten wird das OpenLimit SignCubes Integrity Tool gestartet.
Ist der Dateistatus für alle Dateien OK, so ist die Integrität der Software erfolgreich nachgewiesen.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 können optional Module enthalten wie
die siq0*.dll, siq1*.dll und siq2*.dll. Diese Module beinhalten die Ansteuerung konkreter Kartenterminals.
Ist ein Modul vorhanden, dann wird auch jeweils eine Liste der dadurch unterstützten Kartenterminals
angezeigt:
siq0ccid.dll
Cherry G83-6744 LU
Cherry ST-2000
SCM SPR 532 (Firmware 5.10)
Fujitsu SmartCase KB SCR eSIG (S26381-K529-Vxxx, HOS:01, FW v.1.21)
siq0rsct.dll
siq0scmm.dll
SCM Microsystems SPRx32/Chipdrive PinPad
siq0ok.dll
siq0kby.dll (PC/SC) oder siq0kbyct.dll (CT-API)
Kobil KAAN Advanced
Kobil KAAN TriB@nk
Kobil EMV-TriCAP Reader
Kobil SecOVID Reader III
siq0chy.dll
Cherry G83-6700 LQ
Cherry G83-6744 LU
Cherry ST-2000
siq0cthyc32.dll
medCompact eHealth Card Terminal BCS Version 02.00
siq0ctcel.dll
siq0ctscm_eHealth.dll
siq0ctgem.dll
Gemalto GCR 5500-D BCS V1.0 (FW 1.14)
Chipkartenbetriebssysteme und Chipkarten
siq1seccos.dll unterstützt das SECCOS Chipkartenbetriebssystem
siq1cm43.dll unterstützt das Siemens CardOS M4.3B
siq1spk3.dll unterstützt STARCOS 3.0 Chipkartenbetriebssystem
siq1spk32.dll unterstützt STARCOS 3.2 Chipkartenbetriebssystem
siq1tcos3x.dll unterstützt TCOS 3.0
siq1dba.dll und siq2dba.dll unterstützt das Siemens CardOS M4.3B Chipkartensystem in
Verbindung mit der Siemens API
siq1dhba.dll und siq2dhba.dll unterstützt STARCOS 3.2 QES Version 1.1 Chipkartensystem
(Heilberufsausweis)
siq1acos.dll unterstützt ACOS Karten-Betriebssystem
Chipkartenname im Produkt
Chipkarten-OS
Chipkartenprofil
Alle Karten des
Sparkassenverlags (außer der
ZKA signature card, Version 6.32
M from Gemalto GmbH)
siq1seccos.dll
siq2ds2.dll
S-TRUST Massensignaturkarte
(ZKA signature card, Version
6.32 M from Gemalto GmbH)
siq1seccos.dll
siq2ds3.dll
D-TRUST Karte
siq1cm43.dll
siq2cm43.dll
TC-Trustcenter
Generische PKCS#15-
Ansteuerung der Siemens Karten
dgnserviceCard
siq1spk3.dll
Signtrust Card (Deutsche Post
Com GmbH)
siq2dgn2.dll
siq2dp2.dll
Signaturkarte (DATEV eG)
Signaturkarte (BNotK)
Signtrust Card 3.2 (Deutsche
Post Com GmbH)
siq1spk32.dll
siq2dp3.dll
NetKey 3.0 und NetKey 3.0M
siq1tcos3x.dll
siq2nks43.dll
siq0dba.dll, siq1dba.dll
siq2dba.dll
siq1dhba.dll, siq2dhba.dll
siq2dhba.dll
siq1acos.dll
Siq2aa1.dll
BA User Card mit Siemens Card
API
Heilberufsausweis
A-Trust Signaturkarte
Das Fehlen eines oder mehrerer dieser Module wird durch den Status Nicht installiert ausgewiesen. Die
Integrität der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 ist trotzdem sichergestellt.
Ab Version 2.5.0.1 bietet das OpenLimit SignCubes Integrity Tool dem Anwender die Möglichkeit,
Konfigurationen für Chipkarten zusätzlich einzuspielen. Diese Konfigurationen sind Initialisierungsdateien,
die festlegen, welcher Hash- und Signaturalgorithmus für die jeweilige Signaturkarte verwendet wird.
Das OpenLimit SignCubes Integrity Tool kennt alle möglichen Konfigurationen für die Signaturalgorithmen
und prüft bei der Integritätsprüfung auch die verwendeten Algorithmen. Wird eine Kartenkonfiguration
gefunden, die nicht den Vorgaben der Bundesnetzagentur entspricht, wird eine Warnung an den Benutzer
generiert und angezeigt. Wird eine Konfigurationsdatei gefunden, die unbekannt ist, wird dieser Zustand
dem Benutzer angezeigt.
Beispiel 1:
Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool bildet
den Hashwert über die Initialisierungsdatei und stellt dabei fest, dass diese Datei festlegt, dass einige
SECCOS Karten mit SHA-1 als Hashwert signieren sollen. In diesem Falle wird durch das Integrity Tool im
Anschluss an die Übersicht der unterstützten SECCOS-Karten der folgende Text generiert: „Das Modul ist
so konfiguriert, dass SHA-1 für einige Karten gemäß obiger Übersicht als Signaturalgorithmus zugelassen
ist. Bitte prüfen Sie auf der Webseite der Bundesnetzagentur
http://www.bundesnetzagentur.de
ob mit dieser Konfiguration die Anforderungen an die qualifizierte Signatur erfüllt werden."
Beispiel 2:
Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool bildet
den Hashwert über die Initialisierungsdatei und stellt dabei fest, welcher Signaturalgorithmus für die
verschiedenen SECCOS Karten verwendet werden sollen. Die Übersicht der unterstützten SECCOS Karten
enthält für die einzelnen Karten die Angabe des jeweils unterstützten Signaturalgorithmus. Im Anschluss
an die Übersicht der unterstützten SECCOS Karten wird der folgende Text generiert: "Informationen zu den
jeweils verwendeten Signaturalgorithmen entnehmen Sie bitte obiger Übersicht."
Hinweis: Die Sprachressourcen der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 sind in
der deuSEMk.dll bzw. der engSEMk.dll gespeichert. Mindestens eine der beiden Dateien muss vorhanden
sein, ansonsten wird die Integrität der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4
nicht bestätigt. Für die jeweilige Sprachressource müssen auch die dazugehörige Hilfe und der Viewer
vorhanden sein, ansonsten wird die Integrität ebenfalls nicht bestätigt.
Nach Bestätigung des Informationsfensters mit OK erhalten Sie die Liste der Dateien, die geprüft wurden
und den Dateistatus angezeigt.
Folgende Dateizustände werden unterschieden:
OK: Die Prüfung des Hashwertes ist positiv, d.h. die Datei entspricht der Originalinstallation.
Unbekannt: Das ist der Ausgangsstatus für alle Dateien vor der Prüfung. Dieser Status wird auch
angezeigt, wenn keine Prüfung möglich ist.
Datei verändert: Die Datei wurde nach der Installation verändert.
Datei nicht gefunden: Die Datei wurde nicht gefunden.
Datei nicht lesbar: Die Datei ist nicht lesbar und der Hashwert konnte nicht berechnet werden.
Nicht installiert: Dieser Status trifft nur für die optionalen Module zu, falls diese nicht installiert
sind.
Nach Anklicken des Buttons Speichern haben Sie die Möglichkeit, das Ergebnis der Prüfung zu speichern.
Schließen Sie das Browserfenster, um den Prüfprozess zu beenden.
Wurden Dateien bzw. Signaturen manipuliert, sind nicht vorhanden bzw. konnten nicht gelesen werden,
teilt Ihnen das Programm dies mit einer entsprechenden Meldung mit. Die Integrität ist damit nicht
bestätigt.
Hinweis: Im Falle von Abweichungen vom Originalzustand der Installation müssen Sie den Rechner auf
sicherheitstechnische Veränderungen und Eingriffe prüfen.
Es wird empfohlen, dass Sie in diesem Falle die Software mit Hilfe des Installationsprogrammes
deinstallieren und erneut installieren. Falls die Verifikation des Zertifikates durch die JVM fehlschlägt oder
andere Dialoge als die abgebildeten angezeigt werden, insbesondere wenn eine andere Seriennummer für
das Signaturzertifikat angezeigt wird, wird nicht das korrekte Prüfprogramm ausgeführt. In diesem Falle
dürfen Sie sich nicht auf die Statusaussagen des Tools verlassen und müssen Ihre Installation der JVM
sowie die URL, von der Sie das OpenLimit SignCubes Integrity Tool bezogen haben, mit den Angaben im
Handbuch vergleichen.
5.4
Die Sperrlistenaktualisierung ist ein Zusatzmodul zu den bestätigten Basiskomponenten und kann aus dem
Menü des Security Environment Managers gestartet werden. Im weiteren Verlauf wird dieses
Zusatzprogramm als OpenLimit SignCubes Sperrlistenaktualisierungsassistent bezeichnet.
Der
folgende
Abschnitt
beschreibt
die
Benutzung
des
OpenLimit
SignCubes
Sperrlistenaktualisierungsassistenten im Detail. Etwaige Fehlermeldungen des OpenLimit SignCubes
Sperrlistenaktualisierungsassistenten sind im Kapitel Fehlermeldungen OpenLimit SignCubes Security
Environment Manager enthalten.
Um eine sichere Signaturprüfung zu gewährleisten, sollten Sie vor der Signaturprüfung die aktuellsten
Sicherheitsdateien herunterladen. Diese Sicherheitsdateien bestehen hauptsächlich aus Sperrlisten, aber
auch die Public Key Directories der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und
Eisenbahnen (Bundesnetzagentur) sollten in regelmäßigen Abständen aktualisiert werden. Sie haben als
Benutzer die Möglichkeit, auszuwählen, welche Sperrlisten heruntergeladen werden sollen. Sie können am
Wurzelzertifikat der geprüften Signatur erkennen, welche Sperrliste Sie verwenden müssen, um die
Signatur korrekt zu prüfen. Als Arbeitsschritt empfiehlt es sich aber immer, vor der eigentlichen
Signaturprüfung stets alle Sperrlisten herunter zu laden, da Sie im Regelfall nicht wissen, von welchem
Zertifikat die zu prüfende Signatur erzeugt wurde und wie das zugehörige Herausgeberzertifikat lautet.
So laden Sie eine aktuelle Sperrliste herunter:
Klicken Sie auf das OpenLimit Icon in der Taskleiste.
Wählen Sie den Menüpunkt Sperrlistenaktualisierung.
Daraufhin öffnet sich der OpenLimit SignCubes Sperrlistenaktualisierungsassistent mit einer Startseite,
die Sie mit Weiter bestätigen können.
Wählen Sie aus der Liste mit einem Klick in die Checkboxen die gewünschten Sicherheitsdateien aus.
Wählen Sie darüber hinaus regelmäßig den Punkt „Aktuelle Vertrauenslisten laden“ aus, um immer die
neusten Herausgeberzertifikate verfügbar zu haben.
Klicken Sie jetzt auf Weiter, es werden die aufgelisteten Dateien aktualisiert.
Der Dateistatus gibt an, wie weit der Download der jeweiligen Datei fortgeschritten ist. Am Ende wird eine
Liste mit Ergebnissen erstellt.
Klicken Sie auf Fertig stellen
Hinweis: Um diese Dateien zu aktualisieren, benötigen Sie eine Internetverbindung. Konnte die
Verbindung nicht hergestellt werden, wird als Statusmeldung 'Fehler beim Download' angezeigt.
Aktuelle Sperrlisten sind notwendig um eine erfolgreiche Signaturprüfung vornehmen zu können. Wenn
sie die Sperrlisten nicht aktualisieren, können Sie auch keine Signaturen bzw. das verwendete
Signaturzertifikat und die Zertifikatskette als gültig verifizieren.
Hinweis: Die Sperrlistenaktualisierung kann über Proxy - Server erfolgen. Voraussetzung dafür ist, dass
die
entsprechenden
Einstellungen
über
den
Internetexplorer/Extras/
Internetoptionen/Internetverbindungen vorgenommen wurden. (Eine automatische Konfiguration ist
nicht vorgesehen.)
Falls eine Anmeldung über User und Passwort erforderlich ist, sind die folgenden Einstellungen notwendig:
Öffnen Sie die Datei siqSOL.ini in dem Ordner C:\Programme\OpenLimit\Data mit einem beliebigen Editor.
Entfernen Sie vor der Bezeichnung User= und Pass= jeweils das Semikolon und tragen Ihre Zugangsdaten
für den Proxy - Server ein.
5.5
Arbeiten mit dem OpenLimit SignCubes Viewer
Der OpenLimit SignCubes Viewer kann aus dem Signaturanforderungsdialog und bei der Signaturprüfung
(PKCS#7 Dateien) jeweils über den Button Daten anzeigen gestartet werden, vorausgesetzt es handelt sich
um Daten im PDF, TIFF oder TXT Format und die Anzeige dieser Dateiformate wurde durch einen
entsprechenden Lizenzcode freigeschaltet. In diesem Fall werden Ihnen die Daten, die Sie signieren bzw.
deren Signatur Sie prüfen wollen, angezeigt. Die Schaltflächen zur Signaturerzeugung und
Signaturverifikation sind nicht aktiv.
Darüber hinaus kann der OpenLimit SignCubes Viewer als separates Programm über Start - Programme OpenLimit SignCubes - OpenLimit SignCubes Viewer gestartet werden. Beim Start über den
Programmordner wird das Programm ohne Datei geöffnet.
Nachdem eine Datei geöffnet wurde, sehen Sie im linken Bereich der Anzeige unter dem OpenLimit Logo
eine Dateivorschau, welche Ihnen die einzelnen Seiten des Dokuments mit der Seitennummer anzeigt. Mit
einem Klick auf die jeweilige Vorschauseite springt die Seitenansicht im rechten Bereich der Anwendung
auf die angewählte Seite. Im dargestellten Beispiel umfasst die TIFF Datei nur eine Seite.
Nach Anklicken des Registers Unterschriften erhalten Sie Detailinformationen zu der bzw. den Signaturen
der Datei. Ist die Datei nicht signiert, wird der Hinweis "Das Dokument ist nicht digital signiert" angezeigt.
Der OpenLimit SignCubes Viewer stellt Ihnen die folgenden Toolbars zur Verfügung.
Die Toolbar Standard
Die folgenden Funktionen können über diese Toolbar angesprochen werden:
Datei öffnen: Hier können Sie eine TIFF oder Textdatei in die Ansicht laden.
Datei speichern unter: Hier können Sie die Datei unter einem beliebigen Namen speichern.
Seitenansicht: Es wird eine Druckvorschau generiert.
Drucken: Hier können Sie die Datei ausdrucken.
Dateiinhalt: Es werden in Abhängigkeit von dem geöffneten Dateiformat weitere Dateiinhalte
angezeigt.
Info: Es werden die Versionsinformation und die Copyright Informationen angezeigt.
Hilfe: Es wird die Benutzerdokumentation (dieses Handbuch) geöffnet
Die Toolbar Ansicht
Diese Toolbar ist nur bei TIFF Dateien aktiv. Textdateien werden immer im Verhältnis 1:1 dargestellt.
Breite anpassen: Das dargestellte Bild wird an die Breite des Fensters angepasst.
Alles darstellen: Das dargestellte Bild wird so in das Fenster eingepasst, dass die gesamte Seite
in dem Fenster dargestellt wird.
Pixelgenau darstellen: Das Bild wird 1:1 pixelgenau dargestellt.
Benutzerdefiniert darstellen: Es erscheint ein Dialog, der Ihnen die Auswahl eines
Zoomverhältnisses zwischen 10% und 300% ermöglicht.
Schwarz/Weiß Darstellung: Sie haben hier die Möglichkeit, ein TIFF-Dokument, welches als Farboder Graustufendarstellung vorliegt, in eine Schwarz/Weiß Darstellung zu transformieren.
Graustufendarstellung: Das aktuelle TIFF-Dokument wird in Graustufen dargestellt.
Originaldarstellung: Wenn Sie von der Option zur Schwarz/Weiß Darstellung oder der
Graustufendarstellung Gebrauch gemacht haben, kommen Sie hier wieder zur Originalansicht.
Die Toolbar Signatur
Diese Toolbar ist nur dann aktiv, wenn das Programm nicht aus dem Signaturanforderungsdialog gestartet
wurde.
Signatur erzeugen: Hier können Sie über den OpenLimit SignCubes Security Environment
Manager die angezeigte Datei elektronisch signieren.
Signatur prüfen: Hier können Sie über den OpenLimit SignCubes Security Environment Manager
eine Prüfung der elektronischen Signatur vornehmen.
In Abhängigkeit von den zur Verfügung stehenden Funktionalitäten können Buttons für weitere
Anwendungen angezeigt werden wie z.B. dem Mailversand.
Hinweise für den Umgang mit Meldungen während der Dokumentanalyse: Wenn ein Dokument durch den
OpenLimit SignCubes Viewer geöffnet werden soll, untersucht der OpenLimit SignCubes Viewer dieses
Dokument nach versteckten Inhalten. Der folgende Abschnitt zeigt Ihnen, wie Sie mit einer solchen
Meldung umgehen können.
Wenn Sie eine TIFF - Datei in den OpenLimit SignCubes Viewer laden, kann die folgende Meldung
erscheinen.
Diese Meldung bedeutet, dass die TIFF Datei zwar inhaltlich korrekt ist, aber Datenfelder enthält, die in der
Darstellung nicht angezeigt werden. Der OpenLimit SignCubes Viewer gibt Ihnen die Möglichkeit, diese
Datenbereiche ebenfalls zu untersuchen. Um diese Bereiche zu untersuchen, klicken Sie auf:
das Symbol für weitere Dateiinhalte in der Toolbar
oder den Menüpunkt Ansicht - weitere Dateiinhalte...
Ihnen wird dann ein Dialog angezeigt, der Ihnen sämtliche Informationen zu den angezeigten Dateiinhalten
liefert.
Sie können sich z.B. in einer TIFF-Datei alle Tags, nur Text Tags oder auch nur die unbekannten Tags
anzeigen lassen. In dem unteren Fenster wird dieser Bereich dann Hexadezimal kodiert dargestellt bzw.
Sie können die Darstellung auch auf Dezimalzahlen umschalten. Wenn Sie den Scrollbalken des Fensters
nach unten bewegen, sehen Sie einen Bereich, in dem versucht wird, die enthaltenen Informationen als
Text darzustellen. Dies gibt Ihnen die Möglichkeit, verborgene Inhalte zu erkennen und z.B. zu entscheiden,
ob Sie die Datei trotz dieser Inhalte signieren möchten. Häufig enthalten TIFF-Dateien noch
Zusatzinformationen, wie einen Autor. Diese Informationen werden in der Bildverarbeitung oft nicht mit
dargestellt. Mit der Analyse durch den OpenLimit SignCubes Viewer haben Sie trotz allem noch die
Möglichkeit, auch diese verborgenen Inhalte zu betrachten.
Hinweis: Die Untersuchung der verwendeten TIFF-Dateien richtet sich an der Adobe TIFF-Spezifikation
6.0 aus. Wenn TIFF-Dateien verwendet werden, die nicht dieser Spezifikation entsprechen, kann das
gelieferte Produkt diese Dateien nicht analysieren und korrekt als TIFF Datei erkennen.
Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 beschrieben.
Untersuchung von TIFF-Dokumenten in der Schwarz-Weiß Darstellung
Das folgende Beispiel erklärt Ihnen, wie Sie versteckte Inhalte in TIFF-Dokumenten erkennen können, die
auf Grund unzureichender Kontrastierung in der Ansicht nicht erscheinen. Sie laden eine Grafik mit dem
OpenLimit SignCubes Viewer, die im ersten Schritt wie folgt dargestellt wird.
Im nächsten Schritt sollten Sie grundsätzlich eine Untersuchung der dargestellten Grafik vornehmen, da
auf Grund zu geringer Farbkontraste enthaltene Informationen bei der Darstellung am Monitor verloren
gehen können. Sie klicken auf den Knopf zur Schwarz/Weiß Darstellung und sehen den folgenden Dialog.
Sie können nahtlos die Einstellung festlegen, ab welchem Punkt die Farbwerte der Farbe Schwarz
zugeordnet werden. Sie bewegen den Schieberegler bis auf eine volle Schwarz-Weiß Darstellung und
können somit den Inhalt der Datei nun genauer untersuchen. Damit haben Sie grundsätzlich die
Möglichkeit, jede farbige Grafik auf verdeckte Inhalte hin zu untersuchen. Nachdem Sie die Einstellungen
vorgenommen haben, klicken Sie auf OK. In der folgenden Darstellung erkennen Sie nun den Inhalt, der auf
Grund der unzureichenden Farbkontraste des Monitors sonst nicht sichtbar gewesen wäre.
Sie haben mit Hilfe des OpenLimit SignCubes Viewers den versteckten Inhalt entdeckt und sollten von der
Erzeugung einer elektronischen Signatur absehen.
Grundsätzlicher Hinweis: Der OpenLimit SignCubes Viewer kann Sie nicht von der Interpretation der
angezeigten Daten befreien. Das TIFF Format ist kein Dateiformat, welches eine Interpretation des
dargestellten Inhaltes durch ein Programm wie den OpenLimit SignCubes Viewer zulässt. Die
Untersuchung der Daten auf versteckte Inhalte wird Ihnen durch diesen Produktbestandteil ermöglicht,
allerdings müssen Sie selbst solche Untersuchungen mit Hilfe der vorhandenen Mechanismen
vornehmen. Das TIFF-Format sieht die Verwendung bestimmter Kompressionsformate innerhalb einer
TIFF-Datei vor. Die sichere Anzeigeeinheit erkennt nicht alle Kompressionsformate und kann daher
auch nicht alle Kompressionsformate anzeigen. In diesem Falle wird die Textmeldung angezeigt: 'Das
Format der Datei ist nicht geeignet'.
Um Inhalte, wie Sie in dem obigen Szenario erläutert wurden, sicher zu erkennen, müssen Sie bei farbigen
TIFF-Dokumenten immer eine Analyse in der Schwarz/Weiß Darstellung vornehmen. Sie könnten sonst ein
Dokument signieren, welches Sie in seinem Inhalt nicht bereit wären, zu signieren.
Hinweis bei der Analyse von Text-Dateien: Bei der Analyse von Textdokumenten kann der OpenLimit
SignCubes Viewer melden, dass Zeichen erkannt wurden, für die keine eindeutige Darstellung definiert
ist. Das bedeutet, dass Zeichen erkannt wurden, die sowohl im OEM Schriftsatz als auch im ANSI
Schriftsatz eine unterschiedliche Bedeutung haben.
Wenn Sie sich nicht sicher sind, ob dadurch der Inhalt eines Textdokuments verfälscht wird, können Sie
sich ebenfalls unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar Klarheit
verschaffen. Die folgende Grafik zeigt, wie die Analyse solcher mehrfach belegten Zeichen im Detail
dargestellt wird.
Ihnen wird angezeigt, welche Zeichen wie oft erkannt wurden. Wenn Sie auf ein Zeichen in der Liste
klicken, wird Ihnen zu jedem Vorkommen des Zeichens angezeigt, in welcher Zeile und Spalte des
Dokuments dieses Zeichen gefunden wurde. So können Sie sich Klarheit verschaffen, ob das Dokument
immer noch den Inhalt hat, den Sie auch bereit sind, zu signieren.
Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 beschrieben.
Bei dem Öffnen einer PDF Datei mit dem OpenLimit SignCubes Viewer kann der folgende Hinweis auftreten:
Damit werden Sie darauf hingewiesen, dass in der PDF Datei Java Scripte enthalten sind. Diese werden in
dem OpenLimit SignCubes Viewer nicht ausgeführt. In dem darauf folgenden Fenster erhalten Sie den
Hinweis auf "Weitere Dateiinhalte", die Sie sich über Ansicht Weitere Dateiinhalte ansehen können.
Unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar haben Sie die Möglichkeit, sich
weitere Dateiinhalte zu dem geöffneten PDF Dokument anzeigen zu lassen:
Allgemein: Es werden Ihnen in zusammengefasster Form die wichtigsten Dateiinhalte
aufgelistet.
Bilder: Zeigt an, welche Bilder auf welcher Seite zu finden sind.
Java Script: Gibt Ihnen eine Auflistung der in dem PDF enthaltenen Java Scripte und dazu
weitere Detailinformationen.
Kommentare: Es werden die Kommentare des PDF mit ihrer Position aufgelistet.
Alle Texte: Unter diesem Register werden alle in dem PDF enthaltenen Texte getrennt nach den
einzelnen Seiten dargestellt.
Viewer Meldungen: In diesem Register werden Ihnen weitere Prüfdetails als Hinweis angezeigt.
Schriften: Es werden die in dem PDF verwendeten Schriftarten aufgezeigt.
Annotationen: Es werden Zusatzinformationen zu in dem PDF enthaltenen Formularfeldern
angezeigt.
Wählen Sie das Register Allgemein erhalten Sie solche Informationen zu dem PDF wie Dateiname,
enthaltene Java Scripte sowie Bilder und die Kopfdaten des PDF angezeigt.
Wählen Sie in dem Register Bilder ein Bild aus und klicken die Schaltfläche Zeigen an, erhalten Sie eine
Liste aller in dem PDF enthaltenen Bilder, die Sie sich fortlaufend anzeigen lassen können.
Die in der PDF Datei enthaltenen Java Scripte werden Ihnen unter dem Register Java Script angezeigt:
Über das Register Alle Texte werden die in der PDF Datei enthaltenen Texte getrennt nach den einzelnen
Seiten zusammengefasst.
Nach Klicken auf die Schaltfläche Zeigen erhalten Sie die Textinformation in dem Textextraktionsdialog
übersichtlich angezeigt:
Unter dem Register Viewer Meldungen werden Ihnen weitere Detailinformationen angezeigt, die sich aus
der Prüfung der Daten bei der Erstellung der Ansicht im Viewer ergeben haben.
Hinweis: Achten Sie darauf, welche Fonts vom Viewer zur Darstellung der Texte verwendet werden. Es
ist möglich, dass bei der Erzeugung des PDF Dokuments Fonts verwendet wurden, die auf Ihrem
Betriebssystem nicht installiert sind. In diesem Falle muss der Viewer diese Fonts durch andere,
ähnliche Fonts ersetzen. Verwenden Sie zur Prüfung von Texten immer den Text-Extraktionsdialog
(Registerkarte: Alle Texte, Button: Anzeigen) um sich über den dargestellten Text zu vergewissern.
Unter dem Register Schriften werden Ihnen die in der PDF Datei verwendeten Schriftarten angezeigt mit
der Information, ob diese Schriftart in der Datei eingebettet ist oder vom Betriebssystem zugeladen wird.
Unter dem Register Annotationen werden Ihnen weitere Zusatzinformationen angezeigt, die in der PDF
Datei Formularfeldern hinzugefügt sind.
Hinweis: Verschiedene Grafik-Programme bieten die Möglichkeit, Vektor Grafiken zu erstellen und
diese in ein PDF Dokument einzubetten. Der Viewer bietet nicht die Möglichkeit, solche Vektor Grafiken
(oder auch so genannte Splines) zu extrahieren und separat darzustellen oder zu untersuchen. Wenn
Sie ein PDF Dokument mit Text signieren wollen, vergewissern Sie sich vorab immer über den TextExtraktionsdialog über den vorhandenen Text. Wenn in diesem Dialog nicht der gesamte Text erscheint,
der vermeintlich in dem PDF Dokument vorhanden ist, ist dieser fehlende Text eine Vektorgrafik.
Solche Dokumente sollten Sie auf keinen Fall signieren!
Hinweis: Der OpenLimit SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen.
Die PDF Dokumente entsprechen der PDF 1.7 Spezifikation. Die Abweichungen von dieser Spezifikation
wurden bereits im Kapitel Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.4 aufgeführt. Das TIFF Dokument kann eine mehrseitige TIFF Datei (Multipage-TIFF) sein.
TXT Dokumente müssen den Regeln für Textdokumente entsprechen. Diese Syntaxprüfung ist auch bei
Dokumenten im Rich Text Format (RTF) oder bei HTML-Quellcode erfolgreich. Die generierte Ansicht
entspricht dabei immer dem Dokumentquellcode, d.h., eine Interpretation der Dateiinhalte, wie sie z.B.
bei HTML Dokumenten von einem Browser vorgenommen wird, kann nicht geleistet werden.
Hinweis: Wenn Sie sich nach der Anzeige durch den OpenLimit SignCubes Viewer hinsichtlich der zu
signierenden Daten nicht sicher sind, dann sollten Sie diese Daten nicht signieren.
5.6
Signaturerzeugung
Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 bietet Ihnen die Möglichkeit, eine
qualifizierte Signatur nach dem deutschen Signaturgesetz zu erstellen. Es können aber auch
fortgeschrittene und andere Signaturen erzeugt werden. Im Signaturgesetz werden verschiedene
Anforderungen an eine qualifizierte Signatur gestellt. So muss der Benutzer z.B. die Möglichkeit haben, die
zu signierenden Daten in einer geeigneten Darstellungsform zu betrachten. Diese Möglichkeit wird Ihnen
in dem Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 über den OpenLimit SignCubes
Viewer eingeräumt.
Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 ist für den Umgang mit den im
Kapitel Chipkarten aufgelisteten Smartcards bestimmt. Sie müssen bei der Signaturerzeugung immer
darauf achten, dass Sie das richtige Zertifikat für die Signaturerzeugung verwenden.
Es ist technisch ohne weiteres möglich, Signaturen mit beliebigen Zertifikaten zu erzeugen. Um eine
qualifizierte Signatur zu erzeugen, müssen Sie immer ein Zertifikat verwenden, dessen Eigenschaften
ausdrücklich darauf verweisen, dass es für die Erzeugung unabweisbarer elektronischer Signaturen
vorgesehen ist. Diese Eigenschaften werden Ihnen beim Zertifikatsauswahldialog unter
Verwendungszweck (Zulässige allgemeine Zwecke) angezeigt.
Weiterhin können Sie sich mit einem Klick auf den Button Details ... die Eigenschaften des Zertifikates im
Zertifikatseigenschaftendialog anzeigen lassen.
Die angezeigten Zertifikatseigenschaften sind in der folgenden Abbildung enthalten:
Klicken Sie auf OK , um diesen Dialog wieder zu schließen. Um eine Signatur zu erzeugen, haben Sie mit den
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 mehrere Möglichkeiten.
Wenn Sie z.B. eine Signatur über den OpenLimit SignCubes Viewer erzeugen, klicken Sie auf das Symbol
'Signatur erzeugen' oder wählen den entsprechenden Menüpunkt.
Anschließend erscheint das folgende Fenster:
Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt.
Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitere
Detailinformationen, wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche PIN,
angezeigt werden.
Es erfolgt sofort die Aufforderung zur PIN Eingabe.
Klicken Sie auf den Button Details, so erscheint das Signaturanforderungsfenster, in dem Ihnen
weitere Detailinformationen angezeigt werden. Nach dem Sie in diesem Fenster auf Signatur
erzeugen geklickt haben, erscheint die Aufforderung zur PIN Eingabe.
Die folgenden Informationen sind in dem Signaturanforderungsdialog enthalten:
Anwendung: Enthält den Namen der Anwendung sowie den Pfad der Anwendung. Hier können Sie
jederzeit erkennen, mit welcher Anwendung eine elektronische Signatur erzeugt werden soll.
Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. Mit dem Knopf
Zertifikat anzeigen können Sie sich das Zertifikat jederzeit anzeigen lassen.
Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der eingelegten Karte
angezeigt.
Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese Kategorie
sorgfältig, damit Sie bei Karten mit mehreren PINs nicht die falsche PIN eingeben.
Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an.
Daten: Zeigt an, welche Datei signiert werden soll. Mit einem Klick auf den Knopf Daten anzeigen
können Sie wiederum den OpenLimit SignCubes Viewer starten, um die Daten zu betrachten.
Mit einem Klick auf den Knopf Signatur erzeugen können Sie jetzt die elektronische Signatur erzeugen.
Beachten Sie bitte, dass automatisch die sichere PIN-Eingabe gestartet wird. Wenn die Daten signiert
wurden, erscheint ein Informationsfenster, welches Ihnen mitteilt, dass die Daten signiert wurden.
Hinweis: Wenn Sie automatisch eine OCSP-Antwort und/oder einen Zeitstempel während der
Signaturerzeugung einbinden, sollten Sie nach der Signaturerstellung die Signatur prüfen und sich die
Einzelheiten der OCSP-Antwort und des eingeholten Zeitstempels anzeigen lassen. Die Gültigkeit der
OCSP-Antwort und des Zeitstempels werden erst dann auf Sperrlistenbasis vollständig geprüft, wenn
Sie sich die Eigenschaften der eingebundenen Daten anzeigen zu lassen.
Hinweis: Die OpenLimit SignCubes Basiskomponenten bieten die Möglichkeit, mehrere Dateien in einem
Durchgang zu signieren. Damit Sie diesen Modus verwenden können, benötigen Sie jedoch eine
zusätzliche OpenLimit Anwendung. Wenn dieser Modus aktiviert wird, erscheint der folgende
Signaturanforderungsdialog.
In diesem Falle wird der Button Daten anzeigen in Abhängigkeit von der ausgewählten Datei aktiviert.
Hinweis: Die Aktivierung des Mehrfachsignaturmodus erkennen Sie an der Dateiauswahlliste. Wenn Sie
diesen Dialog sehen, können Sie mit einem Klick auf den Pfeil die Dateiauswahlliste aufklappen und
erkennen, welche Dateien signiert werden sollen.
Wenn der Signaturvorgang gestartet wird, erscheint ein Fortschrittsdialog, der Sie über die aktuell zu
signierende Datei informiert. Wenn Sie den Button Abbrechen drücken, werden alle bis zu diesem
Zeitpunkt erzeugten Signaturdateien wieder verworfen.
Hinweis: Da Sie in diesem Modus mehrere Dateien in einem Durchgang signieren können, sollten Sie
sich stets über Inhalt aller zu signierenden Daten vergewissern.
5.7
Attributzertifikate
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 bieten dem Anwender die Möglichkeit, der
elektronischen Signatur mit dem Signaturzertifikat zusätzliche Attributzertifikate hinzuzufügen.
Dazu wird in dem OpenLimit SignCubes Security Environment Manager die Option Attributzertifikate
automatisch mitsignieren eingestellt. Im Ergebnis dessen wird bei jeder Signaturerstellung das zu dem
Signaturzertifikat zugehörige Attributzertifikat bzw. die Attributzertifikate (es sind auch mehrere möglich)
hinzugefügt.
Klicken Sie in der Task-Leiste auf das OpenLimit Symbol, wählen Sie den Menüpunkt Einstellungen und
setzen für Attributzertifikate automatisch mitsignieren den Haken.
Bei der Signaturerstellung mit dieser eingestellten Option erfolgt die Integration des Attributzertifikats
automatisch. Voraussetzung dafür ist, dass die Datei des Attributzertifikats in dem Verzeichnis Eigene
Dateien\AttributeCertificates abgelegt ist und zum Signaturzertifikat gehört.
Die Informationen des Attributzertifikats werden bei der Signaturprüfung zusätzlich zu den Daten des
Signaturzertifikats angezeigt. Starten Sie dazu die Signaturprüfung
Klicken Sie auf das Register mit dem Namen (Unterzeichner).
Klicken Sie auf den Button Details und wählen anschließend in dem Fenster das Register Details aus:
Nach Auswahl des Feldes Beschränkung wird Ihnen in der unteren Hälfte des Fensters der Inhalt des
Attributzertifikats angezeigt.
Hinweis: Das Verzeichnis Eigene Dateien/AttributeCertificates wird durch den OpenLimit SignCubes
Security Environment Manager automatisch beim ersten Einlesen einer Smartcard angelegt. Die
Attributzertifikate müssen in diesem Verzeichnis abgelegt sein.
In dem Fall, dass Sie als Anwender ein anderes Verzeichnis für die Attributzertifikate definieren wollen,
können Sie dies über die Verzeichniseinstellungen des OpenLimit SignCubes Security Environment
Managers vornehmen. Weitere Informationen dazu finden Sie in dem Abschnitt Option: Verzeichnisse.
5.8
Zeitstempeldienste
Mit dem in den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 bereitgestellten
Zeitstempeldienst haben Sie die Möglichkeit, sich die Zeitstempelinformationen, die Daten hinzugefügt
wurden, anzeigen zu lassen und dessen Signatur zu prüfen. Starten Sie dazu die Signaturprüfung:
Scrollen Sie in dem Fenster weiter nach unten, dann bekommen Sie die Informationen zum Zeitstempel
angezeigt.
Klicken Sie auf die Schaltfläche Details und wählen Sie in dem folgenden Fenster „Zeitstempel“ aus.
Klicken Sie auf die Schaltfläche Details.
In dem folgenden Fenster wird unter dem Register Zusammenfassung das Ergebnis der Signaturprüfung zu
der angeführten Prüfzeit dargestellt. Unter dem Register TSP-Details erhalten Sie weitere
Einzelinformationen.
Wenn Sie auf den Registerkartenreiter TSP-Details klicken, werden Ihnen detaillierte Informationen zum
Zeitstempel angezeigt.
Wenn Sie auf den Knopf 'Signatur-Zertifikat anzeigen' klicken, wird Ihnen das Zertifikat angezeigt, welches
den Zeitstempel unterzeichnet hat. Zudem wird Ihnen die komplette Zertifikatskette zu diesem Zertifikat
angezeigt. Sie sollten immer die Gültigkeit des Zertifikats, mit dem der Zeitstempel signiert ist, prüfen.
Wenn Sie mit dem Produkt einen Zeitstempel abholen, sollten Sie immer das unterzeichnende Zertifikat
des Zeitstempels überprüfen, um sicherzustellen, dass Sie vom beabsichtigten Zeitstempeldienst eine
Antwort erhalten haben. Das Produkt kann die Quelle des Zeitstempels nicht garantieren, die Prüfung mit
Hilfe des Zertifikates muss von Ihnen durchgeführt werden. Sie müssen in jedem Fall selbst entscheiden,
ob Sie dem Zeitstempel vertrauen.
Hinweis: Wenn in der PKCS#7 Signaturdatei bzw. in der XML-Signatur ein Zeitstempel vorhanden ist,
wird Ihnen automatisch auch das Ergebnis der Gültigkeitsprüfung der Signatur zu dem Zeitpunkt
mitgeteilt, der durch den Zeitstempel angegeben wird.
Hinweis: Die Funktion des Zeitstempeldienstes kann nur dann genutzt werden, wenn am PC eine
Internetverbindung zu dem Zeitstempeldiensteanbieter besteht.
5.9
XML Signaturen
Die Erzeugung von XML-Signaturen bzw. die Verifikation von XML-Signaturen kann grundsätzlich nur über
Drittanwendungen aktiviert werden, die wiederum auf die Funktionen der OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.4 zugreifen. Damit stehen dem Anwender für die Signaturerzeugung
von XML-Signaturen auch die Zeitstempeldienste, das Einbinden der OCSP - Anfrage und vorhandener
Attributzertifikate zur Verfügung.
Signaturerzeugung für XML Daten
Wird über die Drittanwendung
Signaturanforderungsdialog:
die
Signaturerzeugung
gestartet,
erscheint
Nach Anklicken des Button Daten anzeigen werden die folgenden Informationen angezeigt:
der
folgende
Nach Anklicken des Button Details wird der OpenLimit SignCubes Viewer gestartet und die ausgewählten
Daten werden angezeigt. Es sind nicht die referenzierten Daten sondern der XML-Datenstrom:
Verifizieren von XML-Signaturen
Wird über die Drittanwendung
Informationsfenster:
die
gestartet,
erscheint
Nach Anklicken des Button Details werden die folgenden Informationen angezeigt:
das
folgende
Nach Anklicken des Button Details wird der OpenLimit SignCubes Viewer geöffnet und die ausgewählten
Daten werden angezeigt:
6 Arbeitsabläufe
Die Arbeitsabläufe unter den verschiedenen Modulen der OpenLimit SignCubes Software sind immer
wieder dieselben. Deshalb beschreiben wir in diesem separaten Kapitel nur die immer wiederkehrenden
Abläufe. Wie diese gestartet oder angesteuert werden, können Sie in dem Abschnitt unter Arbeiten mit den
OpenLimit SignCubes Basiskomponenten 2.5.0.4 nachlesen.
6.1
Dateiformate
Die OpenLimit SignCubes 2.5 Software speichert Daten in verschiedenen Dateiformaten ab. Das Format
können Sie über den OpenLimit SignCubes Security Environment Manager einstellen. Standardmäßig wird
bei der Installation der Software das Format so eingestellt, dass die Signaturdatei und die Originaldaten in
einer Datei gespeichert werden.
p7s - Format
*.p7s Dateien sind PKCS#7-Daten: Es handelt sich dabei um eine abgesetzte Signatur (detached signature).
Das heißt, die signierten Daten und die Signatur sind in zwei getrennten Dateien gespeichert. Diese
Vorgehensweise hat den Vorteil, dass man sich die Originaldaten mit dem dazugehörigen Programm
ansehen kann. Solange diese nicht geändert werden, bleibt auch die Signatur gültig. Die Signatur ist mit
der Originaldatei durch denselben Dateinamen verbunden. Wenn Sie eine p7s Datei mit einem Doppelklick
öffnen, wird automatisch die Signaturprüfung gestartet.
p7m - Format
*.p7m Dateien sind PKCS#7-Daten: Dahinter können sich signierte, verschlüsselte oder signierte und
verschlüsselte Daten verbergen.
Signierte bzw. signierte und verschlüsselte p7m-Dateien liegen als Verbund-Dateien vor. Das heißt, die
Datei beinhaltet sowohl eine oder mehrere Signaturen im p7s-Format als auch die Originaldaten, welche
signiert oder signiert und verschlüsselt wurden. Wenn Sie eine p7m-Datei doppelklicken, wird die Datei
entschlüsselt, sofern sie verschlüsselt war. Anschließend wird die Signaturprüfung gestartet, sofern eine
Signatur vorhanden ist.
Hinweis: Verschlüsselte Daten werden immer als *.p7m Datei gespeichert. Bei Signaturen mit der
OpenLimit SignCubes Shell Extension können Sie zwischen p7s (Daten und Signatur getrennt) oder p7m
(Daten und Signatur in einer Datei) wählen, indem Sie die Einstellungen ändern.
ors - Format
*.ors Dateien sind Online-Statusabfragen zu Zertifikaten. Der Status eines Zertifikats kann bei der
Signaturerstellung oder -prüfung vom Trustcenter abgefragt werden und gibt eine Aussage über die
Gültigkeit des Zertifikats.
tsr - Format
*.tsr Dateien sind Zeitstempelinformationen. Zur Erzeugung von Zeitstempeln benötigt der User einen
speziell freigeschalteten Zugriff auf einen Zeitstempel-Dienst. Ein Zeitstempel gibt eine Aussage darüber,
dass gewisse Daten zu einem bestimmten Zeitpunkt existiert haben. Dies wird durch eine digital signierte
Bescheinigung einer Zertifizierungsstelle bestätigt.
crl - Format
*.crl - Dateien sind Sperrlisten: Durch Anklicken mit der rechten Maustaste wird die Sperrliste geöffnet und
Sie können sich weitere Details zu einzelnen Zertifikaten anzeigen lassen.
cer - Format
*.cer - Dateien sind Zertifikatsdateien: Mit einem Doppelklick haben Sie die Möglichkeit, sich dieses
Zertifikat anzeigen zu lassen.
6.2
Signieren
Die OpenLimit SignCubes Software bietet Ihnen verschiedene Möglichkeiten, qualifizierte Signaturen nach
deutschem Signaturgesetz zu erstellen. Es können aber auch fortgeschrittene oder andere Signaturen
erstellt werden.
Unabhängig davon, aus welchem Modul heraus Sie den Vorgang der Signaturerzeugung starten, ist der
nachfolgend beschriebene Ablauf immer gleich:
Datei signieren
Nach dem Start der Signaturerzeugung öffnet sich das folgende Fenster:
Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt.
Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitere
Detailinformationen, wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche PIN,
angezeigt werden. Es erfolgt sofort die Aufforderung zur PIN Eingabe.
Klicken Sie auf den Button Details, so erscheint das nachfolgende Signaturanforderungsfenster, in dem
Ihnen weitere Detailinformationen angezeigt werden.
Hier sehen Sie das Zertifikat, welches zur Signaturerzeugung verwendet wird, die Karte, die erforderliche
PIN, den Kartenleser und die zu signierenden Daten.
Vor der Signaturerzeugung sollten Sie sich im Fall von Daten im TXT, TIFF oder PDF Format über Daten
anzeigen die zu signierenden Daten im OpenLimit SignCubes Viewer anzeigen lassen, um sicher zu sein,
welche Daten Sie tatsächlich signieren. Klicken Sie dazu auf den Button Daten anzeigen.
Nach dem Sie in diesem Fenster auf Signatur erzeugen geklickt haben, erscheint die Aufforderung zur PIN
Eingabe.
Je nach Kartenleser erscheint nun eine unterschiedliche Meldung.
Geben Sie die PIN auf der Tastatur des Kartenlesers ein, eventuell müssen Sie diese mit OK bestätigen.
Anschließend erscheint ein Fenster mit der Meldung, dass die Daten signiert wurden.
Sollte hier ein Fenster mit der Meldung erscheinen, dass die eingegebene Signatur-PIN zurückgewiesen
wurde, dann bedeutet das, dass Sie eine falsche PIN eingegeben haben.
6.3
Signatur prüfen
Die Prüfung einer Signatur erfordert Sorgfalt und Umsicht. Folgende Punkte sollten geprüft werden:
Ist das Dokument wirklich unverändert?
Ist der Signaturinhaber echt?
Ist das Zertifikat nicht gesperrt?
Einige Teile der Prüfung werden automatisch von der Software vorgenommen. Ob aber einem Zertifikat
vertraut werden kann, liegt in der Entscheidung des Benutzers. Qualifizierte Signaturen nach dem
deutschen Signaturgesetz lassen sich lückenlos zurückverfolgen bis zur Bundesnetzagentur. Das
Herausgeberzertifikat der Bundesnetzagentur ist in die Software integriert. Dieser Zertifizierungspfad
muss mathematisch korrekt und lückenlos sein. Aber auch andere Wurzelzertifikate können im
Betriebssystem als vertrauenswürdig definiert werden.
Deshalb bleibt es grundsätzlich dem Benutzer überlassen, welchen Zertifikaten er vertraut und welchen
nicht.
Weitere Information zu den Abläufen der Signaturprüfung und der Public Key Infrastruktur finden Sie
unter Grundlagen der elektronischen Signatur.
6.3.1
Zusammenfassung
Nachdem Sie auf Signatur Prüfen geklickt haben, erscheint der Dialog Details zur Signaturprüfung:
In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oder
mathematisch korrekt ist.
Ist eine Signatur ungültig, dann wurden die Daten verändert oder die Zertifizierungskette konnte nicht
erfolgreich geprüft werden.
Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde.
Außerdem wurde auch die Signatur an sich nicht manipuliert. Empfehlenswert ist es in diesem Fall, eine
OCSP Abfrage durchzuführen und sich auf diesem Weg bestätigen zu lassen, dass das Signaturzertifikat
zum Zeitpunkt der Signaturerstellung gültig und nicht gesperrt war. Dazu wählen Sie das Register mit dem
Namen des Signaturinhabers.
6.3.2
Details
Nach Anklicken des Registers mit dem Namen des Signaturinhabers wird Ihnen folgendes Fenster
angezeigt.
Im Einzelnen erhalten Sie folgende Informationen:
Hashwertprüfung: Hier wird die Integrität der Daten überprüft. Ist die Hashwertprüfung positiv,
bedeutet dies, dass die Daten seit dem Signieren nicht verändert wurden. Negativ bedeutet, dass
die Daten verändert wurden - in diesem Fall ist die Signatur ungültig. Wird als Zusatzinformation
ein Hinweis angezeigt, dass der eingesetzte Hashalgorithmus als ungeeignet eingestuft wird,
dann bedeutet das, dass für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1)
verwendet wurde, der für die Erzeugung qualifizierter Signaturen nicht zulässig ist.
Prüfung von Signatur und Zertifizierungspfad: Hier wird angegeben, ob eine Beschädigung der
Signatur vorliegt und ob der Zertifizierungspfad vollständig ist.
Zeitpunkt der Signaturerzeugung (Systemzeit): Hier wird die Zeit angegeben, die auf dem
Rechner zum Zeitpunkt der Signaturerzeugung eingestellt war.
Vertrauensbasis: Hier wird die Vertrauenswürdigkeit des Zertifikats angegeben. Weiterhin wird
der für die Signaturprüfung verwendete Algorithmenkatalog angezeigt.
Zertifikatsstatus: Anhand von Sperrlisten wird geprüft, ob das Zertifikat gesperrt wurde. Wenn
hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von aktuellen Sperrlisten oder
eine Online-Prüfung über den Button Onlinestatus...
Aktuelle Zeit als Prüfzeit (Sperrlistenprüfung): Anhand von Sperrlisten wird geprüft, ob das
Zertifikat zum Zeitpunkt der Prüfung gültig war.
6.3.3
Online Prüfung von Zertifikaten
Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch Online abgefragt werden.
Nach einem Klick auf Onlinestatus... in dem Fenster OpenLimit SignCubes - Details zur
Unterschriftsprüfung wird das Fenster Online Status-Prüfung (OCSP) geöffnet. Für die Prüfung muss eine
Verbindung mit dem Internet bestehen.
Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt
oder unbekannt. Das Ergebnis der Online Status-Prüfung wird im normalen Prüfdialog nicht angezeigt. Der
Prüfdialog bezieht sich lediglich auf die Sperrlisten.
6.3.4
Online Status
Wurde bei der Signaturerstellung der Signatur ein Online Status zugefügt, dann können Sie sich diesen bei
der Signaturprüfung ansehen.
Klicken Sie auf den Button Details, um die Einzelheiten der Signaturprüfung anzuzeigen.
Wählen Sie dann Online Status aus und klicken Sie auf Details, um die Einzelheiten der Online Status
Prüfung zum Zeitpunkt der Signaturerzeugung zu sehen.
Klicken Sie auf Details.
Mit Zertifikat anzeigen wird das Zertifikat der Person angezeigt, die die Signatur erzeugt hat.
Mit Signatur-Zertifikat anzeigen wird das Zertifikat der Zertifizierungsstelle angezeigt, die die Online
Status Antwort signiert hat.
Mit Online Status exportieren können Sie die Datei als *.ors speichern. Um sich das Ergebnis der
OnlinePrüfung vollständig ansehen zu können, müssen Sie das dazugehörige Zertifikat in dem gleichen
Ordner ablegen.
6.3.5
Erstellen Prüfprotokoll
Falls in Ihrer Programmversion der OpenLimit SignCubes 2.5 das Modul zum Erstellen eines Prüfprotokolls
mit installiert wurde, haben Sie die Möglichkeit, durch Anklicken des Button Speichern ein Prüfprotokoll zu
erzeugen und zu speichern. Andernfalls wird der Button nicht angezeigt.
Wählen Sie das Verzeichnis und den Dateinamen für das Prüfprotokoll aus. Standardmäßig wird das
Protokoll in dem Ordner Eigene Dateien\VerificationProtocols abgespeichert.
Das Prüfprotokoll enthält folgende Angaben:
Dokumentbeschreibung: Die Dokumentbeschreibung zeigt den Dateinamen und das temporäre
Verzeichnis an, in dem das Prüfprotokoll als Datei zwischengespeichert wird, bevor es entweder
abschließend in dem Verzeichnis Eigene Dateien\VerificationProtocols oder in einem durch den
Anwender definierten Verzeichnis abgelegt wird.
Prüfumgebung: Die Prüfumgebung weist aus, wann (Datum und Uhrzeit) die Prüfung
durchgeführt wurde und durch welchen Nutzer.
Zusammenfassung der Prüfergebnisse: Hier wird das Ergebnis der Hashwertprüfung und die
Überprüfung der Zertifizierungskette zusammengefasst dargestellt.
Informationen zur Signatur: An dieser Stelle erhalten Sie weitere Detailinformationen zur
Signatur wie den Namen des Unterzeichners, die Signaturzeit, die Vertrauensbasis des
Herausgeberzertifikats, den Hashwert, das Ergebnis der Hashwertprüfung und welcher
Signaturalgorithmus verwendet wurde.
Informationen zum verwendeten Signatur-Zertifikat: Hier werden die Angaben zum
Herausgeberzertifikat, d.h. wer ist der Herausgeber, die Seriennummer des
Herausgeberzertifikats und die Gültigkeit ausgewiesen.
Durch die Symbolik im Hintergrund des Prüfprotokolls (grüner Haken, gelbes Ausrufezeichen, roter
Warnkreis) wird das Ergebnis der Prüfung optisch zusätzlich verdeutlicht. Dabei haben die Symbole
folgende Bedeutung:
Grüner Haken: Die Signatur wurde gültig geprüft.
Gelbes Ausrufezeichen: Es gibt Hinweise darauf, dass die Signatur nicht vollständig geprüft
werden konnte, weil z.B. Sperrlisten oder Herausgeberzertifikate fehlten bzw. nicht aktuell
waren. In diesem Fall sollten Sie die Aktualisierung der Sperrlisten einschließlich der
Vertrauenslisten durchführen und die Signaturverifikation nochmals starten. Weitere
Informationen dazu finden Sie in dem Kapitel Sperrlistenaktualisierung.
Roter Warnkreis: Dieses Symbol weist daraufhin, dass die Datei eine ungültige Signatur besitzt.
In diesem Fall sollten Sie im Detail prüfen, ob die Daten manipuliert wurden, das Zertifikat
abgelaufen oder gesperrt ist.
Hinweis: In Abhängigkeit von dem installierten Programm-Modul zum Erstellen des Prüfprotokolls kann
die o.g. Beschreibung abweichen. Das kann sowohl das Dateiformat des Prüfprotokolls als auch die
Informationen, die im Ergebnis der Prüfung dargestellt und gespeichert werden, betreffen.
6.4
Verschlüsselung
Die Verschlüsselung schützt vor den Augen Dritter. Sie können jegliche Daten verschlüsseln, egal ob diese
auf dem Rechner gespeichert oder ob sie per e-Mail über das Internet gesendet werden. Da die
Verschlüsselung aber nicht vor Viren schützt, ist es ratsam, verschlüsselte Daten, die archiviert werden
sollen, zusätzlich auf externen Datenträgern zu sichern bzw. nach dem Entschlüsseln auf jeden Fall nach
Viren zu prüfen.
Zunächst wird das Dokument mit einem Zufallsschlüssel im Triple DES-Verfahren verschlüsselt. Das heißt,
das Dokument wird dreimal hintereinander mit 192 Bit verschlüsselt. Der Zufallsschlüssel wird dann mit
dem öffentlichen Schlüssel des Empfängers verschlüsselt. Hier kommt die 1024 Bit RSA-Verschlüsselung
zum Einsatz.
Man benötigt zum Verschlüsseln also immer den öffentlichen Schlüssel des Empfängers (das können auch
mehrere sein). Dieser ist in ein Verschlüsselungszertifikat integriert und kann im Verzeichnisdienst des
Trustcenters abgerufen und auf dem Computer installiert werden. Sie können sich auch die
Verschlüsselungszertifikate Ihrer Kommunikationspartner per e-Mail schicken lassen. Ihr eigenes
Zertifikat können Sie aus der Karte exportieren. Alle installierten Zertifikate werden von der Software
automatisch angezeigt. Das verschlüsselte Dokument und der verschlüsselte Zufallsschlüssel werden dann
zusammen archiviert oder per e-Mail an die Kommunikationspartner versandt.
In der Praxis ist es empfehlenswert, Daten durch eine Kombination von elektronischer Signatur und
Verschlüsselung zu sichern.
6.4.1
Daten verschlüsseln
Die Verschlüsselung von Daten ist nicht gesetzlich geregelt. Dennoch ist es ratsam, Daten zusätzlich zur
Signatur zu verschlüsseln, weil dadurch gewährleistet wird, dass nur bestimmte Personen Einblick in die
Daten haben.
Wenn Sie Daten verschlüsseln, sollten Sie mindestens zwei Zertifikate verwenden (Ihres und das einer
vertrauenswürdigen Person). Wenn Sie Ihre Karte verlieren sollten oder sie auf andere Art unbrauchbar
wird, sind die verschlüsselten Daten ansonsten unwiederbringlich verloren. Es gibt keine Kopien Ihres
privaten Schlüssels und eine Wiederherstellung ist unmöglich.
Verschlüsselungszertifikate auswählen
Nachdem Sie auf Verschlüsseln
Verschlüsselungszertifikaten.
geklickt
haben,
erscheint
der
Dialog
zur
Auswahl
von
Hier werden alle öffentlichen Schlüssel angezeigt, die auf dem Rechner installiert sind. Sollten Sie auf der
linken Seite keine Zertifikate außer Ihr eigenes sehen, müssen Sie sich die öffentlichen Schlüssel der
Empfänger beschaffen. Sie haben dazu mehrere Möglichkeiten:
Download oder Installation über den Verzeichnisdienst, dazu erhalten Sie weitere Informationen
in dem Abschnitt Verzeichnisdienst.
durch Installation des Schlüssels, den Sie als cer - Datei erhalten haben, falls Sie mit diesem
Kommunikationspartner mehrfach verschlüsselt kommunizieren wollen; Weitere Informationen
finden Sie in dem Abschnitt Zertifikate installieren
oder durch Einfügen der *.cer-Datei, in dem Sie auf den Button aus Datei klicken
Nur die Zertifikatsinhaber der ausgewählten Zertifikate können die Datei entschlüsseln. Es ist also ratsam,
auch das eigene Zertifikat hinzuzufügen.
Wenn ein Zertifikat selektiert ist, können im unteren Fenster die Informationen dazu angesehen werden.
Nach einem Klick auf Hinzufügen oder einem Doppelklick auf den Zertifikatsnamen wird das Zertifikat in
die rechte Liste kopiert.
Klicken Sie dann auf Übernehmen, um die Daten für die ausgewählten Zertifikate zu verschlüsseln.
Selektierte Zertifikate können mit Hinzufügen und Entfernen von einem Fenster ins andere verschoben
werden. Unter Details... wird das ausgewählte Zertifikat angezeigt. Um sicher zu gehen, dass das Zertifikat
nicht gesperrt ist, kann nach einem Klick auf Details... der Onlinestatus geprüft werden, wenn die CA das
unterstützt. Ansonsten funktioniert meist auch eine Suche im Verzeichnisdienst (Button weitere...).
Einstellung des Verschlüsselungsalgorithmus
Für den Verschlüsselungsalgorithmus sollten Sie nur dann andere Einstellungen vornehmen, wenn es aus
Gründen der Kompatibilität mit anderen Programmen unbedingt notwendig ist.
6.4.2
Verschlüsselungszertifikat exportieren
Der OpenLimit SignCubes Security Environment Manager bietet Ihnen die Möglichkeit, Ihr
Verschlüsselungszertifikat zu exportieren. Das Zertifikat können Sie dann z.B. per e-Mail an eine andere
Person senden, damit diese wiederum Dokumente für Sie verschlüsseln kann.
Weitere Informationen dazu finden Sie in dem Kapitel Chipkarten Optionen/Zertifikate exportieren.
6.4.3
Zertifikate installieren
Ein Zertifikat aus dem Verzeichnisdienst installieren Sie einfach, indem Sie auf den Button Installieren im
Ergebnisdialog klicken. Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im
Zertifikatsauswahldialog.
Die Zertifikate auf der Karte, die in Ihrem Kartenleser stecken, werden automatisch installiert.
Wenn Sie ein Zertifikat auf anderem Weg erhalten, z.B. per E-Mail, liegt es als Datei vor. Sie müssen es über
den Zertifikatsdialog von Windows installieren.
Zertifikate unter Windows installieren
Doppelklicken Sie das Zertifikat im Windows Explorer.
Im Zertifikatsdialog von Windows auf Zertifikat installieren klicken.
Die Gültigkeitsangaben des Windows Zertifikatsdialoges sollten Sie nicht interessieren, da Windows nicht
immer mit Signatur-Zertifikaten umgehen kann. Negative Aussagen haben keine Relevanz. Gründe dafür
können neben Inkompatibilität mit den Signaturstandards auch fehlende Algorithmen sein.
Nach dem Startdialog folgt mit einem Klick auf Weiter der Zertifikatsspeicherdialog.
Wählen Sie: Alle Zertifikate in folgendem Speicher speichern.
Klicken Sie auf Durchsuchen...
Wählen Sie den Ordner Andere Personen und bestätigen Sie mit OK.
Klicken Sie im Assistenten auf Weiter
und anschließend auf Fertig stellen.
Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im Zertifikatsauswahl Dialog.
6.4.4
Verzeichnisdienst
Nach einem Klick auf weitere... wird der Verzeichnis Client geöffnet.
Für die Suche können Sie Wildcards (*) benutzen. Das sind Platzhalter, die man für unbekannte Buchstaben
platzieren kann. Wenn Sie dies nicht tun, müssen Sie die exakte Schreibweise des gesuchten Namens
kennen. Geben Sie am besten den Nachnamen zwischen Wildcards ein: z.B. *Daneller*. Wenn es sich um
einen sehr häufigen Namen handelt, ist als Suchbegriffe die E-Mail-Adresse empfehlenswert.
Zertifikat suchen
Tragen Sie den oder die Suchbegriffe in die Felder ein.
Wählen Sie den Verzeichnisdienst der CA, die das Zertifikat herausgegeben hat.
Klicken Sie auf Starten.
Zum Suchen nicht auf Weiter sondern auf Starten klicken. Die Weiter und Zurück Button ermöglichen eine
erneute Suche und ein einfaches Hin- und Herschalten zwischen Ergebnis- und Suchdialog.
Wenn Sie eine Fehlermeldung erhalten, dass die zulässige Größe überschritten ist, dann haben Sie zu viele
Suchergebnisse erhalten. Diese Funktion dient dem Datenschutz, so dass nicht einfach mit einer * * -Suche
alle Zertifikate gefunden werden können. Geben Sie weitere Buchstaben in den Suchbegriff ein.
Ergebnis
Im Ergebnisdialog werden alle gefundenen Zertifikate angezeigt.
Zertifikate übernehmen
Mit einem Klick auf den Namen wird rechts die Zertifikatsinformation angezeigt.
Über den Button Details kommt man zur Zertifikatsanzeige, wo man sich noch einmal die
Einzelheiten ansehen kann. Die meisten CAs nehmen gesperrte und ungültige Zertifikate aus
dem Verzeichnisdienst, so dass sich eine Statusprüfung erübrigt, wenn man hier ein Zertifikat
gefunden hat.
Damit das Zertifikat auf dem Rechner bei jeder Verschlüsselung automatisch angezeigt wird,
kann es installiert werden. Dies sollten Sie für Zertifikate tun, die Sie oft benutzen.
Haken Sie die Checkbox vor dem Namen der Zertifikate an, die für die Verschlüsselung
übernommen werden sollen.
Klicken Sie auf Übernehmen.
Die Zertifikate erscheinen dann im Zertifikatsauswahl Dialog (Verschlüsseln) auf der rechten
Seite.
6.5
Entschlüsselung
Um das Dokument wieder entschlüsseln zu können, wird der Zufallsschlüssel im Klartext benötigt. Er kann
nur mit dem privaten Schlüssel entschlüsselt werden. Dazu braucht der Benutzer die Karte mit dem, zu
dem öffentlichen Schlüssel zugehörigen privaten Schlüssel und der PIN.
Ist der Zufallsschlüssel entschlüsselt, kann auch das gesamte Dokument entschlüsselt werden. Auch diese
Abläufe übernimmt die Software automatisch.
Durch dieses Verfahren ist gesichert, dass nur der Karteninhaber mit seiner PIN das Dokument
entschlüsseln und lesen kann. Die Daten können auch für mehrere Zertifikate verschlüsselt werden. Wir
empfehlen grundsätzlich, alle Daten, mindesten mit zwei öffentlichen Schlüsseln, für eine andere
vertrauenswürdige Person und sich selbst, zu verschlüsseln. Bei Daten, die versendet werden, empfiehlt es
sich das eigene Zertifikat und das des Empfängers. Wenn die eigene Karte verloren geht, oder
möglicherweise aus anderen Gründen nicht mehr verwendbar ist, können die Daten immer noch mit der
zweiten Karte (der des Empfängers oder der vertrauenswürdigen Person) entschlüsselt werden.
6.5.1
Daten entschlüsseln
Dateien entschlüsseln
Zum Entschlüsseln wir der zu dem öffentlichen Schlüssel zugehörige private Schlüssel benötigt. Aus
diesem Grund muss zum Entschlüsseln die globale PIN eingegeben werden.
Es erscheint ein Fenster mit der Meldung, dass die Datei entschlüsselt wurde.
Klicken Sie auf OK.
Danach sollten die Daten wieder im Klartext vorliegen. Um viele Dateien hintereinander ohne ständige PINEingabe zu entschlüsseln, können Sie die Karte auch "öffnen". Weitere Informationen dazu finden Sie in
dem Abschnitt PIN-Abfrage.
7 OpenLimit SignCubes Shell Extension
Die OpenLimit SignCubes Shell Extension ermöglicht die Signatur und Verschlüsselung direkt im Windows
Explorer. Darüber hinaus sind das Prüfen von Signaturen und die Entschlüsselung integriert. Wenn Sie eine
Datei mit der rechten Maustaste anklicken, finden Sie im Kontextmenü den Punkt OpenLimit SignCubes.
Wählen Sie diesen aus, erhalten Sie in Abhängigkeit von der ausgewählten Dateistruktur verschiedene
Funktionen angeboten. Weitere Informationen erhalten Sie in den nachfolgenden Abschnitten.
7.1
Die erste Signatur mit OpenLimit SignCubes
Die erste Signatur haben Sie bereits mit der Lizenzierung der Software erstellt. In den nachfolgenden
Abschritten wird beschrieben, wie Sie eine weitere Signatur erzeugen. Wählen Sie eine beliebige Datei (im
Beispiel eine *.tif Datei) im Explorer aus.
Klicken Sie im Explorer die Datei mit der rechten Maustaste an.
Wählen Sie OpenLimit SignCubes - Datei signieren
Weitere Informationen zur Signaturerzeugung finden Sie in dem Abschnitt Signieren.
Im Ergebnis der Signaturerstellung wird eine p7m-Datei mit demselben Namen der Ursprungsdatei erzeugt.
Darüber hinaus bleibt die Original-Datei erhalten. Die p7m-Datei enthält sowohl die Original-Daten als auch
die Signatur. Durch Anklicken dieser p7m-Datei mit der rechten Maustaste können Sie die Signaturen
prüfen und bei Bedarf die Datei getrennt als txt-Datei und p7s-Datei abspeichern.
7.2
Shell Extension Menü
Wenn Sie eine Datei im Windows Explorer mit der rechten Maustaste anklicken, öffnet sich das
Kontextmenü mit dem Menüpunkt OpenLimit SignCubes. Unter diesem finden Sie in der Regel die Punkte:
Datei signieren
Datei verschlüsseln
Datei signieren und verschlüsseln
Weitere Punkte, wie z.B.
Signatur(en) prüfen
Datei entschlüsseln
Datei und Signatur(en) trennen
Datei und Signaturen verbinden
Zertifikat anzeigen
Online Status anzeigen
Zeitstempel erzeugen
Sperrlisten anzeigen
erscheinen, wenn es sich um bereits signierte oder verschlüsselte Dateien bzw. einen Zeitstempel oder
eine Online Status-Datei handelt. Die Funktionen, die durch diese Befehle angestoßen werden, sind unter
Arbeitsabläufe im Einzelnen erklärt.
7.3
Dateien und Icons im Explorer
Mit OpenLimit SignCubes lassen sich verschiedene Dateiformate erzeugen. Diese erkennt man im Explorer
auch an Ihren Icons (bei Windows 2003 oder höher). Zeitstempel können in der OpenLimit SignCubes
Software nicht erzeugt werden.
p7m Dateien: Verschlüsselte Dateien oder Dateien, die eine Signatur beinhalten, bekommen ein
blaues Tresor-Icon mit der Aufschrift p7m.
p7s Dateien: Abgesetzte Signaturen, die durch ihren Dateinamen mit der Ausgangsdatei logisch
verknüpft sind, bekommen ein blaues Tresor-Icon mit der Aufschrift p7s.
ors-Dateien: Online Status Response Dateien, die durch das Exportieren von OCSP Antworten
entstehen, bekommen ein Zertifikats-Icon mit einem roten Siegel.
tsr-Dateien: Zeitstempel Dateien, die durch ihren Dateinamen mit der Ausgangsdatei logisch
verknüpft sind, bekommen ein Uhr-Icon mit einem roten Siegel.
Allerdings werden diese Dateien in den neueren Betriebssystemen als verborgene Dateien oft nicht
angezeigt. Um sie sichtbar zu machen, muss man unter den Ordneroptionen des Windows Explorers (Menü
Extras - Ordneroptionen - Reiter Ansicht) unter versteckte Dateien und Ordner die Option alle Dateien und
Ordner anzeigen aktivieren und Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren.
Weitere Informationen zu den Dateien finden Sie auch unter Dateiformate.
8 Adobe Plugin
Das Adobe Plugin ermöglicht die Signatur direkt unter Adobe Acrobat Reader ab Version 7.0.8 und Adobe
Acrobat 7.0. Wurden PDF Formulare vom Herausgeber mit zusätzlichen Rechten versehen (Adobe Formular
Server Lösungen), lassen sich diese Formulare auch im Adobe Reader ab Version 7.0.8 signieren. Zudem
können digitale Signaturen in einem PDF Formular geprüft werden.
Das Adobe Plugin wird automatisch installiert, soweit Adobe Reader oder Adobe Acrobat auf Ihrem
Computer installiert ist.
Falls Sie das Adobeprogamm erst nach der OpenLimit SignCubes Software installieren, müssen Sie das
Plugin nachträglich installieren. Falls Sie dazu das Installationsprogramm benötigen, wenden Sie sich bitte
an OpenLimit.
8.1
Adobe Plugin Grundeinstellungen
Grundeinstellungen festlegen
Der hier beschriebene Ablauf bezieht sich auf das Produkt Adobe Reader Version 9.0.0. Die Beschreibung
erfolgt beispielhaft. Weitere Informationen zu aktuellen Versionen der Adobe Produkte finden Sie unter
auf der OPENLiMiT FAQ Seite unter
https://www.OpenLimit.com/faq/
in der Rubrik Adobe.
Öffnen Sie den Adobe Reader.
Über das Bearbeiten-Menü kommen Sie zu dem Menüpunkt Voreinstellungen...
Wählen Sie im linken Bereich Sicherheit aus.
Setzen Sie ein Häkchen für „Beim Öffnen des Dokuments Unterschriften prüfen“.
Klicken Sie dann auf Erweiterte Voreinstellungen.
Unter dem Reiter Überprüfung sollten Sie folgende Einstellungen vornehmen:
Wählen Sie Immer Standardmethode verwenden (Überschreibt die im Dokument angegebene Methode).
Wählen Sie dann als Standardmethode zum Überprüfen von Unterschriften: "OpenLimit SignCubes PDF
Plugin, Version 2.5 ".
Unter dem Reiter Erstellung sollten Sie die Einstellungen wie folgt vornehmen:
Wählen Sie als Standardmethode beim Unterschreiben und Verschlüsseln von Dokumenten: "OpenLimit
SignCubes PDF Plugin, Version 2.5 ".
Mit OK werden die Einstellungen gespeichert.
8.1.1
PDF Dokument signieren
Für die Erzeugung einer Signatur in PDF Dokumenten ist in der OpenLimit SignCubes Software ein Adobe
Plugin integriert. Dieses bietet Ihnen unter bestimmten Voraussetzungen die Möglichkeit, das PDF
Dokument im Adobe Reader oder Adobe Acrobat zu signieren.
Wenn ein PDF Dokument oder PDF Formular ein oder mehrere Felder für digitale Signaturen enthält, so
können Sie mit dem Adobe Plugin eine qualifizierte digitale Signatur direkt in diesem PDF erstellen und
dieses anschließend speichern.
Um ein solches PDF mit dem Adobe Reader zu signieren, muss dieses mit zusätzlichen Rechten versehen
worden sein (Adobe Formular Server Lösungen). Um ein PDF mit Adobe Acrobat zu signieren, reicht es aus,
wenn das Signaturfeld mit Adobe Acrobat erstellt wurde. Um ein Signaturfeld mit Adobe Acrobat selbst zu
erstellen, lesen Sie bitte in der Adobe Acrobat Hilfe nach.
So signieren Sie ein PDF Dokument
Öffnen Sie das Dokument.
Das PDF Dokument enthält ein oder mehrere Signatur-Felder. Ein Signaturfeld erkennen Sie am roten Pfeil
links oben im Feld.
Stecken Sie Ihre Smartcard in den Kartenleser und warten Sie, bis diese erkannt ist (bis das
Chip-Symbol in der Taskleiste gelb ist).
Klicken Sie das entsprechende Signaturfeld an.
Anschließend öffnet sich das Signaturanforderungsfenster. Weitere Informationen finden Sie in dem
Abschnitt Signatur erzeugen.
8.1.2
Signatur im PDF prüfen
PDF Dokumente können Signaturen enthalten, die in einem extra dafür vorgesehenen Signaturfeld
integriert sind, oder Signaturen, die in das PDF Dokument eingebettet sind, jedoch nicht in einem
Signaturfeld vorliegen. In diesem Fall handelt es sich um sogenannte "eingebettete" Signaturen.
Signaturen in Unterschriftsfeldern prüfen
Enthält ein PDF Dokument bereits eine digitale Signatur in einem dafür vorgesehenen Signaturfeld, so
können Sie mit dem Adobe Reader oder Adobe Acrobat diese Signatur prüfen. Die Signaturprüfung wird
mit den Einstellungen vorgenommen, die Sie unter Adobe Acrobat oder Adobe Reader festgelegt haben.
Weitere Informationen dazu finden Sie in dem Abschnitt Adobe Plugin Grundeinstellungen.
Öffnen Sie das PDF Dokument und klicken Sie auf ein Unterschriftsfeld, das bereits eine Signatur enthält.
Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OpenLimit SignCubes PDF Plugin"
ausgewählt haben, so erscheint folgender Dialog:
In der Zusammenfassung steht das Ergebnis der Signaturprüfung. Ein Beispiel für ein Prüfergebnis wäre
z.B.:
Die Datei ist gültig signiert. oder
Die Signatur ist mathematisch korrekt.
Für genauere Informationen lesen Sie bitte in den Abschnitten Signaturverifikation bzw. Signaturen prüfen
nach.
Unsichtbare Signaturen prüfen
Enthält ein PDF Dokument eine unsichtbare digitale Signatur, so können Sie mit Adobe Reader oder Adobe
Acrobat diese Signatur prüfen. Die Signaturprüfung wird mit den Einstellungen vorgenommen, die Sie
unter Adobe Acrobat oder Adobe Reader festgelegt haben.
Öffnen Sie das PDF Dokument und klicken Sie dann links auf den Reiter Unterschriften, um alle
Unterschriften des Dokuments anzusehen.
Wählen Sie jetzt eine Unterschrift aus, klicken Sie dann auf Optionen und wählen Sie Unterschrift
prüfen.
Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OpenLimit SignCubes PDF Plugin,
Version 2.5.0.4" ausgewählt haben, so erscheint folgender Dialog:
Detaillierte Informationen zu den Ergebnissen der Signaturprüfung finden Sie in dem Abschnitt Signaturen
prüfen.
9 Der OpenLimit TIFF/PDF (PDF/A) Drucker
Die OpenLimit SignCubes Software bietet Ihnen mit dem OpenLimit TIFF/PDF Drucker die Möglichkeit, aus
anderen Programmen heraus wie z.B. Microsoft Word Daten an die sichere Anzeigeeinheit, den OpenLimit
SignCubes Viewer auszugeben. Die übertragenen Daten werden über den OpenLimit TIFF/PDF Drucker in
eine sicher darstellbare Bilddatei (TIFF) oder in eine PDF Datei konvertiert. Die Ausgabe über den
OpenLimit TIFF/PDF Drucker ist mit jedem auf Ihrem System druckbaren Dokument möglich.
Visualisieren
Drucken Sie die Datei in dem Programm aus, in dem sie erstellt wurde. Normalerweise geht das über den
Befehl Datei - Drucken.
Wählen Sie den OpenLimit TIFF Producer für die Ausgabe der Datei im TIFF Format oder den OpenLimit
PDF Producer für die Konvertierung als PDF Datei und bestätigen Sie mit OK.
Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\TIFFOutput abgespeichert.
Unter dem Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner Dokumente\TIFFOutput.
Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (tif).
Für die Konvertierung in ein PDF Format wählen Sie den OpenLimit PDF Producer.
Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\PDFOutput abgespeichert. Unter
dem Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner Dokumente\PDFOutput.
Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (pdf).
Daraufhin öffnet sich die Darstellung im OpenLimit SignCubes Viewer. Sollte es lange dauern, bis Ihre Datei
im OpenLimit SignCubes Viewer dargestellt wird, liegt es möglicherweise daran, dass die gewählten
Eigenschaften des Druckers mit einer zu hohen Auflösung eingestellt sind.
9.1
Eigenschaften des OpenLimit PDF Producer
Nach Auswahl des OpenLimit PDF Producer und Anklicken des Buttons Eigenschaften haben Sie Möglichkeit
die Standardeinstellungen des Druckers zu verändern.
Über das Menü PDF Compliance Level haben Sie die Möglichkeit die PDF - Version
PDF 1.4
PDF 1.5 oder
PDF/A-1b
auszuwählen.
9.2
Eigenschaften des OpenLimit TIFF Producers
Nach Auswahl des OpenLimit TIFF Producer und Anklicken des Buttons Eigenschaften haben Sie
Möglichkeit die Standardeinstellungen des Druckers zu verändern.
10 E-Mail Clients
Die Software OpenLimit SignCubes 2.5 unterstützt das Signieren und Verschlüsseln von E-Mails in
verschiedenen E-Mail Programmen. In diesem Kapitel werden die vorzunehmenden Einstellungen und die
grundlegenden Arbeitsschritte der unterstützen E-Mail Clients anhand eines Beispiels kurz beschrieben.
Weitere Informationen zu aktuellen Versionen der E-Mail Clients finden Sie auf der OpenLimit FAQ Seite
unter
unter E-Mail Clients.
Die folgenden Erklärungen betreffen hauptsächlich Funktionen und Einstellungen ausgewählter E-Mail
Clients und erheben keinen Anspruch auf Vollständigkeit. Sollte hier etwas fehlen, empfehlen wir
grundsätzlich, in der Hilfe oder im Handbuch des jeweiligen Programms nachzusehen.
Voraussetzung für das Arbeiten mit den verschiedenen E-Mail Programmen ist, dass das Programm richtig
installiert ist und das E-Mail Konto, das der E-Mail Adresse Ihres Zertifikats entspricht, richtig eingerichtet
wurde. Um zu erfahren wie Sie ein E-Mail Konto einrichten, lesen Sie bitte die Hilfe des jeweiligen E-Mail
Programms.
10.1
Microsoft Outlook und Microsoft Outlook Express
Microsoft Outlook und Microsoft Outlook Express sind zwei oft verwendete E-Mail Programme. Mit dem
OpenLimit SignCubes Cryptographic Service Provider (CSP) können Sie E-Mails in Microsoft Outlook oder
Microsoft Outlook Express signieren und verschlüsseln.
Der OpenLimit SignCubes Cryptographic Service Provider kommt nur dann zum Einsatz, wenn
Informationen der Karte benötigt werden, d.h. bei der Signaturerzeugung und beim Entschlüsseln. Das
Verschlüsseln und die Signaturprüfung erfolgt durch Microsoft Outlook bzw. Microsoft Outlook Express
selbst.
10.1.1
Microsoft Outlook Einstellungen
Um mit Microsoft Outlook bzw. Microsoft Outlook Express alle Sicherheitsfunktionen ausführen zu können,
benötigen Sie ein e-Mail Konto mit der e-Mail Adresse, die in Ihrem Zertifikat steht. Diese haben Sie beim
Ausfüllen des Karten-Antrages angegeben. Beim Signieren oder Entschlüsseln wird dann automatisch Ihr
Zertifikat genommen, wenn die Karte im Kartenleser steckt.
Einstellungen für Outlook Express
Die folgenden Sicherheitseinstellungen sind unbedingt einzurichten, damit Sie Ihre Mails signieren und/
oder verschlüsseln können.
Stecken Sie Ihre Chipkarte in den Kartenleser und warten Sie, bis das Chipsymbol gelb ist.
Klicken Sie im Hauptmenü auf Extras / Konten.
Wählen Sie nun das Mailkonto aus, bei dem die Mailadresse mit der in Ihrem Zertifikat
enthaltenen Mailadresse übereinstimmt.
Klicken Sie auf Eigenschaften und wählen Sie das Register „Sicherheit“ aus.
Für die E-Mail-Signatur wählen Sie über den ersten Button „Auswählen…“ Ihr Zertifikat für den
Zweck „Sichere E-Mail“ aus.
Nehmen Sie diese Einstellungen auch für das Verschlüsselungszertifikat über den 2.Button
„Auswählen…“ vor.
Der Algorithmus bleibt auf 3DES eingestellt.
Bestätigen Sie die Einstellungen mit OK
Wenn Sie automatisch signieren und verschlüsseln möchten, dann können Sie dies unter Extras Optionen - Sicherheit einstellen.
Hinweis: Die nachfolgend beschriebenen Einstellungen sind nicht zwingend notwendig. Sie sollten diese
Einstellungen nur in dem Fall nochmal prüfen, falls der Empfänger Ihre Mail nicht lesen kann .
Unter Extras - Optionen - Lesen klicken Sie auf Schriftarten. Dort stellen Sie einen 7 Bit Code ein. Zum
Beispiel wählen Sie oben aus der Liste Unicode und unten bei der Codierung UTF-7.
Dann klicken Sie auf den Button Als Standard, um diese Codierung als Standard einzustellen.
Sie können aber auch jede Nachricht einzeln signieren und/oder verschlüsseln.
Microsoft Outlook
Bei Microsoft Outlook müssen Sie erst das Signaturzertifikat und das Verschlüsselungszertifikat
auswählen.
Unter Extras - Optionen - Sicherheit gibt es den Bereich e-Mail sichern.
Klicken Sie hier auf Einstellungen...
Wählen Sie unter Bevorzugte Sicherheitseinstellungen:
o das Sicherheitsformat für Nachrichten: S/MIME.
Wählen Sie unter Zertifikate und Algorithmen folgende Einstellungen:
o Signaturzertifikat: Ihr e-Mail Signaturzertifikat
o Hashalgorithmus: SHA1
o Verschlüsselungszertifikat: Ihr e-Mail Verschlüsselungszertifikat
o Verschlüsselungsalgorithmus: 3DES
o "Signierten Nachrichten diese Zertifikate hinzufügen" aktivieren.
Klicken Sie auf OK.
Unter dem Tab Sicherheit können Sie die automatische Signatur und Verschlüsselung von Nachrichten
einstellen. Dies ist aber für jede e-Mail auch einzeln möglich.
10.1.2
Signieren und Verschlüsseln
In Outlook oder Outlook Express haben Sie unter Extras - Optionen - Sicherheit die Möglichkeit, die
Sicherheitseinstellungen für alle e-Mails einzustellen. Wenn Sie bei jeder e-Mail selbst entscheiden
möchten, ob diese verschlüsselt und/oder signiert werden soll, wird dies im E-Mail Fenster eingestellt.
Wenn Sie mehrere E-Mail Konten eingerichtet haben, müssen Sie über das Konto mit der E-Mailadresse
senden, die in Ihrem Zertifikat enthalten ist. Outlook überprüft die Angaben und falls diese nicht
übereinstimmen, kann keine Signatur erzeugt werden.
Outlook Express/Outlook 2003
Bei Outlook Express können Sie direkt im E-Mail Fenster auf den Button Signieren oder Verschlüsseln
klicken und anschließend auf Senden. Nach Eingabe der PIN ist die e-Mail signiert.
Outlook 2000
Unter Outlook 2000 müssen Sie zum Signieren und Verschlüsseln im E-Mail Fenster auf Optionen klicken
und dort die entsprechenden Kästchen anhaken.
Outlook XP
Klicken Sie im E-Mail Fenster auf Optionen, oben rechts auf Sicherheitseinstellungen und dann die
Kästchen Signieren und Verschlüsseln anhaken.
Signatur und Klartext senden
Wenn Sie die Signatur und den Klartext separat senden (detached signature), können auch die Empfänger
Ihre E-Mail lesen, deren Client signierte Nachrichten nicht unterstützen (z.B. AOL). Einige können auch die
Signatur prüfen (z.B. T-Online).
In Outlook Express finden Sie die Einstellung unter Extras/Optionen/Sicherheit/Button Erweitert. Dort
sollte kein Häkchen unter "Nachricht vor dem Signieren verschlüsseln (PKCS#7)" gesetzt sein. Um jedoch
eine E-Mail ohne Klartext zu senden, muss dieses Häkchen wieder gesetzt werden.
In Outlook finden Sie die Einstellung unter Extras/Optionen/Sicherheit. Dort sollte ein Häkchen für
"Signierte Nachrichten als Klartext senden" gesetzt sein.
Um E-Mails verschlüsseln zu können, müssen die Zertifikate der Empfänger in die dazugehörigen Kontakte
integriert sein.
10.1.3
Verschlüsselungszertifikate in Kontakt integrieren
Um für eine bestimmte Person zu verschlüsseln, muss das Zertifikat (digitale ID) der Kontaktperson in
Ihrem System installiert sein. Dazu lassen Sie sich eine signierte E-Mail von Ihrem Kommunikationspartner
schicken.
So integrieren Sie ein Verschlüsselungszertifikat (digitale ID) in einem Kontakt
Outlook
Öffnen Sie die signierte E-Mail
Klicken Sie mit der rechten Maustaste auf den Namen des Absenders Von: Mailadresse
Wählen Sie Zu den Kontakten hinzufügen aus.
Im Register Zertifikate können Sie sich das Zertifikat ansehen
Klicken Sie auf den Button Speichern und Schliessen, damit das Zertifikat dem Kontakt
hinzugefügt wird.
Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem
neuen Kontakt wird dieser automatisch angelegt. Ab diesem Zeitpunkt können E-Mails für den Empfänger
verschlüsselt werden.
Outlook Express
Öffnen Sie die signierte e-Mail
Klicken Sie mit der rechten Maustaste auf den Namen des Absenders.
Wählen Sie Zum Adressbuch hinzufügen aus.
Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem
neuen Kontakt wird dieser angelegt. Ab diesem Zeitpunkt können E-Mails für den Empfänger verschlüsselt
werden.
10.2 Mozilla / Netscape Mail
Mozilla Mail ist ein Programm der Mozilla Foundation und wird gebündelt mit dem Mozilla Browser
angeboten.
Netscape ist eine Mozilla Distribution, die sich grundsätzlich nur in der Oberfläche von Mozilla
unterscheidet. Da sich mit der deutschen Version von Mozilla einige wichtige Funktionen nicht richtig
darstellen lassen, wurde für diese Dokumentation Netscape 7.1 verwendet.
Falls Sie eine deutsche Version von Mozilla verwenden, besteht die Möglichkeit, dass einige Texte oder
Button nicht oder nur unvollständig dargestellt werden.
Zudem kommt es vor, dass sich Mozilla und Netscape in der Benennung von Button und Kapitel zum Teil
unterscheiden.
In diesem Kapitel wird der Umgang mit Mozilla 1.6 bzw. Netscape 7.1 erklärt.
Weitere Informationen zu aktuellen Versionen der E-Mail Clients finden Sie auf der OpenLimit FAQ Seite
unter
unter E-Mail Clients.
10.2.1
Mozilla / Netscape Mail Client Sicherheitseinstellungen
Starten Sie zunächst Netscape Mail: Start - Programme - Netscape 7.1 - EMail & Diskussionsforen
Sollten Sie Netscape Mail zum ersten Mal starten, so wird das Programm Ihnen mit einem Assistenten beim
Einrichten eines E-Mail Kontos behilflich sein. Um E-Mails signieren /verschlüsseln zu können, muss
unbedingt ein Mailkonto für die Mailadresse eingerichtet sein, die auch in Ihrem Zertifikat enthalten ist
(siehe gelbes Chipsymbol/Eigenschaften/Zertifikate).
Hinweis: Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser ordnungsgemäß
installiert ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate
auf Ihrer Karte befinden.
Klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen, um das folgende Fenster zu öffnen.
Kryptographie Modul installieren
Wählen Sie aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate
Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...
Jetzt öffnet sich das Fenster des Geräte-Managers, in dem alle geladenen Sicherheitsmodule zu sehen
sind.
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11-Modul zu installieren.
Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11-Modul, und
klicken Sie dann auf Durchsuchen...
Navigieren Sie nun zum SignCubes Programm-Verzeichnis (Standard: C:\Programme\OpenLimit),
wählen Sie dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen.
Klicken Sie nun auf OK, um das Modul zu laden.
Bestätigen Sie die Frage, ob Sie dieses Modul installieren wollen, nochmals mit OK.
Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK.
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OpenLimit SignCubes
2.5 Software.
Schließen Sie den Geräte-Manager mit einem Klick auf OK, um weitere Einstellungen vornehmen
zu können.
Das Mozilla/Netscape Einstellungsfenster sollte noch geöffnet und die Kategorie Zertifikate zu
sehen sein.
Klicken Sie auf den Button Zertifikate verwalten, um den Zertifikat-Manager zu öffnen und die
Vertrauenswürdigkeit für die Zertifikate einzustellen.
Der Zertifikat-Manager übernimmt die Verwaltung von Zertifikaten. Unter dem Register Ihre
Zertifikate werden die Zertifikate angezeigt, welche auf Ihrer Karte gespeichert sind.
Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller
nicht vertrauenswürdig" oder "Aussteller unbekannt" beinhaltet und klicken Sie auf Anzeigen.
Mozilla/Netscape bringt die Meldung "Zertifikat konnte aus unbekannten Gründen nicht zugelassen
werden." Der Inhalt dieser Meldung ist abhängig von dem jeweiligen Zertifikat.
Unter Ausgestellt von finden Sie den Herausgeber Ihres Zertifikats, für den Sie die Vertrauenswürdigkeit
einstellen müssen. Vermerken Sie sich diese Information und schließen Sie das Fenster.
Klicken Sie auf den Reiter Aussteller und markieren Sie Ihren Zertifikatsaussteller.
Klicken Sie nun den Aussteller Ihres Zertifikats an.
Über den Button Bearbeiten in dem Fenster Vertrauenseinstellungen für.. sollten Sie mindestens für den 2.
Punkt ein Häkchen setzen.
Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen importieren.
Klicken
Sie
dazu
auf
den
Button
Importieren,
wählen
Sie
unter
C:\Programme\OpenLimit\Data\CRLs den entsprechenden Aussteller aus, z.B. für die OpenLimit
CA wählen Sie "OpenLimit", markieren Sie die Datei OpenLimit_CA.cer und klicken Sie auf
Öffnen.
Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordner des Programmverzeichnisses finden,
müssen Sie sich das Zertifikat des Zertifikatsherausgebers direkt downloaden und installieren. In den
meisten Fällen finden Sie diese Daten auf den jeweiligen Internetseiten.
Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.
Jetzt vertrauen Sie dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr
Zertifikat "Unterzeichnen, Unterschrift oder Verschlüsseln" angezeigt.
Nach dem Sie diese Einstellungen vorgenommen haben, erscheint in dem folgenden Fenster die Meldung,
für welchen Verwendungszweck das Zertifikat verifiziert wurde.
Schließen Sie den Zertifikats-Manager und das Einstellungsfenster.
Zertifikate für die Signatur und Verschlüsselung auswählen
Klicken Sie in der Menüleiste nun auf Bearbeiten - eMail und Diskussionsforen-KontoEinstellungen...
Wählen Sie jetzt im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse
enthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu der folgenden Ansicht zu
gelangen.
An dieser Stelle legen Sie fest, welche Zertifikate zur Signatur und Verschlüsselung verwendet werden
sollen.
Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen.
Mozilla / Netscape schlägt Ihnen an dieser Stelle für die Signatur von E-Mails automatisch ein Zertifikat
vor.
Klicken Sie auf OK.
Nun öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum Verund Entschlüsseln verwenden wollen.
Bestätigen Sie mit OK.
Anschließend sollten Sie überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist.
Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen an. Für den Zweck
sollte mindestens "Verschlüsseln" angezeigt werden.
Klicken Sie nun auf OK. Damit wird Ihnen erneut das Fenster mit der Rubrik "Sicherheit"
angezeigt.
Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre EMails generell signieren wollen.
Wählen Sie, ob Sie Ihre E-Mails verschlüsselt oder unverschlüsselt versenden wollen.
Sie können diese Einstellung beim Erstellen einer E-Mail immer noch ändern.
Sie haben alle Sicherheitseinstellungen für Mozilla/Netscape vorgenommen und können das Fenster mit
OK schließen.
10.2.2
Arbeiten mit Mozilla / Netscape Mail
E-Mails signieren und verschlüsseln
Starten Sie zunächst Mozilla/Netscape Mail und verfassen Sie eine neue E-Mail.
Klicken Sie jetzt auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die EMail nochmals zu prüfen und gegebenenfalls zu ändern.
Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine
E-Mail verschlüsseln zu können.
Empfangen von signierten und verschlüsselten E-Mails
Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.
Klicken Sie auf das Stift-Symbol, um die Details der Signatur zu prüfen.
Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevor Sie
die Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol gekennzeichnet.
Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.
So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Personen in den Zertifikat-Manager
Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, brauchen Sie den öffentlichen
Schlüssel dieser Person.
Variante 1:
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail. Wenn Sie die E-Mail öffnen,
integriert Mozilla /Netscape Mail das mitgesendete Zertifikat automatisch in den Zertifikat-Manager unter
Andere Personen.
Variante 2:
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem Verschlüsselungszertifikat
als Anhang. Informationen zum Export eines Verschlüsselungszertifikats finden Sie in dem Abschnitt
Verschlüsselungszertifikat exportieren.
Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,
Importieren Sie diese dann in dem Zertifikat-Manager unter Zertifikate anderer Personen.
Wählen Sie dazu: Bearbeiten - Einstellungen - Privatsphäre & Sicherheit - Zertifikate
Klicken Sie auf Zertifikate verwalten.
Wählen Sie im Zertifikat-Manager den Register Andere Personen aus.
Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei (*.cer Datei) aus, die
Sie auf Ihrem Computer abgespeichert haben.
Das Zertifikat ist im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für diese Person verschlüsseln.
Beachten Sie, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer bestimmten
E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail Adresse der
gleichen Person senden.
10.3 Mozilla Thunderbird
Mozilla Thunderbird ist ein E-Mail Programm der Mozilla Foundation. Es bietet alle Funktionen eines
modernen E-Mail Programms und kann mit PKCS#11 Modulen umgehen. Benutzern von Microsoft Outlook
wird die Bedienung von Thunderbird leichtfallen, da viele der gängigsten Funktionen ähnlich sind.
In diesem Kapitel wird der Umgang mit Thunderbird 1.0.2 beschrieben. Sollten Sie eine andere Version von
Thunderbird verwenden, so kann es zu Abweichungen mit den hier aufgeführten Abläufen kommen.
10.3.1
Thunderbird Sicherheitseinstellungen
Starten Sie zunächst Thunderbird. Sollten Sie Thunderbird zum ersten Mal starten, so wird Ihnen das
Programm mit einem Assistenten beim Einrichten eines E-Mail Kontos behilflich sein.
Um E-Mails signieren /verschlüsseln zu können, muss unbedingt ein Mailkonto für die Mailadresse
eingerichtet
sein,
die
auch
in
Ihrem
Zertifikat
enthalten
ist
(siehe
gelbes
Chipsymbol/Eigenschaften/Zertifikate).
Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser ordnungsgemäß installiert ist,
Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte
befinden.
Klicken Sie in der Menüleiste Extras - Einstellungen an, um das folgende Fenster zu öffnen.
Wählen Sie Erweitert aus und scrollen Sie den Balken rechts im Fenster zum Abschnitt
Zertifikate.
Kryptographie-Modul installieren
Klicken Sie auf den Button Kryptographie-Module.
Jetzt öffnet sich Thunderbirds Kryptographie-Modul-Manager mit einer Ansicht aller bereits geladenen
Komponenten.
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu installieren.
Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11 Modul, und
Navigieren
Sie
nun
zum
SignCubes
Installations-Verzeichnis
(Standard:
C:\Programme\OpenLimit), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen.
Klicken Sie nun auf OK, um das Modul zu laden.
Bestätigen Sie die Frage, ob Sie dieses Modul installieren wollen, nochmals mit OK.
Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK.
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OpenLimit SignCubes
2.5 Software.
Schließen Sie nun den Kryptographie-Modul-Manager mit einem Klick auf OK, um weitere
Einstellungen vorzunehmen.
Das Thunderbird Einstellungsfenster sollte noch geöffnet und der Abschnitt Zertifikate zu sehen sein.
Klicken Sie auf den Button Zertifikate, um den Thunderbird-Zertifikat-Manager zu öffnen.
Der Zertifikat-Manager übernimmt die Verwaltung der Zertifikate. Unter dem Register Ihre Zertifikate sind
die Zertifikate zu sehen, die sich auf Ihrer Karte befinden.
Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller
nicht vertrauenswürdig" oder "Herausgeber unbekannt" anzeigt.
Klicken Sie auf Ansicht.
Thunderbird bringt standardmäßig die Ausschrift "Dieses Zertifikat konnte aus unbekannten Gründen nicht
verifiziert werden." Diese Meldung ist zertifikatsabhängig und kann im Einzelfall abweichen.
Unter Herausgegeben für finden Sie den Herausgeber Ihres Zertifikats. Vermerken Sie sich bitte diese
Information und schließen Sie das Fenster.
Klicken Sie das Register
Zertifikatsaussteller.
"Zertifizierungsstellen"
an
und
markieren
Sie
Ihren
Über den Button Bearbeiten sollten Sie in dem Fenster "Vertrauenseinstellungen" mindestens für den 2.
Punkt ein Häkchen setzen.
Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen importieren.
Klicken Sie dazu auf den Button Importieren.
Wählen Sie unter C:\Programme\OpenLimit\Data\CRLs den entsprechenden Aussteller aus, z.B.
für die OpenLimit CA wählen Sie den Ordner "OpenLimit".
Markieren Sie die Datei "OpenLimit _CA.cer" .
Klicken Sie auf Öffnen.
Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordern des Programmverzeichnisses finden,
müssen Sie sich das Zertifikat direkt von dem Zertifikatsaussteller (im Regelfall per die Web-Seite)
downloaden.
Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.
Sie sollten mindestens für den 2. Punkt ein Häkchen setzen. Jetzt vertrauen Sie dem Aussteller Ihres
Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr Zertifikat "Unterzeichnen, Unterschrift oder
Verschlüsseln" angezeigt.
Wählen Sie erneut das Register Ihre Zertifikate aus.
Klicken Sie auf Ansicht, um weitere Detailinformationen zu erhalten.
Wenn alle Einstellungen korrekt ausgeführt wurden, sehen Sie folgendes Fenster, in dem Ihnen mitgeteilt
wird, für welchen Verwendungszweck das Zertifikat verifiziert wurde.
Klicken Sie auf Schließen.
Anschließend können Sie auch den Zertifikat-Manager und das Einstellungs-Fenster schließen.
Zertifikate für die Signatur und Verschlüsselung auswählen
Klicken Sie in der Menüleiste auf Extras - Konten.
Wählen Sie im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse
enthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu folgender Ansicht zu
gelangen.
Legen Sie fest, welche Zertifikate für die Signatur und Verschlüsselung verwendet werden
sollen.
Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen.
Thunderbird schlägt Ihnen an dieser Stelle automatisch ein Zertifikat für die Signatur von E-Mails vor.
Klicken Sie nun auf OK.
Es öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum Verund Entschlüsseln verwenden wollen.
Klicken Sie hier auf OK.
Sie sollten überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist.
Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen an. Für den Zweck
sollte mindestens "Verschlüsseln" angezeigt werden.
Klicken Sie auf OK. Anschließend erscheint wieder das Fenster mit der Rubrik "Sicherheit"
Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre EMails generell signieren wollen.
Wählen Sie, ob Sie Ihre E-Mails standardmäßig verschlüsselt oder unverschlüsselt versenden
wollen.
Sie können diese Einstellungen beim Erstellen einer E-Mail immer noch ändern.
Sie haben alle Sicherheitseinstellungen für Thunderbird vorgenommen und können das Fenster mit OK
schließen.
10.3.2
Arbeiten mit Thunderbird
Bevor Sie die hier beschriebenen Abläufe ausführen können, müssen Sie das E-Mail Programm
konfigurieren. Lesen Sie dazu das Kapitel Thunderbird Sicherheitseinstellungen.
E-Mails signieren und verschlüsseln
Starten Sie Thunderbird und verfassen Sie eine neue E-Mail.
Klicken Sie auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-Mail
nochmals zu prüfen und gegebenenfalls zu ändern.
Beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine EMail verschlüsseln zu können.
Empfangen von signierten und verschlüsselten E-Mails
Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.
Klicken Sie auf das Stift-Symbol, um die Signatur der E-Mail zu prüfen.
Mit einem Klick auf Unterschriftszertifikat ansehen, können Sie sich die Details zum Zertifikat anzeigen
lassen.
Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevor Sie
die Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol gekennzeichnet.
Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.
So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Person in den Zertifikat-Manager
Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, benötigen Sie den öffentlichen
Schlüssel des Empfängers.
Variante 1:
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail.
Wenn Sie die E-Mail öffnen, integriert Thunderbird das mitgesendete Zertifikat automatisch in den
Zertifikat-Manager unter Zertifikate anderer Personen.
Variante 2:
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem Verschlüsselungszertifikat
als Anhang. Weitere Informationen zu dem Export von Verschlüsselungszertifikaten finden Sie in dem
Abschnitt Verschlüsselungszertifikat exportieren.
Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,
Importieren Sie diese dann in den Zertifikat-Manager unter Zertifikate anderer Personen.
Wählen Sie dazu: Extras - Einstellungen - Erweitert - Zertifikate
Wählen Sie dann im Zertifikat-Manager das Register Zertifikate anderer Personen aus.
Klicken Sie jetzt auf Importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie auf Ihrem
Computer abgespeichert haben.
Das Zertifikat ist jetzt im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für die Person, der dieses
Zertifikat gehört, verschlüsseln.
Beachten Sie bitte, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer
bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail
Adresse der gleichen Person senden.
10.4 Lotus Notes
Lotus Notes ist ein E-Mail Programm, welches sehr umfassende Funktionen bietet. Hier werden nur die
Funktionen beschrieben, welche in direkter Verbindung mit dem Empfangen und Versenden von signierten
und verschlüsselten E-Mails stehen.
Die hier beschriebenen Abläufe beziehen sich auf die Software Lotus Notes 6.5, Version 6.5.4 Deutsch.
Bitte beachten Sie, dass frühere Versionen (z.B. Lotus Notes 6.5.3 Deutsch) nicht ausreichend lokalisiert
sind und daher manche Funktionen (z.B. Internet-Zertifikate von Smartcard importieren) nicht möglich
sind. Dies hat zur Folge, dass die Vorgängerversionen nicht ohne weiteres für die hier beschriebenen
Abläufe zu verwenden sind.
Sollten Sie eine ältere Version von Lotus Notes 6.5 oder Lotus Notes 6 verwenden, so kann es hilfreich
sein, erst ein Update auf die oben genannte Version zu installieren, bevor Sie versuchen, die hier
beschriebenen Abläufe nachzuvollziehen.
10.4.1
Lotus Notes 6.5.4 Sicherheitseinstellungen
Voraussetzung für die Sicherheitseinstellungen in Lotus Notes
Bevor Sie die hier beschriebenen Einstellungen vornehmen können, müssen folgende Voraussetzungen
erfüllt sein:
Ihr E-Mail Konto muss ordnungsgemäß eingerichtet sein,
die OpenLimit SignCubes 2.5 Software und der Kartenleser müssen installiert sein,
OpenLimit SignCubes 2.5 ist gestartet,
die Karte befindet sich im Kartenleser und wurde erkannt.
Installieren des PKCS#11 Treibers
Damit Lotus Notes mit den Zertifikaten auf Ihrer Smartcard arbeiten kann, muss zunächst der PKCS#11
Treiber in Lotus Notes installiert werden.
Wählen Sie zunächst Datei - Sicherheit - Benutzersicherheit...
Klicken Sie auf Ihre Identität im linken Bereich des Fensters.
Wählen Sie anschließend Ihre Smartcard.
Jetzt öffnet sich ein Fenster zur Smartcard Konfiguration.
Klicken Sie nun auf das Ordner-Symbol, um eine Smartcard-Treiberdatei zu installieren.
Daraufhin öffnet sich ein Fenster zum Auswählen des Smartcard Treibers.
Navigieren Sie nun zu dem SignCubes Programmverzeichnis (Standard: C:\Programme\
OpenLimit) und wählen die Datei siqp11.dll aus.
Klicken Sie auf Öffnen, um den Treiber zu installieren.
Daraufhin wird das Fenster zur Smartcard Konfiguration dargestellt, in welchem Sie jetzt den installierten
Treiber sehen.
Klicken Sie auf Fortfahren..., um die Installation abzuschließen.
Installation Ihres Signatur-Zertifikats
Damit Sie das auf Ihrer Smartcard gespeicherte Signaturzertifikat zum Signieren von E-Mails in Lotus
Notes nutzen können, müssen Sie dieses zunächst installieren.
Wählen Sie Ihre Zertifikate in dem linken Bereich des Fensters aus.
Klicken Sie dann auf den Button Zertifikate abrufen... und wählen Sie aus dem Menü den Punkt
Internet-Zertifikat von einer Smartcard importieren.
Hinweis: Wenn Sie eine ältere deutsche Version von Lotus Notes 6.5 oder 6 (z.B. Lotus Notes 6.5.3
Deutsch) verwenden, ist diese Schaltfläche gegraut und Sie können somit keine Smartcard Zertifikate
importieren. Installieren Sie in diesem Fall ein Update auf Lotus Notes 6.5.4.
Wenn die Zertifikate erfolgreich importiert wurden, erscheint folgende Meldung.
Wählen Sie nun Ihre Internet-Zertifikate aus dem Menü.
Jetzt werden die von der Smartcard importierten Zertifikate angezeigt werden.
Wenn Ihr Zertifikat nicht angezeigt wird, sollten Sie Lotus Notes beenden, neu starten und dann zu diesem
Dialog zurückkehren (Datei - Sicherheit - Benutzersicherheit- Ihre Identität - Ihre Zertifikate - Menü: Ihre
Internet-Zertifikate).
10.4.2
Arbeiten mit Lotus Notes 6.5.4
Bevor Sie damit beginnen können, mit Lotus Notes 6.5.4 signierte oder verschlüsselte E-Mails zu
versenden oder zu empfangen, stellen Sie sicher, dass das Programm ordnungsgemäß konfiguriert ist.
Lesen Sie dazu das Kapitel Lotus Notes 6.5.4 Sicherheitseinstellungen.
Versenden einer signierten E-Mail
Erstellen Sie zunächst ein neues Memo.
Klicken Sie dann auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für Signieren.
Klicken Sie auf OK, um die Einstellungen zu speichern.
Jetzt können Sie die E-Mail senden.
Sie werden dazu aufgefordert, eine Signatur zu erzeugen. Weitere Informationen dazu finden Sie in dem
Abschnitt Signieren.
So integrieren Sie den öffentlichen Schlüssel des Zertifikats einer anderen Person in Lotus Notes
Die Person, für die Sie verschlüsseln wollen muss Ihnen dazu eine signierte E-Mail senden.
Öffnen Sie die E-Mail, klicken Sie dann auf den Button Werkzeuge und wählen Sie im Menü
Absender in Adressbuch aufnehmen aus.
Es öffnet sich ein Fenster, zur Aufnahme der Daten in das Adressbuch.
Wählen Sie jetzt das Register Erweitert aus, und aktivieren Sie die Option Gegebenenfalls x.509Zertifikate aufnehmen.
Klicken Sie OK, um die Daten zu speichern.
Versenden einer verschlüsselten E-Mail
Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen
verschlüsseln zu können.
Erstellen Sie zunächst ein neues Memo.
Klicken Sie auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für Verschlüsseln.
Klicken Sie dann auf OK, um die Einstellungen zu speichern.
Jetzt können Sie Ihre verschlüsselte E-Mail versenden.
10.4.3
Lotus Notes 5
Zur Verwendung Ihrer Smartcard unter Lotus Notes 5 wird ein PKCS#11 Treiber benötigt.
Dieser wird unter Lotus Notes 5 über Trusted Mime eingebunden. Dazu muss Trusted Mime auf dem
Rechner installiert sein. Um genaue Informationen zu erhalten, wie Sie den PKCS#11 Treiber in Trusted
Mime richtig einbinden, informieren Sie sich bitte in der Trusted Mime Dokumentation.
Der PKCS#11 Treiber befindet sich im Installationsverzeichnis der OpenLimit SignCubes 2.5 Software
(Standard: C:\Programme\ OpenLimit\siqp11.dll)
Weitere Informationen finden Sie in dem Abschnitt Arbeiten mit Lotus Notes 6.5.4 .
11 SSL Authentisierung
Mit den Modulen der OpenLimit SignCubes Software sind Sie in der Lage, sich an einer Webseite welche SSL
Authentisierung verwendet, anzumelden. Diese Aufgabe wird je nach Verwendung des Web-Browsers vom
CSP oder vom PKCS#11 Treiber übernommen.
Über SSL
Secure Sockets Layer (SSL) ist ein Verschlüsselungsprotokoll für Datenübertragung im Internet. Wenn eine
Verbindung zu einer Webseite über SSL hergestellt wird, geschieht dies in etwa so:
Zunächst sendet der Client (Web-Browser mit dem Sie arbeiten) eine Verbindungsanfrage an den Server
(dort ist die Webseite, die Sie besuchen wollen). Daraufhin antwortet der Server und sendet ein Zertifikat.
Indem Sie bestätigen, dass Sie dem Zertifikat des Servers vertrauen, ermöglichen Sie Ihren Web-Browser
die Verbindung zum Server herzustellen. (Dieser Schritt wird unter Umständen automatisch durchgeführt,
z.B. dann, wenn das Server-Zertifikat von Ihrem Web-Browser bereits als vertrauenswürdig eingestuft
wird.) Eventuell will der Server aber auch wissen ob, Sie die Person sind, für die Sie sich ausgeben und
sendet eine entsprechende Anfrage an Ihren Web-Browser (Bidirektionale SSL-Authentifizierung).Jetzt
müssen Sie sich dem Server gegenüber identifizieren, indem Sie die Anfrage des Servers signieren. Dabei
kommen die Module der Software zum Einsatz. Nun ist eine sichere Verbindung über SSL hergestellt.
Wenn Sie mehr über SSL wissen wollen, lesen Sie unter
http://de.wikipedia.org/wiki/Secure_Sockets_Layer
nach.
Die folgenden Web-Browser werden für die SSL Authentisierung von OpenLimit SignCubes 2.5 unterstützt:
Internet Explorer ab Version 6
Mozilla ab Version 1.6 (entspricht Netscape ab Version 7.1)
Firefox ab Version 1.0.4
Der Internet Explorer nutzt dazu den Cryptographic Service Provider (CSP). Firefox und Mozilla / Netscape
hingegen verwenden den PKCS#11 Treiber. Firefox und Mozilla / Netscape müssen daher richtig
konfiguriert werden, bevor die SSL Authentisierung gestartet werden kann. Wenn Sie mit Firefox oder
Mozilla / Netscape arbeiten, lesen Sie deshalb bitte die Kapitel Firefox Browser Sicherheitseinstellungen
bzw. Mozilla / Netscape Browser Sicherheitseinstellungen.
11.1
Internet Explorer
Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie Ihre Karte
in den Leser stecken und warten bis diese erkannt wurde (Chipsymbol ist gelb).
Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSL
Verschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Server gegenüber
nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird zwar eine
sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie übermitteln nicht an die
Stelle senden, an die Sie diese zu senden glauben.
Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden.
Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung
Wenn Sie mit Internet Explorer eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird
eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen.
Bestätigen Sie den Dialog mit Ja, um fortzufahren.
Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite angezeigt. Lesen Sie
diese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen.
Um den Vorgang fortzusetzen, müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen.
Warten Sie nun einen Moment, bis sich der Signaturanforderungsdialog der OpenLimit SignCubes 2.5
Software öffnet.
Klicken Sie jetzt auf Signatur erzeugen und geben Sie Ihre globale PIN ein. Damit identifizieren
Sie sich gegenüber dem Server.
Die Verbindung zur Webseite wird hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite
ausgetauscht werden, werden über eine sichere Verbindung geschickt.
11.2
Mozilla Firefox Browser Sicherheitseinstellungen
Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren, dass
dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann.
Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser richtig installiert ist, Ihre Karte
sich in diesem befindet, erkannt wurde und die notwendigen Zertifikate sich auf Ihrer Karte befinden.
Öffnen Sie den Web-Browser und klicken Sie dann in der Menüleiste auf Extras - Einstellungen.
Wählen Sie nun aus der Spalte links im Fenster Erweitert und scrollen Sie dann im rechten Teil
des Fensters bis zum Abschnitt Zertifikate.
Klicken Sie jetzt auf Kryptographie-Module verwalten...
Es öffnet sich der Kryptographie-Modul-Manager mit einer Ansicht der bereits aktiven Komponenten.
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum
Umgang mit Ihrer Karte notwendig ist, zu installieren.
Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11 Modul, und
Navigieren Sie zum SignCubes Installations-Verzeichnis (Standard: C:\Programme\ OpenLimit),
wählen Sie dort die Datei siqp11.dll aus,
klicken Sie auf Öffnen.
Klicken Sie nun auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul
installieren wollen, bestätigen Sie dies mit OK.
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul.
Jetzt ist Firefox richtig konfiguriert.
11.3
Mozilla Firefox SSL Authentisierung
in den Leser stecken und warten, bis diese erkannt wurde (gelbes Chipsymbol).
Wenn Sie mit Firefox eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird eventuell eine
Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen.
diese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. Um den Vorgang fortzusetzen,
müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen.
Sie können das Zertifikat temporär oder für immer akzeptieren. Wenn Sie das Zertifikat für immer
akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht mehr
angezeigt.
Es wird der Signaturanforderungsdialog der OpenLimit SignCubes 2.5 Software geöffnet.
Klicken Sie jetzt auf Signatur erzeugen.
Geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit identifizieren Sie sich gegenüber dem
Server.
Es wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite
11.4
Mozilla / Netscape Browser Sicherheitseinstellungen
Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren, dass
dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann.
Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser richtig installiert ist, Ihre Karte
sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte befinden.
Öffnen Sie den Web-Browser und klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen.
Wählen Sie nun aus der Spalte links im Fenster Privatsphäre & Sicherheit – Zertifikate.
Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...
Jetzt öffnet sich ein Fenster in dem bereits geladene Sicherheitsmodule angezeigt werden.
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum
Umgang mit Ihrer Karte notwendig ist, zu installieren.
Geben Sie dem Modul zunächst einen Namen, z.B. "OpenLimit SignCubes PKCS#11 Modul" und
klicken Sie auf Durchsuchen...
Navigieren
Sie
zum OpenLimit
SignCubes
Installations-Verzeichnis
(Standard:
C:\Programme\OpenLimit), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen.
Klicken Sie auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul
installieren wollen, bestätigen Sie dies mit OK.
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul.
Jetzt ist Mozilla /Netscape richtig konfiguriert.
11.5
Mozilla / Netscape SSL Authentisierung
in den Leser stecken und warten, bis sie erkannt wurde (gelbes Chipsymbol).
Wenn Sie mit Mozilla / Netscape eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird
eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen.
diese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. Um den Vorgang fortzusetzen,
müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen.
Sie können das Zertifikat temporär oder dauerhaft akzeptieren. Wenn Sie das Zertifikat dauerhaft
akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht mehr
angezeigt.
Es öffnet sich der Signaturanforderungsdialog der OpenLimit SignCubes 2.5 Software.
Klicken Sie auf Signatur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit
identifizieren Sie sich gegenüber dem Server.
Jetzt wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite
12 Erste Hilfe
In diesem Kapitel wird der Umgang mit Fehlermeldungen des Produktes beschrieben. In den folgenden
Auflistungen finden Sie mögliche Fehler, deren Ursache und wie Sie als Benutzer auf diese Fehler
reagieren können oder müssen.
12.1
Wie gehe ich mit Fehlermeldungen um?
Im Idealfall läuft das Produkt auf Ihrem Rechner so, dass Sie nie eine Fehlermeldung sehen. Da aber das
Produkt Sicherheitskomponenten (siehe „Sicherheitskomponenten der OpenLimit SignCubes
Basiskomponenten“) enthält, die Sie vor manipulierten Inhalten bei der Darstellung und bei der
Signaturerzeugung schützen sollen, werden Sie im Laufe der Arbeit mit dem Produkt auch mit solchen
vermeintlichen Fehlermeldungen konfrontiert, die Sie auf ein Sicherheitsrisiko oder auf einen tatsächlich
erfolgten Angriff auf ein durch das Produkt zu schützendes Objekt hinweisen.
Der folgende Abschnitt gibt Ihnen eine Übersicht, wie das Produkt auf versuchte Manipulationen oder
Änderungen reagiert und wie Sie als Benutzer in diesem Falle verfahren sollten. Dieser Abschnitt soll Sie
als Benutzer des Produktes so sensibilisieren, dass Sie in der Lage sind, den sicheren Zustand des
Produktes zu erkennen und Abweichungen richtig zu interpretieren.
Der OpenLimit SignCubes Viewer meldet, dass die Fontdatei cour.ttf nicht vorhanden oder manipuliert
ist:
Hintergrund: Der OpenLimit SignCubes Viewer verwendet den Font Courier New zur Darstellung von
Textinhalten. Diese Schriftart ist eine symmetrische Schriftart und die Verwendung soll dazu beitragen,
dass Sie den angezeigten Text eindeutig lesen können. Die Interpretation des angezeigten Textes aus
inhaltlicher Sicht kann die gesicherte Anzeigeeinheit allerdings nicht leisten, Sie müssen als Benutzer
selbst entscheiden, ob Sie den angezeigten Text signieren wollen oder nicht.
Ursache: In diesem Falle kommen zwei Ursachen in Frage. Die Datei kann wissentlich oder unwissentlich
aus dem System entfernt worden sein. Da diese Font-Datei integraler Bestandteil des Betriebssystems ist,
kommt eine wissentliche oder unwissentliche Manipulation des Betriebssystems in Betracht. Als zweite
Ursache kann der Austausch oder die Manipulation dieser Datei in Betracht gezogen werden. Wenn Sie z.B.
ein Grafikbearbeitungsprogramm auf Ihrem Rechner installieren, welches die vorhandene Datei des
Betriebssystems austauscht, kann diese Fehlermeldung auftreten. Sie sollten aber in Betracht ziehen, dass
ein Angreifer versucht hat, die Datei so zu manipulieren, dass z.B. das Euro Zeichen gegen das Zeichen für
britische Pfund ausgetauscht wurde.
Benutzerinteraktion: Wenn die Fehlermeldung angezeigt wird, müssen Sie als Benutzer selbst
entscheiden, ob Sie der Darstellung durch den OpenLimit SignCubes Viewer vertrauen. Der OpenLimit
SignCubes Viewer kann in diesem Fall keine Garantie geben, dass der angezeigte Text dem entspricht, wie
er mit der korrekten Version der Font Datei angezeigt werden würde. Vertrauen Sie im Zweifelsfall der
Darstellung nicht und erzeugen Sie keine elektronische Signatur an dem angezeigten Dokument.
Der Rechner stürzt während der Signaturerzeugung ab oder der Kartenlesertreiber bleibt 'hängen':
Hintergrund: Wenn Inkompatibilitäten zwischen dem Betriebssystem und dem verwendeten
Kartenlesertreiber existieren, kann möglicherweise der Rechner während der Signaturerzeugung
abstürzen oder das System reagiert nicht mehr auf Benutzerinteraktion. Das ist kein Fehler, der durch das
Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.4 verursacht wird.
Benutzerinteraktion: Wenn der Rechner abstürzt oder hängen bleibt, sollten Sie auf jeden Fall den
Rechner abschalten und neu starten. Nur dieses Vorgehen gibt Ihnen als Benutzer die Sicherheit, dass der
Arbeitsspeicher des Rechners neu initialisiert wird und keine Speicherbereiche im RAM des Rechners
verbleiben, die evtl. noch die erzeugte elektronische Signatur beinhalten. Wenn das Problem häufiger
auftritt, sollten Sie sich an den Hersteller des verwendeten Kartenlesers wenden und Informationen
einholen, welcher Treiber für Ihren Kartenleser geeignet ist.
Bei der Arbeit mit dem Produkt können Sie mit der Anwendung keine Signaturen mehr erzeugen oder
prüfen. Der Tooltip im Systemtray zeigt an: 'Deaktiviert wegen Manipulationsverdacht':
Hintergrund: Eine Sicherheitsfunktion des Produktes bietet einen Selbstschutz des Programmes gegen
Manipulationsversuche durch andere Programme oder durch unbefugte Dritte. Wenn ein Bestandteil des
Produktes erkennt, dass z.B. eine Programmbibliothek ausgetauscht wurde, wird dies dem OpenLimit
SignCubes Security Environment Manager gemeldet, welcher daraufhin die Funktionen zur
Signaturerzeugung und Verifikation deaktiviert.
Ursache: Möglicherweise hat jemand versucht, den Zustand des Produktes auf Ihrem Rechner zu
manipulieren oder so zu verändern, dass daraus ein Schaden für Sie als Anwender entstehen könnte. Wenn
Sie versucht haben, Bibliotheken aus älteren Versionen mit dem Produkt zu verwenden, gilt dies ebenfalls
als Manipulationsversuch und das Programm wird deaktiviert.
Benutzerinteraktion: Sie sollten jetzt mit dem OpenLimit SignCubes Integrity Tool den Zustand Ihrer
lokalen Installation überprüfen. Dieses Programm teilt Ihnen detailliert mit, welche Programmbibliothek
von dem Manipulationsversuch betroffen ist. Sie sollten keine weiteren Interaktionen mit dem Produkt
ausführen, insbesondere sollten Sie nicht versuchen, eine elektronische Signatur zu erzeugen. Wenn Sie
ein nicht vom Hersteller autorisiertes Update eingespielt haben, müssen Sie das Produkt deinstallieren
und erneut installieren. Wenn Sie sich nicht sicher sind, wie Sie weiter mit dem Produkt verfahren sollen,
wenden Sie sich an den Hersteller, der Ihnen in diesem Fall Tipps für ein weiteres Vorgehen geben kann.
12.2 Fehlermeldungen vor oder während der Installation
Die folgenden Fehlermeldungen können vor oder während der Installation angezeigt werden.
Fehlermeldung
Ursache
Benutzeraktion
Ihr Betriebssystem wird nicht
unterstützt. Bitte verwenden Sie für
diese Anwendung ein anderes
Betriebssystem. Das Setup wird
beendet.
Diese Fehlermeldung kann nach dem
Sprachauswahldialog und vor dem
Anzeigen der ersten Dialogseite für
das Setup der OpenLimit SignCubes
generiert werden.
Die Betriebssystemversion, auf der
das Produkt installiert werden soll,
entspricht
nicht
den
Mindestvoraussetzungen.
Basiskomponenten 2.5, Version
2.5.0.4 generiert werden.
Sie
sind
nicht
mit
Administrationsrechten angemeldet.
Ihr Betriebssystem genügt nicht den
Mindestanforderungen.
Sie müssen ein Betriebssystem
verwenden,
welches
den
Mindestanforderungen genügt.
Ihre
gegenwärtige
WindowsAnmeldung
ist
nicht
mit
Administratoren-Rechten
ausgestattet. Um das Setup ausführen
zu können, müssen Sie sich als
Administrator anmelden. Das Setup
wird beendet.
Ihr Internet Explorer ist älter als
Version 5.01 SP2. Bitte installieren Sie
zunächst einen neueren Internet
Explorer. Das Setup wird beendet.
Sie
müssen
sich
Administrationsrechten
an
Rechner anmelden.
mit
dem
Sie müssen eine Version des Microsoft
Internet Explorers installieren, die den
Anforderungen des Produktes genügt.
Sie haben für die Registry keine Ihr Benutzerprofil erlaubt keinen Sie müssen sich mit einem Konto
Rechte zum Schreiben. Die Installation schreibenden Zugriff auf die Registry anmelden, das über Schreibrechte auf
kann nur mit Schreibrechten des Betriebssystems.
die Registry verfügt. Wenn Sie
fortgesetzt werden
Programme verwenden, die den
schreibenden Zugriff auf die Registry
verhindern,
sollten
Sie
diese
deaktivieren.
Konnte Verzeichnis nicht erstellen.
Diese Fehlermeldung kann während Sie sollten prüfen, ob Sie über
des eigentlichen Installationsvorgangs Schreibrechte für das ausgewählte
des Setups der OpenLimit SignCubes Installationsverzeichnis verfügt.
Das Verzeichnis zum Installieren der
Anwendung konnte nicht erstellt
werden.
Fehlermeldung
Ursache
Die installierte Programm-Version ist
neuer als dieses Setup-Programm.
Bitte verwenden Sie die aktuellste
Version. Das Setup wird abgebrochen.
Diese Fehlermeldung kann nach dem Falls eine Neuinstallation notwendig
Sprachauswahldialog und vor dem ist, installieren Sie die aktuellste
Anzeigen der ersten Dialogseite für Version.
generiert werden.
Es ist bereits eine neuere Version der
OpenLimit
Basiskomponenten
installiert.
Der Inhalt dieses Setups ist älter als
Ihre installierte Version. Bitte
installieren Sie nur die neueste
Version.
Diese Fehlermeldung kann nach dem Falls eine Neuinstallation notwendig
Sprachauswahldialog und vor dem ist, installieren Sie die aktuellste
Anzeigen der ersten Dialogseite für Version.
generiert werden.
Es ist bereits eine neuere Version der
OpenLimit
Basiskomponenten
installiert.
Es ist nicht genügend Speicherplatz
für die Installation dieser Anwendung
vorhanden. Der minimal erforderliche
Speicherplatz beträgt 200 MB.
generiert werden.
Für die Installation steht kein
ausreichender Speicherplatz zur
Verfügung.
Sie benötigen für diese Anwendung
eine Java(TM) Runtime in einer
Version mindestens 1.4.2_08. Bitte
installieren
Sie
vorher
eine
entsprechende Java (TM) Runtime. Das
Setup wird jetzt abgebrochen.
Diese Fehlermeldung kann nach dem Installieren Sie zunächst eine aktuelle
Sprachauswahldialog und vor dem Java(TM) Runtime Version und starten
Anzeigen der ersten Dialogseite für sie die Installation erneut.
generiert werden.
Diese Fehlermeldung weist darauf hin,
dass entweder die Java(TM) Runtime
Version fehlt oder eine ältere Version
installiert ist.
Diese Produktversion ist mit der Diese Fehlermeldung kann nach dem
installierten Version nicht vereinbar. Sprachauswahldialog und vor dem
Bitte deinstallieren Sie vorher die alte Anzeigen der ersten Dialogseite für
Version.
generiert werden.
dass das Produkt nicht kompatibel zu
den installierten Basiskomponenten
ist.
Benutzeraktion
Stellen Sie sicher, dass ca. 200 MB
Speicherplatz für die Installation zur
Verfügung stehen und starten Sie die
Installation erneut.
Installieren Sie zunächst eine aktuelle
Version
der
OpenLimit
Basiskomponenten, für die dieses
Produkt freigegeben ist.
Fehlermeldung
Ursache
Diese Produktversion ist mit der Diese Fehlermeldung kann nach dem
installierten Version nicht vereinbar. Sprachauswahldialog und vor dem
generiert werden.
Benutzeraktion
Prüfen Sie zunächst, ob das zu
installierende Produkt für die bereits
vorhandenen
Basiskomponenten
freigegeben ist.
dass das Produkt nicht kompatibel zu
den installierten Basiskomponenten
ist.
Diese Produktversion lässt sich auf Diese Fehlermeldung kann nach dem Bitte deinstallieren Sie zunächst die
Ihrem Rechner nur installieren, wenn Sprachauswahldialog und vor dem ältere Produktversion und starten
Sie vorher die alte Version Anzeigen der ersten Dialogseite für anschließend die Installation neu.
deinstalliert haben.
generiert werden.
Es ist bereits eine ältere Version des
Produktes installiert.
12.3
Fehlermeldungen OpenLimit SignCubes Security Environment Manager
Die folgenden Abschnitte erklären, welche Fehlermeldungen auftreten können und wie Sie diese
Fehlermeldungen bewerten müssen.
Grundsätzlich werden alle Fehlermeldungen vom OpenLimit SignCubes Security Environment Manager
generiert, es sei denn, die Fehlermeldung betrifft den OpenLimit SignCubes Viewer. Der OpenLimit
SignCubes Viewer realisiert selbständig Prüfroutinen, welche die Erkennung von Dokumentformaten
betreffen. In der folgenden Tabelle werden die Fehlermeldungen für den OpenLimit SignCubes Security
Environment Manager aufgelistet und die mögliche Fehlerursache benannt.
Fehlermeldung des OpenLimit Mögliche Ursache
SignCubes Security Environment
Managers
Der eingegebene
ungültig.
Lizenzcode
Auswirkungen auf den sicheren
Zustand
des
Produktes/
Benutzerreaktion
ist Diese Fehlermeldung kommt nach Sie sollten den Lizenzmanager erneut
Überprüfung
des
eingegebenen starten und den Lizenzcode exakt
Lizenzcodes.
eingeben. Der sichere Zustand des
Produktes wird nicht beeinflusst.
Bei der Freischaltung der Lizenz ist ein Diese Fehlermeldung kann während Sie sollten sollte den Lizenzmanager
des Lizenzierungsvorganges generiert erneut starten und auf die exakte
Fehler aufgetreten.
werden.
Eingabe des Lizenzcodes achten. Der
sichere Zustand des Produktes wird
nicht beeinflusst.
unerwarteter Fehler
Dieser
Fehler
kann
in
der Signaturprüfung: Detailanzeige: Zustand
Zertifikatsdetailanzeige auftreten. Die der Hashwertprüfung: ist undefiniert.
Fehlermeldung wird angezeigt, wenn die Der sichere Zustand des Produktes ist
Prüfung des Zertifikates oder des nicht betroffen. Der Hashwert konnte
Pfades zum Herausgeber fehlschlägt. nicht geprüft werden.
Managers
Zustand
des
Produktes/
Benutzerreaktion
Es ist ein Fehler aufgetreten, der nicht
im
Rahmen
der
vorhandenen
Fehlerbehandlung abgefangen werden
konnte.
Versuchen Sie es zu einem späteren Wenn Sie eine OCSP-Anfrage starten Diese Fehlermeldung besagt, dass das
Zeitpunkt erneut.
und diese von der Gegenstelle nicht Produkt Ihnen keine Aussage zum
bearbeitet werden kann, kann diese Zertifikatsstatus liefern kann. Sie
Statusmeldung erscheinen.
müssen selbst entscheiden, ob Sie dem
Die OCSP-Anfrage kann durch die Signaturzertifikat
vertrauen.
Der
Gegenstelle
zum
gegenwärtigen sichere Zustand des Produktes ist in
Zeitpunkt nicht bearbeitet werden.
diesem Fall nicht betroffen.
Prüfen Sie bitte, ob Sie mit dem Diese Statusmeldung erscheint, wenn Der sichere Zustand ist in diesem Falle
Internet verbunden sind.
für
eine
Operation
eine nicht betroffen.
Internetverbindung notwendig ist,
diese aber nicht besteht.
Wenn Sie aktuelle Sperrlisten abrufen
oder eine OCSP Abfrage durchführen
wollen, wird eine Internet Verbindung
benötigt. Wenn die Verbindung nicht
hergestellt werden kann, werden Sie
mit dieser Meldung aufgefordert, die
Internet Verbindung zu überprüfen.
Die Signaturkomponente konnte nicht Bei folgenden Aktionen kann diese In diesem Falle ist das Produkt
initialisiert werden!
Fehlermeldung erscheinen:
entweder nicht korrekt installiert oder
Signaturerzeugung aus dem OpenLimit beschädigt. Der sichere Zustand des
Produktes kann nicht gewährleistet
SignCubes Viewer .
aus
dem werden. Sie sollten das Programm
OpenLimit SignCubes Viewer.
erneut installieren.
Alle Operationen, bei denen ein
Subsystem auf das OpenLimit
SignCubes Job Interface zurückgreift.
Der OpenLimit SignCubes Security
Environment Manager konnte nicht
gestartet werden bzw. das OpenLimit
SignCubes Job Interface konnte nicht
geladen werden.
Die Daten wurden nicht signiert!
Die Daten konnten nicht signiert Die
Chipkarte
sendete
eine
werden. Diese Fehlermeldung ist ein Statusmeldung, die besagt, dass die
Hinweis
auf
eine
fehlerhafte Daten von der Chipkarte nicht
Kommunikation
zwischen
dem verarbeitet wurden. Der sichere
OpenLimit
SignCubes
Security Zustand des Produktes ist nicht
Environment Manager und der gefährdet, Sie sollten die Operation
verwendeten Chipkarte, außer Sie wiederholen.
brechen den Signaturvorgang ab.
Die Datei ist nicht signiert!
Diese Fehlermeldung kann bei der Der sichere Zustand des Produktes ist
Signaturprüfung über den OpenLimit nicht betroffen. Entweder wurde die
Signaturdatei nicht korrekt erzeugt
SignCubes Viewer auftreten.
Sie haben versucht, die Signatur an oder es hat eine Manipulation der
einer nicht signierten Datei zu Signaturdatei stattgefunden, die zur
überprüfen. Es ist beispielsweise eine Folge hat, dass die Signaturdatei leer
Signaturdatei vorhanden, jedoch ist.
enthält die Signaturdatei keine
Signatur.
Managers
Zustand
des
Produktes/
Benutzerreaktion
Die Datei besitzt eine ungültige Diese Statusmeldung kann im Dialog
Signatur!
zur
Signaturprüfung
angezeigt
werden. Die Signaturprüfung ist im
Abschnitt Arbeiten mit den OpenLimit
SignCubes Basiskomponenten 2.5,
Version 2.5.0.4 Signaturverifikation
beschrieben.
Die Signatur passt nicht zu den
Originaldaten. Ursache können die
Manipulation der Originaldaten, z.B.
durch Übertragungsfehler als auch
gezielte
Manipulationen
der
Originaldaten oder der Signatur sein.
Der Zertifikatsstatus konnte nicht Diese Statusmeldung kann im Dialog
vollständig geprüft werden!
zur
Signaturprüfung
angezeigt
werden. Die Signaturprüfung ist im
Abschnitt Arbeiten mit den OpenLimit
Version 2.5.0.4 Signaturverifikation
beschrieben.
Diese Statusmeldung erscheint bei der
Signaturverifikation. Diese Meldung
erscheint immer dann, wenn die
Gültigkeit des Zertifikats nicht über
eine Sperrliste, die nach dem
Signaturzeitpunkt
herausgegeben
wurde, geprüft werden kann.
Der Dateityp konnte nicht ermittelt Die Statusmeldung kann angezeigt
werden!
werden, wenn eine Datei über
OpenLimit SignCubes Viewer signiert
oder verifiziert werden soll.
Das Modul zur Dokumentenerkennung
konnte nicht ermitteln, um welchen
Dateityp es sich handelt. Es war dem
Modul zur Dokumenterkennung nicht
möglich, die Datei lesend zu öffnen.
Es liegen keine Informationen über Die Statusmeldung kann angezeigt
Signaturen vor!
werden, wenn eine Signatur über
OpenLimit SignCubes Viewer verifiziert
werden soll.
Der
Detaildialog
für
die
Signaturprüfung wurde aufgerufen,
ohne dass Signaturinformationen
übergeben wurden.
Die Statusabfrage konnte nicht Diese Fehlermeldung kann auftreten,
erzeugt werden.
wenn im Zertifikatsdetaildialog auf
den Knopf Onlinestatus geklickt wird.
Es ist ein interner Fehler bei der
Erzeugung der OCSP Abfrage
aufgetreten.
Die
Antwort
des Diese Fehlermeldung kann auftreten,
Zertifikatsherausgebers konnte nicht wenn im Zertifikatsdetaildialog auf
verarbeitet werden.
Die
OCSP
Antwort
des
Zertifikatsherausgebers
enthält
Der sichere Zustand des Produktes ist
nicht betroffen. Es wurde erkannt,
dass die Signatur ungültig ist. Sie
sollten dem empfangenen Dokument
bzw. der Signatur nicht vertrauen.
nicht betroffen. Sie sollten eine OCSP
Abfrage vornehmen.
nicht betroffen.
nicht gefährdet.
nicht gefährdet.
nicht gefährdet.
Managers
Die
Antwort
des
Zertifikatsherausgebers enthält einen
unbekannten Statuswert.
Die
Anfrage
an
den
Zertifikatsherausgeber konnte von
diesem nicht verarbeitet werden.
Die
Anfrage
führte
Zertifikatsherausgeber zu
internen Fehler.
beim
einem
Die Anfrage kann durch den
Zertifikatsherausgeber zurzeit nicht
bearbeitet werden.
Die Anfrage wurde
Zertifikatsherausgeber
nicht
benutzten
beantwortet.
durch den
mit einem
Statuscode
Der Zertifikatsherausgeber fordert,
dass die Anfrage signiert wird.
Signierte Anfragen werden zurzeit
nicht unterstützt.
Sie haben beim Zertifikatsherausgeber
nicht die erforderliche Berechtigung,
um den Status abzufragen.
Fehler, die eine weitergehende
Verarbeitung der OCSP Antwort
unmöglich machen. Die OCSP Antwort
konnte nicht nach dem ASN.1 Standard
dekodiert werden.
Diese Fehlermeldung kann auftreten,
Der vom Herausgeber übermittelte
Zertifikatsstatus entspricht nicht der
Spezifikation nach RFC 2560.
Der Zertifikatsherausgeber konnte die
OCSP Anfrage des Produkts OpenLimit
Version 2.5.0.4 nicht verarbeiten.
Der Zertifikatsherausgeber konnte die
OCSP Anfrage des Produkts OpenLimit
Version 2.5.0.4 nicht verarbeiten. Es
ist ein interner Fehler beim
Zertifikatsherausgeber aufgetreten.
Der Zertifikatsherausgeber kann die
OCSP Anfrage momentan nicht
verarbeiten. Sie sollten den Vorgang
zu einem späteren Zeitpunkt noch
einmal wiederholen.
Es existieren Formate für OCSP
Anfragen, bei denen die Anfrage vom
Anfragenden signiert sein muss. Das
ist z.B. bei kostenpflichtigen OCSP
Respondern der Fall. Dieses Format
wird
vom
Produkt
OpenLimit
Version 2.5.0.4 nicht unterstützt.
Zustand
des
Produktes/
Benutzerreaktion
nicht gefährdet. Die OCSP Antwort
konnte
jedoch
nicht
korrekt
verarbeitet werden. Sie müssen selbst
entscheiden,
ob
Sie
dem
Signaturzertifikat vertrauen.
nicht gefährdet. Sie müssen selbst
entscheiden,
ob
Sie
dem
entscheiden,
ob
Sie
dem
entscheiden, ob Sie dem verwendeten
Signaturzertifikat
vertrauen.
Alternativ können Sie die OCSP
Abfrage zu einem späteren Zeitpunkt
noch einmal durchführen.
konnte
jedoch
nicht
korrekt
entscheiden,
ob
Sie
dem
nicht gefährdet. Allerdings kann keine
gültige OCSP Anfrage an den
gestellt
werden.
Sie
müssen
selbst
entscheiden,
ob
Sie
dem
nicht gefährdet. Allerdings kann keine
gültige OCSP Anfrage an den
Managers
Die Anfrage wurde durch den
Zertifikatsherausgeber mit einem
unbekannten Statuscode beantwortet.
Die Statusabfrage konnte
durchgeführt werden.
nicht
Sie haben noch zwei Versuche, die
gültige <PIN> einzugeben.
Sie haben noch einen Versuch, die
gültige <PIN> einzugeben. Wird erneut
die falsche <PIN> eingegeben, wird die
Karte unbrauchbar!
Die Karte wurde durch mehrfache
Fehleingabe unbrauchbar gemacht.
Der
Fehlbedienungszähler
abgelaufen.
ist
Die eingegebene PIN entspricht nicht
den Anforderungen der Karte!
Der Zertifikatsherausgeber kann durch
eine eigene Richtlinie festlegen, wer
berechtigt ist, eine OCSP Anfrage an
diesen zu senden. Wenn Sie keine
entsprechende Berechtigung haben,
wird Ihnen diese Fehlermeldung
angezeigt.
Möglicherweise
ist
keine
Internetverbindung verfügbar.
Diese Meldung kann bei der
Signaturerzeugung auftreten.
Sie haben insgesamt drei Versuche,
die jeweilig abgefragte PIN korrekt
einzugeben. <PIN> steht z.B. für die
globale PIN. Wenn diese Meldung
erscheint, haben Sie bereits einmal die
falsche PIN eingegeben.
Sie haben insgesamt drei Versuche,
die jeweilig abgefragte PIN korrekt
einzugeben. <PIN> steht z.B. für die
globale PIN. Wenn diese Meldung
erscheint, haben Sie bereits zweimal
die falsche PIN eingegeben.
Sie haben durch dreimaliges Eingeben
der falschen PIN die Karte für die
weitere Benutzung unbrauchbar
gemacht.
Diese Meldung kann beim Versuch der
Der Fehlbedienungszähler der Karte
zeigt an, dass die PIN insgesamt
dreimal falsch eingegeben wurde.
Diese Fehlermeldung kann beim
Ändern der PIN der Chipkarte
auftreten.
Die Chipkarte stellt bestimmte
Anforderungen an die Qualität der PIN.
Bei einer TeleSec E4NetKey Karte
muss die Pin mindestens 6-stellig
höchstens jedoch 16-stellig sein.
Zustand
des
Produktes/
Benutzerreaktion
gestellt
werden.
Sie
müssen
selbst
entscheiden,
ob
Sie
dem
entscheiden,
ob
Sie
dem
nicht gefährdet. Allerdings sollten Sie
überprüfen,
ob
eine
Internetverbindung vorhanden ist.
nicht gefährdet. Sie sollten beim
nächsten Versuch die korrekte PIN
eingeben.
nicht gefährdet. Sie sollten beim
nächsten Versuch die korrekte PIN
eingeben.
nicht gefährdet. Allerdings können Sie
die Chipkarte mit dem Produkt nicht
mehr verwenden.
nicht gefährdet. Allerdings können Sie
die Chipkarte mit dem Produkt nicht
mehr verwenden.
nicht gefährdet. Sie sollten allerdings
beim Festlegen der PIN über den
Menüpunkt PIN ändern eine PIN
wählen, die den Anforderungen der
verwendeten Karte genügt.
Managers
Bei der Übertragung des Kommandos Diese Meldung kann beim Versuch der
an die Karte trat ein unerwarteter Signaturerzeugung auftreten.
Fehler auf!
Beim Senden des Kommandos an die
Chipkarte ist ein Fehler aufgetreten.
Die Chipkarte hat mit einem
Kartenstatus geantwortet, der nicht
dem erwarteten Status entsprach.
Die eingegebenen PINs sind nicht
identisch!
Die
eingegebene
zurückgewiesen!
PIN
wurde
Die PIN wurde nicht in der erwarteten
Zeit eingegeben!
Sie müssen
freischalten!
die
Karte
zuerst
Sie müssen
entsperren.
die
Karte
zuerst
Zur Zeit stehen keine geeigneten
Zertifikate zur Verfügung!
Die Antwort ist nicht vom erwarteten
Typ BASIC.
Zustand
des
Produktes/
Benutzerreaktion
nicht gefährdet. Sie sollten den
Vorgang wiederholen. Wenn der Fehler
permanent auftritt, sollten Sie mit
dem zur Verfügung stehenden Modul
zur Integritätsprüfung die korrekte
Installation des Produktes auf dem
Rechner prüfen.
Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist
Ändern der PIN der Chipkarte nicht gefährdet. Sie sollten den
auftreten.
Vorgang wiederholen.
Dieser Fehler kann beim Ändern der
PIN auftreten, wenn die erste und die
Bestätigungspin nicht identisch sind.
Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist
Die Verifikation der PIN durch die Vorgang wiederholen.
Chipkarte ist fehlgeschlagen. Sie
haben die falsche PIN eingegeben.
Sie haben zu lange gewartet, um die Vorgang wiederholen.
PIN
einzugeben.
die
meisten
Kartenleser mit sicherer PIN Eingabe
unterstützen die Verwendung von
Timeouts während der PIN Eingabe.
Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes
ist nicht gefährdet. Sie müssen eine
Vor der Verwendung muss die Karte freigeschaltete Karte verwenden.
Ggf. können Sie mit dem Menüpunkt
freigeschaltet werden.
Karte freischalten Ihre Karte für die
weitere Verwendung freischalten.
nicht gefährdet. Sie müssen vor einer
Sie haben durch mehrfaches Eingeben weiteren Verwendung der Karte diese
der falschen Pin die Karte gesperrt. durch die Eingabe der PUK wieder
Sie müssen vor einer weiteren entsperren.
Verwendung der Karte diese durch die
Eingabe des PUK wieder entsperren.
nicht
gefährdet.
Sie
müssen
Möglicherweise wollen Sie eine Datei sicherstellen,
dass
Sie
einen
signieren
und
haben
keinen Kartenleser installiert und eine
Kartenleser angeschlossen oder keine Chipkarte eingelegt haben, die vom
Chipkarte eingelegt.
Produkt verwendet werden kann.
Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist
wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst
den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten
Das Format BASIC ist bisher das Signaturzertifikat vertrauen.
standardisierte Format für OCSP Antworten. Möglicherweise werden zu
einem späteren Zeitpunkt neue
Formate definiert, die vom Produkt
dann nicht unterstützt werden.
Managers
Zustand
des
Produktes/
Benutzerreaktion
Die Antwort hat nicht die erwartete Diese Fehlermeldung kann auftreten,
Version.
Die OCSP - Antwort hat nicht die
erwartete Version.
Beim Prüfen der Antwort ist ein Diese Fehlermeldung kann auftreten,
unerwarteter
interner
Fehler wenn im Zertifikatsdetaildialog auf
aufgetreten.
Die empfangene OCSP Antwort konnte
nicht korrekt überprüft werden.
Möglicherweise sind syntaktische
Fehler
in
der
OCSP-Antwort
vorhanden.
Die Antwort enthält mindestens eine Diese Statusmeldung kann auftreten,
unbekannte kritische Erweiterung.
Kritische
Erweiterungen
sind
Antwortzusätze, die Ihnen bei der
Auswertung der OCSP - Antwort zur
Kenntnis gelangen sollten. Das
Produkt
OpenLimit
SignCubes
ist nicht in der Lage, diese kritische
Erweiterung korrekt zu interpretieren.
Die Antwort ist nicht Signaturgesetz Diese Statusmeldung kann auftreten,
konform (positive Kenntnisaussage wenn im Zertifikatsdetaildialog auf
fehlt).
In der Antwort ist nicht die Aussage
enthalten, dass der Herausgeber das
Zertifikat kennt.
Die Antwort enthält eine unleserliche Diese Statusmeldung kann auftreten,
Zeitangabe der letzten Überprüfung.
Der Zeitpunkt der letzten Überprüfung
gibt an, wann der OCSP-Antwortende
die Gültigkeit des Zertifikats das letzte
Mal geprüft hat. Das Zeitformat in der
OCSP-Antwort für diese Überprüfung
konnte nicht dekodiert werden.
Der in der OCSP Antwort angegebene Diese Statusmeldung kann auftreten,
Zeitpunkt weicht von Ihrer lokalen wenn im Zertifikatsdetaildialog auf
Systemzeit ab. Der angegebene den Knopf Onlinestatus geklickt wird.
Zeitpunkt liegt in der Zukunft.
Der
Zeitpunkt
der
letzten
Zertifikatsprüfung durch den OCSPAntwortenden liegt gegenüber der
lokalen Systemzeit in der Zukunft.
Die Antwort enthält eine unleserliche Diese Fehlermeldung kann auftreten,
Zeitangabe der nächsten Überprüfung. wenn im Zertifikatsdetaildialog auf
Der
Zeitpunkt
der
nächsten
Überprüfung gibt an, wann der OCSPAntwortende die Gültigkeit des
Zertifikats das nächste Mal prüfen
wird. Das Zeitformat in der OCSPAntwort für diese Überprüfung konnte
Signaturzertifikat vertrauen. Sie
sollten die lokale Systemzeit
überprüfen.
Managers
Zustand
des
Produktes/
Benutzerreaktion
nicht dekodiert werden.
Die Antwort ist wegen der Diese Statusmeldung kann auftreten,
aufgeführten Gründe nicht oder nur wenn im Zertifikatsdetaildialog auf
bedingt vertrauenswürdig.
Diese Meldung erscheint, sobald
Gründe vorliegen, der empfangenen
OCSP-Antwort nur bedingt oder nicht
zu vertrauen.
Die Antwort gilt nicht für das Diese Fehlermeldung kann auftreten,
angefragte Zertifikat!!
Die empfangene Antwort bezieht sich
nicht auf das angefragte Zertifikat.
Eine solche Meldung kann ein
Indikator für die Manipulation der
Antwort durch Dritte sein (Man in the
Middle).
Interner Fehler beim Lesen eines Diese Fehlermeldung kann auftreten,
Zertifikates.
Ein Zertifikat, welches vom Produkt
benötigt wird, konnte nicht gelesen
oder dekodiert werden.
Die Signatur der Antwort konnte nicht Diese Fehlermeldung kann auftreten,
geprüft werden.
Die Signatur der OCSP Antwort konnte
nicht
verifiziert
werden.
Möglicherweise ist der Hashwert der
Signatur manipuliert worden oder es
konnte kein Zertifikat zu der Signatur
ermittelt werden.
Das Zertifikat der Gegenstelle konnte Diese Fehlermeldung kann auftreten,
nicht gefunden werden:
Nach dem ISIS-MTT Standard sollte das
Zertifikat des OCSP Antwortenden in
der OCSP Antwort enthalten sein. Das
Zertifikat ist in der Antwort aber nicht
enthalten.
Das Zertifikat der Gegenstelle konnte Diese Fehlermeldung kann auftreten,
nicht positiv geprüft werden.
Möglicherweise
existiert
keine
Sperrliste für die OCSP Signatur oder
die Sperrliste ist veraltet. Eine
Sperrliste gilt als veraltet, wenn der in
der Sperrliste angegebene Zeitpunkt
für die Erneuerung der Sperrliste auf
dem lokalen Rechner überschritten
wurde.
Das Zertifikat der Gegenstelle Diese Fehlermeldung kann auftreten,
berechtigt nicht zur OCSP-Signatur.
nicht gefährdet. Sie sollten dem
Zertifikat nicht vertrauen.
Zertifikat nicht vertrauen und die
Integrität
des
Betriebssystems
überprüfen.
nicht
gefährdet.
Sie
sollten
Zertifikaten, die nicht korrekt durch
das Produkt dekodiert werden können,
nicht vertrauen.
nicht
gefährdet.
Sie
müssen
entscheiden, ob Sie dem Zertifikat
vertrauen.
nicht gefährdet. Allerdings kann die
OCSP Antwort auf Grund veralteter
Sperrlisten nicht korrekt verarbeitet
werden. Sie sollten die lokalen
Sperrlisten aktualisieren.
Managers
Zustand
des
Produktes/
Benutzerreaktion
Das Zertifikat, mit welchem die OCSP
Antwort signiert wurde, berechtigt den
Signierenden nicht zu einer OCSP
Signatur.
Die positive Kenntnisaussage ist Diese Fehlermeldung kann auftreten,
fehlerhaft.
Die positive Kenntnisaussage ist
entweder nicht vorhanden oder ist
fehlerhaft.
Es fehlt ein expliziter Hinweis auf die Diese Fehlermeldung kann auftreten,
Gültigkeit
der
Antwort
trotz wenn im Zertifikatsdetaildialog auf
abgelaufenem Zertifikat.
Das angefragte Zertifikat ist sowohl
abgelaufen und die Antwort enthält
keinerlei Hinweis darauf, ob die
Gegenstelle Kenntnis vom Status
dieses Zertifikates hat.
OCSP Response Interner Fehler
Es ist ein interner Fehler bei der
Prüfung
der
OCSP
Antwort
aufgetreten.
Die Gültigkeit der Antwort wird nicht Diese Fehlermeldung kann auftreten,
mehr garantiert.
Das Zertifikat ist der Gegenstelle zwar
bekannt,
die
Zeit
für
die
Informationsaufbewahrung zu dem
angefragten Zertifikat ist allerdings
abgelaufen.
Zu dem Zertifikat fehlt das Diese Fehlermeldung kann durch den
Herausgeberzertifikat.
Zertifikatsdetaildialog
ausgelöst
werden.
In der internen Zertifikatsverwaltung
wurde das Herausgeberzertifikat nicht
gefunden.
Zu einem der Herausgeber wurde Diese Statusmeldung kann im
Signaturprüfdialog erscheinen.
keine Sperrliste gefunden.
Für einen Herausgeber existiert keine
Sperrliste auf dem lokalen Rechner.
Fehler
beim
Zeitstempels.
Erzeugen
konnte vom Produkt nicht korrekt
sollten die aktuellen Sperrlisten
abrufen.
eines Diese Statusmeldung kann beim Holen Der sichere Zustand des Produktes ist
eines Zeitstempels erscheinen.
nicht
gefährdet.
Sie
können
Während
des
Empfangs
des versuchen, den Zeitstempel erneut
Zeitstempels
ist
ein
Fehler einzuholen.
aufgetreten, so dass der Zeitstempel
von dem Produkt nicht eingeholt
werden konnte.
Managers
Zustand
des
Produktes/
Benutzerreaktion
Fehler beim Holen einer OCSP Antwort. Diese Fehlermeldung kann beim Holen
einer OCSP Antwort auftreten.
Möglicherweise
besteht
keine
Verbindung zum Internet oder der
OCSP Responder ist nicht erreichbar.
Zu einem der Herausgeberzertifikate Diese Statusmeldung kann im
wurde keine aktuelle Sperrliste Signaturprüfdialog erscheinen.
gefunden.
Es ist zwar eine Sperrliste vorhanden,
jedoch ist diese Sperrliste abgelaufen.
Sie sollten die Sperrlisten über den
OpenLimit
SignCubes
Sperrlistenaktualisierungsassistent
aktualisieren.
Von einem der Herausgeber wurde das Diese Statusmeldung kann im
Zertifikat zurückgezogen
Das Zertifikat wurde durch den
Herausgeber zurückgezogen (das
Zertifikat ist in der Sperrliste als
zurückgezogen markiert).
Die Sperrliste einer der Herausgeber Diese Statusmeldung kann im
hat unbekannte Fehler.
Die verwendete hat entweder
syntaktische Fehler oder enthält
Zusätze, die vom Produkt nicht
verarbeitet werden können.
Von diesem Inhaber ist keine Diese Statusmeldung kann im
Sperrliste vorhanden.
Zu einem konkreten Herausgeber
wurde keine Sperrliste gefunden.
Die Sperrliste dieses Inhabers ist Diese Statusmeldung kann im
abgelaufen.
Die
Sperrliste
des
konkreten
Herausgebers ist abgelaufen. Sie
sollten die Sperrlisten über den
OpenLimit
SignCubes
Sperrlistenaktualisierungsassistent
aktualisieren.
Das Prüfzertifikat ist nach der Diese Statusmeldung kann im
Sperrliste
dieses
Inhabers Signaturprüfdialog erscheinen.
zurückgezogen.
Der konkrete Herausgeber hat dieses
Zertifikat zurückgezogen.
Die Sperrliste dieses Inhabers hat Diese Statusmeldung kann im
unbekannte Fehler.
Die Sperrliste dieses konkreten
Herausgebers weist Fehler auf.
Sie
vertrauen
keinem
der Diese Statusmeldung kann im
Wurzelzertifikate!
Diese Meldung sagt aus, dass keinem
der Wurzelzertifikate vertraut wird.
Das Modul <x> besitzt eine ungültige Diese Fehlermeldung kann beim Start
Signatur. Das Programm wird beendet. des OpenLimit SignCubes Security
Environment Managers generiert
werden.
Diese Meldung sagt aus, dass die
Signatur des angegebenen Programm-
nicht
gefährdet.
Sie
können
versuchen, eine erneute OCSP Abfrage
durchzuführen.
sollten die aktuellen Sperrlisten
abrufen.
nicht gefährdet. Sie sollten die
aktuellen Sperrlisten abrufen und den
Vorgang wiederholen. Zusätzlich
sollten Sie eine OCSP Abfrage zu dem
Zertifikat durchführen.
nicht gewährleistet. Sie müssen mit
Hilfe des zur Verfügung stehenden
Integritätschecks
die
gesamte
Installation überprüfen. Sie müssen
das Produkt deinstallieren und erneut
Managers
Das Zertifikat wurde nicht geprüft.
Moduls beschädigt ist oder die
Originaldaten (das Modul) und die
Signaturdatei
nicht
zueinander
passen. Aus Sicherheitsgründen wird
die Anwendung OpenLimit SignCubes
in diesem Falle beendet.
Diese Statusmeldung kann im
Diese Statusmeldung sagt aus, dass
die Zertifikate nicht geprüft wurden.
Die zu signierenden Daten wurden vor Diese Statusmeldung kann immer
der Signaturerzeugung verändert!
dann auftreten, wenn Sie eine digitale
Signatur
über
einen
der
Produktbestandteile erzeugen wollen.
Diese Meldung sagt aus, dass die
Originaldaten,
die
vom
Produktbestandteil zur Signatur an
den OpenLimit SignCubes Security
Environment Manager übergeben
wurden, zwischenzeitlich verändert
wurden.
Der eingesetzte Hashalgorithmus wird Diese Fehlermeldung kann bei der
Signaturverifikation auftreten.
als ungeeignet eingestuft.
Diese Meldung sagt aus, dass für die
Signaturerzeugung
ein
Hashalgorithmus verwendet wurde,
der für die Erzeugung qualifizierter
Signaturen nicht zulässig ist.
Die verwendeten Signaturparameter Diese Fehlermeldung kann bei der
werden als ungeeignet eingestuft.
Signaturverifikation auftreten.
Diese Meldung sagt aus, dass für die
Signaturerzeugung entweder ein
Hashalgorithmus verwendet wurde,
der für die Erzeugung qualifizierter
Signaturen oder die verwendete
Schlüssellänge nicht zulässig ist.
Die
verwendeten
Algorithmen Diese Fehlermeldung kann bei der
entsprechen nicht den Prüfvorgaben. Signaturprüfung auftreten.
Diese Meldung weist darauf hin, dass
ein
Hashalgorithmus
verwendet
wurde, der nicht den Vorgaben der
Zustand
des
Produktes/
Benutzerreaktion
installieren.
Signaturzertifikat
vertrauen.
Alternativ sollten Sie eine OCSP
Abfrage
zu
dem
Zertifikat
durchführen.
Der sichere Zustand des Produktes
kann gefährdet sein. Der sichere
Zustand ist nur dann nicht gefährdet,
wenn Sie nicht selbst aus Versehen die
Daten zwischenzeitlich geändert
haben. In jedem anderen Fall sollten
Sie die Arbeit mit dem Produkt
einstellen und eine Integritätsprüfung
des Produktes vornehmen. Wird bei
der
Integritätsprüfung
keine
Veränderung des Produktes entdeckt,
sollte mit Hilfe eines Virenscanners
der Rechner auf böswillige Programme
hin untersucht werden.
Das Produkt nimmt in diesem Falle
einen sicheren Zustand ein, da die
Funktionen zur Signaturerzeugung
und Signaturverifikation durch den
OpenLimit
SignCubes
Security
Environment Manager in diesem Falle
deaktiviert werden.
Sie
sollten
sich
über
die
Veröffentlichungen
der
Bundesnetzagentur
unter
informieren, welcher Hashalgorithmus
zulässig ist.
Sie
sollten
sich
über
die
Veröffentlichungen
der
Bundesnetzagentur
unter
informieren, welcher Hashalgorithmus
und welche Schlüssellängen zulässig
sind.
Sie
sollten
sich
über
die
Veröffentlichungen
der
Bundesnetzagentur unter
informieren,
welcher
Managers
Zustand
des
Produktes/
Benutzerreaktion
Bundesnetzagentur entspricht. Dieser
Hinweis
erscheint
in
der
Zusammenfassung des Prüfdialogs.
Die von der Karte erzeugte Signatur Diese Fehlermeldung kann bei der
entspricht nicht den zu signierenden Signaturerzeugung auftreten.
Daten!
Diese Meldung sagt aus, dass nicht der
Hashwert signiert wurde, der
beabsichtigt wurde.
Hashalgorithmus
und
welche
Schlüssellängen zulässig sind.
Ein Fehler ist bei der Initialisierung
aufgetreten. Das Programm kann nicht
weiter ausgeführt werden. Wenden Sie
sich bitte an die Online-Hilfe und
prüfen Sie Ihre Installation.
Diese Fehlermeldung kann beim Start
des
Assistenten
zur
generiert
werden.
Bei der Sperrlistenaktualisierung ist
ein Fehler bei der Initialisierung des
OpenLimit
SignCubes
Sperrlistenaktualisierungsassistenten
aufgetreten, der eine weitere
Benutzung
des
Sperrlisten
Aktualisierungsassistenten unmöglich
macht.
gefährdet. Sie sollten den OpenLimit
Manager beenden und den Rechner
herunterfahren, um sicherzugehen,
dass sich keine digitalen Signaturen
mehr im Speicher befinden.
kann gefährdet sein. Sie sollten mit
dem zur Verfügung stehenden
Prüfprogramm die Integrität der
Installation überprüfen.
12.4 Fehlermeldungen des OpenLimit SignCubes Viewer
Der OpenLimit SignCubes Viewer kann ebenfalls Fehlermeldungen generieren, die in der folgenden Tabelle
aufgelistet sind.
Grundsätzlich gilt: Wenn eine Fehlermeldung generiert wird, über deren Bedeutung Sie sich nicht sicher
sind, sollten Sie das Dokument nicht signieren.
Fehlermeldung des
SignCubes Viewer
OpenLimit Fehlerursache
Das Format der Datei ist nicht Diese Fehlermeldung kann beim
geeignet!
Öffnen einer Datei mit dem OpenLimit
SignCubes Viewer direkt durch diese
oder beim Öffnen einer Datei über den
Signaturanforderungsdialog generiert
werden.
Sie haben versucht, eine Datei mit
dem OpenLimit SignCubes Viewer zu
öffnen, die weder als PDF, TIFF noch
als Text Datei erkannt wurde. Diese
Fehlermeldung wird Ihnen auch dann
angezeigt, wenn aktive Inhalte in dem
Dokument vorhanden sind.
Sie verfügen nicht über die benötigte Diese Fehlermeldung kann beim
Lizenz, um Dateien dieses Formates Öffnen einer Datei mit dem OpenLimit
anzuzeigen!
SignCubes Viewer generiert werden.
Sie haben versucht, eine Datei mit
dem OpenLimit SignCubes Viewer zu
öffnen, die entsprechend dem
Funktionsumfang der installierten
Lizenz nicht geöffnet werden kann.
Es steht keine gültige Lizenz zur Diese Fehlermeldung wird generiert,
Verfügung. Das Programm wird wenn der Viewer auf einem PC
beendet.
gestartet wird, auf dem keine Lizenz
für
die
OpenLimit
SignCubes
installiert ist.
Sie haben versucht, den OpenLimit
SignCubes Viewer zu starten, obwohl
keine Lizenz für die OpenLimit
Version 2.5.0.4 installiert ist.
Zustand
des
Produktes/
Benutzerreaktion
nicht gefährdet. Sie sollten die Datei
nicht signieren, wenn Sie für die Daten
über kein sicheres Anzeigemodul
verfügen.
nicht gefährdet.
Diese Fehlermeldung wird Ihnen nur
angezeigt, falls Sie eine Datei mit dem
Viewer öffnen wollen und über keine
Lizenz verfügen (auch nicht über eine
Reader-Lizenz).
Wenn diese Fehlermeldung erscheint,
ist die Lizenzdatei von Ihrem Rechner
entfernt worden. Der sichere Zustand
des Produktes ist nicht betroffen,
jedoch sollten Sie mit einem
geeigneten Programm (Virenscanner
etc.)
die
Integrität
Ihres
Betriebssystems überprüfen. Eventuell
haben unberechtigte Dritte Zugriff auf
Ihren Rechner erlangt.
Fehlermeldung des
SignCubes Viewer
Die Schriftart 'Courier New', die für die
Darstellung von Text verwendet wird,
wurde auf diesem Computer nicht
gefunden oder stimmt nicht mit der
Originalinstallation überein.
Diese Fehlermeldung tritt auf, wenn
die Datei cour.ttf auf dem Computer
nicht vorhanden ist oder von der
Dateiversion abweicht, die der
Originalinstallation entspricht. Diese
Fehlermeldung wird beim Start des
OpenLimit
SignCubes
Viewers
gemeldet bzw. beim Öffnen eines
Textdokuments.
Fehler beim Zugriff auf die Datei!
werden.
Beim Zugriff auf die zu öffnende Datei
(Kommandozeile oder Menübefehl) ist
ein Fehler aufgetreten. Die Datei
existiert nicht oder kann nicht gelesen
werden.
Die Datei enthält sowohl 'DOS' als auch Diese Fehlermeldung kann während
'Windows' Umlaute. Eine korrekte der
Untersuchung
von
Darstellung ist u.U. nicht möglich.
Textdokumenten auftreten.
Das Textdokument enthält Zeichen, die
als Umlaute in der Windows
Darstellung erkannt werden. Darüber
hinaus sind aber auch Zeichen in dem
Dokument vorhanden, die als Umlaute
in der DOS Codierung interpretiert
werden.
Die Datei enthält Zeichen, für die keine Diese Fehlermeldung kann während
der
Untersuchung
von
eindeutige Darstellung definiert ist.
Textdokumenten auftreten.
Das Dokument enthält Zeichen, für die
in
verschiedenen
Schriftsätzen
verschiedene Darstellungen definiert
sind.
Zustand
des
Produktes/
Benutzerreaktion
betroffen. Sie sollten überprüfen, ob
die Datei cour.ttf auf dem Rechner
vorhanden ist. Sie sollten keine
Signaturen an Text-Dokumenten
da
die
korrekte
vornehmen,
Darstellung nicht mehr gewährleistet
werden kann.
nicht gefährdet. Sie sollten eine
Untersuchung des Textdokuments wie
im Kapitel Arbeiten mit dem SignCubes
Viewer beschrieben, vornehmen.
nicht gefährdet. Sie sollten eine
Untersuchung des Textdokuments wie
im Kapitel Arbeiten mit dem OpenLimit
SignCubes
Viewer
beschrieben,
vornehmen.
Fehlermeldung des
SignCubes Viewer
Die TIFF Datei hat eine Größe von <X>.
Sie enthält <n> freie (scheinbar
ungenutzte) Bereiche mit einer
Gesamtgröße von <Y>.
Fehler
in
TIFF-Struktur:
'StripOffset'
Zeiger
Größenangabe!
Fehler
in
'TileOffsets'
gefunden!
Tag
ohne
TIFF-Struktur:
Tag
ohne 'TileByteCount'
werden.
Eine TIFF-Datei wurde geöffnet, deren
Inhalt nicht vollständig durch die
enthaltenen Tags belegt wird. Die
durch <Y> angegebene Anzahl von
Bytes der Datei wird durch den
‚offiziellen’
Dateiinhalt
nicht
verwendet und kann verborgene
Inhalte enthalten. Die Meldung wird
ausgegeben, wenn die Zahl der nicht
adressierten Bytes mehr als 50
beträgt. In jedem Fall können diese
Bytes unter ‚Ansicht / Weitere
Dateiinhalte’ betrachtet werden.
(Einzelne nicht belegte Bytes bzw.
kleinere ungenutzte Dateibereiche
sind in TIFF-Dateien normal. Sie
entstehen durch Füllbytes, die bei der
Anordnung von Tabellen auf WORDoder DWORD-Grenzen erforderlich
werden, aber auch durch die
Bearbeitung der TIFF-Datei.)
werden.
Interner Fehler in der TIFF-Struktur.
Der Inhalt kann u.U. nicht korrekt
angezeigt
werden.
Weitere
Fehlermeldungen sind möglich. Diese
Meldung kann nur im Fall einer
beschädigten TIFF-Datei auftreten.
werden.
Interner Fehler in der TIFF-Struktur.
Der Inhalt kann u.U. nicht korrekt
angezeigt
werden.
Weitere
Fehlermeldungen sind möglich. Diese
Meldung kann nur im Fall einer
beschädigten TIFF-Datei auftreten.
Zustand
des
Produktes/
Benutzerreaktion
nicht gefährdet. Sie müssen die
enthaltenen Daten in dem Dokument
genauer untersuchen. Sie müssen
selbst entscheiden, ob Sie das
Dokument signieren wollen oder nicht.
Fehlermeldung des
SignCubes Viewer
Fehlendes Tag!
werden.
Es wurde ein Tag nicht gefunden. Es
ist ein Fehler im Programm
aufgetreten.
Fehlerhafter TagType!
werden.
Fehler in der TIFF-Struktur. Der Typ
eines Tag’s entspricht nicht der
Spezifikation.
Weitere
Fehlermeldungen sind möglich. (Tritt
beim Markieren eines Tag’s auf, wenn
dieses Tag nicht der Spezifikation
entspricht.)
Fehler in DataLength (erwartet 'X' Diese Fehlermeldung kann beim
gefunden 'Y')
werden.
Fehler in der TIFF-Struktur. Der
Datenumfang eines Tag’s entspricht
nicht der Spezifikation. Tritt nur auf,
wenn
die
Spezifikation
den
Datenumfang des Tag’s explizit
festlegt und das Tag dieser Festlegung
nicht
entspricht.
Weitere
entspricht.)
Zustand
des
Produktes/
Benutzerreaktion
nicht gefährdet. Der Benutzer muss
die enthaltenen Daten in dem
Dokument genauer untersuchen. Der
Benutzer muss selbst entscheiden, ob
er das Dokument signieren will oder
nicht.
Fehlermeldung des
SignCubes Viewer
Fehler in DataLength (erwartet 'X1' Diese Fehlermeldung kann beim
oder 'X2' gefunden 'Y')
werden.
Datenumfang eines Tag’s entspricht
nicht der Spezifikation. Tritt nur auf,
wenn
die
Spezifikation
den
Datenumfang des Tag’s explizit
festlegt und das Tag dieser Festlegung
nicht
entspricht.
Weitere
entspricht.)
Fehler in DataType (erwartet '2' (ASCII) Diese Fehlermeldung kann beim
gefunden '<X>')
werden.
Datentyp eines Tag's entspricht nicht
der Spezifikation. Tritt nur auf, wenn
die Spezifikation den Datentyp des
Tag's explizit festlegt und das Tag
dieser Festlegung nicht entspricht.
Weitere
Fehlermeldungen
sind
möglich.
Fehler in Datei! Zeiger außerhalb des Diese Fehlermeldung kann beim
Bereichs!
werden.
Es ist ein Fehler in der TIFF-Datei
aufgetreten. Eine Adresse in der
Struktur der TIFF-Datei verweist auf
Daten, die hinter dem Ende der Datei
liegen. Tritt auf, wenn die TIFF-Datei
unvollständig ist (abgeschnitten) oder
die Adressdaten in der Datei
beschädigt
wurden.
Weitere
Fehlermeldungen sind zu erwarten.
Zustand
des
Produktes/
Benutzerreaktion
Fehlermeldung des
SignCubes Viewer
Fehler in Datei! Überschneidung!
werden.
Fehler in der TIFF-Datei. Eine Adresse
in der Struktur der TIFF-Datei verweist
auf Daten, die in einem Bereich der
Datei liegen, in dem bereits andere
Daten identifiziert wurden. Tritt auf,
wenn die Adressdaten in der Datei
beschädigt
wurden.
Weitere
Fehlermeldungen sind zu erwarten.
Die Signaturkomponente konnte nicht Diese Fehlermeldung kann beim
initialisiert werden!
werden.
Das SignCubes Job Interface steht
nicht zur Verfügung. Dies ist ein
kritischer Fehler. Sie sollten mit dem
OpenLimit SignCubes Integrity Tool die
korrekte Installation des Produktes
auf dem Arbeitsplatz überprüfen.
Auf die Datei '<NAME>' kann nicht Diese Fehlermeldung kann beim
zugegriffen werden:
werden.
Die Datei <'NAME'> wurde ursprünglich
geöffnet und gelesen, steht bei einem
späteren Zugriff jedoch nicht mehr zur
Verfügung. Die Fehlermeldung des
Betriebssystems steht in einer zweiten
Zeile.
Beim Laden des TIFF-Bildes ist ein Diese Fehlermeldung kann beim
Fehler aufgetreten:
werden.
Es wurde ein Fehler festgestellt, der
sich auf die Struktur der TIFF-Datei
bzw. die Auswertung des Inhalts
bezieht. Beispiel: Nicht unterstützte
Kompressionsverfahren oder Fehler in
der Dateistruktur. Eine genaue
Bezeichnung des Fehlers - in
englischer Sprache - steht in der
zweiten Zeile.
Zustand
des
Produktes/
Benutzerreaktion
kann nicht gewährleistet werden. Sie
sollten mit dem zur Verfügung
stehenden
Modul
zur
Integritätsprüfung die Integrität der
Installation auf dem Rechner
überprüfen.
nicht gefährdet. Allerdings kann das
Dokument nicht angezeigt werden. Sie
müssen entscheiden, ob Sie das
Dokument
trotzdem
signieren
möchten, obwohl kein sicheres
Anzeigemodul zur Verfügung steht.
Fehlermeldung des
SignCubes Viewer
Es sind <Anzahl> Java Script Elemente Diese Fehlermeldung wird generiert,
im Dokument enthalten.
wenn der OpenLimit SignCubes Viewer
Java Script Elemente identifiziert hat.
Sie sollten sich über den Menüpunkt
'Weitere Dateiinhalte' über den Inhalt
der Java Scripte informieren.
Fehler in der Datenlänge
Zustand
des
Produktes/
Benutzerreaktion
nicht gefährdet. Sie sollten sich
jedoch über den Inhalt der Java Script
Elemente über den Menüpunkt
'Weitere Dateiinhalte' informieren.
Im Zweifelsfall sollten Sie die
Unterzeichnung des Dokuments nicht
fortsetzen.
Öffnen eines PDF Dokuments nicht gefährdet, jedoch sollten Sie die
angezeigt werden.
Datei nicht weiter verarbeiten, da ein
Fehler
in
der
internen
Dokumentstruktur vorliegt.
Fehler im Zugriff auf die Datei!
Öffnen eines Dokuments angezeigt nicht gefährdet. Sie haben jedoch eine
werden.
Datei ausgewählt, die nicht geöffnet
werden kann. Beispielsweise kann die
Datei exklusiv durch eine dritte
Das Modul <Name des Moduls> besitzt Diese Fehlermeldung kann Ihnen beim Der sichere Zustand des Produktes ist
eine
ungültige
Signatur!
Das Start des Viewers angezeigt werden.
nicht mehr gewährleistet. Das
Programm wird beendet.
Programm wird beendet. Sie sollten
mit dem zur Verfügung stehenden
Modul zur Integritätsprüfung die
Integrität der Installation auf dem
Rechner überprüfen und sicherstellen,
dass nicht unberechtigte Dritte Zugriff
auf Ihren Rechner haben.
Das Modul <Name des Moduls> konnte Diese Fehlermeldung kann Ihnen beim Der sichere Zustand des Produktes ist
nicht geladen werden! Das Programm Start des Viewers angezeigt werden.
nicht mehr gewährleistet. Das
wird beendet.
Programm wird beendet. Sie sollten
mit dem zur Verfügung stehenden
Modul zur Integritätsprüfung die
Integrität der Installation auf dem
Rechner überprüfen und sicherstellen,
dass nicht unberechtigte Dritte Zugriff
auf Ihren Rechner haben.
Das Dokument ist beschädigt und Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist
Öffnen eines PDF Dokuments nicht betroffen. Der Viewer hat jedoch
muss repariert werden.
angezeigt werden.
erkannt, dass das vorliegende
Dokument nicht verarbeitet oder
angezeigt werden kann.
Eine solches Dokument sollten Sie
nicht signieren.
Fehlermeldung des
SignCubes Viewer
Die Datei-Ende Markierung
wurde nicht gefunden.
Zustand
des
Produktes/
Benutzerreaktion
(EOF) Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist
Öffnen eines PDF Dokuments nicht betroffen. Der Viewer hat jedoch
angezeigt werden.
erkannt, dass das vorliegende
Dokument einen syntaktischen Fehler
enthält.
Ein solches Dokument sollten Sie nicht
signieren.
Die Datei konnte nicht geöffnet Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist
werden.
Öffnen eines PDF Dokuments nicht gefährdet, die Datei konnte
angezeigt werden.
jedoch nicht geöffnet werden.
Ein
unerwarteter
aufgetreten!
Fehler
ist Diese Fehlermeldung wird angezeigt,
wenn ein Fehler aufgetreten ist, der
eine weitere Verarbeitung der Daten
unmöglich macht.
nicht gefährdet.
Sie sollten die laufende Operation
jedoch abbrechen bzw. den Viewer
schließen.
- es sind alternative Abbildungen Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
enthalten
eines PDF Dokuments angezeigt nicht betroffen, jedoch hat der Viewer
werden.
erkannt, dass Anweisungen in dem PDF
Dokument vorhanden sind, die nicht
ausgeführt werden können.
Sie sollten eine solche Datei nicht
signieren.
- es sind Anweisungen zur Ausführung Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
externer Programme enthalten
werden.
signieren.
- es sind Verweise auf externe Dateien Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
enthalten
werden.
signieren.
- es sind Verzweigungen <Links> auf Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
externe Dokumente enthalten
werden.
- es sind Anweisungen zum Verbergen Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
von Inhalten enthalten
werden.
Si
llt
i
l h D t i i ht
Fehlermeldung des
SignCubes Viewer
Zustand
des
Produktes/
Benutzerreaktion
- es sind Anweisungen zum Zugriff auf Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
das Internet enthalten
werden.
llt Zustand
i
l h Produktes
D t i i ist
ht
- es sind Anweisungen zum Abspielen Diese Meldung kann Ihnen beim Öffnen Si
Der sichere
des
von Media-Clips enthalten
werden.
- es sind Anweisungen zur Ausführung Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
benannter Aktionen enthalten
werden.
- es sind optionale Inhalte enthalten
Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
werden.
i isichere Zustand des Produktes ist
- es sind Anweisungen zur Steuerung Diese Meldung kann Ihnen beim Öffnen Der
von Media-Clips enthalten
werden.
signieren.
- es sind Anweisungen zur Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
Übermittlung von Formulardaten eines PDF Dokuments angezeigt nicht betroffen, jedoch hat der Viewer
enthalten
werden.
i isichere Zustand des Produktes ist
- es sind Anweisungen zum Abspielen Diese Meldung kann Ihnen beim Öffnen Der
von Sound enthalten
werden.
- es sind Anweisungen zur Steuerung Diese Meldung kann Ihnen beim Öffnen signieren
besonderer
enthalten
Lesereihenfolgen eines PDF
werden.
Dokuments
angezeigt nicht betroffen, jedoch hat der Viewer
signieren.
Fehlermeldung des
SignCubes Viewer
- es wird Transparenz verwendet
Zustand
des
Produktes/
Benutzerreaktion
Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
werden.
signieren.
- es wurden Inhalte entdeckt, die nicht Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
zum Dokument gehören
werden.
signieren.
- es sind Anweisungen zum Abspielen Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist
von Filmen enthalten
werden.
signieren.
Das Dokument hat eine neuere Version Diese Meldung kann Ihnen beim Öffnen
als 1.6 und kann aus diesem Grund u.U. eines PDF Dokuments angezeigt
nicht eindeutig und fehlerfrei werden.
dargestellt werden.
Der sichere Zustand ist nicht
betroffen. sie haben jedoch ein
Dokument geöffnet, welches eine PDFVersion spezifiziert, die größer als die
erwartete Version 1.6 ist.
Das bedeutet, dass die Datei unter
Umständen nicht korrekt angezeigt
wird. Sie sollten eine solche Datei
nicht signieren, da der Viewer die
zweifelsfreie
Darstellung
des
Dokuments nicht gewährleisten kann.
Es steht der Anwendung nicht
genügend Speicher zur Verfügung!
Bitte beenden Sie die Anwendung und
starten Sie diese neu.
Der sichere Zustand ist nicht
betroffen. Sie sollten jedoch den
Viewer schließen und das Dokument
erneut öffnen.
Unter bestimmten Umständen stellt
das Betriebssystem nicht genügend
Speicher für die Anwendung zur
Verfügung. Um eine Missinterpretation
der Daten auszuschließen, sollten Sie
das Dokument jedoch schließen und
erneut öffnen. Sie sollten das
Dokument jedoch nicht signieren,
bevor Sie den Inhalt des Dokuments
nicht zweifelsfrei erkennen konnten.
Diese Meldung kann Ihnen bei der
Verwendung
des
Textdes
Viewers
Extraktionsdialogs
angezeigt werden.
12.5 Technischer Support
Bei Fragen in der Arbeit mit dem Produkt OpenLimit SignCubes 2.5 sollten Sie zunächst die Beschreibung
in dem entsprechenden Kapitel des elektronischen Handbuches bzw. in der Benutzerdokumentation der
OpenLimit SignCubes 2.5 nachlesen.
Fehlermeldungen und Erklärungen finden Sie im Kapitel Erste Hilfe.
Darüber hinaus steht Ihnen zur Unterstützung für die Software OpenLimit SignCubes 2.5 ein telefonischer
Support zur Verfügung. Weitere Informationen zum technischen Support und zu häufig gestellten Fragen
(FAQ) finden Sie im Internet unter: www.OpenLimit.com.
Vorab sollten Sie sich darüber informieren, welche Softwareversion Sie installiert haben. Diese Meldung
finden Sie unter Start - Programme - OpenLimit - Show Version.

Elektronisches Handbuch OpenLimit SignCubes 2.5.0.4

Transcription

Similar documents

S-TRUST Sign

OPENLiMiT SignCubes Viewer

Getting Started 2.5.0.2

PDF AusweisApp Releasenote 1.13.1 - Blog eID

Einsatz und Bedeutung elliptischer Kurven - A-SIT