elektronisches handbuch openlimit signcubes 2.5.0 · basiskomponenten 2.5, version 2.5.0.2 wurden...
TRANSCRIPT
Stand: 25.09.2009
Elektronisches Handbuch OpenLimit SignCubes 2.5.0.2
Copyright © OPENLiMiT SignCubes AG 2009
Diese Dokumentation ist geistiges Eigentum der OPENLiMiT SignCubes AG.
Sie darf ohne vorherige schriftliche Einwilligung der OPENLiMiT SignCubes AG nicht (auch nicht in Auszügen) vervielfältigt
oder veröffentlicht werden, unabhängig von der Art und Weise oder mit welchen Mitteln, elektronisch oder mechanisch,
dieses geschieht. Die in dieser Dokumentation verwendeten Soft- oder Hardwarebezeichnungen sind genauso wie Firmen-
oder Markennamen in den meisten Fällen eingetragene Warenzeichen oder Marken und Eigentum der jeweiligen Hersteller.
Sie werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Wir richten uns im wesentlichen nach den
Schreibweisen der Hersteller. Die Wiedergabe von Waren- und Handelsnamen etc. in dieser Dokumentation - auch ohne
besondere Kennzeichnung - berechtigt nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und
Markenschutz-Gesetzgebung als frei zu betrachten sind.
Alle in dieser Dokumentation enthaltenen Informationen wurden mit größter Sorgfalt zusammengestellt. Dennoch können
fehlerhafte Angaben nicht völlig ausgeschlossen werden. Die OPENLiMiT SignCubes AG, die Autoren und die Übersetzer
haften nicht für eventuelle Fehler oder deren Folgen. In dieser Dokumentation werden insbesondere Informationen über
Signaturgesetze und entsprechende Verordnungen gegeben. Diese Informationen sollen zum Verständnis beitragen und
haben nicht den Anspruch auf Vollständigkeit. Es obliegt jedem Nutzer selbst, sich über die gesetzlichen Grundlagen, auf
denen die beschriebene Technologie beruht, zu informieren und die entsprechenden Maßnahmen zu ergreifen.
Diese Dokumentation bietet dem Erwerber eine Anleitung zu den OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.2. In Einzelfällen kann es zu Abweichungen zwischen den beschriebenen Abläufen, der Dokumentation und der
tatsächlichen Anwendung kommen. Die OpenLimit SignCubes AG übernimmt keine Haftung für etwaige Abweichungen und
deren Folgen.
Da die Software ständig weiter entwickelt wird, behält sich die OPENLiMiT SignCubes AG Änderungen am Inhalt der
Dokumentation ohne Ankündigung vor.
Das Handbuch beschreibt sowohl die Sicherheitsfunktionalität als auch die korrekte Konfiguration und den richtigen
Umgang mit den Produkten OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2. Die OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2 wurden einer Evaluierung nach Common Criteria v2.3 mit Prüfniveau EAL4+
unterzogen und haben eine Sicherheitsbestätigung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)
erhalten. Mehr Informationen zur Produktzertifizierung finden Sie auf den Webseiten des BSI unter http://www.bsi.de und
der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) unter
http://www.bundesnetzagentur.de.
Dieses Handbuch gehört zum Lieferumfang des bestätigten Produktes.
Die Zertifizierungs-ID für das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 lautet BSI-DSZ-CC-
0552-2009-MA-01. Die Sicherheitsvorgaben und die Zertifizierungsreporte können in englischer Sprache von den
Webseiten des Bundesamtes für Sicherheit in der Informationstechnik bezogen werden.
Hinweise und Kommentare richten Sie bitte an [email protected].
OPENLiMiT SignCubes AG
Zugerstraße 76 B
CH - 6341 Baar
Switzerland
Web: www:openlimit.com
2
Inhalt
1. Einleitung 7
1.1 Typografische Konventionen ..........................................................................................................................7 1.2 Bevor Sie beginnen.........................................................................................................................................7 1.3 Mindestanforderungen und Sicherheitsmaßnahmen .......................................................................................8 1.4 Installation ................................................................................................................................................... 10 1.5 Freischalten der Lizenz ................................................................................................................................ 13 1.6 Betriebssysteme .......................................................................................................................................... 16 1.7 Kartenleser....................................................................................................................................................17 1.8 Chipkarten.................................................................................................................................................... 19 1.9 Produktbestandteile .....................................................................................................................................20
2. Grundlagen der elektronischen Signatur 21
2.1 Public Key Verfahren .................................................................................................................................... 21 2.2 Signaturerzeugung .......................................................................................................................................22 2.3 Signaturverifikation......................................................................................................................................24 2.4 Rechtliche Aspekte der elektronischen Signatur ..........................................................................................25
3. Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 28
3.1 OpenLimit SignCubes Security Environment Manager...................................................................................33 3.2 OpenLimit SignCubes Viewer ........................................................................................................................35 3.3 OpenLimit SignCubes Integrity Tool..............................................................................................................37
4. Konfiguration der OpenLimit SignCubes Basiskomponenten 39
4.1 Konfigurationsoptionen des OpenLimit SignCubes Security Environment Managers .....................................39 4.1.1 Option: Lizenzeinstellungen und Lizenzupgrade ............................................................................40 4.1.2 Option: Allgemeine Einstellungen...................................................................................................42 4.1.3 Option: Verzeichnisse ....................................................................................................................44 4.1.4 Option: PIN-Abfrage .......................................................................................................................46 4.1.5 Option: Zertifikate .........................................................................................................................48 4.1.6 Option: Algorithmen.......................................................................................................................49
4.2 Chipkarten Optionen.....................................................................................................................................50 4.2.1 Eigenschaften ................................................................................................................................50 4.2.2 Zertifikate exportieren ..................................................................................................................54 4.2.3 PIN ändern .....................................................................................................................................55
3
5. Arbeiten mit den OpenLimit SignCubes Basiskomponenten 57
5.1 Arbeiten mit dem OpenLimit SignCubes Security Environment Manager.......................................................57 5.2 Signaturverifikation......................................................................................................................................59 5.3 Arbeiten mit dem OpenLimit SignCubes Integrity Tool..................................................................................66 5.4 Sperrlistenaktualisierung .............................................................................................................................75 5.5 Arbeiten mit dem OpenLimit SignCubes Viewer ............................................................................................79 5.6 Signaturerzeugung .......................................................................................................................................94 5.7 Attributzertifikate ........................................................................................................................................98 5.8 Zeitstempeldienste..................................................................................................................................... 103 5.9 XML Signaturen........................................................................................................................................... 107
6. Arbeitsabläufe 111
6.1 Dateiformate ................................................................................................................................................ 111 6.2 Signieren ..................................................................................................................................................... 112 6.3 Signatur prüfen ........................................................................................................................................... 114
6.3.1 Zusammenfassung ........................................................................................................................ 115 6.3.2 Details .......................................................................................................................................... 115 6.3.3 Online Prüfung von Zertifikaten .................................................................................................... 116 6.3.4 Online Status................................................................................................................................. 118 6.3.5 Erstellen Prüfprotokoll................................................................................................................. 120
6.4 Verschlüsselung ......................................................................................................................................... 123 6.4.1 Daten verschlüsseln..................................................................................................................... 124 6.4.2 Verschlüsselungszertifikat exportieren ....................................................................................... 126 6.4.3 Zertifikate installieren................................................................................................................. 126 6.4.4 Verzeichnisdienst .........................................................................................................................127
6.5 Entschlüsselung.......................................................................................................................................... 128 6.5.1 Daten entschlüsseln..................................................................................................................... 129
7. OpenLimit SignCubes Shell Extension 130
7.1 Die erste Signatur mit OpenLimit SignCubes............................................................................................... 130 7.2 Shell Extension Menü.................................................................................................................................. 130 7.3 Dateien und Icons im Explorer..................................................................................................................... 131
8. Adobe Plugin 133
8.1 Adobe Plugin Grundeinstellungen ............................................................................................................... 133 8.1.1 PDF Dokument signieren .............................................................................................................. 135 8.1.2 Signatur im PDF prüfen ................................................................................................................ 136
9. Der OpenLimit TIFF/PDF (PDF/A) Drucker 140
9.1 Eigenschaften des OpenLimit PDF Producer ............................................................................................... 142 9.2 Eigenschaften des OpenLimit TIFF Producers ............................................................................................. 142 9.3 Eigenschaften des OpenLimit SignCubes Druckers (nur Windows NT) ......................................................... 143
9.3.1 Drucker Eigenschaften - Einstellungen ........................................................................................ 144 9.3.2 Drucker Eigenschaften - Dateiformate......................................................................................... 145 9.3.3 Drucker Eigenschaften - Dateiname erstellen...............................................................................147 9.3.4 Drucker Eigenschaften - Programm - Start .................................................................................. 148 9.3.5 Drucker Eigenschaften - Wasserzeichen ...................................................................................... 150 9.3.6 Drucker Eigenschaften - Embed Annotation .................................................................................. 151
10. E-Mail Clients 153
10.1 Microsoft Outlook und Microsoft Outlook Express .......................................................................... 153 10.1.1 Microsoft Outlook Einstellungen................................................................................................ 153 10.1.2 Signieren und Verschlüsseln.......................................................................................................157 10.1.3 Verschlüsselungszertifikate in Kontakt integrieren................................................................... 158
4
10.2 Mozilla / Netscape Mail................................................................................................................... 160 10.2.1 Mozilla / Netscape Mail Client Sicherheitseinstellungen............................................................. 161 10.2.2 Arbeiten mit Mozilla / Netscape Mail ..........................................................................................173
10.3 Mozilla Thunderbird.........................................................................................................................176 10.3.1 Thunderbird Sicherheitseinstellungen ........................................................................................177 10.3.2 Arbeiten mit Thunderbird .......................................................................................................... 189
10.4 Lotus Notes .................................................................................................................................... 193 10.4.1 Lotus Notes 6.5.4 Sicherheitseinstellungen .............................................................................. 194 10.4.2 Arbeiten mit Lotus Notes 6.5.4.................................................................................................. 198 10.4.3 Lotus Notes 5 ........................................................................................................................... 202
11. SSL Authentisierung 203
11.1 Internet Explorer............................................................................................................................203 11.2 Mozilla Firefox Browser Sicherheitseinstellungen ......................................................................... 204 11.3 Mozilla Firefox SSL Authentisierung .............................................................................................. 208 11.4 Mozilla / Netscape Browser Sicherheitseinstellungen ................................................................... 208 11.5 Mozilla / Netscape SSL Authentisierung ......................................................................................... 212
12. Erste Hilfe 213
12.1 Wie gehe ich mit Fehlermeldungen um? ......................................................................................... 213 12.2 Fehlermeldungen vor oder während der Installation ...................................................................... 214 12.3 Fehlermeldungen OpenLimit SignCubes Security Environment Manager..........................................217 12.4 Fehlermeldungen des OpenLimit SignCubes Viewer........................................................................233 12.5 Technischer Support.......................................................................................................................247
13. Index 248
5
Glossar CC Die Common Criteria ist ein internationals Normen- und Regelwerk, welches Vorgaben zur
sicherheitstechnischen Untersuchung von IT Produkten definiert.
CRL Eine Certificate List ist eine Liste, die von einem Zetrifikatsanbieter herausgegeben wird und eine Liste aller
Zetrifikate enthält, die zum Zeitpunkt des Abrufs der Sperrliste durch den Inhaber des zertifikats gesperrt
worden ist.
OCSP Online Certificate Status Protocol ist ein Protokoll, welches über eine Online Abfrage die Möglichkeit bietet, bei
dem Herausgeber zu erfragen, ob ein Zerifikat bekannt bzw. gesperrt ist. Dieses verfahren wird als so genannte
Positiv Auskunft bezeichnet.
RSA Kryptographische Mechanismen, benannt nach den Erfindern Ronald L. Rivest, Adi Shamir und Leonard Adleman
ECDSA Elliptic Curve Digital Signature Algorithm, kryptographische Mechanismen basierend auf elliptischen Kurven
CMS Cryptographic Message Syntax – beschreibt das Standardformat für kryptographische Nachrichten
6
1. Einleitung
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 sind eine evaluierte und bestätigte
Signaturanwendungskomponente gemäß deutschem Signaturgesetz (SigG) und der Signaturverordnung (SigV).
Die bestätigten Komponenten bestehen aus dem OpenLimit SignCubes Security Environment Manager, dem OpenLimit
SignCubes Viewer sowie dem OpenLimit SignCubes Integrity Tool, die auch Gegenstand der vorliegenden
Benutzerdokumentation Version 2.5.0.2 sind.
Die vorliegende Dokumentation Version 2.5.0.2 beschreibt die genannten Produktbestandteile und gibt Hinweise zur
korrekten und sicheren Konfiguration des Produktes. Weiterhin werden alle Fehlermeldungen aufgelistet und Hinweise zum
korrekten Umgang mit Fehlermeldungen gegeben.
Bevor Sie anfangen, mit dem Produkt zu arbeiten, lesen Sie bitte die folgenden Kapitel der Hilfe aufmerksam durch:
Bevor Sie beginnen
Mindestanforderungen und Sicherheitsmaßnahmen
Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2
ponenten (siehe "Konfiguration der OpenLimit
E unktionen im Detail, finden Sie im Kapitel
Arbeiten mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2.
1.1 Typografische Konventionen
verwendet einige typografische Konventionen, die Ihnen die Arbeit mit dem elektronischen Handbuch
rleichtern.
g
Konfiguration der OpenLimit SignCubes Basiskom
SignCubes Basiskomponenten 2.5, Version 2.5.0.2")
ine Anleitung zum Umgang mit dem Produkt sowie der Nutzung einzelner F
Diese Hilfe
e
Formatierun Beschreibung
Fetter Text erung werden besonders wichtige
Passagen markiert.
kursiv z.B. Menübefehle und
Arbeitsabfolgen gekennzeichnet.
Normaler Text normale Textformatierung für dieses
Handbuch.
1.2 Bevor Sie beginnen
tsbestätigung und bezieht sich ausschließlich auf die OpenLimit SignCubes Basiskomponenten 2.5, Version
Mit dieser Formati
Mit dieser Formatierung werden
Dies ist die
Die vorliegende Benutzerdokumentation Version 2.5.0.2 ist Bestandteil der erfolgten Sicherheitsevaluierung und
Sicherhei
2.5.0.2.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 sind Bestandteil des Produktes, das Sie auf CD-ROM oder
Online von der OpenLimit SignCubes AG oder einem ihrer Reseller erworben haben. Das vorliegende Handbuch Version
7
2.5.0.2 beschreibt ausschließlich den korrekten Umgang mit den Basiskomponenten, für die weiteren Produktbestandteile
en 2.5, Version 2.5.0.2 benötigen Sie
itel enthält
enden Kapitel lesen, um sicher zu stellen, dass Ihr Rechner die Voraussetzung für den Einsatz des
Produktes erf
ngen und Sicherheitsmaßnahmen
teme
Kartenleser
F . Wir empfehlen außerdem, dass Sie vor der ersten Verwendung der OpenLimit
r
ersten Anwendung des Produktes das OpenLimit SignCubes Integrity Tool ausführen, um die Korrektheit der Installation zu
veri n. W it dem OpenLimit SignCubes Integrity Tool.
1.3 Mindestanforderungen und Sicherheitsmaßnahmen
Bitte stellen S h Rechner und Ihre Einsatzumgebung den Anforderungen aus den Kapiteln
me
Chipkarten
Kartenleser
entsprechen.
Die folgenden Sicherheitsmaßnahmen müssen für den korrekten Einsatz des Produktes eingehalten werden:
steht Ihnen eine separate Hilfe zur Verfügung.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 sind eine Sicherheitssoftware, die Ihnen die Erstellung
und Verifikation elektronischer Signaturen konform zum deutschen Signaturgesetz (SigG) und zur Signaturverordnung
(SigV) bietet. Für die sichere Benutzung der OpenLimit SignCubes Basiskomponent
neben der Software eine Chipkarte und einen Kartenleser mit sicherer PIN-Eingabe.
Dieses Handbuch Version 2.5.0.2 erläutert die Grundlagen zur elektronischen Signatur, die Sicherheitskomponenten und
Sicherheitsfunktionen des Produktes, zur korrekten Konfiguration sowie den Umgang mit dem Produkt. In einem separaten
Kapitel werden die Fehlermeldungen und mögliche Ursachen für diese Fehlermeldungen aufgeführt. Dieses Kap
Hinweise und Handlungsempfehlungen, für den Fall, dass eine Fehlermeldung von dem Produkt angezeigt wird.
Sie sollten die folg
üllt:
Mindestanforderu
Betriebssys
Chipkarten
Produktbestandteile
Sie sollten vor der ersten Verwendung des Produktes das Kapitel Freischalten der Lizenz lesen, um die richtige
reischaltung der Lizenz vorzunehmen
SignCubes Basiskomponenten 2.5, Version 2.5.0.2 das Kapitel Konfiguration der OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 vollständig lesen.
Hinweis: Sofern Ihr Betriebssystem Benutzerrechte unterstützt, benötigen Sie Administrationsrechte, um die OpenLimit
SignCubes Basiskomponenten 2.5, Version 2.5.0.2 zu installieren.
Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt nach der Installation und vor de
fiziere eitere Informationen dazu finden Sie in dem Kapitel Arbeiten m
ie sic er, dass Ihr
Betriebssyste
Benutzer sowie evtl. Administrations- und Wartungspersonal müssen den Anweisungen der
Benutzerdokumentation Folge leisten.
Wenn Sie das Produkt auf CD-ROM oder einem anderen Speichermedium bezogen haben, müssen Sie
8
dieses geschützt vor dem Zugriff durch unberechtigte dritte Personen aufbewahren. Bevor Sie das
an den Lieferanten.
Sie müssen als Benutzer regelmäßig, wenigstens jedoch einmal im Monat, die Integrität der
dministratoren zuverlässig im
Vier-Augen-Prinzip zu kontrollieren.
irendefinitionen des
en, um
uktes über Netzwerkfreigaben durch Dritte zugegriffen werden kann.
bedeutet, dass der Rechner so konfiguriert sein muss, dass der
Anwender durch den Computer-Administrator die Rechte eingeräumt bekommt, die er zur Benutzung
Hinweis: Für den Einsatz der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 auf Windows Terminalserver
2003 hat die Remoteverbindung zwischen dem Terminalserver und dem bzw. den Terminalclients grundsätzlich
Bei Windows Terminal Server 2003 in Verbindung mit den Betriebsystemen Windows XP und Windows
Vista clientseitig ist die Verschlüsselung mit 128 Bit bereits Standard für die Verbindung und unbedingt
zu verwenden.
Wenn Sie diese Regeln nicht einhalten, verlassen Sie die Umgebung, für die das Produkt zertifiziert und bestätigt ist. Die
folgenden Anforderungen kann das Produkt nicht leisten:
Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrtheit und der
Produkt installieren, stellen Sie bitte sicher, dass alle Sicherheitsmerkmale (wie z.B. Siegel und
Laminierungen) der Verpackung unbeschädigt sind. Sollten Sie Zweifel an der Authentizität des
Installationsmediums haben, wenden Sie sich
Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt nach der
Installation und vor der ersten Anwendung das OpenLimit SignCubes Integrity Tool ausführen, um die
Korrektheit der Installation zu verifizieren.
Für den Einsatz der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 in der Windows
Terminal Umgebung ist der Server in einer zutrittsgeschützten Einsatzumgebung und innerhalb eines
verschließbaren und versiegelten Elektroschrankes unterzubringen.
Produktinstallation auf Ihrem Rechner prüfen. Verwenden Sie dazu die Online-Komponente, die Ihnen
über die Webseite https://www.OpenLimit.com/integritytool zu diesem Zwecke zur Verfügung gestellt
wird.
In der Windows Terminal Umgebung ist die Produktintegrität serverseitig sofort nach der Installation
und dann regelmäßig, mindestens jedoch einmal im Monat, durch die A
Verwenden Sie stets einen Virenscanner und stellen Sie sicher, dass die aktuellen V
Herstellers installiert sind. Wenn der Virenscanner keine Backdoor-Programme erkennen kann, sollten
Sie ein entsprechendes zusätzliches Programm installieren.
Für den Fall, dass Sie über einen Internet-Anschluss verfügen, müssen Sie eine Firewall einsetz
das Betriebssystem Ihres Computers vor Angriffen aus dem Internet zu schützen.
Stellen Sie sicher, dass Sie über die volle Kontrolle über eingelegte Speichermedien und
Netzwerkfreigaben verfügen. Konfigurieren Sie Ihren Rechner niemals so, dass auf den
Installationspfad des Prod
Der Zugriff und die Verwendung des Produktes durch den Anwender muss durch die Konfiguration des
Rechners ermöglicht werden. Das
des Produktes benötigt.
verschlüsselt mit 128 Bit zu erfolgen.
9
Geheimhaltung der privaten Schlüssel obliegt der Chipkarte.
Sicherstellung der korrekten Uhrzeit auf dem Rechner des A nwenders. Das Produkt OpenLimit
Sicherstellung der Integrität des Betriebssystems. Das Produkt enthält keine Mechanismen, um die
SignCubes Basiskomponenten 2.5, Version 2.5.0.2 kann keine Aussagen über die Plausibilität der
eingestellten Uhrzeit auf dem Rechner des Anwenders treffen.
Integrität seiner Umgebung zu prüfen. Sie müssen geeignete Vorkehrungen treffen, um eine
Kompromittierung des Betriebssystems zu vermeiden.
Sicherheit der kryptografischen Operationen. Das Produkt verwendet Bibliotheken zur Erzeugung und
Verifikation elektronischer Signaturen über das RSA bzw. ECDSA Public Key Verfahren. Zur
Signaturerzeugung ist der Einsatz einer Chipkarte unabdingbar. Das Produkt kann die Stärke der
kryptografischen Mechanismen nicht garantieren und keine Aussagen über die Stärke der
kryptografischen Funktionen treffen.
Die Leistungsmerkmale des Produktes sind auf diejenigen Funktionen beschränkt, die in diesem Handbuch Version 2.5.0.2
wiedergegeben werden. Als Anwender des Produktes sind Sie verpflichtet, die technischen und organisatorischen
Maßnahmen einzuhalten, die von der vorliegenden Benutzerdokumentation Version 2.5.0.2 vorgegeben werden.
1.4 Installation
Um mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 arbeiten zu können, benötigen Sie eine Chipkarte
mit einem Zertifikat für die qualifizierte elektronische Signatur gemäß deutschem Signaturgesetz und einen Kartenleser.
Die für die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 zulässigen Chipkarten sind in dem Kapitel
Chipkarten aufgelistet.
Die zulässigen Kartenleser sind in dem Kapitel Kartenleser aufgeführt.
Stellen Sie sicher, dass Sie eine entsprechende Chipkarte zur Verfügung haben und der Kartenleser ordnungsgemäß
installiert ist, bevor Sie anfangen, mit der Software zu arbeiten.
Hinweis: Um einen Lizenzschlüssel mit dem Lizenz-Wizard zu aktivieren, benötigen Sie eine Produktkonfiguration, mit der
die Verwendung eines unterstützten Chipkartenterminals und einer unterstützten Signaturkarte möglich ist. Verwenden
Sie das OpenLimit SignCubes Integrity Tool, um die installierten Module anzuzeigen.
Bevor Sie das Produkt installieren, lesen Sie den Abschnitt Mindestanforderungen und Sicherheitsmaßnahmen und
Betriebssysteme gründlich, um zu gewährleisten, dass Ihr System einem der angegebenen Betriebssysteme entspricht.
Sie können das Produkt wahlweise per Download über einen Web-Shop oder auf einem Installationsmedium, wie z.B. einer
CD-ROM, bezogen haben. Der im Folgenden dargestellte Ablauf ist für beide Varianten identisch. Das
Installationsprogramm kopiert die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 auf Ihren Rechner. Stellen
Sie bitte nach der Installation sicher, dass das korrekte Produkt installiert wurde, in dem Sie das OpenLimit SignCubes
Integrity Tool ausführen. Mehr Informationen dazu finden Sie im Kapitel Arbeiten mit dem OpenLimit SignCubes Integrity
Tool.
Falls Sie das Setup auf einer CD-ROM erhalten haben und diese in das Laufwerk einlegen, wird bei aktiviertem Autostart
das Setup automatisch gestartet. Wenn Sie das Setup über einen Download bezogen haben, müssen Sie das Programm
'setup.exe' ausführen. Sie sehen dann das Fenster zur Sprachauswahl. Die OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.2 werden in deutscher und englischer Sprache ausgeliefert:
10
Wenn Sie jetzt auf OK klicken, überprüft das Setup Programm die Installationsumgebung unter folgenden Gesichtspunkten:
Entspricht das Betriebsystem den aufgeführten Mindestanforderungen?
Sind die Mindestanforderungen an den Internet Explorer erfüllt?
Verfügt der Benutzer über Administrationsrechte?
ngezeigt und das Setup Programm beendet.
Ist der schreibende Zugriff auf die Registry möglich?
Wenn diese Voraussetzungen nicht erfüllt sind, wird eine Fehlermeldung a
Wenn die Prüfung erfolgreich verlaufen ist, startet der Installationsvorgang.
In dem folgenden Fenster haben Sie die Möglichkeit, den Zielordner für die Programmdaten zu ändern.
Wenn Sie jetzt auf Weiter klicken, wird eine Seite angezeigt, auf der Sie die Lizenzvereinbarungen akzeptieren müssen.
11
Nachdem Sie die Lizenzvereinbarungen akzeptiert haben, beginnt der eigentliche Installationsvorgang.
Nach Bestätigung des Befehls Fertigstellen wird der OpenLimit SignCubes Security Environment Manager automatisch
gestartet und das Modul zum Freischalten der Lizenz geöffnet.
Hinweis zur Installation für Windows Terminalserver: Zur Arbeit mit den OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.2 über Windows Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame müssen die
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 als Terminaldienste im Anwendungsmodus (nicht im
Remoteverwaltungsmodus) installiert werden. Es ist ausreichend, die OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.2 serverseitig zu installieren.
Bei der Installation der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 in der Windows Terminal Server 2000
mit Citrix Frame oder 2003 mit oder ohne Citrix Frame Umgebung ist eine zuverlässige Administration des Servers durch
das Vier-Augen-Prinzip zu gewährleisten.
Die Kartenlesertreiber müssen nur auf den Clientrechnern installiert sein.
Darüber hinaus gibt es für die Installation der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 in der Windows
Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame Umgebung eine zusätzliche Dokumentation.
Diese wird gesondert durch die OpenLimit SignCubes AG zur Verfügung gestellt.
Hinweis zur sicheren Konfiguration: Bei der Installation der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2
wird automatisch eine sichere Konfiguration des Produktes eingestellt. Sie sollten Änderungen in den
Konfigurationseinstellungen mit Hilfe der in diesem Handbuch Version 2.5.0.2 beschriebenen Konfigurationsoptionen für
die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 erst dann vornehmen, wenn Sie im Umgang mit den
Funktionalitäten vertraut sind. Grundsätzlich sollte das Produkt immer mit den empfohlenen Einstellungen betrieben
werden. Über den Button Ausgangskonfiguration haben Sie die Möglichkeit, die bei der Installation eingerichteten Optionen
wieder herzustellen.
12
1.5 Freischalten der Lizenz
Wenn Sie das Produkt zum ersten Mal starten, werden Sie aufgefordert, Lizenzierungsinformationen einzugeben. Sie haben
die Lizenzinformationen entweder direkt von der OpenLimit SignCubes AG oder einem ihrer Reseller erhalten. Wenn der
Lizenzmanager gestartet wird, sehen Sie den folgenden Dialog. Lesen Sie die Informationen gründlich und vergewissern
Sie sich, dass Sie die Informationen verstanden haben.
Klicken Sie so lange auf Weiter, bis Sie aufgefordert werden, den Lizenzcode einzugeben.
13
Geben Sie den Lizenzcode ein oder klicken Sie auf den Button Reader.
14
Nachdem Sie den Lizenzcode eingegeben haben, werden Sie aufgefordert, eine Signatur zu erzeugen. Sie können die Daten
im OpenLimit SignCubes Viewer betrachten, um sich zu vergewissern, dass keine persönlichen oder vertraulichen Daten in
den Lizenzinformationen enthalten sind.
Nach Abschluss der Lizenzfreischaltung steht die Lizenz allen Anwendern des Computers zur Verfügung.
Wenn Sie später eine andere Lizenz erwerben, können Sie ein Upgrade der Lizenz vornehmen. Gehen Sie dazu auf den
Menüpunkt Eigenschaften des OpenLimit SignCubes Security Environment Managers und wählen Sie das Register Lizenz
aus. Klicken Sie auf Lizenz-Upgrade, um eine Änderung der Lizenzinformationen vorzunehmen.
Hinweis: Beachten Sie unbedingt, dass eine Weitergabe der Lizenzinformationen an Dritte nicht erlaubt ist und
15
strafrechtlich durch die OPENLiMiT SignCubes AG verfolgt wird. Die zur Verfügung stehende Funktionalität des Produktes
Version 2.5.0.2 hängt von dem Lizenzcode ab, den Sie erhalten haben. Sie können sich auf der Eigenschaftsseite des
Produktes anzeigen lassen, welche Funktionen Sie lizenziert haben. Der grüne Haken bedeutet dabei, dass die Funktion zur
Verfügung steht. Nicht verfügbare Funktionalität wird auch nicht angezeigt.
Für die Freischaltung der Lizenz ist keine Online-Aktivierung des Produktes notwendig. Sie schützen die Lizenz jedoch
durch die Erzeugung einer Signatur vor dem Missbrauch durch unberechtigte Dritte. Durch die Unterzeichnung der Lizenz
mit Ihrem Signaturzertifikat beweisen Sie, dass Sie die Lizenz erworben haben und können dies auch in der Anzeige der
Lizenzinformationen überprüfen. Mehr Informationen finden Sie im Kapitel Option: Lizenzeinstellungen und Lizenzupgrade.
1.6 Betriebssysteme
Für die Arbeit mit dem Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 benötigen Sie einen Intel 586
kompatiblen Prozessor, mindestens 120 MB freien Festplattenplatz und mindestens 128 MB RAM. Auf dem Rechner muss
mindestens der Internet Explorer ab Version 5.01 installiert sein. Wenn Sie nicht über diese Mindestversion des Internet
Explorers verfügen, laden Sie sich bitte die neueste Version des Internet Explorers von der Webseite der Firma Microsoft
herunter. Darüber hinaus muss die Java Virtual Machine (JVM) ab Version 1.4.2.08 mit dem zugehörigen JRE (Java Runtime
Environment) auf dem Computer installiert sein. Wenn Sie nicht über die Java Virtual Machine verfügen, können Sie diese
unter http://java.sun.com herunterladen.
Die folgenden Betriebssysteme werden von diesem Produkt unterstützt:
Windows NT 4.0 ab Service Pack 6.0
Windows 2000 ab Service Pack 2.0
Windows 2003
Windows 2003 64 Bit Edition
Windows XP Home und Professional
it
Windows 2003 Terminal Server mit und ohne Citrix Meta-Frame
triebssystemupdates zurückzuführen ist.
Windows XP 64 Bit Edition
Windows XP Tablet PC Edition
Windows Vista 32 Bit und 64 B
Windows 2008
Windows 2008 64 Bit Edition
Windows 2000 Terminal Server mit Citrix Meta-Frame
Windows 2008 Terminal Server
Windows 7 32 Bit und 64 Bit Edition
Abhängig vom Zustand Ihres Betriebssystems nimmt das Setup Programm Aktualisierungen des Betriebssystems vor. Dafür
kann ein mehrmaliger Neustart des Rechners notwendig sein, was nicht auf die Installation der Software OpenLimit
Basiskomponenten 2.5, Version 2.5.0.2 sondern auf die notwendigen Be
Das Setup für die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 nimmt ggf. notwendige Updates des
Betriebssystems vor. Diese Updates stellen sicher, dass die Shell32.dll in der Mindestversion 4.0 sowie die Microsoft
SmartCard Base Components in der Minimalversion 1.0 vorhanden sind.
16
Hinw vor Sicherheitslücken zu schützen und die korrekte Arbeit des Produktes zu
gewährleisten, sollten stets die aktuellen Sicherheits-Updates installiert werden. Schützen Sie Ihren Rechner durch einen
1.7 Kartenleser
Der Einsatz der folgenden Kartenleser wird durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2
unterstützt:
Cherry Smartboard G83-6700 LQ
44 LU
29-V2xx HOS:01
Kobil Systems B1 Pro USB
Kobil KAAN TriB@nk
Reiner SCT cyberJack e-com v2.0
Reiner SCT cyberJack e-com v3.0
ms SPRx32/ChipDrive PinPad (Firmware version 5.11)
erden. Zum Zeitpunkt der Bestätigung des
roduktes waren die aufgelisteten Kartenleser nach dem deutschen Signaturgesetz bestätigt und dürfen zur Erzeugung
esetzt werden:
inweis: Das Produkt unterstützt die Verwendung von Kartenlesern, die keine sichere PIN-Eingabe erlauben. Wenn Sie
einen solchen gG-konforme
Konfiguration Verwendung der aufgeführten,
eis: Um den Rechner optimal
aktuellen Virenscanner und, sofern Sie über eine Internetanbindung verfügen, mit einer Firewall.
Cherry Smartboard G83-67
Cherry ST-2000
Fujitsu Siemens S26381-K3
Kobil KAAN Advanced
Kobil EMV-TriCAP Reader
Kobil SecOVID Reader III
Omnikey Cardman 3621
Omnikey Cardman 3821
Reiner SCT cyberJack pinpad v2.0
Reiner SCT cyberJack pinpad v3.0
Reiner SCT cyberJack e-com plus v3.0
Reiner SCT cyberJack secoder
SCM Microsystems SPRx32/ChipDrive PinPad
SCM Microsyste
Für die Erzeugung gesetzeskonformer (qualifizierter) Signaturen dürfen nur diejenigen SigG-konformen Kartenleser
eingesetzt werden, die in diesem Handbuch Version 2.5.0.2 angegeben w
P
qualifizierter elektronischer Signaturen eing
H
Kartenleser verwenden, bewegen Sie sich außerhalb der bestätigten Konfiguration. Für die Si
der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 ist nur die
17
bestätigten Ka
Hinweis: Die der Kompatibilität mit den genannten
Signaturkarte
Cherry Sm
Giesecke & Devrient
& Devrient
6.4 from Giesecke & Devrient
ZKA-Signaturkarte, ZKA 680 V5A, Version 5.10 from Gemplus-mids GmbH
ids GmbH
ZKA Signatur Karte, Version 5.02 from Gemplus-mids GmbH
from SAGEM ORGA GmbH
1.1
ZKA Banking Signature Card, Version 7.1.2 (ecD 7.1.2) from Giesecke & Devrient GmbH
Banking Signature card, Version 7.2.1 (ecD 7.2.1) from Giesecke & Devrient
ZKA signature card, Version 6.01 (ZKA680) from Gemplus GmbH (Gemalto)
STARCOS 3.2 QES v.2.0, product name "Signtrust Card 3.2"
name "Signtrust MCard 3.2"
RCOS 3.2 QES v.2.0, product name "Signtrust MCard100 3.2"
Kobil B1 Profe
Siemens CardOS M4.3 B
Reiner SCT pinpad 2.0
re Card, Version 1.1
rtenleser zulässig.
folgenden Kartenleser sind auf Grund von Abweichungen in
n nicht für die Erzeugung qualifizierter Signaturen verwendbar.
artboard G83-6700 LQ:
ZKA Banking Signature card, v6.2 NP, v6.2b NP, 6.2f NP, Type 3 from
ZKA Banking signature card, v6.31 NP, Type 3 from Giesecke & Devrient
ZKA Banking Signature Card, v6.32, Type 3 from Giesecke
ZKA Banking signature card, v
ZKA Banking signature card, v6.51 from Giesecke & Devrient
ZKA Banking Signature Card, Version 6.6 from Giesicke & Devrient GmbH
ZKA-Signaturkarte, ZKA 680 V5A, Version 5.11 from Gemplus-m
ZKA signature card, version 5.11 M from Gemplus GmbH (Gemalto)
SecV1.5.3,
STARCOS 3.0 with Electronic Signature Application V3.0
STARCOS 3.2 QES, Version
ZKA
STARCOS 3.2 QES v.2.0, product
STA
ssional
CardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AG
TCOS 3.0 Signatu
18
Fujitsu Siemen
Nur unter Win
Weitere Info rten entnehmen Sie bitte der
Bestätigungsu
Hinweis: Für d a-Frame und Windows 2003 mit und ohne
Citrix Meta-Fr
1.8 Chipkarten
Das Produkt Einsatz folgender Chipkarten
vorgesehen:
vrient
nt
m Giesecke & Devrient
Type 3 from Giesecke & Devrient
n 6.4 from Giesecke & Devrient
vrient
ZKA Banking Signature Card, Version 7.1.2 (ecD 7.1.2) von Giesicke & Devrient GmbH
ZKA signature card, version 5.02 from Gemplus-mids GmbH
rom Gemplus-mids GmbH
CardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AG
mens Card-API
s S26381-K329-V2xx HOS:01
7 32Bit
TCOS 3.0 Signature Card, Version 1.1
rmationen bezüglich Inkompatibilitäten bei Kartenlesern und Ka
rkunde.
ie Arbeit mit den Terminal Servern Windows 2000 mit Citrix Met
ame müssen die Kartenlesertreiber nur auf den Clientrechnern installiert sein.
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 ist für den
STARCOS 3.0 with Electronic Signature Application V3.0 from Giesecke & De
Siemens CardOS M4.3 B
ZKA Banking signature card, v6.2b NP and 6.2f NP, Type 3 from Giesecke & Devrie
ZKA Banking signature card, v6.2 NP, Type 3 fro
ZKA Banking signature card v6.31 NP,
ZKA Banking signature card v6.32, Type 3 from Giesecke & Devrient
ZKA Banking Signature Card, Versio
ZKA Banking Signature Card, Version 6.51 from Giesecke & De
ZKA Banking Signature Card, v6.6 from Giesecke & Devrient
ZKA Banking Signature Card, Version 7.2.1 (ecD 7.2.1) von Giesicke & Devrient GmbH
ZKA signature card, ZKA 680 V5A Version 5.10 from Gemplus-mids GmbH
ZKA signature card, ZKA 680 V5A Version 5.11 f
ZKA signature card, ZKA 680 V5A Version 5.11 M from Gemplus GmbH (Gemalto)
ZKA signature card, Version 6.01 (ZKA680) from Gemplus GmbH (Gemalto)
ZKA SECCOS Sig v1.5.3 from Sagem Orga GmbH
dgnserviceCard
BA PKCS# User Card with Sie
TCOS 3.0 Signature Card, Version 1.1
ACOS EMV-A03V1 und ACOS EMV-A04V1 (r018)
STARCOS 3.2 QES Version 1.1
19
Die OpenLimit n auch PKCS#15 kompatible Karten, die nicht
D
eugung qualifizierter Signaturen geeignet.
n Karten beziehen sich auf bestätigte Signaturkarten, die auf der Webseite der Bundesnetzagentur für
für diesen Betriebsmodus verlangt werden, einhalten. Diese
icherheitsauflagen finden Sie in den Bestätigungsurkunden für diese Karten unter www.bundesnetzagentur.de.
Version 2.5.0.2 beinhalten die folgenden Bestandteile:
OpenLimit SignCubes Security Environment Manager als zentralen Bestandteil zur Verwaltung
verfügbarer Signaturkarten, Kartenleser und zur Konfiguration des Produktes. Mehr Informationen
finden sie im Kapitel OpenLimit SignCubes Security Environment Manager.
OpenLimit SignCubes Viewer. Mehr Informationen finden Sie im Kapitel OpenLimit SignCubes Viewer.
OpenLimit SignCubes Integrity Tool (Online). Mehr Informationen finden Sie im Kapitel OpenLimit
SignCubes Integrity Tool.
die vorliegende Benutzerdokumentation Version 2.5.0.2.
Im Kapitel Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 finden Sie Erläuterungen zur
richtigen Konfiguration des Produktes. Die richtige Bedienung wird Ihnen im Kapitel Arbeiten mit den OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2 erklärt. Der Umgang mit Fehlermeldungen wird Ihnen im Kapitel Erste Hilfe
ausführlich erläutert.
Hinweis:
In Abhängigkeit von der Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 steht die Funktion
zur Signaturerzeugung und -prüfung über IBM Lotus Formes Viewer zur Verfügung. Das OpenLimit SignCubes Integrity Tool
zeigt Ihnen an, ob dieses zusätzliche Modul installiert ist.
Weiterhin verfügen die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 über die Möglichkeit, XML-Signaturen
zu erzeugen bzw. zu verifizieren. Die Funktionalitäten können nur durch die Integration in Drittanwendungen aktiviert
werden. In dem Kapitel XML Signaturen finden Sie weitere Informationen zur Erzeugung und Verifikation von XML-
Signaturen.
STARCOS 3.2 QES v.2.0, Produktname "Signtrust Card 3.2"
STARCOS 3.2 QES v.2.0, Produktname "Signtrust MCard 3.2"
STARCOS 3.2 QES v.2.0, Produktname "Signtrust MCard100 3.2"
SignCubes Basiskomponenten 2.5, Version 2.5.0.2 unterstütze
in dieser Liste aufgeführt sind. Die vorliegende Sicherheitsbestätigung erstreckt sich nicht auf die Verwendung dieser
Karten! OpenLimit übernimmt keine Garantie, dass jede PKCS#15 kompatible Karte mit dem Produkt zusammen arbeitet.
ie Verwendung von Chipkarten, die nicht in diesem Handbuch aufgeführt sind, liegt außerhalb der Bestätigung und ist
daher nicht für die Erz
Die aufgelistete
Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) veröffentlicht wurden.
Hinweis: Wenn Sie eine Signaturkarte verwenden, die die Erzeugung mehrerer Signaturen in einem Durchgang erlaubt,
müssen Sie die speziellen Sicherheitsauflagen, welche
S
1.9 Produktbestandteile
Die OpenLimit SignCubes Basiskomponenten 2.5,
20
2. Grundlagen der elektronischen Signatur
Elektronische Daten können leicht manipuliert werden. Ob im Internet oder direkt auf dem Computer - Veränderungen von
Daten können bislang kaum ausgeschlossen werden.
Aus einem Dokument können Passagen einfach gestrichen oder eingefügt werden. Der Urheber eines Dokuments ist nicht
festzustellen. Genauso können Daten, die per E-Mail verschickt werden oder auf der Festplatte gespeichert sind, durch
Hacker oder Trojaner ausgelesen werden. Zudem hat das Internet einen großen Nachteil: Niemand weiß, mit wem er es auf
der anderen Seite zu tun hat.
Deshalb war es auch lange Zeit undenkbar, dass elektronische Daten, die noch dazu im Internet verschickt werden, wo man
den Kommunikationspartner nicht sehen kann, mit etwas ähnlichem wie einer Unterschrift versehen werden können.
Durch die elektronische Signatur können zwei Probleme behoben werden:
Eine unbemerkte Datenmanipulation ist nicht mehr möglich.
Der Unterzeichner kann eindeutig identifiziert werden.
Die Signatur macht jegliche absichtliche oder unabsichtliche Manipulation sofort ersichtlich. Über die Zertifikatsprüfung
kann bewiesen werden, dass die Signatur nicht gefälscht wurde, der Zertifikatsinhaber also echt ist. Dabei werden keine
persönlichen Daten des Inhabers preisgegeben - lediglich der Name.
In diesem Abschnitt werden Ihnen die Grundlagen zur elektronischen Signatur auf Basis des RSA bzw. ECDSA Verfahrens
dargestellt. Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 unterstützen die Erzeugung und Verifikation
elektronischer Signaturen auf Basis einer Chipkarte und eines Kartenterminals. Die Hashwertberechnung für die
qualifizierte elektronische Signatur wird nach den Verfahren SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160
vorgenommen, welche als anerkannte Verfahren für die Berechnung kryptografischer Prüfsummen durch die
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) ausgewiesen
sind. Das RSA bzw. ECDSA Verfahren ist ein asymmetrisches Verfahren, welches die Einbettung des Produktes in eine PKI
(Public Key Infrastruktur) ermöglicht.
Häufig wird im Zusammenhang mit der elektronischen Signatur auch von der elektronischen Unterschrift gesprochen. Das
deutsche Signaturgesetz erläutert den Begriff der elektronischen Signatur, insbesondere der fortgeschrittenen und der
qualifizierten elektronischen Signatur. In diesem Handbuch werden Sie häufig die Begriffe der Signatur und der
elektronischen Unterschrift lesen - beide Begriffe sind richtig und bedeuten inhaltlich das Gleiche.
Die rechtlichen Aspekte zur elektronischen Signatur sind ausführlich im Abschnitt Rechtliche Aspekte der elektronischen
Signatur erläutert.
2.1 Public Key Verfahren
Die Signatur und die Verschlüsselung, die mit einer Signaturkarte und dieser Software durchgeführt werden, basieren auf
einer Public Key Infrastruktur (PKI). Sowohl bei der Signatur als auch bei der Datenverschlüsselung kommt eine
asymmetrische Verschlüsselung zum Einsatz. Asymmetrisch bedeutet: Es werden immer zwei verschiedene Schlüssel
verwendet, der private Schlüssel (private key) und der öffentliche Schlüssel (public key), die sich gegenseitig ergänzen.
Daten, die mit dem einen Schlüssel "zugeschlossen" wurden, können nur mit dem anderen wieder "aufgeschlossen"
werden.
21
Der private Schlüssel befindet sich bei Chipkarten auf dem Chip der Karte und lässt sich nicht auslesen. Die zu
verarbeitenden Daten werden auf den Chip geladen, dort ver- oder entschlüsselt und wieder in den Computer übertragen.
Um den privaten Schlüssel zu benutzen, wird die richtige PIN benötigt, die zusätzliche Sicherheit gewährleistet. Der
öffentliche Schlüssel ist in ein Zertifikat integriert und steht jedermann in Verzeichnisdiensten im Internet zur Verfügung
oder kann per E-Mail versendet werden. Um sicher zu gehen, dass dieses Zertifikat und somit der Schlüssel nicht gefälscht
wurde, lässt sich die Signatur des Herausgebers prüfen.
Beim Signieren wird der private Schlüssel auf der Karte verwendet. Somit ist zweifelsfrei belegt: die Signatur kann nur vom
Karteninhaber sein - nur er hat die Karte und die PIN. Beim Prüfen der Signatur wird der öffentliche Schlüssel verwendet,
denn jeder soll eine Signatur prüfen können. Die Verschlüsselung verwendet die beiden Schlüssel in umgekehrter
Reihenfolge. Hier kommt der öffentliche Schlüssel des Empfängers zum Einsatz, so dass nur dieser die Daten mit seinem
privaten Schlüssel wieder entschlüsseln kann.
Da der Chip einer Chipkarte für die Verarbeitung großer Datenmengen sehr lange benötigen würde, wird bei der
Verschlüsselung ein automatisch generierter Zufallsschlüssel verarbeitet. Bei der Signatur wird ein Hashwert
verschlüsselt, der einem Dokument eindeutig zugeordnet werden kann.
2.2 Signaturerzeugung
Die Signatur hat verschiedene Zwecke: Einerseits wird eine qualifizierte Signatur verwendet, um Briefe, Verträge etc. zu
unterzeichnen. Andererseits gibt es auch fortgeschrittene Signaturen, die meistens dazu verwendet werden, Daten zu
sichern, die man nicht unterschreiben möchte. Beispielsweise können auch Bild- oder Ton-Dateien signiert werden. Die
Signatur schützt zwar nicht vor Veränderungen, macht diese aber eindeutig erkennbar. Ist eine Signatur intakt, bedeutet
das, dass die Daten nicht geändert wurden.
Beim Signieren einer Datei wird ein Hashwert gebildet, der mit einem Fingerabdruck vergleichbar ist. Zwei Dokumente
können nie denselben Hashwert haben, es sei denn, sie sind identisch.
Dieser Hashwert wird nach dem RSA bzw. ECDSA Verfahren unter Verwendung eines Schlüssels (mit einer Länge von
mindestens 2048 Bit für qualifizierte Signaturen) verschlüsselt. Die Verschlüsselung des Hashwerts findet auf dem Chip
der Karte statt. Dieser kleine Prozessor kann kleinere Datenmengen verarbeiten. Solch ein Vorgehen ist deshalb wichtig,
weil der private Schlüssel die Karte so nie verlässt. Denn jegliche Daten, die in einem Computer sind, sind auch potentiell
unsicher. Der Schlüssel bekommt also lediglich den Befehl, eine kleine Menge an Daten zu verschlüsseln. Die
22
verschlüsselten Daten werden anschließend wieder in den Computer zurückgeschickt. Vorher muss der private Schlüssel
durch die richtige PIN (Personal Identification Number) freigegeben werden, d.h., die Karte wird geöffnet.
Hier ist der empfindlichste Punkt der gesamten Signatur. Nicht die Technik ist es, die den größten Unsicherheitsfaktor
darstellt, sondern der Mensch. Folgende Punkte sollten Sie unbedingt beachten:
Schreiben Sie die PIN niemals auf die Karte, den Kartenleser oder in die Nähe Ihres Computers.
Lassen Sie sich nicht bei der PIN-Eingabe zusehen.
Achten Sie darauf, dass auch aus der Ferne (Fenster gegenüber etc.) niemand Einblick auf Ihre Tastatur oder den
Kartenleser hat.
Geben Sie die PIN in keinem Fall an eine andere Person weiter.
Benutzen Sie nach Möglichkeit (vor allem, wenn Sie wichtige Verträge o.ä. signieren) einen Kartenleser mit sicherer PIN-
Eingabe.
Nach dreimaliger falscher PIN-Eingabe ist der private Schlüssel unbrauchbar.
Lassen Sie Ihre Karte nie liegen, wenn Sie den Raum verlassen oder Ihre Aufmerksamkeit abgelenkt ist.
Diese hier kompliziert erscheinenden Vorgänge erledigt die Software natürlich automatisch. Der Nutzer muss nur auf
Signieren klicken, die PIN eingeben und hat sofort eine signierte Datei. Diese besteht aus verschlüsseltem Hashwert,
Originaldatei und öffentlichem Schlüssel.
Grundsätzlich benötigen Sie für eine qualifizierte Signatur ein qualifiziertes Zertifikat. Die Signaturerzeugung als
technischer Prozess sollte immer auf einer sicheren Signaturerzeugungseinheit, bestehend aus Kartenterminal, möglichst
mit sicherer PIN-Eingabe, und einer Chipkarte vorgenommen werden. Weiterhin benötigen Sie eine Software, die Ihnen ein
vertrauenswürdiges Umfeld für die Erzeugung einer elektronischen Signatur bietet. Grundsätzlich sollten Sie bei der
Erzeugung einer qualifizierten elektronischen Signatur immer auf eine vorherige Visualisierung der Inhalte bestehen.
23
2.3 Signaturverifikation
Folgende Punkte sind bei der Prüfung wichtig:
Ist das Dokument wirklich unverändert? Integrität der Daten.
Ist der Signaturinhaber echt? Wurde sein Zertifikat nicht inzwischen gefälscht? Authentizität des Inhabers.
Ist das Zertifikat nicht gesperrt? Zertifikatsstatus.
1. Die Integrität des Dokuments lässt sich über den Hashwert beweisen:
Das Dokument wird erneut gehasht. Der alte Hashwert wird entschlüsselt und mit dem neuen verglichen: Sind beide
Hashwerte identisch, ist bewiesen, dass das Dokument nicht verändert wurde. Das erledigt die Software bei jeder Prüfung
automatisch und in Echtzeit, d.h., die Software prüft den Hashwert ständig - nicht nur einmal. So werden auch
Manipulationen am geöffneten Dokument sichtbar. Um den alten Hashwert zu entschlüsseln, benötigt der Prüfer den
öffentlichen Schlüssel des Unterzeichners, denn die Signatur wurde ja mit der Karte, also mit dem privaten Schlüssel
erstellt.
Dieser öffentliche Schlüssel wird als Zertifikat an das signierte Dokument angehängt.
2. Prüfung des Signaturzertifikates
Die Echtheit und Unversehrtheit eines Zertifikates, also des mitgesendeten öffentlichen Schlüssels, wird über die Signatur
des Herausgebers geprüft: Jedes persönliche Zertifikat ist von einem Trustcenter (CA) signiert. Ist diese Signatur gültig,
wurde auch das Zertifikat nicht geändert. Natürlich kann auch die Echtheit des Herausgeberzertifikats geprüft werden, das
oft wieder von einer anderen Instanz herausgegeben wurde. So ergibt sich ein Zertifizierungspfad, der sich bis zu einer
24
vertrauenswürdigen Instanz (Root CA oder Wurzelzertifikat) zurückverfolgen lässt. Ist dieser Zertifizierungspfad korrekt
und die Wurzel vertrauenswürdig, beweist dies die Authentizität des Signaturinhabers.
In Deutschland ist bei qualifizierten Signaturen die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und
Eisenbahnen (Bundesnetzagentur) die oberste Instanz (Wurzel). Auch dieser Punkt wird von der Software überprüft.
Logischerweise kann die Software aber nur überprüfen, ob der Zertifizierungspfad lückenlos ist. Um aber die
verschiedenen Instanzen (CA's) des Pfades und das Wurzelzertifikat zu sehen, muss der Nutzer den Zertifizierungspfad
überprüfen. Ob die Wurzel vertrauenswürdig ist (z.B. bei Signaturen aus anderen Ländern), obliegt der Entscheidung jedes
Einzelnen.
3. Prüfung des Zertifikatsstatus
Der Zertifikatsstatus, d.h. die Information, ob ein Zertifikat zu dem Zeitpunkt der Signaturerstellung gesperrt war, kann
beim Herausgeber überprüft werden: Die Trustcenter stellen Sperrlisten zum Download zur Verfügung oder haben eine
Online-Zertifikatsabfrage bzw. bieten beides an. Wenn jemand seine Signaturkarte verliert, kann er diese über einen 24-
Stunden Service sperren lassen und wird sofort gelistet.
Die Prüfung des Zertifikatsstatus erfordert ein aktives Eingreifen des Benutzers. Wenn es sich um eine wichtige
Unterschrift handelt (im Gegensatz zu einer Datensicherung), sollte vor der Signaturprüfung die aktuelle Sperrliste
heruntergeladen werden. Handelt es sich um ein Trustcenter, das eine Online-Abfrage anbietet, kann der Zertifikatsstatus
direkt über das Internet abgefragt werden.
Wichtig ist dabei auch immer der Signaturzeitpunkt. Beispiel: Eine Signatur wurde am 1.7.2004 erstellt und wird dann ein
Jahr später, am 1.7.2005 geprüft. Der Zertifikatsstatus sagt aus, dass das Zertifikat seit dem 1.12.2004 gesperrt ist (z.B.
Karte verloren). Das bedeutet, dass die Signatur wahrscheinlich dennoch gültig ist. Denn zum Zeitpunkt der
Signaturerstellung war der Karteninhaber noch im Besitz seiner Karte. Der Zeitpunkt wird bei der Signaturerstellung in die
Signatur mit einbezogen. Allerdings kann immer nur die Zeit benutzt werden, die das Betriebssystem des Computers zur
Verfügung stellt. Bei bestehenden Zweifeln ist es am sichersten, sich das Dokument noch einmal signieren bzw. einen
Zeitstempel hinzufügen zu lassen.
Die Mechanismen der Signaturprüfung sind im Kapitel Arbeiten mit den OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.2 - Signaturverifikation beschrieben. Als Benutzer des Produktes müssen Sie diesen Abschnitt gelesen
haben, um das angezeigte Prüfergebnis des Produktes richtig interpretieren zu können.
2.4 Rechtliche Aspekte der elektronischen Signatur
Die Verwendung der elektronischen Signatur ist gesetzlich geregelt. Für die Europäische Union trat im Januar 2000 die
Richtlinie über die Gemeinschaftlichen Rahmenbedingungen für elektronische Signaturen in Kraft. Diese Richtlinie enthält
die Verpflichtung für jedes Mitgliedsland, die Regelungen in nationales Recht umzuwandeln. So werden elektronische
25
Signaturen auch im internationalen Geschäftsverkehr möglich.
In Deutschland sind die Rahmenbedingungen für rechtlich verbindliche elektronische Signaturen durch das Signaturgesetz
(SigG), die Signaturverordnung (SigV) sowie das Erste Gesetz zur Änderung des Signaturgesetzes (1.SigÄndG) festgelegt.
Die wesentlichsten Punkte der europäischen Richtlinie: Die Gesetze kennen verschiedene Arten von Signaturen. Einfache Signaturen, fortgeschrittene Signaturen und qualifizierte
Signaturen. Eine Signatur wird als qualifiziert bezeichnet, wenn sie:
ausschließlich dem Unterzeichner zugeordnet ist,
die Identifizierung des Unterzeichners ermöglicht,
mit Mitteln erstellt wird, die nur der Unterzeichner kontrolliert,
e
der qualifizierten und akkreditierten Trustcenter, die aktuellen Signaturgesetze und weitere Informationen zur Signatur.
onischer Signaturen Qualifizierte S
die handschriftliche
erfüllt, die auf Papier vorliegen.
ien. Inwiefern diese Vorgaben in nationales Gesetz umgewandelt wurden, ist in
die Schriftform eines unterschriebenen Dokuments mit der qualifizierten Signatur und einem elektronischen Dokument
Allerdings gibt es auch A reichen ist die elektronische Signatur nicht erlaubt, z.B.:
rbeitsverhältnissen
Zeugnisse
als Beweis zugelassen, können aber eine Urkunde nicht ersetzen. Dies
so hoch einzustufen (Siehe § 126 BGB), dass sie
jede nachträgliche Änderung der signierten Daten erkennbar macht
und auf einem qualifizierten Zertifikat beruht.
Ein qualifiziertes Zertifikat wird nur von einem qualifizierten Zertifizierungsdiensteanbieter (Trustcenter) ausgestellt.
Dabei gelten ganz besonders strenge Anforderungen hinsichtlich der Sicherheit der Schlüsselerstellung und der
Organisation des Trustcenters. Die Einhaltung der gesetzlichen Vorschriften durch die Trustcenter wird von einer
nationalen Behörde kontrolliert. In Deutschland ist das die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation,
Post und Eisenbahnen (Bundesnetzagentur), im Internet unter www.bundesnetzagentur.de. Dort finden Sie auch eine List
Die Rechtswirkung elektrignaturen ...
erfüllen die Anforderungen in Bezug auf elektronische Daten genauso wie
Unterschrift Anforderungen in Bezug auf Daten
sind vor Gericht als Beweismittel zugelassen.
... heißt es in den europäischen Richtlin
jedem Land etwas unterschiedlich.
Aber es bedeutet, dass elektronische Signaturen der eigenhändigen Unterschrift weitgehend gleichgestellt sind. In
Deutschland ist dies durch die Änderung des § 126 BGB über die Schriftform umgesetzt worden. Darin wird bestätigt, dass
ersetzt werden kann.
usnahmen. In besonders empfindlichen Be
Kündigung von A
Bürgschaften
Notarielle Beurkundungen
Außerdem sind qualifizierte Signaturen vor Gericht
liegt in der Definition einer Urkunde begründet. Der Beweiswert ist aber
einem Urkundenbeweis sehr nahe kommen dürfte.
26
Anerkennung der verwendeten kryptografischen Algorithmen Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht jährlich eine Übesicht über die Algorithmen und
zugehörigen Parameter, die zur erzeugung von Signaturschlüsseln, zum Hashen zu signierender Daten und zur erzeugung
usehen sind. Die aktuelle Fassung des Dokuments
eit in der Inf
und Prüfung qualifizierte elektronischer Signaturen als geeignet anz
können Sie von den Webseiten des Bundesamtes für Sicherh ormationstechnik www.bsi.de herunter laden.
Die folgende Tabelle fasst die Eignung der Hash mmen: funktionen zusa
geeignet bis Ende
2007
(Übergangsfrist bis
Ende Juni 2008)
rErzeugung qualifizierte geeignet bis Ende 2010 geeignet bis Ende 2014
Zertifikate*:
geeignet bis Ende 2009 Zertifikate**:
t bis Ende 2010
Erzeugung
qualifizierter
geeigne
SHA-1 SHA-1 SHA-1 RIPEMD-160 SHA-224, SHA-256, SHA-
384, SHA-512
(SHA-1, RIPEMD-160)***
*d.h. zur Erzeugung qualifizierter Zertifikate, nicht aber zur Erzeugung und Prüfung anderer qualifiziert signierter Daten.
Bit Entropie der Seriennummer, nicht aber zur Erzeugung und
r Zertifikate.
ür den RSA Algorithmus und die zugehörigen Schlüssellängen hat das Bundesamt für Sicherheit in der Informationstechnik
V ebe
Zeitraum
ameter
8)
bis Ende 2008 bis Ende 2009 bis Ende 2010 bis Ende 2014
** d.h. zur Erzeugung qualifizierter Zertifikate bei ≥20
Prüfung anderer qualifiziert signierter Daten.
***ausschließlich zur Prüfung qualifizierte
F
die folgenden orgaben herausgeg n:
Par
bis Ende 2007
Übergangsfrist bis
Ende März 200
n 1024 (Mindestw.)
2048 (Empf.) (Mindestw.)
1536 (Mindestw.)
2048 (Empf.)
1728 (Mindestw.)
2048 (Empf.) (Mindestw.)
1280 1976
2048 (Empf.) 2048 (Empf.)
Die folgende Tabelle fasst die Bitlängen für den DSA (Digital Signature Algorithm) basierend auf den elliptischen Kurven
traum
Parameter
e 2014
zusammen:
Zei bis Ende 2007 bis Ende 2008 bis Ende 2009 bis End
p 1024 (Mindestwert)
2048 (Empfehlung)
(Mindestwert)
2048 (Empfehlung)
(Mindestwert)
2048 (Empfehlung)
1280 1536 2048
q 160 160 160 224
27
3. Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 ist ein Produkt zum Erzeugen und Verifizieren
fortgeschrittener und qualifizierter elektronischer Signaturen sowie zum Ver- und Entschlüsseln von Dokumenten. Die
folgenden Abschnitte beschreiben die Sicherheitsmerkmale, die Ihnen durch die OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 zur Verfügung gestellt werden. Der genaue Wortlaut kann dem durch das BSI veröffentlichten
Zertifizierungsreport in englischer Sprache für das Produkt entnommen werden.
Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit Zertifikaten unter Verwendung eines
Kartenterminals und einer Smartcard
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten die Funktion zur Berechnung von
kryptographischen Prüfsummen (Hashwerten) nach den Algorithmen SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 und
RIPE-MD 160. Der korrekte Algorithmus wird von der Anwendung automatisch festgelegt. Um bei Bedarf diese
Einstellungen anwenderspezifisch vornehmen zu können, sind entsprechende Einstellungen in der Registrydatei
notwendig. Die Algorithmen SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 werden von der Bundesnetzagentur
bzw. dem Bundesamt für Sicherheit in der Informationstechnik als geeignete Algorithmen für die Hashwertberechnung bei
qualifizierten elektronischen Signaturen eingestuft.
Im nächsten Schritt wird der berechnete Hashwert von einer Chip-Karte verwendet, um nach dem RSA bzw. ECDSA
Verfahren eine elektronische Signatur zu erzeugen. Bei der Signaturerzeugung können Sie auf den OpenLimit SignCubes
Viewer zurückgreifen, um die Daten, die Sie signieren möchten, in einer rechtsverbindlichen Art und Weise anzuzeigen.
Bei der Erstellung der Signaturdatei können automatisch eine OCSP-Antwort, ein Zeitstempel sowie Attributzertifikate
aufgenommen werden, um diese bei der Signaturverifikation zu verwenden. Das verwendete Signaturzertifikat wird immer
automatisch in die Signaturdatei aufgenommen, um eine eindeutige Identifikation des Signaturerzeugers sicherzustellen.
Verwenden Sie stets einen Kartenleser mit sicherer PIN-Eingabe und qualifizierte Chipkarten. Sie benötigen eine gültige
Lizenz ab Modus 2 für das Produkt, um diese Sicherheitsfunktion nutzen zu können.
Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die Anforderungen, die im
Kapitel Mindestanforderungen dargelegt sind, einhalten.
Signaturverifikation
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten die Funktion zur Prüfung von Signaturen an
beliebigen Dateien, deren kryptographische Prüfsummen (Hashwerte) nach den Algorithmen SHA-1, SHA-224, SHA-256,
SHA-384, SHA-512 und RIPE-MD 160 berechnet wurden. Dabei wird eindeutig erkennbar, auf welche Daten sich die
elektronische Signatur bezieht. Das Produkt teilt Ihnen mit, ob der Originalhashwert und der Verifikationshashwert
identisch sind oder nicht, d.h. ob die Daten verändert wurden oder nicht.
Für qualifizierte Signaturen ist der Hashalgorithmus SHA-1 ab 2008 nicht mehr zulässig. Für die Erzeugung anderer z.B.
fortgeschrittener Signaturen kann der Algorithmus SHA-1 weiterhin zum Einsatz kommen.
Bei der Signaturprüfung wird aus dem Signaturzertifikat das Herausgeberzertifikat ermittelt und die dazugehörige
Sperrliste vom lokalen Datenträger geladen. Innerhalb der Sperrliste wird überprüft, ob ein entsprechender Eintrag für das
Zertifikat vorhanden ist. War das Zertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt, wird Ihnen dies
angezeigt.
28
Sie haben die Möglichkeit, eine OCSP-Abfrage zum Signaturzertifikat durchzuführen. Das Ergebnis der OCSP-Abfrage wird
Ihnen in einer Statusmeldung angezeigt.
Wurden bei der Signaturerstellung die Optionen zur automatischen OCSP-Abfrage, Erstellung eines Zeitstempels sowie das
Mitsignieren von Attributzertifikate eingestellt, so werden diese Informationen bei der Signaturprüfung automatisch
angezeigt.
Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die Anforderungen, die im
Kapitel Mindestanforderungen dargelegt sind, einhalten. Für eine korrekte Zetrifikatsprüfung anhand der Sperrlisten
sollten Sie regelmäßig die aktuellen Sperrlisten laden.
Erkennung von Manipulationen an Programm-Modulen
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten die Funktion zum Erkennen von Manipulationen an
den ausgelieferten Bibliotheken und ausführbaren Dateien. Das Prüfmodul ermittelt die Hashwerte aller Bibliotheken und
ausführbaren Dateien und vergleicht diese mit den Signaturen der einzelnen Dateien. Bei Abweichungen werden die
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 deaktiviert und Sie werden durch eine Textmeldung
informiert.
Es wird automatisch sichergestellt, dass das Prüfmodul nur von einer berechtigten Anwendung geladen werden kann. Das
bedeutet, dass diese Anwendung mit dem gleichen Schlüssel signiert sein muss wie das auf Ihrem Rechner installierte
Produkt.
Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, werden die OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.2 deaktiviert. Der sichere Zustand der Anwendung ist nicht mehr gewährleistet, da eine Manipulation
vorgenommen wurde. Mit einer Textmeldung werden Sie auf diesen Zustand hingewiesen.
Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die Anforderungen, die im
Kapitel Mindestanforderungen dargelegt sind, einhalten.
Anzeige der zu signierenden oder bereits signierten Daten
Der in den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 enthaltene OpenLimit SignCubes Viewer bietet die
Funktion, Inhalte, die angezeigt werden sollen, eindeutig darzustellen. Der OpenLimit SignCubes Viewer sichert, dass die
angezeigte Datei frei von verdeckten oder aktiven Inhalten ist. Weiterhin werden Sie informiert, falls aktive oder nicht
darstellbare Inhalte in der Datei enthalten sind.
Bei der sicheren Anzeige der Datei (PDF-, Text- oder TIFF Format) werden die folgenden Arbeitsschritte vorgenommen:
Zunächst wird das Format geprüft. Handelt es sich um ein unbekanntes Format, wird eine entsprechende Fehlermeldung
ausgegeben, die den Hinweis enthält, dass diese Datei nicht dargestellt werden kann. Werden aktive bzw. verdeckte
Inhalte in der Datei erkannt, wird Ihnen eine Warnmeldung angezeigt.
Der OpenLimit SignCubes Viewer kann Dokumente anzeigen, die der PDF Spezifikation 1.7 entsprechen (Abweichungen von
der PDF Spezifikation werden weiter unten in diesem Kapitel aufgelistet). Die TIFF Erkennung richtet sich nach der Adobe
TIFF Spezifikation 6.0. Für die Erkennung von Textdokumenten gelten die folgenden Regeln:
Die folgenden Zeichen werden von dem OpenLimit SignCubes Viewer untersucht, um zu erkennen, dass es sich bei dem
vorliegenden Dokument um ein Textdokument handelt.
29
a) das NULL Byte (0x00)
b) die Zeichen TAB (0x09), CR (Cariage Return, 0x0d) und LF (Line Feed, 0x0a)
c) die Zeichen von 0x01 bis 0x1f mit Ausnahme der unter a) und b) angegebenen Zeichen
ute (0x81 (ü), 0x84 (ä), 0x8e (Ä), 0x94 (ö), 0x99 (Ö), 0x9a (Ü))
Die folgenden
a) innerhalb der Datei ist zulässig, mit Ausnahme der Erläuterung aus dem vorhergehenden Satz. Das
n, sind Zeichen der Kategorie c) nicht erlaubt.
handelt es sich nicht um eine Textdatei.
Weiterhin wer
zutrifft.
Die Kategorien e) und f) sind beide nicht leer. In diesem Falle wird die folgende Warnung angezeigt,
ich."
adezimale Zeichen 0x00 wird wie folgend dargestellt: <0x00>. Das hexadezimale Zeichen 0x7F wird wie
. Das bedeutet, dass Sie bei
er untersuchen, sollten Sie sicher stellen, dass die Angaben der PDF-Versionsnummer in
d) die Zeichen von ' ' bis '~' (0x20 bis 0x7e)
e) die deutschen ANSI-Umlaute (0xc4 (Ä), 0xd6 (Ö), 0xdc (Ü), 0xe4 (ä), 0xf6 (ö), 0xfc (ü))
f) die deutschen DOS Umla
g) alle restlichen Zeichen
Regeln für die Erkennung von Textdateien durch den OpenLimit SignCubes Viewer werden formuliert:
Eine Sequenz von Zeichen der Kategorie a) ist am Ende einer Datei zulässig. Ein Zeichen der Kategorie
Vorkommen von Zeichen der Kategorie a) innerhalb der Datei und am Ende der Datei ist nicht zulässig.
Tritt mehr als ein Zeichen der Kategorie c) auf, handelt es sich nicht um eine Textdatei. Wenn bereits 2
Zeichen der Kategorie a) gefunden wurde
Liegt die Gesamtanzahl der Zeichen innerhalb der Datei aus Kategorie b), d), e) und f) unter 80%,
den Warnungen durch den OpenLimit SignCubes Viewer generiert, wenn eines der folgenden Szenarien
Die Kategorie g) ist nicht leer. In diesem Falle wird die folgende Warnung angezeigt: "Die Datei enthält
Zeichen, die nicht eindeutig darstellbar sind!"
wenn nicht bereits das vorhergehende Szenario zutrifft: "Die Datei enthält sowohl 'DOS'- als auch
'Windows'-Umlaute. Eine eindeutige Identifikation der korrekten Darstellung ist nicht mögl
Wenn Zeichen der Kategorie a) und/oder c) in dem Dokument vorhanden sind, wird die folgende
Warnmeldung angezeigt: "Die Datei enthält Zeichen, die nicht eindeutig darstellbar sind!"
Hinweis: Das hex
folgend dargestellt: <0x7f02>. Das Zeichen 0x00 führt zwar zu einer Warnmeldung des Viewers, es wird jedoch im
Analysedialog keine gesonderte Warnmeldung ausgegeben, da dieses Zeichen in jedem Zeichensatz eine eindeutige
Darstellung hat.
Der OpenLimit SignCubes Viewer verarbeitet in PDF Dateien keine aktiven Code-Elemente, wie etwa Java-Script oder
Multimedia-Objekte. Da das PDF Format die Einbettung verschiedener Ansichten ein und desselben Objektes erlaubt, zeigt
der OpenLimit SignCubes Viewer grundsätzlich nur die Standard-Ansicht für diese Objekte an
vorhandenen alternativen Darstellungen von Objekten grundsätzlich die Analysefunktionen des OpenLimit SignCubes
Viewers benutzen müssen, um festzustellen, ob die alternativen Darstellungen Elemente enthalten, die den Inhalt des
Dokuments verfälschen und Sie evtl. nicht bereit wären, diese Dokumentinhalte zu signieren.
Die PDF Anzeige des OpenLimit SignCubes Viewers unterstützt das Dokumentformat PDF 1.7. Wenn Sie ein PDF Dokument
mit dem OpenLimit SignCubes View
30
dem Dokument der Version 1.7 oder darunter entspricht. Versionen nach der PDF-Version 1.7 können in dem Viewer nicht
zweifelsfrei d ie vom Viewer nicht erkannt und auch
nicht dargeste
Der Viewer enthält einige
alternativen Ansichten eines Objektes, die Ansicht kann z.B. von der
glichkeit, z.B.
animierte Flash-Filme anzuzeigen wird von dem Produkt nicht unterstützt. In diesem Falle wird Ihnen
t von der Lizenz ab, die Sie erworben haben. Wenn Ihre Lizenz nicht erlaubt,
PDF Dateien anzuzeigen, steht Ihnen diese Funktion auch nicht zur Verfügung.
nCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten einen Schutz vor Hashwertverfälschung während
r, indem es die Signatur mit dem öffentlichen Schlüssel
des verwendeten Signaturzertifikates verif bschließend wird Ihnen eine Textmeldung angezeigt, dass die Daten
die Funktion zum Prüfen der Integrität der
Das OpenLim t SignCubes Integrity Tool ist ein Java
und somit sicherstellt, dass sich die Module noch in dem Zustand befinden, wie
sätzlich erst nach positiver Prüfung der
das OpenLimit SignCubes Integrity Tool wird Ihnen in einer Textmeldung angezeigt. Stellt
Die Über sollte regelmäßig, d.h. mindestens einmal im Monat,
Stellen Sie sicher, dass sie die im Kapitel Betriebssysteme aufgeführte Version der Java Virtual Machine installiert haben,
argestellt werden, da spätere Versionen Elemente enthalten können, d
llt werden können.
Abweichungen zu diesem Standard (Dokumentformat 1.7), die Sie kennen sollten:
Der OpenLimit SignCubes Viewer unterstützt keine Transparenz.
Der OpenLimit SignCubes Viewer zeigt grundsätzlich die Standardansicht von PDF Objekten an. Das PDF
Format erlaubt die Angabe von
Bildschirmauflösung abhängig sein. In diesem Falle werden Sie von dem Produkt gewarnt und haben die
Möglichkeit, die Mittel des OpenLimit SignCubes Viewer zu verwenden, um die alternativen
Darstellungen zu untersuchen.
Der OpenLimit SignCubes Viewer unterstützt keine Multimedia-Elemente. Die Mö
die Standard-Darstellung (z.B. das Flash-Icon) angezeigt.
Die Funktion zur Anzeige von PDF Dateien häng
Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel
Mindestanforderungen dargelegten Anforderungen sicherstellen. Es werden keine aktiven Inhalte wie Scripte oder
Programmcode interpretiert.
Schutz vor Hashwertmanipulation
Die OpenLimit Sig
des Signaturvorganges. Dazu wird vor dem Signaturvorgang der Hashwert über die zu signierenden Daten gebildet. Nach
dem Signaturvorgang überprüft das Produkt die erzeugte Signatu
iziert. A
signiert wurden.
Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel
Mindestanforderungen dargelegten Anforderungen sicherstellen.
Sicherstellung der Unversehrtheit des Produktes
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten
installierten Programm-Module. Diese Sicherheitsfunktion wird durch das OpenLimit SignCubes Integrity Tool realisiert.
i -Applet, das die Hash-Werte an den ausgelieferten
sicherheitsrelevanten Modulen überprüft
sie ursprünglich ausgeliefert und installiert wurden.
Für die Nutzung des OpenLimit SignCubes Integrity Tool ist das Java Plugin notwendig, das über die Internetseite
www.OpenLimit.com/integritytool geladen wird. Das Java Plugin sollte grund
Signatur des Applets gestartet werden.
Das Ergebnis der Prüfung durch
das Prüfmodul eine Beschädigung der Modulsignaturen fest, ist der sichere Zustand der Anwendung nicht mehr
gewährleistet und Sie sollten das Produkt auf Ihrem Rechner neu installieren.
prüfung der Unversertheit der Programm-Module
durchgeführt werden.
31
um die korrekte Arbeitsweise dieser Funktion sicherzustellen.
Import und Verarbeitung von OCSP Abfragen
Das Produkt bietet Ihnen die Möglichkeit, über das OCSP (Online Certificate Status Protocol) Protokoll die Gültigkeit eines
ger einer von Ihnen signierten
sche Gültigkeit nicht erfolgreich geprüft worden, werden die OCSP Daten nicht importiert. Wenn Sie die Details
isten. Stellen Sie in diesem Falle sicher, dass Sie über aktuelle Sperrlisten auf Ihrem Rechner
v
ie Sie signiert haben. Dabei wird der
ignatur nicht erfolgreich geprüft werden, wird der Zeitstempel
l automatisch zu den signierten Daten aufzunehmen, müssen Sie entsprechende
K n an dem Produkt vornehmen.
ie Signatur des Zeitstempels basierend auf Sperrlisten bis hin zum Wurzelzertifikat überprüft. Sie
s selber gültig ist. Stellen Sie vor der Verwendung dieser Funktion sicher, dass Sie über aktuelle
S
en. Dabei werden keine vertraulichen Daten verwendet oder mit dem Hersteller des Produktes
Zertifikates zu prüfen. Dazu können Sie zu einem Zertifikat eine OCSP Anfrage mit Hilfe des Produktes stellen und erhalten
eine entsprechende Antwort von der CA, die das Zertifikat ausgestellt hat. Sie sollten diese Möglichkeit immer dann
nutzen, wenn Sie sich über die Gültigkeit eines Zertifikates direkt beim Herausgeber versichern möchten.
Sie haben ebenfalls die Möglichkeit, das Produkt so zu konfigurieren, dass eine OCSP Antwort vom Herausgeber
automatisch zur elektronischen Signatur hinzugefügt wird. Damit geben Sie dem Empfän
Datei die Gewissheit, dass Ihr Zertifikat zum Zeitpunkt der Signaturerstellung nicht gesperrt war. Es besteht die
Möglichkeit, dass Sie sich die Einzelheiten der OCSP Antwort anzeigen lassen. In diesem Falle haben Sie außerdem die
Möglichkeit, das Zertifikat zu begutachten, welches die OCSP Antwort unterschrieben hat.
Während des Imports der OCSP Antwort prüft das Produkt immer die mathematische Gültigkeit der Antwort. Ist die
mathemati
zur OCSP Antwort begutachten, prüft das Produkt automatisch die gesamte Zertifikatskette bis hin zum Wurzelzertifikat
auf der Basis von Sperrl
erfügen.
Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen dargelegten
Anforderungen erfüllen.
Import und Anbringen von Zeitstempeln
Das Produkt erlaubt Ihnen das automatische Anbringen eines Zeitstempels an Daten, d
Zeitstempel auf mathematische Korrektheit der Signatur überprüft und in die Signaturdatei, die Sie erzeugt haben, mit
aufgenommen. Kann die mathematische Korrektheit der S
nicht mit aufgenommen und Ihnen wird eine entsprechende Fehlermeldung angezeigt.
Um einen Zeitstempe
onfigurationseinstellunge
Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen dargelegten
Anforderungen erfüllen.
Prüfung von Zeitstempeln
Wenn Sie eine signierte Datei erhalten, die einen Zeitstempel beinhaltet, können Sie die Gültigkeit des Zeitstempels
überprüfen. Zu diesem Zweck haben Sie einen Dialog zur Verfügung, der Ihnen die Einzelheiten des Zeitstempels anzeigt.
In diesem Falle wird d
erhalten neben den eigentlichen Informationen, die Ihnen der Zeitstempel bereitstellt Informationen darüber, ob die
Signatur des Zeitstempel
perrlisten verfügen.
Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen dargelegten
Anforderungen erfüllen.
Freischalten und Verwendung von lizenzierten Funktionen
Gemeinsam mit dem Produkt und Ihrer Signaturkarte haben Sie einen Lizenzschlüssel erhalten, den Sie bei der ersten
Benutzung des Produktes eingeben müssen. Wenn Sie über keinen Lizenzschlüssel verfügen, können sie das Produkt zum
Prüfen von Signaturen verwenden, jedoch keine Signaturen erstellen. Der Lizenzierungsassistent wird Sie durch den
Lizenzierungsvorgang führ
ausgetauscht. Sie werden während der Lizenzierung des Produktes aufgefordert, die vom Produkt erzeugte Lizenzdatei zu
32
signieren. Dieser Vorgang dient zu Ihrer Absicherung, damit Sie später sicher sein können, eine gültige Lizenz Ihres
Wenn Sie über
Text Dokumenten v
Weiterhin werden d
erdings
Modus 3: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente zu betrachten. Sie können aber nur
rüfen. PDF Signaturen können ebenfalls
geprüft werden.
aturtyp an diesen Dokumenten zu prüfen. Sie können zusätzlich
n werden als PDF Signaturen bezeichnet, auch wenn
nstallation mitgelieferten Readerlizenz ist jederzeit möglich, allerdings benötigen Sie für diesen
Vorgang eine Signaturkarte. Das Einspielen einer Lizenz mit geringeren Rechten als die bereits freigeschalteten
Funk n wir
Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen dargelegten
Der OpenLimit SignCubes Security Environment Manager ist das Kernstück des Softwarepaketes OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2. Er wird standardmäßig automatisch mit dem Betriebssystem gestartet.
Andernfalls kann der OpenLimit SignCubes Security Environment Manager über Start/Programme/OpenLimit
SignCubes/OpenLimit SignCubes Manager gestartet werden. Er stellt die folgenden Funktionen zur Verfügung:
Produktes zu verwenden.
keinen Lizenzcode verfügen, können Sie das Produkt zum Verifizieren von PKCS#7 Signaturen an TIFF und
erwenden. Eine Signaturerzeugung ist in diesem Falle nicht möglich.
ie folgenden Modi in Abhängigkeit von der installierten Lizenz unterschieden:
Reader-Modus: Im Reader-Modus haben Sie die Möglichkeit, TIFF und Text Dokumente mit dem Viewer
zu betrachten. Die Prüfung von PKCS#7 Signaturen an diesen Dokumenten ist möglich, all
können Sie mit einer solchen (kostenfreien) Lizenz keine Signaturen erzeugen.
Modus 2: Sie haben die Möglichkeit, TIFF und Text Dokumente zu betrachten und an diesen Dokumenten
PKCS#7 Signaturen zu erzeugen. Sie können PKCS#7 Signaturen an diesen Dokumenten prüfen.
TIFF und Text Dokumente mit PKCS#7 Signaturen versehen. Sie haben die Möglichkeit, PKCS#7
Signaturen an allen drei Dokumentformaten zu überprüfen. Darüber hinaus können Sie in PDF Dateien
eingebettete Signaturen verifizieren.
Modus 4: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7 Signaturen
zu versehen und diesen Signaturtyp an diesen Dokumenten zu p
Modus 5: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7 Signaturen
zu versehen und diesen Sign
eingebettete PDF Signaturen erzeugen und verifizieren.
Der in diesem Zusammenhang verwendete Begriff PKCS#7 Signatur bezieht sich ausschließlich auf abgesetzte bzw.
verbundene Signaturen. Signaturen innerhalb von PDF Dokumente
diese technisch auf dem PKCS#7 Format basieren.
Ein Upgrade der bei der I
tione d von dem Produkt verhindert bzw. nicht akzeptiert.
Anforderungen erfüllen.
3.1 OpenLimit SignCubes Security Environment Manager
33
Berechnung des Hashwertes unter Verwendung einer der Algorithmen SHA-1, SHA-224, SHA-256, SHA-
384, SHA-512 und RIPE-MD 160.
Erzeugung der Signatur unter Verwendung einer Chipkarte und eines Kartenlesers mit sicherer PIN-
Eingabe
Hinzufügen eines Zeitstempels zu einer erzeugten elektronischen Signatur
chen Signatur
listen (CRL)
ung
pelinformationen
ponenten
2.5, Version 2.5.0.2
qualifizierten Zertifikat zugehört, an. Der
iten mit Daten im PKCS#7 Format oder bei XML Daten
vorhanden sind. Die durch die Software OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 unterstützten
tenlesern verwendet werden. Eine Liste dieser Geräte wird durch die
Unterstützung von Attributzertifikaten bei der Erzeugung einer elektronischen Signatur
Unterstützung der OCSP Abfrage bei der Erzeugung einer elektronis
Prüfung von Signaturzertifikaten über OCSP und Sperr
Anzeige der OCSP Informationen zu einem Zertifikat
Verarbeitung von Zeitstempelinformationen während der Signaturprüf
Anzeige von Zeitstem
Sicherstellung der Integrität und korrekten Installation der OpenLimit SignCubes Basiskom
Bereitstellung eines Interfaces für die Signaturerzeugung, Prüfung und Produktkonfiguration
Im Prozess der Verifikation einer Signatur zeigt der OpenLimit SignCubes Security Environment Manager die zur Verfügung
stehenden Informationen des qualifizierten Attributzertifikates, das zu dem
OpenLimit SignCubes Security Environment Manager ist in der Lage zu erkennen, ob ein Attributzertifikat zu einem
Zertifikat dazugehört und bringt es zur Anzeige, sofern dieses vorhanden ist.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 arbe
im XML Signaturformat. Das bedeutet, dass das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 mit
allen Anwendungen, die diese Formate unterstützen, kompatibel ist.
Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 steuert die Kartenleser über PC/SC oder CT-API
Schnittstellen an. Einige Hersteller liefern separate Programmbibliotheken zur Ansteuerung der sicheren PIN-Eingabe am
Kartenleser. Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 verwenden diese Module, sofern diese
Chipkarten finden Sie in dem Abschnitt Chipkarten. Die Liste der unterstützten Kartenleser finden Sie in dem Abschnitt
Kartenleser.
Es ist möglich, mehrere Kartenterminals und Signaturkarten parallel zu nutzen. Für jedes Kartenterminal wird Ihnen ein
entsprechendes Icon im System-Tray angezeigt.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 dürfen für die Erzeugung qualifizierter (rechtskonformer)
Signaturen nur mit SigG konformen Kar
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) unter
www.bundesnetzagentur.de veröffentlicht.
Die Signaturprüfung erfolgt nach dem Schalenmodell und zusätzlich nach dem Kettenmodell (für qualifizierte Zertifikate)
von dem Zertifikat des Anwenders bis zu dem Wurzelzertifikat der CA unter Einbeziehung der Sperrlisten.
Zusätzlich zu der Sperrlistenabfrage unterstützen die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 das
34
Online Certificate Status Protocol (OCSP). Das OCSP Protokoll ermöglicht die Online-Abfrage der Gültigkeit eines
e im Zusammenhang mit der Signaturerstellung sein, aber auch eine Information bei der
findet
hren stellt sicher, dass ein Missbrauch des privaten Schlüssels des Zertifikates ausgeschlossen ist.
Security Environment Manager bei der
en kann.
P
Environment Manager den Zugang zu den angebotenen Sicherheitsfunktionen. Die genauen Meldungen sind im Kapitel
Feh ironment Manager (siehe "Fehlermeldungen OpenLimit SignCubes
Security Environment Manager") aufgeführt. Hilfeanleitungen in solchen Situationen finden Sie ebenfalls in diesem Kapitel.
Möglichkeit, sich gemäß den Anforderungen des §17 Absatz 2 SigG die zu signierenden Daten
er aktiven Inhalten ist. Weiterhin werden Sie informiert, falls aktive oder nicht darstellbare Inhalte in
r
Zertifikates. Diese Prüfung kann nur durchgeführt werden, wenn die Information zu dem OCSP Responder verfügbar ist.
Das bedeutet, dass das Zertifikat eine Information enthalten muss, die es ermöglicht den OCSP Responder zu
identifizieren.
Eine weitere Funktion des OpenLimit SignCubes Security Environment Managers ist die Arbeit mit Zeitstempeln. Ein
Zeitstempel kann eine Angab
Signaturprüfung. Weitere Informationen zu Zeitstempeldiensten erhalten Sie in dem Abschnitt Zeitstempeldienste.
Die Verfahrensweise der Beschaffung der Informationen des OCSP, der Sperrlisten und des Zeitstempels sind nicht
Bestandteil der Evaluierung.
Hinweis: Die Signaturerzeugung besteht immer aus zwei Teilschritten: der Erzeugung des Hashwertes und der
Verschlüsselung des Hashwertes mit dem privaten Schlüssel des Zertifikates. Die Verschlüsselung des Hashwertes
immer auf der Chipkarte statt, so dass der private Schlüssel Ihres Signaturzertifikates dem OpenLimit SignCubes Security
Environment Manager zu keinem Zeitpunkt der Signaturerzeugung und auch zu allen anderen Zeitpunkten nicht bekannt
ist. Dieses Verfa
Die Verfahren zur Signaturerzeugung und Verifikation arbeiten mit dem RSA bzw. ECDS Verfahren für Public Key
Kryptographie. Die Stärke der verwendeten Schlüssel beträgt bis zu 2048 Bit und ist von der eingesetzten Chip-Karte
abhängig.
Wird eine elektronische Signatur erzeugt, so legt der OpenLimit SignCubes
Codierung des PKCS#7 Datencontainers bzw. der XML Signatur die komplette Zertifikatsliste bis hin zum Wurzelzertifikat
in dem Container ab. Das bedeutet, dass somit immer die komplette Zertifikatsliste für das prüfende Programm zur
Verfügung steht und eine vollständige Signaturprüfung erfolg
Es gibt für den Anwender keine direkte Möglichkeit, den OpenLimit SignCubes Security Environment Manager zur
Signaturerzeugung, Signaturverifikation, Ver- und Entschlüsselung zu benutzen. Um diese Funktionalitäten zu nutzen,
steht Ihnen der OpenLimit SignCubes Viewer zur Verfügung.
Der OpenLimit SignCubes Security Environment Manager enthält Mechanismen, die sicherstellen, dass die ausgelieferten
Module nicht manipuliert wurden. Dazu überprüft der OpenLimit SignCubes Security Environment Manager die
rogrammbibliotheken während des Ladevorganges auf die Korrektheit ihrer Signaturen. Wenn Sie eine Fehlermeldung
erhalten, dass die Signatur einer Programmbibliothek beschädigt ist, deaktiviert der OpenLimit SignCubes Security
lermeldungen des OpenLimit SignCubes Security Env
3.2 OpenLimit SignCubes Viewer
Der OpenLimit SignCubes Viewer ist Bestandteil der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 und
bietet dem Anwender die
bzw. bereits signierte Daten anzeigen zu lassen. Der OpenLimit SignCubes Viewer sichert, dass die angezeigte Datei frei
von verdeckten od
der Datei enthalten sind.
Bei der Signaturprüfung zeigt der OpenLimit SignCubes Viewer die Daten an, auf die sich die zur Prüfung ausgewählte
Signatur bezieht.
Hinweis: Der OpenLimit SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen und den Inhalt diese
35
Dokumente zu untersuchen. Die PDF Dokumente entsprechen der PDF 1.7 Spezifikation. Sie sollten sich in jedem Fall
vergewissern, um welche Version es sich bei der verwendeten PDF Datei handelt. Das TIFF Dokument kann eine
mehrseitige TIFF Datei (Multipage-TIFF) sein. Die dargestellten Dokumentformate hängen von der erworbenen Lizenz ab.
Werden unbekannte Inhalte oder Spezifikationen in den Dokumenten entdeckt, werden Sie von dem OpenLimit SignCubes
Viewer darüber informiert. Werden Inhalte gefunden, die als verdeckte oder aktive Inhalte erkannt werden, sollten Sie das
r
mit dem OpenLimit SignCubes Viewer zeigt Ihnen am Beispiel einer manipulierten TIFF Datei, wie Sie verdeckte
nLimit SignCubes Viewer nur dann verwenden,
en zu den Dokumenten generieren
s cheidung, ob eine Signatur an dem Dokument erzeugt werden soll, durch
D te auch nicht dargestellt werden. Wenn Sie über keinen Lizenzcode für
das Produkt verfügen, können sie auch grundsätzlich keine elektronischen Signaturen mit dem Produkt erzeugen. Mehr
ng der Lizenzierungsvarianten unter Sicherheitskomponenten der OpenLimit
ie Signaturerzeugung: rd erklärt, in welcher Situatio ent bzw. eine
gt. Für die Erzeugung von Sig
TIFF-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei hinzugefügt.
efügt.
Dokument nicht signieren. Der OpenLimit SignCubes Viewer kann diese Inhalte nicht entfernen sondern die Dokumente nur
untersuchen. Wenn Sie das Dokument dennoch signieren, unterschreiben Sie ein Dokument, welches Sie nicht in seiner
ichtigen Darstellungsform betrachten konnten.
Wenn Sie ein farbiges TIFF Dokument signieren wollen, sollten Sie immer von der Möglichkeit der Graustufen und
Schwarz/Weiß Betrachtung des Dokuments innerhalb des OpenLimit SignCubes Viewer Gebrauch machen. Der Abschnitt
Arbeiten
Inhalte in einem solchen Dokument erkennen können. In diesem Kapitel erhalten Sie darüber hinaus eine Beschreibung der
Darstellungsmöglichkeiten weiterer Dateiinhalte wie Bilder, Java Scripte und Texte, die in PDF Dateien enthalten sein
können.
Mit dem OpenLimit SignCubes Viewer können Dateien im Format PDF, TIFF und TEXT geöffnet werden, wobei diese
Dokumente mit einer PKCS#7 Signatur versehen sein können. In diesem Falle haben Sie die Möglichkeit, die Gültigkeit der
Signatur vom Viewer aus zu prüfen.
Der OpenLimit SignCubes Viewer kann als separates Programm oder innerhalb des Signaturanforderungsdialoges gestartet
werden. Innerhalb des Signaturanforderungsdialoges können Sie den Ope
wenn auch ein PDF, Text oder TIFF Dokument als das zu signierende Dokument erkannt wird. Der OpenLimit SignCubes
Viewer wird als Programm siqView.exe im Installationspfad der Anwendung installiert, weiterhin wird während der
Installation eine Verknüpfung im Startmenü des Betriebssystems erzeugt.
Der OpenLimit SignCubes Viewer kann die Dokumente zwar untersuchen und Warnung
owie Prüfdetails anzeigen, jedoch muss die Ents
den Anwender selbst getroffen werden. Die inhaltliche Interpretation eines angezeigten Dokuments obliegt vollständig
dem Benutzer und kann durch den OpenLimit SignCubes Viewer nicht geleistet werden.
Hinweis zu den anzeigbaren Dokumentformaten
Die anzeigbaren Dokumentformate hängen von der erworbenen Lizenz ab. Wenn Ihre Lizenz die Anzeige von PDF
okumenten nicht erlaubt, können solche Dokumen
Informationen finden Sie in der Beschreibu
SignCubes Basiskomponenten 2.5, Version 2.5.0.2.
Hinweis für dIm folgenden Abschnitt wi n der OpenLimit SignCubes Viewer ein Verbunddokum
abgesetzte Signatur erzeu naturen benötigen Sie eine entsprechende Lizenz.
Ausgangsdatei Erzeugtes Dateiformat
TIFF-Datei ohne Signatur Signatur wird als abgesetzte Signaturdatei erzeugt.
Text-Datei ohne Signatur Signatur wird als abgesetzte Signaturdatei erzeugt.
Text-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei hinzug
36
Ausgangsdatei Erzeugtes Dateiformat
it eingebetteter
Signatur
e eingebettete
PDF Signatur oder eine abgesetzte PKCS#7 Signatur erzeugt.
PDF Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signatur hinzugefügt.
PDF mit v natur wird dem Verbunddokument hinzugefügt.
duktes auf Ihrem Rechner sicherzustellen, sollten Sie sich nicht nur auf die korrekte Arbeitsweise
in dem Zustand befinden, wie sie
Sie eine Signaturkarte verwenden möchten, die von der aktuellen Installation nicht
lation einzuspielen. Diese Konfiguration sind Initialisierungsdateien, die festlegen, welcher Hash- und
ool kennt alle
nummer des Zertifikates, mit
27.05.2012 gültig. Für den Fall, dass das Zertifikat erneuert
Neben den im Kapitel Betriebssysteme genannten Voraussetzungen ist für die Abarbeitung des Java-Applets die korrekte
TIFF-Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt.
Text-Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt.
PDF Datei ohne Signatur oder m In Abhängigkeit von der Lizenz wird entweder ein
Datei erbundener Signatur Sig
3.3 OpenLimit SignCubes Integrity Tool
Wenn Sie in die Situation geraten, dass Sie nicht mehr sicher sind, ob Ihr Rechner nicht manipuliert wurde, müssen Sie
sicherstellen, dass das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 noch wie vorgesehen
arbeitet.
Um die Integrität des Pro
des OpenLimit SignCubes Security Environment Managers verlassen. Sie benötigen ein unabhängiges Werkzeug, welches im
Zweifelsfall in der Lage ist, von einem vertrauenswürdigen Medium aus die Integrität des installierten Produktes auf Ihrem
Rechner zu überprüfen.
Das OpenLimit SignCubes Integrity Tool überprüft die Hash-Werte an den installierten sicherheitsrelevanten
Programmbibliotheken. Es wird festgestellt, ob sich die Programmbibliotheken noch
ursprünglich ausgeliefert und installiert wurden. Nach erfolgter Prüfung wird ein Prüfbericht erstellt.
Dazu berechnet das Java-Applet die Hashwerte nach SHA-256 und vergleicht sie mit den OpenLimit - Originalen. Sie können
das Applet über die folgende URL aufrufen: https://www.OpenLimit.com/integritytool
Weiterhin zeigt Ihnen das OpenLimit SignCubes Integrity Tool an, welche Chipkartenterminals und Signaturkarten von Ihrer
Installation unterstützt werden. Wenn
unterstützt wird, können Sie diese Unterstützung durch ein Add-On Setup zu Ihrer derzeitigen Installation hinzufügen.
Verwenden Sie in jedem Falle das OpenLimit SignCubes Integrity Tool um zu überprüfen, ob die beabsichtigten Module Ihrer
Installation hinzugefügt worden sind.
Das OpenLimit SignCubes Integrity Tool bietet die Möglichkeit, Konfigurationen für Chipkarten zusätzlich zu der
Standardinstal
Signaturalgorithmus für die jeweilige Signaturkarte verwendet wird. Das OpenLimit SignCubes Integrity T
möglichen Konfigurationen für die Signaturalgorithmen und prüft bei dem Integritätscheck auch die verwendeten
Algorithmen.
Weitere Informationen dazu finden Sie in dem Kapitel Arbeiten mit dem OpenLimit SignCubes Integrity Tool
Das Applet OpenLimit SignCubes Integrity Tool ist signiert, die Signatur wird von der Java Virtual Machine (JVM) geprüft.
Sie müssen dem Zertifikat explizit vertrauen, mit dem das Applet signiert wurde. Die Serien
dem das Applet signiert wurde, lautet [30927389024320750942604185761776278687] und wurde von VeriSign
herausgegeben. Das Zertifikat ist vom 27.05.2009 bis zum
wird, veröffentlicht OpenLimit die Seriennummer des aktuellen Zertifikats auf der Webseite.
Browserkonfiguration zur Verwendung der JVM notwendig.
Weitere Hinweise zur Arbeit mit dem Java-Applet erhalten Sie in dem Kapitel Arbeiten mit dem OpenLimit SignCubes
37
Integrity Tool.
Stellt das OpenLimit SignCubes Integrity Tool fest, dass sich die Programmbibliotheken nicht mehr in ihrem Originalzustand
V in anderes Programm Ihren Rechner
Produktes auf Ihrem Rechner sicherstellen, sobald Sie den Verdacht haben, dass die Programmdateien geändert wurden.
Falls Sie das Produkt über einen Download bezogen haben, sollten Sie in jedem Fall, bevor Sie das Produkt zum ersten Mal
anwenden, das OpenLimit SignCubes Integrity Tool ausführen, um die Korrektheit der Installation zu verifizieren.
befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher sollten Sie jedoch mit einem aktuellen
irenscanner überprüfen, ob Ihr Rechner von einem Virus befallen wurde oder e
manipuliert hat.
Hinweis: Starten Sie das OpenLimit SignCubes Integrity Tool nur von der Webseite
https://www.OpenLimit.com/integritytool und nach Prüfung des Server-Zertifikats.
Sie müssen als Nutzer das Prüfprogramm regelmäßig ausführen, um die Integrität des Produktes sicherzustellen.
Regelmäßig bedeutet in diesem Zusammenhang mindestens einmal im Monat. Weiterhin müssen Sie die Integrität des
38
4. Konfiguration der OpenLimit SignCubes Basiskomponenten
In diesem Abschnitt werden Ihnen die Konfigurationsoptionen des Produktes OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.2 dargelegt und auf die sichere Konfiguration des Produktes eingegangen. Darüber hinaus werden Sie in
jedem Abschnitt dieser Benutzerdokumentation Version 2.5.0.2 auf die sicheren Parameter bei der Konfiguration
hingewiesen. Abweichende Konfigurationen sollten Sie nach Möglichkeit nicht einsetzen, da unter Umständen der sichere
Betrieb des Produktes nicht mehr gewährleistet werden kann. Vor der Arbeit mit dem Produkt müssen Sie die
Konfiguration der Benutzereinstellungen des Produktes überprüfen, insbesondere, wenn Sie an einem Arbeitsplatz
arbeiten, an dem auch andere Benutzer Zugriff auf das Produkt haben.
Administration und Administratorrolle:
Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 erlaubt die individuelle Konfiguration der
Benutzereinstellungen. Diese individuelle Konfiguration kann allerdings nur dann vorgenommen werden, wenn Sie als
Benutzer über Administratorrechte verfügen oder Ihnen ein Administrator des Betriebssystems Administrationsrechte
einräumt. Dies gilt daher nur für die Betriebssysteme Windows NT 4.0, Windows 2000, Windows XP und Windows Vista, da
die individuelle Konfiguration des Produktes an Hand der vorhandenen Nutzer vorgenommen wird.
Die Administration des Produktes ist also an die Administratorrolle des Betriebssystems geknüpft. Es wird keine
gesonderte Unterscheidung zwischen diesen beiden Rollen im Verlauf dieses Handbuches vorgenommen. Wenn in diesem
Handbuch von der Rolle des Administrators gesprochen wird, ist damit ein Benutzer mit Administrationsrechten auf dem
jeweiligen Rechner gemeint bzw. ein Benutzer, dem durch den jeweiligen Administrator des Betriebssystems das Recht
eingeräumt wurde, das Produkt individuell zu konfigurieren.
Einräumen von Konfigurationsrechten an andere Benutzer:
Sie können die Bindung an die Administratorrolle im Betriebssystem zur Konfiguration des Produktes OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2 aufheben, indem Sie einen Wert in der Registry ändern. Diese Änderung hat dann
zur Folge, dass jeder Benutzer des Rechners eine individuelle Konfiguration des Produktes vornehmen kann. Da das
Produkt automatisch eine sichere Konfiguration nach der Installation einnimmt, sollten Sie von dieser Option nach
Möglichkeit keinen Gebrauch machen.
Öffnen Sie den Registry Editor des Betriebssystems.
Öffnen Sie den Schlüssel HKLM/Software/SignCubes/Options
Öffnen sie durch einen doppelten Klick auf den Eintrag Options den Wert User
n Administrationsrollen für das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2
definiert sind.
4.1 Konfigurationsoptionen des OpenLimit SignCubes Security Environment Managers
Tragen Sie statt der vorkonfigurierten 0 eine 1 ein.
Mit diesem Eintrag haben Sie die Administratorrolle für das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.2, die durch das Betriebssystem vorgegeben ist, aufgehoben. Jetzt kann jeder Benutzer individuelle Einstellungen
vornehmen, die auch für jeden Benutzer separat verwaltet werden. Durch diesen Mechanismus ist sichergestellt, dass
keine separate
Der OpenLimit SignCubes Security Environment Manager bietet zwei Menüs zur Konfiguration. Das erste Kontextmenü des
OpenLimit SignCubes Security Environment Managers wird beim Klicken auf das OpenLimit Icon geöffnet. Das zweite
39
Kontextmenü enthält spezifische Konfigurationsoptionen für die jeweilige Chipkarte und wird im Kapitel Chipkarten
wird ein Kontextmenü geöffnet.
Optionen behandelt.
Wenn Sie auf das Icon OpenLimit klicken,
Hier sind Men
se wird durch den
O
S
llungen am OpenLimit SignCubes Security
Environment Manager vornehmen. Um diese Einstellungen vornehmen zu können, benötigen Sie die
Rechte eines A
gnCubes
Basiskomponenten 2.5, Version 2.5.0.2 geöffnet.
igt.
Beenden: Mit diesem Befehl wird der OpenLimit SignCubes Security Environment Manager beendet.
naturverifikation vorgenommen werden.
eigen lassen. Ein grünes Häkchen bedeutet, dass Sie die
jeweilige Eigenschaft des Produktes lizenziert haben und Ihnen diese damit zur Verfügung steht. Funktionen, die Ihnen
nicht zur Verfügung stehen, werden Ihnen auch nicht angezeigt.
üpunkte betreffend der Software gelistet:
Sperrlistenaktualisierung: Während der Signaturprüfung werden immer die aktuell auf dem Rechner
verfügbaren Sperrlisten verwendet. Daher sollten Sie in regelmäßigen Abständen (im Normalfall
täglich) diese Option nutzen, um aktuelle Sperrlisten auf Ihren Rechner herunter zuladen. Zusätzlich
zur Sperrlistenprüfung können Sie die Online - Prüfung nutzen, um den Status des Signaturzertifikates
zu ermitteln. Für die Online - Prüfung benötigen Sie eine Internetverbindung. Die
penLimit SignCubes Security Environment Manager nicht automatisch hergestellt.
Eigenschaften: Hier werden Einzelheiten über die Software angegeben. Sie können sich die installierten
Module sowie deren Versionsnummern anzeigen lassen. Weiterhin können Sie sehen, welche Funktionen
ie lizenziert haben. Für dieses Produkt tragen die Programm-Module die Versionskennung 2.5.0.2.
Einstellungen: In diesem Menü können sie globale Einste
dministrators.
Hilfe: Mit diesem Befehl wird die Benutzerdokumentation zu den OpenLimit Si
Info: Hier werden Copyright- und Versionsinformationen der Basiskomponenten angeze
Dann kann keine Signaturerzeugung bzw. Sig
4.1.1 Option: Lizenzeinstellungen und Lizenzupgrade
Wenn Sie sich vergewissern wollen, welche Lizenz des Produktes Sie erworben haben, können Sie sich über den Menüpunkt
Eigenschaften des OpenLimit SignCubes Security Environment Managers die mit Ihrem eingegebenen Lizenzcode
verbundenen freigeschalteten Eigenschaften des Produktes anz
40
Wenn Sie in dem Menüpunkt Eigenschaften des OpenLimit SignCubes Security Environment Managers auf den Knopf
Lizenzinhaber klicken, wird Ihnen das Zertifikat desjenigen Benutzers angezeigt, der die Lizenz auf dem Rechner
freigeschaltet hat. Wenn Sie selbst die Lizenz frei geschaltet haben, muss Ihr Zertifikat in diesem Dialog angezeigt werden.
Wenn Sie mehr Funktionen des Produktes nutzen möchten als Sie mit dem Lizenzcode freigeschaltet haben, können Sie
einen entsprechenden Lizenzcode von der OpenLimit SignCubes AG oder einem ihrer Vertriebspartner erwerben. Sie
müssen in diesem Falle das Produkt nicht deinstallieren, sondern können auf den Button Lizenz-Upgrade klicken. In diesem
Falle wird der Lizenzmanager erneut gestartet und Sie können über einen entsprechenden Lizenzcode die gewünschten
Funktionen frei schalten.
41
Hinweis:
Geben Sie die Installationspfade der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 nicht
im Netzwerk für andere Benutzer frei.
Vor Verwendung der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 sollten Sie nochmals
prüfen, ob die Lizenz korrekt ist, in dem Sie das OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.2 Icon, Eigenschaften anklicken und sich die verfügbaren Funktionen anzeigen lassen. Gleichfalls
sollten Sie das Zertifikat des Lizenzinhabers prüfen.
er) überprüfen und
sicherstellen, dass nicht unberechtigte Dritte auf Ihren Rechner zugreifen können.
4.1.2 Option: Allgemeine Einstellungen
stellungen geklickt haben,
Adm inden Sie im Abschnitt Konfiguration der OpenLimit SignCubes
Wenn der Lizenzierungsassistent beim Start der OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.2 erscheint, ist keine Lizenzdatei vorhanden. Wenn dies trotz erfolgreich durchgeführter
Lizenzierung auftritt, wurde eventuell die Lizenzdatei gelöscht. In diesem Falle sollten Sie die
Integrität des Betriebssystem mit einem geeigneten Programm (z.B. Virenscann
Wenn Sie im Kontextmenü des OpenLimit SignCubes Security Environment Managers auf Ein
erscheint ein Dialog mit Registerkarten, die in den folgenden Abschnitten beschrieben werden.
Hinweis: Sie können die Einstellungen an den Registerkarten nur dann ändern, wenn Sie auch über Administrationsrechte
verfügen. Für das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 ist keine spezielle
inistratorrolle definiert. Weitere Erläuterungen f
Basiskomponenten 2.5, Version 2.5.0.2.
42
onen können Sie hier einstellen:
Autostart des OpenLimit SignCubes Security E
Die folgenden Opti
nvironment Managers: Setzen das Häkchen in der
C
entfernen.
Signaturformat: Hier haben Sie die Möglichkeit, das Dateiformat für zu signierende Dokumente
ei oder Dokument und Signatur in zwei verschiedenen
für XML-Signaturen wird
heckbox, wenn Sie möchten, dass der OpenLimit SignCubes Security Environment Manager
automatisch beim Start des Betriebssystems gestartet wird. Diese Option wird bei der Installation der
Software aktiviert. Wenn Sie dieses Verhalten nicht möchten, können Sie das Häkchen
Sprache: Hier wird Ihnen die aktuell eingestellte Sprache angezeigt. Das Produkt unterstützt die
Sprachen Deutsch und Englisch.
einzustellen (Dokument und Signatur in einer Dat
Dateien). Diese Option hat keine Auswirkungen auf die sichere Anzeigeeinheit, d.h. der OpenLimit
SignCubes Viewer erzeugt grundsätzlich PKCS#7 Signaturen (getrennte Dateien). Die erzeugten
Dokumentformate der sicheren Anzeigeeinheit sind im Kapitel Sicherheitskomponenten der OpenLimit
SignCubes Basiskomponenten 2.5, Version 2.5.0.2 erläutert. Die Einstellung
wirksam, wenn die Signaturerzeugung der XML Daten über eine Drittanwendung gestartet wird. Weitere
Informationen dazu finden Sie in dem Abschnitt XML Signaturen.
43
Attributzertifikate automatisch mitsignieren: Sofern dieser Haken gesetzt ist, werden bei der
Signaturerzeugung alle unter dem Ordner 'Eigene Dateien\Attribute Certificates' vorhandenen
Attributzertifikate dahingehend durchsucht, ob sie zu diesem Zertifikat dazu gehören. Falls dies der
Fall ist, wird das Attributzertifikat mitsigniert und dem Signaturzertifikat hinzugefügt.
Signaturen automatisch mit Zeitstempel versehen: Hier können Sie den Signaturdaten automatisch
einen Zeitstempel hinzufügen. Der Zeitstempel wird jedoch nicht mitsigniert, d.h., der Zeitstempel wird
nicht durch die neu erstellte Signatur geschützt.
ch mit OCSP-Status versehen: Mit der Aktivierung dieser Funktion wird
automatisch eine OCSP-Abfrage durchgeführt und das Abfrageergebnis wird den Signaturdaten
tion vorgenommenen
wendung dieses Befehls werden nur die Einstellungen
ch die Einstellungen, die für alle Benutzer gelten.
Manager automatisch beim Start des
s Deaktivieren dieser Option empfohlen, wenn das
rity Environment Manager gestartet wird und
keine Kartenleser erkennt.
einer Datei oder die Erzeugung einer abgetrennten
cherheit des Produktes OpenLimit SignCubes
stallation in der Originalkonfiguration befindet,
Ihnen vorgenommenen Änderungen
so treffen, dass Verbunddokumente beim
t SignCubes Shell-Extension signieren, erhalten
weiteres Mal signieren möchten, werden Sie
alog gefragt, da die Signatur nicht dem '.p7m'
n, wird das Originaldokument überschrieben. Sie können
Dokument dann abgelegt wird.
mit SignCubes Basiskomponenten 2.5, Version
Signaturen automatis
hinzugefügt. Die OCSP-Antwort wird nicht durch die neu erstellte Signatur geschützt.
Durch Anklicken des Buttons Ausgangskonfiguration werden die mit der Installa
Voreinstellungen wieder hergestellt. Durch die An
für den aktiven Benutzer zurück gesetzt, nicht jedo
Hinweis zur sicheren Konfiguration:
Sie sollten den OpenLimit SignCubes Security Environment
Betriebssystems starten lassen. Es wird nur dann da
PC/SC Subsystem nach dem OpenLimit SignCubes Secu
dieser dadurch beim Start des Betriebssystems
Das Speichern der Originaldaten und der Signatur in
Signaturdatei haben keinen Einfluss auf die Si
Basiskomponenten 2.5, Version 2.5.0.2.
Wenn Sie sich nicht sicher sind, ob sich Ihre In
verwenden Sie bitte den Befehl Ausgangskonfiguration, um die von
zu verwerfen.
Hinweis für die Einstellungen des Signaturformats: Wenn Sie die Einstellungen
Signaturvorgang erzeugt werden und Sie ein Dokument über die OpenLimi
Sie ein Dokument mit der Endung '*.p7m'. Wenn Sie nun die Originaldaten ein
nach dem Namen der Ausgabedatei über einen 'Datei speichern unter...' Di
Dokument hinzugefügt wird. Wenn Sie den Dateinamen beibehalte
aber auch einen anderen Dateinamen angeben, unter dem dieses
Die OpenLimit SignCubes Shell-Extension ist kein Bestandteil der OpenLi
2.5.0.2, greift aber über eine ebenfalls zertifizierte Schnittstelle auf die Funktionen des Produktes zurück.
4.1.3 Option: Verzeichnisse
Sie haben im Register Verzeichnisse die Möglichkeit, die Verzeichnisse für Sperrlisten und Stammzertifikate, die von der
Software verwendet werden, umzukonfigurieren. Machen Sie von dieser Möglichkeit nur dann Gebrauch, wenn Sie sich
sicher sind, dass Sie verstanden haben, wozu diese Verzeichnisse von der Software genutzt werden.
44
Unter dem Register Verzeichnisse können die Speicherpfade für sicherheitsrelevante Dateien festgelegt werden.
Standardmäßig steht der Pfad auf C:\Programme\OpenLimit\Data\ und dann der Name des jeweiligen Ordners.
Was bedeutet sicherheitsrelevant? Beispiel Sperrlisten: Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version
espeichert. Wenn Sie die Verzeichnisse für die Sperrlisten ändern, sollten Sie entweder die in
diesem Verzeichnis bei der Softwareinstallation abgelegten Dateien ebenfalls in das geänderte Verzeichnis kopieren oder
nach der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann die korrekte Signaturprüfung durch
das Produkt nicht gewährleistet werden.
Sperrlisten: Certificate Revocation Lists (CRLs) sind Listen mit gesperrten Zertifikaten, die von den Trustcentern
herausgegeben werden. Anhand der Sperrlisten wird geprüft, ob das verwendete Signaturzertifikat zum Zeitpunkt der
Signaturerzeugung bereits gesperrt war.
PKDs (Public Key Directories) sind Verzeichnisse, in denen die öffentlichen Schlüssel, d.h., die Zertifikate von
verschiedenen Herausgebern gelistet sind. Hier sind derzeit die von der Bundesnetzagentur herausgegebenen CA-
Zertifikate enthalten.
CTLs (Certificate Trust Lists) sind Verzeichnisse, in denen vertrauenswürdige Wurzelzertifikate abgelegt werden können.
Das Zertifikat der Bundesnetzagentur, dem wir generell vertrauen, ist in der Software integriert. Wenn Sie einer anderen
Wurzel vertrauen möchten, speichern Sie das Zertifikat in diesem Ordner und legen Sie die CA-Zertifikate auch unter den
PKDs ab.
Wenn sie die Verzeichniseinstellungen falsch konfigurieren oder nicht alle notwendigen Schritte vornehmen, damit die
Verzeichnisse von den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 richtig genutzt werden können, ist ein
2.5.0.2 verwendet bei der Prüfung von Signaturen Sperrlisten, um die Gültigkeit des Signaturzertifikates bei der
Signaturerzeugung zu überprüfen. Die Sperrlisten, die Sie manuell vom Sperrlistenverteilungspunkt abrufen, werden im
Verzeichnis für Sperrlisten g
45
scheinbares Fehlverhalten der Software möglich. Durch Ihre Einstellungen konf
Sie vertrauen und welchen nicht.
Hinweis: Wenn Sie die Verzeichnisse ändern, dürfen die neuen Verzeichnisse
Ablegen von Sperrlisten in dem Verzeichnis fehlschlägt.
Hinweis für die sichere Konfiguration:
Sie sollten die Einstellungen der Verzeichnisse nicht ändern. Wenn Sie die
Sicherheitsverhalten des Produktes. Sie sollten diese Einstellungen nur ändern,
verstanden haben.
4.1.4 Option: PIN-Abfrage
In diesem Register können Sie die Optionen für die PIN-Eingabe konf
Optionen um, da ein Missbrauch Ihrer Signaturkarte durch fa
erleichtert werden könnte.
igurieren Sie selbst, welchen Zertifikaten
nicht schreibgeschützt sein, da sonst das
Verzeichnisse ändern, beeinflussen Sie das
wenn Sie die obigen Ausführungen richtig
igurieren. Gehen Sie sensibel mit den einstellbaren
lsches oder unachtsames Vorgehen mit diesen Optionen
In diesem Dialog sind Optionen aufgeführt, welche die Eingabe oder Abfrage der PIN (personal identification number)
betreffen:
ass bei Kartenlesern, welche die sichere PIN-Eingabe unterstützen, diese auch automatisch
verwendet wird. Diese Option kann in der ausgelieferten Konfiguration nicht abgewählt werden und sollte für eine sichere
Konfiguration des Produktes immer aktiviert sein. Wenn Sie nicht die sichere PIN-Eingabe verwenden, steigt die Gefahr des
Ausspähens der PIN durch entsprechende Programme.
Sichere PIN-Eingabe automatisch verwenden
Diese Option garantiert, d
46
Karte für mehrere Arbeitsschritte öffnen
Wenn Sie größ ordern, können Sie
auch die Kart agt. Weitere Eingaben sind nicht
zahlreichen Dateien kann so zeitsparend erledigt
ion
bei jeder Verwendung: Jedes Mal wird die PIN abgefragt.
ntschlüsseln möchten, dann stellen sie die Auswahl bei qualifizierten und sonstigen Signaturen auf
bei jeder Verwendung und bei Entschlüsseln auf keine weitere Abfrage.
ng gestellt, können Sie unten eine Begrenzung nach Anzahl oder Zeit
eingeben. Wenn Sie die Parameter gesetzt haben und während des Arbeitens mit der Karte die Parameter ändern, müssen
Sie die Karte ziehen und neu in das Chipkarten-Terminal stecken, damit die geänderten Einstellungen wirksam werden.
Sicherheitshinweis: Wenn Sie die Optionen so konfigurieren, dass Sie keine PIN mehr eingeben müssen, gehen Sie ein
erhöhtes Risiko des Missbrauchs Ihrer Signaturkarte ein. Sie sollten diese Optionen nur dann verwenden, wenn Ihr Rechner
sicher frei von bösartiger Software wie Viren und Backdoor Programmen ist. Weiterhin sollten Sie Ihre Signaturkarte
immer aus dem Kartenleser entfernen, sobald Sie den Arbeitsplatz verlassen. Wenn Sie diese
Mindestsicherheitsanforderungen nicht befolgen, können unberechtigte Dritte mit Ihrer Karte Signaturen erzeugen, die
vor dem Gesetzgeber den Wert Ihrer persönlichen Unterschrift haben. Vor diesen Szenarien können Sie sich nur selbst
durch den verantwortungsvollen Umgang mit Ihrer Signaturkarte schützen.
Hinweis:
Das 'Offen Halten' für mehrere Arbeitsschritte wird nur von Chip-Karten unterstützt, die durch das Trust-Center in dieser
Konfiguration ausgeliefert werden.
Hinweis zur sicheren Konfiguration:
ere Arbeitsaufgaben vor sich haben, die eine ständige Wiederholung der PIN-Eingabe erf
e öffnen. Dann wird die PIN einmalig beim ersten Signaturvorgang abgefr
mehr erforderlich in Abhängigkeit von Ihren weiteren Einstellungen. Dies ist beispielsweise sehr praktisch, wenn man eine
Vielzahl von Dokumenten entschlüsseln muss. Auch die Signatur von
werden.
Diese Funktion ist für die in dem Kapitel Chipkarten genannten Karten nur für die fortgeschrittene Signatur verfügbar.
PIN abfragen
Falls Sie die Karte für mehrere Arbeitsschritte öffnen wollen, haben Sie zusätzlich die Möglichkeit, diese Opt
einzuschränken: für qualifizierte Signaturen, fortgeschrittene Signaturen und für Entschlüsselung stehen folgende
Varianten zur Verfügung:
automatisch mit Begrenzung: Je nach Begrenzung ist die Benutzung eingeschränkt.
keine weitere Abfrage: Die PIN muss nicht mehr eingegeben werden.
Beispiel: Wenn Sie nur E
Begrenzung:
Haben Sie oben auf automatisch mit Begrenzu
47
Die Option Sichere PIN-Eingabe automatisch verwenden muss aktiviert sein. Diese Option zwingt das
Produkt, die sichere PIN-Eingabe automatisch zu verwenden.
Die Option Karte für mehrere Arbeitsschritte öffnen sollte deaktiviert sein. Wenn Sie die Karte für
mehrere Arbeitsschritte geöffnet halten, gehen Sie das Risiko eines Missbrauchs Ihrer Karte durch
Dritte ein. Dieses Risiko kann durch die Software nur bedingt abgewehrt werden. In diesem Falle gelten
die erhöhten Sicherheitsauflagen der Chipkarten für diesen Betriebsmodus. Mehr Informationen finden
Sie im Abschnitt Chipkarten.
4.1.5 Option: Zertifikate
Im Register Zertifikate können Sie Einstellungen für den Umgang mit den vorhandenen Zertifikaten vornehmen.
Wenn Sie die Option bei Signatur nur verfügbare Zertifikate anzeigen wählen, werden automatisch nur die Zertifikate
verwendet, die auf der eingelegten Chipkarte zur Verfügung stehen. Wenn Sie diese Option deaktivieren, werden ebenfalls
auch Zertifikate anderer Personen berücksichtigt, die an diesem Arbeitsplatz arbeiten. Sie beeinflussen also den Umgang
mit den Zertifikaten durch das Produkt.
Wichtiger Hinweis: Grundsätzlich wird die Erzeugung einer elektronischen Signatur immer auf der eingelegten Chipkarte
vorgenommen. Wenn Sie auch Zertifikate anderer Personen bei der Signaturerzeugung angezeigt bekommen, bedeutet
dies nicht, dass Sie auch eine Signatur mit diesem Zertifikat erzeugen können. Das Produkt wird Ihnen lediglich mitteilen,
dass Sie die entsprechende Chipkarte in das Kartenterminal einlegen müssen.
Die Option SmartCard-Zertifikate automatisch registrieren bedeutet, dass die auf der Chipkarte vorhandenen Zertifikate
automatisch im Microsoft Zertifikatsspeicher registriert werden.
48
Die Option Automatisch registrierte Zertifikate ständig verfügbar halten bedeutet, dass die von der Chipkarte registrierten
Zertifikate auch nach der Entnahme aus dem Chipkarten Terminal im Microsoft Zertifikatsspeicher verfügbar bleiben. Wenn
Sie diese Option deaktivieren, werden die vorher registrierten Zertifikate automatisch wieder deregistriert.
Hinweis zur sicheren Konfiguration:
Die angebotene Option bei Signatur nur verfügbare Zertifikate anzeigen hat keinen Einfluss auf das
Sicherheitsverhalten des Produktes.
Die angebotene Option SmartCard-Zertifikate automatisch registrieren hat keinen Einfluss auf das
Sicherheitsverhalten des Produktes.
ertifikate ständig verfügbar halten hat keinen
Einfluss auf das Sicherheitsverhalten des Produktes.
4.1.6 Option: Algorithmen
men entsprechen dem Signaturgesetz.
Die angebotene Option Automatisch registrierte Z
Im Register Algorithmen haben Sie die Möglichkeit, den bei der Signaturerzeugung zu verwendenden Hashalgorithmus
einzustellen bzw. die für die Ver- und Entschlüsselung zum Einsatz kommenden Verschlüsselungsalgorithmen auszuwählen.
Die für die Signaturerzeugung zur Verfügung gestellten Algorith
Hinweis zur sicheren Konfiguration:
Grundsätzlich sollten Sie die standardmäßig eingestellten und empfohlenen Algorithmen verwenden.
Das ist für die Signaturerzeugung SHA-256 und für die Ver- und Entschlüsselung 3DES. Der Hash -
Algorithmus SHA-1 steht zur Einstellung zur Verfügung, ist aber für den Einsatz qualifizierter
49
Signaturen ab 2008 nicht mehr zulässig.
Für die Ver- bzw. Entschlüsselung sollten Sie nur dann andere Einstellungen vornehmen, wenn es aus
Gründen der Kompatibilität mit anderen Programmen notwendig ist.
4.2 Ch
Mit einem Klick auf das gelbe Chipsymbol (vorausgesetzt die Karte befindet sich im Kartenleser) wird das Kontextmenü
geöf itäten, die im Zusammenhang mit der Karte oder dem Kartenleser stehen.
ipkarten Optionen
fnet. Die Menüpunkte betreffen Funktional
Die folgenden Punkte werden im Chipkarten Menü angeboten:
Verschlüsselungszertifikat expo
von Ihrer Chipkarte in eine Datei speichern. We
rtieren: Mit dieser Option können Sie das Verschlüsselungszertifikat
itere Informationen erhalten Sie in dem Kapitel
Zertifikate exportieren. Diese Funktion ist nur dann verfügbar, wenn Sie über ein
Verschlüsselungszertif
nd das
Z
Beenden: Mit diesem Menüpunkt wird der OpenLimit SignCubes Security Environment Manager
geschlossen.
4.2.1 Eigenschaften
Durc symbols in der Taskleiste (Karte befindet sich im Kartenleser) und Auswahl des
Menüpunktes Eigenschaften erhalten Sie folgende Informationen:
ikat verfügen. Ob Sie über ein solches Zertifikat verfügen, können Sie im
Menüpunkt Eigenschaften an Hand der aufgelisteten Zertifikate auf Ihrer Chipkarte überprüfen.
Eigenschaften: Die Eigenschaften des installierten Kartenlesers werden hier angezeigt. Ist eine Karte
im Kartenleser vorhanden, werden auch die Karteneigenschaften, wie die Kartennummer u
ertifikat angezeigt. Weitere Informationen erhalten Sie in dem Kapitel Eigenschaften.
Einstellungen: Dieser Menüpunkt wird in den Konfigurationsoptionen des OpenLimit SignCubes Security
Environment Managers erläutert.
Info: Hier werden Copyright- und Versionsinformationen angezeigt.
h Anklicken des gelben Chip
50
Unter dem Register Kartenleser wird die Bezeichnung des Kartenlesers und die Ansteuerung des
Kartenlesers angezeigt. Bei Kartenlesern mit sicherer PIN Eingabe wird auf diese Funktion als
Ergänzung zum Kartenleser hingewiesen.
Unter dem Register Karte sehen Sie die Bezeichnung der Karte (meist mit Herausgeber), die
Kartennummer und das Betriebssystem der Karte.
51
Unter dem Register PIN's werden die zu den Zertifikaten der im Kartenleser steckenden Karte gültigen
PIN's angezeigt. Nach Auswahl eines PIN's werden in dem unteren Fenster als Detailinformationen die
minimale Länge und sofern vorhanden die maximale Länge angezeigt. Gleichzeitig werden die
Schaltflächen für weitere Funktionen aktiv. In Abhängigkeit von der Zulässigkeit stehen die Funktionen
Freischalten, Ändern und Entsperren zur Verfügung.
52
Unter dem Register Zertifikate werden die Zertifikate der Karte, die im Leser steckt, angezeigt. Nach
Anklicken eines Zertifikats in der Liste werden in dem unteren Fenster die Einzelinformationen
angezeigt.
53
Im Abschnitt Zertifikate exportieren können Sie nachlesen, wie Sie die auf Ihrer Karte vorhandenen Zertifikate in eine
Datei speichern können, um auch anderen Kommunikationspartnern Ihre Zertifikate zu schicken.
In dem Abschnitt Attributzertifkate werden weitere Information zum Handling mit den Signaturzertifikaten zugehörigen
Attributen gegeben.
Hinweis zur sicheren Konfiguration:
Es werden keine Optionen zur Verfügung gestellt, die einen Einfluss auf das Sicherheitsverhalten des Produktes haben.
4.2.2 Zertifikate exportieren
Damit Sie Ihren Kommunikationspartnern Ihr Verschlüsselungszertifikat schicken können, müssen Sie es zunächst aus der
Karte extrahieren und in eine Datei exportieren. Diese Datei können Sie dann einfach per E-Mail verschicken.
• Stecken Sie die Karte in den Leser und achten Sie darauf, dass sie erkannt wird.
• Klicken Sie das gelbe Chip-Symbol in der Taskleiste an.
Wählen Sie den Punkt Verschlüsselungszertifikat exportieren.
• Im Fenster Zertifikat exportieren wird der Dateiname angegeben und der Speicherort ausgewählt. Wahrscheinlich
werden Sie den Namen des Zertifikatsinhabers, also Ihren eigenen, angeben wollen.
• Mit einem Klick auf Speichern, ist das Zertifikat als *.cer Datei gespeichert und kann für jede Standard-
Verschlüsselungssoftware benutzt werden.
Hinweis zur sicheren Konfiguration:
54
Es werden keine Optionen angeboten, die einen Einfluss auf das Sicherheitsverhalten des Produktes haben können.
4.2.3 PIN ändern
Im OpenLimit SignCubes Security Environment Manager können Sie die PIN bzw. PIN's Ihrer Smartcard jederzeit ändern.
Dies sollten Sie tun, wenn Sie das Gefühl haben, dass andere Personen Ihre PIN kennen.
Wählen Sie nach Anklicken des gelben Chipsymbols in der Taskleiste Eigenschaften und anschließend
das Register PINs.
Wählen Sie die zu ändernde PIN und klicken Sie auf Ändern. Geben Sie dann die aktuelle PIN ein, um die
Änderung überhaupt zu ermöglichen.
55
Danach wird nach der neuen PIN gefragt. Geben Sie diese ein und bestätigen Sie mit OK.
Die neue PIN muss nochmals bestätigt werden. Geben Sie diese ein weiteres Mal ein.
Sie haben die PIN jetzt geändert.
Hinweis zur sicheren Konfiguration:
Verwenden Sie niemals eine triviale PIN, die den Missbrauch Ihrer Karte durch Dritte erleichtern könnte und notieren Sie
die PIN niemals auf der Karte oder an Orten, wo Dritte in die Kenntnis Ihrer PIN gelangen könnten. Verwenden Sie nur
Kartenleser mit sicherer PIN-Eingabe, um die PIN Ihrer Chip-Karte zu ändern. Stellen Sie sicher, dass die Eingabe der
neuen PIN nicht durch Dritte beobachtet wird, da diese dadurch in Kenntnis Ihrer PIN gelangen könnten.
56
5. Arbeiten mit den OpenLimit SignCubes Basiskomponenten
Die folgenden Abschnitte beschreiben den Umgang mit den einzelnen Bestandteilen der OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2. Dieses Kapitel soll Ihnen den Umgang mit dem Produkt erleichtern und Ihnen dabei
helfen, schnell mit den einzelnen Programmfunktionen vertraut zu werden.
5.1 Arbeiten mit dem OpenLimit SignCubes Security Environment Manager
Der OpenLimit SignCubes Security Environment Manager ist als zentraler Bestandteil der Anwendung OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2 für die Bereitstellung und Überwachung aller Sicherheitsaufgaben des Produktes
verantwortlich. Für Sie als Benutzer sind vor allem die folgenden Punkte relevant:
Der OpenLimit SignCubes Security Environment Manager verwaltet die angeschlossenen Kartenleser
und überwacht die eingelegten Chipkarten.
Der OpenLimit SignCubes Security Environment Manager bietet Ihnen Optionen zur Auswahl an, welche
die Chipkarte und die erzeugten Dokumente betreffen. Zur Konfiguration dieser Optionen müssen Sie
über Administrationsrechte auf Ihrem Rechner verfügen.
Als Standard wird der OpenLimit SignCubes Security Environment Manager automatisch beim Start des Betriebssystems
gestartet. Sie haben allerdings die Möglichkeit, dieses Verhalten in den Konfigurationseinstellungen des OpenLimit
SignCubes Security Environment Managers zu verändern und müssen diesen dann manuell starten.
Während der Arbeit mit dem OpenLimit SignCubes Security Environment Manager werden Sie durch entsprechende
Statusmeldungen über den jeweiligen Bearbeitungsstand informiert:
Kartenleser gesteckt, diese wird erkannt und identifiziert: Sie haben eine Chipkarte in den
Sie haben den Befehl Signatur erzeugen aktiviert, es läuft die Datenaufbereitung (Hashwertberechnung) bzw. die
Signaturerzeugung.
Nach dem Aufbereiten der Daten werden Sie zur PIN Eingabe über die sichere PIN-Eingabe aufgefordert.
Sie haben den Befehl Signatur prüfen aktiviert, es läuft die Hashwertberechnung und der Abgleich mit den Sperrlisten.
Falls Ihnen diese Informationen nicht mehr angezeigt werden sollen, haben Sie die Möglichkeit, durch Anklicken der Option
ubes Security Environment Manager gestartet wurde, erscheint das OpenLimit Icon in
ausblenden, die Anzeige zu unterdrücken.
Hinweis: Wenn der OpenLimit SignC
57
der Taskleiste neben der Uhrzeit.
Hinweis für den manuellen Start:
Unter dem folgenden Menüpunkt können Sie den OpenLimit SignCubes Security Environment Manager manuell starten. Das
Programmverzeichnis kann je nach verwendeter Spracheinstellung variieren. Diese Hilfe beschreibt den Umgang mit einem
deutschsprachigen Betriebssystem.
s Security Environment Manager manuell zu starten, dann lassen Sie die Option auf
nleser und Chipkarten unterstützt werden, ist in dem Abschnitt Kartenleser bzw. Chipkarten im Detail
eine Chipkarte im Kartenleser vorhanden, erscheint für jede erkannte Chipkarte ein gelbes Chip-Symbol
Steckt keine Karte im Kartenleser, wird für jeden erkannten Kartenleser ein graues Chip Symbol angezeigt.
Start – Programme – OPENLiMiT SignCubes - OPENLiMiT SignCubes Manager ACHTUNG: Um die Funktionen der Software nutzen zu können, muss der OpenLimit SignCubes Security Environment
Manager gestartet sein. Andernfalls haben Sie keinen Zugang zu den Funktionen des Produktes. Wenn keine Gründe
existieren, den OpenLimit SignCube
„automatisch starten“ eingestellt.
Der OpenLimit SignCubes Security Environment Manager kann mehrere Kartenleser und Chipkarten parallel verwalten.
Welche Karte
ausgeführt.
Für jeden erkannten Kartenleser erscheint ein graues Chip-Symbol in der Taskleiste, wenn keine Karte im Kartenleser
vorhanden ist. Ist
in der Taskleiste.
Erkennung einer Chipkarte durch den OpenLimit SignCubes Security Environment Manager
Wenn Sie die Karte in den Leser stecken, wird das Symbol gelb und bekommt ein grünes Fragezeichen (achten Sie darauf,
Karte im Leser einrastet). dass die
Hat der OpenLimit SignCubes Security Environment Manager die Karte richtig erkannt, verschwindet das Fragezeichen und
ist gelb. Der erkannte Kartentyp wird automatisch angezeigt. der Chip
Jetzt können Sie mit der eingelegten Chipkarte arbeiten. Wenn bereits vor dem Start des OpenLimit SignCubes Security
nt Managers eine Chipkarte in den Kartenleser eingelegt wurde, erkennt dieser die Karte automatisch.
scheint, wenn die Karte verkehrt in den Leser gesteckt wurde
oder eine Karte verwendet wurde, die nicht kompatibel ist.
Environme
Hinweis:
Ein gelber Chip mit rotem Kreuz bzw. rotem Fragezeichen er
Die verwendbaren Karten sind in dem Abschnitt Chipkarten aufgeführt.
Ist das Chip-Symbol in der Taskleiste rot, bedeutet dies, dass die Karte geöffnet ist oder Operationen, wie z.B. die
Hashwertverschlüsselung auf der Chipkarte ausgeführt werden.
Karte „geöffnet“ bedeutet, dass Sie mehrere Operationen hintereinander ausführen können, ohne erneut die PIN eingeben
zu müssen. Das kann sinnvoll sein, wenn Sie mehrere Dokumente hintereinander signieren möchten. Aus
Sicherheitsgründen sollten Sie diese Möglichkeit nur dann nutzen, wenn Sie sich absolut sicher sind, dass kein Missbrauch
58
mit der Karte vorgenommen werden kann. Verlassen Sie nie Ihren Arbeitsplatz, ohne vorher die Karte aus dem Kartenleser
zu entnehmen. Unberechtigte Personen könnten sonst diesen Umstand ausnutzen und Signaturen mit Ihrer Chipkarte
nvironment Manager
Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 behandelt.
es Security Environment
Ihnen mit der Meldung 'Daten werden bearbeitet' eine entsprechende Information gibt.
keine Treiber vorhanden, kann das Produkt auch nicht mit dem Kartenleser arbeiten bzw. diesen auch nicht
erkennen.
etzagentur). Aber auch
imit SignCubes
Security Environment Manager die zugehörigen Originaldaten erkennen und die Signatur verifizieren kann.
erzeugen.
Hinweis:
Beim Klicken auf die Icons in der Taskleiste bekommen Sie verschiedene Menüs angeboten. Wenn sie auf das Icon des
OpenLimit SignCubes Security Environment Manager klicken, wird Ihnen das Konfigurationsmenü für den OpenLimit
SignCubes Security Environment Manager angeboten. Für diese Optionen benötigen Sie Administrationsrechte auf ihrem
Arbeitsrechner. Wenn Sie auf das graue Chipsymbol klicken, bekommen Sie ein eingeschränktes Menü angeboten, in
welchem Sie sich Informationen zum verwendeten Kartenleser anzeigen lassen können. Wenn Sie nach dem Einlegen der
Chipkarte auf das gelbe Chipsymbol klicken, bekommen Sie ein Menü für die jeweilige Chipkarte angeboten. Die
angebotenen Menüpunkte werden ebenso wie die Menüpunkte für den OpenLimit SignCubes Security E
im Kapitel
Hinweis:
Wenn der OpenLimit SignCubes Security Environment Manager Daten verarbeitet, rotiert das Icon des OpenLimit SignCubes
Security Environment Managers in der Taskleiste im Uhrzeigersinn, um zu verdeutlichen, dass momentan eine Operation
ausgeführt wird. Wenn Sie also große Datenmengen signieren wollen (z.B. ein Dokument mit einer Größe von 300 MB),
haben Sie immer eine Information darüber, dass momentan Daten verarbeitet werden. Wenn Sie mit der Maus über das
Icon in der Taskleiste fahren, werden Sie sehen, dass auch der Tooltip-Text des OpenLimit SignCub
Managers
Hinweis:
Der OpenLimit SignCubes Security Environment Manager reagiert für die Kartenleser SPR 332 und SPR 532 der Firma SCM
Microsystems an der USB-Schnittstelle auf die Plug & Play Ereignisse des Betriebssystems. Wenn Sie also einen solchen
Kartenleser verwenden, haben Sie die Möglichkeit, bei laufendem OpenLimit SignCubes Security Environment Manager
einen solchen Kartenleser hinzu zu nehmen oder von der USB Schnittstelle zu entfernen. Für jeden angesteckten
Kartenleser wird ein neues Chipsymbol angezeigt und der Tooltipp an diesem Icon teilt Ihnen mit, um welchen Kartenleser
es sich handelt. Nachdem Ihnen das Chip-Symbol angezeigt wird, ist der Kartenleser voll einsatzbereit. Um diese
Eigenschaften nutzen zu können, müssen Sie den korrekten Treiber des Herstellers für diesen Kartenleser installiert
haben. Sind
5.2 Signaturverifikation
Der folgende Abschnitt beschreibt, wie Sie eine Signaturprüfung unter Verwendung des Produktes OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2 vornehmen können. Grundsätzlich vertraut das Produkt dem Wurzelzertifikat der
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesn
andere Wurzelzertifikate können im Betriebssystem als vertrauenswürdig bereitgestellt werden.
Grundsätzlich gilt: Wenn Sie mit abgesetzten Signaturen arbeiten, muss die Signaturdatei den gleichen Namen wie das
Originaldokument mit der zusätzlichen Endung '.p7s' tragen. Dies ist Voraussetzung, damit der OpenL
Verfahren zur Signaturprüfung durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 Im ersten Schritt wird immer überprüft, ob die elektronische Signatur mathematisch korrekt ist. Dies bedeutet, dass bei
der Signaturprüfung die OpenLimit SignCubes Basiskomponenten 2.5, v2.5.0.2 die Prüfsumme (den Hashwert) über die
59
signierten Daten grundsätzlich erneut berechnen und die vorliegende Signatur gegen diesen neu berechneten Hashwert
prüfen. Ist diese Prüfung erfolgreich, dann ist die Signatur mathematisch korrekt. Es kann jedoch noch keine Aussage zur
tatsächlichen Gültigkeit der elektronischen Signatur getroffen werden. Dafür wird in einem weiteren Schritt die Gültigkeit
kette fehlen und somit keine
iese Prüfung erfolgreich und die Zertifikatskette
erreintrag für eines der geprüften Zertifikate
beide auf Sperrlisten angewiesen sind, welche die oben genannten Bedingungen an den Herausgabezeitpunkt
n Sie den
n Zeitpunkt der Signaturerzeugung enthalten, wird die aktuelle Systemzeit als
naturzertifikat über Details anzeigen lassen und im Zertifikatsdialog das Register Zertifizierungspfad
lzertifikat bei der Signaturprüfung gefunden wurde, geben die OpenLimit SignCubes Basiskomponenten den
der Zertifikate, angefangen beim verwendeten Signaturzertifikat bis hin zur Wurzel der Zertifikatskette geprüft.
Zur Ermittlung der Zertifikatskette werden die in den Signaturdaten enthaltenen Zertifikate herangezogen. Kann die
Zertifikatskette aus den verfügbaren Signaturdaten nicht ermittelt werden, können die OpenLimit SignCubes
Basiskomponenten auf alternative Zertifikatsspeicher, wie den Microsoft Zertifikatsspeicher oder die Festplatte zurück
greifen. Kann die Zertifikatskette nicht gebildet werden, dann treffen die OpenLimit SignCubes Basiskomponenten keine
Aussage zur Gültigkeit der geprüften elektronischen Signatur. Es wird angezeigt, dass die Signatur mathematisch korrekt
ist. Es wird jedoch weiterhin angezeigt, dass benötigte Zertifikate in der Zertifikats
abschließende Aussage zur Gültigkeit der elektronischen Signatur getroffen werden kann.
War die Ermittlung des Zertifikatspfades erfolgreich, wird dieser einer Prüfung nach dem Schalenmodell unterworfen. Das
Schalenmodell besagt, dass alle Zertifikate im Zertifikatspfad zum Signaturzeitpunkt gültig und nicht zurückgezogen sein
müssen, damit die Signatur als gültig verifiziert werden kann. Ist d
vollständig, wird dem Benutzer angezeigt, dass die Signatur gültig ist.
Allgemeine Anforderungen bei der Prüfung elektronischer Signaturen
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 prüfen die Zertifikate einer Kette in jedem Falle gegen
die zur Verfügung stehenden Sperrlisten. Wird ein entsprechender Sp
gefunden, so wird Ihnen dieser Sperrstatus auch zur Kenntnis gebracht.
Hinweis: Achten Sie bitte darauf, dass stets aktuelle Sperrlisten bei der Signaturprüfung zur Verfügung stehen.
Da die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 die lokale Systemzeit zur Codierung des
Signaturzeitpunktes verwendet, ist die korrekte Einstellung der Systemzeit notwendig. Sie sind als Nutzer der OpenLimit
SignCubes Basiskomponenten für die Korrektheit der Systemzeit verantwortlich. In allen anderen Fällen kann die Prüfung,
insbesondere nach dem Kettenmodell, durch das Produkt nicht zuverlässig vorgenommen werden. Durch die Prüfung nach
dem Schalen- und dem Kettenmodell verwendet das Produkt zwei voneinander unabhängig arbeitende Prüfmechanismen,
die jedoch
erfüllen.
Ist in der Signaturdatei ein Zeitstempel vorhanden, wird auch eine Aussage zur Gültigkeit der Signatur an dem Zeitpunkt
geliefert, den der Zeitstempel ausweist. Um die vollständige Gültigkeit des Zeitstempels zu prüfen, müsse
Detaildialog für Zeitstempel verwenden. Nähere Informationen hierzu finden Sie im Kapitel Zeitstempeldienste.
Hinweis: Ist in dem Signaturabschnitt kei
Prüfzeitpunkt verwendet und angezeigt.
Hinweis: Bei der Signaturprüfung müssen Sie immer den Zertifikatspfad des geprüften Signaturzertifikats überprüfen. Das
Produkt verwendet auch vertrauenswürdige Stammzertifikate aus dem Microsoft Zertifikatsspeicher, d.h., es kann zu der
Aussage kommen, dass die geprüfte Signatur gültig ist, obwohl Sie dem Wurzelzertifikat nicht vertrauen. Die Gültigkeit der
elektronischen Signatur ist im technischen Sinne zwar korrekt, aber evtl. wollen Sie als Benutzer dem Stammzertifikat
nicht vertrauen. Daher ist die Prüfung des Zertifikatspfades unerlässlich. Diese Prüfung können Sie vornehmen, in dem Sie
sich das Sig
auswählen.
Wenn ein Wurze
Ablageort an.
Die Zertifikate der Bundesnetzagentur sind den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 durch
60
signierte Vertrauenslisten bekannt. In diesem Fall benennt das Produkt das verwendete Wurzelzertifikat als
igt
fikat aus dem CTL Verzeichnis des Produktes bezogen, zeigt das Produkt ,Zertifikat aus dem CTL
rwenden, um diejenige Dokumentversion zu sehen, auf die sich die jeweilige Unterschrift
sondern exakt für die
n OpenLimit SignCubes Viewer angezeigt wird.
ndesnetzagentur müssen in einer signierten Vertrauensliste vorliegen, die
verwendeten
rschiedenen Prüfmodellen finden Sie auf der Webseite der Bundesnetzagentur
Gültigkeitsmodellen darf eines der Zertifikate in der Kette zurückgezogen sein, z.B. wegen
'Vertrauenswürdiges Zertifikat'.
Wurde das Zertifikat aus dem Microsoft Stammspeicher für vertrauenswürdige Stammzertifizierungsstellen bezogen, ze
das Produkt im Zertifizierungspfad ,Zertifikat aus dem Microsoft Stammspeicher für vertrauenswürdige Zertifikate' an.
Wurde das Zerti
Verzeichnis' an.
Diese Information wird nur angezeigt, wenn ein Wurzelzertifikat im Zertifizierungspfad gefunden wurde.
Hinweis: Wenn Sie ein PDF-Dokument prüfen, welches mehrere eingebettete Signaturen enthält, müssen Sie im Prüfdialog
den Befehl 'Daten anzeigen' ve
bezieht.
Das PDF Format erlaubt nach einer Signatur, das Dokument weiter zu ändern. Die elektronische Unterschrift bezieht sich
jedoch immer auf die konkrete Version des Dokuments, die Sie nur aus dem Prüfdialog heraus eindeutig anzeigen lassen
können. Das bedeutet auch, dass die Signatur nicht für das geänderte Dokument gilt,
Dokumentversion, die Ihnen im Prüfdialog über de
Prüfung qualifizierter elektronischer Signaturen
Grundsätzlich wird bei jeder vorliegenden Signatur geprüft, ob dies eine qualifizierte elektronische Signatur ist. Die
OpenLimit SignCubes Basiskomponenten ermitteln dies an mehreren Kriterien: Das verwendete Signaturzertifikat muss das
Attribut QC-Statement mit dem Wert EU-QC-konform oder SigG-konform aufweisen. Des weiteren muss das verwendete
Signaturzertifikat von einem angezeigten oder akkreditierten Zertifizierungsdiensteanbieter herausgegeben worden sein.
Die OpenLimit SignCubes Basiskomponenten 2.5, v2.5.0.2 verfügen über eigene Verwaltungsmechanismen für diese
Einstufung. Die Zertifikate der ZDA's und der Bu
ausschließlich durch OpenLimit gepflegt wird.
Treffen die genannten Kriterien zu, so erfolgt die Prüfung der Zertifikatskette nach dem Kettenmodell. Dieses
Gültigkeitsmodell für Zertifikatsketten erlaubt, dass elektronische Signaturen mit Zertifikaten erzeugt werden können,
deren Herausgeberzertifikate zum Zeitpunkt der Signaturerstellung bereits abgelaufen sind. Dies erlaubt eine kürzere
Laufzeit einzelner Zertifikat in der Zertifikatskette und erhöht somit die Sicherheit der in Deutschland
Zertifikatsinfrastruktur. In allen anderen Fällen erfolgt die Prüfung nach dem so genannten Schalenmodell.
Die OpenLimit SignCubes Basiskomponenten zeigen in eindeutiger Art und Weise an, ob das Herausgeberzertifikat als
angezeigter oder akkreditierter Zertifizierungsdiensteanbieter in der aktuell verwendeten Vertrauensliste enthalten ist.
Ist dies der Fall, wurde die Signatur nach dem Kettenmodell geprüft. Alle anderen Signaturen, die mit den OpenLimit
SignCubes Basiskomponenten 2.5, v2.5.0.2 geprüft werden, werden unter Verwendung des Schalenmodells geprüft.
Detaillierte Informationen zu den ve
(http://www.bundesnetzagentur.de).
Für beide Gültigkeitsmodelle gilt, dass das verwendete Signaturzertifikat zum Signaturerzeugungszeitpunkt gültig sein
muss. Das Herausgeberzertifikat kann beim Kettenmodell bereits abgelaufen sein, beim Schalenmodell ist dies nicht
zulässig. In keinem von beiden
Bruch des Signaturschlüssels.
Besonderheiten im Zusammenhang mit dem Katalog zulässiger Algorithmen
Die Bundesnetzagentur veröffentlicht jedes Jahr einen so genannten Algorithmenkatalog, der die Verwendung der
zulässigen Algorithmen für die qualifizierte elektronische Signatur regelt. Dieser Algorithmenkatalog wird durch die
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 abgebildet. Dies bedeutet, dass die OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2 überprüfen, ob der verwendete Algorithmus und der verwendete Signaturschlüssel
61
den Anforderungen an diesen Katalog genügen. Ist dies nicht der Fall, wird die geprüfte Signatur auch nicht als gültig
geprüft und es wird ein Hinweistext angezeigt, dass Algorithmen verwendet werden, die keine Aussage über die
n Bundesanzeiger heranziehen, um die Korrektheit der
bhängig zu prüfen.
ung:
tatsächliche Gültigkeit der Signatur zulassen.
Wird Ihnen eine entsprechende Meldung durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 angezeigt,
sollten Sie die Webseiten der Bundesnetzagentur sowie de
eingesetzten Algorithmen una
Signaturprüfung vornehmen
Nachdem Sie auf eine signierte Datei geklickt haben, erscheint der Dialog Details zur Signaturprüf
In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oder zumindest
aten verändert oder die Zertifizierungskette konnte nicht aufgelöst werden.
rwendeten
st.
icken des Buttons Speichern ein
Prüfprotokoll zu erzeugen und zu speichern. Andernfalls wird der Button nicht angezeigt.
mathematisch korrekt ist.
Ist eine Signatur ungültig, dann wurden die D
Dieser Signatur können Sie nicht vertrauen.
Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde. Außerdem wurde auch
die Signatur an sich nicht manipuliert. In der Regel müssen Sie aber noch den Onlinestatus des ve
Signaturzertifikates prüfen, um wirklich sicher zu sein, dass das verwendete Signaturzertifikat in Ordnung i
Dies wird unter den Details, also unter dem Tab mit dem Namen des Signaturinhabers genauer untersucht.
Hinweis: Falls in Ihrer Programmversion OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 das Modul zum
Erstellen eines Prüfprotokolls mit installiert wurde, haben Sie die Möglichkeit, durch Ankl
62
Die Bedeutung der einzelnen Punkte
Hashwertüberprüfung: Integrität der Daten
positiv: Die Daten wurden seit der Signatur nicht verändert.
Wird als Zusatzinformation ein Hinweis angezeigt, dass die Signatur als ungeeignet eingestuft wird, dann bedeutet das,
dass für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung
qualifizierter Signaturen nicht zulässig ist.
negativ: Die Hashwerte stimmen nicht überein, die Daten wurden möglicherweise verändert.
Prüfung von Signatur und Zertifizierungspfad: Beschädigung der Signatur und Vollständigkeit des
Zertifizierungspfades
Wird als Zusatzinformation ein Hinweis angezeigt, dass die verwendeten Signaturparameter als ungeeignet eingestuft
werden, dann bedeutet das, dass entweder für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1)
verwendet wurde, der für die Erzeugung qualifizierter Signaturen nicht zulässig ist oder die verwendeten Schlüssel nicht
die erfolderlich Länge größer als 1024 Bit besaßen.
Hier wird die Zeit angegeben, die auf dem Rechner zur
Signaturerzeugung eingestellt war.
beruht. Weiterhin wird der für die Signaturprüfung verwendete Algorithmenkatalog
angezeigt.
das Herunterladen von aktuellen
ertifikats und wiederum Anklicken des Buttons Details können Sie sich die
Zeitpunkt der Signaturerzeugung:
Vertrauensbasis: Zeigt die Quelle für das Wurzel- bzw. Rootzertifikat an, auf der die Prüfung des
Zertifikats
Zertifikatsstatus: Sperrung der Signatur. Anhand von Sperrlisten wird geprüft, ob das Zertifikat
gesperrt wurde. Wenn hier nicht geprüft werden kann, empfiehlt sich
Sperrlisten oder eine Online-Prüfung über den Button Onlinestatus...
Über den Button Details, Auswahl des Z
63
Zertifikatseigenschaften anzeigen lassen.
Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt werden.
Nach einem Klick auf Onlinestatus... wird die OCSP-Abfrage geöffnet. Für die Prüfung muss eine Verbindung mit dem
Internet bestehen.
Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt oder unbekannt.
Wenn Sie auf den Button Details klicken, können Sie sich die Details zur OCSP-Abfrage anzeigen lassen.
64
Wenn Sie unter dem Register Zusammenfassung auf den Button Signatur-Zertifikat anzeigen klicken, können Sie die
Details des Zertifikatspfades nachvollziehen.
Um die Quelle der OCSP Antwort zu prüfen, sollten Sie immer das Zertifikat, welches die OCSP Antwort unterzeichnet hat,
anzeigen lassen. Sie müssen selbst entscheiden, ob Sie dem Zertifikat vertrauen.
Unter dem Register OCSP Details werden Ihnen weitere Detailinformationen zu der OCSP Antwort angezeigt.
65
Hinweis: Auch wenn Sie in regelmäßigen Abständen die aktuellen Sperrlisten der Zertifikatsherausgeber beziehen, sollten
Sie auf jeden Fall immer eine OCSP Abfrage durchführen. Lassen Sie sich das Zertifikat der OCSP Antwort anzeigen und
entscheiden Sie selbst, ob Sie diesem vertrauen..
5.3 Arbeiten mit dem OpenLimit SignCubes Integrity Tool
Das OpenLimit SignCubes Integrity Tool ist ein Programm zur Überprüfung der Hash-Werte an den ausgelieferten
sicherheitsrelevanten Modulen und stellt somit sicher, dass sich die Module noch in dem Zustand befinden, wie sie
ursprünglich ausgeliefert und installiert wurden.
Das OpenLimit SignCubes Integrity Tool sollte grundsätzlich über die Internetseite
https://www.OpenLimit.com/integritytool gestartet werden.
In dem Fall, dass Sie das Produkt über einen Download erhalten und installiert haben, sollten Sie, bevor Sie das Produkt
zum ersten Mal einsetzen, das OpenLimit SignCubes Integrity Tool ausführen, um die Korrektheit der Installation zu
verifizieren.
Stellt das OpenLimit SignCubes Integrity Tool fest, dass die Module sich nicht mehr in ihrem Originalzustand befinden,
sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher sollten Sie jedoch mit einem aktuellen Virenscanner
überprüfen, ob Ihr Rechner von einem Virus befallen wurde oder ein anderes Programm Ihren Rechner manipuliert hat.
66
Starten Sie das Integritätstool über die Internetseite https://www.OpenLimit.com/integritytool. Die
Java Virtual Machine (JVM) überprüft daraufhin die Signatur des Applets und öffnet einen Dialog mit
Sicherheitshinweisen.
Die Seriennummer des Signaturzertifikates für das OpenLimit SignCubes Integrity Tool finden Sie in dieser
Benutzerdokumentation unter OpenLimit SignCubes Integrity Tool.
Zur Sicherheit sollten Sie immer die Signatur des Applets über den Befehl Weitere Informationen prüfen und erst dann den
Start des Applets selbst freigeben.
67
Nach Anklicken des Button Zertifikatsdetails werden die Informationen zu dem Zertifikat einschließlich der Seriennummer
angezeigt.
In dem folgenden Fenster wird Ihnen der Pfad für die OpenLimit Programminstallation angezeigt.
Standardmäßig ermittelt das Java-Applet beim Start das Installationsverzeichnis. Falls dieser nicht
automatisch gefunden wurde bzw. nicht korrekt angezeigt wird, stellen Sie bitte den Pfad über den
che einzustellen.
Das OpenLimit SignCubes Integrity Tool wird in deutsch und englisch bereitgestellt.
Button 'Installationspfad' entsprechend ein.
Gleichzeitig haben Sie die Möglichkeit, über den Button Sprachauswahl die Spra
68
Hinweis: Geben Sie die Installationspfade der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 nicht im
Netzwerk für andere Benutzer frei.
Nach Anklicken des Button Prüfung starten wird das OpenLimit SignCubes Integrity Tool gestartet.
69
Ist der Dateistatus für alle Dateien OK, so ist die Integrität der Software erfolgreich nachgewiesen.
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 können optional Module enthalten wie die siq0*.dll,
siq1*.dll und siq2*.dll. Diese Module beinhalten die Ansteuerung konkreter Kartenterminals. Ist ein Modul vorhanden, dann
wird auch jeweils eine Liste der dadurch unterstützten Kartenterminals angezeigt:
70
siq0ccid.dll
Cherry G83-6744 LQ
Cherry ST-2000
SCM SPR 532 (Firmware 5.10)
Reiner SCT cyberJack e-com v2.0
Reiner SCT cyberJack e-com v3.0
Reiner SCT cyberJack e-com plus v3.0
Reiner SCT cyberJack pinpad v2.0
pad v3.0
coder
Omnikey Cardman 3821
siq0rsct.dll
s v3.0
Reiner SCT cyberJack pinpad v2.0
Reiner SCT cyberJack pinpad v3.0
Reiner SCT cyberJack secoder
siq0scmm.dll
SCM Microsystems SPRx32/Chipdrive PinPad
siq0ok.dll
1
1
siq0kby.dll (PC/SC) oder siq0kbyct.dll (CT-API)
Kobil Systems B1 Pro
Kobil KAAN Advanced
Kobil KAAN TriB@nk
Kobil EMV-TriCAP Reader
Kobil SecOVID Reader III
Reiner SCT cyberJack pin
Reiner SCT cyberJack se
Omnikey Cardman 3621
Fujitsu Siemens S26381-K329-V2xx HOS:01
Reiner SCT cyberJack e-com v2.0
Reiner SCT cyberJack e-com v3.0
Reiner SCT cyberJack e-com plu
Omnikey Cardman 362
Omnikey Cardman 382
71
siq0chy.dll
LQ
Cherry G83-6744 LU
Chipkartenbet
s CardOS M4.3B
S 3.2 Chipkartenbetriebssystem
dba.dll unterstützt das Siemens CardOS M4.3B Chipkartensystem in
.dll und siq2dhba.d zt STARCOS 3.2 QES Version 1.1 Chipkartensystem
siq1acos.dll unterstützt AC riebssystem
hipkarten-OS Chipkartenprofil
Cherry G83-6700
Cherry ST-2000
riebssysteme und Chipkarten
siq1seccos.dll unterstützt das SECCOS Chipkartenbetriebssystem
siq1cm43.dll unterstützt das Siemen
siq1spk3.dll unterstützt STARCOS 3.0 Chipkartenbetriebssystem
siq1spk32.dll unterstützt STARCO
siq1tcos3x.dll unterstützt TCOS 3.0
siq1dba.dll und siq2
Vebindung mit der Siemens API
siq1dhba ll unterstüt
(Heilberufsausweis)
OS Karten-Bet
Chipkartenname im Produkt C
Alle Karten des Sparkassenverlags siq1seccos.dll siq2ds2.dll
D-TRUST Karte siq1cm43.dll siq2cm43.dll
TC-Trustcenter
Generische PKCS#15-Ansteuerung der Siemens
Karten
dgnserviceCard siq1spk3.dll siq2dgn2.dll
Signtrust Card (Deutsche Post Com GmbH) siq2dp2.dll
Signaturkarte (DATEV eG)
Signaturkarte (BNotK)
Signtrust Card 3.2 (Deutsche Post Com GmbH) siq1spk32.dll siq2dp3.dll
NetKey 3.0 und NetKey 3.0M iq1tcos3x.dll siq2nks43.dll s
BA User Card mit Siemens Card API iq1dba.dll
siq0dba.dll, s siq2dba.dll
Heilberufsausweis siq1dhba.dll, siq2dhba.dll
siq2dhba.dll
A-Trust Signaturkarte siq1acos.dll Siq2aa1.dll
Das Fehlen eines oder mehrerer dieser Module wird durch den Status Nicht installiert ausgewiesen. Die Integrität der
OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 ist trotzdem sichergestellt.
72
Ab Version 2.5.0.2 bietet das OpenLimit SignCubes Integrity Tool dem Anwender die Möglichkeit, Konfigurationen für
Chipkarten zusätzlich einzuspielen. Diese Konfiguration sind Initialisierungsdateien, die festlegen, welcher Hash- und
Signaturalgorithmus für die jeweilige Signaturkarte verwendet wird.
Das OpenLimit SignCubes Integrity Tool kennt alle möglichen Konfigurationen für die Signaturalgorithmen und prüft bei der
rüfung auch die verwendeten Algorithmen. Wird eine Kartenkonfiguration gefunden, die nicht den Vorgaben
signieren sollen. In diesem Falle wird durch das Integrity Tool im Anschluss an die Übersicht der unterstützten
ECCOS-Karten der folgende Text generiert: „Das Modul ist so konfiguriert, dass SHA-1 für einige Karten gemäß obiger
als Signaturagorithmus zugelassen ist. Bitte prüfen Sie auf der Webseite der Bundesnetzagentur
ialisierungsdatei und stellt dabei fest, welcher Signaturalgorithmus für die verschiedenen SECCOS Karten
erwendet werden sollen. Die Übersicht der unterstützten SECCOS Karten enthält für die einzelnen Karten die Angabe des
peichert. Mindestens eine der beiden Dateien muss vorhanden sein, ansonsten wird die Integrität
der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 nicht bestätigt. Für die jeweilige Sprachressource müssen
auch die dazugehörige Hilfe und der Viewer vorhanden sein, ansonsten wird die Integrität ebenfalls nicht bestätigt.
Nach Bestätigung des Informationsfensters mit OK erhalten Sie die Liste der Dateien, die geprüft wurden und den
Dateistatus angezeigt.
Integritätsp
der Bundesnetzagentur entspricht, wird eine Warnung an den Benutzer generiert und angezeigt. Wird eine
Konfigurationsdatei gefunden, die unbekannt ist, wird dieser Zustand dem Benutzer angezeigt.
Beispiel 1:
Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool bildet den Hashwert
über die Initialisierungsdatei und stellt dabei fest, dass diese Datei festlegt, dass einige SECCOS Karten mit SHA-1 als
Hashwert
S
Übersicht
(http://www.bundesnetzagentur.de), ob mit dieser Konfiguration die Anforderungen an die qualifizierte Signatur erfüllt
werden."
Beispiel 2:
Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool bildet den Hashwert
über die Init
v
jeweils unterstützten Signaturalgorithmus. Im Anschluss an die Übersicht der unterstützten SECCOS Karten wird der
folgende Text generiert: "Informationen zu den jeweils verwendeten Signaturalgorithmen entnehmen Sie bitte obiger
Übersicht."
Hinweis: Die Sprachressourcen der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 sind in der deuSEMk.dll
bzw. der engSEMk.dll ges
73
Folgende Dateizustände werden unterschieden:
OK: Die Prüfung des Hashwertes ist positiv, d.h. die Datei entspricht der Originalinstallation.
Unbekannt: Das ist der Ausgangsstatus für alle Dateien vor der Prüfung. Dieser Status wird auch
angezeigt, wenn keine Prüfung möglich ist.
Datei verändert: Die Datei wurde nach der Installation verändert.
nicht installiert sind.
Datei nicht gefunden: Die Datei wurde nicht gefunden.
Datei nicht lesbar: Die Datei ist nicht lesbar und der Hashwert konnte nicht berechnet werden.
Nicht installiert: Dieser Status trifft nur für die optionalen Module zu, falls diese
Nach Anklicken des Button Speichern haben Sie die Möglichkeit, das Ergebnis der Prüfung zu speichern.
en werden, teilt Ihnen das
Programm dies mit einer entsprechenden Meldung mit. Die Integrität ist damit nicht bestätigt.
Schließen Sie das Browserfenster, um den Prüfprozess zu beenden.
Wurden Dateien bzw. Signaturen manipuliert, sind nicht vorhanden bzw. konnten nicht geles
74
Hinweis: Im Falle von Abweichungen vom Originalzustand der Installation müssen Sie den Rechner auf
sicherheitstechnische Veränderungen und Eingriffe prüfen.
Es wird empfohlen, dass Sie in diesem Falle die Software mit Hilfe des Installationsprogrammes deinstallieren und erneut
installieren. Falls die Verifikation des Zertifikates durch die JVM fehlschlägt oder andere Dialoge als die abgebildeten
angezeigt werden, insbesondere wenn eine andere Seriennummer für das Signaturzertifikat angezeigt wird, wird nicht das
korrekte Prüfprogramm ausgeführt. In diesem Falle dürfen Sie sich nicht auf die Statusaussagen des Tools verlassen und
müssen Ihre Installation der JVM sowie die URL, von der Sie das OpenLimit SignCubes Integrity Tool bezogen haben, mit
den Angaben im Handbuch vergleichen.
5.4 Sperrlistenaktualisierung
Die Sperrlistenaktualisierung ist ein Zusatzmodul zu den bestätigten Basiskomponenten und kann aus dem Menü des
Security Environment Managers gestartet werden. Im weiteren Verlauf wird dieses Zusatzprogramm als OpenLimit
SignCubes Sperrlistenaktualisierungsassistent bezeichnet.
Der folgende Abschnitt beschreibt die Benutzung des OpenLimit SignCubes Sperrlistenaktualisierungsassistenten im
Detail. Etwaige Fehlermeldungen des OpenLimit SignCubes Sperrlistenaktualisierungsassistenten sind im Kapitel
Fehlermeldungen OpenLimit SignCubes Security Environment Manager enthalten.
Um eine sichere Signaturprüfung zu gewährleisten, sollten Sie vor der Signaturprüfung die aktuellsten Sicherheitsdateien
herunterladen. Diese Sicherheitsdateien bestehen hauptsächlich aus Sperrlisten, aber auch die Public Key Directories der
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) sollten in
regelmäßigen Abständen aktualisiert werden. Sie haben als Benutzer die Möglichkeit, auszuwählen, welche Sperrlisten
heruntergeladen werden sollen. Sie können am Wurzelzertifikat der geprüften Signatur erkennen, welche Sperrliste Sie
verwenden müssen, um die Signatur korrekt zu prüfen. Als Arbeitsschritt empfiehlt es sich aber immer, vor der
eigentlichen Signaturprüfung stets alle Sperrlisten herunter zu laden, da Sie im Regelfall nicht wissen, von welchem
Zertifikat die zu prüfende Signatur erzeugt wurde und wie das zugehörige Herausgeberzertifikat lautet.
So laden Sie eine aktuelle Sperrliste herunter:
75
Klicken Sie auf das OpenLimit Icon in der Taskleiste.
Wählen Sie den Menüpunkt Sperrlistenaktualisierung.
rrlistenaktualisierungsassistent mit einer Startseite, Daraufhin öffnet sich der OpenLimit SignCubes Spe
die Sie mit Weiter bestätigen können.
Wählen Sie aus der Liste mit einem Klick in die Checkboxen die gewünschten Sicherheitsdateien aus.
76
Klicken Sie jetzt auf Weiter
Wenn Sie jetzt auf Starten klicken, werden die aufgelisteten Dateien aktualisiert. Mit einem Klick auf
Zurück können Sie die Auswahl noch einmal ändern.
Der Dateistatus gibt an, wie weit der Download der jeweiligen Datei fortgeschritten ist. Am Ende wird eine Liste mit
Ergebnissen erstellt.
Klicken Sie auf Fertig stellen
Hinweis: Um diese Dateien zu aktualisieren, benötigen Sie eine Internetverbindung. Konnte die Verbindung nicht
77
hergestellt werden, wird als Statusmeldung 'Fehler beim Download' angezeigt. Aktuelle Sperrlisten sind notwendig um
eine erfolgreiche Signaturprüfung vornehmen zu können. Wenn sie die Sperrlisten nicht aktualisieren, können Sie auch
Internetoptionen/Internetverbindungen vorgenommen
keine Signaturen bzw. das verwendete Signaturzertifikat und die Zertifikatskette als gültig verifizieren.
Hinweis: Die Sperrlistenaktualisierung kann über Proxy - Server erfolgen. Voraussetzung dafür ist, dass die
entsprechenden Einstellungen über den Internetexplorer/Extras/
wurden. (Eine automatische Konfiguration ist nicht vorgesehen.)
Falls eine Anmeldung über User und Passwort erforderlich ist, sind die folgenden Einstellungen notwendig:
Öffnen Sie die Datei siqSOL.ini in dem Ordner C:\Programme\OPENLiMiT\Data mit einem beliebigen Editor.
78
Entfernen Sie vor der Bezeichnung User= und Pass= jeweils das Semikolon und tragen Ihre Zugangsdaten für den Proxy -
Server ein.
5.5 Arbeiten mit dem OpenLimit SignCubes Viewer
Der OpenLimit SignCubes Viewer kann aus dem Signaturanforderungsdialog und bei der Signaturprüfung (PKCS#7 Dateien)
jeweils über den Button Daten anzeigen gestartet werden, vorausgesetzt es handelt sich um Daten im PDF, TIFF oder TXT
Format und die Anzeige dieser Dateiformate wurde durch einen entsprechenden Lizenzcode freigeschaltet. In diesem Fall
werden Ihnen die Daten, die Sie signieren bzw. deren Signatur Sie prüfen wollen, angezeigt. Die Schaltflächen zur
Signaturerzeugung und Signaturverifikation sind nicht aktiv.
Darüber hinaus kann der OpenLimit SignCubes Viewer als separates Programm über Start - Programme - OpenLimit
SignCubes - OpenLimit SignCubes Viewer gestartet werden. Beim Start über den Programmordner wird das Programm ohne
Datei geöffnet.
79
Nachdem eine Datei geöffnet wurde, sehen Sie im linken Bereich der Anzeige unter dem OpenLimit Logo eine
Dateivorschau, welche Ihnen die einzelnen Seiten des Dokuments mit der Seitennummer anzeigt. Mit einem Klick auf die
jeweilige Vorschauseite springt die Seitenansicht im rechten Bereich der Anwendung auf die angewählte Seite. Im
dargestellten Beispiel umfasst die TIFF Datei nur eine Seite.
80
Nach Anklicken des Registers Unterschriften erhalten Sie Detailinformationen zu der bzw. den Signaturen der Datei. Ist die
Datei nicht signiert, wird der Hinweis "Das Dokumment ist nicht digital signiert" angezeigt.
Der OpenLimit SignCubes Viewer stellt Ihnen die folgenden Toolbars zur Verfügung.
81
Die Toolbar Standard:
Die folgenden Funktionen können über diese Toolbar angesprochen werden:
Datei öffnen: Hier können Sie eine TIFF oder Textdatei in die Ansicht laden.
Datei speichern unter: Hier können Sie die Datei unter einem beliebigen Namen speichern.
Seitenansicht: Es wird eine Druckvorschau generiert.
: Es werden in Abhängigkeit von dem geöffneten Dateiformat weitere Dateiinhalte
a
n angezeigt.
Hilfe: Es wird die Benutzerdokumentation (dieses Handbuch) geöffnet
immer im Verhältnis 1:1 dargestellt.
Drucken: Hier können Sie die Datei ausdrucken.
Dateiinhalt
ngezeigt.
Info: Es werden die Versionsinformation und die Copyright Informatione
Die Toolbar Ansicht:
Diese Toolbar ist nur bei TIFF Dateien aktiv. Textdateien werden
Breite anpassen: Das dargestellte Bild wird an die Breite des Fensters angepasst.
Alles darstellen: Das dargestellte Bild wird so in das Fenster eingepasst, dass die gesamte Seite in dem
Fenster dargestellt wird.
Pixelgenau darstellen: Das Bild wird 1:1 pixelgenau dargestellt.
Schwarz/Weiß Darstellung: als Farb- oder
Graustufendarst
Originaldarstellung: Wenn Sie von der Option zur Schwarz/Weiß Darstellung oder der
endarstellung Gebrauch gemacht haben, kommen Sie hier wieder zur Originalansicht.
atur:
nn das Programm nicht aus dem Signaturanforderungsdialog gestartet wurde.
Benutzerdefiniert darstellen: Es erscheint ein Dialog, der Ihnen die Auswahl eines Zoomverhältnisses zwischen 10% und
300% ermöglicht.
Sie haben hier die Möglichkeit, ein TIFF-Dokument, welches
ellung vorliegt, in eine Schwarz/Weiß Darstellung zu transformieren.
Graustufendarstellung: Das aktuelle TIFF-Dokument wird in Graustufen dargestellt.
Graustuf
Die Toolbar Sign
Diese Toolbar ist nur dann aktiv, we
82
Signatur erzeugen: Hier können Sie über den OpenLimit SignCubes Security Environment Manager die angezeigte Datei
ons für weitere Anwendungen angezeigt
r
elektronisch signieren.
Signatur prüfen: Hier können Sie über den OpenLimit SignCubes Security Environment Manager eine
Prüfung der elektronischen Signatur vornehmen.
In Abhängigkeit von den zur Verfügung stehenden Funktionalitäten können Butt
werden wie z.B. dem Mailversand.
Hinweise für den Umgang mit Meldungen während der Dokumentanalyse:
Wenn ein Dokument durch den OpenLimit SignCubes Viewer geöffnet werden soll, untersucht de
OpenLimit SignCubes Viewer dieses Dokument nach versteckten Inhalten. Der folgende Abschnitt
zeigt Ihnen, wie Sie mit einer solchen Meldung umgehen können.
Wenn Sie eine TIFF - Datei in den OpenLimit SignCubes Viewer laden, kann die folgende Meldung erscheinen.
war inhaltlich korrekt ist, aber Datenfelder enthält, die in der Darstellung
SignCubes Viewer gibt Ihnen die Möglichkeit, diese Datenbereiche ebenfalls zu
untersuchen, klicken Sie auf:
in der Toolbar
sicht - weitere Dateiinhalte...
Diese Meldung bedeutet, dass die TIFF Datei z
nicht angezeigt werden. Der OpenLimit
untersuchen. Um diese Bereiche zu
das Symbol für weitere Dateiinhalte
oder den Menüpunkt An
Ihnen wird dann ein Dialog angezeigt, der Ihnen sämtliche Informationen zu den angezeigten Dateiinhalten liefert.
83
Sie können sich z.B. in einer TIFF-Datei alle Tags, nur Text Tags oder auch nur die unbekannten Tags anzeigen lassen. In
dem unteren Fenster wird dieser Bereich dann Hexadezimal kodiert dargestellt bzw. Sie können die Darstellung auch auf
Dezimalzahlen umschalten. Wenn Sie den Scrollbalken des Fensters nach unten bewegen, sehen Sie einen Bereich, in dem
versucht wird, die enthaltenen Informationen als Text darzustellen. Dies gibt Ihnen die Möglichkeit, verborgene Inhalte zu
erkennen und z.B. zu entscheiden, ob Sie die Datei trotz dieser Inhalte signieren möchten. Häufig enthalten TIFF-Dateien
noch Zusatzinformationen, wie einen Autor. Diese Informationen werden in der Bildverarbeitung oft nicht mit dargestellt.
Mit der Analyse durch den OpenLimit SignCubes Viewer haben Sie trotz allem noch die Möglichkeit, auch diese verborgenen
Inhalte zu betrachten.
Hinweis: Die Untersuchung der verwendeten TIFF-Dateien richtet sich an der Adobe TIFF-Spezifikation 6.0 aus. Wenn TIFF-
Dateien verwendet werden, die nicht dieser Spezifikation entsprechen, kann das gelieferte Produkt diese Dateien nicht
analysieren und korrekt als TIFF Datei erkennen.
Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2 beschrieben.
Untersuchung von TIFF-Dokumenten in der Schwarz-Weiß Darstellung
Das folgende Beispiel erklärt Ihnen, wie Sie versteckte Inhalte in TIFF-Dokumenten erkennen können, die auf Grund
unzureichender Kontrastierung in der Ansicht nicht erscheinen. Sie laden eine Grafik mit dem OpenLimit SignCubes Viewer,
die im ersten Schritt wie folgt dargestellt wird.
84
Im nächsten Schritt sollten Sie grundsätzlich eine Untersuchung der dargestellten Grafik vornehmen, da auf Grund zu
geringer Farbkontraste enthaltene Informationen bei der Darstellung am Monitor verloren gehen können. Sie klicken auf
den Knopf zur Schwarz/Weiß Darstellung und sehen den folgenden Dialog.
Sie können nahtlos die Einstellung festlegen, ab welchem Punkt die Farbwerte der Farbe Schwarz zugeordnet werden. Sie
bewegen den Schieberegler bis auf eine volle Schwarz-Weiß Darstellung und können somit den Inhalt der Datei nun
genauer untersuchen. Damit haben Sie grundsätzlich die Möglichkeit, jede farbige Grafik auf verdeckte Inhalte hin zu
untersuchen. Nachdem Sie die Einstellungen vorgenommen haben, klicken Sie auf OK. In der folgenden Darstellung
erkennen Sie nun den Inhalt, der auf Grund der unzureichenden Farbkontraste des Monitors sonst nicht sichtbar gewesen
wäre.
85
Sie haben mit Hilfe des OpenLimit SignCubes Viewers den versteckten Inhalt entdeckt und sollten von der Erzeugung einer
elektronischen Signatur absehen.
Grundsätzlicher Hinweis: Der OpenLimit SignCubes Viewer kann Sie nicht von der Interpretation der angezeigten Daten
befreien. Das TIFF Format ist kein Dateiformat, welches eine Interpretation des dargestellten Inhaltes durch ein Programm
wie den OpenLimit SignCubes Viewer zulässt. Die Untersuchung der Daten auf versteckte Inhalte wird Ihnen durch diesen
Produktbestandteil ermöglicht, allerdings müssen Sie selbst solche Untersuchungen mit Hilfe der vorhandenen
Mechanismen vornehmen. Das TIFF-Format sieht die Verwendung bestimmter Kompressionsformate innerhalb einer TIFF-
Datei vor. Die sichere Anzeigeeinheit erkennt nicht alle Kompressionsformate und kann daher auch nicht alle
Kompressionsformate anzeigen. In diesem Falle wird die Textmeldung angezeigt: 'Das Format der Datei ist nicht geeignet'.
Um Inhalte, wie Sie in dem obigen Szenario erläutert wurden, sicher zu erkennen, müssen Sie bei farbigen TIFF-
Dokumenten immer eine Analyse in der Schwarz/Weiß Darstellung vornehmen. Sie könnten sonst ein Dokument signieren,
welches Sie in seinem Inhalt nicht bereit wären, zu signieren.
Hinweis bei der Analyse von Text-Dateien
Bei der Analyse von Textdokumenten kann der OpenLimit SignCubes Viewer melden, dass Zeichen erkannt wurden, für die
keine eindeutige Darstellung definiert ist. Das bedeutet, dass Zeichen erkannt wurden, die sowohl im OEM Schriftsatz als
auch im ANSI Schriftsatz eine unterschiedliche Bedeutung haben.
86
Wenn Sie sich nicht sicher sind, ob dadurch der Inhalt eines Textdokuments verfälscht wird, können Sie sich ebenfalls
unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar Klarheit verschaffen. Die folgende Grafik zeigt,
wie die Analyse solcher mehrfach belegten Zeichen im Detail dargestellt wird.
87
Ihnen wird angezeigt, welche Zeichen wie oft erkannt wurden. Wenn Sie auf ein Zeichen in der Liste klicken, wird Ihnen zu
jedem Vorkommen des Zeichens angezeigt, in welcher Zeile und Spalte des Dokuments dieses Zeichen gefunden wurde. So
können Sie sich Klarheit verschaffen, ob das Dokument immer noch den Inhalt hat, den Sie auch bereit sind, zu signieren.
Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2 beschrieben.
Bei dem Öffnen einer PDF Datei mit dem OpenLimit SignCubes Viewer kann der folgende Hinweis auftreten:
Damit werden Sie darauf hingewiesen, dass in der PDF Datei Java Scripte enthalten sind. Diese werden in dem OpenLimit
SignCubes Viewer nicht ausgeführt. In dem darauf folgenden Fenster erhalten Sie den Hinweis auf "Weitere Dateiinhalte",
die Sie sich über Ansicht Weitere Dateiinhalte ansehen können.
Unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar haben Sie die Möglichkeit, sich weitere
Dateiinhalte zu dem geöffneten PDF Dokument anzeigen zu lassen:
88
Allgemein: Es werden Ihnen in zusammengefasster Form die wichtigsten Dateiinhalte aufgelistet.
Bilder: Zeigt an, welche Bilder auf welcher Seite zu finden sind.
Java Script: Gibt Ihnen eine Auflistung der in dem PDF enthaltenen Java Scripte und dazu weitere Detailinformationen.
Kommentare: Es werden die Kommentare des PDF mit ihrer Position aufgelistet.
Alle Texte: Unter diesem Register werden alle in dem PDF enthaltenen Texte getrennt nach den einzelnen Seiten
dargestellt.
Viewer Meldungen: In diesem Register werden Ihnen weitere Prüfdetails als Hinweis angezeigt.
Schriften: Es werden die in dem PDF verwendeten Schriftarten aufgezeigt.
Annotationen: Es werden Zusatzinformationen zu in dem PDF enthaltenen Formularfeldern angezeigt.
Wählen Sie das Register Allgemein erhalten Sie solche Informationen zu dem PDF wie Dateiname, enthaltene Java Scripte
sowie Bilder und die Kopfdaten des PDF angezeigt.
89
Wählen Sie in dem Register Bilder ein Bild aus und klicken die Schaltfläche Zeigen an, erhalten Sie eine Liste aller in dem
PDF enthaltenen Bilder, die Sie sich fortlaufend anzeigen lassen können.
90
Die in der PDF Datei enthaltenen Java Scripte werden Ihnen unter dem Register Java Script angezeigt:
Über das Register Alle Texte werden die in der PDF Datei enthaltenen Texte getrennt nach den einzelnen Seiten
zusammengefasst.
91
Nach Klicken auf die Schaltfläche Zeigen erhalten Sie die Textinformation in dem Textextraktionsdialog übersichtlich
angezeigt:
Unter dem Register Viewer Meldungen werden Ihnen weitere Detailinformationen angezeigt, die sich aus der Prüfung der
Daten bei der Erstellung der Ansicht im Viewer ergeben haben.
Hinweis: Achten Sie darauf, welche Fonts vom Viewer zur Darstellung der Texte verwendet werden. Es ist möglich, dass bei
92
der Erzeugung des PDF Dokuments Fonts verwendet wurden, die auf Ihrem Betriebssystem nicht installiert sind. In diesem
Falle muss der Viewer diese Fonts durch andere, ähnliche Fonts ersetzen. Verwenden Sie zur Prüfung von Texten immer
den Text-Extraktionsdialog (Registerkarte: Alle Texte, Button: Anzeigen) um sich über den dargestellten Text zu
vergewissern.
Unter dem Register Schriften werden Ihnen die in der PDF Datei verwendeten Schriftarten angezeigt mit der Information,
ob diese Schriftart in der Datei eingebettet ist oder vom Betriebssystem zugeladen wird.
Unter dem Register 'Annotationen' werden Ihnen weitere Zusatzinformationen angezeigt, die in der PDF Datei
93
Formularfeldern hinzugefügt sind.
Hinweis: Verschiedene Grafik-Programme bieten die Möglichkeit, Vektor Grafiken zu erstellen und diese in ein PDF
Dokument einzubetten. Der Viewer bietet nicht die Möglichkeit, solche Vektor Grafiken (oder auch so genannte Splines) zu
extrahieren und separat darzustellen oder zu untersuchen. Wenn Sie ein PDF Dokument mit Text signieren wollen,
vergewissern Sie sich vorab immer über den Text-Extraktionsdialog über den vorhandenen Text. Wenn in diesem Dialog
nicht der gesamte Text erscheint, der vermeintlich in dem PDF Dokument vorhanden ist, ist dieser fehlende Text eine
Vektorgrafik. Solche Dokumente sollten Sie auf keinen Fall signieren!
Hinweis: Der OpenLimit SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen. Die PDF Dokumente
entsprechen der PDF 1.7 Spezifikation. Die Abweichungen von dieser Spezifikation wurden bereits im Kapitel
Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 aufgeführt. Das TIFF Dokument
kann eine mehrseitige TIFF Datei (Multipage-TIFF) sein. TXT Dokumente müssen den Regeln für Textdokumente
entsprechen. Diese Syntaxprüfung ist auch bei Dokumenten im Rich Text Format (RTF) oder bei HTML-Quellcode
erfolgreich. Die generierte Ansicht entspricht dabei immer dem Dokumentquellcode, d.h., eine Interpretation der
Dateiinhalte, wie sie z.B. bei HTML Dokumenten von einem Browser vorgenommen wird, kann nicht geleistet werden.
Hinweis: Wenn Sie sich nach der Anzeige durch den OpenLimit SignCubes Viewer hinsichtlich der zu signierenden Daten
nicht sicher sind, dann sollten Sie diese Daten nicht signieren.
5.6 Signaturerzeugung
Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bietet Ihnen die Möglichkeit, eine qualifizierte
Signatur nach dem deutschen Signaturgesetz zu erstellen. Es können aber auch fortgeschrittene und andere Signaturen
erzeugt werden. Im Signaturgesetz werden verschiedene Anforderungen an eine qualifizierte Signatur gestellt. So muss
der Benutzer z.B. die Möglichkeit haben, die zu signierenden Daten in einer geeigneten Darstellungsform zu betrachten.
Diese Möglichkeit wird Ihnen in dem Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 über den
OpenLimit SignCubes Viewer eingeräumt.
94
Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 ist für den Umgang mit den im Kapitel
Chipkarten aufgelisteten Smartcards bestimmt. Sie müssen bei der Signaturerzeugung immer darauf achten, dass Sie das
richtige Zertifikat für die Signaturerzeugung verwenden.
Es ist technisch ohne weiteres möglich, Signaturen mit beliebigen Zertifikaten zu erzeugen. Um eine qualifizierte Signatur
zu erzeugen, müssen Sie immer ein Zertifikat verwenden, dessen Eigenschaften ausdrücklich darauf verweisen, dass es für
die Erzeugung unabweisbarer elektronischer Signaturen vorgesehen ist. Diese Eigenschaften werden Ihnen beim
Zertifikatsauswahldialog unter Verwendungszweck (Zulässige allgemeine Zwecke) angezeigt.
Weiterhin können Sie sich mit einem Klick auf den Button Details ... die Eigenschaften des Zertifikates im
Zertifikatseigenschaftendialog anzeigen lassen.
Die angezeigten Zertifikatseigenschaften sind in der folgenden Abbildung enthalten:
Klicken Sie auf OK, um diesen Dialog wieder zu schließen. Um eine Signatur zu erzeugen, haben Sie mit den OpenLimit
SignCubes Basiskomponenten 2.5, Version 2.5.0.2 mehrere Möglichkeiten. Wenn Sie z.B. eine Signatur über den OpenLimit
SignCubes Viewer erzeugen, klicken Sie auf das Symbol 'Signatur erzeugen' oder wählen den entsprechenden Menüpunkt.
95
Anschließend erscheint das folgende Fenster:
Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt.
Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitere Detailinformationen, wie z.B. der
verwendete Kartenleser, das Zertifikat und die erforderliche PIN, angezeigt werden.
Es erfolgt sofort die Aufforderung zur PIN Eingabe.
Klicken Sie auf den Button Details, so erscheint das Signaturanforderungsfenster, in dem Ihnen weitere
Detailinformationen angezeigt werden. Nach dem Sie in diesem Fenster auf Signatur erzeugen geklickt
haben, erscheint die Aufforderung zur PIN Eingabe.
96
Die folgenden Informationen sind in dem Signaturanforderungsdialog enthalten:
Anwendung: Enthält den Namen der Anwendung sowie den Pfad der Anwendung. Hier können Sie
jederzeit erkennen, mit welcher Anwendung eine elektronische Signatur erzeugt werden soll.
Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. Mit dem Knopf Zertifikat
anzeigen können Sie sich das Zertifikat jederzeit anzeigen lassen.
t die Bezeichnung der Karte an. Zusätzlich wird die Nummer der eingelegten Karte
angezeigt.
Sie diese Kategorie sorgfältig,
damit Sie
n anzeigen
e Daten signiert wurden, erscheint ein
ert wurden.
Karte: Zeig
Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen
bei Karten mit mehreren PIN's nicht die falsche PIN eingeben.
Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an.
Daten: Zeigt an, welche Datei signiert werden soll. Mit einem Klick auf den Knopf Date
können Sie wiederum den OpenLimit SignCubes Viewer starten, um die Daten zu betrachten.
Mit einem Klick auf den Knopf Signatur erzeugen können Sie jetzt die elektronische Signatur erzeugen. Beachten Sie bitte,
dass automatisch die sichere PIN-Eingabe gestartet wird. Wenn di
Informationsfenster, welches Ihnen mitteilt, dass die Daten signi
Hinweis: Wenn Sie automatisch eine OCSP-Antwort und/oder einen Zeitstempel während der Signaturerzeugung einbinden,
sollten Sie nach der Signaturerstellung die Signatur prüfen und sich die Einzelheiten der OCSP-Antwort und des
eingeholten Zeitstempels anzeigen lassen. Die Gültigkeit der OCSP-Antwort und des Zeitstempels werden erst dann auf
zusätzliche OpenLimit Anwendung. Wenn
dieser Modus aktiviert wird, erscheint der folgende Signaturanforderungsdialog.
Sperrlistenbasis vollständig geprüft, wenn Sie sich die Eigenschaften der eingebundenen Daten anzeigen zu lassen.
Hinweis: Die OpenLimit SignCubes Basiskomponenten bieten die Möglichkeit, mehrere Dateien in einem Durchgang zu
signieren. Damit Sie diesen Modus verwenden können, benötigen Sie jedoch eine
97
In diesem Falle wird der Button Daten anzeigen in Abhängigkeit von der ausgewählten Datei aktiviert.
Hinweis: Die Aktivierung des Mehrfachsignaturmodus erkennen Sie an der Dateiauswahlliste. Wenn Sie diesen Dialog sehen,
können Sie mit einem Klick auf den Pfeil die Dateiauswahlliste aufklappen und erkennen, welche Dateien signiert werden
sollen.
Wenn der Signaturvorgang gestartet wird, erscheint ein Fortschrittsdialog, der Sie über die aktuell zu signierende Datei
informiert. Wenn Sie den Button Abbrechen drücken, werden alle bis zu diesem Zeitpunkt erzeugten Signaturdateien
wieder verworfen.
Hinweis: Da Sie in diesem Modus mehrere Dateien in einem Durchgang signieren können, sollten Sie sich stets über Inhalt
aller zu signierenden Daten vergewissern.
5.7 Attributzertifikate
Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten dem Anwender die Möglichkeit, der elektronischen
Signatur mit dem Signaturzertifikat zusätzliche Attributzertifikate hinzuzufügen.
Dazu wird in dem OpenLimit SignCubes Security Environment Manager die Option Attributzertifikate automatisch
mitsignieren eingestellt. Im Ergebnis dessen wird bei jeder Signaturerstellung das zu dem Signaturzertifikat zugehörige
Attributzertifikat bzw. die Attributzertifikate (es sind auch mehrere möglich) hinzugefügt.
98
Klicken Sie in der Task-Leiste auf das OpenLimit Symbol, wählen Sie den Menüpunkt Einstellungen und
setzen für Attributzertifikate automatisch mitsignieren den Haken.
99
Bei der Signaturerstellung mit dieser eingestellten Option erfolgt die Integration des Attributzertifikats
automatisch.Voraussetzung dafür ist, dass die Datei des Attributzertifikats in dem Verzeichnis Eigene
Dateien\AttributeCertificates abgelegt ist und zum Signaturzertifikat gehört.
Die Informationen des Attributzertifikats werden bei der Signaturprüfung zusätzlich zu den Daten des Signaturzertifikats
angezeigt. Starten Sie dazu die Signaturprüfung
100
Klicken Sie auf das Register mit dem Namen (Unterzeichner).
Klicken Sie auf den Button Details und wählen anschließend in dem Fenster das Register Details aus:
101
102
Nach Auswahl des Feldes Beschränkung wird Ihnen in der unteren Hälfte des Fensters der Inhalt des Attributzertifikats angezeigt.
Hinweis: Das Verzeichnis Eigene Dateien/AttributeCertificates wird durch den OpenLimit SignCubes Security Environment
Manager automatisch beim ersten Einlesen einer Smartcard angelegt. Die Attributzertifikate müssen in diesem Verzeichnis
abgelegt sein.
In dem Fall, dass Sie als Anwender ein anderes Verzeichnis für die Attributzertifikate definieren wollen, können Sie dies
über die Verzeichniseinstellungen des OpenLimit SignCubes Security Environment Managers vornehmen. Weitere
Informationen dazu finden Sie in dem Abschnitt Option: Verzeichnisse.
5.8 Zeitstempeldienste
Mit dem in den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bereitgestellten Zeitstempeldienst haben Sie
die Möglichkeit, sich die Zeitstempelinformationen, die Daten hinzugefügt wurden, anzeigen zu lassen und dessen Signatur
zu prüfen. Starten Sie dazu die Signaturprüfung:
103
Klicken Sie auf die Schaltfläche Details.
104
Klicken Sie auf die Schaltfläche Details.
105
Starten Sie den Befehl Details. In dem folgenden Fenster wird unter dem Register Zusammenfassung
das Ergebnis der Signaturprüfung zu der angeführten Prüfzeit dargestellt. Unter dem Register TSP-
Details erhalten Sie weitere Einzelinformationen.
106
Wenn Sie auf den Registerkartenreiter TSP-Details klicken, werden Ihnen detaillierte Informationen zum Zeitstempel
angezeigt.
Wenn Sie auf den Knopf 'Signatur-Zertifikat anzeigen' klicken, wird Ihnen das Zertifikat angezeigt, welches den
Zeitstempel unterzeichnet hat. Zudem wird Ihnen die komplette Zertifikatskette zu diesem Zertifikat angezeigt. Sie sollten
immer die Gültigkeit des Zertifikats, mit dem der Zeitstempel signiert ist, prüfen.
Wenn Sie mit dem Produkt einen Zeitstempel abholen, sollten Sie immer das unterzeichnende Zertifikat des Zeitstempels
überprüfen um sicherzustellen, dass Sie vom beabsichtigten Zeitstempeldienst eine Antwort erhalten haben. Das Produkt
kann die Quelle des Zeitstempels nicht garantieren, die Prüfung mit Hilfe des Zertifikates muss von Ihnen durchgeführt
werden. Sie müssen in jedem Fall selbst entscheiden, ob Sie dem Zeitstempel vertrauen.
Hinweis: Wenn in der PKCS#7 Signaturdatei bzw. in der XML-Signatur ein Zeitstempel vorhanden ist, wird Ihnen
automatisch auch das Ergebnis der Gültigkeitsprüfung der Signatur zu dem Zeitpunkt mitgeteilt, der durch den Zeitstempel
angegeben wird.
Hinweis: Die Funktion des Zeitstempeldienstes kann nur dann genutzt werden, wenn am PC eine Internetverbindung zu
dem Zeitstempeldiensteanbieter besteht.
5.9 XML Signaturen
Die Erzeugung von XML-Signaturen bzw. die Verifikation von XML-Signaturen kann grundsätzlich nur über
Drittanwendungen aktiviert werden, die wiederum auf die Funktionen der OpenLimit SignCubes Basiskomponenten 2.5,
Version 2.5.0.2 zugreifen. Damit stehen dem Anwender für die Signaturerzeugung von XML-Signaturen auch die
Zeitstempeldienste, das Einbinden der OCSP - Anfrage und vorhandener Attributzertifikate zur Verfügung.
107
Signaturerzeugung für XML Daten
Wird über die Drittanwendung die Signaturerzeugung gestartet, erscheint der folgende Signaturanforderungsdialog:
Nach Anklicken des Button Daten anzeigen werden die folgenden Informationen angezeigt:
Nach Anklicken des Button Details wird der OpenLimit SignCubes Viewer gestartet und die ausgewählten Daten werden
angezeigt. Es sind nicht die referenzierten Daten sondern der XML-Datenstrom:
108
Verifizieren von XML-Signaturen
Wird über die Drittanwendung die Signaturverifikation gestartet, erscheint das folgende Informationsfenster:
Nach Anklicken des Button Details werden die folgenden Informationen angezeigt:
109
Nach Anklicken des Button Details wird der OpenLimit SignCubes Viewer geöffnet und die ausgewählten Daten werden
angezeigt:
110
6. Arbeitsabläufe
Die Arbeitsabläufe unter den verschiedenen Modulen der OpenLimit SignCubes Software sind immer wieder die selben.
Deshalb beschreiben wir in diesem separaten Kapitel nur die immer wiederkehrenden Abläufe. Wie diese gestartet oder
angesteuert werden, können Sie in dem Abschnitt unter Arbeiten mit den OpenLimit SignCubes Basiskomponenten 2.5.0.2
nachlesen.
6.1 Dateiformate
Die OpenLimit SignCubes 2.5 Software speichert Daten in verschiedenen Dateiformaten ab. Das Format können Sie über
den OpenLimit SignCubes Security Environment Manager einstellen. Standardmäßig wird bei der Installation der Software
das Format so eingestellt, dass die Signaturdatei und die Originaldaten in einer Datei gespeichert werden.
p7s - Fomat
*.p7s Dateien sind PKCS#7-Daten: Es handelt sich dabei um eine abgesetzte Signatur (detached signature). Das heißt, die
signierten Daten und die Signatur sind in zwei getrennten Dateien gespeichert. Diese Vorgehensweise hat den Vorteil, dass
man sich die Originaldaten mit dem dazugehörigen Programm ansehen kann. Solange diese nicht geändert werden, bleibt
auch die Signatur gültig. Die Signatur ist mit der Originaldatei durch den selben Dateinamen verbunden. Wenn Sie eine p7s
Datei mit einem Doppelklick öffnen, wird automatisch die Signaturprüfung gestartet.
p7m - Format
*.p7m Dateien sind PKCS#7-Daten: Dahinter können sich signierte, verschlüsselte oder signierte und verschlüsselte Daten
verbergen.
Signierte bzw. signierte und verschlüsselte p7m-Dateien liegen als Verbund-Dateien vor. Das heißt, die Datei beinhaltet
sowohl eine oder mehrere Signaturen im p7s-Format als auch die Originaldaten, welche signiert oder signiert und
verschlüsselt wurden. Wenn Sie eine p7m-Datei doppelklicken, wird die Datei entschlüsselt, sofern sie verschlüsselt war.
Anschließend wird die Signaturprüfung gestartet, sofern eine Signatur vorhanden ist.
111
Hinweis: Verschlüsselte Daten werden immer als *.p7m Datei gespeichert. Bei Signaturen mit der OpenLimit SignCubes
Shell Extension können Sie zwischen p7s (Daten und Signatur getrennt) oder p7m (Daten und Signatur in einer Datei)
wählen, indem Sie die Einstellungen ändern.
ors - Format
*.ors Dateien sind Online-Statusabfragen zu Zertifikaten. Der Status eines Zertifikats kann bei der Signaturerstellung oder
- prüfung vom Trustcenter abgefragt werden und gibt eine Aussage über die Gültigkeit des Zertifikats.
tsr - Format
*.tsr Dateien sind Zeitstempelinformationen. Zur Erzeugung von Zeitstempeln benötigt der User einen speziell
freigeschalteten Zugriff auf einen Zeitstempel-Dienst. Ein Zeitstempel gibt eine Aussage darüber, dass gewisse Daten zu
einem bestimmten Zeitpunkt existiert haben. Dies wird durch eine digital signierte Bescheinigung einer
Zertifizierungsstelle bestätigt.
crl - Format
*.crl - Dateien sind Sperrlisten: Durch Anklicken mit der rechten Maustaste wird die Sperrliste geöffnet und Sie können
sich weitere Details zu einzelnen Zertifikaten anzeigen lassen.
cer - Format
*.cer - Dateien sind Zertifikatsdateien: Mit einem Doppelklick haben Sie die Möglichkeit, sich dieses Zertifikat anzeigen zu
lassen.
6.2 Signieren
Die OpenLimit SignCubes Software bietet Ihnen verschiedene Möglichkeiten, qualifizierte Signaturen nach deutschem
Signaturgesetz zu erstellen. Es können aber auch fortgeschrittene oder andere Signaturen erstellt werden.
112
Unabhängig davon, aus welchem Modul heraus Sie den Vorgang der Signaturerzeugung starten, ist der nachfolgend
beschriebene Ablauf immer gleich:
Datei signieren
Nach dem Start der Signaturerzeugung öffnet sich das folgende Fenster:
Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt.
Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitere Detailinformationen, wie z.B. der
verwendete Kartenleser, das Zertifikat und die erforderliche PIN, angezeigt werden. Es erfolgt sofort die Aufforderung zur
PIN Eingabe.
Klicken Sie auf den Button Details, so erscheint das nachfolgende Signaturanforderungsfenster, in dem Ihnen weitere
Detailinformationen angezeigt werden.
Hier sehen Sie das Zertifikat, welches zur Signaturerzeugung verwendet wird, die Karte, die erforderliche PIN, den
Kartenleser und die zu signierenden Daten.
Vor der Signaturerzeugung solllten Sie sich im Fall von Daten im TXT, TIFF oder PDF Format über Daten anzeigen die zu
signierenden Daten im OpenLimit SignCubes Viewer anzeigen lassen, um sicher zu sein, welche Daten Sie tatsächlich
signieren. Klicken Sie dazu auf den Button Daten anzeigen.
Nach dem Sie in diesem Fenster auf Signatur erzeugen geklickt haben, erscheint die Aufforderung zur PIN Eingabe.
Je nach Kartenleser erscheint nun eine unterschiedliche Meldung.
geben Sie die PIN auf der Tastatur des Kartenlesers ein, eventuell müssen Sie diese mit OK bestätigen.
Anschließend erscheint ein Fenster mit der Meldung, dass die Daten signiert wurden.
113
Sollte hier ein Fenster mit der Meldung erscheinen, dass die eingegebene Signatur-PIN zurückgewiesen wurde, dann
bedeutet das, dass Sie eine falsche PIN eingegeben haben.
6.3 Signatur prüfen
Die Prüfung einer Signatur erfordert Sorgfalt und Umsicht. Folgende Punkte sollten geprüft werden:
Ist das Dokument wirklich unverändert?
Ist der Signaturinhaber echt?
Ist das Zertifikat nicht gesperrt?
Einige Teile der Prüfung werden automatisch von der Software vorgenommen. Ob aber einem Zertifikat vertraut werden
kann, liegt in der Entscheidung des Benutzers. Qualifizierte Signaturen nach dem deutschen Signaturgesetz lassen sich
lückenlos zurückverfolgen bis zur Bundesnetzagentur. Das Herausgeberzertifikat der Bundesnetzagentur ist in die
Software integriert. Dieser Zertifizierungspfad muss mathematisch korrekt und lückenlos sein. Aber auch andere
Wurzelzertifikate können im Betriebssystem als vertrauenswürdig definiert werden.
Deshalb bleibt es grundsätzlich dem Benutzer überlassen, welchen Zertifikaten er vertraut und welchen nicht.
Weitere Information zu den Abläufen der Signaturprüfung und der Public Key Infrastruktur finden Sie unter Grundlagen der
elektronischen Signatur.
114
6.3.1 Zusammenfassung
Nachdem Sie auf Signatur Prüfen geklickt haben, erscheint der Dialog Details zur Signaturprüfung:
In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oder mathematisch korrekt
ist.
Ist eine Signatur ungültig, dann wurden die Daten verändert. Dieser Signatur können Sie nicht vertrauen.
Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde. Außerdem wurde auch
die Signatur an sich nicht manipuliert. Empfehlenswert ist es in diesem Fall, eine OCSP Abfrage durchzuführen und sich auf
diesem Weg die Gültigkeit der Signatur bestätigen zu lassen. Dazu wählen Sie den Register mit dem Namen des
Signaturinhabers.
6.3.2 Details
Nach Anklicken des Registers mit dem Namen des Signaturinhabers wird Ihnen folgendes Fenster angezeigt.
115
Im Einzelnen erhalten Sie folgende Informationen:
Hashwertprüfung: Hier wird die Integrität der Daten überprüft. Ist die Hashwertprüfung positiv,
bedeutet dies, dass die Daten seit dem Signieren nicht verändert wurden. Negativ bedeutet, dass die
Daten verändert wurden - in diesem Fall ist die Signatur ungültig. Wird als Zusatzinformation ein
Hinweis angezeigt, dass die Signatur als ungeeignet eingestuft wird, dann bedeutet das, dass für die
Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung
qualifizierter Signaturen nicht zulässig ist.
Prüfung von Signatur und Zertifizierungspfad: Hier wird angegegeben ob, eine Beschädigung der
Signatur vorliegt und ob der Zertifizierungspfad vollständig ist.
d die Zeit angegeben, die auf dem Rechner zum
Zeitpunkt der Signaturerzeugung eingestellt war.
ats angegeben. Weiterhin wird der für
s Herunterladen von aktuellen Sperrlisten oder eine
rüfung): Anhand von Sperrlisten wird geprüft, ob das Zertifikat
zum Zeitpunkt der Prüfung gültig war.
Zeitpunkt der Signaturerzeugung (Systemzeit): Hier wir
Vertrauensbasis: Hier wird die Vertrauenswürdigkeit des Zertifik
die Signaturprüfung verwendete Algorithmenkatalog angezeigt.
Zertifikatsstatus: Anhand von Sperrlisten wird geprüft, ob das Zertifikat gesperrt wurde. Wenn hier
nicht geprüft werden kann, empfiehlt sich da
Online-Prüfung über den Button Onlinestatus...
Aktuelle Zeit als Prüfzeit (Sperrlistenp
6.3.3 Online Prüfung von Zertifikaten
Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch Online abgefragt werden.
116
Nach einem Klick auf Onlinestatus... in dem Fenster OpenLimit SignCubes - Details zur Unterschriftsprüfung wird das
Fenster Online Status-Prüfung (OCSP) geöffnet. Für die Prüfung muss eine Verbindung mit dem Internet bestehen.
117
Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt oder unbekannt. Das
Ergebnis der Online Status-Prüfung wird im normalen Prüf-Dialog nicht angezeigt. Der Prüf-Dialog bezieht sich lediglich auf
die Sperrlisten.
6.3.4 Online Status
Wurde bei der Signaturerstellung der Signatur ein Online Status zugefügt, dann können Sie sich diesen bei der
Signaturprüfung ansehen.
Klicken Sie auf den Button Details, um die Einzelheiten der Signaturprüfung anzuzeigen.
Wählen Sie dann Online Status aus und klicken Sie auf Details, um die Einzelheiten der Online Status Prüfung zum Zeitpunkt
118
der Signaturerzeugung zu sehen.
Klicken Sie auf Details.
Mit Zertifikat anzeigen wird das Zertifikat der Person angezeigt, die die Signatur erzeugt hat.
119
Mit Signatur-Zertifikat anzeigen wird das Zertifikat der Zertifizierungsstelle angezeigt, die die Online Status Antwort
signiert hat.
Mit Online Status exportieren können Sie die Datei als *.ors speichern. Um sich das Ergebnis der OnlinePrüfung vollständig
ansehen zu können, müssen Sie das dazugehörige Zertifikat in dem gleichen Ordner ablegen.
6.3.5 Erstellen Prüfprotokoll
Falls in Ihrer Programmversion der OpenLimit SignCubes 2.5 das Modul zum Erstellen eines Prüfprotokolls mit installiert
wurde, haben Sie die Möglichkeit, durch Anklicken des Button Speichern ein Prüfprotokoll zu erzeugen und zu speichern.
Andernfalls wird der Button nicht angezeigt.
Wählen Sie das Verzeichnis und den Dateinamen für das Prüfprotokoll aus. Standardmäßig wird das Protokoll in dem
Ordner Eigene Dateien\VerificationProtocols abgespeichert.
120
Das Prüfprotokoll enthält folgende Angaben:
Dokumentbeschreibung: Die Dokumentbeschreibung zeigt den Dateinamen und das temporäre
Verzeichnis an, in dem das Prüfprotokoll als Datei zwischengespeichert wird, bevor es entweder
abschließend in dem Verzeichnis Eigene Dateien\VerificationsProtocolls oder in einem durch den
Anwender definierten Verzeichnis abgelegt wird.
Prüfumgebung: Die Prüfumgebung weist aus, wann (Datum und Uhrzeit) die Prüfung durchgeführt
wurde und durch welchen Nutzer.
hwertprüfung und die
Überprüfung der Zertifizierungskette zusammengefasst dargestellt.
den
r, die Seriennummer des Herausgeberzeitifikats und
r Warnkreis) wird das
ht. Dabei haben die Symbole folgende Bedeutung:
Zusammenfassung der Prüfergebnisse: Hier wird das Ergebnis der Has
Informationen zur Signatur: An dieser Stelle erhalten Sie weitere Detailinformationen zur Signatur wie
den Namen des Unterzeichners, die Signaturzeit, die Vertrauensbasis des Herausgeberzertifikats,
Hashwert, das Ergebnis der Hashwertprüfung und welcher Signaturalgorithmus verwendet wurde.
Informationen zum verwendeten Signatur-Zertifikat: Hier werden die Angaben zum
Herausgeberzertifikat, d.h. wer ist der Herausgebe
die Gültigkeit ausgewiesen.
Durch die Symbolik im Hintergrund des Prüfprotokolls (grüner Haken, gelbes Ausrufezeichen, rote
Ergebnis der Prüfung optisch zusätzlich verdeutlic
Grüner Haken: Die Signatur wurde gültig geprüft.
Gelbes Ausrufezeichen: Es gibt Hinweise darauf, dass die Signatur nicht vollständig geprüft werden konnte, weil z.B.
121
Sperrlisten oder Herausgeberzertifikate fehlten bzw. nicht aktuell waren. In diesem Fall sollten Sie die Aktualisierung der
Sperrlisten einschließlich der Vertrauenslisten durchführen und die Signaturverifikation nochmals starten. Weitere
Informationen dazu finden Sie in dem Kapitel Sperrlistenaktuslierung.
. In diesem Fall sollten Sie
im Detail prüfen, ob die Daten manipuliert wurden, das Zertifikat abgelaufen oder gesperrt ist.
Roter Warnkreis: Dieses Symbol weist daraufhin, dass die Datei eine ungültige Signatur besitzt
122
Hinweis: In Abhängigkeit von dem installierten Programm-Modul zum Erstellen des Prüfprotokolls kann die o.g.
Beschreibung abweichen. Das kann sowohl das Dateiformat des Prüfprotokolls als auch die Informationen, die im Ergebnis
der Prüfung dargestellt und gespeichert werden, betreffen.
6.4 Verschlüsselung
Die Verschlüsselung schützt vor den Augen Dritter. Sie können jegliche Daten verschlüsseln, egal ob diese auf dem
Rechner gespeichert oder ob sie per e-Mail über das Internet gesendet werden. Da die Verschlüsselung aber nicht vor
Viren schützt, ist es ratsam, verschlüsselte Daten, die archiviert werden sollen, zusätzlich auf externen Datenträgern zu
sichern bzw. nach dem Entschlüsseln auf jeden Fall nach Viren zu prüfen.
Zunächst wird das Dokument mit einem Zufallsschlüssel im Triple DES Verfahren verschlüsselt. Das heisst, das Dokument
wird dreimal hintereinander mit 192 bit verschlüsselt. Der Zufallsschlüssel wird dann mit dem öffentlichen Schlüssel des
Empfängers verschlüsselt. Hier kommt die 1024bit RSA-Verschlüsselung zum Einsatz.
123
Man benötigt zum Verschlüsseln also immer den öffentlichen Schlüssel des Empfängers (das können auch mehrere sein).
Dieser ist in ein Verschlüsselungszertifikat integriert und kann im Verzeichnisdienst des Trustcenters abgerufen und auf
dem Computer installiert werden. Sie können sich auch die Verschlüsselungszertifikate Ihrer Kommuniktionspartner per e-
Mail schicken lassen. Ihr eigenes Zertifikat können Sie aus der Karte exportieren. Alle installierten Zertifikate werden von
der Software automatisch angezeigt. Das verschlüsselte Dokument und der verschlüsselte Zufallsschlüssel werden dann
zusammen archiviert oder per e-Mail an die Kommunikationspartner versandt.
In der Praxis ist es empfehlenswert, Daten durch eine Kombination von elektronischer Signatur und Verschlüsselung zu
sichern.
6.4.1 Daten verschlüsseln
Die Verschlüsselung von Daten ist nicht gesetzlich geregelt. Dennoch ist es ratsam, Daten zusätzlich zur Signatur zu
verschlüsseln, weil dadurch gewährleistet wird, dass nur bestimmte Personen Einblick in die Daten haben.
Wenn Sie Daten verschlüsseln, sollten Sie mindestens zwei Zertifikate verwenden (Ihres und das einer vertrauenswürdigen
Person). Wenn Sie Ihre Karte verlieren sollten oder sie auf andere Art unbrauchbar wird, sind die verschlüsselten Daten
ansonsten unwiederbringlich verloren. Es gibt keine Kopien Ihres privaten Schlüssels und eine Wiederherstellung ist
unmöglich.
Verschlüsselungszertifikate auswählen
Nachdem Sie auf Verschlüsseln geklickt haben, erscheint der Dialog zur Auswahl von
Verschlüsselungszertifikaten.
Hier werden alle öffentlichen Schlüssel angezeigt, die auf dem Rechner installiert sind. Sollten Sie auf der linken Seite
keine Zertifikate außer Ihr eigenes sehen, müssen Sie sich die öffentlichen Schlüssel der Empfänger beschaffen. Sie haben
dazu mehrere Möglichkeiten:
124
Download oder Installation über den Verzeichnisdienst, dazu erhalten Sie weitere Informationen in dem Abschnitt
Verzeichnisdienst
durch Installation des Schlüssels, den Sie als cer - Datei erhalten haben, falls Sie mit diesem Kommunikationspartner
mehrfach verschlüsselt kommunizieren wollen; Weitere Informationen finden Sie in dem Abschnitt Zertifikate installieren
oder durch Einfügen der *.cer - Datei, in dem Sie auf den Button aus Datei klicken
Nur die Zertifikatsinhaber der ausgewählten Zertifikate können die Datei entschlüsseln. Es ist also ratsam, auch das
eigene Zertifikat hinzuzufügen.
Wenn ein Zertifikat selektiert ist, können im unteren Fenster die Informationen dazu angesehen werden.
Nach einem Klick auf Hinzufügen oder einem Doppelklick auf den Zertifikatsnamen wird das Zertifikat in die rechte Liste
kopiert.
Klicken Sie dann auf Übernehmen, um die Daten für die ausgewählten Zertifikate zu verschlüsseln.
Selektierte Zertifikate können mit Hinzufügen und Entfernen von einem Fenster ins andere verschoben werden. Unter
Details... wird das ausgewählte Zertifikat angezeigt. Um sicher zu gehen, dass das Zertifikat nicht gesperrt ist, kann nach
einem Klick auf Details... der Onlinestatus geprüft werden, wenn die CA das unterstützt. Ansonsten funktioniert meist auch
eine Suche im Verzeichnisdienst (Button weitere...).
Einstellung des Verschlüsselungsalgorithmus:
Für den Verschlüsselungsalgorithmus sollten Sie nur dann andere Einstellungen vornehmen, wenn es aus Gründen der
Kompatibilität mit anderen Programmen unbedingt notwendig ist.
125
6.4.2 Verschlüsselungszertifikat exportieren
Der OpenLimit SignCubes Security Environment Manager bietet Ihnen die Möglichkeit, Ihr Verschlüsselungszertifikat zu
exportieren. Das Zertifikat können Sie dann z.B. per e-Mail an eine andere Person senden, damit diese wiederum
Dokumente für Sie verschlüsseln kann.
Weitere Informationen dazu finden Sie in dem Kapitel Chipkarten Optionen/Zertifikate exportieren.
6.4.3 Zertifikate installieren
Ein Zertifikat aus dem Verzeichnisdienst installieren Sie einfach, indem Sie auf den Button Installieren im Ergebnisdialog
klicken. Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im Zertifikatsauswahldialog.
Die Zertifikate auf der Karte, die in Ihrem Kartenleser stecken, werden automatisch installiert.
Wenn Sie ein Zertifikat auf anderem Weg erhalten, z.B. per e-Mail, liegt es als Datei vor. Sie müssen es über den
Zertifikatsdialog von Windows installieren.
Zertifikate unter Windows installieren
Doppelklicken Sie das Zertifikat im Windows Explorer.
Im Zertifikatsdialog von Windows auf Zertifikat installieren klicken.
Die Gültigkeitsangaben des Windows Zertifikatsdialoges sollten Sie nicht interessieren, da Windows nicht immer mit
Signatur-Zertifikaten umgehen kann. Negative Aussagen haben keine Relevanz. Gründe dafür können neben
Inkompatibilität mit den Signaturstandards auch fehlende Algorithmen sein.
Daraufhin öffnet sich der Assistent für die Installation:
Nach dem Startdialog folgt mit einem Klick auf Weiter der Zertifikatsspeicherdialog.
Wählen Sie: Alle Zertifikate in folgendem Speicher speichern.
Klicken Sie auf Durchsuchen...
Wählen Sie den Ordner Andere Personen und bestätigen Sie mit OK.
Klicken Sie im Assistenten auf Weiter
und anschließend auf Fertig stellen.
Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im Zertifikatsauswahl Dialog.
126
6.4.4 Verzeichnisdienst
Nach einem Klick auf weitere... wird der Verzeichnis Client geöffnet.
Suche
Für die Suche können Sie Wildcards (*) benutzen. Das sind Platzhalter, die man für unbekannte Buchstaben plazieren kann.
Wenn Sie dies nicht tun, müssen Sie die exakte Schreibweise des gesuchten Namens kennen. Geben Sie am besten den
Nachnamen zwischen Wildcards ein: z.B. *Daneller*. Wenn es sich um einen sehr häufigen Namen handelt, ist als
Suchbegriffe die E-Mail-Adresse empfehlenswert.
Zertifikat suchen
Tragen Sie den oder die Suchbegriffe in die Felder ein.
Wählen Sie den Verzeichnisdienst der CA, die das Zertifikat herausgegeben hat.
Klicken Sie auf Starten.
Zum Suchen nicht auf Weiter sondern auf Starten klicken. Die Weiter und Zurück Button ermöglichen eine erneute Suche
und ein einfaches Hin- und Herschalten zwischen Ergebnis- und Suchdialog.
Wenn Sie eine Fehlermeldung erhalten, dass die zulässige Größe überschritten ist, dann haben Sie zu viele Suchergebnisse
erhalten. Diese Funktion dient dem Datenschutz, so dass nicht einfach mit einer * * -Suche alle Zertifikate gefunden
werden können. Geben Sie weitere Buchstaben in den Suchbegriff ein.
Ergebnis
Im Ergebnisdialog werden alle gefundenen Zertifikate angezeigt.
127
Zertifikate übernehmen
Mit einem Klick auf den Namen wird rechts die Zertifikatsinformation angezeigt.
Über den Button Details kommt man zur Zertifikatsanzeige, wo man sich noch einmal die Einzelheiten ansehen kann. Die
meisten CAs nehmen gesperrte und ungültige Zertifikate aus dem Verzeichnisdienst, so dass sich eine Statusprüfung
erübrigt, wenn man hier ein Zertifikat gefunden hat.
Damit das Zertifikat auf dem Rechner bei jeder Verschlüsselung automatisch angezeigt wird, kann es installiert werden.
Dies sollten Sie für Zertifikate tun, die Sie oft benutzen.
Haken Sie die Checkbox vor dem Namen der Zertifikate an, die für die Verschlüsselung übernommen werden sollen.
Klicken Sie auf Übernehmen.
Die Zertifikate erscheinen dann im Zertifikatsauswahl Dialog (Verschlüsseln) auf der rechten Seite.
6.5 Entschlüsselung
Um das Dokument wieder entschlüsseln zu können, wird der Zufallsschlüssel im Klartext benötigt. Er kann nur mit dem
privaten Schlüssel entschlüsselt werden. Dazu braucht der Benutzer die Karte mit dem, zu dem öffentlichen Schlüssel
zugehörigen privaten Schlüssel und der PIN.
Ist der Zufallsschlüssel entschlüsselt, kann auch das gesamte Dokument entschlüsselt werden. Auch diese Abläufe
übernimmt die Software automatisch.
128
Durch dieses Verfahren ist gesichert, dass nur der Karteninhaber mit seiner PIN das Dokument entschlüsseln und lesen
kann. Die Daten können auch für mehrere Zertifikate verschlüsselt werden. Wir empfehlen grundsätzlich, alle Daten,
mindesten mit zwei öffentlichen Schlüsseln, für eine andere vertrauenswürdige Person und sich selbst, zu verschlüsseln.
Bei Daten, die versendet werden, empfiehlt sich das eigene Zertifikat und das des Empfängers. Wenn die eigene Karte
verloren geht, oder möglicherweise aus anderen Gürnden nicht mehr verwendbar ist, können die Daten immer noch mit der
zweiten Karte (der des Empfängers oder der vertrauenswürdigen Person) entschlüsselt werden.
6.5.1 Daten entschlüsseln
Dateien entschlüsseln
Zum Entschlüsseln wir der zu dem öffentlichen Schlüssel zugehörige private Schlüssel benötigt. Aus diesem Grund muss
zum Entschlüsseln die globale PIN eingegeben werden.
Es erscheint ein Fenster mit der Meldung, dass die Datei entschlüsselt wurde.
Klicken Sie auf OK.
Danach sollten die Daten wieder im Klartext vorliegen. Um viele Dateien hintereinander ohne ständige PIN-Eingabe zu
entschlüsseln, können Sie die Karte auch "öffnen". Weitere Informationen dazu finden Sie in dem Abschnitt PIN-Abfrage.
129
7. OpenLimit SignCubes Shell Extension
Die OpenLimit SignCubes Shell Extension ermöglicht die Signatur und Verschlüsselung direkt im Windows Explorer. Darüber
hinaus sind das Prüfen von Signaturen und die Entschlüsselung integriert. Wenn Sie eine Datei mit der rechten Maustaste
anklicken, finden Sie im Kontextmenü den Punkt OpenLimit SignCubes.
Wählen Sie diesen aus, erhalten Sie in Abhängigkeit von der ausgewählten Dateistruktur verschiedene Funktionen
angeboten. Weitere Informationen erhalten Sie in den nachfolgenden Abschnitten.
7.1 Die erste Signatur mit OpenLimit SignCubes
Die erste Signatur haben Sie bereits mit der Lizenzierung der Software erstellt. In den nachfolgenden Abschritten wird
beschrieben, wie Sie eine weitere Signatur erzeugen. Wählen Sie eine beliebige Datei (im Beispiel eine *.tif Datei) im
Explorer aus.
Klicken Sie im Explorer die Datei mit der rechten Maustaste an.
Wählen Sie OpenLimit SignCubes - Datei signieren
Weitere Informationen zur Signaturerzeugung finden Sie in dem Abschnitt Signieren.
Im Ergebnis der Signaturerstellung wird eine p7m-Datei mit dem selben Namen der Ursprungsdatei erzeugt. Darüber
hinaus bleibt die Original-Datei erhalten. Die p7m-Datei enthält sowohl die Original-Daten als auch die Signatur. Durch
Anklicken dieser p7m-Datei mit der rechten Maustaste können Sie die Signaturen prüfen und bei Bedarf die Datei getrennt
als txt-Datei und p7s-Datei abspeichern.
7.2 Shell Extension Menü
Wenn Sie eine Datei im Windows Explorer mit der rechten Maustaste anklicken, öffnet sich das Kontexmenü mit dem
Menüpunkt OpenLimit SignCubes. Unter diesem finden Sie in der Regel die Punkte:
130
Datei signieren
Datei verschlüsseln
Datei signieren und verschlüsseln
Weitere Punkte, wie z.B.
Signatur(en) prüfen
Datei entschlüsseln
Datei und Signatur(en) trennen
Datei und Signaturen verbinden
Zertifikat anzeigen
Online Status anzeigen
Zeitstempel erzeugen
Sperrlisten anzeigen
erscheinen, wenn es sich um bereits signierte oder verschlüsselte Dateien bzw. einen Zeitstempel oder eine Online Status-
Datei handelt. Die Funktionen, die durch diese Befehle angestoßen werden, sind unter Arbeitsabläufe im Einzelnen erklärt.
7.3 Dateien und Icons im Explorer
Mit OpenLimit SignCubes lassen sich verschiedene Dateiformate erzeugen. Diese erkennt man im Explorer auch an Ihren
Icons (bei Windows 2000 oder höher). Zeitstempel können in der OpenLimit SignCubes Software nicht erzeugt werden.
131
e eine Signatur beinhalten, bekommen ein blaues
or-Icon mit der Aufschrift p7s.
p7m Dateien: Verschlüsselte Dateien oder Dateien, di
Tresor-Icon mit der Aufschrift p7m.
p7s Dateien: Abgesetze Signaturen, die durch ihren Dateinamen mit der Ausgangsdatei logisch
verknüpft sind, bekommen ein blaues Tres
ors-Dateien: Online Status Response Dateien, die durch das Exportieren von OCSP Antworten
entstehen, bekommen ein Zertifikats-Icon mit einem roten Siegel.
tsr-Dateien: Zeitstempel Dateien, die durch ihren Dateinamen mit der Ausgangsdatei logisch verknüpft
sind, bekommen ein Uhr-Icon mit einem roten Siegel.
Allerdings werden diese Dateien in den neueren Betriebssystemen als verborgene Dateien oft nicht angezeigt. Um sie
sichtbar zu machen, muss man unter den Ordneroptionen des Windows Explorers (Menü Extras - Ordneroptionen - Reiter
Ansicht) unter versteckte Dateien und Ordner die Option alle Dateien und Ordner anzeigen aktivieren und Erweiterungen
bei bekannten Dateitypen ausblenden deaktivieren.
Weitere Informationen zu den Dateien finden Sie auch unter Dateiformate.
132
8. Adobe Plugin
Das Adobe Plugin ermöglicht die Signatur direkt unter Adobe Acrobat Reader ab Version 7.0.8 und Adobe Acrobat 7.0.
Wurden PDF Formulare vom Herausgeber mit zusätzlichen Rechten versehen (Adobe Formular Server Lösungen), lassen
sich diese Formulare auch im Adobe Reader ab Version 7.0.8 signieren. Zudem können digitale Signaturen in einem PDF
Formular geprüft werden.
Das Adobe Plugin wird automatisch installiert, soweit Adobe Reader oder Adobe Acrobat auf Ihrem Computer installiert ist.
Falls Sie das Adobeprogamm erst nach der OpenLimit SignCubes Software installieren, müssen Sie das Plugin nachträglich
installieren. Falls Sie dazu das Installationsprogramm benötigen, wenden Sie sich bitte an OpenLimit.
8.1 Adobe Plugin Grundeinstellungen
Grundeinstellungen festlegen
Der hier beschriebene Ablauf bezieht sich auf das Produkt Adobe Reader Version 9.0.0. Die Beschreibung erfolgt
beispielhaft. Weitere Informationen zu aktuellen Versionen der Adobe Produkte finden Sie unter auf der OPENLiiT FAQ
Seite unter https://www.openlimit.com/faq/ in der Rubrik Adobe.
Öffnen Sie den Adobe Reader.
Über das Bearbeiten-Menü kommen Sie zu dem Menüpunkt Voreinstellungen...
133
Wählen Sie im linken Bereich Sicherheit aus.
Setzen Sie ein Häkchen für „Beim Öffen des Dokuments Unterschriften prüfen“, und klicken Sie dann auf Erweiterte
Voreinstellungen.
Unter dem Reiter Überprüfung sollten Sie folgende Einstellungen vornehmen:
Wählen Sie Immer Standardmethode verwenden (Überschreibt die im Dokument angegebene Methode).
Wählen Sie dann als Standardmethode zum Überprüfen von Unterschriften: "OpenLimit SignCubes PDF Plugin, Version 2.5
".
Unter dem Reiter Erstellung sollten Sie die Einstellungen wie folgt vornehmen:
Wählen Sie als Standardmethode beim Unterschreiben und Verschlüsseln von Dokumenten: "OpenLimit SignCubes PDF
Plugin, Version 2.5 ".
134
Mit OK werden die Einstellungen gespeichert.
8.1.1 PDF Dokument signieren
Für die Erzeugung einer Signatur in PDF Dokumenten ist in der OpenLimit SignCubes Software ein Adobe Plugin integriert.
Dieses bietet Ihnen unter bestimmten Voraussetzungen die Möglichkeit, das PDF Dokument im Adobe Reader oder Adobe
Acrobat zu signieren.
Wenn ein PDF Dokument oder PDF Formular ein oder mehrere Felder für digitale Signaturen enthält, so können Sie mit dem
Adobe Plugin eine qualifizierte digitale Signatur direkt in diesem PDF erstellen und dieses anschließend speichern.
Um ein solches PDF mit dem Adobe Reader zu signieren, muss dieses mit zusätzlichen Rechten versehen worden sein
(Adobe Formular Server Lösungen). Um ein PDF mit Adobe Acrobat zu signieren, reicht es aus, wenn das Signaturfeld mit
Adobe Acrobat erstellt wurde. Um ein Signaturfeld mit Adobe Acrobat selbst zu erstellen, lesen Sie bitte in der Adobe
Acrobat Hilfe nach.
So signieren Sie ein PDF Dokument
Öffnen Sie das Dokument.
Das PDF Dokument enthält ein oder mehrere Signatur-Felder. Ein Signaturfeld erkennen Sie am roten Pfeil links oben im
Feld.
135
Stecken Sie Ihre Smartcard in den Kartenleser und warten Sie, bis diese erkannt ist (bis das Chip-Symbol in der Taskleiste
gelb ist).
Klicken Sie das entsprechende Signaturfeld an.
Anschließend öffnet sich das Signaturanforderungsfenster. Weitere Informationen finden Sie in dem Abschnitt Signatur
erzeugen.
8.1.2 Signatur im PDF prüfen
PDF Dokumente können Signaturen enthalten, die in einem extra dafür vorgesehenen Signaturfeld integriert sind, oder
Signaturen, die in das PDF Dokument eingebettet sind, jedoch nicht in einem Signaturfeld vorliegen. In diesem Fall handelt
es sich um sogenannte "eingebettete" Signaturen.
Signaturen in Unterschriftsfeldern prüfen
Enthält ein PDF Dokument bereits eine digitale Signatur in einem dafür vorgesehenen Signaturfeld, so können Sie mit dem
Adobe Reader oder Adobe Acrobat diese Signatur prüfen. Die Signaturprüfung wird mit den Einstellungen vorgenommen,
die Sie unter Adobe Acrobat oder Adobe Reader festgelegt haben. Weitere Informatioonen dazu finden Sie in dem
Abschnitt Adobe Plugin Grundeinstellungen.
Öffnen Sie das PDF Dokument und klicken Sie auf ein Unterschriftsfeld, das bereits eine Signatur enthält.
Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OpenLimit SignCubes PDF Plugin" ausgewählt
haben, so erscheint folgender Dialog:
136
In der Zusammenfassung steht das Ergebnis der Signaturprüfung. Ein Beispiel für ein Prüfergebnis wäre z.B.:
Die Datei ist gültig signiert. oder
Die Signatur ist mathematisch korrekt.
Für genauere Informationen lesen Sie bitte in den Abschnitten Signaturverifikation bzw. Signaturen prüfen nach.
Unsichtbare Signaturen prüfen
Enthält ein PDF Dokument eine unsichtbare digitale Signatur, so können Sie mit Adobe Reader oder Adobe Acrobat diese
Signatur prüfen. Die Signaturprüfung wird mit den Einstellungen vorgenommen, die Sie unter Adobe Acrobat oder Adobe
Reader festgelegt haben.
137
Öffnen Sie das PDF Dokument und klicken Sie dann links auf den Reiter Unterschriften, um alle Unterschriften des
Dokuments anzusehen.
Wählen Sie jetzt eine Unterschrift aus, klicken Sie dann auf Optionen und wählen Sie Unterschrift prüfen.
Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OpenLimit SignCubes PDF Plugin, Version 2.5.0.2"
ausgewählt haben, so erscheint folgender Dialog:
138
Detaillierte Informationen zu den Ergebnissen der Signaturprüfung finden Sie in dem Abschnitt Signaturen prüfen.
139
9. Der OpenLimit TIFF/PDF (PDF/A) Drucker
Die OpenLimit SignCubes Software bietet Ihnen mit dem OpenLimit TIFF/PDF Drucker die Möglichkeit, aus anderen
Programmen heraus wie z.B. Microsoft Word Daten an die sichere Anzeigeeinheit, den OpenLimit SignCubes Viewer
auszugeben. Die übertragenen Daten werden über den OpenLimit TIFF/PDF Drucker in eine sicher darstellbare Bilddatei
(TIFF) oder in eine PDF Datei konvertiert. Die Ausgabe über den OpenLimit TIFF/PDF Drucker ist mit jedem auf Ihrem
System druckbaren Dokument möglich.
Hinweis: Der OpenLimit TIFF/PDF Drucker steht für das Betriebssystem Windows NT nicht zur Verfügung. Unter Windows NT
wird der OpenLimit SignCubes Drucker installiert. Dieser kann Dateien nur in das TIFF Format konvertieren.
Visualisieren
Drucken Sie die Datei in dem Programm aus, in dem sie erstellt wurde. Normalerweise geht das über
den Befehl Datei - Drucken.
Wählen Sie den OpenLimit TIFF Producer für die Ausgabe der Datei im TIFF Format oder den OpenLimit PDF Producer für
die Konvertierung als PDF Datei und bestätigen Sie mit OK.
Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\TIFFOutput abgespeichert. Unter dem
Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner Dokumente\TIFFOutput.
Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (tif).
Für die Konvertierung in ein PDF Format wählen Sie den OpenLimit PDF Producer.
140
Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\PDFOutput abgespeichert. Unter dem
Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner Dokumente\PDFOutput.
Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (pdf).
Unter Windows NT wählen Sie den OpenLimit SignCubes Drucker aus und bestätigen mit OK.
Daraufhin öffnet sich die Darstellung im OpenLimit SignCubes Viewer. Sollte es lange dauern, bis Ihre Datei im OpenLimit
SignCubes Viewer dargestellt wird, liegt es möglicherweise daran, dass die gewählten Eigenschaften des Druckers mit
141
einer zu hohen Auflösung eingestellt sind.
9.1 Eigenschaften des OpenLimit PDF Producer
Nach Auswahl des OpenLimit PDF Producer und Anklicken deas Buttons Eigenschaften haben Sie Möglichkeit die
Standardeinstellungen des Druckers zu verändern.
Über das Menü PDF Compliance Level haben Sie die Möglichkeit die PDF - Version
PDF 1.4
PDF 1.5 oder
PDF/A-1b
auszuwählen.
9.2 Eigenschaften des OpenLimit TIFF Producers
Nach Auswahl des OpenLimit TIFF Producer und Anklicken des Buttons Eigenschaften haben Sie Möglichkeit die
Standardeinstellungen des Druckers zu verändern.
142
9.3 Eigenschaften des OpenLimit SignCubes Druckers (nur Windows NT)
Diese Drucker wird nur unter dem Betriebssystem NT installiert, da der OpenLimit PDF Producer und der OpenLimit TIFF
Producer nicht für Windows NT verfügbar sind.
Ändern der Druckereigenschaften
In dem Programm, in dem Sie gerade arbeiten, wählen Sie Datei - Drucken...
Unter "Name" wählen Sie den OpenLimit SignCubes Drucker
Klicken Sie auf Eigenschaften...
Daraufhin sind mehrere Reiter zu sehen.
Reiter Beschreibung
Einstellungen Generelle Einstellungen des Druckers
Dateiformate Ausgabeformat der Datei
Dateiname erstellen Ausgabename der Datei
Programm-Start Programm, das nach dem Drucken startet
Wasserzeichen Wasserzeichen in Datei generieren
Kommentar einbeziehen Bemerkung Einfügen
143
9.3.1 Drucker Eigenschaften - Einstellungen
Papier Größe Papier
Hier wählen Sie die Papiergröße aus. Sollte die gewählte Papiergröße
kleiner sein als das zu druckende Dokument, dann werden Teile des
Dokuments in der SignCubes Visualisierung nicht angezeigt. Wenn dies der
Fall ist sollten Sie einen Warnhinweis erhalten, sobald Sie auf OK gedrückt
haben.
Paper Breite; Papier
Höhe
Hier werden die Breite und Höhe des gewählten Papiers angezeigt. Unter
Einheiten können Sie die Einheit festlegen in der die Breite und Höhe des
Papiers angezeigt werden.
FAX header beigelegt Hat unter OpenLimit SignCubes keine Funktion.
Erweiterte Papiergröße Hat unter OpenLimit SignCubes keine Funktion.
Fax Auflösung Erstelle faxfähiges
Abbild
Die Auflösung des Ausgabeformats wird für Fax optimiert. Da die Auflösung
sehr gering ist, wird die Visualisierung des Dokuments eine niedrige
Qualität haben. Wir empfehlen diese Funktion nicht anzuwenden.
Ausrichtung Hochformat /
Querformat
Hier kann Hochformat (Portrait) oder Querformat (Landscape) ausgewählt
werden.
Querformat, 90 Grad
gedreht Es wird ein Querformat ausgegeben, aber nochmals um 90° gedreht.
Graphik-Auflösung Auflösung
Die graphische Auflösung der Visualisierung wird hier festgelegt. Wichtig:
Mit den Einstellungen in diesem Abschnitt können Sie Qualität und Größe
der Ausgabedatei entscheidend verändern. Bei zu hoher Einstellung werden
die Dateien unnötig gross und die Visualisierung kann länger dauern.
Darüber hinaus könnten auf Grund der Grösse der Datei Probleme
auftreten, falls Sie die signierte Datei anschliessend per e-Mail versenden
wollen.
High Resolution - Hohe Auflösung. Die Ausgabe sieht sehr gut aus, es
dauert länger bis die Visualisierung erstellt ist, die Datei wird sehr groß.
Medium Resolution - Mittlere Auflösung (Standard Einstellung). Schnellere
Visualisierung, Druckstandard. Gut für Textdokumente und Tabellen.
Draft Resolution - Vorschau Auflösung. Sehr schnelle Ausgabe, niedrige
Qualität.
CUSTOM Resolution - Benutzerdefinierte Auflösung. Hier können Sie selbst
festlegen, mit welcher Auflösung Sie arbeiten wollen. Benutzen Sie zur
Eingabe die beiden Felder unterhalb.
horizontale Auflösung Hier wird die horizontale Auflösung angezeigt.
vertikale Auflösung Anzeige der vertikalen Auflösung.
erzwinge
Druckerauflösung Keine Funktion unter OpenLimit SignCubes.
144
Bildgröße
Größe der Datei, die der OpenLimit SignCubes Drucker zur Visualisierung
erstellt. Generell gilt: Je größer die Datei, desto besser die Qualität der
Visualisierung und umso länger dauert die Ausgabe und umgekehrt.
9.3.2 Drucker Eigenschaften - Dateiformate
Unter diesem Reiter finden Sie Optionen für das Ausgabeformat.
Dateiformat
In diesem Menü finden sich verschiedene Dateiformate für die Visualisierung.
Wichtig: Behalten Sie das Standard Format bei (TIFF Packed), bei manchen
anderen Einstellungen wird die Datei nicht gedruckt.
Farbtiefe 1bit, 8 bit, 8 bit
Graustufen, 24 bit
Hier kann die Anzahl der Farben festgelegt werden. 1bit (schwarz-weiss), 8 bit
(256 Farben), 8 bit Graustufen (256 Grautöne), 24 bit (16,7 Mio. Farben). Wie bei
der grafischen Auflösung gilt auch hier, je besser die Qualität der Visualisierung,
desto größer das erzeugte Dokument und desto länger dauert die Ausgabe.
145
Optionen mehrseitiges Bild
erzeugen
Hier ist per Default ein Häkchen gesetzt, da sonst nur eine Seite des
Originaldokuments in der Ausgabe erscheint.
Keine Imagedatei
erstellen Hat unter OpenLimit SignCubes keine Funktion.
Osteuropäischer
Zeichensatz Unterstützt das Drucken von Osteuropäischen Schriftzeichen.
Textdatei erstellen Der Drucker erstellt zusätzlich eine *.txt Datei mit dem Inhalt des Dokuments.
TIFF Optionen
Hat unter OpenLimit SignCubes keine Funktion.
Das Ändern der Standardeinstellungen kann dazu führen dass keine Visualisierung
erfolgt.
Fotoqualität Hat unter OpenLimit SignCubes keine Funktion.
146
9.3.3 Drucker Eigenschaften - Dateiname erstellen
Methode zur Erstellung des
Namen
Diese Einstellungen legen fest, wie der Dateiname (prefix) und
Dateianhang (extension) erstellt werden.
Nehmen Sie in diesem Bereich keine Änderungen vor, da sonst
eventuell keine Visualisierung möglich ist.
Use the document
name
Standard Einstellung: Dateiname und Dateianhang werden
automatisch erstellt.
Wichtig: Nehmen Sie in diesem Bereich keine Änderungen vor, da
sonst eventuell keine Visualisierung möglich ist.
Dateiname Wenn unter Methode zur Erstellung des Namen die Standard
Einstellung gewählt ist, ist keine Eingabe nötig.
Dateinamen Prefix Bei Standard Einstellung ist keine Eingabe nötig.
Datei Erweiterung Bei Standard Einstellung ist keine Eingabe nötig.
Ausgabepfad
Hier wird der Ordner angezeigt, in dem der Drucker die temporären
Dateien für die Visualisierung speichert.
Wichtig: Nehmen Sie in diesem Bereich keine Änderungen vor, da
sonst eventuell keine Visualisierung möglich ist.
Gruppendatei-Optionen Unter OpenLimit SignCubes keine Funktion.
147
9.3.4 Drucker Eigenschaften - Programm - Start
Anwendung automatisch
starten
Hier sollte ein Häkchen gesetzt sein. Falls dem nicht so ist, wird der
OpenLimit SignCubes Viewer nicht gestartet (es erfolgt keine
Visualisierung). Die Standardeinstellung wird wieder hergestellt,
sobald sich ein Benutzer am Betriebssystem neu anmeldet oder der
Computer neu gestartet wird.
Anwendung
Das für die Visualisierung zu startende Programm wird hier angezeigt.
Auch hier wird die Standardeinstellung wieder hergestellt, sobald sich
ein Benutzer am Betriebssystem neu anmeldet, oder ein Neustart
erfolgt.
vor Druckausführung
starten
Diese Option sollten Sie nicht wählen, da der OpenLimit SignCubes
Viewer nicht starten wird.
nach Druckausf. starten Standardeinstellung. Auch hier gilt, die Einstellung wird nach neuer
Anmeldung am Betriebssystem oder Neustart wieder hergestellt.
148
Parameter übergeben
Hier sollte ein Häkchen gesetzt sein, da sonst keine Visualisierung
erfolgt. Nach Neustart des Computers oder neuer Anmeldung am
Betriebssystem wird auch diese Einstellung wieder hergestellt.
Darstellung der
Anwendung Bestimmt die Größe des Fensters, in dem die Anwendung startet
Nachrichten-
Schnittstelle
deaktivieren
Diese Funktion steht nicht zur Verfügung.
149
9.3.5 Drucker Eigenschaften - Wasserzeichen
Wasserzeichen drucken Aktivieren Sie diese Option, um Ihr Dokument mit einem
Wasserzeichen zu versehen.
Wasserzeichen-Optionen Wasserzeichen nur zur
ersten Seite hizufügen
Aktivieren Sie diese Option, um das Wasserzeichen nur auf der
ersten Seite des Dokuments anzubringen.
Seiten im Hochformat
Wählen Sie in diesem Bereich eine Datei aus, die als
Wasserzeichen auf alle Seiten im Hochformat ausgegeben
werden soll.
Seiten im Querformat
Wählen Sie in diesem Bereich eine Datei aus, die als
Wasserzeichen auf alle Seiten im Querformat ausgegeben
werden soll.
Wasserzeichen Datei: Hier wählen Sie die Datei aus, die als Wasserzeichen
ausgegeben werden soll.
Position:
Center = Mittig
Streched to Fit = über die ganze Seite gestreckt
Streched to Width = über die Seitenbreite gestreckt
Tile = gekachelt
Helligkeit: Legen Sie hier die Helligkeit des jeweiligen Wasserzeichens
fest.
150
9.3.6 Drucker Eigenschaften - Embed Annotation
Alle unter diesem Reiter gewählten Optionen werden bei neuer Anmeldung an das Betriebssystem oder Neustart des
Computers zurückgesetzt.
Kommentare einbeziehen
Wenn Sie hier ein Häkchen setzen, können Sie Bemerkungen in die zu
signierende Datei einfügen. Der hier geschriebene Text wird in die TIFF
Datei eingebettet.
Zeichenfolge Geben Sie Text hier ein.
Schriftart Schriftarten können hier definiert werden.
Datum Das aktuelle Datum wird eingefügt, wenn Sie hier ein Häkchen setzen.
Format des Datums Hier legen Sie ein Datumsformat fest.
Zeit Mit einem Häkchen hier fügt man die Uhrzeit ein.
Zeit-Format Hier legen Sie das Format für die Uhrzeit fest und wählen, ob Sie
Minuten, Sekunden und Zeitzone mit einbeziehen wollen.
151
Kommentar Position Hier wählen Sie, wie der Text platziert wird.
Farbe Die Farbe des Textes kann hier gewählt werden.
152
10. E-Mail Clients
Die Software OpenLimit SignCubes 2.5 unterstützt das Signieren und Verschlüsseln von E-Mails in verschiedenen E-Mail
Programmen. In diesem Kapitel werden die vorzunehmenden Einstellungen und die grundlegenden Arbeitsschritte der
unterstützen E-Mail Clients anhand eines Besipiels kurz beschrieben. Weitere Informationen zu aktuellen Versionen der E-
Mail Cients finden Sie auf der OpenLimit FAQ Seite unter https://www.openlimit.com/faq/ unter E-Mail Clients.
Die folgenden Erklärungen betreffen hauptsächlich Funktionen und Einstellungen ausgewählter E-Mail Clients und erheben
keinen Anspruch auf Vollständigkeit. Sollte hier etwas fehlen, empfehlen wir grundsätzlich, in der Hilfe oder im Handbuch
des jeweiligen Programms nachzusehen.
Voraussetzung für das Arbeiten mit den verschiedenen E-Mail Programmen ist, dass das Programm richtig installiert ist
und das E-Mail Konto, das der E-Mail Adresse Ihres Zertifikats entspricht, richtig eingerichtet wurde. Um zu erfahren wie
Sie ein E-Mail Konto einrichten, lesen Sie bitte die Hilfe des jeweiligen E-Mail Programms.
10.1 Microsoft Outlook und Microsoft Outlook Express
Microsoft Outlook und Microsoft Outlook Express sind zwei oft verwendete E-Mail Programme. Mit dem OpenLimit
SignCubes Cryptographic Service Provider (CSP) können Sie E-Mails in Microsoft Outlook oder Microsoft Outlook Express
signieren und verschlüsseln.
Der OpenLimit SignCubes Cryptographic Service Provider kommt nur dann zum Einsatz, wenn Informationen der Karte
benötigt werden, d.h. bei der Signaturerzeugung und beim Entschlüsseln. Das Verschlüsseln und die Signaturprüfung
erfolgt durch Microsoft Outlook bzw. Microsoft Outlook Express selbst.
10.1.1 Microsoft Outlook Einstellungen
Um mit Microsoft Oulook bzw. Microsoft Outlook Express alle Sicherheitsfunktionen ausführen zu können, benötigen Sie
ein e-Mail Konto mit der e-Mail Adresse, die in Ihrem Zertifikat steht. Diese haben Sie beim Ausfüllen des Karten-Antrages
angegeben. Beim Signieren oder Entschlüsseln wird dann automatisch Ihr Zertifikat genommen, wenn die Karte im
Kartenleser steckt.
Einstellungen für Outlook Express
Die folgenden Sicherheitseinstellungen sind unbedingt einzurichten, damit Sie Ihre Mails signieren und/ oder verschlüsseln
können.
153
Stecken Sie Ihre Chipkarte in den Kartenleser und warten Sie, bis das Chipsymbol gelb ist.
Klicken Sie im Hauptmenü auf Extras / Konten.
Wählen Sie nun das Mailkonto aus, bei dem die Mailadresse mit der in Ihrem Zertifikat enthaltenen Mailadresse
übereinstimmt.
Klicken Sie auf Eigenschaften und wählen Sie das Register „Sicherheit“ aus.
Für die E-Mail-Signatur wählen Sie über den ersten Button „Auswählen…“ Ihr Zertifikat für den Zweck „Sichere E-Mail“
aus.
Nehmen Sie diese Einstellungen auch für das Verschlüsselungszertifikat über den 2.Button „Auswählen…“ vor.
Der Algorithmus bleibt auf 3DES eingestellt.
Bestätigen Sie die Einstellungen mit OK
Wenn Sie automatisch signieren und verschlüsseln möchten, dann können Sie dies unter Extras - Optionen - Sicherheit
einstellen.
154
Hinweis: Die nachfolgend beschriebenen Einstellungen sind nicht zwingend notwendig. Sie sollten diese Einstellungen nur
in dem Fall nochmal prüfen, falls der Empfänger Ihre Mail nicht lesen kann.
Unter Extras - Optionen - Lesen klicken Sie auf Schriftarten. Dort stellen Sie einen 7 Bit Code ein. Zum Beispiel wählen Sie
oben aus der Liste Unicode und unten bei der Codierung UTF-7.
Dann klicken Sie auf den Button Als Standard, um diese Codierung als Standard einzustellen.
Sie können aber auch jede Nachricht einzeln signieren und/oder verschlüsseln.
Microsoft Outlook
Bei Microsoft Outlook müssen Sie erst das Signaturzertifikat und das Verschlüsselungszertifikat auswählen.
155
Unter Extras - Optionen - Sicherheit gibt es den Bereich e-Mail sichern.
Klicken Sie hier auf Einstellungen...
Wählen Sie unter Bevorzugte Sicherheitseinstellungen: das Sicherheitsformat für Nachrichten: S/MIME.
Wählen Sie unter Zertifikate und Algorithmen folgende Einstellungen:
Signaturzertifikat: Ihr e-Mail Signaturzertifikat
Hashalgorithmus: SHA1
Verschlüsselungszertifikat: Ihr e-Mail Verschlüsselungszertifikat
Verschlüsselungsalgorithmus: 3DES
"Signierten Nachrichten diese Zertifikate hinzufügen" aktivieren.
Klicken Sie auf OK.
Unter dem Tab Sicherheit können Sie die automatische Signatur und Verschlüsselung von Nachrichten einstellen. Dies ist
aber für jede e-Mail auch einzeln möglich.
156
10.1.2 Signieren und Verschlüsseln
In Outlook oder Outlook Express haben Sie unter Extras - Optionen - Sicherheit die Möglichkeit, die
Sicherheitseinstellungen für alle e-Mails einzustellen. Wenn Sie bei jeder e-Mail selbst entscheiden möchten, ob diese
verschlüsselt und/oder signiert werden soll, wird dies im e-Mail Fenster eingestellt.
Wenn Sie mehrere e-Mail Konten eingerichtet haben, müssen Sie über das Konto mit der e-Mailadresse senden, die in
Ihrem Zertifikat enthalten ist. Outlook überprüft die Angaben und falls diese nicht übereinstimmen, kann keine Signatur
erzeugt werden.
Outlook Express/Outlook 2003
Bei Outlook Express können Sie direkt im e-Mail Fenster auf den Button Signieren oder Verschlüsseln klicken und
anschließend auf Senden. Nach Eingabe der PIN ist die e-Mail signiert.
Outlook 2000
Unter Outlook 2000 müssen Sie zum Signieren und Verschlüsseln im e-Mail Fenster auf Optionen klicken und dort die
entsprechenden Kästchen anhaken.
Outlook XP
157
Klicken Sie im e-Mail Fenster auf Optionen, oben rechts auf Sicherheitseinstellungen und dann die Kästchen Signieren und
Verschlüsseln anhaken.
Signatur und Klartext senden
Wenn Sie die Signatur und den Klartext separat senden (detached signature), können auch die Empfänger Ihre e-Mail lesen,
deren Client signierte Nachrichten nicht unterstützen (z.B. AOL). Einige können auch die Signatur prüfen (z.B. T-Online).
In Outlook Express finden Sie die Einstellung unter Extras/Optionen/Sicherheit/Button Erweitert. Dort sollte kein Häkchen
unter "Nachricht vor dem Signieren verschlüsseln (PKCS#7)" gesetzt sein. Um jedoch eine e-Mail ohne Klartext zu senden,
muss dieses Häkchen wieder gesetzt werden.
In Outlook finden Sie die Einstellung unter Extras/Optionen/Sicherheit. Dort sollte ein Häkchen für "Signierte Nachrichten
als Klartext senden" gesetzt sein.
Um e-Mails verschlüsseln zu können, müssen die Zertifikate der Empfänger in die dazugehörigen Kontakte integriert sein.
10.1.3 Verschlüsselungszertifikate in Kontakt integrieren
Um für eine bestimmte Person zu verschlüsseln, muss das Zertifikat (digitale ID) der Kontaktperson in Ihrem System
installiert sein. Dazu lassen Sie sich eine signierte e-Mail von Ihrem Kommunikationspartner schicken.
So integrieren Sie ein Verschlüsselungszertifikat (digitale ID) in einem Kontakt
158
Outlook
Öffnen Sie die signierte e-Mail
Klicken Sie mit der rechten Maustaste auf den Namen des Absenders Von: Mailadresse
Wählen Sie Zu den Kontakten hinzufügen aus.
Im Register Zertifikate können Sie sich das Zertifikat ansehen
Klicken Sie auf den Button Speichern und Schliessen, damit das Zertifikat dem Kontakt hinzugefügt wird.
Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem neuen Kontakt wird
dieser automatisch angelegt. Ab diesem Zeitpunkt können e-Mails für den Empfänger verschlüsselt werden.
159
Outlook Express
Öffnen Sie die signierte e-Mail
Klicken Sie mit der rechten Maustaste auf den Namen des Absenders.
Wählen Sie Zum Adressbuch hinzufügen aus.
Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem neuen Kontakt wird
dieser angelegt. Ab diesem Zeitpunkt können e-Mails für den Empfänger verschlüsselt werden.
10.2 Mozilla / Netscape Mail
Mozilla Mail ist ein Programm der Mozilla Foundation und wird gebündelt mit dem Mozilla Browser angeboten.
Netscape ist eine Mozilla Distribution, die sich grundsätzlich nur in der Oberfläche von Mozilla unterscheidet. Da sich mit
der deutsche Version von Mozilla einige wichtige Funktionen nicht richtig darstellen lassen, wurde für diese
Dokumentation Netscape 7.1 verwendet.
Falls Sie eine deutsche Version von Mozilla verwenden, besteht die Möglichkeit, dass einige Texte oder Button nicht oder
nur unvollständig dargestellt werden.
Zudem kommt es vor, dass sich Mozilla und Netscape in der Benennung von Button und Kapitel zum Teil unterscheiden.
In diesem Kapitel wird der Umgang mit Mozilla 1.6 bzw. Netscape 7.1 erklärt.
Weitere Informationen zu aktuellen Versionen der E-Mail Cients finden Sie auf der OpenLimit FAQ Seite unter
https://www.openlimit.com/faq/ unter E-Mail Clients.
160
10.2.1 Mozilla / Netscape Mail Client Sicherheitseinstellungen
Starten Sie zunächst Netscape Mail: Start - Programme - Netscape 7.1 - eMail & Diskussionsforen
Sollten Sie Netscape Mail zum ersten Mal starten, so wird das Programm Ihnen mit einem Assistenten beim Einrichten
eines E-Mail Kontos behilflich sein. Um e-Mails signieren /verschlüsseln zu können, muss unbedingt ein Mailkonto für die
Mailadresse eingerichtet sein, die auch in Ihrem Zertifikat enthalten ist (siehe gelbes
Chipsymbol/Eigenschaften/Zertifikate).
Hinweis: Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser ordnungsgemäss installiert ist, Ihre
Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte befinden.
Klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen, um das folgende Fenster zu öffnen.
161
Kryptographie Modul installieren
Wählen Sie aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate
Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...
Jetzt öffnet sich das Fenster des Geräte-Managers, in dem alle geladenen Sicherheitsmodule zu sehen sind.
162
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11-Modul zu installieren.
Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11-Modul, und klicken Sie dann auf
Durchsuchen...
163
Navigieren Sie nun zum SignCubes Programm-Verzeichnis (Standard: C:\Programme\OpenLimit),
wählen Sie dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen.
Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses Modul installieren wollen, nochmals
mit OK.
Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK.
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OpenLimit SignCubes 2.5 Software.
Schliessen Sie den Geräte-Manager mit einem Klick auf OK, um weitere Einstellungen vornehmen zu
164
können.
Das Mozilla/Netscape Einstellungsfenster sollte noch geöffnet und die Kategorie Zertifikate zu sehen sein.
Klicken Sie auf den Button Zertifikate verwalten, um den Zertifikat-Manager zu öffnen und die
Vertrauenswürdigkeit für die Zertifikate einzustellen.
Der Zertifikat-Manager übernimmt die Verwaltung von Zertifikaten. Unter dem Register Ihre Zertifikate werden die
Zertifikate angezeigt, welche auf Ihrer Karte gespeichert sind.
165
Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller nicht
verrauenswürdig" oder "Aussteller unbekannt" beinhaltet und klicken Sie auf Anzeigen.
166
Mozilla/Netscape bringt die Meldung "Zertifikat konnte aus unbekannten Gründen nicht zugelassen werden." Der Inhalt
dieser Meldung ist abhängig von dem jeweiligen Zertifikat.
Unter Ausgestellt von finden Sie den Herausgeber Ihres Zertifikats, für den Sie die Vertrauenswürdigkeit einstellen
müssen. Vermerken Sie sich diese Information und schliessen Sie das Fenster.
Klicken Sie auf den Reiter Aussteller und markieren Sie Ihren Zertifikatsaussteller.
Klicken Sie nun den Aussteller Ihres Zertifikats an.
Über den Button Bearbeiten in dem Fenster Vertrauenseinstellungen für.. sollten Sie mindestens für den 2. Punkt ein
Häkchen setzen.
Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen importieren.
Klicken Sie dazu auf den Button Importieren, wählen Sie unter C:\Programme\OpenLimit\Data\CRLs den entsprechenden
Aussteller aus, z.B. für die OpenLimit CA wählen Sie "OpenLimit", markieren Sie die Datei OpenLimit_CA.cer und klicken Sie
auf Öffnen.
Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordner des Programmverzeichnisses finden, müssen Sie sich das
167
Zertifikat des Zertifikatsherausgebers direkt downloaden und installieren. In den meisten Fällen finden Sie diese Daten auf
den jeweiligen Internetseiten.
Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.
Jetzt vertrauen Sie dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr Zertifikat
"Unterzeichnen, Unterschrift oder Verschlüsseln" angezeigt.
Nach dem Sie diese Einstellungen vorgenommen haben, erscheint in dem folgenden Fenster die Meldung, für welchen
Verwendungszweck das Zertifikat verifiziert wurde.
168
Schliessen Sie den Zertifikats-Manager und das Einstellungsfenster.
Zertifikate für die Signatur und Verschlüsselung auswählen
169
Klicken Sie in der Menüleiste nun auf Bearbeiten - eMail und Diskussionsforen-Konto-Einstellungen...
Wählen Sie jetzt im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse enthalten, die mit Ihrem
Zertifikat verbunden ist) Sicherheit aus, um zu der folgenden Ansicht zu gelangen.
An dieser Stelle legen Sie fest, welche Zertifikate zur Signatur und Verschlüsselung verwendet werden sollen.
Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen.
Mozilla / Netscape schlägt Ihnen an dieser Stelle für die Signatur von E-Mails automatisch ein Zertifikat vor.
Klicken Sie auf OK.
Nun öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum Ver- und
Entschlüsseln verwenden wollen. Bestätigen Sie mit OK.
170
Anschließend solten Sie überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist. Klicken Sie dazu
unter dem Punkt Verschlüsselung den Button Auswählen an. Für den Zweck sollte mindestens "Verschlüsseln" angezeigt
werden.
Klicken Sie nun auf OK. Damit wird Ihnen erneut das Fenster mit der Rubrik "Sicherheit" angezeigt.
Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre E-Mails generell signieren
wollen.
Wählen Sie, ob Sie Ihre E-Mails verschlüsselt oder unverschlüsselt versenden wollen.
Sie können diese Einstellung beim Erstellen einer E-Mail immer noch ändern.
171
Sie haben alle Sicherheitseinstellungen für Mozilla/Netscape vorgenommen und können das Fenster mit OK schließen.
172
10.2.2 Arbeiten mit Mozilla / Netscape Mail
E-Mails signieren und verschlüsseln
Starten Sie zunächst Mozilla/Netscape Mail und verfassen Sie eine neue E-Mail.
Klicken Sie jetzt auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-Mail nochmals zu prüfen und
gegebenenfalls zu ändern.
Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine E-Mail
verschlüsseln zu können.
Empfangen von signierten und verschlüsselten E-Mails
Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.
173
Klicken Sie auf das Stift-Symbol, um die Details der Signatur zu prüfen.
Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevor Sie die Nachricht
lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol gekennzeichnet.
174
Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.
So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Personen in den Zertifikat-Manager:
Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, brauchen Sie den öffentlichen Schlüssel dieser
Person.
Variante 1:
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail.
Wenn Sie die E-Mail öffnen, integriert Mozilla /Netscape Mail das mitgesendete Zertifikat automatisch in den Zertifikat-
Manager unter Andere Personen.
Variante 2:
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem Verschlüsselungszertifikat als Anhang.
Informationen zum Export eines Verschlüsselungszertifikats finden Sie in dem Abschnitt Verschlüsselungszertifikat
175
exportieren.
Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,
Importieren Sie diese dann in dem Zertifikat-Manager unter Zertifikate anderer Personen.
Wählen Sie dazu: Bearbeiten - Einstellungen - Privatsphäre & Sicherheit - Zertifikate
Klicken Sie auf Zertifikate verwalten.
Wählen Sie im Zertifikat-Manager den Register Andere Personen aus.
Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei (*.cer Datei) aus, die Sie auf Ihrem Computer
abgespeichert haben.
Das Zertifikat ist im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für diese Person verschlüsseln.
Beachten Sie, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer bestimmten E-Mail Adresse
steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail Adresse der gleichen Person senden.
10.3 Mozilla Thunderbird
Mozilla Thunderbird ist ein E-Mail Programm der Mozilla Foundation. Es bietet alle Funktionen eines modernen E-Mail
Programms und kann mit PKCS#11 Modulen umgehen. Benutzern von Microsoft Outlook wird die Bedienung von Thunderbird
leichtfallen, da viele der gängigsten Funktionen ähnlich sind.
In diesem Kapitel wird der Umgang mit Thunderbird 1.0.2 beschrieben. Sollten Sie eine andere Version von Thunderbird
verwenden, so kann es zu Abweichungen mit den hier aufgeführten Abläufen kommen.
176
10.3.1 Thunderbird Sicherheitseinstellungen
Starten Sie zunächst Thunderbird. Sollten Sie Thunderbird zum ersten Mal starten, so wird Ihnen das Programm mit einem
Assistenten beim Einrichten eines E-Mail Kontos behilflich sein.
Um E-Mails signieren /verschlüsseln zu können, muss unbedingt ein Mailkonto für die Mailadresse eingerichtet sein, die
auch in Ihrem Zertifikat enthalten ist (siehe gelbes Chipsymbol/Eigenschaften/Zertifikate).
Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser ordnungsgemäss installiert ist, Ihre Karte sich
in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte befinden.
Klicken Sie in der Menüleiste Extras - Einstellungen an, um das folgende Fenster zu öffnen.
177
Wählen Sie Erweitert aus und scrollen Sie den Balken rechts im Fenster zum Abschnitt Zertifikate.
Kryptographie-Modul installieren
Klicken Sie auf den Button Kryptographie-Module.
Jetzt öffnet sich Thunderbird's Kryptographie-Modul-Manager mit einer Ansicht aller bereits geladener Komponenten.
178
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu installieren.
Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11 Modul, und klicken Sie
dann auf Durchsuchen...
179
Navigieren Sie nun zum SignCubes Installations-Verzeichnis (Standard: C:\Programme\OpenLimit),
wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen.
Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses Modul installieren wollen, nochmals
mit OK.
Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK.
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OpenLimit SignCubes 2.5 Software.
180
Schließen Sie nun den Kryptographie-Modul-Manager mit einem Klick auf OK, um weitere Einstellungen
vorzunehmen.
Das Thunderbird Einstellungsfenster sollte noch geöffnet und der Abschnitt Zertifikate zu sehen sein.
Klicken Sie auf den Button Zertifikate, um den Thunderbird-Zertifikat-Manager zu öffnen.
Der Zertifikat-Manager übernimmt die Verwaltung der Zertifikate. Unter dem Register Ihre Zertifikate sind die Zertifikate
zu sehen, die sich auf Ihrer Karte befinden.
181
182
Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller nicht vertrauenswürdig" oder
"Herausgeber unbekannt" anzeigt.
Klicken Sie auf Ansicht.
Thunderbird bringt standardmäßig die Ausschrift "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert
werden." Diese Meldung ist zertifikatsabhängig und kann im Einzelfall abweichen.
183
Unter Herausgegeben für finden Sie den Herausgeber Ihres Zertifikats. Vermerken Sie sich bitte diese Information und
schließen Sie das Fenster.
Klicken Sie das Register "Zertifizierungsstellen" an und markieren Sie Ihren Zertifikatsaussteller.
Über den Button Bearbeiten sollten Sie in dem Fenster "Vertrauenseinstellungen" mindestens für den 2. Punkt ein
Häkchen setzen.
Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen importieren.
Klicken Sie dazu auf den Button Importieren,
wählen Sie unter C:\Programme\OpenLimit\Data\CRLs den entsprechenden Aussteller aus, z.B. für die OpenLimit CA
wählen Sie den Ordner "OpenLimit",
markieren Sie die Datei "OpenLimit _CA.cer" und klicken Sie auf Öffnen.
Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordern des Programmverzeichnisses finden, müssen Sie sich das
Zertifikat direkt von dem Zertfikatsaussteller (im Regelfall per die Web-Seite) downloaden.
Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.
184
Sie sollten mindestens für den 2. Punkt ein Häkchen setzen. Jetzt vertrauen Sie dem Aussteller Ihres Zertifikats und unter
dem Register Ihre Zertifikate wird für Ihr Zertifikat "Unterzeichnen, Unterschrift oder Verschlüsseln" angezeigt.
Wählen Sie erneut das Register Ihre Zertifikate aus.
Klicken Sie auf Ansicht, um weitere Detailinformationen zu erhalten.
Wenn alle Einstellungen korrekt ausgeführt wurden, sehen Sie folgendes Fenster, in dem Ihnen mitgeteilt wird, für welchen
Verwendungszweck das Zertifikat verifiziert wurde.
185
Klicken Sie auf Schließen. Anschließend können Sie auch den Zertifikat-Manager und das Einstellungs-
Fenster schließen.
186
Zertifikate für die Signatur und Verschlüsselung auswählen
Klicken Sie in der Menüleiste auf Extras - Konten.
Wählen Sie im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse enthalten, die mit Ihrem Zertifikat
verbunden ist) Sicherheit aus, um zu folgender Ansicht zu gelangen.
Legen Sie fest, welche Zertifikate für die Signatur und Verschlüsselung verwendet werden sollen.
Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen.
Thunderbird schlägt Ihnen an dieser Stelle automatisch ein Zertifikat für die Signatur von E-Mails vor.
Klicken Sie nun auf OK.
Es öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum Ver- und
187
Entschlüsseln verwenden wollen.
Klicken Sie hier auf OK.
Sie sollten überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist.
Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen an. Für den Zweck sollte
mindestens "Verschlüsseln" angezeigt werden.
Klicken Sie auf OK. Anschließend erscheint wieder das Fenster mit der Rubrik "Sicherheit"
Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre E-Mails generell signieren
wollen.
Wählen Sie, ob Sie Ihre E-Mails standardmäßig verschlüsselt oder unverschlüsselt versenden wollen.
Sie können diese Einstellungen beim Erstellen einer E-Mail immer noch ändern.
188
Sie haben alle Sicherheitseinstellungen für Thunderbird vorgenommen und können das Fenster mit OK schließen.
10.3.2 Arbeiten mit Thunderbird
Bevor Sie die hier beschriebenen Abläufe ausführen können, müssen Sie das E-Mail Programm konfigurieren. Lesen Sie
dazu das Kapitel Thunderbird Sicherheitseinstellungen.
E-Mails signieren und verschlüsseln
189
Starten Sie Thunderbird und verfassen Sie eine neue E-Mail.
Klicken Sie auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-Mail nochmals zu prüfen und
gegebenenfalls zu ändern.
Beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine E-Mail verschlüsseln
zu können.
Empfangen von signierten und verschlüsselten E-Mails
Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.
190
Klicken Sie auf das Stift-Symbol, um die Signatur der E-Mail zu prüfen.
Mit einem Klick auf Unterschriftszertifikat ansehen, können Sie sich die Details zum Zertifikat anzeigen
lassen.
Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevor Sie die Nachricht
lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol gekennzeichnet.
191
Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.
So integrieren Sie den öffentlichen Schlüssel von Zetrifikaten anderer Person in den Zertifikat-Manager:
Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, benötigen Sie den öffentlichen Schlüssel des
Empfängers.
Variante 1:
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail.
Wenn Sie die E-Mail öffnen, integriert Thunderbird das mitgesendete Zertifikat automatisch in den Zertifikat-Manager
unter Zertifikate anderer Personen.
192
Variante 2:
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem Verschlüsselungszertifikat als Anhang.
Weitere Informationen zu dem Export von Verschlüsselungszertifikaten finden Sie in dem Abschnitt
Verschlüsselungszertifikat exportieren.
Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,
Importieren Sie diese dann in den Zertifikat-Manager unter Zertifikate anderer Personen.
Wählen Sie dazu: Extras - Einstellungen - Erweitert - Zertifikate
Wählen Sie dann im Zertifikat-Manager den Register Zertifikate anderer Personen aus.
Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie auf Ihrem Computer abgespeichert
haben.
Das Zertifikat ist jetzt im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für die Person, der dieses Zertifikat
gehört, verschlüsseln.
Beachten Sie bitte, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer bestimmten E-Mail Adresse
steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail Adresse der gleichen Person senden.
10.4 Lotus Notes
Lotus Notes ist ein E-Mail Programm, welches sehr umfassende Funktionen bietet. Hier werden nur die Funktionen
beschrieben, welche in direkter Verbindung mit dem Empfangen und Versenden von signierten und verschlüsselten E-Mails
stehen.
Die hier beschriebenen Abläufe beziehen sich auf die Software Lotus Notes 6.5, Version 6.5.4 Deutsch. Bitte beachten Sie,
dass frühere Versionen (z.B. Lotus Notes 6.5.3 Deutsch) nicht ausreichend lokalisiert sind und daher manche Funktionen
(z.B. Internet-Zertifikate von Smartcard importieren) nicht möglich sind. Dies hat zur Folge, dass die Vorgängerversionen
193
nicht ohne weiteres für die hier beschriebenen Abläufe zu verwenden sind.
Sollten Sie eine ältere Version von Lotus Notes 6.5 oder Lotus Notes 6 verwenden, so kann es hilfreich sein, erst ein
Update auf die oben genannte Version zu installieren, bevor Sie versuchen, die hier beschriebenen Abläufe
nachzuvollziehen.
10.4.1 Lotus Notes 6.5.4 Sicherheitseinstellungen
Voraussetzung für die Sicherheitseinstellungen in Lotus Notes
Bevor Sie die hier beschriebenen Einstellungen vornehmen können, müssen folgende Voraussetzungen erfüllt sein:
Ihr E-Mail Konto muss ordnungsgemäß eingerichtet sein,
die OpenLimit SignCubes 2.5 Software und der Kartenleser müssen installiert sein,
OpenLimit SignCubes 2.5 ist gestartet,
die Karte befindet sich im Kartenleser und wurde erkannt.
Installieren des PKCS#11 Treibers
Damit Lotus Notes mit den Zertifikaten auf Ihrer Smartcard arbeiten kann, muss zunächst der PKCS#11 Treiber in Lotus
Notes installiert werden.
Wählen Sie zunächst Datei - Sicherheit - Benutzersicherheit...
194
Klicken Sie auf Ihre Identität im linken Bereich des Fensters.
Wählen Sie anschließend Ihre Smartcard.
Jetzt öffnet sich ein Fenster zur Smartcard Konfiguration.
Klicken Sie nun auf das Ordner-Symbol, um eine Smartcard-Treiberdatei zu installieren.
Daraufhin öffnet sich ein Fenster zum Auswählen des Smartcard Treibers.
195
Navigieren Sie nun zu dem SignCubes Programmverzeichnis (Standard: C:\Programme\ OpenLimit) und wählen die Datei
siqp11.dll aus.
Klicken Sie auf Öffnen, um den Treiber zu installieren.
Daraufhin wird das Fenster zur Smartcard Konfiguration dargestellt, in welchem Sie jetzt den installierten Treiber sehen.
Klicken Sie auf Fortfahren..., um die Installation abzuschließen.
Installation Ihres Signatur-Zertifikats
Damit Sie das auf Ihrer Smartcard gespeicherte Signaturzertifikat zum Signieren von E-Mails in Lotus Notes nutzen
können, müssen Sie dieses zunächst installieren.
196
Wählen Sie Ihre Zertifikate in dem linken Bereich des Fensters aus.
Klicken Sie dann auf den Button Zertifikate abrufen... und wählen Sie aus dem Menü den Punkt Internet-Zertifikat von
einer Smartcard importieren.
Hinweis: Wenn Sie eine ältere deutsche Version von Lotus Notes 6.5 oder 6 (z.B. Lotus Notes 6.5.3 Deutsch) verwenden, ist
diese Schaltfläche gegraut und Sie können somit keine Smartcard Zertifikate importieren. Installieren Sie in diesem Fall
ein Update auf Lotus Notes 6.5.4.
Wenn die Zertifikate erfolgreich importiert wurden, erscheint folgende Meldung.
Wählen Sie nun Ihre Internet-Zertifikate aus dem Menü.
Jetzt werden die von der Smartcard importierten Zertifikate angezeigt werden.
Wenn Ihr Zertifikat nicht angezeigt wird, sollten Sie Lotus Notes beenden, neu starten und dann zu diesem Dialog
zurückkehren (Datei - Sicherheit - Benutzersicherheit- Ihre Identität - Ihre Zertifikate - Menü: Ihre Internet-Zertifikate).
197
10.4.2 Arbeiten mit Lotus Notes 6.5.4
Bevor Sie damit beginnen können, mit Lotus Notes 6.5.4 signierte oder verschlüsselte E-Mails zu versenden oder zu
empfangen, stellen Sie sicher, dass das Programm ordnungsgemäss konfiguriert ist. Lesen Sie dazu das Kapitel Lotus
Notes 6.5.4 Sicherheitseinstellungen.
Versenden einer signierten E-Mail
198
Erstellen Sie zunächst ein neues Memo.
Klicken Sie dann auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für Signieren.
Klicken Sie auf OK, um die Einstellungen zu speichern.
Jetzt können Sie die E-Mail senden.
Sie werden dazu aufgefordert, eine Signatur zu erzeugen. Weitere Informationen dazu finden Sie in dem Abschnitt
Signieren.
So integrieren Sie den öffentlichen Schlüssel des Zertifikats einer anderen Person in Lotus Notes:
199
Die Person, für die Sie verschlüsseln wollen muss Ihnen dazu eine signierte E-Mail senden.
Öffnen Sie die E-Mail, klicken Sie dann auf den Button Werkzeuge und wählen Sie im Menü Absender in Adressbuch
aufnehmen aus.
Es öffnet sich ein Fenster, zur Aufnahme der Daten in das Adressbuch.
200
Wählen Sie jetzt das Register Erweitert aus, und aktivieren Sie die Option Gegebenenfalls x.509-Zertifikate aufnehmen.
Klicken Sie OK, um die Daten zu speichern.
Versenden einer verschlüsselten E-Mail
Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen verschlüsseln zu
können.
201
Erstellen Sie zunächst ein neues Memo.
Klicken Sie auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für Verschlüsseln.
Klicken Sie dann auf OK, um die Einstellungen zu speichern.
Jetzt können Sie Ihre verschlüsselte E-Mail versenden.
10.4.3 Lotus Notes 5
Zur Verwendung Ihrer Smartcard unter Lotus Notes 5 wird ein PKCS#11 Treiber benötigt.
Dieser wird unter Lotus Notes 5 über Trusted Mime eingebunden. Dazu muss Trusted Mime auf dem Rechner installiert
sein. Um genaue Informationen zu erhalten, wie Sie den PKCS#11 Treiber in Trusted Mime richtig einbinden, informieren Sie
sich bitte in der Trusted Mime Dokumentation.
Der PKCS#11 Treiber befindet sich im Installationsverzeichnis der OpenLimit SignCubes 2.5 Software ( Standard:
C:\Programme\ OpenLimit\siqp11.dll )
Weitere Informationen finden Sie in dem Abschnitt Arbeiten mit Lotus Notes 6.5.4.
202
11. SSL Authentisierung
Mit den Modulen der OpenLimit SignCubes Software sind Sie in der Lage, sich an einer Webseite welche SSL
Authentisierung verwendet, anzumelden. Diese Aufgabe wird je nach Verwendung des Web-Browsers vom CSP oder vom
PKCS#11 Treiber übernommen.
Über SSL:
Secure Sockets Layer (SSL) ist ein Verschlüsselungsprotokoll für Datenübertragung im Internet. Wenn eine Verbindung zu
einer Webseite über SSL hergestellt wird, geschieht dies in etwa so:
Zunächst sendet der Client (Web-Browser mit dem Sie arbeiten) eine Verbindungsanfrage an den Server (dort ist die
Webseite, die Sie besuchen wollen).
Daraufhin antwortet der Server und sendet ein Zertifikat.
Indem Sie bestätigen, dass Sie dem Zertifikat des Servers vertrauen, ermöglichen Sie Ihren Web-Browser die Verbindung
zum Server herzustellen. (Dieser Schritt wird unter Umständen automatisch durchgeführt, z.B. dann, wenn das Server-
Zertifikat von Ihrem Web-Browser bereits als vertrauenswürdig eingestuft wird.)
Eventuell will der Server aber auch wissen ob, Sie die Person sind, für die Sie sich ausgeben und sendet eine
entsprechende Anfrage an Ihren Web-Browser (Bidiretionelle SSL Authentifizierung).
Jetzt müssen Sie sich dem Server gegenüber identifizieren, indem Sie die Anfrage des Servers signieren. Dabei kommen
die Module der Software zum Einsatz.
Nun ist eine sichere Verbindung über SSL hergestellt.
Wenn Sie mehr über SSL wissen wollen, lesen Sie unter http://de.wikipedia.org/wiki/Secure_Sockets_Layer nach.
Die folgenden Web-Browser werden für die SSL Authentisierung von OpenLimit SignCubes 2.5 unterstützt:
Internet Explorer ab Version 6
Mozilla ab Version 1.6 (entspricht Netscape ab Version 7.1)
Firefox ab Version 1.0.4
Der Internet Explorer nutzt dazu den Cryptographic Service Provider (CSP). Firefox und Mozilla / Netscape hingegen
verwenden den PKCS#11 Treiber. Firefox und Mozilla / Netscape müssen daher richtig konfiguriert werden, bevor die SSL
Authentisierung gestartet werden kann. Wenn Sie mit Firefox oder Mozilla / Netscape arbeiten, lesen Sie deshalb bitte die
Kapitel Firefox Browser Sicherheitseinstellungen bzw. Mozilla / Netscape Browser Sicherheitseinstellungen.
11.1 Internet Explorer
Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie Ihre Karte in den Leser
stecken und warten bis diese erkannt wurde (Chipsymbol ist gelb).
Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSL Verschlüsselung.
Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Server gegenüber nicht identifizieren. Zudem
sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird zwar eine sichere Verbindung hergestellt, jedoch ist es
möglich, dass Sie die Daten, die Sie übermitteln nicht an die Stelle senden, an die Sie diese zu senden glauben.
Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden.
Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung
203
Wenn Sie mit Internet Explorer eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird eventuell eine Meldung
angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen.
Bestätigen Sie den Dialog mit Ja, um fortzufahren.
Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite angezeigt. Lesen Sie diese
aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. Um den Vorgang fortzusetzen, müssen Sie diesem Zertifikat
vertrauen und mit Ja bestätigen.
Warten Sie nun einen Moment, bis sich der Signaturanforderungsdialog der OpenLimit SignCubes 2.5 Software öffnet.
Klicken Sie jetzt auf Signatur erzeugen und geben Sie Ihre globale PIN ein. Damit identifizieren Sie sich
gegenüber dem Server.
Die Verbindung zur Webseite wird hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite ausgetauscht werden,
werden über eine sichere Verbindung geschickt.
11.2 Mozilla Firefox Browser Sicherheitseinstellungen
Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren, dass dieser mit Ihrer
Smartcard und den darauf installierten Zertifikaten umgehen kann.
Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser richtig installiert ist, Ihre Karte sich in diesem
befindet, erkannt wurde und die notwendigen Zertifikate sich auf Ihrer Karte befinden.
Öffnen Sie den Web-Browser und klicken Sie dann in der Menüleiste auf Extras - Einstellungen.
Kryptographie Modul installieren
204
Wählen Sie nun aus der Spalte links im Fenster Erweitert und scrollen Sie dann im rechten Teil des
Fensters bis zum Abschnitt Zertifikate.
Klicken Sie jetzt auf Kryptographie-Module verwalten...
Es öffnet sich der Kryptographie-Modul-Manager mit einer Ansicht der bereits aktiven Komponenten.
205
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum Umgang mit
notwendig ist, zu installieren.
Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11 Modul, und klicken Sie
Durchsuchen...
Ihrer Karte
dann auf
Navigieren Sie zum SignCubes Installations-Verzeichnis (Standard: C:\Programme\ OpenLimit), wählen Sie dort die Datei
siqp11.dll aus, und klicken Sie auf Öffnen.
206
Klicken Sie nun auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul
ätigen Sie dies mit OK.
er das geladene PKCS#11 Modul.
installieren wollen, best
Anschließend sehen Sie links im Fenst
Klicken Sie nun auf OK.
Jetzt ist Firefox richtig konfiguriert.
207
11.3 Mozilla Firefox SSL Authentisierung
re Karte in den Leser
Es wird der Signaturanforderungsdialog der OpenLimit SignCubes 2.5 Software geöffnet.
jetzt auf Signatur erzeugen
Geben Sie Ihre globale PIN (CSA- nüber dem Server.
Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie Ih
stecken und warten, bis diese erkannt wurde (gelbes Chipsymbol).
Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSL Verschlüsselung.
Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Server gegenüber nicht identifizieren. Zudem
sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird zwar eine sichere Verbindung hergestellt, jedoch ist es
möglich, dass Sie die Daten, die Sie übermitteln nicht an die Stelle senden, an die Sie diese zu senden glauben.
Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden.
Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung
Wenn Sie mit Firefox eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird eventuell eine Meldung angezeigt,
in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen.
Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite angezeigt. Lesen
Sie diese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. Um den Vorgang fortzusetzen,
müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen.
Sie können das Zertifikat temporär oder für immer akzeptieren. Wenn Sie das Zertifikat für immer akzeptieren, wird es im
Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht mehr angezeigt.
Klicken Sie
Passwort) ein. Damit identifizieren Sie sich gege
Es wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite ausgetauscht
werden, werden über eine sichere Verbindung geschickt.
11.4 Mozilla / Netscape Browser Sicherheitseinstellungen
Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren, dass dieser mit Ihrer
Smartcard und den darauf installierten Zertifikaten umgehen kann.
Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser richtig installiert ist, Ihre Karte sich in diesem
208
befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte befinden.
Öffnen Sie den Web-Browser und klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen.
Kryptographie Modul installieren
Wählen Sie nun aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate
Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...
Jetzt öffnet sich ein Fenster in dem bereits geladene Sicherheitsmodule angezeigt werden.
209
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum Umgang mit
notwendig ist, zu installieren.
Geben Sie dem Modul zunächst einen Namen, z.B. "OpenLimit SignCubes PKCS#11 Modul" und klic
Durchsuchen...
Ihrer Karte
ken Sie auf
Navigieren Sie
die Datei siqp11.dll
zum OpenLimit SignCubes Installations-Verzeichnis (Standard: C:\Programme\OpenLimit), wählen Sie dort
aus und klicken Sie auf Öffnen.
210
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul.
Klicken Sie auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul
installieren wollen, bestätigen Sie dies mit OK.
Klicken Sie nun auf OK.
Jetzt ist Mozilla /Netscape richtig konfiguriert.
211
11.5 Mozilla / Netscape SSL Authentisierung
Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie Ihre Karte in den Leser
stecken und warten, bis sie erkannt wurde (gelbes Chipsymbol).
Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSL Verschlüsselung.
Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Server gegenüber nicht identifizieren. Zudem
sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird zwar eine sichere Verbindung hergestellt, jedoch ist es
möglich, dass Sie die Daten, die Sie übermitteln nicht an die Stelle senden, an die Sie diese zu senden glauben.
Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden.
Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung
Wenn Sie mit Mozilla / Netscape eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird eventuell eine Meldung
angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen.
Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteurtern Webseite angezeigt. Lesen
Sie diese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. Um den Vorgang fortzusetzen,
müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen.
Sie können das Zertifikat temporär oder dauerhaft akzeptieren. Wenn Sie das Zertifikat dauerhaft akzeptieren, wird es im
Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht mehr angezeigt.
fnet sich der Signaturanforderungsdialog der OpenLimit SignCubes 2.5 Software.
Klicken Sie auf Signatur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit identifizieren Sie sich
gegenüber dem Server.
Es öf
Jetzt wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite ausgetauscht
werden, werden über eine sichere Verbindung geschickt.
212
12. Erste Hilfe
In diesem Kapitel wird der Umgang mit Fehlermeldungen des Produktes beschrieben. In den folgenden Auflistungen finden
Sie mögliche Fehler, deren Ursache und wie Sie als Benutzer auf diese Fehler reagieren können oder müssen.
12.1 Wie gehe ich mit Fehlermeldungen um?
Im Idealfall läuft das Produkt auf Ihrem Rechner so, dass Sie nie eine Fehlermeldung sehen. Da aber das Produkt
Sicherheitskomponenten (siehe "2.5.0.2") enthält, die Sie vor manipulierten Inhalten bei der Darstellung und bei der
Signaturerzeugung schützen sollen, werden Sie im Laufe der Arbeit mit dem Produkt auch mit solchen vermeintlichen
Fehlermeldungen konfrontiert, die Sie auf ein Sicherheitsrisiko oder auf einen tatsächlich erfolgten Angriff auf ein durch
das Produkt zu schützendes Objekt hinweisen.
Der folgende Abschnitt gibt Ihnen eine Übersicht, wie das Produkt auf versuchte Manipulationen oder Änderungen reagiert
und wie Sie als Benutzer in diesem Falle verfahren sollten. Dieser Abschnitt soll Sie als Benutzer des Produktes so
sensibilisieren, dass Sie in der Lage sind, den sicheren Zustand des Produktes zu erkennen und Abweichungen richtig zu
interpretieren.
Der OpenLimit SignCubes Viewer meldet, dass die Fontdatei cour.ttf nicht vorhanden oder manipuliert ist:
Hintergrund: Der OpenLimit SignCubes Viewer verwendet den Font Courier New zur Darstellung von Textinhalten. Diese
Schriftart ist eine symmetrische Schriftart und die Verwendung soll dazu beitragen, dass Sie den angezeigten Text
eindeutig lesen können. Die Interpretation des angezeigten Textes aus inhaltlicher Sicht kann die gesicherte
Anzeigeeinheit allerdings nicht leisten, Sie müssen als Benutzer selbst entscheiden, ob Sie den angezeigten Text signieren
wollen oder nicht.
Ursache: In diesem Falle kommen zwei Ursachen in Frage. Die Datei kann wissentlich oder unwissentlich aus dem System
entfernt worden sein. Da diese Font-Datei integraler Bestandteil des Betriebssystems ist, kommt eine wissentliche oder
unwissentliche Manipulation des Betriebssystems in Betracht. Als zweite Ursache kann der Austausch oder die
Manipulation dieser Datei in Betracht gezogen werden. Wenn Sie z.B. ein Grafikbearbeitungsprogramm auf Ihrem Rechner
installieren, welches die vorhandene Datei des Betriebssystems austauscht, kann diese Fehlermeldung auftreten. Sie
sollten aber in Betracht ziehen, dass ein Angreifer versucht hat, die Datei so zu manipulieren, dass z.B. das Euro Zeichen
gegen das Zeichen für britische Pfund ausgetauscht wurde.
Benutzerinteraktion: Wenn die Fehlermeldung angezeigt wird, müssen Sie als Benutzer selbst entscheiden, ob Sie der
Darstellung durch den OpenLimit SignCubes Viewer vertrauen. Der OpenLimit SignCubes Viewer kann in diesem Fall keine
Garantie geben, dass der angezeigte Text dem entspricht, wie er mit der korrekten Version der Font Datei angezeigt
werden würde. Vertrauen Sie im Zweifelsfall der Darstellung nicht und erzeugen Sie keine elektronische Signatur an dem
angezeigten Dokument.
Der Rechner stürzt während der Signaturerzeugung ab oder der Kartenlesertreiber bleibt 'hängen':
Hintergrund: Wenn Inkompatibilitäten zwischen dem Betriebssystem und dem verwendeten Kartenlesertreiber existieren,
kann möglicherweise der Rechner während der Signaturerzeugung abstürzen oder das System reagiert nicht mehr auf
Benutzerinteraktion. Das ist kein Fehler, der durch das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version
2.5.0.2 verursacht wird.
Benutzerinteraktion: Wenn der Rechner abstürzt oder hängen bleibt, sollten Sie auf jeden Fall den Rechner abschalten und
neu starten. Nur dieses Vorgehen gibt Ihnen als Benutzer die Sicherheit, dass der Arbeitsspeicher des Rechners neu
initialisiert wird und keine Speicherbereiche im RAM des Rechners verbleiben, die evtl. noch die erzeugte elektronische
213
Signatur beinhalten. Wenn das Problem häufiger auftritt, sollten Sie sich an den Hersteller des verwendeten Kartenlesers
wenden und Informationen einholen, welcher Treiber für Ihren Kartenleser geeignet ist.
Bei der Arbeit mit dem Produkt können Sie mit der Anwendung keine Signaturen mehr erzeugen oder prüfen. Der Tooltip
im Systemtray zeigt an: 'Deaktiviert wegen Manipulationsverdacht':
Hintergrund: Eine Sicherheitsfunktion des Produktes bietet einen Selbstschutz des Programmes gegen
Manipulationsversuche durch andere Programme oder durch unbefugte Dritte. Wenn ein Bestandteil des Produktes
erkennt, dass z.B. eine Programmbibliothek ausgetauscht wurde, wird dies dem OpenLimit SignCubes Security
Environment Manager gemeldet, welcher daraufhin die Funktionen zur Signaturerzeugung und Verifikation deaktiviert.
Ursache: Möglicherweise hat jemand versucht, den Zustand des Produktes auf Ihrem Rechner zu manipulieren oder so zu
verändern, dass daraus ein Schaden für Sie als Anwender entstehen könnte. Wenn Sie versucht haben, Bibliotheken aus
älteren Versionen mit dem Produkt zu verwenden, gilt dies ebenfalls als Manipulationsversuch und das Programm wird
deaktiviert.
Benutzerinteraktion: Sie sollten jetzt mit dem OpenLimit SignCubes Integrity Tool den Zustand Ihrer lokalen Installation
überprüfen. Dieses Programm teilt Ihnen detailliert mit, welche Programmbibliothek von dem Manipulationsversuch
betroffen ist. Sie sollten keine weiteren Interaktionen mit dem Produkt ausführen, insbesondere sollten Sie nicht
versuchen, eine elektronische Signatur zu erzeugen. Wenn Sie ein nicht vom Hersteller authorisiertes Update eingespielt
haben, müssen Sie das Produkt deinstallieren und erneut installieren. Wenn Sie sich nicht sicher sind, wie Sie weiter mit
dem Produkt verfahren sollen, wenden Sie sich an den Hersteller, der Ihnen in diesem Fall Tipps für ein weiteres Vorgehen
geben kann.
12.2 Fehlermeldungen vor oder während der Installation
Die folgenden Fehlermeldungen können vor oder während der Installation angezeigt werden.
Fehlermeldung Ursache Benutzeraktion
Ihr Betriebssystem wird nicht
unterstützt. Bitte verwenden Sie
für diese Anwendung ein anderes
Betriebssystem. Das Setup wird
beendet.
Diese Fehlermeldung kann nach dem
Sprachauswahldialog und vor dem Anzeigen
der ersten Dialogseite für das Setup der
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 generiert werden.
Die Betriebsystemversion, auf der das
Produkt installiert werden soll, entspricht
nicht den Mindestvoraussetzungen.
Sie müssen ein Betriebsystem
verwenden, welches den
Mindestanforderungen genügt.
Ihre gegenwärtige Windows-
Anmeldung ist nicht mit
Administratoren-Rechten
ausgestattet. Um das Setup
ausführen zu können, müssen Sie
sich als Administrator anmelden.
Das Setup wird beendet.
Diese Fehlermeldung kann nach dem
Sprachauswahldialog und vor dem Anzeigen
der ersten Dialogseite für das Setup der
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 generiert werden.
Sie sind nicht mit Administrationsrechten
angemeldet.
Sie müssen sich mit
Administrationsrechten an dem Rechner
anmelden.
214
Fehlermeldung Ursache Benutzeraktion
Ihr Internet Explorer ist älter als
Version 5.01 SP2. Bitte
installieren Sie zunächst einen
neueren Internet Explorer. Das
Setup wird beendet.
Diese Fehlermeldung kann nach dem
Sprachauswahldialog und vor dem Anzeigen
der ersten Dialogseite für das Setup der
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.6.2 generiert werden.
Ihr Betriebsystem genügt nicht den
Mindestanforderungen.
Sie müssen eine Version des Microsoft
Internet Explorers installieren, die den
Anforderungen des Produktes genügt.
Sie haben für die Registry keine
Rechte zum Schreiben. Die
Installation kann nur mit
Schreibrechten fortgesetzt
werden
Ihr Benutzerprofil erlaubt keinen
schreibenden Zugriff auf die Registry des
Betriebsystems.
Sie müssen sich mit einem Konto
anmelden, das über Schreibrechte auf
die Registry verfügt. Wenn Sie
Programme verwenden, die den
schreibenden Zugriff auf die Registry
verhindern, sollten Sie diese
deaktivieren.
Konnte Verzeichnis nicht
erstellen.
Diese Fehlermeldung kann während des
eigentlichen Installationsvorganges des
Setups der OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.6.2
generiert werden.
Das Verzeichnis zum Installieren der
Anwendung konnte nicht erstellt werden.
Sie sollten prüfen, ob Sie über
Schreibrechte für das ausgewählte
Installationsverzeichnis verfügt.
Die installierte Programm-
Version ist neuer als dieses
Setup-Programm. Bitte
verwenden Sie die aktuellste
Version. Das Setup wird
abgebrochen.
Diese Fehlermeldung kann nach dem
Sprachauswahldialog und vor dem Anzeigen
der ersten Dialogseite für das Setup der
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 generiert werden.
Es ist bereits eine neuere Version der
OpenLimit Basiskomponenten installiert.
Falls eine Neuinstallation notwendig ist,
installieren Sie die aktuellste Version.
Der Inhalt dieses Setups ist älter
als Ihre installierte Version. Bitte
installieren Sie nur die neueste
Version.
Diese Fehlermeldung kann nach dem
Sprachauswahldialog und vor dem Anzeigen
der ersten Dialogseite für das Setup der
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 generiert werden.
Es ist bereits eine neuere Version der
OpenLimit Basiskomponenten installiert.
Falls eine Neuinstallation notwendig ist,
installieren Sie die aktuellste Version.
215
Fehlermeldung Ursache Benutzeraktion
Es ist nicht genügend
Speicherplatz für die Installation
dieser Anwendung vorhanden.
Der minimal erforderliche
Speicherplatz beträgt 200 MB.
Diese Fehlermeldung kann nach dem
Sprachauswahldialog und vor dem Anzeigen
der ersten Dialogseite für das Setup der
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 generiert werden.
Für die Installation steht kein ausreichender
Speicherplatz zur Verfügung.
Stellen Sie sicher, dass ca. 200 MB
Speicherplatz für die Installation zur
Verfügung stehen und starten Sie die
Installation erneut.
Sie benötigen für diese
Anwendung eine Java(TM)
Runtime in einer Version
mindestens 1.4.2_08. Bitte
installieren Sie vorher eine
entsprechende Java (TM)
Runtime. Das Setup wird jetzt
abgebrochen.
Diese Fehlermeldung kann nach dem
Sprachauswahldialog und vor dem Anzeigen
der ersten Dialogseite für das Setup der
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 generiert werden.
Diese Fehlermeldung weist darauf hin, dass
entweder die Java(TM) Runtime Version
fehlt oder eine ältere Version installiert ist.
Installieren Sie zunächst eine aktuelle
Java(TM) Runtime Version und starten
sie die Installation erneut.
Diese Produktversion ist mit der
installierten Version nicht
vereinbar. Bitte deinstallieren
Sie vorher die alte Version.
Diese Fehlermeldung kann nach dem
Sprachauswahldialog und vor dem Anzeigen
der ersten Dialogseite für das Setup der
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 generiert werden.
Diese Fehlermeldung weist darauf hin, dass
das Produkt nicht kompatibel zu den
installierten Basiskomponenten ist.
Installieren Sie zunächst eine aktuelle
Version der OpenLimit
Basiskomponenten, für die dieses
Produkt freigegeben ist.
Diese Produktversion ist mit der
installierten Version nicht
vereinbar.
Diese Fehlermeldung kann nach dem
Sprachauswahldialog und vor dem Anzeigen
der ersten Dialogseite für das Setup der
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 generiert werden.
Diese Fehlermeldung weist darauf hin, dass
das Produkt nicht kompatibel zu den
installierten Basiskomponenten ist.
Prüfen Sie zunächst, ob das zu
installierende Produkt für die bereits
vorhandenen Basiskomponenten
freigegeben ist.
216
Fehlermeldung Ursache Benutzeraktion
Diese Produktversion läßt sich
auf Ihrem Rechner nur
installieren, wenn Sie vorher die
alte Version deinstalliert haben.
Diese Fehlermeldung kann nach dem
Sprachauswahldialog und vor dem Anzeigen
der ersten Dialogseite für das Setup der
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 generiert werden.
Es ist bereits eine ältere Version des
Produktes installiert.
Bitte deinstallieren Sie zunächst die
ältere Produktversion und starten
anschließend die Installation neu.
12.3 Fehlermeldungen OpenLimit SignCubes Security Environment Manager
Die folgenden Abschnitte erklären, welche Fehlermeldungen auftreten können und wie Sie diese Fehlermeldungen
bewerten müssen.
Grundsätzlich werden alle Fehlermeldungen vom OpenLimit SignCubes Security Environment Manager generiert, es sei
denn, die Fehlermeldung betrifft den OpenLimit SignCubes Viewer. Der OpenLimit SignCubes Viewer realisiert selbständig
Prüfroutinen, welche die Erkennung von Dokumentformaten betreffen. In der folgenden Tabelle werden die
Fehlermeldungen für den OpenLimit SignCubes Security Environment Manager aufgelistet und die mögliche Fehlerursache
benannt.
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Der eingegebene Lizenzcode
ist ungültig.
Diese Fehlermeldung kommt nach
Überprüfung des eingegebenen
Lizenzcodes.
Sie sollten den Lizenzmanager erneut
starten und den Lizenzcode exakt
eingeben. Der sichere Zustand des
Produktes wird nicht beeinflusst.
Bei der Freischaltung der
Lizenz ist ein Fehler
aufgetreten.
Diese Fehlermeldung kann während des
Lizenzierungsvorganges generiert werden.
Sie sollten sollte den Lizenzmanager
erneut starten und auf die exakte Eingabe
des Lizenzcodes achten. Der sichere
Zustand des Produktes wird nicht
beeinflusst.
unerwarteter Fehler Dieser Fehler kann in der
Zertifikatsdetailanzeige auftreten. Die
Fehlermeldung wird angezeigt, wenn die
Prüfung des Zertifikates oder des Pfades
zum Herausgeber fehlschlägt.
Es ist ein Fehler aufgetreten, der nicht im
Rahmen der vorhandenen Fehlerbehandlung
abgefangen werden konnte.
Signaturprüfung:Detailanzeige:Zustand der
Hashwertprüfung: ist undefiniert. Der
sichere Zustand des Produktes ist nicht
betroffen. Der Hashwert konnte nicht
geprüft werden.
217
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Versuchen Sie es zu einem
späteren Zeitpunkt erneut.
Wenn Sie eine OCSP-Anfrage starten und
diese von der Gegenstelle nicht bearbeitet
werden kann, kann diese Statusmeldung
erscheinen.
Die OCSP-Anfrage kann durch die
Gegenstelle zum gegenwärtigen Zeitpunkt
nicht bearbeitet werden.
Diese Fehlermeldung besagt, dass das
Produkt Ihnen keine Aussage zum
Zertifikatsstatus liefern kann. Sie müssen
selbst entscheiden, ob Sie dem
Signaturzertifikat vertrauen. Der sichere
Zustand des Produktes ist in diesem Fall
nicht betroffen.
Prüfen Sie bitte, ob Sie mit
dem Internet verbunden sind.
Diese Statusmeldung erscheint, wenn für
eine Operation eine Internetverbindung
notwendig ist, diese aber nicht besteht.
Wenn Sie aktuelle Sperrlisten abrufen oder
eine OCSP Abfrage durchführen wollen,
wird eine Internet Verbindung benötigt.
Wenn die Verbindung nicht hergestellt
werden kann, werden Sie mit dieser
Meldung aufgefordert, die Internet
Verbindung zu überprüfen.
Der sichere Zustand ist in diesem Falle
nicht betroffen.
Die Signaturkomponente
konnte nicht initialisiert
werden!
Bei folgenden Aktionen kann diese
Fehlermeldung erscheinen:
Signaturerzeugung aus
dem OpenLimit
SignCubes Viewer .
Signaturverifikation aus
dem OpenLimit
SignCubes Viewer.
it
Interface konnte nicht
geladen werden.
Alle Operationen, bei
denen ein Subsystem
auf das OpenLim
SignCubes Job
Interface zurückgreift.
Der OpenLimit SignCubes Security
Environment Manager konnte nicht
gestartet werden bzw. das OpenLimit
SignCubes Job
In diesem Falle ist das Produkt entweder
nicht korrekt installiert oder beschädigt.
Der sichere Zustand des Produktes kann
nicht gewährleistet werden. Sie sollten das
Programm erneut installieren.
218
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Die Daten wurden nicht
signiert!
Die Daten konnten nicht signiert werden.
Diese Fehlermeldung ist ein Hinweis auf
eine fehlerhafte Kommunikation zwischen
dem OpenLimit SignCubes Security
Environment Manager und der
verwendeten Chipkarte, außer Sie brechen
den Signaturvorgang ab.
Die Chipkarte sendete eine Statusmeldung,
die besagt, dass die Daten von der
Chipkarte nicht verarbeitet wurden. Der
sichere Zustand des Produktes ist nicht
gefährdet, Sie sollten die Operation
wiederholen.
Die Datei ist nicht signiert! Diese Fehlermeldung kann bei der
Signaturprüfung über den OpenLimit
SignCubes Viewer auftreten.
Sie haben versucht, die Signatur an einer
nicht signierten Datei zu überprüfen. Es ist
beispielsweise eine Signaturdatei
vorhanden, jedoch enthält die
Signaturdatei keine Signatur.
Der sichere Zustand des Produktes ist
nicht betroffen. Entweder wurde die
Signaturdatei nicht korrekt erzeugt oder
es hat eine Manipulation der Signaturdatei
stattgefunden, die zur Folge hat, dass die
Signaturdatei leer ist.
Die Datei besitzt eine
ungültige Signatur!
Diese Statusmeldung kann im Dialog zur
Signaturprüfung angezeigt werden. Die
Signaturprüfung ist im Abschnitt Arbeiten
mit den OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2
Signaturverifikation beschrieben.
Die Signatur passt nicht zu den
Originaldaten. Ursache können die
Manipulation der Originaldaten, z.B. durch
Übertragungsfehler als auch gezielte
Manipulationen der Originaldaten oder der
Signatur sein.
Der sichere Zustand des Produktes ist
nicht betroffen. Es wurde erkannt, dass die
Signatur ungültig ist. Sie sollten dem
empfangenen Dokument bzw. der Signatur
nicht vertrauen.
219
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Der Zertifikatsstatus konnte
nicht vollständig geprüft
werden!
Diese Statusmeldung kann im Dialog zur
Signaturprüfung angezeigt werden. Die
Signaturprüfung ist im Abschnitt Arbeiten
mit den OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2
Signaturverifikation beschrieben.
Diese Statusmeldung erscheint bei der
Signaturverifikation. Diese Meldung
erscheint immer dann, wenn die Gültigkeit
des Zertifikats nicht über eine Sperrliste,
die nach dem Signaturzeitpunkt
herausgegeben wurde, geprüft werden
kann.
Der sichere Zustand des Produktes ist
nicht betroffen. Sie sollten eine OCSP
Abfrage vornehmen.
Der Dateityp konnte nicht
ermittelt werden!
Die Statusmeldung kann angezeigt werden,
wenn eine Datei über OpenLimit SignCubes
Viewer signiert oder verifiziert werden
soll.
Das Modul zur Dokumentenerkennung
konnte nicht ermitteln, um welchen
Dateityp es sich handelt. Es war dem Modul
zur Dokumenterkennung nicht möglich, die
Datei lesend zu öffnen.
Der sichere Zustand des Produktes ist
nicht betroffen.
Es liegen keine Informationen
über Signaturen vor!
Die Statusmeldung kann angezeigt werden,
wenn eine Signatur über OpenLimit
SignCubes Viewer verifiziert werden soll.
Der Detaildialog für die Signaturprüfung
wurde aufgerufen, ohne dass
Signaturinformationen übergeben wurden.
Der sichere Zustand des Produktes ist
nicht gefährdet.
Die Statusabfrage konnte
nicht erzeugt werden.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Es ist ein interner Fehler bei der Erzeugung
der OCSP Abfrage aufgetreten.
Der sichere Zustand des Produktes ist
nicht gefährdet.
220
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Die Antwort des
Zertifikatsherausgebers
konnte nicht verarbeitet
werden.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Die OCSP Antwort des
Zertifikatsherausgebers enthält Fehler, die
eine weitergehende Verarbeitung der OCSP
Antwort unmöglich machen. Die OCSP
Antwort konnte nicht nach dem ASN.1
Standard dekodiert werden.
Der sichere Zustand des Produktes ist
nicht gefährdet.
Die Antwort des
Zertifikatsherausgebers
enthält einen unbekannten
Statuswert.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Der vom Herausgeber übermittelte
Zertifikatsstatus entspricht nicht der
Spezifikation nach RFC 2560.
Der sichere Zustand des Produktes ist
nicht gefährdet. Die OCSP Antwort konnte
jedoch nicht korrekt verarbeitet werden.
Sie müssen selbst entscheiden, ob Sie dem
Signaturzertifikat vertrauen.
Die Anfrage an den
Zertifikatsherausgeber
konnte von diesem nicht
verarbeitet werden.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Der Zertifikatsherausgeber konnte die
OCSP Anfrage des Produkts OpenLimit
SignCubes Basiskomponenten 2.5, Version
2.5.0.2 nicht verarbeiten.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem Signaturzertifikat
vertrauen.
Die Anfrage führte beim
Zertifikatsherausgeber zu
einem internen Fehler.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Der Zertifikatsherausgeber konnte die
OCSP Anfrage des Produkts OpenLimit
SignCubes Basiskomponenten 2.5, Version
2.5.0.2 nicht verarbeiten. Es ist ein
interner Fehler beim
Zertifikatsherausgeber aufgetreten.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem Signaturzertifikat
vertrauen.
Die Anfrage kann durch den
Zertifikatsherausgeber zur
Zeit nicht bearbeitet werden.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Der Zertifikatsherausgeber kann die OCSP
Anfrage momentan nicht verarbeiten. Sie
sollten den Vorgang zu einem späteren
Zeitpunkt noch einmal wiederholen.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen. Alternativ
können Sie die OCSP Abfrage zu einem
späteren Zeitpunkt noch einmal
durchführen.
221
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Die Anfrage wurde durch den
Zertifikatsherausgeber mit
einem nicht benutzten
Statuscode beantwortet.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Der vom Herausgeber übermittelte
Zertifikatsstatus entspricht nicht der
Spezifikation nach RFC 2560.
Der sichere Zustand des Produktes ist
nicht gefährdet. Die OCSP Antwort konnte
jedoch nicht korrekt verarbeitet werden.
Sie müssen selbst entscheiden, ob Sie dem
Signaturzertifikat vertrauen.
Der Zertifikatsherausgeber
fordert, daß die Anfrage
signiert wird. Signierte
Anfragen werden zur Zeit
nicht unterstützt.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Es existieren Formate für OCSP Anfragen,
bei denen die Anfrage vom Anfragenden
signiert sein muss. Das ist z.B. bei
kostenpflichtigen OCSP Respondern der
Fall. Dieses Format wird vom Produkt
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 nicht unterstützt.
Der sichere Zustand des Produktes ist
nicht gefährdet. Allerdings kann keine
gültige OCSP Anfrage an den
Zertifikatsherausgeber gestellt werden.
Sie müssen selbst entscheiden, ob Sie dem
Signaturzertifikat vertrauen.
Sie haben beim
Zertifikatsherausgeber nicht
die erforderliche
Berechtigung, um den Status
abzufragen.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Der Zertifikatsherausgeber kann durch
eine eigene Richtlinie festlegen, wer
berechtigt ist, eine OCSP Anfrage an diesen
zu senden. Wenn Sie keine entsprechende
Berechtigung haben, wird Ihnen diese
Fehlermeldung angezeigt.
Der sichere Zustand des Produktes ist
nicht gefährdet. Allerdings kann keine
gültige OCSP Anfrage an den
Zertifikatsherausgeber gestellt werden.
Sie müssen selbst entscheiden, ob Sie dem
Signaturzertifikat vertrauen.
Die Anfrage wurde durch den
Zertifikatsherausgeber mit
einem unbekannten
Statuscode beantwortet.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Der vom Herausgeber übermittelte
Zertifikatsstatus entspricht nicht der
Spezifikation nach RFC 2560.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem Signaturzertifikat
vertrauen.
Die Statusabfrage konnte
nicht durchgeführt werden.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Möglicherweise ist keine
Internetverbindung verfügbar.
Der sichere Zustand des Produktes ist
nicht gefährdet. Allerdings sollten Sie
überprüfen, ob eine Internetverbindung
vorhanden ist.
222
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Sie haben noch zwei
Versuche, die gültige <PIN>
einzugeben.
Diese Meldung kann bei der
Signaturerzeugung auftreten.
Sie haben insgesamt drei Versuche, die
jeweilig abgefragte PIN korrekt
einzugeben. <PIN> steht z.B. für die
globale PIN. Wenn diese Meldung erscheint,
haben Sie bereits einmal die falsche PIN
eingegeben.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten beim nächsten
Versuch die korrekte PIN eingeben.
Sie haben noch einen
Versuch, die gültige <PIN>
einzugeben. Wird erneut die
falsche <PIN> eingegeben,
wird die Karte unbrauchbar!
Diese Meldung kann bei der
Signaturerzeugung auftreten.
Sie haben insgesamt drei Versuche, die
jeweilig abgefragte PIN korrekt
einzugeben. <PIN> steht z.B. für die globale
PIN. Wenn diese Meldung erscheint, haben
Sie bereits zweimal die falsche PIN
eingegeben.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten beim nächsten
Versuch die korrekte PIN eingeben.
Die Karte wurde durch
mehrfache Fehleingabe
unbrauchbar gemacht.
Diese Meldung kann bei der
Signaturerzeugung auftreten.
Sie haben durch dreimaliges Eingeben der
falschen PIN die Karte für die weitere
Benutzung unbrauchbar gemacht.
Der sichere Zustand des Produktes ist
nicht gefährdet. Allerdings können Sie die
Chipkarte mit dem Produkt nicht mehr
verwenden.
Der Fehlbedienungszähler ist
abgelaufen.
Diese Meldung kann beim Versuch der
Signaturerzeugung auftreten.
Der Fehlbedienungszähler der Karte zeigt
an, dass die PIN insgesamt dreimal falsch
eingegeben wurde.
Der sichere Zustand des Produktes ist
nicht gefährdet. Allerdings können Sie die
Chipkarte mit dem Produkt nicht mehr
verwenden.
Die eingegebene PIN
entspricht nicht den
Anforderungen der Karte!
Diese Fehlermeldung kann beim Ändern der
PIN der Chipkarte auftreten.
Die Chipkarte stellt bestimmte
Anforderungen an die Qualität der PIN. Bei
einer TeleSec E4NetKey Karte muss die Pin
mindestens 6-stellig höchstens jedoch 16-
stellig sein.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten allerdings beim
Festlegen der PIN über den Menüpunkt PIN
ändern eine PIN wählen, die den
Anforderungen der verwendeten Karte
genügt.
223
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Bei der Übertragung des
Kommandos an die Karte trat
ein unerwarteter Fehler auf!
Diese Meldung kann beim Versuch der
Signaturerzeugung auftreten.
Beim Senden des Kommandos an die
Chipkarte ist ein Fehler aufgetreten. Die
Chipkarte hat mit einem Kartenstatus
geantwortet, der nicht dem erwarteten
Status entsprach.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten den Vorgang
wiederholen. Wenn der Fehler permanent
auftritt, sollten Sie mit dem zur Verfügung
stehenden Modul zur Integritätsprüfung
die korrekte Installation des Produktes auf
dem Rechner prüfen.
Die eingegebenen PINs sind
nicht identisch!
Diese Fehlermeldung kann beim Ändern der
PIN der Chipkarte auftreten.
Dieser Fehler kann beim Ändern der PIN
auftreten, wenn die erste und die
Bestätigungspin nicht identisch sind.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten den Vorgang
wiederholen.
Die eingegebene PIN wurde
zurückgewiesen!
Diese Meldung kann beim Versuch der
Signaturerzeugung auftreten.
Die Verifikation der PIN durch die
Chipkarte ist fehlgeschlagen. Sie haben die
falsche PIN eingegeben.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten den Vorgang
wiederholen.
Die PIN wurde nicht in der
erwarteten Zeit eingegeben!
Diese Meldung kann beim Versuch der
Signaturerzeugung auftreten.
Sie haben zu lange gewartet, um die PIN
einzugeben. die meisten Kartenleser mit
sicherer PIN Eingabe unterstützen die
Verwendung von Timeouts während der PIN
Eingabe.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten den Vorgang
wiederholen.
Sie müssen die Karte zuerst
freischalten!
Diese Meldung kann beim Versuch der
Signaturerzeugung auftreten.
Vor der Verwendung muss die Karte
freigeschaltet werden.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen eine
freigeschaltete Karte verwenden. Ggf.
können Sie mit dem Menüpunkt Karte
freischalten Ihre Karte für die weitere
Verwendung freischalten.
Sie müssen die Karte zuerst
entsperren.
Diese Meldung kann beim Versuch der
Signaturerzeugung auftreten.
Sie haben durch mehrfaches Eingeben der
falschen Pin die Karte gesperrt. Sie müssen
vor einer weiteren Verwendung der Karte
diese durch die Eingabe des PUK wieder
entsperren.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen vor einer
weiteren Verwendung der Karte diese
durch die Eingabe der PUK wieder
entsperren.
224
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Zur Zeit stehen keine
geeigneten Zertifikate zur
Verfügung!
Diese Meldung kann beim Versuch der
Signaturerzeugung auftreten.
Möglicherweise wollen Sie eine Datei
signieren und haben keinen Kartenleser
angeschlossen oder keine Chipkarte
eingelegt.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen sicherstellen,
dass Sie einen Kartenleser installiert und
eine Chipkarte eingelegt haben, die vom
Produkt verwendet werden kann.
Die Antwort ist nicht vom
erwarteten Typ BASIC.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Das Format BASIC ist bisher das
standardisierte Format für OCSP -
Antworten. Möglicherweise werden zu
einem späteren Zeitpunkt neue Formate
definiert, die vom Produkt dann nicht
unterstützt werden.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
Die Antwort hat nicht die
erwartete Version.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Die OCSP - Antwort hat nicht die erwartete
Version.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
Beim Prüfen der Antwort ist
ein unerwarteter interner
Fehler aufgetreten.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Die empfangene OCSP Antwort konnte
nicht korrekt überprüft werden.
Möglicherweise sind syntaktische Fehler in
der OCSP-Antwort vorhanden.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
Die Antwort enthält
mindestens eine unbekannte
kritische Erweiterung.
Diese Statusmeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Kritische Erweiterungen sind
Antwortzusätze, die Ihnen bei der
Auswertung der OCSP - Antwort zur
Kenntnis gelangen sollten. Das Produkt
OpenLimit SignCubes Basiskomponenten
2.5, Version 2.5.0.2 ist nicht in der Lage,
diese kritische Erweiterung korrekt zu
interpretieren.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
225
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Die Antwort ist nicht
Signaturgesetz konform
(positive Kenntnisaussage
fehlt).
Diese Statusmeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
In der Antwort ist nicht die Aussage
enthalten, dass der Herausgeber das
Zertifikat kennt.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
Die Antwort enthält eine
unleserliche Zeitangabe der
letzten Überprüfung.
Diese Statusmeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Der Zeitpunkt der letzten Überprüfung gibt
an, wann der OCSP-Antwortende die
Gültigkeit des Zertifikats das letzte Mal
geprüft hat. Das Zeitformat in der OCSP-
Antwort für diese Überprüfung konnte
nicht dekodiert werden.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
Der in der OCSP Antwort
angegebene Zeitpunkt weicht
von Ihrer lokalen Systemzeit
ab. Der angegebene
Zeitpunkt liegt in der
Zukunft.
Diese Statusmeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Der Zeitpunkt der letzten
Zertifikatsprüfung durch den OCSP-
Antwortenden liegt gegenüber der lokalen
Systemzeit in der Zukunft.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen. Sie sollten
die lokale Systemzeit überprüfen.
Die Antwort enthält eine
unleserliche Zeitangabe der
nächsten Überprüfung.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Der Zeitpunkt der nächsten Überprüfung
gibt an, wann der OCSP-Antwortende die
Gültigkeit des Zertifikats das Nächste mal
prüfen wird. Das Zeitformat in der OCSP-
Antwort für diese Überprüfung konnte
nicht dekodiert werden.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
Die Antwort ist wegen der
aufgeführten Gründe nicht
oder nur bedingt
vertrauenswürdig.
Diese Statusmeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Diese Meldung erscheint, sobald Gründe
vorliegen, der empfangenen OCSP-Antwort
nur bedingt oder nicht zu vertrauen.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten dem Zertifikat
nicht vetrauen.
226
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Die Antwort gilt nicht für das
angefragte Zertifikat!!
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Die empfangene Antwort bezieht sich nicht
auf das angefragte Zertifikat. Eine solche
Meldung kann ein Indikator für die
Manipulation der Antwort durch Dritte sein
(Man in the Middle).
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten dem Zertifikat
nicht vertrauen und die Integrität des
Betriebssystems überprüfen.
Interner Fehler beim Lesen
eines Zertifikates.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Ein Zertifikat, welches vom Produkt
benötigt wird, konnte nicht gelesen oder
dekodiert werden.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten Zertifikaten,
die nicht korrekt durch das Produkt
dekodiert werden können, nicht vertrauen.
Die Signatur der Antwort
konnte nicht geprüft werden.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Die Signatur der OCSP Antwort konnte
nicht verifiziert werden. Möglicherweise ist
der Hashwert der Signatur manipuliert
worden oder es konnte kein Zertifikat zu
der Signatur ermittelt werden.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen entscheiden,
ob Sie dem Zertifikat vertrauen.
Das Zertifikat der
Gegenstelle konnte nicht
gefunden werden:
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Nach dem ISIS-MTT Standard sollte das
Zertifikat des OCSP Antwortenden in der
OCSP Antwort enthalten sein. Das
Zertifikat ist in der Antwort aber nicht
enthalten.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
227
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Das Zertifikat der
Gegenstelle konnte nicht
positiv geprüft werden.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Möglicherweise existiert kein Sperrliste für
die OCSP Signatur oder die Sperrliste ist
veraltet. Eine Sperrliste gilt als veraltet,
wenn der in der Sperrliste angegebene
Zeitpunkt für die Erneuerung der Sperrliste
auf dem lokalen Rechner überschritten
wurde.
Der sichere Zustand des Produktes ist
nicht gefährdet. Allerdings kann die OCSP
Antwort auf Grund veralteter Sperrlisten
nicht korrekt verarbeitet werden. Sie
sollten die lokalen Sperrlisten
aktualisieren.
Das Zertifikat der
Gegenstelle berechtigt nicht
zur OCSP-Signatur.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Das Zertifikat, mit welchem die OCSP
Antwort signiert wurde, berechtigt den
Signierenden nicht zu einer OCSP Signatur.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
Die positive Kenntnisaussage
ist fehlerhaft.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Die positive Kenntnisaussage ist entweder
nicht vorhanden oder ist fehlerhaft.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
Es fehlt ein expliziter Hinweis
auf die Gültigkeit der Antwort
trotz abgelaufenem
Zertifikat.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Das angefragte Zertifikat ist sowohl
abgelaufen und die Antwort enthält
keinerlei Hinweis darauf, ob die
Gegenstelle Kenntnis vom Status dieses
Zertifikates hat.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
OCSP Response Interner
Fehler
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Es ist ein interner Fehler bei der Prüfung
der OCSP Antwort aufgetreten.
Der sichere Zustand des Produktes ist
nicht gefährdet. Die OCSP Antwort konnte
vom Produkt nicht korrekt verarbeitet
werden. Sie müssen selbst entscheiden, ob
Sie dem verwendeten Signaturzertifikat
vertrauen.
228
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Die Gültigkeit der Antwort
wird nicht mehr garantiert.
Diese Fehlermeldung kann auftreten, wenn
im Zertifikatsdetaildialog auf den Knopf
Onlinestatus geklickt wird.
Das Zertifikat ist der Gegenstelle zwar
bekannt, die Zeit für die
Informationsaufbewahrung zu dem
angefragten Zertifikat ist allerdings
abgelaufen.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
Zu dem Zertifikat fehlt das
Herausgeberzertifikat.
Diese Fehlermeldung kann durch den
Zertifikatsdetaildialog ausgelöst werden.
In der internen Zertifikatsverwaltung
wurde das Herausgeberzertifikat nicht
gefunden.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
Zu einem der Herausgeber
wurde keine Sperrliste
gefunden.
Diese Statusmeldung kann im
Signaturprüfdialog erscheinen.
Für einen Herausgeber existiert keine
Sperrliste auf dem lokalen Rechner.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen. Sie sollten
die aktuellen Sperrlisten abrufen.
Fehler beim Erzeugen eines
Zeitstempels.
Diese Statusmeldung kann beim Holen
eines Zeitstempels erscheinen.
Während des Empfangs des Zeitstempels
ist ein Fehler aufgetreten, so dass der
Zeitstempel von dem Produkt nicht
eingeholt werden konnte.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie können versuchen, den
Zeitstempel erneut einzuholen.
Fehler beim Holen einer OCSP
Antwort.
Diese Fehlermeldung kann beim Holen
einer OCSP Antwort auftreten.
Möglicherweise besteht keine Verbindung
zum Internet oder der OCSP Responder ist
nicht erreichbar.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie können versuchen,
eine erneute OCSP Abfrage durchzuführen.
Zu einem der
Herausgeberzertifika-te
wurde keine aktuelle
Sperrliste gefunden.
Diese Statusmeldung kann im
Signaturprüfdialog erscheinen.
Es ist zwar eine Sperrliste vorhanden,
jedoch ist diese Sperrliste abgelaufen. Sie
sollten die Sperrlisten über den OpenLimit
SignCubes
Sperrlistenaktualisierungsassistent
aktualisieren.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen. Sie sollten
die aktuellen Sperrlisten abrufen.
229
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Von einem der Herausgeber
wurde das Zertifikat
zurückgezogen
Diese Statusmeldung kann im
Signaturprüfdialog erscheinen.
Das Zertifikat wurde durch den
Herausgeber zurückgezogen (das Zertifikat
ist in der Sperrliste als zurückgezogen
markiert).
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten dem Zertifikat
nicht vertrauen.
Die Sperrliste einer der
Herausgeber hat unbekannte
Fehler.
Diese Statusmeldung kann im
Signaturprüfdialog erscheinen.
Die verwendete hat entweder syntaktische
Fehler oder enthält Zusätze, die vom
Produkt nicht verarbeitet werden können.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten die aktuellen
Sperrlisten abrufen und den Vorgang
wiederholen. Zusätzlich sollten Sie eine
OCSP Abfrage zu dem Zertifikat
durchführen.
Von diesem Inhaber ist keine
Sperrliste vorhanden.
Diese Statusmeldung kann im
Signaturprüfdialog erscheinen.
Zu einem konkreten Herausgeber wurde
kein Sperrliste gefunden.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten die aktuellen
Sperrlisten abrufen und den Vorgang
wiederholen.
Die Sperrliste dieses Inhabers
ist abgelaufen.
Diese Statusmeldung kann im
Signaturprüfdialog erscheinen.
Die Sperrliste des konkreten Herausgebers
ist abgelaufen. Sie sollten die Sperrlisten
über den OpenLimit SignCubes
Sperrlistenaktualisierungsassistent
aktualisieren.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten die aktuellen
Sperrlisten abrufen und den Vorgang
wiederholen.
Das Prüfzertifikat ist nach
der Sperrliste dieses
Inhabers zurückgezogen.
Diese Statusmeldung kann im
Signaturprüfdialog erscheinen.
Der konkrete Herausgeber hat dieses
Zertifikat zurückgezogen.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten dem Zertifikat
nicht vertrauen.
Die Sperrliste dieses Inhabers
hat unbekannte Fehler.
Diese Statusmeldung kann im
Signaturprüfdialog erscheinen.
Die Sperrliste dieses konkreten
Herausgebers weist Fehler auf.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie sollten die aktuellen
Sperrlisten abrufen und den Vorgang
wiederholen.
Sie vertrauen keinem der
Wurzelzertifikate!
Diese Statusmeldung kann im
Signaturprüfdialog erscheinen.
Diese Meldung sagt aus, dass keinem der
Wurzelzertifikate vertraut wird.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen.
230
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Das Modul <x> besitzt eine
ungültige Signatur. Das
Programm wird beendet.
Diese Fehlermeldung kann beim Start des
OpenLimit SignCubes Security Environment
Managers generiert werden.
Diese Meldung sagt aus, dass die Signatur
des angegebenen Programm-Moduls
beschädigt ist oder die Originaldaten (das
Modul) und die Signaturdatei nicht
zueinander passen. Aus Sicherheitsgründen
wird die Anwendung OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2 in
diesem Falle beendet.
Der sichere Zustand des Produktes ist
nicht gewährleistet. Sie müssen mit Hilfe
des zur Verfügung stehenden
Integritätschecks die gesamte Installation
überprüfen. Sie müssen das Produkt
deinstallieren und erneut installieren.
Das Zertifikat wurde nicht
geprüft.
Diese Statusmeldung kann im
Signaturprüfdialog erscheinen.
Diese Statusmeldung sagt aus, dass die
Zertifikate nicht geprüft wurden.
Der sichere Zustand des Produktes ist
nicht gefährdet. Sie müssen selbst
entscheiden, ob Sie dem verwendeten
Signaturzertifikat vertrauen. Alternativ
sollten Sie eine OCSP Abfrage zu dem
Zertifikat durchführen.
Die zu signierenden Daten
wurden vor der
Signaturerzeugung
verändert!
Diese Statusmeldung kann immer dann
auftreten, wenn Sie eine digitale Signatur
über einen der Produktbestandteile
erzeugen wollen.
Diese Meldung sagt aus, dass die
Originaldaten, die vom Produktbestandteil
zur Signatur an den OpenLimit SignCubes
Security Environment Manager übergeben
wurden, zwischenzeitlich verändert
wurden.
Der sichere Zustand des Produktes kann
gefährdet sein. Der sichere Zustand ist nur
dann nicht gefährdet, wenn Sie nicht selbst
aus Versehen die Daten zwischenzeitlich
geändert haben. In jedem anderen Fall
sollten Sie die Arbeit mit dem Produkt
einstellen und eine Integritätsprüfung des
Produktes vornehmen. Wird bei der
Integritätsprüfung keine Veränderung des
Produktes entdeckt, sollte mit Hilfe eines
Virenscanners der Rechner auf böswillige
Programme hin untersucht werden.
Das Produkt nimmt in diesem Falle einen
sicheren Zustand ein, da die Funktionen
zur Signaturerzeugung und
Signaturverifikation durch den OpenLimit
SignCubes Security Environment Manager
in diesem Falle deaktiviert werden.
231
Fehlermeldung des OpenLimit
SignCubes Security
Environment Managers
Mögliche Ursache Auswirkungen auf den sicheren Zustand des
Produktes/ Benutzerreaktion
Der eingesetzte
Hashalgorithmus wird als
ungeeignet eingestuft.
Diese Fehlermeldung kann bei der
Signaturverifikation auftreten.
Diese Meldung sagt aus, dass für die
Signaturerzeugung ein Hashalgorithmus
verwendet wurde, der für die Erzeugung
qualifizierter Signaturen nicht zulässig ist.
Sie sollten sich über die
Veröffentlichungen der Bundesnetzagentur
unter www.bundesnetzagentur.de
informieren, welcher Hashalgorithmus
zulässig ist.
Die verwendeten
Signaturparameter werden
als ungeeignet eingestuft.
Diese Fehlermeldung kann bei der
Signaturverifikation auftreten.
Diese Meldung sagt aus, dass für die
Signaturerzeugung entweder ein
Hashalgorithmus verwendet wurde, der für
die Erzeugung qualifizierter Signaturen
oder die verwendete Schlüssellänge nicht
zulässig ist.
Sie sollten sich über die
Veröffentlichungen der Bundesnetzagentur
unter www.bundesnetzagentur.de
informieren, welcher Hashalgorithmus und
welche Schlüssellängen zulässig sind.
Die verwendeten Algorithmen
entsprechen nicht den
Prüfvorgaben.
Diese Fehlermeldung kann bei der
Signaturerprüfung auftreten.
Diese Meldung weist darauf hin, dass ein
Hashalgorithmus verwendet wurde, der
nicht den Vorgaben der Bundesnetzagentur
entspricht. Dieser Hinweis erscheint in der
Zusammenfassung des Prüfdialogs.
Sie sollten sich über die
Veröffentlichungen der Bundesnetzagentur
unter www.bundesnetzagentur.de
informieren, welcher Hashalgorithmus und
welche Schlüssellängen zulässig sind.
Die von der Karte erzeugte
Signatur entspricht nicht den
zu signierenden Daten!
Diese Fehlermeldung kann bei der
Signaturerzeugung auftreten.
Diese Meldung sagt aus, dass nicht der
Hashwert signiert wurde, der beabsichtigt
wurde.
Der sichere Zustand des Produktes ist
gefährdet. Sie sollten den OpenLimit
SignCubes Security Environment Manager
beenden und den Rechner herunterfahren,
um sicherzugehen, dass sich keine
digitalen Signaturen mehr im Speicher
befinden.
Ein Fehler ist bei der
Initialisierung aufgetreten.
Das Programm kann nicht
weiter ausgeführt werden.
Wenden Sie sich bitte an die
Online-Hilfe und prüfen Sie
Ihre Installation.
Diese Fehlermeldung kann beim Start des
Assistenten zur Sperrlistenaktualisierung
generiert werden.
Bei der Sperrlistenaktualisierung ist ein
Fehler bei der Initialisierung des OpenLimit
SignCubes Sperrlistenaktualisierungsassis-
tenten aufgetreten, der eine weitere
Benutzung des Sperrlisten
Aktualisierungsassistenten unmöglich
macht.
Der sichere Zustand des Produktes kann
gefährdet sein. Sie sollten mit dem zur
Verfügung stehenden Prüfprogramm die
Integrität der Installation überprüfen.
232
12.4 Fehlermeldungen des OpenLimit SignCubes Viewer
Der OpenLimit SignCubes Viewer kann ebenfalls Fehlermeldungen generieren, die in der folgenden Tabelle aufgelistet sind.
Grundsätzlich gilt: Wenn eine Fehlermeldung generiert wird, über deren Bedeutung Sie sich nicht sicher sind, sollten Sie
das Dokument nicht signieren.
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
Das Format der Datei
ist nicht geeignet!
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Sie haben versucht, eine Datei mit dem
OpenLimit SignCubes Viewer zu öffnen, die
weder als PDF, TIFF noch als Text Datei
erkannt wurde. Diese Fehlermeldung wird
Ihnen auch dann angezeigt, wenn aktive
Inhalte in dem Dokument vorhanden sind.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie sollten die Datei nicht signieren,
wenn Sie für die Daten über kein sicheres
Anzeigemodul verfügen.
Sie verfügen nicht
über die benötigte
Lizenz, um Dateien
dieses Formates
anzuzeigen!
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer generiert werden.
Sie haben versucht, eine Datei mit dem
OpenLimit SignCubes Viewer zu öffnen, die
entsprechend dem Funktionsumfang der
installierten Lizenz nicht geöffnet werden
kann.
Der sichere Zustand des Produktes ist nicht
gefährdet.
Es steht keine gültige
Lizenz zur Verfügung.
Das Programm wird
beendet.
Diese Fehlermeldung wird generiert, wenn
der Viewer auf einem PC gestartet wird, auf
dem keine Lizenz für die OpenLimit
SignCubes Basiskomponenten 2.5, Version
2.5.0.2 installiert ist.
Sie haben vesucht, den OpenLimit
SignCubes Viewer zu starten, obwohl keine
Lizenz für die OpenLimit SignCubes
Basiskomponenten 2.5, Version 2.5.0.2
installiert ist.
Diese Fehlermeldung wird Ihnen nur angezeigt, falls
Sie eine Datei mit dem Viewer öffnen wollen und
über keine Lizenz verfügen (auch nicht über eine
Reader-Lizenz).
Wenn diese Fehlermeldung erscheint, ist die
Lizenzdatei von Ihrem Rechner entfernt worden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch sollten Sie mit einem geeigneten
Programm (Virenscanner etc.) die Integrität Ihres
Betriebssystes überprüfen. Eventuell haben
unberechtigte Dritte Zugriff auf Ihren Rechner
erlangt.
233
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
Die Schriftart 'Courier
New', die für die
Darstellung von Text
verwendet wird, wurde
auf diesem Computer
nicht gefunden oder
stimmt nicht mit der
Originalinstallation
überein.
Diese Fehlermeldung tritt auf, wenn die
Datei cour.ttf auf dem Computer nicht
vorhanden ist oder von der Dateiversion
abweicht, die der Originalinstallation
entspricht. Diese Fehlermeldung wird beim
Start des OpenLimit SignCubes Viewers
gemeldet bzw. beim Öffnen eines
Textdokuments.
Der sichere Zustand des Produktes ist betroffen.
Sie sollten überprüfen, ob die Datei cour.ttf auf dem
Rechner vorhanden ist. Sie sollten keine Signaturen
an Text-Dokumenten vornehmen, da die korrekte
Darstellung nicht mehr gewährleistet werden kann.
Fehler beim Zugriff auf
die Datei!
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Beim Zugriff auf die zu öffnende Datei
(Kommandozeile oder Menübefehl) ist ein
Fehler aufgetreten. Die Datei existiert nicht
oder kann nicht gelesen werden.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie sollten den Vorgang wiederholen.
Die Datei enthält
sowohl 'DOS' als auch
'Windows' Umlaute.
Eine korrekte
Darstellung ist u.U.
nicht möglich.
Diese Fehlermeldung kann während der
Untersuchung von Textdokumenten
auftreten.
Das Textdokument enthält Zeichen, die als
Umlaute in der Windows Darstellung erkannt
werden. Darüber hinaus sind aber auch
Zeichen in dem dokument vorhanden, die
als Umlaute in der DOS Codierung
interpretiert werden.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie sollten eine Untersuchung des
Textdokuments wie im Kapitel Arbeiten mit dem
SignCubes Viewer beschrieben, vornehmen.
Die Datei enthält
Zeichen, für die keine
eindeutige Darstellung
definiert ist.
Diese Fehlermeldung kann während der
Untersuchung von Textdokumenten
auftreten.
Das Dokument enthält Zeichen, für die in
verschiedenen Schriftsätzen verschiedene
Darstellungen definiert sind.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie sollten eine Untersuchung des
Textdokuments wie im Kapitel Arbeiten mit dem
OpenLimit SignCubes Viewer beschrieben,
vornehmen.
234
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
Die TIFF Datei hat eine
Größe von <X>. Sie
enthält <n> freie
(scheinbar
ungenutzte) Bereiche
mit einer Gesamtgröße
von <Y>.
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Eine TIFF-Datei wurde geöffnet, deren Inhalt
nicht vollständig durch die enthaltenen Tags
belegt wird. Die durch <Y> angegebene
Anzahl von Bytes der Datei wird durch den
‚offiziellen’ Dateiinhalt nicht verwendet und
kann verborgene Inhalte enthalten. Die
Meldung wird ausgegeben, wenn die Zahl
der nicht adressierten Bytes mehr als 50
beträgt. In jedem Fall können diese Bytes
unter ‚Ansicht / Weitere Dateiinhalte’
betrachtet werden. (Einzelne nicht belegte
Bytes bzw. kleinere ungenutzte
Dateibereiche sind in TIFF-Dateien normal.
Sie entstehen durch Füllbytes, die bei der
Anordnung von Tabellen auf WORD- oder
DWORD-Grenzen erforderlich werden, aber
auch durch die Bearbeitung der TIFF-Datei.)
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie müsen die enthaltenen Daten in dem
Dokument genauer untersuchen. Sie müssen selbst
entscheiden, ob Sie das Dokument signieren wollen
oder nicht.
Fehler in TIFF-Struktur:
Tag 'StripOffset'
Zeiger ohne
Größenangabe!
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Interner Fehler in der TIFF-Struktur. Der
Inhalt kann u.U. nicht korrekt angezeigt
werden. Weitere Fehlermeldungen sind
möglich. Diese Meldung kann nur im Fall
einer beschädigten TIFF-Datei auftreten.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie müssen die enthaltenen Daten in
dem Dokument genauer untersuchen. Sie müssen
selbst entscheiden, ob Sie das Dokument signieren
wollen oder nicht.
235
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
Fehler in TIFF-Struktur:
Tag 'TileOffsets' ohne
'TileByteCount'
gefunden!
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Interner Fehler in der TIFF-Struktur. Der
Inhalt kann u.U. nicht korrekt angezeigt
werden. Weitere Fehlermeldungen sind
möglich. Diese Meldung kann nur im Fall
einer beschädigten TIFF-Datei auftreten.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie müssen die enthaltenen Daten in
dem Dokument genauer untersuchen. Sie müssen
selbst entscheiden, ob Sie das Dokument signieren
wollen oder nicht.
Fehlendes Tag! Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Es wurde ein Tag nicht gefunden. Es ist ein
Fehler im Programm aufgetreten.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie müssen die enthaltenen Daten in
dem Dokument genauer untersuchen. Sie müssen
selbst entscheiden, ob Sie das Dokument signieren
wollen oder nicht.
Fehlerhafter TagType! Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Fehler in der TIFF-Struktur. Der Typ eines
Tag’s entspricht nicht der Spezifikation.
Weitere Fehlermeldungen sind möglich.
(Tritt beim Markieren eines Tag’s auf, wenn
dieses Tag nicht der Spezifikation
entspricht.)
Der sichere Zustand des Produktes ist nicht
gefährdet. Der Benutzer muss die enthaltenen
Daten in dem Dokument genauer untersuchen. Der
Benutzer muss selbst entscheiden, ob er das
Dokument signieren will oder nicht.
236
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
Fehler in DataLength
(erwartet 'X' gefunden
'Y')
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Fehler in der TIFF-Struktur. Der
Datenumfang eines Tag’s entspricht nicht
der Spezifikation. Tritt nur auf, wenn die
Spezifikation den Datenumfang des Tag’s
explizit festlegt und das Tag dieser
Festlegung nicht entspricht. Weitere
Fehlermeldungen sind möglich. (Tritt beim
Markieren eines Tag’s auf, wenn dieses Tag
nicht der Spezifikation entspricht.)
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie müssen die enthaltenen Daten in
dem Dokument genauer untersuchen. Sie müssen
selbst entscheiden, ob Sie das Dokument signieren
wollen oder nicht.
Fehler in DataLength
(erwartet 'X1' oder 'X2'
gefunden 'Y')
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Fehler in der TIFF-Struktur. Der
Datenumfang eines Tag’s entspricht nicht
der Spezifikation. Tritt nur auf, wenn die
Spezifikation den Datenumfang des Tag’s
explizit festlegt und das Tag dieser
Festlegung nicht entspricht. Weitere
Fehlermeldungen sind möglich. (Tritt beim
Markieren eines Tag’s auf, wenn dieses Tag
nicht der Spezifikation entspricht.)
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie müssen die enthaltenen Daten in
dem Dokument genauer untersuchen. Sie müssen
selbst entscheiden, ob Sie das Dokument signieren
wollen oder nicht.
237
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
Fehler in DataType
(erwartet '2' (ASCII)
gefunden '<X>')
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Fehler in der TIFF-Struktur. Der Datentyp
eines Tag's entspricht nicht der
Spezifikation. Tritt nur auf, wenn die
Spezifikation den Datentyp des Tag's
explizit festlegt und das Tag dieser
Festlegung nicht entspricht. Weitere
Fehlermeldungen sind möglich.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie müssen die enthaltenen Daten in
dem Dokument genauer untersuchen. Sie müssen
selbst entscheiden, ob Sie das Dokument signieren
wollen oder nicht.
Fehler in Datei! Zeiger
ausserhalb des
Bereichs!
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Es ist ein Fehler in der TIFF-Datei
aufgetreten. Eine Adresse in der Struktur
der TIFF-Datei verweist auf Daten, die
hinter dem Ende der Datei liegen. Tritt auf,
wenn die TIFF-Datei unvollständig ist
(abgeschnitten) oder die Adressdaten in der
Datei beschädigt wurden. Weitere
Fehlermeldungen sind zu erwarten.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie müssen die enthaltenen Daten in
dem Dokument genauer untersuchen. Sie müssen
selbst entscheiden, ob Sie das Dokument signieren
wollen oder nicht.
238
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
Fehler in Datei!
Überschneidung!
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Fehler in der TIFF-Datei. Eine Adresse in der
Struktur der TIFF-Datei verweist auf Daten,
die in einem Bereich der Datei liegen, in
dem bereits andere Daten identifiziert
wurden. Tritt auf, wenn die Adressdaten in
der Datei beschädigt wurden. Weitere
Fehlermeldungen sind zu erwarten.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie müssen die enthaltenen Daten in
dem Dokument genauer untersuchen. Sie müssen
selbst entscheiden, ob Sie das Dokument signieren
wollen oder nicht.
Die
Signaturkomponente
konnte nicht
initialisiert werden!
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Das SignCubes Job Interface steht nicht zur
Verfügung. Dies ist ein kritischer Fehler. Sie
sollten mit dem OpenLimit SignCubes
Integrity Tool die korrekte Installation des
Produktes auf dem Arbeitsplatz überprüfen.
Der sichere Zustand des Produktes kann nicht
gewährleistet werden. Sie sollten mit dem zur
Verfügung stehenden Modul zur Integritätsprüfung
die Integrität der Installation auf dem Rechner
überprüfen.
Auf die Datei '<NAME>'
kann nicht zugegriffen
werden:
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Die Datei <'NAME'> wurde ursprünglich
geöffnet und gelesen, steht bei einem
späteren Zugriff jedoch nicht mehr zur
Verfügung. Die Fehlermeldung des
Betriebssystems steht in einer zweiten
Zeile.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie sollten den Vorgang wiederholen.
239
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
Beim Laden des TIFF-
Bildes ist ein Fehler
aufgetreten:
Diese Fehlermeldung kann beim Öffnen
einer Datei mit dem OpenLimit SignCubes
Viewer direkt durch diese oder beim Öffnen
einer Datei über den
Signaturanforderungsdialog generiert
werden.
Es wurde ein Fehler festgestellt, der sich
auf die Struktur der TIFF-Datei bzw. die
Auswertung des Inhalts bezieht. Beispiel:
Nicht unterstützte Kompressionsverfahren
oder Fehler in der Dateistruktur. Eine
genaue Bezeichnung des Fehlers - in
englischer Sprache - steht in der zweiten
Zeile.
Der sichere Zustand des Produktes ist nicht
gefährdet. Allerdings kann das Dokument nicht
angezeigt werden. Sie müssen entscheiden, ob Sie
das Dokument trotzdem signieren möchten, obwohl
kein sicheres Anzeigemodul zur Verfügung steht.
Es sind <Anzahl> Java
Script Elemente im
Dokument enthalten.
Diese Fehlermeldung wird generiert, wenn
der OpenLimit SignCubes Viewer Java Script
Elemente identifiziert hat.
Sie sollten sich über den Menüpunkt
'Weitere Dateiinhalte' über den Inhalt der
Java Scripte informieren.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie sollten sich jedoch über den Inhalt
der Java Script Elemente über den Menüpunkt
'Weitere Dateiinhalte' informieren.
Im Zweifelsfall sollten Sie die Unterzeichnung des
Dokuments nicht fortsetzen.
Fehler in der
Datenlänge
Diese Fehlermeldung kann beim Öffnen
eines PDF Dokuments angezeigt werden.
Der sichere Zustand des Produktes ist nicht
gefährdet, jedoch sollten Sie die Datei nicht weiter
verarbeiten, da ein Fehler in der internen
Dokumentstruktur vorliegt.
Fehler im Zugriff auf
die Datei!
Diese Fehlermeldung kann beim Öffnen
eines Dokuments angezeigt werden.
Der sichere Zustand des Produktes ist nicht
gefährdet. Sie haben jedoch eine Datei ausgewählt,
die nicht geöffnet werden kann. Beispielsweise
kann die Datei exklusiv durch eine dritte
Applikation blockiert sein.
240
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
Das Modul <Name des
Moduls> besitzt eine
ungültige Signatur! Das
Programm wird
beendet.
Diese Fehlermeldung kann Ihnen beim Start
des Viewers angezeigt werden.
Der sichere Zustand des Produktes ist nicht mehr
gewährleistet. Das Programm wird beendet. Sie
sollten mit dem zur Verfügung stehenden Modul zur
Integritätsprüfung die Integrität der Installation auf
dem Rechner überprüfen und sicherstellen, dass
nicht unberechtigte Dritte Zugriff auf Ihren Rechner
haben.
Das Modul <Name des
Moduls> konnte nicht
geladen werden! Das
Programm wird
beendet.
Diese Fehlermeldung kann Ihnen beim Start
des Viewers angezeigt werden.
Der sichere Zustand des Produktes ist nicht mehr
gewährleistet. Das Programm wird beendet. Sie
sollten mit dem zur Verfügung stehenden Modul zur
Integritätsprüfung die Integrität der Installation auf
dem Rechner überprüfen und sicherstellen, dass
nicht unberechtigte Dritte Zugriff auf Ihren Rechner
haben.
Das Dokument ist
beschädigt und muss
repariert werden.
Diese Fehlermeldung kann beim Öffnen
eines PDF Dokuments angezeigt werden.
Der sichere Zustand des Produktes ist nicht
betroffen. Der Viewer hat jedoch erkannt, dass das
vorliegende Dokument nicht verarbeitet oder
angezeigt werden kann.
Eine solches Dokument sollten Sie nicht signieren.
Die Datei-Ende
Markierung (EOF)
wurde nicht gefunden.
Diese Fehlermeldung kann beim Öffnen
eines PDF Dokuments angezeigt werden.
Der sichere Zustand des Produktes ist nicht
betroffen. Der Viewer hat jedoch erkannt, dass das
vorliegende Dokument einen syntaktischen Fehler
enthält.
Ein solches Dokument sollten Sie nicht signieren.
241
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
Die Datei konnte nicht
geöffnet werden.
Diese Fehlermeldung kann beim Öffnen
eines PDF Dokuments angezeigt werden.
Der sichere Zustand des Produktes ist nicht
gefährdet, die Datei konnte jedoch nicht geöffnet
werden.
Ein unerwarteter
Fehler ist aufgetreten!
Diese Fehlermeldung wird angezeigt, wenn
ein Fehler aufgetreten ist, der eine weitere
Verarbeitung der Daten unmöglich macht.
Der sichere Zustand des Produktes ist nicht
gefährdet.
Sie sollten die laufende Operation jedoch abbrechen
bzw. den Viewer schliessen.
- es sind alternative
Abbildungen enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
- es sind Anweisungen
zur Ausführung
externer Programme
enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
- es sind Verweise auf
externe Dateien
enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
242
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
- es sind
Verzweigungen <Links>
auf externe
Dokumente enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
- es sind Anweisungen
zum Verbergen von
Inhalten enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
- es sind Anweisungen
zum Zugriff auf das
Internet enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
- es sind Anweisungen
zum Abspielen von
Media-Clips enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
243
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
- es sind Anweisungen
zur Ausführung
benannter Aktionen
enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
- es sind optionale
Inhalte enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
- es sind Anweisungen
zur Steuerung von
Media-Clips enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
- es sind Anweisungen
zur Übermittlung von
Formulardaten
enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
244
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
- es sind Anweisungen
zum Abspielen von
Sound enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
- es sind Anweisungen
zur Steuerung
besonderer
Lesereihenfolgen
enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
- es wird Transparenz
verwendet
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
- es wurden Inhalte
entdeckt, die nicht
zum Dokument
gehören
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
245
Fehlermeldung des OpenLimit SignCubes
Viewer
Fehlerursache Auswirkungen auf den sicheren Zustand des
Produktes/Benutzerreaktion
- es sind Anweisungen
zum Abspielen von
Filmen enthalten
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezegt werden.
Der sichere Zustand des Produktes ist nicht
betroffen, jedoch hat der Viewer erkannt, dass
Anweisungen in dem PDF Dokument vorhanden sind,
die nicht ausgeführt werden können.
Sie sollten eine solche Datei nicht signieren.
Das Dokument hat eine
neuere Version als 1.6
und kann aus diesem
grund u.U. nicht
eindeutig und
fehlerfrei dargestellt
werden.
Diese Meldung kann Ihnen beim Öffnen
eines PDF Dokuments angezeigt werden.
Der sichere Zustand ist nicht betroffen. sie haben
jedoch ein Dokument geöffnet, welches eine PDF-
Version spezifiziert, die größer als die erwartete
Version 1.6 ist.
Das bedeutet, dass die Datei unter Umständen nicht
korrekt angezeigt wird. Sie sollten eine solche
Datei nicht signieren, da der Viewer die
zweifelsfreie Darstellung des Dokuments nicht
gewährleisten kann.
Es steht der
Anwendung nicht
genügend Speicher zur
Verfügung! Bitte
beenden Sie die
Anwendung und
starten Sie diese neu.
Diese Meldung kann Ihnen bei der
Verwendung des Text-Extrakionsdialogs des
Viewers angezeigt werden.
Der sichere Zustand ist nicht betroffen. Sie sollten
jedoch den Viewer schliessen und das Dokument
erneut öffnen.
Unter bestimmten Umständen stellt das
Betriebssystem nicht genügend Speicher für die
Anwendung zur Verfügung. Um eine
Missinterpretation der Daten auszuschliessen,
sollten Sie das Dokument jedoch schliessen und
erneut öffnen. Sie sollten das Dokument jedoch
nicht signieren, bevor Sie den Inhalt des Dokuments
nicht zweifelsfrei erkennen konnten.
246
12.5 Technischer Support
Bei Fragen in der Arbeit mit dem Produkt OpenLimit SignCubes 2.5 sollten Sie zunächst die Beschreibung in dem
entsprechenden Kapitel des elektronischen Handbuches bzw. in der Benutzerdokumentation der OpenLimit SignCubes 2.5
nachlesen.
Fehlermeldungen und Erklärungen finden Sie im Kapitel Erste Hilfe.
Darüber hinaus steht Ihnen zur Unterstützung für die Software OpenLimit SignCubes 2.5 ein telefonischer Support zur
Verfügung. Weitere Informationen zum technischen Support und zu häufig gestellten Fragen (FAQ) finden Sie im Internet
unter: www.OpenLimit.com.
Vorab sollten Sie sich darüber informieren, welche Softwareversion Sie installiert haben. Diese Meldung finden Sie unter
Start - Programme - OpenLimit - Show Version.
247
13. Index
A
Adobe Plugin • 134 Adobe Plugin Grundeinstellungen • 134 Arbeiten mit dem OPENLiMiT SignCubes Integrity Tool • 67 Arbeiten mit dem OPENLiMiT SignCubes Security Environment Manager • 58 Arbeiten mit dem OPENLiMiT SignCubes Viewer • 79 Arbeiten mit den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 • 58 Arbeiten mit Lotus Notes 6.5.4 • 200 Arbeiten mit Mozilla / Netscape Mail • 174 Arbeiten mit Thunderbird • 191 Arbeitsabläufe • 111 Attributzertifikate • 98
B
Betriebssysteme • 16 Bevor Sie beginnen • 7
C
Chipkarten • 18 Chipkarten Optionen • 50
D
Dateien und Icons im Explorer • 132 Dateiformate • 111 Daten entschlüsseln • 129 Daten verschlüsseln • 124 Der OPENLiMiT SignCubes Drucker • 141 Details • 115 Die erste Signatur mit OPENLiMiT SignCubes • 131 Drucker Eigenschaften - Dateiformate • 147 Drucker Eigenschaften - Dateiname erstellen • 149 Drucker Eigenschaften - Einstellungen • 146 Drucker Eigenschaften - Embed Annotation • 153 Drucker Eigenschaften - Programm - Start • 150 Drucker Eigenschaften - Wasserzeichen • 152
E
Eigenschaften • 50 Eigenschaften des Druckers • 145 Einleitung • 7 E-Mail Clients • 155 Entschlüsselung • 128 Erste Hilfe • 215 Erstellen Prüfprotokoll • 120
F
Fehlermeldungen des OPENLiMiT SignCubes Viewer • 235 Fehlermeldungen OPENLiMiT SignCubes Security Environment Manager • 35, 219 Fehlermeldungen vor oder während der Installation • 216 Freischalten der Lizenz • 13
G
Grundlagen der elektronischen Signatur • 21
I
Installation • 10
248
Internet Explorer • 205
K
Kartenleser • 17 Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.2 • 39 Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 • 7, 42 Konfigurationsoptionen des OPENLiMiT SignCubes Security Environment Managers • 39
L
Lotus Notes • 195 Lotus Notes 5 • 204 Lotus Notes 6.5.4 Sicherheitseinstellungen • 196
M
Microsoft Outlook Einstellungen • 155 Microsoft Outlook und Microsoft Outlook Express • 155 Mindestanforderungen und Sicherheitsmaßnahmen • 8 Mozilla / Netscape Browser Sicherheitseinstellungen • 210 Mozilla / Netscape Mail • 162 Mozilla / Netscape Mail Client Sicherheitseinstellungen • 163 Mozilla / Netscape SSL Authentisierung • 214 Mozilla Firefox Browser Sicherheitseinstellungen • 206 Mozilla Firefox SSL Authentisierung • 210 Mozilla Thunderbird • 178
O
Online Prüfung von Zertifikaten • 116 Online Status • 118 OPENLiMiT SignCubes Integrity Tool • 37 OPENLiMiT SignCubes Security Environment Manager • 33 OPENLiMiT SignCubes Shell Extension • 131 OPENLiMiT SignCubes Viewer • 35 Option
Algorithmen • 49 Allgemeine Einstellungen • 42 Lizenzeinstellungen und Lizenzupgrade • 40 PIN-Abfrage • 45 Verzeichnisse • 44 Zertifikate • 47
P
PDF Dokument signieren • 136 PIN ändern • 55 Produktbestandteile • 8, 19 Public Key Verfahren • 21
R
Rechtliche Aspekte der elektronischen Signatur • 25
S
Shell Extension Menü • 131 Sicherheitskomponenten der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.2 • 28, 84, 215 Signatur im PDF prüfen • 137 Signatur prüfen • 114 Signaturerzeugung • 22, 94 Signaturverifikation • 24, 60 Signieren • 112, 201 Signieren und Verschlüsseln • 159 Sperrlistenaktualisierung • 75 SSL Authentisierung • 205
249
T
Technischer Support • 249 Thunderbird Sicherheitseinstellungen • 179 Typografische Konventionen • 7
V
Verschlüsselung • 123 Verschlüsselungszertifikat exportieren • 126 Verschlüsselungszertifikate in Kontakt integrieren • 160 Verzeichnisdienst • 127
W
Wie gehe ich mit Fehlermeldungen um? • 215
Z
Zeitstempeldienste • 103 Zertifikate exportieren • 54 Zertifikate installieren • 126 Zusammenfassung • 114
250