S-TRUST Sign-it Viewer
S-TRUST Sign-it Viewer
S-TRUST Sign-it Viewer
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
S-Trust <strong>Sign</strong>-<strong>it</strong> Handbuch<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> 2.5.1.1<br />
Elektronisches Handbuch
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 2<br />
Copyright ® OPENLiMiT <strong>Sign</strong>Cubes AG 2008<br />
Diese Dokumentation ist geistiges Eigentum der OPENLiMiT <strong>Sign</strong>Cubes AG.<br />
Sie darf ohne vorherige schriftliche Einwilligung der OPENLiMiT <strong>Sign</strong>Cubes AG nicht (auch nicht in<br />
Auszügen) vervielfältigt oder veröffentlicht werden, unabhängig von der Art und Weise oder m<strong>it</strong><br />
welchen M<strong>it</strong>teln, elektronisch oder mechanisch, dieses geschieht. Die in dieser Dokumentation<br />
verwendeten Soft- oder Hardwarebezeichnungen sind genauso wie Firmen- oder Markennamen in<br />
den meisten Fällen eingetragene Warenzeichen oder Marken und Eigentum der jeweiligen Hersteller.<br />
Sie werden ohne Gewährleistung der freien Verwendbarke<strong>it</strong> benutzt. Wir richten uns im Wesentlichen<br />
nach den Schreibweisen der Hersteller. Die Wiedergabe von Waren- und Handelsnamen etc. in dieser<br />
Dokumentation - auch ohne besondere Kennzeichnung - berechtigt nicht zu der Annahme, dass<br />
solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten<br />
sind.<br />
Alle in dieser Dokumentation enthaltenen Informationen wurden m<strong>it</strong> größter Sorgfalt<br />
zusammengestellt. Dennoch können fehlerhafte Angaben nicht völlig ausgeschlossen werden. Die<br />
OPENLiMiT <strong>Sign</strong>Cubes AG, die Autoren und die Übersetzer haften nicht für eventuelle Fehler oder<br />
deren Folgen. In dieser Dokumentation werden insbesondere Informationen über <strong>Sign</strong>aturgesetze und<br />
entsprechende Verordnungen gegeben. Diese Informationen sollen zum Verständnis be<strong>it</strong>ragen und<br />
haben nicht den Anspruch auf Vollständigke<strong>it</strong>. Es obliegt jedem Nutzer selbst, sich über die<br />
gesetzlichen Grundlagen, auf denen die beschriebene Technologie beruht, zu informieren und die<br />
entsprechenden Maßnahmen zu ergreifen.<br />
Diese Dokumentation bietet dem Erwerber eine Anle<strong>it</strong>ung zu den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten<br />
2.5, Version 2.5.1.1. In Einzelfällen kann es zu Abweichungen zwischen den beschriebenen Abläufen,<br />
der Dokumentation und der tatsächlichen Anwendung kommen. Die OPENLiMiT <strong>Sign</strong>Cubes AG<br />
übernimmt keine Haftung für etwaige Abweichungen und deren Folgen.<br />
Da die Software ständig we<strong>it</strong>er entwickelt wird, behält sich die OPENLiMiT <strong>Sign</strong>Cubes AG<br />
Änderungen am Inhalt der Dokumentation ohne Ankündigung vor.<br />
Alle Programm-Module der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 entsprechen der<br />
Version 2.5.1.1. Das Handbuch beschreibt sowohl die Sicherhe<strong>it</strong>sfunktional<strong>it</strong>ät als auch die korrekte<br />
Konfiguration und den richtigen Umgang m<strong>it</strong> dem Produkt. Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten<br />
2.5, Version 2.5.1.1 wurden einer Evaluierung nach Common Cr<strong>it</strong>eria v2.1 m<strong>it</strong> Prüfniveau EAL4+<br />
unterzogen und haben eine Sicherhe<strong>it</strong>sbestätigung durch das Bundesamt für Sicherhe<strong>it</strong> in der<br />
Informationstechnik (BSI) erhalten. Mehr Informationen zur Produktzertifizierung finden Sie auf den<br />
Webse<strong>it</strong>en des BSI unter http://www.bsi.de und der Bundesnetzagentur für Elektriz<strong>it</strong>ät, Gas,<br />
Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) unter<br />
http://www.bundesnetzagentur.de.<br />
Dieses Handbuch gehört zum Lieferumfang des bestätigten Produktes.<br />
Die Zertifizierungs-ID für das Produkt lautet BSI-DSZ-CC-0585. Die Sicherhe<strong>it</strong>svorgaben und der<br />
Zertifizierungsreport für das Produkt können in englischer Sprache von den Webse<strong>it</strong>en des<br />
Bundesamtes für Sicherhe<strong>it</strong> in der Informationstechnik bezogen werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 3<br />
Hinweise und Kommentare richten Sie b<strong>it</strong>te an documentation@openlim<strong>it</strong>.com.<br />
OPENLiMiT <strong>Sign</strong>Cubes AG<br />
Zugerstraße 76 B<br />
CH - 6341 Baar<br />
Sw<strong>it</strong>zerland<br />
Tel: +49 (0) 30 86 87 66 20<br />
e-Mail: info@openlim<strong>it</strong>.com<br />
Web: www.openlim<strong>it</strong>.com
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 4<br />
Inhalt<br />
Einle<strong>it</strong>ung 8<br />
Typografische Konventionen ......................................................................................................................................9<br />
Bevor Sie beginnen................................................................................................................................................... 10<br />
Mindestanforderungen und Sicherhe<strong>it</strong>smaßnahmen ................................................................................................. 12<br />
Installation ............................................................................................................................................................... 14<br />
Freischalten der Lizenz ............................................................................................................................................20<br />
Betriebssysteme.......................................................................................................................................................24<br />
Kartenleser...............................................................................................................................................................25<br />
Chipkarten................................................................................................................................................................27<br />
Produktbestandteile .................................................................................................................................................28<br />
Grundlagen der elektronischen <strong>Sign</strong>atur 29<br />
Public Key Verfahren ................................................................................................................................................30<br />
<strong>Sign</strong>aturerzeugung ................................................................................................................................................... 31<br />
<strong>Sign</strong>aturverifikation..................................................................................................................................................33<br />
Rechtliche Aspekte der elektronischen <strong>Sign</strong>atur ......................................................................................................36<br />
Sicherhe<strong>it</strong>skomponenten der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5 40<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager........................................................................................................47<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> .............................................................................................................................................50<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool...................................................................................................................................52<br />
Konfiguration der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 54<br />
Konfigurationsoptionen des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers..........................................................56<br />
Option: Lizenzeinstellungen und Lizenzupgrade ...........................................................................................57<br />
Option: Allgemeine Einstellungen .................................................................................................................59<br />
Option: Verzeichnisse ...................................................................................................................................62<br />
Option: PIN-Abfrage......................................................................................................................................65<br />
Option: Zertifikate ........................................................................................................................................68<br />
Option: Algor<strong>it</strong>hmen.......................................................................................................................................71<br />
Chipkarten Optionen.................................................................................................................................................72<br />
Eigenschaften...............................................................................................................................................73<br />
Zertifikate exportieren.................................................................................................................................77<br />
PIN ändern....................................................................................................................................................78
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 5<br />
Arbe<strong>it</strong>en m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 80<br />
Arbe<strong>it</strong>en m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager ........................................................................... 81<br />
<strong>Sign</strong>aturverifikation..................................................................................................................................................85<br />
Arbe<strong>it</strong>en m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool ......................................................................................................93<br />
Sperrlistenaktualisierung ....................................................................................................................................... 102<br />
Arbe<strong>it</strong>en m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong>............................................................................................................... 106<br />
<strong>Sign</strong>aturerzeugung ................................................................................................................................................. 123<br />
Attributzertifikate .................................................................................................................................................. 129<br />
XML <strong>Sign</strong>aturen....................................................................................................................................................... 133<br />
Ze<strong>it</strong>stempeldienste................................................................................................................................................. 136<br />
Arbe<strong>it</strong>sabläufe 140<br />
Dateiformate ........................................................................................................................................................... 141<br />
<strong>Sign</strong>ieren ................................................................................................................................................................ 143<br />
<strong>Sign</strong>atur prüfen....................................................................................................................................................... 145<br />
Zusammenfassung...................................................................................................................................... 146<br />
Details .........................................................................................................................................................147<br />
Online Prüfung von Zertifikaten.................................................................................................................. 148<br />
Online Status .............................................................................................................................................. 149<br />
Erstellen Prüfprotokoll ............................................................................................................................... 152<br />
Verschlüsselung...................................................................................................................................................... 156<br />
Daten verschlüsseln ................................................................................................................................... 158<br />
Verschlüsselungszertifikat exportieren...................................................................................................... 160<br />
Zertifikate installieren................................................................................................................................. 161<br />
Verzeichnisdienst ....................................................................................................................................... 162<br />
Entschlüsselung...................................................................................................................................................... 164<br />
Daten Entschlüsseln ................................................................................................................................... 165<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Shellextension 166<br />
Die erste <strong>Sign</strong>atur m<strong>it</strong> S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> ....................................................................................................................167<br />
Shell Extension Menü.............................................................................................................................................. 168<br />
Dateien und Icons im Explorer ................................................................................................................................ 169<br />
Adobe Plugin 170<br />
Adobe Plugin Voreinstellungen ................................................................................................................................171<br />
PDF Dokument signieren..............................................................................................................................174<br />
<strong>Sign</strong>atur im PDF prüfen................................................................................................................................176<br />
<strong>Sign</strong>ieren m<strong>it</strong> dem S-<strong>TRUST</strong> TIFF Producer 179<br />
Eigenschaften des S-<strong>TRUST</strong> TIFF Producers ............................................................................................................. 181<br />
Eigenschaften des S-Trust <strong>Sign</strong>-<strong>it</strong> Druckers (nur Windows NT)................................................................................ 182<br />
Drucker Eigenschaften - Einstellungen ................................................................................................................... 183<br />
Drucker Eigenschaften - Dateiformate.................................................................................................................... 186<br />
Drucker Eigenschaften - Dateiname erstellen......................................................................................................... 188<br />
Drucker Eigenschaften - Programm - Start............................................................................................................. 190<br />
Drucker Eigenschaften - Wasserzeichen ................................................................................................................. 192<br />
Drucker Eigenschaften - Embed Annotation............................................................................................................ 194<br />
E-Mail Clients 196<br />
Microsoft Outlook und Microsoft Outlook Express ...................................................................................................197<br />
Microsoft Outlook Einstellungen................................................................................................................. 198<br />
<strong>Sign</strong>ieren und Verschlüsseln...................................................................................................................... 204
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 6<br />
Verschlüsselungszertifikate in Kontakt integrieren................................................................................... 205<br />
Mozilla / Netscape Mail...........................................................................................................................................207<br />
Mozilla / Netscape Mail Client Sicherhe<strong>it</strong>seinstellungen............................................................................ 208<br />
Arbe<strong>it</strong>en m<strong>it</strong> Mozilla / Netscape Mail .......................................................................................................... 219<br />
Mozilla Thunderbird ................................................................................................................................................224<br />
Thunderbird Sicherhe<strong>it</strong>seinstellungen ........................................................................................................225<br />
Arbe<strong>it</strong>en m<strong>it</strong> Thunderbird ...........................................................................................................................238<br />
Lotus Notes ............................................................................................................................................................243<br />
Lotus Notes 6.5.4 Sicherhe<strong>it</strong>seinstellungen ...............................................................................................244<br />
Arbe<strong>it</strong>en m<strong>it</strong> Lotus Notes 6.5.4...................................................................................................................249<br />
Lotus Notes 5 .............................................................................................................................................252<br />
SSL Authentisierung 253<br />
Internet Explorer....................................................................................................................................................254<br />
Firefox Browser Sicherhe<strong>it</strong>seinstellungen ..............................................................................................................255<br />
Firefox SSL Authentisierung ...................................................................................................................................259<br />
Mozilla / Netscape Browser Sicherhe<strong>it</strong>seinstellungen ............................................................................................260<br />
Mozilla / Netscape SSL Authentisierung .................................................................................................................264<br />
Erste Hilfe 265<br />
Wie gehe ich m<strong>it</strong> Fehlermeldungen um?..................................................................................................................266<br />
Fehlermeldungen vor oder während der Installation ..............................................................................................268<br />
Fehlermeldungen S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager .........................................................................272<br />
Fehlermeldungen des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong>.........................................................................................................290<br />
Technischer Support...............................................................................................................................................305<br />
Index 308
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 7<br />
Glossar<br />
CC Die Common Cr<strong>it</strong>eria ist ein internationals Normen- und Regelwerk, welches Vorgaben<br />
zur sicherhe<strong>it</strong>stechnischen Untersuchung von IT Produkten definiert.<br />
CRL Eine Certificate List ist eine Liste, die von einem Zetrifikatsanbieter herausgegeben wird<br />
und eine Liste aller Zetrifikate enthält, die zum Ze<strong>it</strong>punkt des Abrufs der Sperrliste durch<br />
den Inhaber des zertifikats gesperrt worden ist.<br />
OCSP Online Certificate Status Protocol ist ein Protokoll, welches über eine Online Abfrage die<br />
Möglichke<strong>it</strong> bietet, bei dem Herausgeber zu erfragen, ob ein Zerifikat bekannt bzw.<br />
gesperrt ist. Dieses verfahren wird als so genannte Pos<strong>it</strong>iv Auskunft bezeichnet.<br />
RSA Kryptographische Mechanismen, benannt nach den Erfindern Ronald L. Rivest, Adi<br />
Shamir und Leonard Adleman<br />
ECDSA Elliptic Curve Dig<strong>it</strong>al <strong>Sign</strong>ature Algor<strong>it</strong>hm, kryptographische Mechanismen basierend auf<br />
elliptischen Kurven<br />
CMS Cryptographic Message Syntax – beschreibt das Standardformat für kryptographische<br />
Nachrichten
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 8<br />
Einle<strong>it</strong>ung<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 sind eine evaluierte und bestätigte<br />
<strong>Sign</strong>aturanwendungskomponente gemäß deutschem <strong>Sign</strong>aturgesetz (SigG) und der<br />
<strong>Sign</strong>aturverordnung (SigV).<br />
Die bestätigten Komponenten bestehen aus dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager,<br />
dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> sowie dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool, die auch Gegenstand der<br />
vorliegenden Benutzerdokumentation Version 2.5.1.1 sind.<br />
Die vorliegende Dokumentation Version 2.5.1.1 beschreibt die genannten Produktbestandteile und<br />
gibt Hinweise zur korrekten und sicheren Konfiguration des Produktes. We<strong>it</strong>erhin werden alle<br />
Fehlermeldungen aufgelistet und Hinweise zum korrekten Umgang m<strong>it</strong> Fehlermeldungen gegeben.<br />
Bevor Sie anfangen, m<strong>it</strong> dem Produkt zu arbe<strong>it</strong>en, lesen Sie b<strong>it</strong>te die folgenden Kap<strong>it</strong>el der Hilfe<br />
aufmerksam durch:<br />
� Bevor Sie beginnen<br />
� Mindestanforderungen und Sicherhe<strong>it</strong>smaßnahmen<br />
� Sicherhe<strong>it</strong>skomponenten der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5<br />
� Konfiguration der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1<br />
Eine Anle<strong>it</strong>ung zum Umgang m<strong>it</strong> dem Produkt sowie der Nutzung einzelner Funktionen im Detail,<br />
finden Sie im Kap<strong>it</strong>el Arbe<strong>it</strong>en m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 9<br />
Typografische Konventionen<br />
Diese Hilfe verwendet einige typografische Konventionen, die Ihnen die Arbe<strong>it</strong> m<strong>it</strong> dem elektronischen<br />
Handbuch erleichtern.<br />
Formatierung Beschreibung<br />
Fetter Text M<strong>it</strong> dieser Formatierung werden besonders<br />
wichtige Passagen markiert.<br />
kursiv M<strong>it</strong> dieser Formatierung werden z.B.<br />
Menübefehle<br />
gekennzeichnet.<br />
und Arbe<strong>it</strong>sabfolgen<br />
Normaler Text Dies ist die normale Textformatierung für dieses<br />
Handbuch.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 10<br />
Bevor Sie beginnen<br />
Die vorliegende Benutzerdokumentation Version 2.5.1.1 ist Bestandteil der erfolgten<br />
Sicherhe<strong>it</strong>sevaluierung und Sicherhe<strong>it</strong>sbestätigung und bezieht sich ausschließlich auf die S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1.<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 sind Bestandteil des Produktes, das Sie<br />
auf CD-ROM von der Deutschen Sparkasse oder Online über den Web-Shop des Deutschen<br />
Sparkassenverlages erworben haben. Das vorliegende Handbuch Version 2.5.1.1 beschreibt<br />
ausschließlich den korrekten Umgang m<strong>it</strong> den Basiskomponenten, für die we<strong>it</strong>eren<br />
Produktbestandteile steht Ihnen eine separate Hilfe zur Verfügung.<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 sind eine Sicherhe<strong>it</strong>ssoftware, die Ihnen<br />
die Erstellung und Verifikation elektronischer <strong>Sign</strong>aturen konform zum deutschen <strong>Sign</strong>aturgesetz<br />
(SigG) und zur <strong>Sign</strong>aturverordnung (SigV) bietet. Für die sichere Benutzung der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 benötigen Sie neben der Software eine Chipkarte und einen<br />
Kartenleser m<strong>it</strong> sicherer PIN-Eingabe.<br />
Dieses Handbuch Version 2.5.1.1 erläutert die Grundlagen zur elektronischen <strong>Sign</strong>atur, die<br />
Sicherhe<strong>it</strong>skomponenten und Sicherhe<strong>it</strong>sfunktionen des Produktes, zur korrekten Konfiguration sowie<br />
den Umgang m<strong>it</strong> dem Produkt. In einem separaten Kap<strong>it</strong>el werden die Fehlermeldungen und mögliche<br />
Ursachen für diese Fehlermeldungen aufgeführt. Dieses Kap<strong>it</strong>el enthält Hinweise und<br />
Handlungsempfehlungen, für den Fall, dass eine Fehlermeldung von dem Produkt angezeigt wird.<br />
Sie sollten die folgenden Kap<strong>it</strong>el lesen, um sicher zu stellen, dass Ihr Rechner die Voraussetzung für<br />
den Einsatz des Produktes erfüllt:<br />
� Mindestanforderungen und Sicherhe<strong>it</strong>smaßnahmen<br />
� Betriebssysteme<br />
� Chipkarten<br />
� Kartenleser<br />
� Produktbestandteile
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 11<br />
Sie sollten vor der ersten Verwendung des Produktes das Kap<strong>it</strong>el Freischalten der Lizenz lesen, um<br />
die richtige Freischaltung der Lizenz vorzunehmen. Wir empfehlen außerdem, dass Sie vor der ersten<br />
Verwendung der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 das Kap<strong>it</strong>el Konfiguration<br />
der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 vollständig lesen.<br />
Hinweis: Sofern Ihr Betriebssystem Benutzerrechte unterstützt, benötigen Sie Administrationsrechte,<br />
um die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 zu installieren.<br />
Falls Sie das Produkt Online über den Web-Shop des Deutschen Sparkassenverlages erworben<br />
haben, sollten Sie unbedingt nach der Installation und vor der ersten Anwendung des Produktes das<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool ausführen, um die Korrekthe<strong>it</strong> der Installation zu verifizieren. We<strong>it</strong>ere<br />
Informationen dazu finden Sie in dem Kap<strong>it</strong>el Arbe<strong>it</strong>en m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 12<br />
Mindestanforderungen und<br />
Sicherhe<strong>it</strong>smaßnahmen<br />
B<strong>it</strong>te stellen Sie sicher, dass Ihr Rechner und Ihre Einsatzumgebung den Anforderungen aus den<br />
Kap<strong>it</strong>eln<br />
� Betriebssysteme<br />
� Chipkarten<br />
� Kartenleser<br />
entsprechen.<br />
Die folgenden Sicherhe<strong>it</strong>smaßnahmen müssen für den korrekten Einsatz des Produktes eingehalten<br />
werden:<br />
� Benutzer sowie evtl. Administrations- und Wartungspersonal müssen den Anweisungen der<br />
Benutzerdokumentation Folge leisten.<br />
� Wenn Sie das Produkt auf CD-ROM oder einem anderen Speichermedium bezogen haben,<br />
müssen Sie dieses geschützt vor dem Zugriff durch unberechtigte dr<strong>it</strong>te Personen aufbewahren.<br />
Bevor Sie das Produkt installieren, stellen Sie b<strong>it</strong>te sicher, dass alle Sicherhe<strong>it</strong>smerkmale (wie z.B.<br />
Siegel und Laminierungen) der Verpackung unbeschädigt sind. Sollten Sie Zweifel an der<br />
Authentiz<strong>it</strong>ät des Installationsmediums haben, wenden Sie sich an den Lieferanten.<br />
� Falls Sie das Produkt Online über den Web-Shop des Deutschen Sparkassenverlages erworben<br />
haben, sollten Sie unbedingt nach der Installation und vor der ersten Anwendung das S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool ausführen, um die Korrekthe<strong>it</strong> der Installation zu verifizieren.<br />
� Für den Einsatz der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 in der Windows<br />
Terminal Umgebung ist der Server in einer zutr<strong>it</strong>tsgeschützten Einsatzumgebung und innerhalb<br />
eines verschließbaren und versiegelten Elektroschrankes unterzubringen.<br />
� Sie müssen als Benutzer regelmäßig, wenigstens jedoch einmal im Monat, die Integr<strong>it</strong>ät der<br />
Produktinstallation auf Ihrem Rechner prüfen. Verwenden Sie dazu entweder die Online-<br />
Komponente, die Ihnen über die Webse<strong>it</strong>e https://www.s-trust.de/sign-<strong>it</strong>/sicherhe<strong>it</strong> zu diesem<br />
Zwecke zur Verfügung gestellt wird oder das auf der CD m<strong>it</strong>gelieferte S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y<br />
Tool.<br />
� Verwenden Sie stets einen Virenscanner und stellen Sie sicher, dass die aktuellen<br />
Virendefin<strong>it</strong>ionen des Herstellers installiert sind. Wenn der Virenscanner keine Backdoor-<br />
Programme erkennen kann, sollten Sie ein entsprechendes zusätzliches Programm installieren.<br />
� Für den Fall, dass Sie über einen Internet-Anschluss verfügen, müssen Sie eine Firewall<br />
einsetzen, um das Betriebssystem Ihres Computers vor Angriffen aus dem Internet zu schützen.<br />
� Stellen Sie sicher, dass Sie über die volle Kontrolle über eingelegte Speichermedien und<br />
Netzwerkfreigaben verfügen. Konfigurieren Sie Ihren Rechner niemals so, dass auf den
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 13<br />
Installationspfad des Produktes über Netzwerkfreigaben durch Dr<strong>it</strong>te zugegriffen werden kann.<br />
� Der Zugriff und die Verwendung des Produktes durch den Anwender muss durch die<br />
Konfiguration des Rechners ermöglicht werden. Das bedeutet, dass der Rechner so konfiguriert<br />
sein muss, dass der Anwender durch den Computer-Administrator die Rechte eingeräumt<br />
bekommt, die er zur Benutzung des Produktes benötigt.<br />
Hinweis: Für den Einsatz der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 auf Windows<br />
Terminalserver 2003 hat die Remoteverbindung zwischen dem Terminalserver und dem bzw. den<br />
Terminalclients grundsätzlich verschlüsselt m<strong>it</strong> 128 B<strong>it</strong> zu erfolgen.<br />
� Bei Windows Terminal Server 2003 in Verbindung m<strong>it</strong> den Betriebsystemen Windows XP und<br />
Windows Vista clientse<strong>it</strong>ig ist die Verschlüsselung m<strong>it</strong> 128 B<strong>it</strong> bere<strong>it</strong>s Standard für die Verbindung<br />
und unbedingt zu verwenden.<br />
Wenn Sie diese Regeln nicht einhalten, verlassen Sie die Umgebung, für die das Produkt zertifiziert<br />
und bestätigt ist. Die folgenden Anforderungen kann das Produkt nicht leisten:<br />
� Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrthe<strong>it</strong> und der<br />
Geheimhaltung der privaten Schlüssel obliegt der Chipkarte.<br />
� Sicherstellung der korrekten Uhrze<strong>it</strong> auf dem Rechner des Anwenders. Das Produkt S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 kann keine Aussagen über die Plausibil<strong>it</strong>ät der<br />
eingestellten Uhrze<strong>it</strong> auf dem Rechner des Anwenders treffen.<br />
� Sicherstellung der Integr<strong>it</strong>ät des Betriebssystems. Das Produkt enthält keine Mechanismen, um<br />
die Integr<strong>it</strong>ät seiner Umgebung zu prüfen. Sie müssen geeignete Vorkehrungen treffen, um eine<br />
Komprom<strong>it</strong>tierung des Betriebssystems zu vermeiden.<br />
� Sicherhe<strong>it</strong> der kryptografischen Operationen. Das Produkt verwendet Bibliotheken zur Erzeugung<br />
und Verifikation elektronischer <strong>Sign</strong>aturen über das RSA Public Key Verfahren. Zur<br />
<strong>Sign</strong>aturerzeugung ist der Einsatz einer Chipkarte unabdingbar. Das Produkt kann die Stärke der<br />
kryptografischen Mechanismen nicht garantieren und keine Aussagen über die Stärke der<br />
kryptografischen Funktionen treffen.<br />
Die Leistungsmerkmale des Produktes sind auf diejenigen Funktionen beschränkt, die in diesem<br />
Handbuch Version 2.5.1.1 wiedergegeben werden. Als Anwender des Produktes sind Sie verpflichtet,<br />
die technischen und organisatorischen Maßnahmen einzuhalten, die von der vorliegenden<br />
Benutzerdokumentation Version 2.5.1.1 vorgegeben werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 14<br />
Installation<br />
Um m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 arbe<strong>it</strong>en zu können, benötigen<br />
Sie eine Chipkarte m<strong>it</strong> einem Zertifikat für die qualifizierte elektronische <strong>Sign</strong>atur gemäß deutschem<br />
<strong>Sign</strong>aturgesetz und einen Kartenleser. Die für die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 zulässigen Chipkarten sind in dem Kap<strong>it</strong>el Chipkarten aufgelistet.<br />
Die zulässigen Kartenleser sind in dem Kap<strong>it</strong>el Kartenleser aufgeführt.<br />
Stellen Sie sicher, dass Sie eine entsprechende Chipkarte zur Verfügung haben und der Kartenleser<br />
ordnungsgemäß installiert ist, bevor Sie anfangen, m<strong>it</strong> der Software zu arbe<strong>it</strong>en.<br />
Bevor Sie das Produkt installieren, lesen Sie den Abschn<strong>it</strong>t Mindestanforderungen und<br />
Sicherhe<strong>it</strong>smaßnahmen und Betriebssysteme gründlich, um zu gewährleisten, dass Ihr System<br />
einem der angegebenen Betriebssysteme entspricht.<br />
Sie können das Produkt wahlweise per Download über den Web-Shop des Deutschen<br />
Sparkassenverlages oder auf einem Installationsmedium, wie z.B. einer CD-ROM, bezogen haben.<br />
Der im Folgenden dargestellte Ablauf ist für beide Varianten identisch. Das Installationsprogramm<br />
kopiert die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 auf Ihren Rechner. Stellen Sie<br />
b<strong>it</strong>te nach der Installation sicher, dass das korrekte Produkt installiert wurde, in dem Sie das S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool ausführen. Mehr Informationen dazu finden Sie im Kap<strong>it</strong>el Arbe<strong>it</strong>en m<strong>it</strong> dem S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool.<br />
Falls Sie das Setup auf einer CD-ROM erhalten haben und diese in das Laufwerk einlegen, wird bei<br />
aktiviertem Autostart das Setup automatisch gestartet. Wenn Sie das Setup über einen Download<br />
bezogen haben, müssen Sie das Programm 'setup.exe' ausführen. Sie sehen dann das Fenster zur<br />
Sprachauswahl. Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 werden in deutscher<br />
Sprache ausgeliefert:<br />
Wenn Sie jetzt auf OK klicken, überprüft das Setup Programm die Installationsumgebung unter<br />
folgenden Gesichtspunkten:<br />
� Entspricht das Betriebsystem den aufgeführten Mindestanforderungen?<br />
� Sind die Mindestanforderungen an den Internet Explorer erfüllt?<br />
� Verfügt der Benutzer über Administrationsrechte?<br />
� Ist der schreibende Zugriff auf die Registry möglich?
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 15<br />
Wenn diese Voraussetzungen nicht erfüllt sind, wird eine Fehlermeldung angezeigt und das Setup<br />
Programm beendet. Wenn die Prüfung erfolgreich verlaufen ist, erscheint das folgende Dialogfeld.<br />
Wenn Sie jetzt auf We<strong>it</strong>er klicken, werden Sie in dem folgenden Fenster aufgefordert, den<br />
Installationsvorgang m<strong>it</strong> We<strong>it</strong>er nochmals zu bestätigen.<br />
In dem folgenden Fenster haben Sie die Möglichke<strong>it</strong>, den Zielordner für die Programmdaten zu
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 16<br />
ändern.<br />
Wenn Sie jetzt auf We<strong>it</strong>er klicken, wird eine Se<strong>it</strong>e angezeigt, auf der Sie die Lizenzvereinbarungen<br />
akzeptieren müssen.<br />
In dem folgenden Fenster werden Sie aufgefordert, entweder einen Lizenzschlüssel einzugeben oder<br />
die Installation ohne Lizenzschlüssel fortzusetzen. In dem Fall, dass Sie die „Installation ohne
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 17<br />
Lizenznummer fortsetzen“ auswählen, können Sie vor Beendigung des Installationsvorgangs<br />
entscheiden, ob Sie einen kostenlosen Reader oder eine 30 Tage Testlizenz installieren wollen.<br />
Falls ein Lizenzschlüssel eingegeben wurde, wird nach dem Beenden des Installationsvorganges der<br />
S-<strong>TRUST</strong> <strong>Sign</strong>.<strong>it</strong> Secur<strong>it</strong>y Environment Manager automatisch gestartet und die, m<strong>it</strong> dem<br />
Lizenzschlüssel freigeschalteten Funktionen stehen sofort zur Anwendung zur Verfügung.<br />
Wurde die Option „Installation ohne Lizenznummer fortsetzen“ angeklickt, haben Sie nach dem<br />
Installationsvorgang die Möglichke<strong>it</strong>, die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten, Version 2.5.1.1<br />
entweder als kostenlosen Reader zu nutzen oder m<strong>it</strong> einer 30 Tage Lizenz frei zuschalten.<br />
Nachdem Sie eine er beiden Optionen ausgewählt haben, beginnt der eigentliche<br />
Installationsvorgang.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 18<br />
Nach Beendigung der Installation erscheint die folgende Information.<br />
Nach Bestätigung des Befehls Fertig stellen wird der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment<br />
Manager automatisch gestartet und das Modul zum Freischalten der Lizenz geöffnet, sofern Sie nicht<br />
bere<strong>it</strong>s zu Beginn der Installation einen Lizenzschlüssel eingegeben haben.<br />
Hinweis zur Installation für Windows Terminalserver: Zur Arbe<strong>it</strong> m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong>
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 19<br />
Basiskomponenten 2.5, Version 2.5.1.1 über Windows Terminal Server 2000 m<strong>it</strong> C<strong>it</strong>rix Frame oder<br />
2003 m<strong>it</strong> oder ohne C<strong>it</strong>rix Frame müssen die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1<br />
als Terminaldienste im Anwendungsmodus (nicht im Remoteverwaltungsmodus) installiert werden. Es<br />
ist ausreichend, die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 serverse<strong>it</strong>ig zu<br />
installieren.<br />
Bei der Installation der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 in der Windows<br />
Terminal Server 2000 m<strong>it</strong> C<strong>it</strong>rix Frame oder 2003 m<strong>it</strong> oder ohne C<strong>it</strong>rix Frame Umgebung ist eine<br />
zuverlässige Administration des Servers durch das Vier-Augen-Prinzip zu gewährleisten.<br />
Die Kartenlesertreiber müssen in identischer Version sowohl auf dem Windows Terminal Server als<br />
auch auf dem bzw. den Clientrechnern installiert sein.<br />
Darüber hinaus gibt es für die Installation der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1<br />
in der Windows Terminal Server 2000 m<strong>it</strong> C<strong>it</strong>rix Frame oder 2003 m<strong>it</strong> oder ohne C<strong>it</strong>rix Frame<br />
Umgebung eine zusätzliche Dokumentation. Diese wird gesondert durch die OPENLiMiT <strong>Sign</strong>Cubes<br />
AG zur Verfügung gestellt.<br />
Hinweis zur sicheren Konfiguration: Bei der Installation der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten<br />
2.5, Version 2.5.1.1 wird automatisch eine sichere Konfiguration des Produktes eingestellt. Sie sollten<br />
Änderungen in den Konfigurationseinstellungen m<strong>it</strong> Hilfe der in diesem Handbuch Version 2.5.1.1<br />
beschriebenen Konfigurationsoptionen für die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 erst dann vornehmen, wenn Sie im Umgang m<strong>it</strong> den Funktional<strong>it</strong>äten vertraut sind.<br />
Grundsätzlich sollte das Produkt immer m<strong>it</strong> den empfohlenen Einstellungen betrieben werden. Über<br />
den Button Ausgangskonfiguration haben Sie die Möglichke<strong>it</strong>, die bei der Installation eingerichteten<br />
Optionen wieder herzustellen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 20<br />
Freischalten der Lizenz<br />
Wenn Sie das Produkt zum ersten Mal starten, werden Sie aufgefordert, Lizenzierungsinformationen<br />
einzugeben. Sie haben die Lizenzinformationen entweder direkt von dem Deutschen<br />
Sparkassenverlag oder die Deutsche Sparkasse erhalten. Wenn der Lizenzmanager gestartet wird,<br />
sehen Sie den folgenden Dialog. Lesen Sie die Informationen gründlich und vergewissern Sie sich,<br />
dass Sie die Informationen verstanden haben.<br />
Klicken Sie so lange auf We<strong>it</strong>er, bis Sie aufgefordert werden, den Lizenzcode einzugeben.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 21<br />
Geben Sie den Lizenzcode ein oder klicken Sie auf den Button Reader.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 22<br />
Nachdem Sie den Lizenzcode eingegeben haben, werden Sie aufgefordert, eine <strong>Sign</strong>atur zu<br />
erzeugen. Sie können die Daten im S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> betrachten, um sich zu vergewissern,<br />
dass keine persönlichen oder vertraulichen Daten in den Lizenzinformationen enthalten sind.<br />
Nach Abschluss der Lizenzfreischaltung steht die Lizenz allen Anwendern des Computers zur<br />
Verfügung.<br />
Wenn Sie später eine andere Lizenz erwerben, können Sie ein Upgrade der Lizenz vornehmen.<br />
Gehen Sie dazu auf den Menüpunkt Eigenschaften des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 23<br />
Managers und wählen Sie das Register Lizenz aus. Klicken Sie auf Lizenz-Upgrade, um eine<br />
Änderung der Lizenzinformationen vorzunehmen.<br />
Hinweis: Beachten Sie unbedingt, dass eine We<strong>it</strong>ergabe der Lizenzinformationen an Dr<strong>it</strong>te nicht<br />
erlaubt ist und strafrechtlich durch die OPENLiMiT <strong>Sign</strong>Cubes AG und/oder den Deutschen<br />
Sparkassenverlag verfolgt wird. Die zur Verfügung stehende Funktional<strong>it</strong>ät des Produktes Version<br />
2.5.1.1 hängt von dem Lizenzcode ab, den Sie erhalten haben. Sie können sich auf der<br />
Eigenschaftsse<strong>it</strong>e des Produktes anzeigen lassen, welche Funktionen Sie lizenziert haben. Der grüne<br />
Haken bedeutet dabei, dass die Funktion zur Verfügung steht. Nicht verfügbare Funktional<strong>it</strong>ät wird<br />
auch nicht angezeigt.<br />
Wenn Sie eine ze<strong>it</strong>lich befristete Testlizenz installiert haben, wird nach Ablauf der Frist die Lizenzdatei<br />
durch externe Programme gelöscht. In diesem Fall wird Ihnen der Lizenzassistent angezeigt und Sie<br />
müssen einen Lizenzcode für eine korrekte Lizenzierung des Produktes eingeben. Alternativ können<br />
Sie den Button Reader wählen, der keine we<strong>it</strong>ere Eingabe eines Lizenzcodes erfordert.<br />
Für die Freischaltung der Lizenz ist keine Online-Aktivierung des Produktes notwendig. Sie schützen<br />
die Lizenz jedoch durch die Erzeugung einer <strong>Sign</strong>atur vor dem Missbrauch durch unberechtigte Dr<strong>it</strong>te.<br />
Durch die Unterzeichnung der Lizenz m<strong>it</strong> Ihrem <strong>Sign</strong>aturzertifikat beweisen Sie, dass Sie die Lizenz<br />
erworben haben und können dies auch in der Anzeige der Lizenzinformationen überprüfen. Mehr<br />
Informationen finden Sie im Kap<strong>it</strong>el Option: Lizenzeinstellungen und Lizenzupgrade.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 24<br />
Betriebssysteme<br />
Für die Arbe<strong>it</strong> m<strong>it</strong> dem Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 benötigen<br />
Sie einen Intel 586 kompatiblen Prozessor, mindestens 120 MB freien Festplattenplatz und<br />
mindestens 128 MB RAM. Auf dem Rechner muss mindestens der Internet Explorer ab Version 5.01<br />
installiert sein. Wenn Sie nicht über diese Mindestversion des Internet Explorers verfügen, laden Sie<br />
sich b<strong>it</strong>te die neueste Version des Internet Explorers von der Webse<strong>it</strong>e der Firma Microsoft herunter.<br />
Darüber hinaus muss die Java Virtual Machine (JVM) ab Version 1.4.2.08 m<strong>it</strong> dem zugehörigen JRE<br />
(Java Runtime Environment) auf dem Computer installiert sein. Wenn Sie nicht über die Java Virtual<br />
Machine verfügen, können Sie diese unter http://java.sun.com herunterladen.<br />
Die folgenden Betriebssysteme werden von diesem Produkt unterstützt:<br />
• Windows NT 4.0 ab Service Pack 6.0<br />
• Windows 2000 ab Service Pack 2.0<br />
• Windows 2003<br />
• Windows 2003 64 B<strong>it</strong> Ed<strong>it</strong>ion<br />
• Windows XP Home und Professional<br />
• Windows XP 64 B<strong>it</strong> Ed<strong>it</strong>ion<br />
• Windows XP Tablet PC Ed<strong>it</strong>ion<br />
• Windows Vista 32 B<strong>it</strong> und 64 B<strong>it</strong><br />
• Windows 2008<br />
• Windows 2008 64 B<strong>it</strong> Ed<strong>it</strong>ion<br />
• Windows 2000 Terminal Server m<strong>it</strong> C<strong>it</strong>rix Meta-Frame<br />
• Windows 2003 Terminal Server m<strong>it</strong> und ohne C<strong>it</strong>rix Meta-Frame<br />
• Windows 2008 Terminal Server<br />
Abhängig vom Zustand Ihres Betriebssystems nimmt das Setup Programm Aktualisierungen des<br />
Betriebssystems vor. Dafür kann ein mehrmaliger Neustart des Rechners notwendig sein, was nicht<br />
auf die Installation der Software S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 sondern auf<br />
die notwendigen Betriebssystemupdates zurückzuführen ist.<br />
Das Setup für die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 nimmt ggf. notwendige<br />
Updates des Betriebssystems vor. Diese Updates stellen sicher, dass die Shell32.dll in der<br />
Mindestversion 4.0 sowie die Microsoft SmartCard Base Components in der Minimalversion 1.0<br />
vorhanden sind.<br />
Hinweis: Um den Rechner optimal vor Sicherhe<strong>it</strong>slücken zu schützen und die korrekte Arbe<strong>it</strong> des<br />
Produktes zu gewährleisten, sollten stets die aktuellen Sicherhe<strong>it</strong>s-Updates der Firma Microsoft<br />
installiert werden. Schützen Sie Ihren Rechner durch einen aktuellen Virenscanner und, sofern Sie<br />
über eine Internetanbindung verfügen, m<strong>it</strong> einer Firewall.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 25<br />
Kartenleser<br />
Der Einsatz der folgenden Kartenleser wird durch die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5,<br />
Version 2.5.1.1 unterstützt:<br />
� Kobil Systems B1 Pro USB<br />
� Cherry ST-2000<br />
� Kobil KAAN Advanced<br />
� Kobil KAAN Tri@nk<br />
� SCM Microsystems SPRx32/ChipDrive PinPad<br />
� Reiner SCT cyberJack e-com v2.0<br />
� Reiner SCT cyberJack e-com v3.0<br />
� Reiner SCT cyberJack pinpad v2.0<br />
� Reiner SCT cyberJack pinpad v3.0<br />
� Reiner SCT cyberJack e-com plus v3.0<br />
� Reiner SCT secoder v3.0<br />
� Omnikey Cardman 3621<br />
� Omnikey Cardman 3821<br />
� Fuj<strong>it</strong>su Siemens S26381-K329-V2xx HOS:01<br />
Unter dem Betriebssystem Windows Vista werden die folgenden Kartenleser unterstützt:<br />
� Kobil Systems B1 Pro USB<br />
� Cherry ST-2000<br />
� Kobil KAAN Advanced<br />
� Kobil KAAN Tri@nk<br />
� SCM Microsystems SPRx32/ChipDrive PinPad (Firmware version 5.10)<br />
� Reiner SCT cyberJack pinpad v3.0<br />
� Reiner SCT cyberJack e-com v3.0<br />
� Reiner SCT cyberJack e-com plus v3.0<br />
� Reiner SCT secoder v3.0<br />
� Omnikey Cardman 3621<br />
� Omnikey Cardman 3821<br />
� Fuj<strong>it</strong>su Siemens S26381-K329-V2xx HOS:01<br />
Für die Erzeugung gesetzeskonformer (qualifizierter) <strong>Sign</strong>aturen dürfen nur diejenigen SigG-
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 26<br />
konformen Kartenleser eingesetzt werden, die in diesem Handbuch Version 2.5.1.1 angegeben<br />
werden. Zum Ze<strong>it</strong>punkt der Bestätigung des Produktes waren die aufgelisteten Kartenleser nach dem<br />
deutschen <strong>Sign</strong>aturgesetz bestätigt und dürfen zur Erzeugung qualifizierter elektronischer <strong>Sign</strong>aturen<br />
eingesetzt warden.<br />
Hinweis: Das Produkt unterstützt die Verwendung von Kartenlesern, die keine sichere PIN-Eingabe<br />
erlauben. Wenn Sie einen solchen Kartenleser verwenden, bewegen Sie sich außerhalb der<br />
bestätigten Konfiguration. Für die SigG-konforme Konfiguration der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 ist nur die Verwendung der aufgeführten, bestätigten<br />
Kartenleser zulässig.<br />
Hinweis: Die folgenden Kartenleser sind auf Grund von Abweichungen in der Kompatibil<strong>it</strong>ät m<strong>it</strong> den<br />
genannten <strong>Sign</strong>aturkarten nicht für die Erzeugung qualifizierter <strong>Sign</strong>aturen verwendbar.<br />
We<strong>it</strong>ere Informationen bezüglich Inkompatibil<strong>it</strong>äten bei Kartenlesern und Karten entnehmen Sie b<strong>it</strong>te<br />
der Bestätigungsurkunde.<br />
Hinweis: Für die Arbe<strong>it</strong> m<strong>it</strong> dem Terminal Server Windows 2000 m<strong>it</strong> C<strong>it</strong>rix Frame oder 2003 m<strong>it</strong> oder<br />
ohne C<strong>it</strong>rix Frame müssen die Kartenlesertreiber nur auf den Clientrechnern installiert sein.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 27<br />
Chipkarten<br />
Das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 ist für den Einsatz folgender<br />
Chipkarten vorgesehen:<br />
� ZKA Banking signature card, v6.2 NP, v6.2b NP und 6.2f NP, Type 3 von Giesecke & Devrient<br />
� ZKA Banking signature card, v6.31 NP, Type 3 von Giesecke & Devrient<br />
� ZKA Banking signature card, v6.32, Type 3 von Giesecke & Devrient<br />
� ZKA Banking <strong>Sign</strong>ature Card, v6.4 von Giesecke & Devrient<br />
� ZKA Banking <strong>Sign</strong>ature Card, v6.51 von Giesecke & Devrient<br />
� ZKA Banking <strong>Sign</strong>ature Card, v6.6 von Giesecke & Devrient<br />
� ZKA signature card, ZKA 680 V5A, Version 5.10 von Gemplus-mids GmbH<br />
� ZKA signature card, ZKA 680 V5A, Version 5.11 von Gemplus-mids GmbH<br />
� ZKA <strong>Sign</strong>atur Karte, Version 5.02 der Gemplus-mids GmbH<br />
� ZKA Banking <strong>Sign</strong>ature Card, version 7.1.2 von Giesicke & Devrient GmbH<br />
� ZKA Banking <strong>Sign</strong>ature Card, version 7.2.1 von Giesicke & Devrient GmbH<br />
� ZKA-<strong>Sign</strong>aturkarte, version 6.01 von Gemalto GmbH<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 unterstützen auch PKCS#15 kompatible<br />
Karten, die nicht in dieser Liste aufgeführt sind. Die vorliegende Sicherhe<strong>it</strong>sbestätigung erstreckt sich<br />
nicht auf die Verwendung dieser Karten! OPENLiMiT übernimmt keine Garantie, dass jede PKCS#15<br />
kompatible Karte m<strong>it</strong> dem Produkt zusammen arbe<strong>it</strong>et. Die Verwendung von Chipkarten, die nicht in<br />
diesem Handbuch aufgeführt sind, liegt außerhalb der Bestätigung und ist daher nicht für die<br />
Erzeugung qualifizierter <strong>Sign</strong>aturen geeignet.<br />
Die aufgelisteten Karten beziehen sich auf bestätigte <strong>Sign</strong>aturkarten, die auf der Webse<strong>it</strong>e der<br />
Bundesnetzagentur für Elektriz<strong>it</strong>ät, Gas, Telekommunikation, Post und Eisenbahnen<br />
(Bundesnetzagentur) veröffentlicht wurden.<br />
Hinweis: Wenn Sie eine <strong>Sign</strong>aturkarte verwenden, die die Erzeugung mehrerer <strong>Sign</strong>aturen in einem<br />
Durchgang erlaubt, müssen Sie die speziellen Sicherhe<strong>it</strong>sauflagen, welche für diesen Betriebsmodus<br />
verlang werden, einhalten. Diese Sicherhe<strong>it</strong>sauflagen finden Sie in den Bestätigungsurkunden für<br />
diese Karten unter www.bundesnetzagentur.de.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 28<br />
Produktbestandteile<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 beinhalten die folgenden Bestandteile:<br />
� S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager als zentralen Bestandteil zur Verwaltung<br />
verfügbarer <strong>Sign</strong>aturkarten, Kartenleser und zur Konfiguration des Produktes. Mehr Informationen<br />
finden sie im Kap<strong>it</strong>el S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager.<br />
� S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong>. Mehr Informationen finden Sie im Kap<strong>it</strong>el S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong>.<br />
� S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool (Online). Mehr Informationen finden Sie im Kap<strong>it</strong>el S-<strong>TRUST</strong> <strong>Sign</strong>-<br />
<strong>it</strong> Integr<strong>it</strong>y Tool.<br />
� die vorliegende Benutzerdokumentation Version 2.5.1.1.<br />
Im Kap<strong>it</strong>el Konfiguration der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 finden Sie<br />
Erläuterungen zur richtigen Konfiguration des Produktes. Die richtige Bedienung wird Ihnen im Kap<strong>it</strong>el<br />
Arbe<strong>it</strong>en m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5 erklärt. Der Umgang m<strong>it</strong><br />
Fehlermeldungen wird Ihnen im Kap<strong>it</strong>el Erste Hilfe ausführlich erläutert.<br />
Hinweis:<br />
In Abhängigke<strong>it</strong> von der Konfiguration der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1<br />
steht die Funktion zur <strong>Sign</strong>aturerzeugung und -prüfung über IBM Lotus Formes <strong>Viewer</strong> zur Verfügung.<br />
Das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool zeigt Ihnen an, ob dieses zusätzliche Modul installiert ist.<br />
We<strong>it</strong>erhin verfügen die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 über die Möglichke<strong>it</strong>,<br />
XML-<strong>Sign</strong>aturen zu erzeugen bzw. zu verifizieren. Die Funktional<strong>it</strong>äten können nur durch die<br />
Integration in Dr<strong>it</strong>tanwendungen aktiviert werden. In dem Kap<strong>it</strong>el XML <strong>Sign</strong>aturen finden Sie we<strong>it</strong>ere<br />
Informationen zur Erzeugung und Verifikation von XML-<strong>Sign</strong>aturen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 29<br />
Grundlagen der elektronischen <strong>Sign</strong>atur<br />
Elektronische Daten können leicht manipuliert werden. Ob im Internet oder direkt auf dem Computer -<br />
Veränderungen von Daten können bislang kaum ausgeschlossen werden.<br />
Aus einem Dokument können Passagen einfach gestrichen oder eingefügt werden. Der Urheber eines<br />
Dokuments ist nicht festzustellen. Genauso können Daten, die per E-Mail verschickt werden oder auf<br />
der Festplatte gespeichert sind, durch Hacker oder Trojaner ausgelesen werden. Zudem hat das<br />
Internet einen großen Nachteil: Niemand weiß, m<strong>it</strong> wem er es auf der anderen Se<strong>it</strong>e zu tun hat.<br />
Deshalb war es auch lange Ze<strong>it</strong> undenkbar, dass elektronische Daten, die noch dazu im Internet<br />
verschickt werden, wo man den Kommunikationspartner nicht sehen kann, m<strong>it</strong> etwas ähnlichem wie<br />
einer Unterschrift versehen werden können.<br />
Durch die elektronische <strong>Sign</strong>atur können zwei Probleme behoben werden:<br />
� Eine unbemerkte Datenmanipulation ist nicht mehr möglich.<br />
� Der Unterzeichner kann eindeutig identifiziert werden.<br />
Die <strong>Sign</strong>atur macht jegliche absichtliche oder unabsichtliche Manipulation sofort ersichtlich. Über die<br />
Zertifikatsprüfung kann bewiesen werden, dass die <strong>Sign</strong>atur nicht gefälscht wurde, der<br />
Zertifikatsinhaber also echt ist. Dabei werden keine persönlichen Daten des Inhabers preisgegeben -<br />
lediglich der Name.<br />
In diesem Abschn<strong>it</strong>t werden Ihnen die Grundlagen zur elektronischen <strong>Sign</strong>atur auf Basis des RSA<br />
bzw. ECDSA Verfahrens dargestellt. Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1<br />
unterstützen die Erzeugung und Verifikation elektronischer <strong>Sign</strong>aturen auf Basis einer Chipkarte und<br />
eines Kartenterminals. Die Hashwertberechnung für die elektronische <strong>Sign</strong>atur wird nach den<br />
Verfahren SHA-1,SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 vorgenommen, welche<br />
als anerkannte Verfahren für die Berechnung kryptografischer Prüfsummen durch die<br />
Bundesnetzagentur für Elektriz<strong>it</strong>ät, Gas, Telekommunikation, Post und Eisenbahnen<br />
(Bundesnetzagentur) ausgewiesen sind. Das RSA bzw. ECDSA Verfahren ist ein asymmetrisches<br />
Verfahren, welches die Einbettung des Produktes in eine PKI (Public Key Infrastruktur) ermöglicht.<br />
Häufig wird im Zusammenhang m<strong>it</strong> der elektronischen <strong>Sign</strong>atur auch von der elektronischen<br />
Unterschrift gesprochen. Das deutsche <strong>Sign</strong>aturgesetz erläutert den Begriff der elektronischen<br />
<strong>Sign</strong>atur, insbesondere der fortgeschr<strong>it</strong>tenen und der qualifizierten elektronischen <strong>Sign</strong>atur. In diesem<br />
Handbuch werden Sie häufig die Begriffe der <strong>Sign</strong>atur und der elektronischen Unterschrift lesen -<br />
beide Begriffe sind richtig und bedeuten inhaltlich das Gleiche.<br />
Die rechtlichen Aspekte zur elektronischen <strong>Sign</strong>atur sind ausführlich im Abschn<strong>it</strong>t Rechtliche Aspekte<br />
der elektronischen <strong>Sign</strong>atur erläutert.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 30<br />
Public Key Verfahren<br />
Die <strong>Sign</strong>atur und die Verschlüsselung, die m<strong>it</strong> einer <strong>Sign</strong>aturkarte und dieser Software durchgeführt<br />
werden, basieren auf einer Public Key Infrastruktur (PKI). Sowohl bei der <strong>Sign</strong>atur als auch bei der<br />
Datenverschlüsselung kommt eine asymmetrische Verschlüsselung zum Einsatz. Asymmetrisch<br />
bedeutet: Es werden immer zwei verschiedene Schlüssel verwendet, der private Schlüssel (private<br />
key) und der öffentliche Schlüssel (public key), die sich gegense<strong>it</strong>ig ergänzen. Daten, die m<strong>it</strong> dem<br />
einen Schlüssel "zugeschlossen" wurden, können nur m<strong>it</strong> dem anderen wieder "aufgeschlossen"<br />
werden.<br />
Der private Schlüssel befindet sich bei Chipkarten auf dem Chip der Karte und lässt sich nicht<br />
auslesen. Die zu verarbe<strong>it</strong>enden Daten werden auf den Chip geladen, dort ver- oder entschlüsselt und<br />
wieder in den Computer übertragen. Um den privaten Schlüssel zu benutzen, wird die richtige PIN<br />
benötigt, die zusätzliche Sicherhe<strong>it</strong> gewährleistet. Der öffentliche Schlüssel ist in ein Zertifikat<br />
integriert und steht jedermann in Verzeichnisdiensten im Internet zur Verfügung oder kann per E-Mail<br />
versendet werden. Um sicher zu gehen, dass dieses Zertifikat und som<strong>it</strong> der Schlüssel nicht gefälscht<br />
wurde, lässt sich die <strong>Sign</strong>atur des Herausgebers prüfen.<br />
Beim <strong>Sign</strong>ieren wird der private Schlüssel auf der Karte verwendet. Som<strong>it</strong> ist zweifelsfrei belegt: die<br />
<strong>Sign</strong>atur kann nur vom Karteninhaber sein - nur er hat die Karte und die PIN. Beim Prüfen der<br />
<strong>Sign</strong>atur wird der öffentliche Schlüssel verwendet, denn jeder soll eine <strong>Sign</strong>atur prüfen können. Die<br />
Verschlüsselung verwendet die beiden Schlüssel in umgekehrter Reihenfolge. Hier kommt der<br />
öffentliche Schlüssel des Empfängers zum Einsatz, so dass nur dieser die Daten m<strong>it</strong> seinem privaten<br />
Schlüssel wieder entschlüsseln kann.<br />
Da der Chip einer Chipkarte für die Verarbe<strong>it</strong>ung großer Datenmengen sehr lange benötigen würde,<br />
wird bei der Verschlüsselung ein automatisch generierter Zufallsschlüssel verarbe<strong>it</strong>et. Bei der <strong>Sign</strong>atur<br />
wird ein Hashwert verschlüsselt, der einem Dokument eindeutig zugeordnet werden kann.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 31<br />
<strong>Sign</strong>aturerzeugung<br />
Die <strong>Sign</strong>atur hat verschiedene Zwecke: Einerse<strong>it</strong>s wird eine qualifizierte <strong>Sign</strong>atur verwendet, um<br />
Briefe, Verträge etc. zu unterzeichnen. Andererse<strong>it</strong>s gibt es auch fortgeschr<strong>it</strong>tene <strong>Sign</strong>aturen, die<br />
meistens dazu verwendet werden, Daten zu sichern, die man nicht unterschreiben möchte.<br />
Beispielsweise können auch Bild- oder Ton-Dateien signiert werden. Die <strong>Sign</strong>atur schützt zwar nicht<br />
vor Veränderungen, macht diese aber eindeutig erkennbar. Ist eine <strong>Sign</strong>atur intakt, bedeutet das,<br />
dass die Daten nicht geändert wurden.<br />
Beim <strong>Sign</strong>ieren einer Datei wird ein Hashwert gebildet, der m<strong>it</strong> einem Fingerabdruck vergleichbar ist.<br />
Zwei Dokumente können nie denselben Hashwert haben, es sei denn, sie sind identisch.<br />
Dieser Hashwert wird nach dem RSA bzw. ECDSA Verfahren unter Verwendung eines Schlüssels m<strong>it</strong><br />
einer Länge von mindestens 1024 B<strong>it</strong> (abhängig von der verwendeten Karte) verschlüsselt. Die<br />
Verschlüsselung des Hashwerts findet auf dem Chip der Karte statt. Dieser kleine Prozessor kann<br />
kleinere Datenmengen verarbe<strong>it</strong>en. Solch ein Vorgehen ist deshalb wichtig, weil der private Schlüssel<br />
die Karte so nie verlässt. Denn jegliche Daten, die in einem Computer sind, sind auch potentiell<br />
unsicher. Der Schlüssel bekommt also lediglich den Befehl, eine kleine Menge an Daten zu<br />
verschlüsseln. Die verschlüsselten Daten werden anschließend wieder in den Computer<br />
zurückgeschickt. Vorher muss der private Schlüssel durch die richtige PIN (Personal Identification<br />
Number) freigegeben werden, d.h., die Karte wird geöffnet.<br />
Hier ist der empfindlichste Punkt der gesamten <strong>Sign</strong>atur. Nicht die Technik ist es, die den größten<br />
Unsicherhe<strong>it</strong>sfaktor darstellt, sondern der Mensch. Folgende Punkte sollten Sie unbedingt beachten:<br />
� Schreiben Sie die PIN niemals auf die Karte, den Kartenleser oder in die Nähe Ihres Computers.<br />
� Lassen Sie sich nicht bei der PIN-Eingabe zusehen.<br />
� Achten Sie darauf, dass auch aus der Ferne (Fenster gegenüber etc.) niemand Einblick auf Ihre
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 32<br />
Tastatur oder den Kartenleser hat.<br />
� Geben Sie die PIN in keinem Fall an eine andere Person we<strong>it</strong>er.<br />
� Benutzen Sie nach Möglichke<strong>it</strong> (vor allem, wenn Sie wichtige Verträge o.ä. signieren) einen<br />
Kartenleser m<strong>it</strong> sicherer PIN-Eingabe.<br />
� Nach dreimaliger falscher PIN-Eingabe ist der private Schlüssel unbrauchbar.<br />
� Lassen Sie Ihre Karte nie liegen, wenn Sie den Raum verlassen oder Ihre Aufmerksamke<strong>it</strong><br />
abgelenkt ist.<br />
Diese hier kompliziert erscheinenden Vorgänge erledigt die Software natürlich automatisch. Der<br />
Nutzer muss nur auf <strong>Sign</strong>ieren klicken, die PIN eingeben und hat sofort eine signierte Datei. Diese<br />
besteht aus verschlüsseltem Hashwert, Originaldatei und öffentlichem Schlüssel.<br />
Grundsätzlich benötigen Sie für eine qualifizierte <strong>Sign</strong>atur ein qualifiziertes Zertifikat. Die<br />
<strong>Sign</strong>aturerzeugung als technischer Prozess sollte immer auf einer sicheren<br />
<strong>Sign</strong>aturerzeugungseinhe<strong>it</strong>, bestehend aus Kartenterminal, möglichst m<strong>it</strong> sicherer PIN-Eingabe, und<br />
einer Chipkarte vorgenommen werden. We<strong>it</strong>erhin benötigen Sie eine Software, die Ihnen ein<br />
vertrauenswürdiges Umfeld für die Erzeugung einer elektronischen <strong>Sign</strong>atur bietet. Grundsätzlich<br />
sollten Sie bei der Erzeugung einer qualifizierten elektronischen <strong>Sign</strong>atur immer auf eine vorherige<br />
Visualisierung der Inhalte bestehen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 33<br />
<strong>Sign</strong>aturverifikation<br />
Folgende Punkte sind bei der Prüfung wichtig:<br />
� Ist das Dokument wirklich unverändert? Integr<strong>it</strong>ät der Daten.<br />
� Ist der <strong>Sign</strong>aturinhaber echt? Wurde sein Zertifikat nicht inzwischen gefälscht? Authentiz<strong>it</strong>ät des<br />
Inhabers.<br />
� Ist das Zertifikat nicht gesperrt? Zertifikatsstatus.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 34<br />
1. Die Integr<strong>it</strong>ät des Dokuments lässt sich über den Hashwert beweisen:<br />
Das Dokument wird erneut gehasht. Der alte Hashwert wird entschlüsselt und m<strong>it</strong> dem neuen<br />
verglichen: Sind beide Hashwerte identisch, ist bewiesen, dass das Dokument nicht verändert wurde.<br />
Das erledigt die Software bei jeder Prüfung automatisch und in Echtze<strong>it</strong>, d.h., die Software prüft den<br />
Hashwert ständig - nicht nur einmal. So werden auch Manipulationen am geöffneten Dokument<br />
sichtbar. Um den alten Hashwert zu entschlüsseln, benötigt der Prüfer den öffentlichen Schlüssel des<br />
Unterzeichners, denn die <strong>Sign</strong>atur wurde ja m<strong>it</strong> der Karte, also m<strong>it</strong> dem privaten Schlüssel erstellt.<br />
Dieser öffentliche Schlüssel wird als Zertifikat an das signierte Dokument angehängt.<br />
2. Prüfung des <strong>Sign</strong>aturzertifikates<br />
Die Echthe<strong>it</strong> und Unversehrthe<strong>it</strong> eines Zertifikates, also des m<strong>it</strong> gesendeten öffentlichen Schlüssels,<br />
wird über die <strong>Sign</strong>atur des Herausgebers geprüft: Jedes persönliche Zertifikat ist von einem<br />
Trustcenter (CA) signiert. Ist diese <strong>Sign</strong>atur gültig, wurde auch das Zertifikat nicht geändert (siehe<br />
Punkt 1). Natürlich kann auch die Echthe<strong>it</strong> des Herausgeberzertifikats geprüft werden, das oft wieder<br />
von einer anderen Instanz herausgegeben wurde. So ergibt sich ein Zertifizierungspfad, der sich bis<br />
zu einer vertrauenswürdigen Instanz (Root CA oder Wurzelzertifikat) zurückverfolgen lässt. Ist dieser<br />
Zertifizierungspfad korrekt und die Wurzel vertrauenswürdig, beweist dies die Authentiz<strong>it</strong>ät des<br />
<strong>Sign</strong>aturinhabers.<br />
In Deutschland ist bei qualifizierten <strong>Sign</strong>aturen die Bundesnetzagentur für Elektriz<strong>it</strong>ät, Gas,<br />
Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) die oberste Instanz (Wurzel). Auch<br />
dieser Punkt wird von der Software überprüft. Logischerweise kann die Software aber nur überprüfen,<br />
ob der Zertifizierungspfad lückenlos ist. Um aber die verschiedenen Instanzen (CA's) des Pfades und<br />
das Wurzelzertifikat zu sehen, muss der Nutzer den Zertifizierungspfad überprüfen. Ob die Wurzel
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 35<br />
vertrauenswürdig ist (z.B. bei <strong>Sign</strong>aturen aus anderen Ländern), obliegt der Entscheidung jedes<br />
Einzelnen.<br />
3. Prüfung des Zertifikatsstatus<br />
Der Zertifikatsstatus, d.h. die Information, ob ein Zertifikat zu dem Ze<strong>it</strong>punkt der <strong>Sign</strong>aturerstellung<br />
gesperrt war, kann beim Herausgeber überprüft werden: Die Trustcenter stellen Sperrlisten zum<br />
Download zur Verfügung oder haben eine Online-Zertifikatsabfrage bzw. bieten beides an. Wenn<br />
jemand seine <strong>Sign</strong>aturkarte verliert, kann er diese über einen 24-Stunden Service sperren lassen und<br />
wird sofort gelistet.<br />
Die Prüfung des Zertifikatsstatus erfordert ein aktives Eingreifen des Benutzers. Wenn es sich um eine<br />
wichtige Unterschrift handelt (im Gegensatz zu einer Datensicherung), sollte vor der <strong>Sign</strong>aturprüfung<br />
die aktuelle Sperrliste herunter geladen werden. Handelt es sich um ein Trustcenter, das eine Online-<br />
Abfrage anbietet, kann der Zertifikatsstatus direkt über das Internet abgefragt werden.<br />
Wichtig ist dabei auch immer der <strong>Sign</strong>aturze<strong>it</strong>punkt. Beispiel: Eine <strong>Sign</strong>atur wurde am 1.7.2004 erstellt<br />
und wird dann ein Jahr später, am 1.7.2005 geprüft. Der Zertifikatsstatus sagt aus, dass das Zertifikat<br />
se<strong>it</strong> dem 1.12.2004 gesperrt ist (z.B. Karte verloren). Das bedeutet, dass die <strong>Sign</strong>atur wahrscheinlich<br />
dennoch gültig ist. Denn zum Ze<strong>it</strong>punkt der <strong>Sign</strong>aturerstellung war der Karteninhaber noch im Bes<strong>it</strong>z<br />
seiner Karte. Der Ze<strong>it</strong>punkt wird bei der <strong>Sign</strong>aturerstellung in die <strong>Sign</strong>atur m<strong>it</strong> einbezogen. Allerdings<br />
kann immer nur die Ze<strong>it</strong> benutzt werden, die das Betriebssystem des Computers zur Verfügung stellt.<br />
Bei bestehenden Zweifeln ist es am sichersten, sich das Dokument noch einmal signieren bzw. einen<br />
Ze<strong>it</strong>stempel hinzufügen zu lassen.<br />
Die Mechanismen der <strong>Sign</strong>aturprüfung sind im Kap<strong>it</strong>el Arbe<strong>it</strong>en m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5 - <strong>Sign</strong>aturverifikation beschrieben. Als Benutzer des Produktes müssen Sie<br />
diesen Abschn<strong>it</strong>t gelesen haben, um das angezeigte Prüfergebnis des Produktes richtig interpretieren<br />
zu können.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 36<br />
Rechtliche Aspekte der elektronischen <strong>Sign</strong>atur<br />
Die Verwendung der elektronischen <strong>Sign</strong>atur ist gesetzlich geregelt. Für die Europäische Union trat im<br />
Januar 2000 die Richtlinie über die Gemeinschaftlichen Rahmenbedingungen für elektronische<br />
<strong>Sign</strong>aturen in Kraft. Diese Richtlinie enthält die Verpflichtung für jedes M<strong>it</strong>gliedsland, die Regelungen<br />
in nationales Recht umzuwandeln. So werden elektronische <strong>Sign</strong>aturen auch im internationalen<br />
Geschäftsverkehr möglich.<br />
In Deutschland sind die Rahmenbedingungen für rechtlich verbindliche elektronische <strong>Sign</strong>aturen<br />
durch das <strong>Sign</strong>aturgesetz (SigG), die <strong>Sign</strong>aturverordnung (SigV) sowie das Erste Gesetz zur<br />
Änderung des <strong>Sign</strong>aturgesetzes (1.SigÄndG) festgelegt.<br />
Die wesentlichsten Punkte der europäischen Richtlinie:<br />
Die Gesetze kennen verschiedene Arten von <strong>Sign</strong>aturen. Einfache <strong>Sign</strong>aturen, fortgeschr<strong>it</strong>tene<br />
<strong>Sign</strong>aturen und qualifizierte <strong>Sign</strong>aturen. Eine <strong>Sign</strong>atur wird als qualifiziert bezeichnet, wenn sie:<br />
� ausschließlich dem Unterzeichner zugeordnet ist,<br />
� die Identifizierung des Unterzeichners ermöglicht,<br />
� m<strong>it</strong> M<strong>it</strong>teln erstellt wird, die nur der Unterzeichner kontrolliert,<br />
� jede nachträgliche Änderung der signierten Daten erkennbar macht<br />
� und auf einem qualifizierten Zertifikat beruht.<br />
Ein qualifiziertes Zertifikat wird nur von einem qualifizierten Zertifizierungsdiensteanbieter<br />
(Trustcenter) ausgestellt. Dabei gelten ganz besonders strenge Anforderungen hinsichtlich der<br />
Sicherhe<strong>it</strong> der Schlüsselerstellung und der Organisation des Trustcenters. Die Einhaltung der<br />
gesetzlichen Vorschriften durch die Trustcenter wird von einer nationalen Behörde kontrolliert. In<br />
Deutschland ist das die Bundesnetzagentur für Elektriz<strong>it</strong>ät, Gas, Telekommunikation, Post und<br />
Eisenbahnen (Bundesnetzagentur), im Internet unter www.bundesnetzagentur.de. Dort finden Sie<br />
auch eine Liste der qualifizierten und akkred<strong>it</strong>ierten Trustcenter, die aktuellen <strong>Sign</strong>aturgesetze und<br />
we<strong>it</strong>ere Informationen zur <strong>Sign</strong>atur.<br />
Die Rechtswirkung elektronischer <strong>Sign</strong>aturen<br />
Qualifizierte <strong>Sign</strong>aturen ...<br />
� erfüllen die Anforderungen in Bezug auf elektronische Daten genauso wie die handschriftliche<br />
Unterschrift Anforderungen in Bezug auf Daten erfüllt, die auf Papier vorliegen.<br />
� sind vor Gericht als Beweism<strong>it</strong>tel zugelassen.<br />
... heißt es in den europäischen Richtlinien. Inwiefern diese Vorgaben in nationales Gesetz<br />
umgewandelt wurden, ist in jedem Land etwas unterschiedlich.<br />
Aber es bedeutet, dass elektronische <strong>Sign</strong>aturen der eigenhändigen Unterschrift we<strong>it</strong>gehend<br />
gleichgestellt sind. In Deutschland ist dies durch die Änderung des § 126 BGB über die Schriftform<br />
umgesetzt worden. Darin wird bestätigt, dass die Schriftform eines unterschriebenen Dokuments m<strong>it</strong>
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 37<br />
der qualifizierten <strong>Sign</strong>atur und einem elektronischen Dokument ersetzt werden kann.<br />
Allerdings gibt es auch Ausnahmen. In besonders empfindlichen Bereichen ist die elektronische<br />
<strong>Sign</strong>atur nicht erlaubt, z.B.:<br />
� Kündigung von Arbe<strong>it</strong>sverhältnissen<br />
� Zeugnisse<br />
� Bürgschaften<br />
� Notarielle Beurkundungen<br />
Außerdem sind qualifizierte <strong>Sign</strong>aturen vor Gericht als Beweis zugelassen, können aber eine Urkunde<br />
nicht ersetzen. Dies liegt in der Defin<strong>it</strong>ion einer Urkunde begründet. Der Beweiswert ist aber so hoch<br />
einzustufen (siehe § 126 BGB), dass sie einem Urkundenbeweis sehr nahe kommen dürfte.<br />
Anerkennung der verwendeten kryptografischen Algor<strong>it</strong>hmen
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 38<br />
Die Bundesnetzagentur für Elektriz<strong>it</strong>ät, Gas, Telekommunikation, Post und Eisenbahnen<br />
(Bundesnetzagentur) veröffentlicht in regelmäßigen Abständen ein Dokument, welches die Gültigke<strong>it</strong><br />
und Anerkennung der verwendeten Algor<strong>it</strong>hmen regelt. Sie können die aktuelle Fassung des<br />
Dokuments „Geeignete Algor<strong>it</strong>hmen“ von den Webse<strong>it</strong>en der Bundesnetzagentur herunterladen.<br />
Für den RSA Algor<strong>it</strong>hmus und die zugehörigen Schlüssellängen hat die Bundesnetzagentur die<br />
folgenden Vorgaben herausgegeben:<br />
geeignet bis<br />
Ende 2007<br />
(Übergangsfrist<br />
bis Ende Juni<br />
2008)<br />
Erzeugung<br />
qualifizierter<br />
Zertifikate*:<br />
geeignet bis<br />
Ende 2009<br />
Erzeugung<br />
qualifizierter<br />
Zertifikate**:<br />
geeignet bis<br />
Ende 2010<br />
geeignet<br />
2010<br />
bis Ende<br />
geeignet bis Ende<br />
2014<br />
SHA-1 SHA-1 SHA-1 RIPEMD-160 SHA-224, SHA-256,<br />
SHA-384, SHA-512<br />
(SHA-1, RIPEMD-<br />
160)***<br />
*d.h. zur Erzeugung qualifizierter Zertifikate, nicht aber zur Erzeugung und Prüfung anderer qualifiziert<br />
signierter Daten.<br />
** d.h. zur Erzeugung qualifizierter Zertifikate bei ≥20 B<strong>it</strong> Entropie der Seriennummer, nicht aber zur<br />
Erzeugung und Prüfung anderer qualifiziert signierter Daten.<br />
***ausschließlich zur Prüfung qualifizierter Zertifikate.<br />
Für den RSA Algor<strong>it</strong>hmus und die zugehörigen Schlüssellängen hat das Bundesamt für Sicherhe<strong>it</strong> in<br />
der Informationstechnik die folgenden Vorgaben herausgegeben:<br />
Ze<strong>it</strong>raum<br />
Parameter<br />
bis Ende 2007<br />
(Übergangsfrist<br />
bis Ende Marz<br />
2008)<br />
n 1024<br />
(Mindestw.)<br />
2048 (Empf.)<br />
bis Ende 2008 bis Ende 2009 bis Ende 2010 bis Ende 2014<br />
1280<br />
(Mindestw.)<br />
2048 (Empf.)<br />
1536<br />
(Mindestw.)<br />
2048 (Empf.)<br />
1728<br />
(Mindestw.)<br />
2048 (Empf.)<br />
1976 (Mindestw.)<br />
2048 (Empf.)<br />
Die folgende Tabelle fasst die B<strong>it</strong>längen für den DSA (Dig<strong>it</strong>al <strong>Sign</strong>ature Algor<strong>it</strong>hm) basierend auf den<br />
elliptischen Kurven zusammen:<br />
Ze<strong>it</strong>raum<br />
Parameter<br />
bis Ende 2007 bis Ende 2008 bis Ende 2009 bis Ende 2014<br />
p 1024 (Mindestwert) 1280 (Mindestwert) 1536 (Mindestwert) 2048<br />
2048 (Empfehlungen) 2048 (Empfehlungen) 2048 (Empfehlungen)
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 39<br />
q 160 160 160 224
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 40<br />
Sicherhe<strong>it</strong>skomponenten der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 sind ein Produkt zum Erzeugen und<br />
Verifizieren fortgeschr<strong>it</strong>tener und qualifizierter elektronischer <strong>Sign</strong>aturen sowie zum Ver- und<br />
Entschlüsseln von Dokumenten. Die folgenden Abschn<strong>it</strong>te beschreiben die Sicherhe<strong>it</strong>smerkmale, die<br />
Ihnen durch die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 zur Verfügung gestellt<br />
werden. Der genaue Wortlaut kann dem durch das BSI veröffentlichten Zertifizierungsreport in<br />
englischer Sprache für das Produkt entnommen werden.<br />
Hashwertberechnung und Anstoß der Erzeugung elektronischer <strong>Sign</strong>aturen m<strong>it</strong> Zertifikaten unter<br />
Verwendung eines Kartenterminals und einer Smartcard<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 bieten die Funktion zur Berechnung von<br />
kryptographischen Prüfsummen (Hashwerten) nach den Algor<strong>it</strong>hmen SHA-1, SHA-224, SHA-256,<br />
SHA-384, SHA-512 und RIPE-MD 160. Der korrekte Algor<strong>it</strong>hmus wird von der Anwendung<br />
automatisch festgelegt. Um bei Bedarf diese Einstellungen anwenderspezifisch vornehmen zu<br />
können, sind entsprechende Einstellungen in der Registrydatei notwendig.<br />
Im nächsten Schr<strong>it</strong>t wird der berechnete Hashwert von einer Chip-Karte verwendet, um nach dem<br />
RSA bzw. ECDSA Verfahren eine elektronische <strong>Sign</strong>atur zu erzeugen. Bei der <strong>Sign</strong>aturerzeugung<br />
können Sie auf den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> zurückgreifen, um die Daten, die Sie signieren möchten,<br />
in einer rechtsverbindlichen Art und Weise anzuzeigen.<br />
Bei der Erstellung der <strong>Sign</strong>aturdatei können automatisch eine OCSP-Antwort, ein Ze<strong>it</strong>stempel sowie<br />
Attributzertifikate aufgenommen werden, um diese bei der <strong>Sign</strong>aturverifikation zu verwenden. Das<br />
verwendete <strong>Sign</strong>aturzertifikat wird immer automatisch in die <strong>Sign</strong>aturdatei aufgenommen, um eine<br />
eindeutige Identifikation des <strong>Sign</strong>aturerzeugers sicherzustellen.<br />
Verwenden Sie stets einen Kartenleser m<strong>it</strong> sicherer PIN-Eingabe und qualifizierte Chipkarten. Sie<br />
benötigen eine gültige Lizenz ab Modus 2 für das Produkt, um diese Sicherhe<strong>it</strong>sfunktion nutzen zu<br />
können.<br />
Um eine korrekte Funktionsweise dieser Sicherhe<strong>it</strong>sfunktion zu gewährleisten, müssen Sie die<br />
Anforderungen, die im Kap<strong>it</strong>el Mindestanforderungen dargelegt sind, einhalten.<br />
<strong>Sign</strong>aturverifikation<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 bieten die Funktion zur Prüfung von<br />
<strong>Sign</strong>aturen an beliebigen Dateien, deren kryptographische Prüfsummen (Hashwerte) nach den<br />
Algor<strong>it</strong>hmen SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 berechnet wurden.<br />
Dabei wird eindeutig erkennbar, auf welche Daten sich die elektronische <strong>Sign</strong>atur bezieht. Das<br />
Produkt teilt Ihnen m<strong>it</strong>, ob der Originalhashwert und der Verifikationshashwert identisch sind oder<br />
nicht, d.h. ob die Daten verändert wurden oder nicht.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 41<br />
Für qualifizierte <strong>Sign</strong>aturen ist der Hashalgor<strong>it</strong>hmus SHA-1 ab 2008 nicht mehr zulässig. Für die<br />
Erzeugung anderer z.B. fortgeschr<strong>it</strong>tener <strong>Sign</strong>aturen kann der Algor<strong>it</strong>hmus SHA-1 we<strong>it</strong>erhin zum<br />
Einsatz kommen. Bei der <strong>Sign</strong>aturprüfung wird aus dem <strong>Sign</strong>aturzertifikat das Herausgeberzertifikat<br />
erm<strong>it</strong>telt und die dazugehörige Sperrliste vom lokalen Datenträger geladen. Innerhalb der Sperrliste<br />
wird überprüft, ob ein entsprechender Eintrag für das Zertifikat vorhanden ist. War das Zertifikat zum<br />
Ze<strong>it</strong>punkt der <strong>Sign</strong>aturerzeugung bere<strong>it</strong>s gesperrt, wird Ihnen dies angezeigt.<br />
Sie haben die Möglichke<strong>it</strong>, eine OCSP-Abfrage zum <strong>Sign</strong>aturzertifikat durchzuführen. Das Ergebnis<br />
der OCSP-Abfrage wird Ihnen in einer Statusmeldung angezeigt.<br />
Wurden bei der <strong>Sign</strong>aturerstellung die Optionen zur automatischen OCSP-Abfrage, Erstellung eines<br />
Ze<strong>it</strong>stempels sowie das M<strong>it</strong>signieren von Attributzertifikate eingestellt, so werden diese Informationen<br />
bei der <strong>Sign</strong>aturprüfung automatisch angezeigt.<br />
Um eine korrekte Funktionsweise dieser Sicherhe<strong>it</strong>sfunktion zu gewährleisten, müssen Sie die<br />
Anforderungen, die im Kap<strong>it</strong>el Mindestanforderungen dargelegt sind, einhalten. Für eine<br />
korrekte Zetrifikatsprüfung anhand der Sperrlisten sollten Sie regelmäßig die aktuellen<br />
Sperrlisten laden.<br />
Erkennung von Manipulationen an Programm-Modulen<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 bieten die Funktion zum Erkennen von<br />
Manipulationen an den ausgelieferten Bibliotheken und ausführbaren Dateien. Das Prüfmodul erm<strong>it</strong>telt<br />
die Hashwerte aller Bibliotheken und ausführbaren Dateien und vergleicht diese m<strong>it</strong> den <strong>Sign</strong>aturen<br />
der einzelnen Dateien. Bei Abweichungen werden die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5,<br />
Version 2.5.1.1 deaktiviert und Sie werden durch eine Textmeldung informiert.<br />
Es wird automatisch sichergestellt, dass das Prüfmodul nur von einer berechtigten Anwendung<br />
geladen werden kann. Das bedeutet, dass diese Anwendung m<strong>it</strong> dem gleichen Schlüssel signiert sein<br />
muss wie das auf Ihrem Rechner installierte Produkt.<br />
Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, werden die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 deaktiviert. Der sichere Zustand der Anwendung ist nicht mehr<br />
gewährleistet, da eine Manipulation vorgenommen wurde. M<strong>it</strong> einer Textmeldung werden Sie auf<br />
diesen Zustand hingewiesen.<br />
Um eine korrekte Funktionsweise dieser Sicherhe<strong>it</strong>sfunktion zu gewährleisten, müssen Sie die<br />
Anforderungen, die im Kap<strong>it</strong>el Mindestanforderungen dargelegt sind, einhalten.<br />
Anzeige der zu signierenden oder bere<strong>it</strong>s signierten Daten<br />
Der in den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 enthaltene S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
<strong>Viewer</strong> bietet die Funktion, Inhalte, die angezeigt werden sollen, eindeutig darzustellen. Der S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhalten ist.<br />
We<strong>it</strong>erhin werden Sie informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind.<br />
Bei der sicheren Anzeige der Datei (PDF-, Text- oder TIFF Format) werden die folgenden<br />
Arbe<strong>it</strong>sschr<strong>it</strong>te vorgenommen: Zunächst wird das Format geprüft. Handelt es sich um ein unbekanntes<br />
Format, wird eine entsprechende Fehlermeldung ausgegeben, die den Hinweis enthält, dass diese<br />
Datei nicht dargestellt werden kann. Werden aktive bzw. verdeckte Inhalte in der Datei erkannt, wird<br />
Ihnen eine Warnmeldung angezeigt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 42<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> kann Dokumente anzeigen, die der PDF Spezifikation 1.7 entsprechen<br />
(Abweichungen von der PDF Spezifikation werden we<strong>it</strong>er unten in diesem Kap<strong>it</strong>el aufgelistet). Die<br />
TIFF Erkennung richtet sich nach der Adobe TIFF Spezifikation 6.0. Für die Erkennung von<br />
Textdokumenten gelten die folgenden Regeln:<br />
Die folgenden Zeichen werden von dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> untersucht, um zu erkennen, dass<br />
es sich bei dem vorliegenden Dokument um ein Textdokument handelt.<br />
� a) das NULL Byte (0x00)<br />
� b) die Zeichen TAB (0x09), CR (Cariage Return, 0x0d) und LF (Line Feed, 0x0a)<br />
� c) die Zeichen von 0x01 bis 0x1f m<strong>it</strong> Ausnahme der unter a) und b) angegebenen Zeichen<br />
� d) die Zeichen von ' ' bis '~' (0x20 bis 0x7e)<br />
� e) die deutschen ANSI-Umlaute (0xc4 (Ä), 0xd6 (Ö), 0xdc (Ü), 0xe4 (ä), 0xf6 (ö), 0xfc (ü))<br />
� f) die deutschen DOS Umlaute (0x81 (ü), 0x84 (ä), 0x8e (Ä), 0x94 (ö), 0x99 (Ö), 0x9a (Ü))<br />
� g) alle restlichen Zeichen<br />
Die folgenden Regeln für die Erkennung von Textdateien durch den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> werden<br />
formuliert:<br />
� Eine Sequenz von Zeichen der Kategorie a) ist am Ende einer Datei zulässig. Ein Zeichen der<br />
Kategorie a) innerhalb der Datei ist zulässig, m<strong>it</strong> Ausnahme der Erläuterung aus dem<br />
vorhergehenden Satz. Das Vorkommen von Zeichen der Kategorie a) innerhalb der Datei und am<br />
Ende der Datei ist nicht zulässig.<br />
� Tr<strong>it</strong>t mehr als ein Zeichen der Kategorie c) auf, handelt es sich nicht um eine Textdatei. Wenn<br />
bere<strong>it</strong>s 2 Zeichen der Kategorie a) gefunden wurden, sind Zeichen der Kategorie c) nicht erlaubt.<br />
� Liegt die Gesamtanzahl der Zeichen innerhalb der Datei aus Kategorie b), d), e) und f) unter 80%,<br />
handelt es sich nicht um eine Textdatei.<br />
We<strong>it</strong>erhin werden Warnungen durch den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> generiert, wenn eines der folgenden<br />
Szenarien zutrifft.<br />
� Die Kategorie g) ist nicht leer. In diesem Falle wird die folgende Warnung angezeigt: "Die Datei<br />
enthält Zeichen, die nicht eindeutig darstellbar sind!"<br />
� Die Kategorien e) und f) sind beide nicht leer. In diesem Falle wird die folgende Warnung<br />
angezeigt, wenn nicht bere<strong>it</strong>s das vorhergehende Szenario zutrifft: "Die Datei enthält sowohl<br />
'DOS'- als auch 'Windows'-Umlaute. Eine eindeutige Identifikation der korrekten Darstellung ist<br />
nicht möglich."<br />
� Wenn Zeichen der Kategorie a) und/oder c) in dem Dokument vorhanden sind, wird die folgende<br />
Warnmeldung angezeigt: "Die Datei enthält Zeichen, die nicht eindeutig darstellbar sind!"<br />
Hinweis: Das hexadezimale Zeichen 0x00 wird wie folgend dargestellt: . Das<br />
hexadezimale Zeichen 0x7F wird wie folgend dargestellt: . Das Zeichen 0x00 führt<br />
zwar zu einer Warnmeldung des <strong>Viewer</strong>s, es wird jedoch im Analysedialog keine gesonderte<br />
Warnmeldung ausgegeben, da dieses Zeichen in jedem Zeichensatz eine eindeutige
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 43<br />
Darstellung hat.<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> verarbe<strong>it</strong>et in PDF Dateien keine aktiven Code-Elemente, wie etwa Java-<br />
Script oder Multimedia-Objekte. Da das PDF Format die Einbettung verschiedener Ansichten ein und<br />
desselben Objektes erlaubt, zeigt der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> grundsätzlich nur die Standard-Ansicht<br />
für diese Objekte an. Das bedeutet, dass Sie bei vorhandenen alternativen Darstellungen von<br />
Objekten grundsätzlich die Analysefunktionen des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong>s benutzen müssen, um<br />
festzustellen, ob die alternativen Darstellungen Elemente enthalten, die den Inhalt des Dokuments<br />
verfälschen und Sie evtl. nicht bere<strong>it</strong> wären, diese Dokumentinhalte zu signieren.<br />
Die PDF Anzeige des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong>s unterstützt das Dokumentformat PDF 1.7. Wenn Sie<br />
ein PDF Dokument m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> untersuchen, sollten Sie sicher stellen, dass die<br />
Angaben der PDF-Versionsnummer in dem Dokument der Version 1.7 oder darunter entspricht.<br />
Versionen nach der PDF-Version 1.7 können in dem <strong>Viewer</strong> nicht zweifelsfrei dargestellt werden, da<br />
spätere Versionen Elemente enthalten können, die vom <strong>Viewer</strong> nicht erkannt und auch nicht<br />
dargestellt werden können.<br />
Der <strong>Viewer</strong> enthält einige Abweichungen zu diesem Standard (Dokumentformat 1.7), die Sie kennen<br />
sollten:<br />
� Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> unterstützt keine Transparenz.<br />
� Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> zeigt grundsätzlich die Standardansicht von PDF Objekten an. Das<br />
PDF Format erlaubt die Angabe von alternativen Ansichten eines Objektes, die Ansicht kann z.B.<br />
von der Bildschirmauflösung abhängig sein. In diesem Falle werden Sie von dem Produkt gewarnt<br />
und haben die Möglichke<strong>it</strong>, die M<strong>it</strong>tel des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> zu verwenden, um die<br />
alternativen Darstellungen zu untersuchen.<br />
� Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> unterstützt keine Multimedia-Elemente. Die Möglichke<strong>it</strong>, z.B.<br />
animierte Flash-Filme anzuzeigen wird von dem Produkt nicht unterstützt. In diesem Falle wird<br />
Ihnen die Standard-Darstellung (z.B. das Flash-Icon) angezeigt.<br />
Die Funktion zur Anzeige von PDF Dateien hängt von der Lizenz ab, die Sie erworben haben. Wenn<br />
Ihre Lizenz nicht erlaubt, PDF Dateien anzuzeigen, steht Ihnen diese Funktion auch nicht zur<br />
Verfügung.<br />
Um eine korrekte Arbe<strong>it</strong>sweise dieser Sicherhe<strong>it</strong>sfunktion zu gewährleisten, müssen Sie die im<br />
Kap<strong>it</strong>el Mindestanforderungen dargelegten Anforderungen sicherstellen. Es werden keine<br />
aktiven Inhalte wie Scripte oder Programmcode interpretiert.<br />
Schutz vor Hashwertmanipulation<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 bieten einen Schutz vor<br />
Hashwertverfälschung während des <strong>Sign</strong>aturvorganges. Dazu wird vor dem <strong>Sign</strong>aturvorgang der<br />
Hashwert über die zu signierenden Daten gebildet. Nach dem <strong>Sign</strong>aturvorgang überprüft das Produkt<br />
die erzeugte <strong>Sign</strong>atur, indem es die <strong>Sign</strong>atur m<strong>it</strong> dem öffentlichen Schlüssel des verwendeten<br />
<strong>Sign</strong>aturzertifikates verifiziert. Abschließend wird Ihnen eine Textmeldung angezeigt, dass die Daten<br />
signiert wurden.<br />
Um eine korrekte Arbe<strong>it</strong>sweise dieser Sicherhe<strong>it</strong>sfunktion zu gewährleisten, müssen Sie die im
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 44<br />
Kap<strong>it</strong>el Mindestanforderungen dargelegten Anforderungen sicherstellen.<br />
Sicherstellung der Unversehrthe<strong>it</strong> des Produktes<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 bieten die Funktion zum Prüfen der<br />
Integr<strong>it</strong>ät der installierten Programm-Module. Diese Sicherhe<strong>it</strong>sfunktion wird durch das S-<strong>TRUST</strong> <strong>Sign</strong>-<br />
<strong>it</strong> Integr<strong>it</strong>y Tool realisiert. Das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool ist ein Java-Applet, das die Hash-Werte<br />
an den ausgelieferten sicherhe<strong>it</strong>srelevanten Modulen überprüft und som<strong>it</strong> sicherstellt, dass sich die<br />
Module noch in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden.<br />
Für die Nutzung des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool ist das Java Plugin notwendig, das über die<br />
Internetse<strong>it</strong>e www.openlim<strong>it</strong>.com/integr<strong>it</strong>ytool geladen oder von der Original CD gestartet wird. Das<br />
Java Plugin sollte grundsätzlich erst nach pos<strong>it</strong>iver Prüfung der <strong>Sign</strong>atur des Applets gestartet werden.<br />
Das Ergebnis der Prüfung durch das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool wird Ihnen in einer Textmeldung<br />
angezeigt. Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, ist der sichere Zustand<br />
der Anwendung nicht mehr gewährleistet und Sie sollten das Produkt auf Ihrem Rechner neu<br />
installieren.<br />
Die Überprüfung der Unverserthe<strong>it</strong> der Programm-Module sollte regelmäßig, d.h. mindestens einmal<br />
im Monat, durchgeführt werden.<br />
Stellen Sie sicher, dass sie die im Kap<strong>it</strong>el Betriebssysteme aufgeführte Version der Java Virtual<br />
Machine installiert haben, um die korrekte Arbe<strong>it</strong>sweise dieser Funktion sicherzustellen.<br />
Import und Verarbe<strong>it</strong>ung von OCSP Abfragen<br />
Das Produkt bietet Ihnen die Möglichke<strong>it</strong>, über das OCSP (Online Certificate Status Protocol) Protokoll<br />
die Gültigke<strong>it</strong> eines Zertifikates zu prüfen. Dazu können Sie zu einem Zertifikat eine OCSP Anfrage m<strong>it</strong><br />
Hilfe des Produktes stellen und erhalten eine entsprechende Antwort von der CA, die das Zertifikat<br />
ausgestellt hat. Sie sollten diese Möglichke<strong>it</strong> immer dann nutzen, wenn Sie sich sich über die<br />
Gültigke<strong>it</strong> eines Zertifikates direkt beim Herausgeber versichern möchten.<br />
Sie haben ebenfalls die Möglichke<strong>it</strong>, das Produkt so zu konfigurieren, dass eine OCSP Antwort vom<br />
Herausgeber automatisch zur elektronischen <strong>Sign</strong>atur hinzugefügt wird. Dam<strong>it</strong> geben Sie dem<br />
Empfänger einer von Ihnen signierten Datei die Gewisshe<strong>it</strong>, dass Ihr Zertifikat zum Ze<strong>it</strong>punkt der<br />
<strong>Sign</strong>aturerstellung nicht gesperrt war. Es besteht die Möglichke<strong>it</strong>, dass Sie sich die Einzelhe<strong>it</strong>en der<br />
OCSP Antwort anzeigen lassen. In diesem Falle haben Sie außerdem die Möglichke<strong>it</strong>, das Zertifikat<br />
zu begutachten, welches die OCSP Antwort unterschrieben hat.<br />
Während des Imports der OCSP Antwort prüft das Produkt immer die mathematische Gültigke<strong>it</strong> der<br />
Antwort. Ist die mathematische Gültigke<strong>it</strong> nicht erfolgreich geprüft worden, werden die OCSP Daten<br />
nicht importiert. Wenn Sie die Details zur OCSP Antwort begutachten, prüft das Produkt automatisch<br />
die gesamte Zertifikatskette bis hin zum Wurzelzertifikat auf der Basis von Sperrlisten. Stellen Sie in<br />
diesem Falle sicher, dass Sie über aktuelle Sperrlisten auf Ihrem Rechner verfügen.<br />
Um die korrekte Arbe<strong>it</strong>sweise zu gewährleisten, müssen Sie die im Kap<strong>it</strong>el<br />
Mindestanforderungen dargelegten Anforderungen erfüllen.<br />
Import und Anbringen von Ze<strong>it</strong>stempeln<br />
Das Produkt erlaubt Ihnen das automatische Anbringen eines Ze<strong>it</strong>stempels an Daten, die Sie signiert<br />
haben. Dabei wird der Ze<strong>it</strong>stempel auf mathematische Korrekthe<strong>it</strong> der <strong>Sign</strong>atur überprüft und in die
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 45<br />
<strong>Sign</strong>aturdatei, die Sie erzeugt haben, m<strong>it</strong> aufgenommen. Kann die mathematische Korrekthe<strong>it</strong> der<br />
<strong>Sign</strong>atur nicht erfolgreich geprüft werden, wird der Ze<strong>it</strong>stempel nicht m<strong>it</strong> aufgenommen und Ihnen wird<br />
eine entsprechende Fehlermeldung angezeigt.<br />
Um einen Ze<strong>it</strong>stempel automatisch zu den signierten Daten aufzunehmen, müssen Sie entsprechende<br />
Konfigurationseinstellungen an dem Produkt vornehmen.<br />
Um die korrekte Arbe<strong>it</strong>sweise zu gewährleisten, müssen Sie die im Kap<strong>it</strong>el<br />
Mindestanforderungen dargelegten Anforderungen erfüllen.<br />
Prüfung von Ze<strong>it</strong>stempeln<br />
Wenn Sie eine signierte Datei erhalten, die einen Ze<strong>it</strong>stempel beinhaltet, können Sie die Gültigke<strong>it</strong> des<br />
Ze<strong>it</strong>stempels überprüfen. Zu diesem Zweck haben Sie einen Dialog zur Verfügung, der Ihnen die<br />
Einzelhe<strong>it</strong>en des Ze<strong>it</strong>stempels anzeigt. In diesem Falle wird die <strong>Sign</strong>atur des Ze<strong>it</strong>stempels basierend<br />
auf Sperrlisten bis hin zum Wurzelzertifikat überprüft. Sie erhalten neben den eigentlichen<br />
Informationen, die Ihnen der Ze<strong>it</strong>stempel bere<strong>it</strong>stellt Informationen darüber, ob die <strong>Sign</strong>atur des<br />
Ze<strong>it</strong>stempels selber gültig ist. Stellen Sie vor der Verwendung dieser Funktion sicher, dass Sie über<br />
aktuelle Sperrlisten verfügen.<br />
Um die korrekte Arbe<strong>it</strong>sweise zu gewährleisten, müssen Sie die im Kap<strong>it</strong>el<br />
Mindestanforderungen dargelegten Anforderungen erfüllen.<br />
Freischalten und Verwendung von lizenzierten Funktionen<br />
Gemeinsam m<strong>it</strong> dem Produkt und Ihrer <strong>Sign</strong>aturkarte haben Sie einen Lizenzschlüssel erhalten, den<br />
Sie bei der ersten Benutzung des Produktes eingeben müssen. Wenn Sie über keinen<br />
Lizenzschlüssel verfügen, können sie das Produkt zum Prüfen von <strong>Sign</strong>aturen verwenden, jedoch<br />
keine <strong>Sign</strong>aturen erstellen. Der Lizenzierungsassistent wird Sie durch den Lizenzierungsvorgang<br />
führen. Dabei werden keine vertraulichen Daten verwendet oder m<strong>it</strong> dem Hersteller des Produktes<br />
ausgetauscht. Sie werden während der Lizenzierung des Produktes aufgefordert, die vom Produkt<br />
erzeugte Lizenzdatei zu signieren. Dieser Vorgang dient zu Ihrer Absicherung, dam<strong>it</strong> Sie später sicher<br />
sein können, eine gültige Lizenz Ihres Produktes zu verwenden.<br />
Wenn Sie über keinen Lizenzcode verfügen, können Sie das Produkt zum Verifizieren von PKCS#7<br />
<strong>Sign</strong>aturen an TIFF und Text Dokumenten verwenden. Eine <strong>Sign</strong>aturerzeugung ist in diesem Falle<br />
nicht möglich.<br />
We<strong>it</strong>erhin werden die folgenden Modi in Abhängigke<strong>it</strong> von der installierten Lizenz unterschieden:<br />
� Reader-Modus: Im Reader-Modus haben Sie die Möglichke<strong>it</strong>, TIFF und Text Dokumente m<strong>it</strong> dem<br />
<strong>Viewer</strong> zu betrachten. Die Prüfung von PKCS#7 <strong>Sign</strong>aturen an diesen Dokumenten ist möglich,<br />
allerdings können Sie m<strong>it</strong> einer solchen (kostenfreien) Lizenz keine <strong>Sign</strong>aturen erzeugen.<br />
� Modus 2: Sie haben die Möglichke<strong>it</strong>, TIFF und Text Dokumente zu betrachten und an diesen<br />
Dokumenten PKCS#7 <strong>Sign</strong>aturen zu erzeugen. Sie können PKCS#7 <strong>Sign</strong>aturen an diesen<br />
Dokumenten prüfen.<br />
� Modus 3: Sie haben die Möglichke<strong>it</strong>, TIFF, Text und PDF Dokumente zu betrachten. Sie können<br />
aber nur TIFF und Text Dokumente m<strong>it</strong> PKCS#7 <strong>Sign</strong>aturen versehen. Sie haben die Möglichke<strong>it</strong>,<br />
PKCS#7 <strong>Sign</strong>aturen an allen drei Dokumentformaten zu überprüfen. Darüber hinaus können Sie in
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 46<br />
PDF Dateien eingebettete <strong>Sign</strong>aturen verifizieren.<br />
� Modus 4: Sie haben die Möglichke<strong>it</strong>, TIFF, Text und PDF Dokumente anzuzeigen, m<strong>it</strong> PKCS#7<br />
<strong>Sign</strong>aturen zu versehen und diesen <strong>Sign</strong>aturtyp an diesen Dokumenten zu prüfen. PDF<br />
<strong>Sign</strong>aturen können ebenfalls geprüft werden.<br />
� Modus 5: Sie haben die Möglichke<strong>it</strong>, TIFF, Text und PDF Dokumente anzuzeigen, m<strong>it</strong> PKCS#7<br />
<strong>Sign</strong>aturen zu versehen und diesen <strong>Sign</strong>aturtyp an diesen Dokumenten zu prüfen. Sie können<br />
zusätzlich eingebettete PDF <strong>Sign</strong>aturen erzeugen und verifizieren.<br />
Der in diesem Zusammenhang verwendete Begriff PKCS#7 <strong>Sign</strong>atur bezieht sich ausschließlich auf<br />
abgesetzte bzw. verbundene <strong>Sign</strong>aturen. <strong>Sign</strong>aturen innerhalb von PDF Dokumenten werden als PDF<br />
<strong>Sign</strong>aturen bezeichnet, auch wenn diese technisch auf dem PKCS#7 Format basieren.<br />
Ein Upgrade der bei der Installation m<strong>it</strong>gelieferten Readerlizenz ist jederze<strong>it</strong> möglich, allerdings<br />
benötigen Sie für diesen Vorgang eine <strong>Sign</strong>aturkarte. Das Einspielen einer Lizenz m<strong>it</strong> geringeren<br />
Rechten als die bere<strong>it</strong>s freigeschalteten Funktionen wird von dem Produkt verhindert bzw. nicht<br />
akzeptiert.<br />
Um die korrekte Arbe<strong>it</strong>sweise zu gewährleisten, müssen Sie die im Kap<strong>it</strong>el<br />
Mindestanforderungen dargelegten Anforderungen erfüllen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 47<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager ist das Kernstück des Softwarepaketes S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1. Er wird standardmäßig automatisch m<strong>it</strong> dem<br />
Betriebssystem gestartet. Andernfalls kann der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager über<br />
Start/Programme/S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong>/S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gestartet werden. Er stellt die folgenden<br />
Funktionen zur Verfügung:<br />
� Berechnung des Hashwertes unter Verwendung einer der Algor<strong>it</strong>hmen SHA-1, SHA-224, SHA-<br />
256, SHA-384, SHA-512 und RIPE-MD 160.<br />
� Erzeugung der <strong>Sign</strong>atur unter Verwendung einer Chipkarte und eines Kartenlesers m<strong>it</strong> sicherer<br />
PIN-Eingabe<br />
� Hinzufügen eines Ze<strong>it</strong>stempels zu einer erzeugten elektronischen <strong>Sign</strong>atur<br />
� Unterstützung von Attributzertifikaten bei der Erzeugung einer elektronischen <strong>Sign</strong>atur<br />
� Unterstützung der OCSP Abfrage bei der Erzeugung einer elektronischen <strong>Sign</strong>atur<br />
� Prüfung von <strong>Sign</strong>aturzertifikaten über OCSP und CRL<br />
� Anzeige der OCSP Informationen zu einem Zertifikat<br />
� Verarbe<strong>it</strong>ung von Ze<strong>it</strong>stempelinformationen während der <strong>Sign</strong>aturprüfung<br />
� Anzeige von Ze<strong>it</strong>stempelinformationen<br />
� Sicherstellung der Integr<strong>it</strong>ät und korrekten Installation der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten<br />
2.5, Version 2.5.1.1<br />
� Bere<strong>it</strong>stellung eines Interfaces für die <strong>Sign</strong>aturerzeugung, Prüfung und Produktkonfiguration
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 48<br />
Im Prozess der Verifikation einer <strong>Sign</strong>atur zeigt der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager<br />
die zur Verfügung stehenden Informationen des qualifizierten Attributzertifikates, das zu dem<br />
qualifizierten Zertifikat zugehört, an. Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager ist in der<br />
Lage zu erkennen, ob ein Attributzertifikat zu einem Zertifikat dazugehört und bringt es zur Anzeige,<br />
sofern dieses vorhanden ist.<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 arbe<strong>it</strong>en m<strong>it</strong> Daten im PKCS#7 Format.<br />
Das bedeutet, dass das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 m<strong>it</strong> allen<br />
Anwendungen, die dieses Format unterstützen, kompatibel ist.<br />
Das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 steuert die Kartenleser über<br />
PC/SC oder CT-API Schn<strong>it</strong>tstellen an. Einige Hersteller liefern separate Programmbibliotheken zur<br />
Ansteuerung der sicheren PIN-Eingabe am Kartenleser. Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5,<br />
Version 2.5.1.1 verwenden diese Module, sofern diese vorhanden sind. Die durch die Software S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 unterstützten Chipkarten finden Sie in dem<br />
Abschn<strong>it</strong>t Chipkarten. Die Liste der unterstützten Kartenleser finden Sie in dem Abschn<strong>it</strong>t<br />
Kartenleser.<br />
Es ist möglich, mehrere Kartenterminals und <strong>Sign</strong>aturkarten parallel zu nutzen. Für jedes<br />
Kartenterminal wird Ihnen ein entsprechendes Icon im System-Tray angezeigt.<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 dürfen für die Erzeugung qualifizierter<br />
(rechtskonformer) <strong>Sign</strong>aturen nur m<strong>it</strong> SigG konformen Kartenlesern verwendet werden. Eine Liste<br />
dieser Geräte wird durch die Bundesnetzagentur für Elektriz<strong>it</strong>ät, Gas, Telekommunikation, Post und<br />
Eisenbahnen (Bundesnetzagentur) unter www.bundesnetzagentur.de veröffentlicht.<br />
Die <strong>Sign</strong>aturprüfung erfolgt nach dem Schalenmodell und zusätzlich nach dem Kettenmodell (für<br />
qualifizierte Zertifikate) von dem Zertifikat des Anwenders bis zu dem Wurzelzertifikat der CA unter<br />
Einbeziehung der Sperrlisten.<br />
Zusätzlich zu der Sperrlistenabfrage unterstützen die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5,<br />
Version 2.5.1.1 das Online Certificate Status Protocol (OCSP). Das OCSP Protokoll ermöglicht die<br />
Online-Abfrage der Gültigke<strong>it</strong> eines Zertifikates. Diese Prüfung kann nur durchgeführt werden, wenn<br />
die Information zu dem OCSP Responder verfügbar ist. Das bedeutet, dass das Zertifikat eine<br />
Information enthalten muss, die es ermöglicht den OCSP Responder zu identifizieren.<br />
Eine we<strong>it</strong>ere Funktion des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers ist die Arbe<strong>it</strong> m<strong>it</strong><br />
Ze<strong>it</strong>stempeln. Ein Ze<strong>it</strong>stempel kann eine Angabe im Zusammenhang m<strong>it</strong> der <strong>Sign</strong>aturerstellung sein,<br />
aber auch eine Information bei der <strong>Sign</strong>aturprüfung. We<strong>it</strong>ere Informationen zu Ze<strong>it</strong>stempeldiensten<br />
erhalten Sie in dem Abschn<strong>it</strong>t Ze<strong>it</strong>stempeldienste.<br />
Die Verfahrensweise der Beschaffung der Informationen des OCSP, der Sperrlisten und des<br />
Ze<strong>it</strong>stempels sind nicht Bestandteil der Evaluierung.<br />
Hinweis: Die <strong>Sign</strong>aturerzeugung besteht immer aus zwei Teilschr<strong>it</strong>ten: der Erzeugung des<br />
Hashwertes und der Verschlüsselung des Hashwertes m<strong>it</strong> dem privaten Schlüssel des Zertifikates. Die<br />
Verschlüsselung des Hashwertes findet immer auf der Chipkarte statt, so dass der private Schlüssel<br />
Ihres <strong>Sign</strong>aturzertifikates dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager zu keinem Ze<strong>it</strong>punkt<br />
der <strong>Sign</strong>aturerzeugung und auch zu allen anderen Ze<strong>it</strong>punkten nicht bekannt ist. Dieses Verfahren
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 49<br />
stellt sicher, dass ein Missbrauch des privaten Schlüssels des Zertifikates ausgeschlossen ist.<br />
Die Verfahren zur <strong>Sign</strong>aturerzeugung und Verifikation arbe<strong>it</strong>en m<strong>it</strong> dem RSA bzw. ECDSA Verfahren<br />
für Public Key Kryptographie. Die Stärke der verwendeten Schlüssel beträgt bis zu 2048 B<strong>it</strong> und ist<br />
von der eingesetzten Chip-Karte abhängig.<br />
Wird eine elektronische <strong>Sign</strong>atur erzeugt, so legt der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager<br />
bei der Codierung des PKCS#7 Datencontainers die komplette Zertifikatsliste bis hin zum<br />
Wurzelzertifikat in dem Container ab. Das bedeutet, dass som<strong>it</strong> immer die komplette Zertifikatsliste für<br />
das prüfende Programm zur Verfügung steht und eine vollständige <strong>Sign</strong>aturprüfung erfolgen kann.<br />
Es gibt für den Anwender keine direkte Möglichke<strong>it</strong>, den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment<br />
Manager zur <strong>Sign</strong>aturerzeugung, <strong>Sign</strong>aturverifikation, Ver- und Entschlüsselung zu benutzen. Um<br />
diese Funktional<strong>it</strong>äten zu nutzen, steht Ihnen der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> zur Verfügung.<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager enthält Mechanismen, die sicherstellen, dass die<br />
ausgelieferten Module nicht manipuliert wurden. Dazu überprüft der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
Environment Manager die Programmbibliotheken während des Ladevorganges auf die Korrekthe<strong>it</strong><br />
ihrer <strong>Sign</strong>aturen. Wenn Sie eine Fehlermeldung erhalten, dass die <strong>Sign</strong>atur einer Programmbibliothek<br />
beschädigt ist, deaktiviert der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager den Zugang zu den<br />
angebotenen Sicherhe<strong>it</strong>sfunktionen. Die genauen Meldungen sind im Kap<strong>it</strong>el Fehlermeldungen S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager aufgeführt. Hilfeanle<strong>it</strong>ungen in solchen S<strong>it</strong>uationen<br />
finden Sie ebenfalls in diesem Kap<strong>it</strong>el.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 50<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong><br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> ist Bestandteil der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 und bietet dem Anwender die Möglichke<strong>it</strong>, sich gemäß den Anforderungen des §17 Absatz 2<br />
SigG die zu signierenden Daten bzw. bere<strong>it</strong>s signierte Daten anzeigen zu lassen. Der S-<strong>TRUST</strong> <strong>Sign</strong>-<br />
<strong>it</strong> <strong>Viewer</strong> sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhalten ist. We<strong>it</strong>erhin<br />
werden Sie informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind.<br />
Bei der <strong>Sign</strong>aturprüfung zeigt der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> die Daten an, auf die sich die zur Prüfung<br />
ausgewählte <strong>Sign</strong>atur bezieht.<br />
Hinweis: Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> ist in der Lage, PDF, TIFF und Textdokumente darzustellen und<br />
den Inhalt dieser Dokumente zu untersuchen. Die PDF Dokumente entsprechen der PDF 1.7<br />
Spezifikation. Sie sollten sich in jedem Fall vergewissern, um welche Version es sich bei der<br />
verwendeten PDF Datei handelt. Das TIFF Dokument kann eine mehrse<strong>it</strong>ige TIFF Datei (Multipage-<br />
TIFF) sein. Die dargestellten Dokumentformate hängen von der erworbenen Lizenz ab.<br />
Werden unbekannte Inhalte oder Spezifikationen in den Dokumenten entdeckt, werden Sie von dem<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> darüber informiert. Werden Inhalte gefunden, die als verdeckte oder aktive<br />
Inhalte erkannt werden, sollten Sie das Dokument nicht signieren. Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> kann<br />
diese Inhalte nicht entfernen sondern die Dokumente nur untersuchen. Wenn Sie das Dokument<br />
dennoch signieren, unterschreiben Sie ein Dokument, welches Sie nicht in seiner richtigen<br />
Darstellungsform betrachten konnten.<br />
Wenn Sie ein farbiges TIFF Dokument signieren wollen, sollten Sie immer von der Möglichke<strong>it</strong> der<br />
Graustufen und Schwarz/Weiß Betrachtung des Dokuments innerhalb des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong><br />
Gebrauch machen. Der Abschn<strong>it</strong>t Arbe<strong>it</strong>en m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> zeigt Ihnen am Beispiel<br />
einer manipulierten TIFF Datei, wie Sie verdeckte Inhalte in einem solchen Dokument erkennen<br />
können. In diesem Kap<strong>it</strong>el erhalten Sie darüber hinaus eine Beschreibung der<br />
Darstellungsmöglichke<strong>it</strong>en we<strong>it</strong>erer Dateiinalte wie Bilder, Java Scripte und Texte, die in PDF Dateien<br />
enthalten sein können.<br />
M<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> können Dateien im Format PDF, TIFF und TEXT geöffnet werden,<br />
wobei diese Dokumente m<strong>it</strong> einer PKCS#7 <strong>Sign</strong>atur versehen sein können. In diesem Falle haben Sie<br />
die Möglichke<strong>it</strong>, die Gültigke<strong>it</strong> der <strong>Sign</strong>atur vom <strong>Viewer</strong> aus zu prüfen.<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> kann als separates Programm oder innerhalb des<br />
<strong>Sign</strong>aturanforderungsdialoges gestartet werden. Innerhalb des <strong>Sign</strong>aturanforderungsdialoges können<br />
Sie den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> nur dann verwenden, wenn auch ein PDF, Text oder TIFF Dokument<br />
als das zu signierende Dokument erkannt wird. Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> wird als Programm<br />
siqView.exe im Installationspfad der Anwendung installiert, we<strong>it</strong>erhin wird während der Installation<br />
eine Verknüpfung im Startmenü des Betriebssystems erzeugt.<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> kann die Dokumente zwar untersuchen und Warnungen zu den<br />
Dokumenten generieren sowie Prüfdetails anzeigen, jedoch muss die Entscheidung, ob eine <strong>Sign</strong>atur
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 51<br />
an dem Dokument erzeugt werden soll, durch den Anwender selbst getroffen werden. Die inhaltliche<br />
Interpretation eines angezeigten Dokuments obliegt vollständig dem Benutzer und kann durch den S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> nicht geleistet werden.<br />
Hinweis zu den anzeigbaren Dokumentformaten<br />
Die anzeigbaren Dokumentformate hängen von der erworbenen Lizenz ab. Wenn Ihre Lizenz die<br />
Anzeige von PDF Dokumenten nicht erlaubt, können solche Dokumente auch nicht dargestellt<br />
werden. Wenn Sie über keinen Lizenzcode für das Produkt verfügen, können sie auch grundsätzlich<br />
keine elektronischen <strong>Sign</strong>aturen m<strong>it</strong> dem Produkt erzeugen. Mehr Informationen finden Sie in der<br />
Beschreibung der Lizenzierungsvarianten unter Sicherhe<strong>it</strong>skomponenten der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5.<br />
Hinweis für die <strong>Sign</strong>aturerzeugung:<br />
Im folgenden Abschn<strong>it</strong>t wird erklärt, in welcher S<strong>it</strong>uation der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> ein<br />
Verbunddokument bzw. eine abgesetzte <strong>Sign</strong>atur erzeugt. Für die Erzeugung von <strong>Sign</strong>aturen<br />
benötigen Sie eine entsprechende Lizenz.<br />
Ausgangsdatei Erzeugtes Dateiformat<br />
TIFF-Datei ohne <strong>Sign</strong>atur <strong>Sign</strong>atur wird als abgesetzte <strong>Sign</strong>aturdatei erzeugt.<br />
Text-Datei ohne <strong>Sign</strong>atur <strong>Sign</strong>atur wird als abgesetzte <strong>Sign</strong>aturdatei erzeugt.<br />
TIFF-Datei m<strong>it</strong> abgesetzter <strong>Sign</strong>atur <strong>Sign</strong>atur wird der abgesetzten <strong>Sign</strong>aturdatei<br />
hinzugefügt.<br />
Text-Datei m<strong>it</strong> abgesetzter <strong>Sign</strong>atur <strong>Sign</strong>atur wird der abgesetzten <strong>Sign</strong>aturdatei<br />
TIFF-Datei m<strong>it</strong> verbundener <strong>Sign</strong>atur<br />
hinzugefügt.<br />
<strong>Sign</strong>atur wird dem Verbunddokument hinzugefügt.<br />
Text-Datei m<strong>it</strong> verbundener <strong>Sign</strong>atur <strong>Sign</strong>atur wird dem Verbunddokument hinzugefügt.<br />
PDF Datei ohne <strong>Sign</strong>atur oder m<strong>it</strong> In Abhängigke<strong>it</strong> von der Lizenz wird entweder eine<br />
eingebetteter <strong>Sign</strong>atur<br />
eingebettte PDF <strong>Sign</strong>atur oder eine abgesetzte<br />
PDF Datei m<strong>it</strong> abgesetzter <strong>Sign</strong>atur<br />
PKCS#7 <strong>Sign</strong>atur erzeugt.<br />
<strong>Sign</strong>atur wird der abgesetzten <strong>Sign</strong>atur hinzugefügt.<br />
PDF Datei m<strong>it</strong> verbundener <strong>Sign</strong>atur <strong>Sign</strong>atur wird dem Verbunddokument hinzugefügt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 52<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool<br />
Wenn Sie in die S<strong>it</strong>uation geraten, dass Sie nicht mehr sicher sind, ob Ihr Rechner nicht manipuliert<br />
wurde, müssen Sie sicherstellen, dass das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 noch wie vorgesehen arbe<strong>it</strong>et.<br />
Um die Integr<strong>it</strong>ät des Produktes auf Ihrem Rechner sicherzustellen, sollten Sie sich nicht nur auf die<br />
korrekte Arbe<strong>it</strong>sweise des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers verlassen. Sie benötigen<br />
ein unabhängiges Werkzeug, welches im Zweifelsfall in der Lage ist, von einem vertrauenswürdigen<br />
Medium aus die Integr<strong>it</strong>ät des installierten Produktes auf Ihrem Rechner zu überprüfen.<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool überprüft die Hash-Werte an den installierten sicherhe<strong>it</strong>srelevanten<br />
Programmbibliotheken. Es wird festgestellt, ob sich die Programmbibliotheken noch in dem Zustand<br />
befinden, wie sie ursprünglich ausgeliefert und installiert wurden.<br />
Dazu berechnet das Java-Applet die Hashwerte nach SHA-1 und vergleicht sie m<strong>it</strong> den Originalen der<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1. Sie können das Applet über die folgende<br />
URL aufrufen: https://www.s-trust.de/sign-<strong>it</strong>/sicherhe<strong>it</strong> oder von der Original CD-ROM starten.<br />
Wenn Sie das Produkt auf CD-ROM erhalten haben, können Sie die Datei 'index.htm' von der CD-<br />
ROM direkt im Browser aufrufen, um das Tool zu starten. In diesem Falle benötigen Sie keine<br />
Internetverbindung.<br />
Das Applet ist signiert, die <strong>Sign</strong>atur wird von der Java Virtual Machine (JVM) geprüft. Sie müssen dem<br />
Zertifikat expliz<strong>it</strong> vertrauen, m<strong>it</strong> dem das Applet signiert wurde. Der SHA-1 Fingerprint des Zertifikates,<br />
m<strong>it</strong> dem das Applet signiert wurde, lautet:<br />
65 51 46 26 38 ac 1d ec a2 f2 cb 8f 45 0f f4 05 0a 47 dd 71<br />
Das Zertifikat ist vom 27.06.2006 bis zum 27.06.2009 gültig. Für den Fall, dass das Zertifikat erneuert<br />
wird, veröffentlicht OPENLiMiT den Fingerprint des aktuellen Zertifikats auf der Webse<strong>it</strong>e.<br />
Neben den im Kap<strong>it</strong>el Betriebssysteme genannten Voraussetzungen ist für die Abarbe<strong>it</strong>ung des<br />
Java-Applets die korrekte Browserkonfiguration zur Verwendung der JVM notwendig.<br />
We<strong>it</strong>ere Hinweise zur Arbe<strong>it</strong> m<strong>it</strong> dem Java-Applet erhalten Sie in dem Kap<strong>it</strong>el Arbe<strong>it</strong>en m<strong>it</strong> dem S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool.<br />
Stellt das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool fest, dass sich die Programmbibliotheken nicht mehr in ihrem<br />
Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher sollten<br />
Sie jedoch m<strong>it</strong> einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen<br />
wurde oder ein anderes Programm Ihren Rechner manipuliert hat.<br />
Hinweis: Starten Sie das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool nur von der Webse<strong>it</strong>e https://www.strust.de/sign-<strong>it</strong>/sicherhe<strong>it</strong><br />
bzw. von der Original CD-ROM und nach Prüfung des Server-Zertifikats.<br />
Sie müssen als Nutzer das Prüfprogramm regelmäßig ausführen, um die Integr<strong>it</strong>ät des<br />
Produktes sicherzustellen. Regelmäßig bedeutet in diesem Zusammenhang mindestens einmal<br />
im Monat. We<strong>it</strong>erhin müssen Sie die Integr<strong>it</strong>ät des Produktes auf Ihrem Rechner sicherstellen,<br />
sobald Sie den Verdacht haben, dass die Programmdateien geändert wurden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 53<br />
Falls Sie das Produkt über einen Download bezogen haben, sollten Sie in jedem Fall, bevor Sie<br />
das Produkt zum ersten Mal anwenden, das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool ausführen, um die<br />
Korrekthe<strong>it</strong> der Installation zu verifizieren.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 54<br />
Konfiguration der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1<br />
In diesem Abschn<strong>it</strong>t werden Ihnen die Konfigurationsoptionen des Produktes S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 dargelegt und auf die sichere Konfiguration des Produktes<br />
eingegangen. Darüber hinaus werden Sie in jedem Abschn<strong>it</strong>t dieser Benutzerdokumentation Version<br />
2.5.1.1 auf die sicheren Parameter bei der Konfiguration hingewiesen. Abweichende Konfigurationen<br />
sollten Sie nach Möglichke<strong>it</strong> nicht einsetzen, da unter Umständen der sichere Betrieb des Produktes<br />
nicht mehr gewährleistet werden kann. Vor der Arbe<strong>it</strong> m<strong>it</strong> dem Produkt müssen Sie die Konfiguration<br />
der Benutzereinstellungen des Produktes überprüfen, insbesondere, wenn Sie an einem Arbe<strong>it</strong>splatz<br />
arbe<strong>it</strong>en, an dem auch andere Benutzer Zugriff auf das Produkt haben.<br />
Administration und Administratorrolle:<br />
Das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 erlaubt die individuelle<br />
Konfiguration der Benutzereinstellungen. Diese individuelle Konfiguration kann allerdings nur dann<br />
vorgenommen werden, wenn Sie als Benutzer über Administratorrechte verfügen oder Ihnen ein<br />
Administrator des Betriebssystems Administrationsrechte einräumt. Dies gilt daher nur für die<br />
Betriebssysteme Windows NT 4.0, Windows 2000 und Windows XP, da die individuelle Konfiguration<br />
des Produktes an Hand der vorhandenen Nutzer vorgenommen wird.<br />
Die Administration des Produktes ist also an die Administratorrolle des Betriebssytems geknüpft. Es<br />
wird keine gesonderte Unterscheidung zwischen diesen beiden Rollen im Verlauf dieses Handbuches<br />
vorgenommen. Wenn in diesem Handbuch von der Rolle des Administrators gesprochen wird, ist<br />
dam<strong>it</strong> ein Benutzer m<strong>it</strong> Administrationsrechten auf dem jeweiligen Rechner gemeint bzw. ein Benutzer,<br />
dem durch den jeweiligen Administrator des Betriebssystems das Recht eingeräumt wurde, das<br />
Produkt individuell zu konfigurieren.<br />
Einräumen von Konfigurationsrechten an andere Benutzer:<br />
Sie können die Bindung an die Administratorrolle im Betriebssystem zur Konfiguration des Produktes<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 aufheben, indem Sie einen Wert in der<br />
Registry ändern. Diese Änderung hat dann zur Folge, dass jeder Benutzer des Rechners eine<br />
individuelle Konfiguration des Produktes vornehmen kann. Da das Produkt automatisch eine sichere<br />
Konfiguration nach der Installation einnimmt, sollten Sie von dieser Option nach Möglichke<strong>it</strong> keinen<br />
Gebrauch machen.<br />
� Öffnen Sie den Registry Ed<strong>it</strong>or des Betriebssystems.<br />
� Öffnen Sie den Schlüssel HKLM/Software/<strong>Sign</strong>Cubes/Options<br />
� Öffnen sie durch einen doppelten Klick auf den Eintrag Options den Wert User<br />
� Tragen Sie statt der vorkonfigurierten 0 eine 1 ein.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 55<br />
M<strong>it</strong> diesem Eintrag haben Sie die Administratorrolle für das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1, die durch das Betriebssystem vorgegeben ist, aufgehoben.<br />
Jetzt kann jeder Benutzer individuelle Einstellungen vornehmen, die auch für jeden Benutzer separat<br />
verwaltet werden. Durch diesen Mechanismus ist sichergestellt, dass keine separaten<br />
Administrationsrollen für das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1<br />
definiert sind.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 56<br />
Konfigurationsoptionen des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Secur<strong>it</strong>y Environment Managers<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager bietet zwei Menüs zur Konfiguration. Das erste<br />
Kontextmenü des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers wird beim Klicken auf das S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Icon geöffnet. Das zwe<strong>it</strong>e Kontextmenü enthält spezifische Konfigurationsoptionen für<br />
die jeweilige Chipkarte und wird im Kap<strong>it</strong>el Chipkarten Optionen behandelt.<br />
Wenn Sie auf das Icon S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> klicken, wird ein Kontextmenü geöffnet.<br />
Hier sind Menüpunkte betreffend der Basiskomponenten gelistet:<br />
� Sperrlistenaktualisierung: Während der <strong>Sign</strong>aturprüfung werden immer die aktuell auf dem<br />
Rechner verfügbaren Sperrlisten verwendet. Daher sollten Sie in regelmäßigen Abständen (im<br />
Normalfall täglich) diese Option nutzen, um aktuelle Sperrlisten auf Ihren Rechner<br />
herunterzuladen. Zusätzlich zur Sperrlistenprüfung können Sie die Online - Prüfung nutzen, um<br />
den Status des <strong>Sign</strong>aturzertifikates zu erm<strong>it</strong>teln. Für die Online - Prüfung benötigen Sie eine<br />
Internetverbindung. Diese wird durch den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager nicht<br />
automatisch hergestellt.<br />
� Eigenschaften: Hier werden Einzelhe<strong>it</strong>en über die Basiskomponenten angegeben. Sie können<br />
sich die installierten Module sowie deren Versionsnummern anzeigen lassen. We<strong>it</strong>erhin können<br />
Sie sehen, welche Funktionen Sie lizenziert haben.<br />
� Einstellungen: In diesem Menü können sie globale Einstellungen am S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
Environment Manager vornehmen. Um diese Einstellungen vornehmen zu können, benötigen Sie<br />
die Rechte eines Administrators.<br />
� Hilfe: M<strong>it</strong> diesem Befehl wird die Benutzerdokumentation zu den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 geöffnet.<br />
� Info: Hier werden Copyright- und Versionsinformationen der Software angezeigt.<br />
� Beenden: M<strong>it</strong> diesem Befehl wird der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager beendet.<br />
Dann kann keine <strong>Sign</strong>aturerzeugung bzw. <strong>Sign</strong>aturverifikation vorgenommen werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 57<br />
Option: Lizenzeinstellungen und Lizenzupgrade<br />
Wenn Sie sich vergewissern wollen, welche Lizenz des Produktes Sie erworben haben, können Sie<br />
sich über den Menüpunkt Eigenschaften des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers die m<strong>it</strong><br />
Ihrem eingegebenen Lizenzcode verbundenen freigeschalteten Eigenschaften des Produktes<br />
anzeigen lassen. Ein grünes Häkchen bedeutet, dass Sie die jeweilige Eigenschaft des Produktes<br />
lizenziert haben und Ihnen diese dam<strong>it</strong> zur Verfügung steht. Funktionen, die Ihnen nicht zur Verfügung<br />
stehen, werden Ihnen auch nicht angezeigt.<br />
Wenn Sie in dem Menüpunkt Eigenschaften des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers auf<br />
den Knopf Lizenzinhaber klicken, wird Ihnen das Zertifikat desjenigen Benutzers angezeigt, der die<br />
Lizenz auf dem Rechner freigeschaltet hat. Wenn Sie selbst die Lizenz freigeschaltet haben, muss Ihr<br />
Zertifikat in diesem Dialog angezeigt werden.<br />
Wenn Sie mehr Funktionen des Produktes nutzen möchten als Sie m<strong>it</strong> dem Lizenzcode freigeschaltet<br />
haben, können Sie einen entsprechenden Lizenzcode von dem Deutschen Sparkassenverlag oder<br />
einem seiner Vertriebspartner erwerben. Sie müssen in diesem Falle das Produkt nicht deinstallieren,<br />
sondern können auf den Button Lizenz-Upgrade klicken. In diesem Falle wird der Lizenzmanager<br />
erneut gestartet und Sie können über einen entsprechenden Lizenzcode die gewünschten Funktionen<br />
freischalten.<br />
Hinweis:<br />
� Geben Sie die Installationspfade der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1<br />
nicht im Netzwerk für andere Benutzer frei.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 58<br />
� Vor Verwendung der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 sollten Sie<br />
nochmals prüfen, ob die Lizenz korrekt ist, in dem Sie das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten<br />
2.5, Version 2.5.1.1 Icon, Eigenschaften anklicken und sich die verfügbaren Funktionen anzeigen<br />
lassen. Gleichfalls sollten Sie das Zertifikat des Lizenzinhabers prüfen.<br />
� Wenn der Lizenzierungsassistent beim Start der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 erscheint, ist keine Lizenzdatei vorhanden. Wenn dies trotz erfolgreich durchgeführter<br />
Lizenzierung auftr<strong>it</strong>t, wurde eventuell die Lizenzdatei gelöscht. In diesem Falle sollten Sie die<br />
Integr<strong>it</strong>ät des Betriebssystem m<strong>it</strong> einem geeigneten Programm (z.B. Virenscanner) überprüfen und<br />
sicherstellen, dass nicht unberechtigte Dr<strong>it</strong>te auf Ihren Rechner zugreifen können.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 59<br />
Option: Allgemeine Einstellungen<br />
Wenn Sie im Kontextmenü des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers auf Einstellungen<br />
geklickt haben, erscheint ein Dialog m<strong>it</strong> Registerkarten, die in den folgenden Abschn<strong>it</strong>ten beschrieben<br />
werden.<br />
Hinweis: Sie können die Einstellungen an den Registerkarten nur dann ändern, wenn Sie auch über<br />
Administrationsrechte verfügen. Für das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 ist keine spezielle Administratorrolle definiert. We<strong>it</strong>ere Erläuterungen finden Sie im Abschn<strong>it</strong>t<br />
Konfiguration der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1.<br />
Die folgenden Optionen können Sie hier einstellen:<br />
� Autostart des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers: Setzen das Häkchen in der<br />
Checkbox, wenn Sie möchten, dass der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager<br />
automatisch beim Start des Betriebssystems gestartet wird. Diese Option wird bei der Installation<br />
der Software aktiviert. Wenn Sie dieses Verhalten nicht möchten, können Sie das Häkchen<br />
entfernen.<br />
� Sprache: Hier wird Ihnen als verwendete Sprache Deutsch angezeigt.<br />
� <strong>Sign</strong>aturformat: Hier haben Sie die Möglichke<strong>it</strong>, das Dateiformat für zu signierende Dokumente<br />
einzustellen (Dokument und <strong>Sign</strong>atur in einer Datei oder Dokument und <strong>Sign</strong>atur in zwei<br />
verschiedenen Dateien). Diese Option hat keine Auswirkungen auf die sichere Anzeigeeinhe<strong>it</strong>. Die
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 60<br />
erzeugten Dokumentformate der sicheren Anzeigeeinhe<strong>it</strong> sind im Kap<strong>it</strong>el<br />
Sicherhe<strong>it</strong>skomponenten der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5 erläutert. Die<br />
Einstellung für XML-<strong>Sign</strong>aturen wird wirksam, wenn die <strong>Sign</strong>aturerzeugung der XML Daten über<br />
eine Dr<strong>it</strong>tanwendung gestartet wird. We<strong>it</strong>ere Informationen dazu finden Sie in dem Abschn<strong>it</strong>t XML<br />
<strong>Sign</strong>aturen.<br />
� Attributzertifikate automatisch m<strong>it</strong>signieren: Sofern dieser Haken gesetzt ist, werden bei der<br />
<strong>Sign</strong>aturerzeugung alle unter dem Ordner 'Eigene Dateien\Attribute Certificates' vorhandenen<br />
Attributzertifikate dahingehend durchsucht, ob sie zu diesem Zertifikat dazu gehören. Falls dies<br />
der Fall ist, wird das Attributzertifikat m<strong>it</strong>signiert und dem <strong>Sign</strong>aturzertifikat hinzugefügt.<br />
� <strong>Sign</strong>aturen automatisch m<strong>it</strong> Ze<strong>it</strong>stempel versehen: Hier können Sie der <strong>Sign</strong>atur automatisch<br />
einen Ze<strong>it</strong>stempel hinzufügen. Die Standardkonfiguration Ihres Produktes erlaubt das Abholen von<br />
Ze<strong>it</strong>stempeln nicht.<br />
� <strong>Sign</strong>aturen automatisch m<strong>it</strong> OCSP-Status versehen: M<strong>it</strong> der Aktivierung dieser Funktion wird<br />
automatisch eine OCSP-Abfrage durchgeführt und das Abfrageergebnis wird der <strong>Sign</strong>atur<br />
hinzugefügt.<br />
� Durch Anklicken des Buttons Ausgangskonfiguration werden die m<strong>it</strong> der Installation<br />
vorgenommenen Voreinstellungen wieder hergestellt. Durch die Anwendung dieses Befehls<br />
werden nur die Einstellungen für den aktiven Benutzer zurück gesetzt, nicht jedoch die<br />
Einstellungen, die für alle Benutzer gelten.<br />
Hinweis zur sicheren Konfiguration:<br />
� Sie sollten den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager automatisch beim Start des<br />
Betriebssystems starten lassen. Es wird nur dann das Deaktivieren dieser Option empfohlen,<br />
wenn das PC/SC Subsystem nach dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager gestartet<br />
wird und dieser dadurch beim Start des Betriebssystems keine Kartenleser erkennt.<br />
� Das Speichern der Originaldaten und der <strong>Sign</strong>atur in einer Datei oder die Erzeugung einer<br />
abgetrennten <strong>Sign</strong>aturdatei haben keinen Einfluss auf die Sicherhe<strong>it</strong> des Produktes S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1.<br />
� Wenn Sie sich nicht sicher sind, ob sich Ihre Installation in der Originalkonfiguration befindet,<br />
verwenden Sie b<strong>it</strong>te den Befehl Ausgangskonfiguration, um die von Ihnen vorgenommenen<br />
Änderungen zu verwerfen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 61<br />
Hinweis für die Einstellungen des <strong>Sign</strong>aturformats wenn Sie über die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Shell<br />
Extension verfügen: Wenn Sie die Einstellungen so treffen, dass Verbunddokumente beim<br />
<strong>Sign</strong>aturvorgang erzeugt werden und Sie ein Dokument über die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Shell-Extension<br />
signieren, erhalten Sie ein Dokument m<strong>it</strong> der Endung '*.p7m'. Wenn Sie nun die Originaldaten ein<br />
we<strong>it</strong>eres Mal signieren möchten, werden Sie nach dem Namen der Ausgabedatei über einen 'Datei<br />
speichern unter...' Dialog gefragt, da die <strong>Sign</strong>atur nicht dem '.p7m' Dokument hinzugefügt wird. Wenn<br />
Sie den Dateinamen beibehalten, wird das Originaldokument überschrieben. Sie können aber auch<br />
einen anderen Dateinamen angeben, unter dem dieses Dokument dann abgelegt wird.<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Shell-Extension ist kein Bestandteil der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5,<br />
Version 2.5.1.1, greift aber über eine ebenfalls zertifizierte Schn<strong>it</strong>tstelle auf die Funktionen des<br />
Produktes zurück.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 62<br />
Option: Verzeichnisse<br />
Sie haben im Register Verzeichnisse die Möglichke<strong>it</strong>, die Verzeichnisse für Sperrlisten und<br />
Stammzertifikate, die von der Software verwendet werden, umzukonfigurieren. Machen Sie von dieser<br />
Möglichke<strong>it</strong> nur dann Gebrauch, wenn Sie sich sicher sind, dass Sie verstanden haben, wozu diese<br />
Verzeichnisse von der Software genutzt werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 63<br />
Unter dem Register Verzeichnisse können die Speicherpfade für sicherhe<strong>it</strong>srelevante Dateien, die<br />
Zertifikate und Prüfprotokolle festgelegt werden. Standardmäßig steht der Pfad für die Sperrlisten<br />
sowie die öffentlichen und die vertrauenswürdigen Zertiifkate auf C:\Programme\S-<strong>TRUST</strong> <strong>Sign</strong><strong>it</strong>\Data\<br />
und dann der Name des jeweiligen Ordners.<br />
Das Verzeichnis für die Smartcard Zertifikate und die Attributzertifikate wird, sofern kein anderes<br />
Verzeichnis über diese Einstellungen festgelegt wird, standardmäßig in dem Ordner C:\Eigene<br />
Dateien\ und dann der Name des jeweiligen Ordners angelegt. Wird ein Ordner über die Einstellungen<br />
des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers definiert wie z.B. C:\Daten\, dann werden die<br />
Speicherpfade Smartcards und AttributCertificates als Unterordner automatisch generiert und die<br />
Zertifikate in diesen Ordnern abgelegt.<br />
Als Verzeichnis für das Speichern der Prüfprotokolle kann der Speicherort als vollständiger<br />
Verzeichnispfad z.B. C:\Daten\Prüfprotokolle angegeben werden. Wird kein Verzeichnis definiert,<br />
erfolgt die Ablage automatisch in dem Ordner C:\Eigene Dateien\VerificationProtocols.<br />
Was bedeutet sicherhe<strong>it</strong>srelevant? Beispiel Sperrlisten: Das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 verwendet bei der Prüfung von <strong>Sign</strong>aturen Sperrlisten, um die<br />
Gültigke<strong>it</strong> des <strong>Sign</strong>aturzertifikates bei der <strong>Sign</strong>aturerzeugung zu verifizieren. Die Sperrlisten, die Sie<br />
manuell vom Sperrlistenverteilungspunkt abrufen, werden im Verzeichnis für Sperrlisten gespeichert.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 64<br />
Wenn Sie die Verzeichnisse für die Sperrlisten ändern, sollten Sie entweder die in diesem Verzeichnis<br />
bei der Softwareinstallation abgelegten Dateien ebenfalls in das geänderte Verzeichnis kopieren oder<br />
nach der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann die korrekte<br />
<strong>Sign</strong>aturprüfung durch das Produkt nicht gewährleistet werden.<br />
Was bedeutet sicherhe<strong>it</strong>srelevant? Beispiel Sperrlisten: Das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 verwendet bei der Prüfung von <strong>Sign</strong>aturen Sperrlisten, um die<br />
Gültigke<strong>it</strong> des <strong>Sign</strong>aturzertifikates bei der <strong>Sign</strong>aturerzeugung zu überprüfen. Die Sperrlisten, die Sie<br />
manuell vom Sperrlistenverteilungspunkt abrufen, werden im Verzeichnis für Sperrlisten gespeichert.<br />
Wenn Sie die Verzeichnisse für die Sperrlisten ändern, sollten Sie entweder die in diesem Verzeichnis<br />
bei der Softwareinstallation abgelegten Dateien ebenfalls in das geänderte Verzeichnis kopieren oder<br />
nach der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann die korrekte<br />
<strong>Sign</strong>aturprüfung durch das Produkt nicht gewährleistet werden.<br />
Sperrlisten: Certificate Revocation Lists (CRLs) sind Listen m<strong>it</strong> gesperrten Zertifikaten, die von den<br />
Trustcentern herausgegeben werden. Anhand der Sperrlisten wird geprüft, ob das verwendete<br />
<strong>Sign</strong>aturzertifikat zum Ze<strong>it</strong>punkt der <strong>Sign</strong>aturerzeugung bere<strong>it</strong>s gesperrt war.<br />
PKDs (Public Key Directories) sind Verzeichnisse, in denen die öffentlichen Schlüssel, d.h., die<br />
Zertifikate von verschiedenen Herausgebern gelistet sind. Hier sind derze<strong>it</strong> die von der<br />
Bundesnetzagentur herausgegebenen CA-Zertifikate enthalten.<br />
CTLs (Certificate Trust Lists) sind Verzeichnisse, in denen vertrauenswürdige Wurzelzertifikate<br />
abgelegt werden können. Das Zertifikat der Bundesnetzagentur, dem wir generell vertrauen, ist in der<br />
Software integriert. Wenn Sie einer anderen Wurzel vertrauen möchten, speichern Sie das Zertifikat in<br />
diesem Ordner und legen Sie die CA-Zertifikate auch unter den PKDs ab.<br />
Wenn sie die Verzeichniseinstellungen falsch konfigurieren oder nicht alle notwendigen Schr<strong>it</strong>te<br />
vornehmen, dam<strong>it</strong> die Verzeichnisse von den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 richtig genutzt werden können, ist ein scheinbares Fehlverhalten der Software möglich. Durch<br />
Ihre Einstellungen konfigurieren Sie selbst, welchen Zertifikaten Sie vertrauen und welchen nicht.<br />
Hinweis: Wenn Sie die Verzeichnisse ändern, dürfen die neuen Verzeichnisse nicht schreibgeschützt<br />
sein, da sonst das Ablegen von Sperrlisten in dem Verzeichnis fehlschlägt.<br />
Hinweis für die sichere Konfiguration:<br />
� Sie sollten die Einstellungen der Verzeichnisse nicht ändern. Wenn Sie die Verzeichnisse ändern,<br />
beeinflussen Sie das Sicherhe<strong>it</strong>sverhalten des Produktes. Sie sollten diese Einstellungen nur<br />
ändern, wenn Sie die obigen Ausführungen richtig verstanden haben.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 65<br />
Option: PIN-Abfrage
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 66<br />
In diesem Register können Sie die Optionen für die PIN-Eingabe konfigurieren. Gehen Sie sensibel<br />
m<strong>it</strong> den einstellbaren Optionen um, da ein Missbrauch Ihrer <strong>Sign</strong>aturkarte durch falsches oder<br />
unachtsames Vorgehen m<strong>it</strong> diesen Optionen erleichtert werden könnte.<br />
In diesem Dialog sind Optionen aufgeführt, welche die Eingabe oder Abfrage der PIN (personal<br />
identification number) betreffen:<br />
Sichere PIN-Eingabe automatisch verwenden<br />
Diese Option garantiert, dass bei Kartenlesern, welche die sichere PIN-Eingabe unterstützen, diese<br />
auch automatisch verwendet wird. Diese Option kann in der ausgelieferten Konfiguration nicht<br />
abgewählt werden und sollte für eine sichere Konfiguration des Produktes immer aktiviert sein. Wenn<br />
Sie nicht die sichere PIN-Eingabe verwenden, steigt die Gefahr des Ausspähens der PIN durch<br />
entsprechende Programme.<br />
Karte für mehrere Arbe<strong>it</strong>sschr<strong>it</strong>te öffnen<br />
Wenn Sie größere Arbe<strong>it</strong>saufgaben vor sich haben, die eine ständige Wiederholung der PIN-Eingabe<br />
erfordern, können Sie auch die Karte öffnen. Dann wird die PIN einmalig beim ersten <strong>Sign</strong>aturvorgang<br />
abgefragt. We<strong>it</strong>ere Eingaben sind nicht mehr erforderlich in Abhängigke<strong>it</strong> von Ihren we<strong>it</strong>eren<br />
Einstellungen. Dies ist beispielsweise sehr praktisch, wenn man eine Vielzahl von Dokumenten<br />
entschlüsseln muss. Auch die <strong>Sign</strong>atur von zahlreichen Dateien kann so ze<strong>it</strong>sparend erledigt werden.<br />
Diese Funktion ist für die in dem Kap<strong>it</strong>el Chipkarten genannten Karten nur für die fortgeschr<strong>it</strong>tene<br />
<strong>Sign</strong>atur verfügbar.<br />
PIN abfragen
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 67<br />
Falls Sie die Karte für mehrere Arbe<strong>it</strong>sschr<strong>it</strong>te öffnen wollen, haben Sie zusätzlich die Möglichke<strong>it</strong>,<br />
diese Option einzuschränken: für qualifizierte <strong>Sign</strong>aturen, fortgeschr<strong>it</strong>tene <strong>Sign</strong>aturen und für<br />
Entschlüsselung stehen folgende Varianten zur Verfügung:<br />
� bei jeder Verwendung: Jedes Mal wird die PIN abgefragt.<br />
� automatisch m<strong>it</strong> Begrenzung: Je nach Begrenzung ist die Benutzung eingeschränkt.<br />
� keine we<strong>it</strong>ere Abfrage: Die PIN muss nicht mehr eingegeben werden.<br />
Beispiel: Wenn Sie nur Entschlüsseln möchten, dann stellen sie die Auswahl bei qualifizierten und<br />
sonstigen <strong>Sign</strong>aturen auf bei jeder Verwendung und bei Entschlüsseln auf keine we<strong>it</strong>ere Abfrage.<br />
Begrenzung:<br />
Haben Sie oben auf automatisch m<strong>it</strong> Begrenzung gestellt, können Sie unten eine Begrenzung nach<br />
Anzahl oder Ze<strong>it</strong> eingeben. Wenn Sie die Parameter gesetzt haben und während des Arbe<strong>it</strong>ens m<strong>it</strong><br />
der Karte die Parameter ändern, müssen Sie die Karte ziehen und neu in das Chipkarten-Terminal<br />
stecken, dam<strong>it</strong> die geänderten Einstellungen wirksam werden.<br />
Sicherhe<strong>it</strong>shinweis: Wenn Sie die Optionen so konfigurieren, dass Sie keine PIN mehr eingeben<br />
müssen, gehen Sie ein erhöhtes Risiko des Missbrauchs Ihrer <strong>Sign</strong>aturkarte ein. Sie sollten diese<br />
Optionen nur dann verwenden, wenn Ihr Rechner sicher frei von bösartiger Software wie Viren und<br />
Backdoor Programmen ist. We<strong>it</strong>erhin sollten Sie Ihre <strong>Sign</strong>aturkarte immer aus dem Kartenleser<br />
entfernen, sobald Sie den Arbe<strong>it</strong>splatz verlassen. Wenn Sie diese Mindestsicherhe<strong>it</strong>sanforderungen<br />
nicht befolgen, können unberechtigte Dr<strong>it</strong>te m<strong>it</strong> Ihrer Karte <strong>Sign</strong>aturen erzeugen, die vor dem<br />
Gesetzgeber den Wert Ihrer persönlichen Unterschrift haben. Vor diesen Szenarien können Sie sich<br />
nur selbst durch den verantwortungsvollen Umgang m<strong>it</strong> Ihrer <strong>Sign</strong>aturkarte schützen.<br />
Hinweis:<br />
Das 'Offen Halten' für mehrere Arbe<strong>it</strong>sschr<strong>it</strong>te wird nur von Chip-Karten unterstützt, die durch das<br />
Trust-Center in dieser Konfiguration ausgeliefert werden. Die in dem Kap<strong>it</strong>el Chipkarten aufgelisten<br />
qualifizierten S-Trust Karten unterstützen diese Funktion nicht, so dass in dem Fall von<br />
Mehrfachsignaturen die PIN bei jeder <strong>Sign</strong>aturerzeugung neu eingegeben werden muss.<br />
Hinweis zur sicheren Konfiguration:<br />
� Die Option Sichere PIN-Eingabe automatisch verwenden muss aktiviert sein. Diese Option zwingt<br />
das Produkt, die sichere PIN-Eingabe automatisch zu verwenden.<br />
� Die Option Karte für mehrere Arbe<strong>it</strong>sschr<strong>it</strong>te öffnen muss deaktiviert sein. Wenn Sie die Karte für<br />
mehrere Arbe<strong>it</strong>sschr<strong>it</strong>te geöffnet halten, gehen Sie das Risiko eines Missbrauchs Ihrer Karte durch<br />
Dr<strong>it</strong>te ein. Dieses Risiko kann durch die Software nur bedingt abgewehrt werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 68<br />
Option: Zertifikate
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 69<br />
Im Register Zertifikate können Sie Einstellungen für den Umgang m<strong>it</strong> den vorhandenen Zertifikaten<br />
vornehmen.<br />
Wenn Sie die Option bei <strong>Sign</strong>atur nur verfügbare Zertifikate anzeigen wählen, werden automatisch nur<br />
die Zertifikate verwendet, die auf der eingelegten Chipkarte zur Verfügung stehen. Wenn Sie diese<br />
Option deaktivieren, werden ebenfalls auch Zertifikate anderer Personen berücksichtigt, die an diesem<br />
Arbe<strong>it</strong>splatz arbe<strong>it</strong>en. Sie beeinflussen also den Umgang m<strong>it</strong> den Zertifikaten durch das Produkt.<br />
Wichtiger Hinweis: Grundsätzlich wird die Erzeugung einer elektronischen <strong>Sign</strong>atur immer auf der<br />
eingelegten Chipkarte vorgenommen. Wenn Sie auch Zertifikate anderer Personen bei der<br />
<strong>Sign</strong>aturerzeugung angezeigt bekommen, bedeutet dies nicht, dass Sie auch eine <strong>Sign</strong>atur m<strong>it</strong><br />
diesem Zertifikat erzeugen können. Das Produkt wird Ihnen lediglich m<strong>it</strong>teilen, dass Sie die<br />
entsprechende Chipkarte in das Kartenterminal einlegen müssen.<br />
Die Option SmartCard-Zertifikate automatisch registrieren bedeutet, dass die auf der Chipkarte<br />
vorhandenen Zertifikate automatisch im Microsoft Zertifikatsspeicher registriert werden.<br />
Die Option Automatisch registrierte Zertifikate ständig verfügbar halten bedeutet, dass die von der<br />
Chipkarte registrierten Zertifikate auch nach der Entnahme aus dem Chipkarten Terminal im Microsoft<br />
Zertifikatsspeicher verfügbar bleiben. Wenn Sie diese Option deaktivieren, werden die vorher<br />
registrierten Zertifikate automatisch wieder deregistriert.<br />
Hinweis zur sicheren Konfiguration:<br />
� Die angebotene Option bei <strong>Sign</strong>atur nur verfügbare Zertifikate anzeigen hat keinen Einfluss auf
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 70<br />
das Sicherhe<strong>it</strong>sverhalten des Produktes.<br />
� Die angebotene Option SmartCard-Zertifikate automatisch registrieren hat keinen Einfluss auf das<br />
Sicherhe<strong>it</strong>sverhalten des Produktes.<br />
� Die angebotene Option Automatisch registrierte Zertifikate ständig verfügbar halten hat keinen<br />
Einfluss auf das Sicherhe<strong>it</strong>sverhalten des Produktes.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 71<br />
Option: Algor<strong>it</strong>hmen<br />
Im Register Algor<strong>it</strong>hmen haben Sie die Möglichke<strong>it</strong>, den bei der <strong>Sign</strong>aturerzeugung zu verwendenden<br />
Hashalgor<strong>it</strong>hmus einzustellen bzw. die für die Ver- und Entschlüsselung zum Einsatz kommenden<br />
Verschlüsselungsalgor<strong>it</strong>hmen auszuwählen.<br />
Die für die <strong>Sign</strong>aturerzeugung zur Verfügung gestellten Algor<strong>it</strong>hmen entsprechen dem <strong>Sign</strong>aturgesetz.<br />
Hinweis zur sicheren Konfiguration:<br />
� Grundsätzlich sollten Sie die standardmäßig eingestellten und empfohlenen Algor<strong>it</strong>hmen<br />
verwenden. Das ist für die <strong>Sign</strong>aturerzeugung SHA-256 und für die Ver- und Entschlüsselung<br />
3DES. Ab 2008 ist der Hashalgor<strong>it</strong>hmus SHA-1 für die Erzeugung qualifizierter <strong>Sign</strong>aturen nicht<br />
mehr zulässig.<br />
Hinweis: Nutzen Sie die Möglichke<strong>it</strong>, sich über das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>ätstool die eingestellte<br />
Konfiguration für die Chipkarte anzeigen zu lassen.<br />
� Für die Ver- bzw. Entschlüsselung sollten Sie nur dann andere Einstellungen vornehmen, wenn es<br />
aus Gründen der Kompatibil<strong>it</strong>ät m<strong>it</strong> anderen Programmen notwendig ist.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 72<br />
Chipkarten Optionen<br />
M<strong>it</strong> einem Klick auf das gelbe Chipsymbol (vorausgesetzt die Karte befindet sich im Kartenleser) wird<br />
das Kontextmenü geöffnet. Die Menüpunkte betreffen Funktional<strong>it</strong>äten, die im Zusammenhang m<strong>it</strong> der<br />
Karte oder dem Kartenleser stehen.<br />
Die folgenden Punkte werden im Chipkarten Menü angeboten:<br />
� Verschlüsselungszertifikat exportieren: M<strong>it</strong> dieser Option können Sie das<br />
Verschlüsselungszertifikat von Ihrer Chipkarte in eine Datei speichern. We<strong>it</strong>ere Informationen<br />
erhalten Sie in dem Kap<strong>it</strong>el Zertifikate exportieren. Diese Funktion ist nur dann verfügbar, wenn<br />
Sie über ein Verschlüsselungszertifikat verfügen. Ob Sie über ein solches Zertifikat verfügen,<br />
können Sie im Menüpunkt Eigenschaften an Hand der aufgelisteten Zertifikate auf Ihrer Chipkarte<br />
überprüfen.<br />
� Eigenschaften: Die Eigenschaften des installierten Kartenlesers werden hier angezeigt. Ist eine<br />
Karte im Kartenleser vorhanden, werden auch die Karteneigenschaften, wie die Kartennummer<br />
und das Zertifikat angezeigt. We<strong>it</strong>ere Informationen erhalten Sie in dem Kap<strong>it</strong>el Eigenschaften.<br />
� Einstellungen: Dieser Menüpunkt wird in den Konfigurationsoptionen des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Secur<strong>it</strong>y Environment Managers erläutert.<br />
� Info: Hier werden Copyright- und Versionsinformationen angezeigt.<br />
� Beenden: M<strong>it</strong> diesem Menüpunkt wird der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager<br />
geschlossen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 73<br />
Eigenschaften<br />
Durch Anklicken des gelben Chipsymbols in der Taskleiste (Karte befindet sich im Kartenleser) und<br />
Auswahl des Menüpunktes Eigenschaften erhalten Sie folgende Informationen:<br />
� Unter dem Register Kartenleser wird die Bezeichnung des Kartenlesers und die Ansteuerung des<br />
Kartenlesers angezeigt. Bei Kartenlesern m<strong>it</strong> sicherer PIN Eingabe wird auf diese Funktion als<br />
Ergänzung zum Kartenleser hingewiesen.<br />
� Unter dem Register Karte sehen Sie die Bezeichnung der Karte (meist m<strong>it</strong> Herausgeber), die<br />
Kartennummer und das Betriebssystem der Karte.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 74<br />
� Unter dem Register PIN's werden die zu den Zertifikaten der im Kartenleser steckenden Karte<br />
gültigen PIN's angezeigt. Nach Auswahl eines PIN's werden in dem unteren Fenster als<br />
Detailinformationen die minimale Länge und sofern vorhanden die maximale Länge angezeigt.<br />
Gleichze<strong>it</strong>ig werden die Schaltflächen für we<strong>it</strong>ere Funktionen aktiv. In Abhängigke<strong>it</strong> von der<br />
Zulässigke<strong>it</strong> stehen die Funktionen Freischalten, Ändern und Entsperren zur Verfügung.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 75<br />
� Unter dem Register Zertifikate werden die Zertifikate der Karte, die im Leser steckt, angezeigt.<br />
Nach Anklicken eines Zertifikats in der Liste werden in dem unteren Fenster die<br />
Einzelinformationen angezeigt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 76<br />
Im Abschn<strong>it</strong>t Zertifikate exportieren können Sie nachlesen, wie Sie die auf Ihrer Karte vorhandenen<br />
Zertifikate in eine Datei speichern können, um auch anderen Kommunikationspartnern Ihre Zertifikate<br />
zu schicken.<br />
In dem Abschn<strong>it</strong>t Attributzertifkate werden we<strong>it</strong>ere Information zum Handling m<strong>it</strong> den<br />
<strong>Sign</strong>aturzertifikaten zugehörigen Attributen gegeben.<br />
Hinweis zur sicheren Konfiguration:<br />
� Es werden keine Optionen zur Verfügung gestellt, die einen Einfluss auf das Sicherhe<strong>it</strong>sverhalten<br />
des Produktes haben.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 77<br />
Zertifikate exportieren<br />
Dam<strong>it</strong> Sie Ihren Kommunikationspartnern Ihr Verschlüsselungszertifikat schicken können, müssen Sie<br />
es zunächst aus der Karte extrahieren und in eine Datei exportieren. Diese Datei können Sie dann<br />
einfach per E-Mail verschicken.<br />
1 Stecken Sie die Karte in den Leser und achten Sie darauf, dass sie erkannt wird.<br />
2 Klicken Sie das gelbe Chip-Symbol in der Taskleiste an.<br />
Wählen Sie den Punkt Verschlüsselungszertifikat exportieren.<br />
1 Im Fenster Zertifikat exportieren wird der Dateiname angegeben und der Speicherort ausgewählt.<br />
Wahrscheinlich werden Sie den Namen des Zertifikatsinhabers, also Ihren eigenen, angeben<br />
wollen.<br />
2 M<strong>it</strong> einem Klick auf Speichern, ist das Zertifikat als *.cer Datei gespeichert und kann für jede<br />
Standard-Verschlüsselungssoftware benutzt werden.<br />
Hinweis zur sicheren Konfiguration:<br />
� Es werden keine Optionen angeboten, die einen Einfluss auf das Sicherhe<strong>it</strong>sverhalten des<br />
Produktes haben können.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 78<br />
PIN ändern<br />
Im S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager können Sie die PIN bzw. PIN's Ihrer Smartcard<br />
jederze<strong>it</strong> ändern. Dies sollten Sie tun, wenn Sie das Gefühl haben, dass andere Personen Ihre PIN<br />
kennen.<br />
� Wählen Sie nach Anklicken des gelben Chipsymbols in der Taskleiste Eigenschaften und<br />
anschließend das Register PINs.<br />
� Wählen Sie die zu ändernde PIN und klicken Sie auf Ändern. Geben Sie dann die aktuelle PIN<br />
ein, um die Änderung überhaupt zu ermöglichen.<br />
� Danach wird nach der neuen PIN gefragt. Geben Sie diese ein und bestätigen Sie m<strong>it</strong> OK.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 79<br />
� Die neue PIN muss nochmals bestätigt werden. Geben Sie diese ein we<strong>it</strong>eres Mal ein.<br />
� Sie haben die PIN jetzt geändert.<br />
Hinweis zur sicheren Konfiguration:<br />
Verwenden Sie niemals eine triviale PIN, die den Missbrauch Ihrer Karte durch Dr<strong>it</strong>te erleichtern<br />
könnte und notieren Sie die PIN niemals auf der Karte oder an Orten, wo Dr<strong>it</strong>te in die Kenntnis Ihrer<br />
PIN gelangen könnten. Verwenden Sie nur Kartenleser m<strong>it</strong> sicherer PIN-Eingabe, um die PIN Ihrer<br />
Chip-Karte zu ändern. Stellen Sie sicher, dass die Eingabe der neuen PIN nicht durch Dr<strong>it</strong>te<br />
beobachtet wird, da diese dadurch in Kenntnis Ihrer PIN gelangen könnten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 80<br />
Arbe<strong>it</strong>en m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1<br />
Die folgenden Abschn<strong>it</strong>te beschreiben den Umgang m<strong>it</strong> den einzelnen Bestandteilen der S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1. Dieses Kap<strong>it</strong>el soll Ihnen den Umgang m<strong>it</strong> dem<br />
Produkt erleichtern und Ihnen dabei helfen, schnell m<strong>it</strong> den einzelnen Programmfunktionen vertraut zu<br />
werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 81<br />
Arbe<strong>it</strong>en m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
Environment Manager<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager ist als zentraler Bestandteil der Anwendung S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 für die Bere<strong>it</strong>stellung und Überwachung aller<br />
Sicherhe<strong>it</strong>saufgaben des Produktes verantwortlich. Für Sie als Benutzer sind vor allem die folgenden<br />
Punkte relevant:<br />
� Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager verwaltet die angeschlossenen Kartenleser<br />
und überwacht die eingelegten Chipkarten.<br />
� Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager bietet Ihnen Optionen zur Auswahl an,<br />
welche die Chipkarte und die erzeugten Dokumente betreffen. Zur Konfiguration dieser Optionen<br />
müssen Sie über Administrationsrechte auf Ihrem Rechner verfügen.<br />
Als Standard wird der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager automatisch beim Start des<br />
Betriebssystems gestartet. Sie haben allerdings die Möglichke<strong>it</strong>, dieses Verhalten in den<br />
Konfigurationseinstellungen des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers zu verändern und<br />
müssen diesen dann manuell starten.<br />
Während der Arbe<strong>it</strong> m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager werden Sie durch<br />
entsprechende Statusmeldungen über den jeweiligen Bearbe<strong>it</strong>ungsstand informiert:<br />
� Sie haben eine Chipkarte in den Kartenleser gesteckt, diese wird erkannt und identifiziert:<br />
� Sie haben den Befehl <strong>Sign</strong>atur erzeugen aktiviert, es läuft die Datenaufbere<strong>it</strong>ung<br />
(Hashwertberechnung) bzw. die <strong>Sign</strong>aturerzeugung.<br />
� Nach dem Aufbere<strong>it</strong>en der Daten werden Sie zur PIN Eingabe über die sichere PIN-Eingabe<br />
aufgefordert.<br />
� Sie haben den Befehl <strong>Sign</strong>atur prüfen aktiviert, es läuft die Hashwertberechnung und der Abgleich<br />
m<strong>it</strong> den Sperrlisten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 82<br />
Falls Ihnen diese Informationen nicht mehr angezeigt werden sollen, haben Sie die Möglichke<strong>it</strong>, durch<br />
Anklicken der Option ausblenden, die Anzeige zu unterdrücken.<br />
Hinweis: Wenn der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager gestartet wurde, erscheint das S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Icon in der Taskleiste neben der Uhrze<strong>it</strong>.<br />
Hinweis für den manuellen Start:<br />
Unter dem folgenden Menüpunkt können Sie den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager<br />
manuell starten. Das Programmverzeichnis kann je nach verwendeter Spracheinstellung variieren.<br />
Diese Hilfe beschreibt den Umgang m<strong>it</strong> einem deutschsprachigen Betriebssystem.<br />
Start – Programme – S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> - S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong>
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 83<br />
ACHTUNG: Um die Funktionen der Software nutzen zu können, muss der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
Environment Manager gestartet sein. Andernfalls haben Sie keinen Zugang zu den Funktionen des<br />
Produktes. Wenn keine Gründe existieren, den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager<br />
manuell zu starten, dann lassen Sie die Option auf „automatisch starten“ eingestellt.<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager kann mehrere Kartenleser und Chipkarten<br />
parallel verwalten. Welche Kartenleser und Chipkarten unterstützt werden, ist in dem Abschn<strong>it</strong>t<br />
Kartenleser bzw. Chipkarten im Detail ausgeführt.<br />
Für jeden erkannten Kartenleser erscheint ein graues Chip-Symbol in der Taskleiste, wenn keine<br />
Karte im Kartenleser vorhanden ist. Ist eine Chipkarte im Kartenleser vorhanden, erscheint für jede<br />
erkannte Chipkarte ein gelbes Chip-Symbol in der Taskleiste.<br />
Erkennung einer Chipkarte durch den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager<br />
Steckt keine Karte im Kartenleser, wird für jeden erkannten Kartenleser ein graues Chip Symbol<br />
angezeigt.<br />
Wenn Sie die Karte in den Leser stecken, wird das Symbol gelb und bekommt ein grünes<br />
Fragezeichen (achten Sie darauf, dass die Karte im Leser einrastet).<br />
Hat der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager die Karte richtig erkannt, verschwindet das<br />
Fragezeichen und der Chip ist gelb. Der erkannte Kartentyp wird automatisch angezeigt.<br />
Jetzt können Sie m<strong>it</strong> der eingelegten Chipkarte arbe<strong>it</strong>en. Wenn bere<strong>it</strong>s vor dem Start des S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers eine Chipkarte in den Kartenleser eingelegt wurde, erkennt<br />
dieser die Karte automatisch.<br />
Hinweis:<br />
Ein gelber Chip m<strong>it</strong> rotem Kreuz bzw. rotem Fragezeichen erscheint, wenn die Karte verkehrt in den<br />
Leser gesteckt wurde oder eine Karte verwendet wurde, die nicht kompatibel ist.<br />
Die verwendbaren Karten sind in dem Abschn<strong>it</strong>t Chipkarten aufgeführt.<br />
Ist das Chip-Symbol in der Taskleiste rot, bedeutet dies, dass die Karte geöffnet ist oder Operationen,<br />
wie z.B. die Hashwertverschlüsselung auf der Chipkarte ausgeführt werden.<br />
Karte „geöffnet“ bedeutet, dass Sie mehrere Operationen hintereinander ausführen können, ohne<br />
erneut die PIN eingeben zu müssen. Das kann sinnvoll sein, wenn Sie mehrere Dokumente<br />
hintereinander signieren möchten. Aus Sicherhe<strong>it</strong>sgründen sollten Sie diese Möglichke<strong>it</strong> nur dann<br />
nutzen, wenn Sie sich absolut sicher sind, dass kein Missbrauch m<strong>it</strong> der Karte vorgenommen werden<br />
kann. Verlassen Sie nie Ihren Arbe<strong>it</strong>splatz, ohne vorher die Karte aus dem Kartenleser zu entnehmen.<br />
Unberechtigte Personen könnten sonst diesen Umstand ausnutzen und <strong>Sign</strong>aturen m<strong>it</strong> Ihrer Chipkarte<br />
erzeugen.<br />
Hinweis:
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 84<br />
Beim Klicken auf die Icons in der Taskleiste bekommen Sie verschiedene Menüs angeboten. Wenn<br />
sie auf das Icon des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager klicken, wird Ihnen das<br />
Konfigurationsmenü für den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager angeboten. Für diese<br />
Optionen benötigen Sie Administrationsrechte auf ihrem Arbe<strong>it</strong>srechner. Wenn Sie auf das graue<br />
Chipsymbol klicken, bekommen Sie ein eingeschränktes Menü angeboten, in welchem Sie sich<br />
Informationen zum verwendeten Kartenleser anzeigen lassen können. Wenn Sie nach dem Einlegen<br />
der Chipkarte auf das gelbe Chipsymbol klicken, bekommen Sie ein Menü für die jeweilige Chipkarte<br />
angeboten. Die angebotenen Menüpunkte werden ebenso wie die Menüpunkte für den S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager im Kap<strong>it</strong>el Konfiguration der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 behandelt.<br />
Hinweis:<br />
Wenn der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager Daten verarbe<strong>it</strong>et, rotiert das Icon des S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Managers in der Taskleiste im Uhrzeigersinn, um zu<br />
verdeutlichen, dass momentan eine Operation ausgeführt wird. Wenn Sie also große Datenmengen<br />
signieren wollen (z.B. ein Dokument m<strong>it</strong> einer Größe von 300 MB), haben Sie immer eine Information<br />
darüber, dass momentan Daten verarbe<strong>it</strong>et werden. Wenn Sie m<strong>it</strong> der Maus über das Icon in der<br />
Taskleiste fahren, werden Sie sehen, dass auch der Tooltip-Text des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
Environment Managers Ihnen m<strong>it</strong> der Meldung 'Daten werden bearbe<strong>it</strong>et' eine entsprechende<br />
Information gibt.<br />
Hinweis:<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager reagiert für die Kartenleser SPR 332 und SPR<br />
532 der Firma SCM Microsystems an der USB-Schn<strong>it</strong>tstelle auf die Plug & Play Ereignisse des<br />
Betriebssystems. Wenn Sie also einen solchen Kartenleser verwenden, haben Sie die Möglichke<strong>it</strong>, bei<br />
laufendem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager einen solchen Kartenleser hinzu zu<br />
nehmen oder von der USB Schn<strong>it</strong>tstelle zu entfernen. Für jeden angesteckten Kartenleser wird ein<br />
neues Chipsymbol angezeigt und der Tooltipp an diesem Icon teilt Ihnen m<strong>it</strong>, um welchen Kartenleser<br />
es sich handelt. Nachdem Ihnen das Chip-Symbol angezeigt wird, ist der Kartenleser voll<br />
einsatzbere<strong>it</strong>. Um diese Eigenschaften nutzen zu können, müssen Sie den korrekten Treiber des<br />
Herstellers für diesen Kartenleser installiert haben. Sind keine Treiber vorhanden, kann das Produkt<br />
auch nicht m<strong>it</strong> dem Kartenleser arbe<strong>it</strong>en bzw. diesen auch nicht erkennen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 85<br />
<strong>Sign</strong>aturverifikation<br />
Der folgende Abschn<strong>it</strong>t beschreibt, wie Sie eine <strong>Sign</strong>aturprüfung unter Verwendung des Produktes S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 vornehmen können. Grundsätzlich vertraut das<br />
Produkt dem Wurzelzertifikat der Bundesnetzagentur für Elektriz<strong>it</strong>ät, Gas, Telekommunikation, Post<br />
und Eisenbahnen (Bundesnetzagentur). Aber auch andere Wurzelzertifikate können im<br />
Betriebssystem als vertrauenswürdig bere<strong>it</strong>gestellt werden.<br />
Grundsätzlich gilt: Wenn Sie m<strong>it</strong> abgesetzten <strong>Sign</strong>aturen arbe<strong>it</strong>en, muss die <strong>Sign</strong>aturdatei den<br />
gleichen Namen wie das Originaldokument m<strong>it</strong> der zusätzlichen Endung '.p7s' tragen. Dies ist<br />
Voraussetzung, dam<strong>it</strong> der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager die zugehörigen<br />
Originaldaten erkennen und die <strong>Sign</strong>atur verifizieren kann.<br />
Verfahren zur <strong>Sign</strong>aturprüfung durch die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten<br />
2.5, Version 2.5.1.1<br />
Im ersten Schr<strong>it</strong>t wird immer überprüft, ob die elektronische <strong>Sign</strong>atur mathematisch korrekt ist. Dies<br />
bedeutet, dass bei der <strong>Sign</strong>aturprüfung die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1<br />
die Prüfsumme (den Hashwert) über die signierten Daten grundsätzlich erneut berechnen und die<br />
vorliegende <strong>Sign</strong>atur gegen diesen neu berechneten Hashwert prüfen. Ist diese Prüfung erfolgreich,<br />
dann ist die <strong>Sign</strong>atur mathematisch korrekt. Es kann jedoch noch keine Aussage zur tatsächlichen<br />
Gültigke<strong>it</strong> der elektronischen <strong>Sign</strong>atur getroffen werden. Dafür wird in einem we<strong>it</strong>eren Schr<strong>it</strong>t die<br />
Gültigke<strong>it</strong> der Zertifikate, angefangen beim verwendeten <strong>Sign</strong>aturzertifikat bis hin zur Wurzel der<br />
Zertifikatskette geprüft.<br />
Zur Erm<strong>it</strong>tlung der Zertifikatskette werden die in den <strong>Sign</strong>aturdaten enthaltenen Zertifikate<br />
herangezogen. Kann die Zertifikatskette aus den verfügbaren <strong>Sign</strong>aturdaten nicht erm<strong>it</strong>telt werden,<br />
können die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 auf alternative<br />
Zertifikatsspeicher, wie den Microsoft Zertifikatsspeicher oder die Festplatte zurück greifen. Kann die<br />
Zertifikatskette nicht gebildet werden, dann treffen die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5,<br />
Version 2.5.1.1 keine Aussage zur Gültigke<strong>it</strong> der geprüften elektronischen <strong>Sign</strong>atur. Es wird angezeigt,<br />
dass die <strong>Sign</strong>atur mathematisch korrekt ist. Es wird jedoch we<strong>it</strong>erhin angezeigt, dass benötigte<br />
Zertifikate in der Zertifikatskette fehlen und som<strong>it</strong> keine abschließende Aussage zur Gültigke<strong>it</strong> der<br />
elektronischen <strong>Sign</strong>atur getroffen werden kann.<br />
War die Erm<strong>it</strong>tlung des Zertifikatspfades erfolgreich, wird dieser einer Prüfung nach dem<br />
Schalenmodell unterworfen. Das Schalenmodell besagt, dass alle Zertifikate im Zertifikatspfad zum<br />
<strong>Sign</strong>aturze<strong>it</strong>punkt gültig und nicht zurückgezogen sein müssen, dam<strong>it</strong> die <strong>Sign</strong>atur als gültig verifiziert<br />
werden kann. Ist diese Prüfung erfolgreich und die Zertifikatskette vollständig, wird dem Benutzer<br />
angezeigt, dass die <strong>Sign</strong>atur gültig ist.<br />
Allgemeine Anforderungen bei der Prüfung elektronischer <strong>Sign</strong>aturen<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten prüfen die Zertifikate einer Kette in jedem Falle gegen die zur<br />
Verfügung stehenden Sperrlisten. Wird ein entsprechender Sperreintrag für eines der geprüften
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 86<br />
Zertifikate gefunden, so wird Ihnen dieser Sperrstatus auch zur Kenntnis gebracht.<br />
Hinweis: Achten Sie b<strong>it</strong>te darauf, dass stets aktuelle Sperrlisten bei der <strong>Sign</strong>aturprüfung zur<br />
Verfügung stehen.<br />
Da die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 die lokale Systemze<strong>it</strong> zur Codierung<br />
des <strong>Sign</strong>aturze<strong>it</strong>punktes verwendet, ist die korrekte Einstellung der Systemze<strong>it</strong> notwendig. Sie sind als<br />
Nutzer der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 für die Korrekthe<strong>it</strong> der Systemze<strong>it</strong><br />
verantwortlich. In allen anderen Fällen kann die Prüfung, insbesondere nach dem Kettenmodell, durch<br />
das Produkt nicht zuverlässig vorgenommen werden. Durch die Prüfung nach dem Schalen- und dem<br />
Kettenmodell verwendet das Produkt zwei voneinander unabhängig arbe<strong>it</strong>ende Prüfmechanismen, die<br />
jedoch beide auf Sperrlisten angewiesen sind, welche die oben genannten Bedingungen an den<br />
Herausgabeze<strong>it</strong>punkt erfüllen.<br />
Ist in der <strong>Sign</strong>aturdatei ein Ze<strong>it</strong>stempel vorhanden, wird auch eine Aussage zur Gültigke<strong>it</strong> der <strong>Sign</strong>atur<br />
an dem Ze<strong>it</strong>punkt geliefert, den der Ze<strong>it</strong>stempel ausweist. Um die vollständige Gültigke<strong>it</strong> des<br />
Ze<strong>it</strong>stempels zu prüfen, müssen Sie den Detaildialog für Ze<strong>it</strong>stempel verwenden. Nähere<br />
Informationen hierzu finden Sie im Kap<strong>it</strong>el Ze<strong>it</strong>stempeldienste (siehe Se<strong>it</strong>e 133).<br />
Hinweis: Ist in dem <strong>Sign</strong>aturabschn<strong>it</strong>t kein Ze<strong>it</strong>punkt der <strong>Sign</strong>aturerzeugung enthalten, wird die<br />
aktuelle Systemze<strong>it</strong> als Prüfze<strong>it</strong>punkt verwendet und angezeigt.<br />
Hinweis: Bei der <strong>Sign</strong>aturprüfung müssen Sie immer den Zertifikatspfad des geprüften<br />
<strong>Sign</strong>aturzertifikats überprüfen. Das Produkt verwendet auch vertrauenswürdige Stammzertifikate aus<br />
dem Microsoft Zertifikatsspeicher, d.h., es kann zu der Aussage kommen, dass die geprüfte <strong>Sign</strong>atur<br />
gültig ist, obwohl Sie dem Wurzelzertifikat nicht vertrauen. Die Gültigke<strong>it</strong> der elektronischen <strong>Sign</strong>atur<br />
ist im technischen Sinne zwar korrekt, aber evtl. wollen Sie als Benutzer dem Stammzertifikat nicht<br />
vertrauen. Daher ist die Prüfung des Zertifikatspfades unerlässlich. Diese Prüfung können Sie<br />
vornehmen, in dem Sie sich das <strong>Sign</strong>aturzertifikat über Details anzeigen lassen und im<br />
Zertifikatsdialog das Register Zertifizierungspfad auswählen.<br />
Wenn ein Wurzelzertifikat bei der <strong>Sign</strong>aturprüfung gefunden wurde, geben die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten den Ablageort an.<br />
Die Zertifikate der Bundesnetzagentur sind den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten durch signierte<br />
Vertrauenslisten bekannt. In diesem Fall benennt das Produkt das verwendete Wurzelzertifikat als<br />
'Vertrauenswürdiges Zertifikat'.<br />
Wurde das Zertifikat aus dem Microsoft Stammspeicher für vertrauenswürdige<br />
Stammzertifizierungsstellen bezogen, zeigt das Produkt im Zertifizierungspfad ,Zertifikat aus dem<br />
Microsoft Stammspeicher für vertrauenswürdige Zertifikate' an.<br />
Wurde das Zertifikat aus dem CTL Verzeichnis des Produktes bezogen, zeigt das Produkt ,Zertifikat<br />
aus dem CTL Verzeichnis' an.<br />
Diese Information wird nur angezeigt, wenn ein Wurzelzertifikat im Zertifizierungspfad gefunden<br />
wurde.<br />
Hinweis: Wenn Sie ein PDF-Dokument prüfen, welches mehrere eingebettete <strong>Sign</strong>aturen enthält,<br />
müssen Sie im Prüfdialog den Befehl 'Daten anzeigen' verwenden, um diejenige Dokumentversion zu<br />
sehen, auf die sich die jeweilige Unterschrift bezieht.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 87<br />
Das PDF Format erlaubt nach einer <strong>Sign</strong>atur, das Dokument we<strong>it</strong>er zu ändern. Die elektronische<br />
Unterschrift bezieht sich jedoch immer auf die konkrete Version des Dokuments, die Sie nur aus dem<br />
Prüfdialog heraus eindeutig anzeigen lassen können. Das bedeutet auch, dass die <strong>Sign</strong>atur nicht für<br />
das geänderte Dokument gilt, sondern exakt für die Dokumentversion, die Ihnen im Prüfdialog über<br />
den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> angezeigt wird.<br />
Prüfung qualifizierter elektronischer <strong>Sign</strong>aturen<br />
Grundsätzlich wird bei jeder vorliegenden <strong>Sign</strong>atur geprüft, ob dies eine qualifizierte elektronische<br />
<strong>Sign</strong>atur ist. Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten erm<strong>it</strong>teln dies an mehreren Kr<strong>it</strong>erien: Das<br />
verwendete <strong>Sign</strong>aturzertifikat das Attribut QC-Statement m<strong>it</strong> dem Wert EU-QC-konform oder SigGkonform<br />
aufweisen. Des we<strong>it</strong>eren muss das verwendete <strong>Sign</strong>aturzertifikat von einem angezeigten<br />
oder akkred<strong>it</strong>ierten Zertifizierungsdiensteanbieter herausgegeben worden sein. Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 verfügen über eigene Verwaltungsmechanismen für diese<br />
Einstufung. Die Zertifikate der ZDA's und der Bundesnetzagentur müssen in einer signierten<br />
Vertrauensliste vorliegen, die ausschließlich durch OPENLiMiT gepflegt wird.<br />
Treffen die genannten Kr<strong>it</strong>erien zu, so erfolgt die Prüfung der Zertifikatskette nach dem Kettenmodell.<br />
Dieses Gültigke<strong>it</strong>smodell für Zertifikatsketten erlaubt, dass elektronische <strong>Sign</strong>aturen m<strong>it</strong> Zertifikaten<br />
erzeugt werden können, deren Herausgeberzertifikate zum Ze<strong>it</strong>punkt der <strong>Sign</strong>aturerstellung bere<strong>it</strong>s<br />
abgelaufen sind. Dies erlaubt eine kürzere Laufze<strong>it</strong> einzelner Zertifikate in der Zertifikatskette und<br />
erhöht som<strong>it</strong> die Sicherhe<strong>it</strong> der in Deutschland verwendeten Zertifikatsinfrastruktur. In allen anderen<br />
Fällen erfolgt die Prüfung nach dem so genannten Schalenmodell.<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten zeigen in eindeutiger Art und Weise an, ob das<br />
Herausgeberzertifikat als angezeigter oder akkred<strong>it</strong>ierter Zertifizierungsdiensteanbieter in der aktuell<br />
verwendeten Vertrauensliste enthalten ist. Ist dies der Fall, wurde die <strong>Sign</strong>atur nach dem Kettenmodell<br />
geprüft. Alle anderen <strong>Sign</strong>aturen, die m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1<br />
geprüft werden, werden unter Verwendung des Schalenmodells geprüft. Detaillierte Informationen zu<br />
den verschiedenen Prüfmodellen finden Sie auf der Webse<strong>it</strong>e der Bundesnetzagentur<br />
(http://www.bundesnetzagentur.de).<br />
Für beide Gültigke<strong>it</strong>smodelle gilt, dass das verwendete <strong>Sign</strong>aturzertifikat zum<br />
<strong>Sign</strong>aturerzeugungsze<strong>it</strong>punkt gültig sein muss. Das Herausgeberzertifikat kann beim Kettenmodell<br />
bere<strong>it</strong>s abgelaufen sein, beim Schalenmodell ist dies nicht zulässig. In keinem von beiden<br />
Gültigke<strong>it</strong>smodellen darf eines der Zertifikate in der Kette zurückgezogen sein, z.B. wegen Bruch des<br />
<strong>Sign</strong>aturschlüssels.<br />
Besonderhe<strong>it</strong>en im Zusammenhang m<strong>it</strong> dem Katalog zulässiger Algor<strong>it</strong>hmen<br />
Die Bundesnetzagentur veröffentlicht jedes Jahr einen so genannten Algor<strong>it</strong>hmenkatalog, der die<br />
Verwendung der zulässigen Algor<strong>it</strong>hmen für die qualifizierte elektronische <strong>Sign</strong>atur regelt. Dieser<br />
Algor<strong>it</strong>hmenkatalog wird durch die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1<br />
abgebildet. Dies bedeutet, dass die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1<br />
überprüfen, ob der verwendete Algor<strong>it</strong>hmus und der verwendete <strong>Sign</strong>aturschlüssel den Anforderungen<br />
an diesen Katalog genügen. Ist dies nicht der Fall, wird die geprüfte <strong>Sign</strong>atur auch nicht als gültig<br />
geprüft und es wird ein Hinweistext angezeigt, dass Algor<strong>it</strong>hmen verwendet werden, die keine
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 88<br />
Aussage über die tatsächliche Gültigke<strong>it</strong> der <strong>Sign</strong>atur zulassen.<br />
Wird Ihnen eine entsprechende Meldung durch die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 angezeigt, sollten Sie die Webse<strong>it</strong>en der Bundesnetzagentur sowie den Bundesanzeiger<br />
heranziehen, um die Korrekthe<strong>it</strong> der eingesetzten Algor<strong>it</strong>hmen unabhängig zu prüfen. Da im Jahr 2008<br />
der Hashalgor<strong>it</strong>hmus SHA-1 für die qualifizierte elektronische <strong>Sign</strong>atur nicht mehr zulässig sein wird<br />
und eine defin<strong>it</strong>ive Festlegung eines Übergangsze<strong>it</strong>raums noch nicht getroffen wurde, müssen Sie bei<br />
der Prüfung elektronischer <strong>Sign</strong>aturen im Zweifelsfall die aktuell von der Bundesnetzagentur<br />
veröffentlichten Dokumente zu Rate ziehen.<br />
<strong>Sign</strong>aturprüfung vornehmen<br />
Nachdem Sie auf eine signierte Datei geklickt haben, erscheint der Dialog Details zur <strong>Sign</strong>aturprüfung:<br />
Hinweis: Falls zu der Installation der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 der<br />
Button "Speichern" angezeigt wird, haben Sie hier die Möglichke<strong>it</strong>, ein Prüfprotokoll zur<br />
<strong>Sign</strong>aturverifikation abzulegen.<br />
In der Zusammenfassung der <strong>Sign</strong>aturprüfung steht zunächst, ob die <strong>Sign</strong>atur gültig, ungültig oder<br />
zumindest mathematisch korrekt ist.<br />
Ist eine <strong>Sign</strong>atur ungültig, dann wurden die Daten verändert oder die Zertifizierungskette konnte nicht<br />
aufgelöst werden. Dieser <strong>Sign</strong>atur können Sie nicht vertrauen.<br />
Mathematisch korrekt bedeutet, dass die Datei se<strong>it</strong> dem <strong>Sign</strong>aturze<strong>it</strong>punkt nicht geändert wurde.<br />
Außerdem wurde auch die <strong>Sign</strong>atur an sich nicht manipuliert. In der Regel müssen Sie aber noch den<br />
Onlinestatus des verwendeten <strong>Sign</strong>aturzertifikates prüfen, um wirklich sicher zu sein, dass das<br />
verwendete <strong>Sign</strong>aturzertifikat in Ordnung ist.<br />
Dies wird unter den Details, also unter dem Tab m<strong>it</strong> dem Namen des <strong>Sign</strong>aturinhabers genauer
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 89<br />
untersucht.<br />
Die Bedeutung der einzelnen Punkte<br />
� Hashwertüberprüfung: Integr<strong>it</strong>ät der Daten<br />
pos<strong>it</strong>iv: Die Daten wurden se<strong>it</strong> der <strong>Sign</strong>atur nicht verändert.<br />
Wird als Zusatzinformation ein Hinweis angezeigt, dass die <strong>Sign</strong>tur als ungeeignet eingestuft wird,<br />
dann bedeutet das, dass für die Berechnung des Hashwertes ein Hashalgor<strong>it</strong>hmus (z.B. SHA-1)<br />
verwendet wurde, der für die Erzeugung qualifizierter <strong>Sign</strong>aturen nicht zulässig ist.<br />
negativ: Die Hashwerte stimmen nicht überein, die Daten wurden möglicherweise verändert.<br />
� Prüfung von <strong>Sign</strong>atur und Zertifizierungspfad: Beschädigung der <strong>Sign</strong>atur und Vollständigke<strong>it</strong> des<br />
Zertifizierungspfades<br />
Wird als Zusatzinformation ein Hinweis angezeigt, dass die verwendeten <strong>Sign</strong>aturparameter als<br />
ungeeignet eingestuft werden, dann bedeutet das, dass entweder für die Berechnung des Hashwertes<br />
ein Hashalgor<strong>it</strong>hmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung qualifizierter <strong>Sign</strong>aturen<br />
nicht zulässig ist oder die verwendeten Schlüssel nicht die erfolderlich Länge größer als 1024 B<strong>it</strong><br />
besaßen.<br />
� Ze<strong>it</strong>punkt der <strong>Sign</strong>aturerzeugung: Hier wird die Ze<strong>it</strong> angegeben, die auf dem Rechner zur<br />
<strong>Sign</strong>aturerzeugung eingestellt war.<br />
� Vertrauensbasis: Zeigt die Quelle für das Wurzel- bzw. Rootzertifikat an, auf der die Prüfung des<br />
Zertifikats beruht. We<strong>it</strong>erhin wird der für die <strong>Sign</strong>aturprüfung verwendete Algor<strong>it</strong>hmenkatalog<br />
angezeigt.<br />
� Zertifikatsstatus: Sperrung der <strong>Sign</strong>atur. Anhand von Sperrlisten wird geprüft, ob das Zertifikat
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 90<br />
gesperrt wurde. Wenn hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von<br />
aktuellen Sperrlisten oder eine Online-Prüfung über den Button Onlinestatus...<br />
Über den Button Button Details, Auswahl des Zertifikats und wiederum Anklicken des Buttons Details<br />
können Sie sich die Zertifikatseigenschaften anzeigen lassen.<br />
Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt werden.<br />
Nach einem Klick auf Onlinestatus... wird die OCSP-Abfrage geöffnet. Für die Prüfung muss eine<br />
Verbindung m<strong>it</strong> dem Internet bestehen.<br />
Der Status wird automatisch erm<strong>it</strong>telt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt<br />
oder unbekannt.<br />
Wenn Sie auf den Button Details klicken, können Sie sich die Details zur OCSP-Abfrage anzeigen<br />
lassen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 91<br />
Wenn Sie unter dem Register Zusammenfassung auf den Button <strong>Sign</strong>atur-Zertifikat anzeigen klicken,<br />
können Sie die Details des Zertifikatspfades nachvollziehen.<br />
Um die Quelle der OCSP Antwort zu prüfen, sollten Sie immer das Zertifikat, welches die OCSP<br />
Antwort unterzeichnet hat, anzeigen lassen. Sie müssen selbst entscheiden, ob Sie dem Zertifikat<br />
vertrauen.<br />
Unter dem Register OCSP Details werden Ihnen we<strong>it</strong>ere Detailinformationen zu der OCSP Antwort<br />
angezeigt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 92<br />
Hinweis: Auch wenn Sie in regelmäßigen Abständen die aktuellen Sperrlisten der<br />
Zertifikatsherausgeber beziehen, sollten Sie auf jeden Fall immer eine OCSP Abfrage durchführen.<br />
Lassen Sie sich das Zertifikat der OCSP Antwort anzeigen und entscheiden Sie selbst, ob Sie diesem<br />
vertrauen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 93<br />
Arbe<strong>it</strong>en m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool<br />
Das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool ist ein Programm zur Überprüfung der Hash-Werte an den<br />
ausgelieferten sicherhe<strong>it</strong>srelevanten Modulen und stellt som<strong>it</strong> sicher, dass sich die Module noch in<br />
dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden.<br />
Das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool sollte grundsätzlich über die Internetse<strong>it</strong>e<br />
www.openlim<strong>it</strong>.com/integr<strong>it</strong>ytool/index.htm oder https://www.s-trust.de/sign-<strong>it</strong>/sicherhe<strong>it</strong> oder die<br />
Original CD gestartet werden.<br />
In dem Fall, dass Sie das Produkt über einen Download erhalten und installiert haben, sollten Sie,<br />
bevor Sie das Produkt zum ersten Mal einsetzen, das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool ausführen, um<br />
die Korrekthe<strong>it</strong> der Installation zu verifizieren.<br />
Stellt das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool fest, dass die Module sich nicht mehr in ihrem<br />
Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher sollten<br />
Sie jedoch m<strong>it</strong> einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen<br />
wurde oder ein anderes Programm Ihren Rechner manipuliert hat.<br />
� Starten Sie die HTML-Se<strong>it</strong>e index.htm von der Original CD oder über die Internetse<strong>it</strong>e<br />
https://www.s-trust.de/sign-<strong>it</strong>/sicherhe<strong>it</strong>. Die Java Virtual Machine (JVM) überprüft daraufhin die<br />
<strong>Sign</strong>atur des Applets und öffnet einen Dialog m<strong>it</strong> Sicherhe<strong>it</strong>shinweisen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 94<br />
Den Fingerabdruck des <strong>Sign</strong>aturzertifikates für das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool finden Sie in dieser<br />
Benutzerdokumentation unter S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool.<br />
Zur Sicherhe<strong>it</strong> sollten Sie immer die <strong>Sign</strong>atur des Applets über den Befehl "Mehr Details" prüfen und<br />
erst dann den Start des Applets selbst freigeben.<br />
Nach Anklicken des Button Zertifikatsdetails werden die Informationen zu dem Zertifikat einschließlich<br />
der Seriennummer angezeigt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 95<br />
� In dem folgenden Fenster finden Sie im Feld 'Installationsverzeichnis' den Pfad für die S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Programminstallation. Falls dieser nicht automatisch gefunden wurde bzw. nicht korrekt<br />
angezeigt wird, stellen Sie b<strong>it</strong>te den Pfad über den Button 'Suchen' oder 'manuell eingeben'<br />
entsprechend ein.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 96<br />
� Gleichze<strong>it</strong>ig haben Sie die Möglichke<strong>it</strong>, über den Button Sprachauswahl die Sprache einzustellen.<br />
Das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool wird in deutsch und englisch bere<strong>it</strong>gestellt.<br />
� Standardmäßig erm<strong>it</strong>telt das Java-Applet beim Start das Installationsverzeichnis. Wird kein<br />
Installationspfad angezeigt, dann müssen Sie den Installationspfad manuell auswählen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 97<br />
Hinweis: Geben Sie die Installationspfade der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 nicht im Netzwerk für andere Benutzer frei.<br />
Nach Anklicken des Button Prüfung starten wird das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool gestartet.<br />
Sind die Dateien und deren Hash-Werte in Ordnung, wird Ihnen das folgende Ergebnisfenster<br />
angezeigt:<br />
Ist der Dateistatus für alle Dateien OK, so ist die Integr<strong>it</strong>ät der Software erfolgreich nachgewiesen.<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 können optional Module enthalten wie<br />
die siq0*.dll, siq1*.dll und siq2*.dll. Diese Module beinhalten die Ansteuerung konkreter
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 98<br />
Kartenterminals. Ist ein Modul vorhanden, dann wird auch jeweils eine Liste der dadurch unterstützten<br />
Kartenterminals angezeigt:<br />
siq0rsct.dll<br />
� Reiner SCT cyberJack e-com v2.0<br />
� Reiner SCT cyberJack e-com v3.0<br />
� Reiner SCT cyberJack pinpad v2.0<br />
� Reiner SCT cyberJack pinpad v3.0<br />
� Reiner SCT cyberJack e-com plus v3.0<br />
� Reiner SCT secoder v3.0<br />
siq0scmm.dll<br />
� SCM Microsystems SPRx32/Chipdrive PinPad<br />
siq0ok.dll<br />
� Omnikey Cardman 3621<br />
� Omnikey Cardman 3821<br />
siq0kby.dll (PC/SC) oder siq0kbyct.dll (CT-API)<br />
� Kobil Systems B1 Pro<br />
� Kobil KAAN Advanced<br />
� Kobil KAAN TriB@nk<br />
siq0chy.dll<br />
� Cherry ST-2000<br />
siq0fsc.dll<br />
� Fuj<strong>it</strong>su Siemens S26381-K329-V2xx HOS:01<br />
Chipkartenbetriebssysteme und Chipkarten<br />
� sq1seccos.dll unterstützt das SECCOS Chipkartenbetriebssystem<br />
Chipkarten-OS Chipkartenprofil Chipkartenname im Produkt<br />
siq1seccos.dll siq2ds2.dll Alle Karten des Sparkassenverlags<br />
Die Datei OpenLim<strong>it</strong><strong>Sign</strong>ingCeremony.ifx steuert die Zusammenarbe<strong>it</strong> zwischen den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 und dem IBM Lotus Forms <strong>Viewer</strong>. Der erfolgreiche<br />
Integr<strong>it</strong>ätscheck dieses Moduls wird durch die Meldung „Das Plugin für IBM Lotus Forms <strong>Viewer</strong> ist<br />
installiert“ bestätigt.<br />
Das Fehlen eines oder mehrerer dieser Module wird durch den Status Nicht installiert ausgewiesen.<br />
Die Integr<strong>it</strong>ät der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 ist trotzdem sichergestellt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 99<br />
Ab Version 2.5.1.1 bietet das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool dem Anwender die Möglichke<strong>it</strong>,<br />
Konfigurationen für Chipkarten zusätzlich einzuspielen. Diese Konfiguration sind<br />
In<strong>it</strong>ialisierungsdateien, die festlegen, welcher Hash- und <strong>Sign</strong>aturalgor<strong>it</strong>hmus für die jeweilige<br />
<strong>Sign</strong>aturkarte verwendet wird.<br />
Das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool kennt alle möglichen Konfigurationen für die <strong>Sign</strong>aturalgor<strong>it</strong>hmen<br />
und prüft bei der Integr<strong>it</strong>ätsprüfung auch die verwendeten Algor<strong>it</strong>hmen. Wird eine Kartenkonfiguration<br />
gefunden, die nicht den Vorgaben der Bundesnetzagentur entspricht, wird eine Warnung an den<br />
Benutzer generiert und angezeigt. Wird eine Konfigurationsdatei gefunden, die unbekannt ist, wird<br />
dieser Zustand dem Benutzer angezeigt.<br />
Beispiel 1:<br />
Es wird zu dem Modul siq2ds2.dll eine In<strong>it</strong>ialisierungsdatei siq2ds2.ini gefunden. Das Integr<strong>it</strong>y Tool<br />
bildet den Hashwert über die In<strong>it</strong>ialisierungsdatei und stellt dabei fest, dass diese Datei festlegt, dass<br />
die SECCOS Karten m<strong>it</strong> SHA-1 als Hashwert signieren sollen. In diesem Falle wird durch das Integr<strong>it</strong>y<br />
Tool der folgende Text generiert: „Das Modul ist so konfiguriert, dass SHA-1 als Hashalgor<strong>it</strong>hmus bei<br />
der <strong>Sign</strong>atur zugelassen ist. B<strong>it</strong>te prüfen Sie auf der Webse<strong>it</strong>e der Bundesnetzagentur<br />
(http://www.bundesnetzagentur.de), ob m<strong>it</strong> dieser Konfiguration die Anforderungen an die qualifizierte<br />
<strong>Sign</strong>atur erfüllt werden.“<br />
Beispiel 2:<br />
Es wird zu dem Modul siq2ds2.dll eine In<strong>it</strong>ialisierungsdatei siq2ds2.ini gefunden. Das Integr<strong>it</strong>y Tool<br />
bildet den Hashwert über die In<strong>it</strong>ialisierungsdatei und stellt dabei fest, dass diese Datei festlegt, dass<br />
die SECCOS Karten m<strong>it</strong> SHA-256 als Hashwert signieren sollen. In diesem Fall wird durch das<br />
Integr<strong>it</strong>y Tool der folgende Text generiert: „Das Modul ist so konfiguriert, dass SHA-256 als<br />
Hashalgor<strong>it</strong>hmus bei der <strong>Sign</strong>atur verwendet wird.“<br />
Hinweis: Die Sprachressourcen der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 sind in<br />
der deuSEMk.dll bzw. der engSEMk.dll gespeichert. Mindestens eine der beiden Dateien muss<br />
vorhanden sein, ansonsten wird die Integr<strong>it</strong>ät der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 nicht bestätigt. Für die jeweilige Sprachressource müssen auch die dazugehörige Hilfe und der<br />
<strong>Viewer</strong> vorhanden sein, ansonsten wird die Integr<strong>it</strong>ät ebenfalls nicht bestätigt.<br />
Nach Bestätigung des Informationsfensters m<strong>it</strong> OK erhalten Sie die Liste der Dateien, die geprüft<br />
wurden und den Dateistatus angezeigt.<br />
Folgende Dateizustände werden unterschieden:<br />
� OK: Die Prüfung des Hashwertes ist pos<strong>it</strong>iv, d.h. die Datei entspricht der Originalinstallation.<br />
� Unbekannt: Das ist der Ausgangsstatus für alle Dateien vor der Prüfung. Dieser Status wird auch<br />
angezeigt, wenn keine Prüfung möglich ist.<br />
� Datei verändert: Die Datei wurde nach der Installation verändert.<br />
� Datei nicht gefunden: Die Datei wurde nicht gefunden.<br />
� Datei nicht lesbar: Die Datei ist nicht lesbar und der Hashwert konnte nicht berechnet werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 100<br />
� Nicht installiert: Dieser Status trifft nur für die optionalen Module zu, falls diese nicht installiert<br />
sind.<br />
Nach Anklicken des Button Speichern haben Sie die Möglichke<strong>it</strong>, das Ergebnis der Prüfung zu<br />
speichern.<br />
� Schließen Sie das Browserfenster, um den Prüfprozess zu beenden.<br />
Wurden Dateien bzw. <strong>Sign</strong>aturen manipuliert, sind nicht vorhanden bzw. konnten nicht gelesen<br />
werden, teilt Ihnen das Programm dies m<strong>it</strong> einer entsprechenden Meldung m<strong>it</strong>. Die Integr<strong>it</strong>ät ist dam<strong>it</strong><br />
nicht bestätigt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 101<br />
Hinweis: Im Falle von Abweichungen vom Originalzustand der Installation müssen Sie den Rechner<br />
auf sicherhe<strong>it</strong>stechnische Veränderungen und Eingriffe prüfen.<br />
Es wird empfohlen, dass Sie in diesem Falle die Software m<strong>it</strong> Hilfe des Installationsprogrammes<br />
deinstallieren und erneut installieren. Falls die Verifikation des Zertifikates durch die JVM fehlschlägt<br />
oder andere Dialoge als die abgebildeten angezeigt werden, insbesondere wenn eine andere<br />
Seriennummer für das <strong>Sign</strong>aturzertifikat angezeigt wird, wird nicht das korrekte Prüfprogramm<br />
ausgeführt. In diesem Falle dürfen Sie sich nicht auf die Statusaussagen des Tools verlassen und<br />
müssen Ihre Installation der JVM sowie die URL, von der Sie das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool<br />
bezogen haben, m<strong>it</strong> den Angaben im Handbuch vergleichen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 102<br />
Sperrlistenaktualisierung<br />
Die Sperrlistenaktualisierung ist ein Zusatzmodul zu den bestätigten Basiskomponenten und kann aus<br />
dem Menü des Secur<strong>it</strong>y Environment Managers gestartet werden. Im we<strong>it</strong>eren Verlauf wird dieses<br />
Zusatzprogramm als S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Sperrlistenaktualisierungsassistent bezeichnet.<br />
Der folgende Abschn<strong>it</strong>t beschreibt die Benutzung des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Sperrlistenaktualisierungsassistenten im Detail. Etwaige Fehlermeldungen des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Sperrlistenaktualisierungsassistenten sind im Kap<strong>it</strong>el Fehlermeldungen S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
Environment Manager enthalten.<br />
Um eine sichere <strong>Sign</strong>aturprüfung zu gewährleisten, sollten Sie vor der <strong>Sign</strong>aturprüfung die aktuellsten<br />
Sicherhe<strong>it</strong>sdateien herunterladen. Diese Sicherhe<strong>it</strong>sdateien bestehen hauptsächlich aus Sperrlisten,<br />
aber auch die Public Key Directories der Bundesnetzagentur für Elektriz<strong>it</strong>ät, Gas, Telekommunikation,<br />
Post und Eisenbahnen (Bundesnetzagentur) sollten in regelmäßigen Abständen aktualisiert werden.<br />
Sie haben als Benutzer die Möglichke<strong>it</strong>, auszuwählen, welche Sperrlisten heruntergeladen werden<br />
sollen. Sie können am Wurzelzertifikat der geprüften <strong>Sign</strong>atur erkennen, welche Sperrliste Sie<br />
verwenden müssen, um die <strong>Sign</strong>atur korrekt zu prüfen. Als Arbe<strong>it</strong>sschr<strong>it</strong>t empfiehlt es sich aber immer,<br />
vor der eigentlichen <strong>Sign</strong>aturprüfung stets alle Sperrlisten herunterzuladen, da Sie im Regelfall nicht<br />
wissen, von welchem Zertifikat die zu prüfende <strong>Sign</strong>atur erzeugt wurde und wie das zugehörige<br />
Herausgeberzertifikat lautet.<br />
So laden Sie eine aktuelle Sperrliste herunter:<br />
� Klicken Sie auf das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Icon in der Taskleiste.<br />
� Wählen Sie den Menüpunkt Sperrlistenaktualisierung.<br />
� Daraufhin öffnet sich der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Sperrlistenaktualisierungsassistent m<strong>it</strong> einer Startse<strong>it</strong>e,<br />
die Sie m<strong>it</strong> We<strong>it</strong>er bestätigen können.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 103<br />
� Wählen Sie aus der Liste m<strong>it</strong> einem Klick in die Checkboxen die gewünschten Sicherhe<strong>it</strong>sdateien<br />
aus.<br />
� Durch Aktivieren der Checkbox Aktuelle Vertrauenslisten laden werden we<strong>it</strong>ere aktuelle<br />
Vertrauenslisten geladen. Dies bedeutet, dass m<strong>it</strong> Aktivierung dieser Option auch neue CA's in die<br />
Vertrauenslisten aufgenommen werden können. Vertrauenslisten für akkred<strong>it</strong>ierte<br />
Zertifizierungsdiensteanbieter werden nicht aktualisiert. Der Download der neuen Vertrauenslisten<br />
erfolgt von den Servern der OPENLiMiT oder des DSV.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 104<br />
� Klicken Sie jetzt auf We<strong>it</strong>er<br />
� Wenn Sie jetzt auf Starten klicken, werden die aufgelisteten Dateien aktualisiert. M<strong>it</strong> einem Klick<br />
auf Zurück können Sie die Auswahl noch einmal ändern.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 105<br />
Der Dateistatus gibt an, wie we<strong>it</strong> der Download der jeweiligen Datei fortgeschr<strong>it</strong>ten ist. Am Ende wird<br />
eine Liste m<strong>it</strong> Ergebnissen erstellt.<br />
� Klicken Sie auf Fertig stellen.<br />
Hinweis: Um diese Dateien zu aktualisieren, benötigen Sie eine Internetverbindung. Konnte die<br />
Verbindung nicht hergestellt werden, wird als Statusmeldung 'Fehler beim Download' angezeigt.<br />
Aktuelle Sperrlisten sind notwendig um eine erfolgreiche <strong>Sign</strong>aturprüfung vornehmen zu können.<br />
Wenn sie die Sperrlisten nicht aktualisieren, können Sie auch keine <strong>Sign</strong>aturen bzw. das verwendete<br />
<strong>Sign</strong>aturzertifikat und die Zertifikatskette als gültig verifizieren.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 106<br />
Arbe<strong>it</strong>en m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong><br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> kann aus dem <strong>Sign</strong>aturanforderungsdialog und bei der <strong>Sign</strong>aturprüfung<br />
(PKCS#7 Dateien) jeweils über den Button Daten anzeigen gestartet werden, vorausgesetzt es<br />
handelt sich um Daten im PDF, TIFF oder TXT Format und die Anzeige dieser Dateiformate wurde<br />
durch einen entsprechenden Lizenzcode freigeschaltet. In diesem Fall werden Ihnen die Daten, die<br />
Sie signieren bzw. deren <strong>Sign</strong>atur Sie prüfen wollen, angezeigt. Die Schaltflächen zur<br />
<strong>Sign</strong>aturerzeugung und <strong>Sign</strong>aturverifikation sind nicht aktiv.<br />
Darüber hinaus kann der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> als separates Programm über Start - Programme -<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> - S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> gestartet werden. Beim Start über den Programmordner<br />
wird das Programm ohne Datei geöffnet.<br />
Nachdem eine Datei geöffnet wurde, sehen Sie im linken Bereich der Anzeige unter dem S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Logo eine Dateivorschau, welche Ihnen die einzelnen Se<strong>it</strong>en des Dokuments m<strong>it</strong> der<br />
Se<strong>it</strong>ennummer anzeigt. M<strong>it</strong> einem Klick auf die jeweilige Vorschause<strong>it</strong>e springt die Se<strong>it</strong>enansicht im<br />
rechten Bereich der Anwendung auf die angewählte Se<strong>it</strong>e. Im dargestellten Beispiel umfasst die TIFF<br />
Datei nur eine Se<strong>it</strong>e.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 107<br />
Nach Anklicken des Registers Unterschriften erhalten Sie Detailinformationen zu der bzw. den<br />
<strong>Sign</strong>aturen der Datei. Ist die Datei nicht signiert, wird der Hinweis „Das Dokument ist nicht dig<strong>it</strong>al<br />
signiert“ angezeigt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 108<br />
Die Erläuterung zu den Detailinformationen finden Sie in dem Abschn<strong>it</strong>t<br />
<strong>Sign</strong>aturverifikation.<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> stellt Ihnen die folgenden Toolbars zur Verfügung.<br />
Die Toolbar Standard:<br />
Die folgenden Funktionen können über diese Toolbar angesprochen werden:<br />
� Datei öffnen: Hier können Sie eine TIFF oder Textdatei in die Ansicht laden.<br />
� Datei speichern unter: Hier können Sie die Datei unter einem beliebigen Namen speichern.<br />
� Se<strong>it</strong>enansicht: Es wird eine Druckvorschau generiert.<br />
� Drucken: Hier können Sie die Datei ausdrucken.<br />
� Dateiinhalt: Es werden in Abhängigke<strong>it</strong> von dem geöffneten Dateiformat we<strong>it</strong>ere Dateiinhalte<br />
angezeigt.<br />
� Info: Es werden die Versionsinformation und die Copyright Informationen angezeigt.<br />
� Hilfe: Es wird die Benutzerdokumentation (dieses Handbuch) geöffnet
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 109<br />
Die Toolbar Ansicht:<br />
Diese Toolbar ist nur bei TIFF Dateien aktiv. Textdateien werden immer im Verhältnis 1:1 dargestellt.<br />
� Bre<strong>it</strong>e anpassen: Das dargestellte Bild wird an die Bre<strong>it</strong>e des Fensters angepasst.<br />
� Alles darstellen: Das dargestellte Bild wird so in das Fenster eingepasst, dass die gesamte Se<strong>it</strong>e<br />
in dem Fenster dargestellt wird.<br />
� Pixelgenau darstellen: Das Bild wird 1:1 pixelgenau dargestellt.<br />
� Benutzerdefiniert darstellen: Es erscheint ein Dialog, der Ihnen die Auswahl eines<br />
Zoomverhältnisses zwischen 10% und 300% ermöglicht.<br />
� Schwarz/Weiß Darstellung: Sie haben hier die Möglichke<strong>it</strong>, ein TIFF-Dokument, welches als Farb-<br />
oder Graustufendarstellung vorliegt, in eine Schwarz/Weiß Darstellung zu transformieren.<br />
� Graustufendarstellung: Das aktuelle TIFF-Dokument wird in Graustufen dargestellt.<br />
� Originaldarstellung: Wenn Sie von der Option zur Schwarz/Weiß Darstellung oder der<br />
Graustufendarstellung Gebrauch gemacht haben, kommen Sie hier wieder zur Originalansicht.<br />
Die Toolbar <strong>Sign</strong>atur:<br />
Diese Toolbar ist nur dann aktiv, wenn das Programm nicht aus dem <strong>Sign</strong>aturanforderungsdialog<br />
gestartet wurde.<br />
� <strong>Sign</strong>atur erzeugen: Hier können Sie über den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager die<br />
angezeigte Datei elektronisch signieren.<br />
� <strong>Sign</strong>atur prüfen: Hier können Sie über den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager eine<br />
Prüfung der elektronischen <strong>Sign</strong>atur vornehmen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 110<br />
In Abhängigke<strong>it</strong> von den zur Verfügung stehenden Funktional<strong>it</strong>äten können Buttons für we<strong>it</strong>ere<br />
Anwendungen angezeigt werden wie z.B. dem Mailversand.<br />
Hinweise für den Umgang m<strong>it</strong> Meldungen während der Dokumentanalyse<br />
Wenn ein Dokument durch den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> geöffnet werden soll, untersucht der S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> dieses Dokument nach versteckten Inhalten. Der folgende Abschn<strong>it</strong>t zeigt<br />
Ihnen, wie Sie m<strong>it</strong> einer solchen Meldung umgehen können.<br />
Wenn Sie eine TIFF - Datei in den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> laden, kann die folgende Meldung<br />
erscheinen.<br />
Diese Meldung bedeutet, dass die TIFF Datei zwar inhaltlich korrekt ist, aber Datenfelder enthält, die<br />
in der Darstellung nicht angezeigt werden. Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> gibt Ihnen die Möglichke<strong>it</strong>,<br />
diese Datenbereiche ebenfalls zu untersuchen. Um diese Bereiche zu untersuchen, klicken Sie auf:<br />
� das Symbol für we<strong>it</strong>ere Dateiinhalte in der Toolbar<br />
� oder den Menüpunkt Ansicht - we<strong>it</strong>ere Dateiinhalte...
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 111<br />
Ihnen wird dann ein Dialog angezeigt, der Ihnen sämtliche Informationen zu den angezeigten<br />
Dateiinhalten liefert.<br />
Sie können sich z.B. in einer TIFF-Datei alle Tags, nur Text Tags oder auch nur die unbekannten Tags<br />
anzeigen lassen. In dem unteren Fenster wird dieser Bereich dann Hexadezimal kodiert dargestellt<br />
bzw. Sie können die Darstellung auch auf Dezimalzahlen umschalten. Wenn Sie den Scrollbalken des<br />
Fensters nach unten bewegen, sehen Sie einen Bereich, in dem versucht wird, die enthaltenen<br />
Informationen als Text darzustellen. Dies gibt Ihnen die Möglichke<strong>it</strong>, verborgene Inhalte zu erkennen<br />
und z.B. zu entscheiden, ob Sie die Datei trotz dieser Inhalte signieren möchten. Häufig enthalten<br />
TIFF-Dateien noch Zusatzinformationen, wie einen Autor. Diese Informationen werden in der<br />
Bildverarbe<strong>it</strong>ung oft nicht m<strong>it</strong> dargestellt. M<strong>it</strong> der Analyse durch den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> haben<br />
Sie trotz allem noch die Möglichke<strong>it</strong>, auch diese verborgenen Inhalte zu betrachten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 112<br />
Hinweis: Die Untersuchung der verwendeten TIFF-Dateien richtet sich an der Adobe TIFF-<br />
Spezifikation 6.0 aus. Wenn TIFF-Dateien verwendet werden, die nicht dieser Spezifikation<br />
entsprechen, kann das gelieferte Produkt diese Dateien nicht analysieren und korrekt als TIFF Datei<br />
erkennen.<br />
Die Regeln für die Erkennung von Textdokumenten sind im Abschn<strong>it</strong>t Sicherhe<strong>it</strong>skomponenten der<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5 beschrieben.<br />
Untersuchung von TIFF-Dokumenten in der Schwarz-Weiß Darstellung<br />
Das folgende Beispiel erklärt Ihnen, wie Sie versteckte Inhalte in TIFF-Dokumenten erkennen können,<br />
die auf Grund unzureichender Kontrastierung in der Ansicht nicht erscheinen. Sie laden eine Grafik m<strong>it</strong><br />
dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong>, die im ersten Schr<strong>it</strong>t wie folgt dargestellt wird.<br />
Im nächsten Schr<strong>it</strong>t sollten Sie grundsätzlich eine Untersuchung der dargestellten Grafik vornehmen,<br />
da auf Grund zu geringer Farbkontraste enthaltene Informationen bei der Darstellung am Mon<strong>it</strong>or<br />
verloren gehen können. Sie klicken auf den Knopf zur Schwarz/Weiß Darstellung und sehen den<br />
folgenden Dialog.<br />
Sie können nahtlos die Einstellung festlegen, ab welchem Punkt die Farbwerte der Farbe Schwarz<br />
zugeordnet werden. Sie bewegen den Schieberegler bis auf eine volle Schwarz-Weiß Darstellung und
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 113<br />
können som<strong>it</strong> den Inhalt der Datei nun genauer untersuchen. Dam<strong>it</strong> haben Sie grundsätzlich die<br />
Möglichke<strong>it</strong>, jede farbige Grafik auf verdeckte Inhalte hin zu untersuchen. Nachdem Sie die<br />
Einstellungen vorgenommen haben, klicken Sie auf OK. In der folgenden Darstellung erkennen Sie<br />
nun den Inhalt, der auf Grund der unzureichenden Farbkontraste des Mon<strong>it</strong>ors sonst nicht sichtbar<br />
gewesen wäre.<br />
Sie haben m<strong>it</strong> Hilfe des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong>s den versteckten Inhalt entdeckt und sollten von der<br />
Erzeugung einer elektronischen <strong>Sign</strong>atur absehen.<br />
Grundsätzlicher Hinweis: Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> kann Sie nicht von der Interpretation der<br />
angezeigten Daten befreien. Das TIFF Format ist kein Dateiformat, welches eine Interpretation des<br />
dargestellten Inhaltes durch ein Programm wie den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> zulässt. Die<br />
Untersuchung der Daten auf versteckte Inhalte wird Ihnen durch diesen Produktbestandteil ermöglicht,<br />
allerdings müssen Sie selbst solche Untersuchungen m<strong>it</strong> Hilfe der vorhandenen Mechanismen<br />
vornehmen. Das TIFF-Format sieht die Verwendung bestimmter Kompressionsformate innerhalb einer<br />
TIFF-Datei vor. Die sichere Anzeigeeinhe<strong>it</strong> erkennt nicht alle Kompressionsformate und kann daher<br />
auch nicht alle Kompressionsformate anzeigen. In diesem Falle wird die Textmeldung angezeigt: 'Das<br />
Format der Datei ist nicht geeignet'.<br />
Um Inhalte, wie Sie in dem obigen Szenario erläutert wurden, sicher zu erkennen, müssen Sie<br />
bei farbigen TIFF-Dokumenten immer eine Analyse in der Schwarz/Weiß Darstellung<br />
vornehmen. Sie könnten sonst ein Dokument signieren, welches Sie in seinem Inhalt nicht<br />
bere<strong>it</strong> wären, zu signieren.<br />
Hinweis bei der Analyse von Text-Dateien: Bei der Analyse von Textdokumenten kann der S-
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 114<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> melden, dass Zeichen erkannt wurden, für die keine eindeutige Darstellung<br />
definiert ist. Das bedeutet, dass Zeichen erkannt wurden, die sowohl im OEM Schriftsatz als auch im<br />
ANSI Schriftsatz eine unterschiedliche Bedeutung haben.<br />
Wenn Sie sich nicht sicher sind, ob dadurch der Inhalt eines Textdokuments verfälscht wird, können<br />
Sie sich ebenfalls unter Ansicht - We<strong>it</strong>ere Dateiinhalte... oder über das Symbol in der Toolbar Klarhe<strong>it</strong><br />
verschaffen. Die folgende Grafik zeigt, wie die Analyse solcher mehrfach belegten Zeichen im Detail<br />
dargestellt wird.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 115<br />
Ihnen wird angezeigt, welche Zeichen wie oft erkannt wurden. Wenn Sie auf ein Zeichen in der Liste<br />
klicken, wird Ihnen zu jedem Vorkommen des Zeichens angezeigt, in welcher Zeile und Spalte des<br />
Dokuments dieses Zeichen gefunden wurde. So können Sie sich Klarhe<strong>it</strong> verschaffen, ob das<br />
Dokument immer noch den Inhalt hat, den Sie auch bere<strong>it</strong> sind, zu signieren.<br />
Die Regeln für die Erkennung von Textdokumenten sind im Abschn<strong>it</strong>t Sicherhe<strong>it</strong>skomponenten der<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5 beschrieben.<br />
Bei dem Öffnen einer PDF Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> kann der folgende Hinweis<br />
auftreten:<br />
Dam<strong>it</strong> werden Sie darauf hingewiesen, dass in der PDF Datei Java Scripte enthalten sind. Diese<br />
werden in dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> nicht ausgeführt. In dem darauf folgenden Fenster erhalten<br />
Sie den Hinweis auf "We<strong>it</strong>ere Dateiinhalte", die Sie sich über Ansicht We<strong>it</strong>ere Dateiinhalte ansehen<br />
können.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 116<br />
Unter Ansicht - We<strong>it</strong>ere Dateiinhalte... oder über das Symbol in der Toolbar haben Sie die Möglichke<strong>it</strong>,<br />
sich we<strong>it</strong>ere Dateiinhalte zu dem geöffneten PDF Dokument anzeigen zu lassen:<br />
Allgemein: Es werden Ihnen in zusammengefasster Form die wichtigsten Dateiinhalte aufgelistet.<br />
Bilder: Zeigt an, welche Bilder auf welcher Se<strong>it</strong>e zu finden sind.<br />
Java Script: Gibt Ihnen eine Auflistung der in dem PDF enthaltenen Java Scripte und dazu we<strong>it</strong>ere
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 117<br />
Detailinformationen.<br />
Kommentare: Es werden die Kommentare des PDF m<strong>it</strong> ihrer Pos<strong>it</strong>ion aufgelistet.<br />
Alle Texte: Unter diesem Register werden alle in dem PDF enthaltenen Texte getrennt nach den<br />
einzelnen Se<strong>it</strong>en dargestellt.<br />
<strong>Viewer</strong> Meldungen: In diesem Register werden Ihnen we<strong>it</strong>ere Prüfdetails als Hinweis angezeigt.<br />
Schriften: Es werden die in dem PDF verwendeten Schriftarten aufgezeigt.<br />
Annotationen: Es werden Zusatzinformationen zu in dem PDF enthaltenen Formularfeldern angezeigt.<br />
Wählen Sie das Register Allgemein erhalten Sie solche Informationen zu dem PDF wie Dateiname,<br />
enthaltene Java Scripte sowie Bilder und die Kopfdaten des PDF angezeigt.<br />
Wählen Sie in dem Register Bilder ein Bild aus und klicken die Schaltfläche Zeigen an, erhalten Sie<br />
eine Liste aller in dem PDF enthaltenen Bilder, die Sie sich fortlaufend anzeigen lassen können.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 118<br />
Die in der PDF Datei enthaltenen Java Scripte werden Ihnen unter dem Register Java Script<br />
angezeigt:
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 119<br />
Über das Register Alle Texte werden die in der PDF Datei enthaltenen Texte getrennt nach den<br />
einzelnen Se<strong>it</strong>en zusammengefasst.<br />
Nach Klicken auf die Schaltfläche Zeigen erhalten Sie die Textinformation in dem<br />
Textextraktionsdialog übersichtlich angezeigt:
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 120<br />
Unter dem Register <strong>Viewer</strong> Meldungen werden Ihnen we<strong>it</strong>ere Detailinformationen angezeigt, die sich<br />
aus der Prüfung der Daten.bei der Erstellung der Ansicht im <strong>Viewer</strong> ergeben haben.<br />
Hinweis: Achten Sie darauf, welche Fonts vom <strong>Viewer</strong> zur Darstellung der Texte verwendet werden.<br />
Es ist möglich, dass bei der Erzeugung des PDF Dokuments Fonts verwendet wurden, die auf Ihrem<br />
Betriebssystem nicht installiert sind. In diesem Falle muss der <strong>Viewer</strong> diese Fonts durch andere,<br />
ähnliche Fonts ersetzen. Verwenden Sie zur Prüfung von Texten immer den Text-Extraktionsdialog<br />
(Registerkarte: Alle Texte, Button: Anzeigen) um sich über den dargestellten Text zu vergewissern.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 121<br />
Unter dem Register Schriften werden Ihnen die in der PDF Datei verwendeten Schriftarten angezeigt<br />
m<strong>it</strong> der Information, ob diese Schriftart in der Datei eingebettet ist oder vom Betriebssystem zugeladen<br />
wird.<br />
Unter dem Register 'Annotationen' werden Ihnen we<strong>it</strong>ere Zusatzinformationen angezeigt, die in der<br />
PDF Datei Formularfeldern hinzugefügt sind.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 122<br />
Hinweis: Verschiedene Grafik-Programme bieten die Möglichke<strong>it</strong>, Vektor Grafiken zu erstellen und<br />
diese in ein PDF Dokument einzubetten. Der <strong>Viewer</strong> bietet nicht die Möglichke<strong>it</strong>, solche Vektor<br />
Grafiken (oder auch sogenannte Splines) zu extrahieren und separat darzustellen oder zu<br />
untersuchen. Wenn Sie ein PDF Dokument m<strong>it</strong> Text signieren wollen, vergewissern Sie sich vorab<br />
immer über den Text-Extraktionsdialog über den vorhandenen Text. Wenn in diesem Dialog nicht der<br />
gesamte Text erscheint, der vermeintlich in dem PDF Dokument vorhanden ist, ist dieser fehlende<br />
Text eine Vektorgrafik. Solche Dokumente sollten Sie auf keinen Fall signieren!<br />
Hinweis: Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> ist in der Lage, PDF, TIFF und Textdokumente darzustellen.<br />
Die PDF Dokumente entsprechen der PDF 1.7 Spezifikation. Die Abweichungen von dieser<br />
Spezifikation wurden bere<strong>it</strong>s im Kap<strong>it</strong>el Sicherhe<strong>it</strong>skomponenten der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5 aufgeführt. Das TIFF Dokument kann eine mehrse<strong>it</strong>ige TIFF Datei<br />
(Multipage-TIFF) sein. TXT Dokumente müssen den Regeln für Textdokumente entsprechen. Diese<br />
Syntaxprüfung ist auch bei Dokumenten im Rich Text Format (RTF) oder bei HTML-Quellcode<br />
erfolgreich. Die generierte Ansicht entspricht dabei immer dem Dokumentquellcode, d.h., eine<br />
Interpretation der Dateiinhalte, wie sie z.B. bei HTML Dokumenten von einem Browser vorgenommen<br />
wird, kann nicht geleistet werden.<br />
Hinweis: Wenn Sie sich nach der Anzeige durch den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> hinsichtlich der<br />
zu signierenden Daten nicht sicher sind, dann sollten Sie diese Daten nicht signieren.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 123<br />
<strong>Sign</strong>aturerzeugung<br />
Das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 bietet Ihnen die Möglichke<strong>it</strong>,<br />
eine qualifizierte <strong>Sign</strong>atur nach dem deutschen <strong>Sign</strong>aturgesetz zu erstellen. Es können aber auch<br />
fortgeschr<strong>it</strong>tene und andere <strong>Sign</strong>aturen erzeugt werden. Im <strong>Sign</strong>aturgesetz werden verschiedene<br />
Anforderungen an eine qualifizierte <strong>Sign</strong>atur gestellt. So muss der Benutzer z.B. die Möglichke<strong>it</strong><br />
haben, die zu signierenden Daten in einer geeigneten Darstellungsform zu betrachten. Diese<br />
Möglichke<strong>it</strong> wird Ihnen in dem Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 über<br />
den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> eingeräumt.<br />
Das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 ist für den Umgang m<strong>it</strong> den im<br />
Kap<strong>it</strong>el Chipkarten aufgelisteten Smartcards bestimmt. Sie müssen bei der <strong>Sign</strong>aturerzeugung immer<br />
darauf achten, dass Sie das richtige Zertifikat für die <strong>Sign</strong>aturerzeugung verwenden.<br />
Es ist technisch ohne we<strong>it</strong>eres möglich, <strong>Sign</strong>aturen m<strong>it</strong> beliebigen Zertifikaten zu erzeugen. Um eine<br />
qualifizierte <strong>Sign</strong>atur zu erzeugen, müssen Sie immer ein Zertifikat verwenden, dessen Eigenschaften<br />
ausdrücklich darauf verweisen, dass es für die Erzeugung unabweisbarer elektronischer <strong>Sign</strong>aturen<br />
vorgesehen ist. Diese Eigenschaften werden Ihnen beim Zertifikatsauswahldialog unter<br />
Verwendungszweck (Zulässige allgemeine Zwecke) angezeigt.<br />
We<strong>it</strong>erhin können Sie sich m<strong>it</strong> einem Klick auf den Button Details ... die Eigenschaften des Zertifikates<br />
im Zertifikatseigenschaftendialog anzeigen lassen.<br />
Die angezeigten Zertifikatseigenschaften sind in der folgenden Abbildung enthalten:
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 124<br />
Klicken Sie auf OK, um diesen Dialog wieder zu schließen. Um eine <strong>Sign</strong>atur zu erzeugen, haben Sie<br />
m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 mehrere Möglichke<strong>it</strong>en. Wenn Sie<br />
z.B. eine <strong>Sign</strong>atur über den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> erzeugen, klicken Sie auf das Symbol '<strong>Sign</strong>atur<br />
erzeugen' oder wählen den entsprechenden Menüpunkt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 125<br />
Anschließend erscheint der <strong>Sign</strong>aturanforderungsdialog:<br />
� Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine <strong>Sign</strong>atur erzeugt.<br />
� Klicken Sie auf <strong>Sign</strong>atur erzeugen, wird eine <strong>Sign</strong>atur erzeugt ohne dass Ihnen we<strong>it</strong>ere<br />
Detailinformationen wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche PIN<br />
angezeigt werden. Es erfolgt sofort die Aufforderung zur PIN Eingabe.<br />
� Klicken Sie auf den Button Details, so erscheint das nachfolegden <strong>Sign</strong>aturanforderungsfenster, in<br />
dem Ihnen we<strong>it</strong>ere Detailinformationen angezeigt werden. Nach dem Sie in diesem Fenster auf<br />
<strong>Sign</strong>atur erzeugen geklickt haben, erscheint die Aufforderung zur PIN Eingabe.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 126<br />
Die folgenden Informationen sind in dem <strong>Sign</strong>aturanforderungsdialog enthalten:<br />
� Anwendung: Enthält den Namen der Anwendung sowie den Pfad der Anwendung. Hier können<br />
Sie jederze<strong>it</strong> erkennen, m<strong>it</strong> welcher Anwendung eine elektronische <strong>Sign</strong>atur erzeugt werden soll.<br />
� Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. M<strong>it</strong> dem Knopf<br />
Zertifikat anzeigen können Sie sich das Zertifikat jederze<strong>it</strong> anzeigen lassen.<br />
� Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der eingelegten Karte<br />
angezeigt.<br />
� Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese Kategorie<br />
sorgfältig, dam<strong>it</strong> Sie bei Karten m<strong>it</strong> mehreren PIN's nicht die falsche PIN eingeben.<br />
� Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an.<br />
� Daten: Zeigt an, welche Datei signiert werden soll. M<strong>it</strong> einem Klick auf den Knopf Daten anzeigen<br />
können Sie wiederum den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> starten, um die Daten zu betrachten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 127<br />
M<strong>it</strong> einem Klick auf den Knopf <strong>Sign</strong>atur erzeugen können Sie jetzt die elektronische <strong>Sign</strong>atur<br />
erzeugen. Beachten Sie b<strong>it</strong>te, dass automatisch die sichere PIN-Eingabe gestartet wird.<br />
In Abhängigke<strong>it</strong> von dem Modul, von dem aus Sie die <strong>Sign</strong>aturerzeugung gestartet haben, kann auch<br />
das folgende <strong>Sign</strong>aturanforderungsfenster angezeigt werden:<br />
Die folgenden Informationen werden in dem <strong>Sign</strong>aturanforderungsdialog angezeigt:<br />
� In diesem Fenster werden Ihnen die zu signierenden Daten als Voransicht angezeigt. Für die<br />
sichere Anzeige über den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> klicken Sie auf den Button Daten anzeigen.<br />
� Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. M<strong>it</strong> dem Knopf<br />
Zertifikat anzeigen können Sie sich das Zertifikat jederze<strong>it</strong> anzeigen lassen.<br />
� Verwendete Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der<br />
eingelegten Karte angezeigt.<br />
� Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese Kategorie<br />
sorgfältig, dam<strong>it</strong> Sie bei Karten m<strong>it</strong> mehreren PIN's nicht die falsche PIN eingeben.<br />
� Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an.<br />
Wenn die Daten signiert wurden, erscheint ein Informationsfenster, welches Ihnen m<strong>it</strong>teilt, dass die<br />
Daten signiert wurden.<br />
Hinweis: Wenn Sie automatisch eine OCSP-Antwort während der <strong>Sign</strong>aturerzeugung einbinden,
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 128<br />
sollten Sie nach der <strong>Sign</strong>aturerstellung die <strong>Sign</strong>atur prüfen und sich die Einzelhe<strong>it</strong>en der OCSP-<br />
Antwort anzeigen lassen. Die Gültigke<strong>it</strong> der OCSP-Antwort wird erst dann auf Sperrlistenbasis<br />
vollständig geprüft, wenn Sie sich die Eigenschaften der eingebundenen Daten anzeigen lassen.<br />
Hinweis: Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 bieten die Möglichke<strong>it</strong>,<br />
mehrere Dateien in einem Durchgang zu signieren. Dam<strong>it</strong> Sie diesen Modus verwenden können,<br />
benötigen Sie jedoch eine zusätziche OPENLiMiT Anwendung. Wenn dieser Modus aktiviert wird,<br />
erscheint der folgende <strong>Sign</strong>aturanforderungsdialog.<br />
In diesem Falle wird der Button 'Daten anzeigen' in Abhängigke<strong>it</strong> von der ausgewählten Datei aktiviert.<br />
Hinweis: Die Aktivierung des Mehrfachsignaturmodus erkennen Sie an der Dateiauswahlliste. Wenn<br />
Sie diesen Dialog sehen, können Sie m<strong>it</strong> einem Klick auf den Pfeil die Dateiauswahlliste aufklappen<br />
und erkennen, welche Dateien signiert werden sollen.<br />
Wenn der <strong>Sign</strong>aturvorgang gestartet wird, erscheint ein Fortschr<strong>it</strong>tsdialog, der Sie über die aktuell zu<br />
signierende Datei informiert. Wenn Sie den Button 'Abbrechen' drücken, werden alle bis zu diesem<br />
Ze<strong>it</strong>punkt erzeugten <strong>Sign</strong>aturdateien wieder verworfen.<br />
Hinweis: Da Sie in diesem Modus mehrere Dateien in einem Durchgang signieren können, sollten Sie<br />
sich stets über Inhalt aller zu signierenden Daten vergewissern.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 129<br />
Attributzertifikate<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 bieten dem Anwender die Möglichke<strong>it</strong>,<br />
der elektronischen <strong>Sign</strong>atur m<strong>it</strong> dem <strong>Sign</strong>aturzertifikat zusätzliche Attributzertifikate hinzuzufügen.<br />
Dazu wird in dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager die Option Attributzertifikate<br />
automatisch m<strong>it</strong>signieren eingestellt. Im Ergebnis dessen wird bei jeder <strong>Sign</strong>aturerstellung das zu dem<br />
<strong>Sign</strong>aturzertifikat zugehörige Attributzertifikat bzw. die Attributzertifikate (es sind auch mehrere<br />
möglich) hinzugefügt.<br />
� Klicken Sie in der Task-Leiste auf das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Symbol, wählen Sie den Menüpunkt<br />
Einstellungen und setzen für Attributzertifikate automatisch m<strong>it</strong>signieren den Haken.<br />
� Bei der <strong>Sign</strong>aturerstellung m<strong>it</strong> dieser eingestellten Option erfolgt die Integration des<br />
Attributzertifikats automatisch.Voraussetzung dafür ist, dass die Datei des Attributzertifikats in dem<br />
Verzeichnis Eigene Dateien/AttributeCertificates abgelegt ist und zum <strong>Sign</strong>aturzertifikat gehört.<br />
� Die Informationen des Attributzertifikats werden bei der <strong>Sign</strong>aturprüfung zusätzlich zu den Daten<br />
des <strong>Sign</strong>aturzertifikats angezeigt. Starten Sie dazu die <strong>Sign</strong>aturprüfung
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 130<br />
� Klicken Sie auf Details und wählen anschließend in dem Fenster Attributzertifikat, dann erhalten<br />
Sie in der unteren Hälfte des Fensters den Inhalt des Attributzertifikats und we<strong>it</strong>ere Informationen<br />
angezeigt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 131<br />
Wenn Sie das Attributzertifikat markiert haben und auf den Knopf Details klicken, wird Ihnen das<br />
Attributzertifikat in einem entsprechenden Dialog angezeigt.<br />
Hinweis: Das Verzeichnis Eigene Dateien/AttributeCertificates wird durch den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong>
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 132<br />
Secur<strong>it</strong>y Environment Manager automatisch beim ersten Einlesen einer Smartcard angelegt. Die<br />
Attributzertifikate müssen in diesem Verzeichnis abgelegt sein.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 133<br />
XML <strong>Sign</strong>aturen<br />
Die Erzeugung von XML-<strong>Sign</strong>aturen bzw. die Verifikation von XML-<strong>Sign</strong>aturen kann grundsätzlich nur<br />
über Dr<strong>it</strong>tanwendungen aktiviert werden, die wiederum auf die Funktionen der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 zugreifen. Dam<strong>it</strong> stehen dem Anwender für die<br />
<strong>Sign</strong>aturerzeugung von XML-<strong>Sign</strong>aturen auch die Ze<strong>it</strong>stempeldienste, das Einbinden der OCSP -<br />
Anfrage und vorhandener Attributzertifikate zur Verfügung.<br />
<strong>Sign</strong>aturerzeugung für XML Daten<br />
Wird über die Dr<strong>it</strong>tanwendung die <strong>Sign</strong>aturerzeugung gestartet, erscheint der folgende<br />
<strong>Sign</strong>aturanforderungsdialog:<br />
Nach Anklicken des Button Daten anzeigen werden die folgenden Informationen angezeigt:
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 134<br />
Nach Anklicken des Button Details wird der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> gestartet und die ausgewählten<br />
Daten werden angezeigt. Es sind nicht die referenzierten Daten sondern der XML-Datenstrom:<br />
Verifizieren von XML-<strong>Sign</strong>aturen<br />
Wird über die Dr<strong>it</strong>tanwendung die <strong>Sign</strong>aturverifikation gestartet, erscheint der folgende<br />
<strong>Sign</strong>aturanforderungsdialog:
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 135<br />
Nach Anklicken des Button Details wird der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> geöffnet und die<br />
ausgewählten Daten werden angezeigt:
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 136<br />
Ze<strong>it</strong>stempeldienste<br />
M<strong>it</strong> dem in den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 bere<strong>it</strong>gestellten<br />
Ze<strong>it</strong>stempeldienst haben Sie die Möglichke<strong>it</strong>, sich die Ze<strong>it</strong>stempelinformationen, die Daten hinzugefügt<br />
wurden, anzeigen zu lassen und dessen <strong>Sign</strong>atur zu prüfen.<br />
Für den Fall, dass Sie einen Ze<strong>it</strong>stempel abholen wollen, muss unter Umständen die<br />
Ze<strong>it</strong>stempelanfrage signiert werden. In diesem Fall können die Daten von der Anwendung nicht<br />
angezeigt werden.<br />
Starten Sie dazu die <strong>Sign</strong>aturprüfung:<br />
� Klicken Sie auf die Schaltfläche Details.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 137<br />
� Starten Sie den Befehl Details. In dem folgenden Fenster wird unter dem Register<br />
Zusammenfassung das Ergebnis der <strong>Sign</strong>aturprüfung zu der angeführten Prüfze<strong>it</strong> dargestellt.<br />
Unter dem Register TSP-Details erhalten Sie we<strong>it</strong>ere Einzelinformationen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 138<br />
Wenn Sie auf den Registerkartenre<strong>it</strong>er TSP-Details klicken, werden Ihnen detaillierte Informationen<br />
zum Ze<strong>it</strong>stempel angezeigt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 139<br />
Wenn Sie auf den Knopf '<strong>Sign</strong>atur-Zertifikat anzeigen' klicken, wird Ihnen das Zertifikat angezeigt,<br />
welches den Ze<strong>it</strong>stempel unterzeichnet hat. Zudem wird Ihnen die komplette Zertifikatskette zu diesem<br />
Zertifikat angezeigt. Sie sollten immer die Gültigke<strong>it</strong> des Zertifikats, m<strong>it</strong> dem der Ze<strong>it</strong>stempel signiert<br />
ist, prüfen.<br />
Wenn Sie m<strong>it</strong> dem Produkt einen Ze<strong>it</strong>stempel abholen, sollten Sie immer das unterzeichnende<br />
Zertifikat des Ze<strong>it</strong>stempels überprüfen um sicherzustellen, dass Sie vom beabsichtigten<br />
Ze<strong>it</strong>stempeldienst eine Antwort erhalten haben. Das Produkt kann die Quelle des Ze<strong>it</strong>stempels nicht<br />
garantieren, die Prüfung m<strong>it</strong> Hilfe des Zertifikates muss von Ihnen durchgeführt werden. Sie müssen in<br />
jedem Fall selbst entscheiden, ob Sie dem Ze<strong>it</strong>stempel vertrauen.<br />
Hinweis: Wenn in der PKCS#7 <strong>Sign</strong>aturdatei bzw. in der XML-<strong>Sign</strong>atur ein Ze<strong>it</strong>stempel vorhanden ist,<br />
wird Ihnen automatisch auch das Ergebnis der Gültigke<strong>it</strong>sprüfung der <strong>Sign</strong>atur zu dem Ze<strong>it</strong>punkt<br />
m<strong>it</strong>geteilt, der durch den Ze<strong>it</strong>stempel angegeben wird. We<strong>it</strong>ere Informationen zur XML-<strong>Sign</strong>atur finden<br />
Sie in dem Abschn<strong>it</strong>t XML <strong>Sign</strong>aturen<br />
Hinweis: Die Funktion des Ze<strong>it</strong>stempeldienstes kann nur dann genutzt werden, wenn am PC eine<br />
Internetverbindung zu dem Ze<strong>it</strong>stempeldiensteanbieter besteht.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 140<br />
Arbe<strong>it</strong>sabläufe<br />
Die Arbe<strong>it</strong>sabläufe unter den verschiedenen Modulen der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Software sind immer<br />
wieder die selben. Deshalb beschreiben wir in diesem separaten Kap<strong>it</strong>el nur die immer<br />
wiederkehrenden Abläufe. Wie diese gestartet oder angesteuert werden, können Sie in den<br />
Abschn<strong>it</strong>ten unter Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Module nachlesen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 141<br />
Dateiformate<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> 2.5 Software speichert Daten in verschiedenen Dateiformaten ab. Das Format<br />
können Sie über den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager einstellen. Standardmäßig wird<br />
bei der Installation der Software das Format so eingestellt, dass die <strong>Sign</strong>aturdatei und die<br />
Originaldaten in einer Datei gespeichert werden.<br />
p7s - Fomat<br />
*.p7s Dateien sind PKCS#7-Daten: Es handelt sich dabei um eine abgesetzte <strong>Sign</strong>atur (detached<br />
signature). Das heißt, die signierten Daten und die <strong>Sign</strong>atur sind in zwei getrennten Dateien<br />
gespeichert. Das hat den Vorteil, dass man sich die Originaldaten m<strong>it</strong> dem dazugehörigen Programm<br />
ansehen kann. Solange diese nicht geändert werden, bleibt auch die <strong>Sign</strong>atur gültig. Die <strong>Sign</strong>atur ist<br />
m<strong>it</strong> der Originaldatei durch den selben Dateinamen verbunden. Wenn Sie eine p7s Datei m<strong>it</strong> einem<br />
Doppelklick öffnen, wird automatisch die <strong>Sign</strong>aturprüfung gestartet.<br />
p7m - Format<br />
*.p7m Dateien sind PKCS#7-Daten: Dahinter können sich signierte, verschlüsselte oder signierte und<br />
verschlüsselte Daten verbergen.<br />
<strong>Sign</strong>ierte bzw. signierte und verschlüsselte p7m-Dateien liegen als Verbund-Dateien vor. Das heißt,<br />
die Datei beinhaltet sowohl eine oder mehrere <strong>Sign</strong>aturen im p7s-Format, als auch die Originaldaten,<br />
welche signiert oder signiert und verschlüsselt wurden. Wenn Sie eine p7m-Datei doppelklicken, wird<br />
die Datei entschlüsselt, sofern sie verschlüsselt war. Anschließend wird die <strong>Sign</strong>aturprüfung gestartet,<br />
sofern eine <strong>Sign</strong>atur vorhanden ist.<br />
Hinweis: Verschlüsselte Daten werden immer als *.p7m Datei gespeichert. Bei <strong>Sign</strong>aturen m<strong>it</strong> der S-
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 142<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Shell-Extension können Sie zwischen p7s (Daten und <strong>Sign</strong>atur getrennt) oder p7m<br />
(Daten und <strong>Sign</strong>atur in einer Datei) wählen, indem Sie die Einstellungen ändern.<br />
ors - Format<br />
*.ors Dateien sind Online-Statusabfragen. Dieser Status des Zertifikats kann bei der <strong>Sign</strong>aturerstellung<br />
oder - prüfung vom Trustcenter abgefragt werden und gibt eine Aussage über die Gültigke<strong>it</strong> des<br />
Zertifikats.<br />
tsr - Format<br />
*.tsr Dateien sind Ze<strong>it</strong>stempelinformationen. Zur Erzeugung von Ze<strong>it</strong>stempeln benötigt der User einen<br />
speziell freigeschalteten Zugriff auf einen Ze<strong>it</strong>stempel-Dienst. Ein Ze<strong>it</strong>stempel gibt eine Aussage<br />
darüber, dass gewisse Daten zu einem bestimmten Ze<strong>it</strong>punkt existiert haben. Dies wird durch eine<br />
dig<strong>it</strong>al signierte Bescheinigung einer Zertifizierungsstelle bestätigt. Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> 2.5 Software<br />
verfügt nicht über die Funktion der Erstellung von Ze<strong>it</strong>stempel, kann aber diese Informationen prüfen.<br />
crl - Format<br />
*.crl - Dateien sind Sperrlisten: Durch Anklicken m<strong>it</strong> der rechten Maustaste wird die Sperrliste geöffnet<br />
und Sie können sich we<strong>it</strong>ere Details zu einzelnen Zertifikaten anzeigen lassen.<br />
cer - Format<br />
*.cer - Dateien sind Zertifikatsdateien: M<strong>it</strong> einem Doppelklick haben Sie die Möglichke<strong>it</strong>, sich dieses<br />
Zertifikat anzeigen zu lassen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 143<br />
<strong>Sign</strong>ieren<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Software bietet Ihnen verschiedene Möglichke<strong>it</strong>en, qualifizierte <strong>Sign</strong>aturen nach<br />
deutschem <strong>Sign</strong>aturgesetz zu erstellen. Es können aber auch fortgeschr<strong>it</strong>tene oder andere <strong>Sign</strong>aturen<br />
erstellt werden.<br />
Unabhängig davon, aus welchem Modul heraus Sie den Vorgang der <strong>Sign</strong>aturerzeugung starten, ist<br />
der nachfolgend beschriebene Ablauf immer gleich:<br />
Datei signieren<br />
Nach dem Start der <strong>Sign</strong>aturerzeugung öffnet sich das folgende Fenster:<br />
• Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine <strong>Sign</strong>atur erzeugt.<br />
• Klicken Sie auf <strong>Sign</strong>atur erzeugen, wird eine <strong>Sign</strong>atur erzeugt, ohne dass Ihnen we<strong>it</strong>ere<br />
Detailinformationen, wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche<br />
PIN, angezeigt werden. Es erfolgt sofort die Aufforderung zur PIN Eingabe.<br />
• Klicken Sie auf den Button Details, so erscheint das nachfolgende<br />
<strong>Sign</strong>aturanforderungsfenster, in dem Ihnen we<strong>it</strong>ere Detailinformationen angezeigt werden.<br />
Nach dem Sie in diesem Fenster auf <strong>Sign</strong>atur erzeugen geklickt haben, erscheint die<br />
Aufforderung zur PIN Eingabe.<br />
Vor der <strong>Sign</strong>aturerzeugung solllten Sie sich im Fall von Daten im TXT, TIFF oder PDF Format über<br />
Daten anzeigen die zu signierenden Daten im S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> anzeigen lassen, um sicher zu<br />
sein, welche Daten Sie tatsächlich signieren.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 144<br />
• Klicken Sie auf <strong>Sign</strong>atur erzeugen.<br />
Je nach Kartenleser erscheint nun eine Meldung m<strong>it</strong> der Aufforderung zur PIN Eingabe.<br />
� Geben Sie die PIN auf der Tastatur des Kartenlesers ein, eventuell müssen Sie diese m<strong>it</strong> OK<br />
bestätigen.<br />
Anschließend erscheint ein Fenster m<strong>it</strong> der Meldung, dass die Daten signiert wurden.<br />
Sollte hier ein Fenster m<strong>it</strong> der Meldung erscheinen, dass die eingegebene <strong>Sign</strong>atur-PIN<br />
zurückgewiesen wurde, dann bedeutet das, dass Sie eine falsche PIN eingegeben haben.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 145<br />
<strong>Sign</strong>atur prüfen<br />
Die Prüfung einer <strong>Sign</strong>atur erfordert Sorgfalt und Umsicht. Folgende Punkte sollten geprüft werden:<br />
� Ist das Dokument wirklich unverändert?<br />
� Authentiz<strong>it</strong>ät des Zertifikatsinhabers?<br />
� Ist das Zertifikat nicht gesperrt?<br />
Einige Teile der Prüfung werden automatisch von der Software vorgenommen. Ob aber einem<br />
Zertifikat vertraut werden kann, liegt in der Entscheidung des Benutzers. Qualifizierte <strong>Sign</strong>aturen nach<br />
dem deutschen <strong>Sign</strong>aturgesetz lassen sich lückenlos zurückverfolgen bis zur Bundesnetzagentur. Das<br />
Herausgeberzertifikat der Bundesnetzagentur ist in die Software integriert. Dieser Zertifizierungspfad<br />
muss mathematisch korrekt und lückenlos sein. Aber auch andere Wurzelzertifikate können im<br />
Betriebssystem als vertrauenswürdig definiert werden.<br />
Deshalb bleibt es grundsätzlich dem Benutzer überlassen, welchen Zertifikaten er vertraut und<br />
welchen nicht.<br />
We<strong>it</strong>ere Information zu den Abläufen der <strong>Sign</strong>aturprüfung und der Public Key Infrastruktur finden Sie<br />
unter Grundlagen der elektronischen <strong>Sign</strong>atur.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 146<br />
Zusammenfassung<br />
Nachdem Sie auf <strong>Sign</strong>atur Prüfen geklickt haben, erscheint der Dialog Details zur <strong>Sign</strong>aturprüfung:<br />
In der Zusammenfassung der <strong>Sign</strong>aturprüfung steht zunächst, ob die <strong>Sign</strong>atur gültig, ungültig oder<br />
mathematisch korrekt ist. We<strong>it</strong>erhin wird angezeigt, ob ein Attributzertifikat m<strong>it</strong>signiert wurde.<br />
Ist eine <strong>Sign</strong>atur ungültig dann wurden die Daten verändert. Dieser <strong>Sign</strong>atur können Sie nicht<br />
vertrauen.<br />
Mathematisch korrekt bedeutet, dass die Datei se<strong>it</strong> dem <strong>Sign</strong>aturze<strong>it</strong>punkt nicht geändert wurde.<br />
Außerdem wurde auch die <strong>Sign</strong>atur an sich nicht manipuliert. Empfehlenswert ist es in diesem Fall,<br />
eine OCSP Abfrage durchzuführen und sich auf diesem Weg die Gültigke<strong>it</strong> der <strong>Sign</strong>atur bestätigen zu<br />
lassen. Dazu wählen Sie den Register m<strong>it</strong> dem Namen des <strong>Sign</strong>aturinhabers.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 147<br />
Details<br />
Nach Anklicken des Registers m<strong>it</strong> dem Namen des <strong>Sign</strong>aturinhabers wird Ihnen folgendes Fenster<br />
angezeigt.<br />
Im Einzelnen erhalten Sie folgende Informationen:<br />
� Hashwertprüfung: Hier wird die Integr<strong>it</strong>ät der Daten überprüft. Ist die Hashwertprüfung pos<strong>it</strong>iv,<br />
bedeutet dies, dass die Daten se<strong>it</strong> dem <strong>Sign</strong>ieren nicht verändert wurden. Negativ bedeutet, dass<br />
die Daten verändert wurden - in diesem Fall ist die <strong>Sign</strong>atur ungültig.<br />
� Prüfung von <strong>Sign</strong>atur und Zertifizierungspfad: Hier wird angegegeben ob, eine Beschädigung<br />
der <strong>Sign</strong>atur vorliegt und ob der Zertifizierungspfad vollständig ist.<br />
� Ze<strong>it</strong>punkt der <strong>Sign</strong>aturerzeugung (Systemze<strong>it</strong>): Hier wird die Ze<strong>it</strong> angegeben, die auf dem<br />
Rechner zum Ze<strong>it</strong>punkt der <strong>Sign</strong>aturerzeugung eingestellt war.<br />
� Vertrauensbasis: Hier wird die Vertrauenswürdigke<strong>it</strong> des Zertifikats angegeben.<br />
� Zertifikatsstatus: Anhand von Sperrlisten wird geprüft, ob das Zertifikat gesperrt wurde. Wenn<br />
hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von aktuellen Sperrlisten oder<br />
eine Online-Prüfung über den Button Onlinestatus...<br />
� Aktuelle Ze<strong>it</strong> als Prüfze<strong>it</strong> (Sperrlistenprüfung): Anhand von Sperrlisten wird geprüft, ob das<br />
Zertifikat zum Ze<strong>it</strong>punkt der Prüfung gültig war.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 148<br />
Online Prüfung von Zertifikaten<br />
Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt werden.<br />
Nach einem Klick auf Onlinestatus... in dem Fenster S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> - Details zur<br />
Unterschriftsprüfung wird das Fenster Online Status-Prüfung (OCSP) geöffnet. Für die Prüfung<br />
muss eine Verbindung m<strong>it</strong> dem Internet bestehen.<br />
Der Status wird automatisch erm<strong>it</strong>telt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt<br />
oder unbekannt. Das Ergebnis der Online Status-Prüfung wird im normalen Prüf-Dialog nicht<br />
angezeigt. Der Prüf-Dialog bezieht sich lediglich auf die Sperrlisten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 149<br />
Online Status<br />
Wurde bei der <strong>Sign</strong>aturerstellung der <strong>Sign</strong>atur ein Online Status zugefügt, dann können Sie sich<br />
diesen bei der <strong>Sign</strong>aturprüfung ansehen.<br />
Klicken Sie auf Details, um die Einzelhe<strong>it</strong>en der <strong>Sign</strong>aturprüfung anzuzeigen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 150<br />
Wählen Sie dann Online Status aus und klicken Sie auf Details, um die Einzelhe<strong>it</strong>en der Online<br />
Status Prüfung zum Ze<strong>it</strong>punkt der <strong>Sign</strong>aturerzeugung zu sehen.<br />
� Klicken Sie auf Details.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 151<br />
M<strong>it</strong> Zertifikat anzeigen wird das Zertifikat der Person angezeigt, die die <strong>Sign</strong>atur erzeugt hat.<br />
M<strong>it</strong> <strong>Sign</strong>atur-Zertifikat anzeigen wird das Zertifikat der Zertifizierungsstelle angezeigt, die die Online<br />
Status Antwort signiert hat.<br />
M<strong>it</strong> Online Status exportieren können Sie die Datei als *.ors speichern. Um sich das Ergebnis der<br />
OnlinePrüfung vollständig ansehen zu können, müssen Sie das dazugehörige Zertifikat (Beispiel:<br />
Monika Burmester.cer) in dem gleichen Ordner ablegen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 152<br />
Erstellen Prüfprotokoll<br />
Falls in Ihrer Programmversion der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> 2.5 das Modul zum Erstellen eines Prüfprotokolls<br />
m<strong>it</strong> installiert wurde, haben Sie die Möglichke<strong>it</strong>, durch Anklicken des Button Speichern ein<br />
Prüfprotokoll zu erzeugen und zu speichern. Andernfalls wird der Button nicht angezeigt.<br />
Wählen Sie das Verzeichnis und den Dateinamen für das Prüfprotokoll aus. Standardmäßig wird das<br />
Protokoll in dem Ordner Eigene Dateien\VerificationProtocols abgespeichert.<br />
Das Prüfprotokoll enthält folgende Angaben:<br />
� Dokumentbeschreibung: Die Dokumentbeschreibung zeigt den Dateinamen und das temporäre<br />
Verzeichnis an, in dem das Prüfprotokoll als Datei zwischengespeichert wird, bevor es entweder<br />
abschließend in dem Verzeichnis Eigene Dateien\VerificationsProtocolls oder in einem durch
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 153<br />
den Anwender definierten Verzeichnis abgelegt wird.<br />
� Prüfumgebung: Die Prüfumgebung weist aus, wann (Datum und Uhrze<strong>it</strong>) die Prüfung<br />
durchgeführt wurde und durch welchen Nutzer.<br />
� Zusammenfassung der Prüfergebnisse: Hier wird das Ergebnis der Hashwertprüfung und die<br />
Überprüfung der Zertifizierungskette zusammengefasst dargestellt.<br />
� Informationen zur <strong>Sign</strong>atur: An dieser Stelle erhalten Sie we<strong>it</strong>ere Detailinformationen zur<br />
<strong>Sign</strong>atur wie den Namen des Unterzeichners, die <strong>Sign</strong>aturze<strong>it</strong>, die Vertrauensbasis des<br />
Herausgeberzertifikats, den Hashwert, das Ergebnis der Hashwertprüfung und welcher<br />
<strong>Sign</strong>aturalgor<strong>it</strong>hmus verwendet wurde.<br />
� Informationen zum verwendeten <strong>Sign</strong>atur-Zertifikat: Hier werden die Angaben zum<br />
Herausgeberzertifikat, d.h. wer ist der Herausgeber, die Seriennummer des Herausgeberze<strong>it</strong>ifikats<br />
und die Gültigke<strong>it</strong> ausgewiesen.<br />
Durch die Symbolik im Hintergrund des Prüfprotokolls (grüner Haken, gelbes Ausrufezeichen, roter<br />
Warnkreis) wird das Ergebnis der Prüfung optisch zusätzlich verdeutlicht. Dabei haben die Symbole<br />
folgende Bedeutung:<br />
Grüner Haken: Die <strong>Sign</strong>atur wurde gültig geprüft.<br />
Gelbes Ausrufezeichen: Es gibt Hinweise darauf, dass die <strong>Sign</strong>atur nicht vollständig geprüft werden<br />
konnte, weil z.B. Sperrlisten oder Herausgeberzertifikate fehlten bzw. nicht aktuell waren. In diesem<br />
Fall sollten Sie die Aktualisierung der Sperrlisten einschließlich der Vertrauenslisten durchführen und
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 154<br />
die <strong>Sign</strong>aturverifikation nochmals starten. We<strong>it</strong>ere Informationen dazu finden Sie in dem Kap<strong>it</strong>el<br />
Sperrlistenaktuslierung.<br />
Roter Warnkreis: Dieses Symbol weist daraufhin, dass die Datei eine ungültige <strong>Sign</strong>atur bes<strong>it</strong>zt. in<br />
diesem Fall sollten Sie im Detail prüfen, ob die Daten manipuliert wurden, das Zertifikat abgelaufen<br />
oder gesperrt ist.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 155<br />
Hinweis: In Abhängigke<strong>it</strong> von dem installierten Programm-Modul zum Erstellen des Prüfprotokolls<br />
kann die o.g. Beschreibung abweichen. Das kann sowohl das Dateiformat des Prüfprotokolls als auch<br />
die Informationen, die im Ergebnis der Prüfung dargestellt und gespeichert werden, betreffen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 156<br />
Verschlüsselung<br />
Die Verschlüsselung schützt vor den Augen Dr<strong>it</strong>ter. Sie können jegliche Daten verschlüsseln, egal ob<br />
diese auf dem Rechner gespeichert oder ob sie per e-Mail über das Internet gesendet werden. Da die<br />
Verschlüsselung aber nicht vor Viren schützt, ist es ratsam, verschlüsselte Daten, die archiviert<br />
werden sollen, zusätzlich auf externen Datenträgern zu sichern bzw. nach dem Entschlüsseln auf<br />
jeden Fall nach Viren zu prüfen.<br />
Zunächst wird das Dokument m<strong>it</strong> einem Zufallsschlüssel im Triple DES Verfahren verschlüsselt. Das<br />
heisst, das Dokument wird dreimal hintereinander m<strong>it</strong> 192 b<strong>it</strong> verschlüsselt. Der Zufallsschlüssel wird<br />
dann m<strong>it</strong> dem öffentlichen Schlüssel des Empfängers verschlüsselt. Hier kommt die 2048b<strong>it</strong> RSA-<br />
Verschlüsselung zum Einsatz.<br />
Man benötigt zum Verschlüsseln also immer den öffentlichen Schlüssel des Empfängers (das können<br />
auch mehrere sein). Dieser ist in ein Verschlüsselungszertifikat integriert und kann im<br />
Verzeichnisdienst des Trustcenters abgerufen und auf dem Computer installiert werden. Sie können<br />
sich auch die Verschlüsselungszertifikate Ihrer Kommuniktionspartner per e-Mail schicken lassen. Ihr<br />
eigenes Zertifikat können Sie aus der Karte exportieren. Alle installierten Zertifikate werden von der<br />
Software automatisch angezeigt. Das verschlüsselte Dokument und der verschlüsselte<br />
Zufallsschlüssel werden dann zusammen archiviert oder per e-Mail an die Kommunikationspartner<br />
versandt.<br />
In der Praxis ist es empfehlenswert, Daten durch eine Kombination von elektronischer <strong>Sign</strong>atur und
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 157<br />
Verschlüsselung zu sichern.<br />
We<strong>it</strong>ere Detailinformationen zur Verschlüsselung fnden Sie in den folgenden Abschn<strong>it</strong>ten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 158<br />
Daten verschlüsseln<br />
Verschlüsselungszertifikate auswählen<br />
� Nachdem Sie auf Verschlüsseln geklickt haben, erscheint der Dialog zur Auswahl von<br />
Verschlüsselungszertifikaten.<br />
Hier werden alle öffentlichen Schlüssel angezeigt, die auf dem Rechner installiert sind. Sollten Sie auf<br />
der linken Se<strong>it</strong>e keine Zertifikate außer Ihr eigenes sehen, müssen Sie sich die öffentlichen Schlüssel<br />
der Empfänger beschaffen. Sie haben dazu mehrere Möglichke<strong>it</strong>en:<br />
� Download oder Installation über den Verzeichnisdienst, dazu erhalten Sie we<strong>it</strong>ere Informationen in<br />
dem Abschn<strong>it</strong>t Verzeichnisdienst<br />
� durch Installation des Schlüssels, den Sie als cer - Datei erhalten haben, falls Sie m<strong>it</strong> diesem<br />
Kommunikationspartner mehrfach verschlüsselt kommunizieren wollen, we<strong>it</strong>ere Informationen<br />
finden Sie in dem Abschn<strong>it</strong>t Zertifikate installieren<br />
� oder durch Einfügen der *.cer - Datei, in dem Sie auf den Button aus Datei klicken<br />
Nur die Zertifikatsinhaber der ausgewählten Zertifikate können die Datei entschlüsseln. Es ist also<br />
ratsam, auch das eigene Zertifikat hinzuzufügen.<br />
� Wenn ein Zertifikat selektiert ist, können im unteren Fenster die Informationen dazu angesehen
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 159<br />
werden.<br />
� Nach einem Klick auf Hinzufügen oder einem Doppelklick auf den Zertifikatsnamen wird das<br />
Zertifikat in die rechte Liste kopiert.<br />
� Klicken Sie dann auf Übernehmen, um die Daten für die ausgewählten Zertifikate zu<br />
verschlüsseln.<br />
Selektierte Zertifikate können m<strong>it</strong> Hinzufügen und Entfernen von einem Fenster ins andere<br />
verschoben werden. Unter Details... wird das Zertifikat angezeigt. Um sicher zu gehen, dass das<br />
Zertifikat nicht gesperrt ist, kann nach einem Klick auf Details... der Onlinestatus nachgeprüft<br />
werden, wenn die CA das unterstützt. Ansonsten funktioniert meist auch eine Suche im<br />
Verzeichnisdienst (Button we<strong>it</strong>ere...).<br />
Einstellung des Verschlüsselungsalgor<strong>it</strong>hmus:<br />
Für den Verschlüsselungsalgor<strong>it</strong>hmus sollten Sie nur dann andere Einstellungen vornehmen, wenn es<br />
aus Gründen der Kompatibil<strong>it</strong>ät m<strong>it</strong> anderen Programmen unbedingt notwendig ist.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 160<br />
Verschlüsselungszertifikat exportieren<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager bietet Ihnen die Möglichke<strong>it</strong>, Ihr<br />
Verschlüsselungszertifikat zu exportieren. Das Zertifikat können Sie dann z.B. per e-Mail an eine<br />
andere Person senden, dam<strong>it</strong> diese wiederum Dokumente für Sie verschlüsseln kann.<br />
So exportieren Sie Ihr Zertifikat:<br />
� Stecken Sie Ihre Sparkassen Card in den Kartenleser.<br />
� Das Chip Symbol in der Taskleiste wird gelb.<br />
� Klicken Sie das Chip-Icon an und wählen Sie aus dem Menü Verschlüsselungszertifikat<br />
exportieren.<br />
� Speichern Sie nun Ihr Zertifikat in einem von Ihnen gewählten Ordner ab.<br />
� Geben Sie einen Dateinamen ein und beenden Sie durch Anklicken des Button Speichern.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 161<br />
Zertifikate installieren<br />
Ein Zertifikat aus dem Verzeichnisdienst installieren Sie einfach, indem Sie auf den Button<br />
Installieren im Ergebnisdialog klicken. Das Zertifikat erscheint beim nächsten Verschlüsseln<br />
automatisch im Zertifikatsauswahldialog.<br />
Die Zertifikate auf der Karte, die in Ihrem Kartenleser stecken, werden automatisch installiert.<br />
Wenn Sie ein Zertifikat auf anderem Weg erhalten, z.B. per e-Mail, liegt es als Datei vor. Sie müssen<br />
es über den Zertifikatsdialog von Windows installieren.<br />
Zertifikate unter Windows installieren<br />
� Doppelklicken Sie das Zertifikat im Windows Explorer.<br />
� Im Zertifikatsdialog von Windows auf Zertifikat installieren klicken.<br />
Die Gültigke<strong>it</strong>sangaben des Windows Zertifikatsdialoges sollten Sie nicht interessieren, da Windows<br />
nicht immer m<strong>it</strong> <strong>Sign</strong>atur-Zertifikaten umgehen kann. Negative Aussagen haben keine Relevanz.<br />
Gründe dafür können neben Inkompatibil<strong>it</strong>ät m<strong>it</strong> den <strong>Sign</strong>aturstandards auch fehlende Algor<strong>it</strong>hmen<br />
sein.<br />
Daraufhin öffnet sich der Assistent für die Installation:<br />
� Nach dem Startdialog folgt m<strong>it</strong> einem Klick auf We<strong>it</strong>er der Zertifikatsspeicherdialog.<br />
� Wählen Sie: Alle Zertifikate in folgendem Speicher speichern.<br />
� Klicken Sie auf Durchsuchen...<br />
� Wählen Sie den Ordner Andere Personen und bestätigen Sie m<strong>it</strong> OK.<br />
� Klicken Sie im Assistenten auf We<strong>it</strong>er<br />
� und anschließend auf Fertig stellen.<br />
Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im Zertifikatsauswahl Dialog.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 162<br />
Verzeichnisdienst<br />
Nach einem Klick auf we<strong>it</strong>ere... wird der Verzeichnis Client geöffnet.<br />
Suche<br />
Für die Suche können Sie Wildcards (*) benutzen. Das sind Platzhalter, die man für unbekannte<br />
Buchstaben plazieren kann. Wenn Sie dies nicht tun, müssen Sie die exakte Schreibweise des<br />
gesuchten Namens kennen. Geben Sie am besten den Nachnamen zwischen Wildcards ein: z.B.<br />
*Daneller*. Wenn es sich um einen sehr häufigen Namen handelt, sind vielleicht andere Suchbegriffe<br />
(wie e-Mail oder Vorname) empfehlenswert.<br />
Zertifikat suchen<br />
� Tragen Sie den oder die Suchbegriffe in die Felder ein.<br />
� Wählen Sie den Verzeichnisdienst der CA, die das Zertifikat herausgegeben hat.<br />
� Klicken Sie auf Starten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 163<br />
Zum Suchen nicht auf We<strong>it</strong>er sondern auf Starten klicken. Die We<strong>it</strong>er und Zurück Button ermöglichen<br />
eine erneute Suche und ein einfaches Hin- und Herschalten zwischen Ergebnis- und Suchdialog.<br />
Wenn Sie eine Fehlermeldung erhalten, dass die zulässige Größe überschr<strong>it</strong>ten ist, dann haben Sie<br />
zu viele Suchergebnisse erhalten. Diese Funktion dient dem Datenschutz, so dass nicht einfach m<strong>it</strong><br />
einer * * -Suche alle Zertifikate gefunden werden können. Geben Sie we<strong>it</strong>ere Buchstaben in den<br />
Suchbegriff ein.<br />
Ergebnis<br />
Im Ergebnisdialog werden alle gefundenen Zertifikate angezeigt.<br />
Zertifikate übernehmen<br />
� M<strong>it</strong> einem Klick auf den Namen wird rechts die Zertifikatsinformation angezeigt.<br />
� Über den Button Details kommt man zur Zertifikatsanzeige, wo man sich noch einmal die<br />
Einzelhe<strong>it</strong>en ansehen kann. Die meisten CAs nehmen gesperrte und ungültige Zertifikate aus dem<br />
Verzeichnisdienst, so dass sich eine Statusprüfung erübrigt, wenn man hier ein Zertifikat gefunden<br />
hat.<br />
Dam<strong>it</strong> das Zertifikat auf dem Rechner bei jeder Verschlüsselung automatisch angezeigt wird, kann es<br />
installiert werden. Dies sollten Sie für Zertifikate tun, die Sie oft benutzen.<br />
� Haken Sie die Checkbox vor dem Namen der Zertifikate an, die für die Verschlüsselung<br />
übernommen werden sollen.<br />
� Klicken Sie auf Übernehmen.<br />
Die Zertifikate erscheinen dann im Zertifikatsauswahl Dialog (Verschlüsseln) auf der rechten Se<strong>it</strong>e.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 164<br />
Entschlüsselung<br />
Um das Dokument wieder entschlüsseln zu können, wird der Zufallsschlüssel im Klartext benötigt. Er<br />
kann nur m<strong>it</strong> dem privaten Schlüssel entschlüsselt werden. Dazu braucht der Benutzer die Karte m<strong>it</strong><br />
dem, zu dem öffentlichen Schlüssel zugehörigen privaten Schlüssel und der PIN.<br />
Ist der Zufallsschlüssel entschlüsselt, kann auch das gesamte Dokument entschlüsselt werden. Auch<br />
diese Abläufe übernimmt die Software automatisch.<br />
Durch dieses Verfahren ist gesichert, dass nur der Karteninhaber m<strong>it</strong> seiner PIN das Dokument<br />
entschlüsseln und lesen kann. Die Daten können auch für mehrere Zertifikate verschlüsselt werden.<br />
Wir empfehlen grundsätzlich, alle Daten, mindestens m<strong>it</strong> zwei öffentlichen Schlüsseln, für eine andere<br />
vertrauenswürdige Person und sich selbst, zu verschlüsseln. Bei Daten, die versendet werden,<br />
empfiehlt sich das eigene Zertifikat und das des Empfängers. Wenn die eigene Karte verloren geht,<br />
oder möglicherweise aus anderen Gründen nicht mehr verwendbar ist, können die Daten immer noch<br />
m<strong>it</strong> der zwe<strong>it</strong>en Karte (der des Empfängers oder der vertrauenswürdigen Person) entschlüsselt<br />
werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 165<br />
Daten Entschlüsseln<br />
Dateien entschlüsseln<br />
Zum Entschlüsseln wir der zu dem öffentlichen Schlüssel zugehörige private Schlüssel benötigt. Aus<br />
diesem Grund muss zum Entschlüsseln die PIN (CSA-Passwort) eingegeben werden.<br />
Es erscheint ein Fenster m<strong>it</strong> der Meldung, dass die Datei entschlüsselt wurde.<br />
� Klicken Sie auf OK.<br />
Danach sollten die Daten wieder im Klartext vorliegen. Um viele Dateien hintereinander ohne ständige<br />
PIN-Eingabe zu entschlüsseln, können Sie die Karte auch "öffnen". We<strong>it</strong>ere Informationen dazu finden<br />
Sie in dem Abschn<strong>it</strong>t PIN-Abfrage.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 166<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Shellextension<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Shell-Extension ermöglicht die <strong>Sign</strong>atur und Verschlüsselung direkt im Windows<br />
Explorer. Darüber hinaus sind das Prüfen von <strong>Sign</strong>aturen und die Entschlüsselung integriert. Wenn<br />
Sie eine Datei m<strong>it</strong> der rechten Maustaste anklicken, finden Sie im Kontextmenü den Punkt S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong>.<br />
Wählen Sie diesen aus, erhalten Sie in Abhängigke<strong>it</strong> von der ausgewählten Dateistruktur<br />
verschiedene Funktionen angeboten. We<strong>it</strong>ere Informationen erhalten Sie in den nachfolgenden<br />
Abschn<strong>it</strong>ten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 167<br />
Die erste <strong>Sign</strong>atur m<strong>it</strong> S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Die erste <strong>Sign</strong>atur haben Sie bere<strong>it</strong>s m<strong>it</strong> der Lizenzierung der Software erstellt. Nachfolgend wird<br />
beschrieben, wie Sie eine we<strong>it</strong>ere <strong>Sign</strong>atur erzeugen. Legen Sie dazu eine Textdatei (*.txt) an bzw.<br />
wählen Sie eine beliebige Datei im *.txt Format aus.<br />
� Klicken Sie im Explorer die Datei m<strong>it</strong> der rechten Maustaste an.<br />
� Wählen Sie S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> - Datei signieren<br />
We<strong>it</strong>ere Informationen zur <strong>Sign</strong>aturerzeugung finden Sie in dem Abschn<strong>it</strong>t <strong>Sign</strong>ieren.<br />
Im Ergebnis der <strong>Sign</strong>aturerstellung wird eine p7m-Datei m<strong>it</strong> dem selben Namen der Ursprungsdatei<br />
erzeugt. Darüber hinaus bleibt die Original-Datei erhalten. Die p7m-Datei enthält sowohl die Original-<br />
Daten als auch die <strong>Sign</strong>atur. Durch Anklicken dieser p7m-Datei m<strong>it</strong> der rechten Maustaste können Sie<br />
die <strong>Sign</strong>aturen prüfen und bei Bedarf die Datei getrennt als txt-Datei und p7s-Datei abspeichern.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 168<br />
Shell Extension Menü<br />
Wenn Sie eine Datei im Windows Explorer m<strong>it</strong> der rechten Maustaste anklicken, öffnet sich das<br />
Kontexmenü m<strong>it</strong> dem Menüpunkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong>. Unter diesem finden Sie in der Regel die Punkte:<br />
� Datei signieren<br />
� Datei verschlüsseln<br />
� Datei signieren und verschlüsseln<br />
We<strong>it</strong>ere Punkte, wie z.B.<br />
� <strong>Sign</strong>atur(en) prüfen<br />
� Datei und <strong>Sign</strong>atur(en) trennen<br />
� Datei und <strong>Sign</strong>atur(en) verbinden<br />
� Datei entschlüsseln<br />
� Ze<strong>it</strong>stempel anzeigen<br />
� Online Status anzeigen<br />
� Sperrliste anzeigen<br />
� Zertifikat anzeigen<br />
erscheinen, wenn es sich um bere<strong>it</strong>s signierte oder verschlüsselte Dateien bzw. einen Ze<strong>it</strong>stempel<br />
oder eine Online Status-Datei handelt. Die Funktionen, die durch diese Befehle angestoßen werden,<br />
sind unter Arbe<strong>it</strong>sabläufe im Einzelnen erklärt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 169<br />
Dateien und Icons im Explorer<br />
M<strong>it</strong> S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> lassen sich verschiedene Dateiformate erzeugen. Diese erkennt man im Explorer<br />
auch an Ihren Icons (bei Windows 2000 oder höher). Ze<strong>it</strong>stempel können in der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Software nicht erzeugt werden.<br />
� p7m Dateien: Verschlüsselte Dateien oder Dateien, die eine <strong>Sign</strong>atur beinhalten, bekommen ein<br />
blaues Tresor-Icon m<strong>it</strong> der Aufschrift p7m.<br />
� p7s Dateien: Abgesetze <strong>Sign</strong>aturen, die durch ihren Dateinamen m<strong>it</strong> der Ausgangsdatei logisch<br />
verknüpft sind, bekommen ein blaues Tresor-Icon m<strong>it</strong> der Aufschrift p7s.<br />
� ors-Dateien: Online Status Response Dateien, die durch das Exportieren von OCSP Antworten<br />
entstehen, bekommen ein Zertifikats-Icon m<strong>it</strong> einem roten Siegel.<br />
� tsr-Dateien: Ze<strong>it</strong>stempel Dateien, die durch ihren Dateinamen m<strong>it</strong> der Ausgangsdatei logisch<br />
verknüpft sind, bekommen ein Uhr-Icon m<strong>it</strong> einem roten Siegel.<br />
Allerdings werden diese Dateien in den neueren Betriebssystemen als verborgene Dateien oft nicht<br />
angezeigt. Um sie sichtbar zu machen, muss man unter den Ordneroptionen des Windows Explorers<br />
(Menü Extras - Ordneroptionen - Re<strong>it</strong>er Ansicht) unter versteckte Dateien und Ordner die Option<br />
alle Dateien und Ordner anzeigen aktivieren und Erwe<strong>it</strong>erungen bei bekannten Date<strong>it</strong>ypen<br />
ausblenden deaktivieren.<br />
We<strong>it</strong>ere Informationen zu den Dateien finden Sie auch unter Dateiformate.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 170<br />
Adobe Plugin<br />
Das Adobe Plugin ermöglicht die <strong>Sign</strong>atur direkt unter dem Adobe Acrobat Reader ab Version 7.0.8<br />
und Adobe Professional ab Version 7.0. Wurden PDF Formulare vom Herausgeber m<strong>it</strong> zusätzlichen<br />
Rechten versehen (Adobe Formular Server Lösungen), lassen sich diese Formulare auch im Adobe<br />
Reader ab Version 7.0.8 signieren. Zudem können dig<strong>it</strong>ale <strong>Sign</strong>aturen in einem PDF Formular geprüft<br />
werden.<br />
Das Adobe Plugin wird automatisch installiert, sowe<strong>it</strong> der Adobe Reader oder Adobe Acrobat auf<br />
Ihrem Computer zu dem Ze<strong>it</strong>punkt der Installation von S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> 2.5 bere<strong>it</strong>s vorhanden ist.<br />
Andernfalls müssen Sie das Adobe Plugin nachinstallieren.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 171<br />
Adobe Plugin Voreinstellungen<br />
Voreinstellungen festlegen<br />
Der hier beschriebene Ablauf bezieht sich auf das Produkt Adobe Reader 9.0.0.<br />
� Öffnen Sie Adobe Reader.<br />
� Über das Bearbe<strong>it</strong>en-Menü kommen Sie zu dem Menüpunkt Voreinstellungen...<br />
� Wählen Sie im linken Bereich Sicherhe<strong>it</strong> aus.<br />
� Setzen Sie ein Häkchen für Beim Öffen des Dokuments Unterschriften prüfen, und klicken Sie<br />
dann auf Erwe<strong>it</strong>erte Voreinstellungen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 172<br />
� Unter dem Re<strong>it</strong>er Überprüfung sollten Sie folgende Einstellungen vornehmen:<br />
� Wählen Sie Immer Standardmethode verwenden (Überschreibt die im Dokument angegebene<br />
Methode).<br />
� Wählen Sie dann als Standardmethode zum Überprüfen von Unterschriften: "OPENLiMiT<br />
<strong>Sign</strong>Cubes PDF Plugin, Version 2.5".
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 173<br />
Unter dem Re<strong>it</strong>er Erstellung sollten Sie die Einstellungen wie folgt vornehmen:<br />
Wählen Sie als Standardmethode beim Unterschreiben und Verschlüsseln von Dokumenten:<br />
"OPENLiMiT <strong>Sign</strong>Cubes PDF Plugin, Version 2.5".<br />
� M<strong>it</strong> OK werden die Einstellungen gespeichert.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 174<br />
PDF Dokument signieren<br />
Für die Erzeugung einer <strong>Sign</strong>atur in PDF Dokumenten ist in der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Software ein Adobe<br />
Plugin integriert. Dieses bietet Ihnen unter bestimmten Voraussetzungen die Möglichke<strong>it</strong>, das PDF<br />
Dokument im Adobe Reader ab Version 7.0.8 oder Adobe Acrobat ab 7.0.8 zu signieren.<br />
Wenn ein PDF Dokument oder PDF Formular ein oder mehrere Felder für dig<strong>it</strong>ale <strong>Sign</strong>aturen enthält,<br />
so können Sie m<strong>it</strong> dem Adobe Plugin eine qualifizierte dig<strong>it</strong>ale <strong>Sign</strong>atur direkt in diesem PDF erstellen<br />
und dieses anschließend speichern.<br />
Um ein solches PDF m<strong>it</strong> dem Adobe Reader zu signieren, muss dieses m<strong>it</strong> zusätzlichen Rechten<br />
versehen worden sein (Adobe Formular Server Lösungen). Um ein PDF m<strong>it</strong> Adobe Acrobat zu<br />
signieren, reicht es aus, wenn das <strong>Sign</strong>aturfeld m<strong>it</strong> Adobe Acrobat erstellt wurde. Um ein <strong>Sign</strong>aturfeld<br />
m<strong>it</strong> Adobe Acrobat selbst zu erstellen, lesen Sie b<strong>it</strong>te in der Adobe Acrobat Hilfe nach.<br />
So signieren Sie ein PDF Dokument<br />
� Öffnen Sie das Dokument.<br />
Das PDF Dokument enthält ein oder mehrere <strong>Sign</strong>atur-Felder. Ein <strong>Sign</strong>aturfeld erkennen Sie am roten<br />
Pfeil links oben im Feld.<br />
� Stecken Sie Ihre Smartcard in den Kartenleser und warten Sie, bis diese erkannt ist (bis das Chip-<br />
Symbol in der Taskleiste gelb ist).<br />
� Klicken Sie das entsprechende <strong>Sign</strong>aturfeld an.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 175<br />
Anschließend wird das folgende Fenster angezeigt:<br />
Nach dem Anklicken des Button <strong>Sign</strong>atur erzeugen folgt sofort die Aufforderung zur PIN Eingabe.<br />
Klicken Sie auf den Button Details wird das nachfolgende <strong>Sign</strong>aturanforderungsfenster angezeigt:<br />
� Durch Anklicken des Button Daten anzeigen wird der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> gestartet und Sie<br />
können sich die Daten im <strong>Viewer</strong> darstellen lassen. Diese Prüfung der Daten sollten Sie in jedem<br />
Fall immer vornehmen, um sich versteckte Inhalte bzw. andere Informationen anzeigen zu lassen<br />
und um sicher zu sein, welche Informationen Sie signieren.<br />
� Klicken Sie nach Schliessen des <strong>Viewer</strong>s auf <strong>Sign</strong>atur erzeugen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 176<br />
<strong>Sign</strong>atur im PDF prüfen<br />
PDF Dokumente können <strong>Sign</strong>aturen enthalten, die in einem extra dafür vorgesehenen <strong>Sign</strong>aturfeld<br />
integriert sind, oder <strong>Sign</strong>aturen, die in das PDF Dokument eingebettet sind, jedoch nicht in einem<br />
<strong>Sign</strong>aturfeld vorliegen. In diesem Fall handelt es sich um sogenannte "unsichtbare" <strong>Sign</strong>aturen.<br />
<strong>Sign</strong>aturen in Unterschriftsfeldern prüfen<br />
� Enthält ein PDF Dokument bere<strong>it</strong>s eine dig<strong>it</strong>ale <strong>Sign</strong>atur in einem dafür vorgesehenen<br />
<strong>Sign</strong>aturfeld, so können Sie m<strong>it</strong> Adobe Reader oder Adobe Acrobat diese <strong>Sign</strong>atur prüfen. Die<br />
<strong>Sign</strong>aturprüfung wird m<strong>it</strong> den Einstellungen vorgenommen, die Sie unter Adobe Acrobat oder<br />
Adobe Reader festgelegt haben. We<strong>it</strong>ere Informatioonen dazu finden Sie in dem Abschn<strong>it</strong>t Adobe<br />
Plugin Grundeinstellungen.<br />
� Öffnen Sie das PDF Dokument und klicken Sie auf ein Unterschriftsfeld, das bere<strong>it</strong>s eine <strong>Sign</strong>atur<br />
enthält.<br />
Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OPENLiMiT <strong>Sign</strong>Cubes PDF<br />
Plugin" ausgewählt haben, so erscheint folgender Dialog:<br />
In der Zusammenfassung steht das Ergebnis der <strong>Sign</strong>aturprüfung. Ein Beispiel für ein Prüfergebnis<br />
wäre z.B.:<br />
� Die Datei ist gültig signiert. oder<br />
� Die <strong>Sign</strong>atur ist mathematisch korrekt.<br />
Für genauere Informationen lesen Sie b<strong>it</strong>te im Abschn<strong>it</strong>t <strong>Sign</strong>aturen Prüfen nach.<br />
Unsichtbare <strong>Sign</strong>aturen prüfen<br />
Enthält ein PDF Dokument eine unsichtbare dig<strong>it</strong>ale <strong>Sign</strong>atur, so können Sie m<strong>it</strong> Adobe Reader oder
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 177<br />
Adobe Acrobat diese <strong>Sign</strong>atur prüfen. Die <strong>Sign</strong>aturprüfung wird m<strong>it</strong> den Einstellungen vorgenommen,<br />
die Sie unter Adobe Acrobat oder Adobe Reader festgelegt haben.<br />
� Öffnen Sie das PDF Dokument und klicken Sie dann links auf den Re<strong>it</strong>er Unterschriften, um alle<br />
Unterschriften des Dokuments anzusehen.<br />
� Wählen Sie jetzt eine Unterschrift aus, klicken Sie dann auf Optionen und wählen Sie Unterschrift<br />
prüfen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 178<br />
Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OPENLiMiT <strong>Sign</strong>Cubes PDF<br />
Plugin, Version 2.0.1.3" ausgewählt haben, so erscheint folgender Dialog:
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 179<br />
<strong>Sign</strong>ieren m<strong>it</strong> dem S-<strong>TRUST</strong> TIFF Producer<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Software bietet Ihnen m<strong>it</strong> dem S-<strong>TRUST</strong> TIFF Producer die Möglichke<strong>it</strong>, aus<br />
anderen Programmen heraus wie z.B. Microsoft Word Daten an die sichere Anzeigeeinhe<strong>it</strong>, den S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> auszugeben. Die übertragenen Daten werden über den S-<strong>TRUST</strong> TIFF<br />
Producer in eine sicher darstellbare Bilddatei (TIFF) konvertiert. Die Ausgabe über den S-<strong>TRUST</strong> TIFF<br />
Producer ist m<strong>it</strong> jedem auf Ihrem System druckbaren Dokument möglich.<br />
Visualisieren<br />
� Drucken Sie die Datei in dem Programm aus, in dem sie erstellt wurde. Normalerweise geht das<br />
über den Befehl Datei - Drucken.<br />
Wählen Sie den S-<strong>TRUST</strong> – TIFF Producer und bestätigen Sie m<strong>it</strong> OK.<br />
� Daraufhin öffnet sich die Darstellung im S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong>. Sollte es lange dauern, bis Ihre<br />
Datei im S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> dargestellt wird, liegt es möglicherweise daran, dass die<br />
gewählten Eigenschaften des S-<strong>TRUST</strong> TIFF Producer nicht optimal sind, d.h. eine zu hohe<br />
Auflösung eingestellt ist.<br />
Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\TIFFOutput abgespeichert.<br />
Unter dem Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 180<br />
Dokumente\TIFFOutput.<br />
Der Dateiname ist m<strong>it</strong> dem Dateinamen des Originals identisch, m<strong>it</strong> Ausnahme der Extension (tif).<br />
• Unter Windows NT wählen Sie den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Drucker aus und bestätigen m<strong>it</strong> OK.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 181<br />
Eigenschaften des S-<strong>TRUST</strong> TIFF Producers<br />
Nach Auswahl des S-<strong>TRUST</strong> TIFF Producers und Anklicken des Buttons Eigenschaften haben Sie<br />
Möglichke<strong>it</strong> die Standardeinstellungen des Druckers zu verändern.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 182<br />
Eigenschaften des S-Trust <strong>Sign</strong>-<strong>it</strong> Druckers (nur<br />
Windows NT)<br />
Diese Drucker wird nur unter dem Betriebssystem NT installiert, da der S-<strong>TRUST</strong> TIFF Producer nicht<br />
für Windows NT verfügbar sind.<br />
Ändern der Druckereigenschaften<br />
• In dem Programm, in dem Sie gerade arbe<strong>it</strong>en, wählen Sie Datei - Drucken...<br />
• Unter "Name" wählen Sie den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Drucker<br />
• Klicken Sie auf Eigenschaften...<br />
Daraufhin sind mehrere Re<strong>it</strong>er zu sehen.<br />
Re<strong>it</strong>er Beschreibung<br />
Einstellungen Generelle Einstellungen des Druckers<br />
Dateiformate Ausgabeformat der Datei<br />
Dateiname erstellen Ausgabename der Datei<br />
Programm-Start Programm, das nach dem Drucken startet<br />
Wasserzeichen Wasserzeichen in Datei generieren<br />
Kommentar einbeziehen Bemerkung Einfügen
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 183<br />
Drucker Eigenschaften - Einstellungen<br />
Bezeichnung Detail Beschreibung<br />
Papier Größe Papier<br />
Hier wählen Sie die Papiergröße aus. Sollte die gewählte<br />
Papiergröße kleiner sein als das zu druckende Dokument, dann<br />
werden Teile des Dokuments in der <strong>Sign</strong>Cubes Visualisierung<br />
nicht angezeigt. Wenn dies der Fall ist sollten Sie einen<br />
Warnhinweis erhalten, sobald Sie auf OK gedrückt haben.<br />
Hier werden die Bre<strong>it</strong>e und Höhe des gewählten Papiers<br />
Paper Bre<strong>it</strong>e;<br />
angezeigt. Unter Einhe<strong>it</strong>en können Sie die Einhe<strong>it</strong> festlegen in der<br />
Papier Höhe<br />
die Bre<strong>it</strong>e und Höhe des Papiers angezeigt werden.<br />
FAX<br />
beigelegt<br />
header<br />
Hat unter S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> keine Funktion.<br />
Fax Auflösung<br />
Ausrichtung<br />
Graphik-<br />
Auflösung<br />
Erwe<strong>it</strong>erte<br />
Papiergröße<br />
Hat unter S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> keine Funktion.<br />
Die Auflösung des Ausgabeformats wird für Fax optimiert. Da die<br />
Erstelle faxfähiges Auflösung sehr gering ist, wird die Visualisierung des Dokuments<br />
Abbild<br />
eine niedrige Qual<strong>it</strong>ät haben. Wir empfehlen diese Funktion nicht<br />
anzuwenden.<br />
Hochformat / Hier kann Hochformat (Portra<strong>it</strong>) oder Querformat (Landscape)<br />
Querformat ausgewählt werden.<br />
Querformat, 90 Es wird ein Querformat ausgegeben, aber nochmals um 90°<br />
Grad gedreht gedreht.<br />
Die graphische Auflösung der Visualisierung wird hier festgelegt.<br />
Wichtig: M<strong>it</strong> den Einstellungen in diesem Abschn<strong>it</strong>t können Sie<br />
Qual<strong>it</strong>ät und Größe der Ausgabedatei entscheidend verändern.<br />
Auflösung Bei zu hoher Einstellung werden die Dateien unnötig gross und<br />
die Visualisierung kann länger dauern. Darüber hinaus könnten<br />
auf Grund der Grösse der Datei Probleme auftreten, falls Sie die<br />
signierte Datei anschliessend per e-Mail versenden wollen.<br />
High Resolution - Hohe Auflösung. Die Ausgabe sieht sehr gut<br />
aus, es dauert länger bis die Visualisierung erstellt ist, die Datei<br />
wird sehr groß.<br />
Medium Resolution - M<strong>it</strong>tlere Auflösung (Standard Einstellung).<br />
Schnellere Visualisierung, Druckstandard. Gut für Textdokumente<br />
und Tabellen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 184<br />
Draft Resolution - Vorschau Auflösung. Sehr schnelle Ausgabe,<br />
niedrige Qual<strong>it</strong>ät.<br />
CUSTOM Resolution - Benutzerdefinierte Auflösung. Hier können<br />
Sie selbst festlegen, m<strong>it</strong> welcher Auflösung Sie arbe<strong>it</strong>en wollen.<br />
Benutzen Sie zur Eingabe die beiden Felder unterhalb.<br />
horizontale<br />
Hier wird die horizontale Auflösung angezeigt.<br />
Auflösung<br />
vertikale<br />
Anzeige der vertikalen Auflösung.<br />
Auflösung<br />
erzwinge<br />
Keine Funktion unter S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong>.<br />
Druckerauflö-sung<br />
Bildgröße<br />
Größe der Datei, die der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Drucker zur<br />
Visualisierung erstellt. Generell gilt: Je größer die Datei, desto<br />
besser die Qual<strong>it</strong>ät der Visualisierung und umso länger dauert die<br />
Ausgabe und umgekehrt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 185
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 186<br />
Drucker Eigenschaften - Dateiformate<br />
Unter diesem Re<strong>it</strong>er finden Sie Optionen für das Ausgabeformat.<br />
Dateiformat<br />
In diesem Menü finden sich verschiedene Dateiformate für die<br />
Visualisierung.<br />
Wichtig: Behalten Sie das Standard Format bei (TIFF Packed), bei<br />
manchen anderen Einstellungen wird die Datei nicht gedruckt.<br />
Bezeichnung Detail Beschreibung<br />
Hier kann die Anzahl der Farben festgelegt werden. 1b<strong>it</strong> (schwarz-<br />
1b<strong>it</strong>, 8 b<strong>it</strong>, 8 b<strong>it</strong> weiss), 8 b<strong>it</strong> (256 Farben), 8 b<strong>it</strong> Graustufen (256 Grautöne), 24 b<strong>it</strong><br />
Farbtiefe Graustufen, 24 (16,7 Mio. Farben). Wie bei der grafischen Auflösung gilt auch hier,<br />
b<strong>it</strong><br />
je besser die Qual<strong>it</strong>ät der Visualisierung, desto größer das erzeugte<br />
Dokument und desto länger dauert die Ausgabe.<br />
Optionen<br />
mehrse<strong>it</strong>iges<br />
Bild erzeugen<br />
Keine<br />
Hier ist per Default ein Häkchen gesetzt, da sonst nur eine Se<strong>it</strong>e des<br />
Originaldokuments in der Ausgabe erscheint.<br />
Imagedatei<br />
erstellen<br />
Hat unter S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> keine Funktion.<br />
TIFF Optionen<br />
Osteuropäischer<br />
Zeichensatz<br />
Textdatei<br />
erstellen<br />
Unterstützt das Drucken von Osteuropäischen Schriftzeichen.<br />
Der Drucker erstellt zusätzlich eine *.txt Datei m<strong>it</strong> dem Inhalt des<br />
Dokuments.<br />
Hat unter S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> keine Funktion.<br />
Das Ändern der Standardeinstellungen kann dazu führen dass keine<br />
Visualisierung erfolgt.<br />
Fotoqual<strong>it</strong>ät Hat unter S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> keine Funktion.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 187
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 188<br />
Drucker Eigenschaften - Dateiname erstellen<br />
Bezeichnung Detail Beschreibung<br />
Diese Einstellungen legen fest, wie der Dateiname (prefix)<br />
Methode zur Erstellung<br />
und Dateianhang (extension) erstellt werden.<br />
des Namen<br />
Nehmen Sie in diesem Bereich keine Änderungen vor, da<br />
sonst eventuell keine Visualisierung möglich ist.<br />
Standard Einstellung: Dateiname und Dateianhang<br />
Use the werden automatisch erstellt.<br />
document Wichtig: Nehmen Sie in diesem Bereich keine<br />
name<br />
Änderungen vor, da sonst eventuell keine Visualisierung<br />
möglich ist.<br />
Dateiname<br />
Wenn unter Methode zur Erstellung des Namen die<br />
Standard Einstellung gewählt ist, ist keine Eingabe nötig.<br />
Dateinamen<br />
Prefix<br />
Bei Standard Einstellung ist keine Eingabe nötig.<br />
Datei<br />
Erwe<strong>it</strong>erung<br />
Bei Standard Einstellung ist keine Eingabe nötig.<br />
Hier wird der Ordner angezeigt, in dem der Drucker die<br />
temporären Dateien für die Visualisierung speichert.<br />
Ausgabepfad<br />
Wichtig: Nehmen Sie in diesem Bereich keine<br />
Gruppendatei-Optionen<br />
Änderungen vor, da sonst eventuell keine Visualisierung<br />
möglich ist.<br />
Unter S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> keine Funktion.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 189
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 190<br />
Drucker Eigenschaften - Programm - Start<br />
Bezeichnung Detail Beschreibung<br />
Hier sollte ein Häkchen gesetzt sein. Falls dem nicht so ist,<br />
Anwendung<br />
automatisch starten<br />
wird der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> nicht gestartet (es erfolgt<br />
keine Visualisierung). Die Standardeinstellung wird wieder<br />
hergestellt, sobald sich ein Benutzer am Betriebssystem<br />
neu anmeldet oder der Computer neu gestartet wird.<br />
Das für die Visualisierung zu startende Programm wird hier<br />
Anwendung<br />
angezeigt. Auch hier wird die Standardeinstellung wieder<br />
hergestellt, sobald sich ein Benutzer am Betriebssystem<br />
neu anmeldet, oder ein Neustart erfolgt.<br />
vor<br />
Druckausführung<br />
starten<br />
Diese Option sollten Sie nicht wählen, da der S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> nicht starten wird.<br />
Standardeinstellung. Auch hier gilt, die Einstellung wird<br />
nach Druckausf.<br />
nach neuer Anmeldung am Betriebssystem oder Neustart<br />
starten<br />
wieder hergestellt.<br />
Hier sollte ein Häkchen gesetzt sein, da sonst keine<br />
Parameter Visualisierung erfolgt. Nach Neustart des Computers oder<br />
übergeben neuer Anmeldung am Betriebssystem wird auch diese<br />
Einstellung wieder hergestellt.<br />
Darstellung der Bestimmt die Größe des Fensters, in dem die Anwendung<br />
Anwendung<br />
Nachrichtenstartet<br />
Schn<strong>it</strong>tstelle<br />
deaktivieren<br />
Diese Funktion steht nicht zur Verfügung.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 191
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 192<br />
Drucker Eigenschaften - Wasserzeichen<br />
Bezeichnung Detail Beschreibung<br />
Wasserzeichen<br />
Aktivieren Sie diese Option, um Ihr Dokument m<strong>it</strong><br />
drucken<br />
einem Wasserzeichen zu versehen.<br />
Wasserzeichen-<br />
Optionen<br />
Wasserzeichen nur Aktivieren Sie diese Option, um das<br />
zur ersten Se<strong>it</strong>e Wasserzeichen nur auf der ersten Se<strong>it</strong>e des<br />
hinzufügen Dokuments anzubringen.<br />
Se<strong>it</strong>en<br />
Hochformat<br />
Wählen Sie in diesem Bereich eine Datei aus, die<br />
im<br />
als Wasserzeichen auf alle Se<strong>it</strong>en im Hochformat<br />
ausgegeben werden soll.<br />
Se<strong>it</strong>en<br />
Querformat<br />
Wählen Sie in diesem Bereich eine Datei aus, die<br />
im<br />
als Wasserzeichen auf alle Se<strong>it</strong>en im Querformat<br />
ausgegeben werden soll.<br />
Wasserzeichen Hier wählen Sie die Datei aus, die als<br />
Datei:<br />
Wasserzeichen ausgegeben werden soll.<br />
Center = M<strong>it</strong>tig<br />
Streched to F<strong>it</strong> = über die ganze Se<strong>it</strong>e gestreckt<br />
Pos<strong>it</strong>ion:<br />
Streched to Width = über die Se<strong>it</strong>enbre<strong>it</strong>e<br />
gestreckt<br />
Tile = gekachelt<br />
Helligke<strong>it</strong>:<br />
Legen Sie hier die Helligke<strong>it</strong> des jeweiligen<br />
Wasserzeichens fest.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 193
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 194<br />
Drucker Eigenschaften - Embed Annotation<br />
Alle unter diesem Re<strong>it</strong>er gewählten Optionen werden bei neuer Anmeldung an das Betriebssystem<br />
oder Neustart des Computers zurückgesetzt.<br />
Bezeichnung Detail Beschreibung<br />
Kommentare<br />
einbeziehen<br />
Wenn Sie hier ein Häkchen setzen, können Sie<br />
Bemerkungen in die zu signierende Datei einfügen. Der<br />
hier geschriebene Text wird in die TIFF Datei eingebettet.<br />
Zeichenfolge Geben Sie hier den Text ein.<br />
Schriftart Schriftarten können hier definiert werden.<br />
Datum<br />
Das aktuelle Datum wird eingefügt, wenn Sie hier ein<br />
Häkchen setzen.<br />
Format<br />
Datums<br />
des<br />
Hier legen Sie ein Datumsformat fest.<br />
Ze<strong>it</strong> M<strong>it</strong> einem Häkchen hier fügt man die Uhrze<strong>it</strong> ein.<br />
Hier legen Sie das Format für die Uhrze<strong>it</strong> fest und wählen,<br />
Ze<strong>it</strong>-Format ob Sie Minuten, Sekunden und Ze<strong>it</strong>zone m<strong>it</strong> einbeziehen<br />
wollen.<br />
Kommentar Pos<strong>it</strong>ion Hier wählen Sie, wie der Text platziert wird.<br />
Farbe Die Farbe des Textes kann hier gewählt werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 195
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 196<br />
E-Mail Clients<br />
Die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Software unterstützt das <strong>Sign</strong>ieren und Verschlüsseln von E-Mails in<br />
verschiedenen E-Mail Programmen. In diesem Kap<strong>it</strong>el werden die vorzunehmenden Einstellungen und<br />
die grundlegenden Arbe<strong>it</strong>sschr<strong>it</strong>te der unterstützen E-Mail Clients kurz beschrieben.<br />
Die folgenden Erklärungen betreffen hauptsächlich Funktionen und Einstellungen der unterstützen E-<br />
Mail Clients und erheben keinen Anspruch auf Vollständigke<strong>it</strong>. Sollte hier etwas fehlen, empfehlen wir<br />
grundsätzlich, in der Hilfe oder im Handbuch des jeweiligen Programms nachzusehen.<br />
Voraussetzung für das Arbe<strong>it</strong>en m<strong>it</strong> den verschiedenen E-Mail Programmen ist, dass das Programm<br />
richtig installiert ist und das E-Mail Konto, das der E-Mail Adresse Ihres Zertifikats entspricht,<br />
eingerichtet wurde. Um zu erfahren wie Sie ein E-Mail Konto einrichten, lesen Sie b<strong>it</strong>te die Hilfe des<br />
jeweiligen E-Mail Programms.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 197<br />
Microsoft Outlook und Microsoft Outlook Express<br />
Microsoft Outlook und Microsoft Outlook Express sind zwei oft verwendete E-Mail Programme. M<strong>it</strong><br />
dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Cryptographic Service Provider (CSP) können Sie E-Mails in Microsoft Outlook<br />
oder Microsoft Outlook Express signieren und verschlüsseln.<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Cryptographic Service Provider kommt immer dann zum Einsatz, wenn<br />
Informationen der Karte benötigt werden, d.h. bei der <strong>Sign</strong>aturerzeugung und beim Entschlüsseln.<br />
Das Verschlüsseln und die <strong>Sign</strong>aturprüfung erfolgt durch Microsoft Outlook bzw. Microsoft Outlook<br />
Express selbst.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 198<br />
Microsoft Outlook Einstellungen<br />
Um m<strong>it</strong> Microsoft Oulook bzw. Microsoft Outlook Express alle Sicherhe<strong>it</strong>sfunktionen ausführen zu<br />
können, benötigen Sie ein E-Mail Konto m<strong>it</strong> der E-Mail Adresse, die in Ihrem Zertifikat steht. Diese<br />
haben Sie beim Ausfüllen des Karten-Antrages angegeben. Beim <strong>Sign</strong>ieren oder Entschlüsseln wird<br />
dann automatisch Ihr Zertifikat genommen, wenn die Karte im Kartenleser steckt.<br />
Outlook Express<br />
Die folgenden Sicherhe<strong>it</strong>seinstellungen sind unbedingt einzurichten, dam<strong>it</strong> Sie Ihre Mails signieren<br />
und/ oder verschlüsseln können.<br />
� Stecken Sie Ihre Chipkarte in den Kartenleser und warten Sie, bis das Chipsymbol gelb ist.<br />
� Klicken Sie im Hauptmenü auf Extras / Konten.<br />
� Wählen Sie nun das Mailkonto aus, bei dem die Mailadresse m<strong>it</strong> der in Ihrem Zertifikat<br />
enthaltenen Mailadresse übereinstimmt.<br />
� Klicken Sie auf Eigenschaften und wählen Sie das Register „Sicherhe<strong>it</strong>“ aus.<br />
� Für die E-Mail-<strong>Sign</strong>atur wählen Sie über den ersten Button „Auswählen…“ Ihr Zertifikat für den<br />
Zweck „Sichere E-Mail“ aus.<br />
� Nehmen Sie diese Einstellungen auch für das Verschlüsselungszertifikat über den 2.Button<br />
„Auswählen…“ vor.<br />
� Der Algor<strong>it</strong>hmus bleibt auf 3DES eingestellt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 199<br />
� Bestätigen Sie die Einstellungen m<strong>it</strong> OK<br />
Wenn Sie automatisch signieren und verschlüsseln möchten, dann können Sie dies unter Extras -<br />
Optionen - Sicherhe<strong>it</strong> einstellen.<br />
Hinweis: Die nachfolgend beschriebenen Einstellungen sind nicht zwingend notwendig. Sie sollten<br />
diese Einstellungen nur in dem Fall nochmal prüfen, falls der Empfänger Ihre Mail nicht lesen kann.<br />
� Unter Extras - Optionen - Lesen klicken Sie auf Schriftarten.<br />
� Dort stellen Sie einen 7 B<strong>it</strong> Code ein. Zum Beispiel wählen Sie oben aus der Liste Unicode und<br />
unten bei der Codierung UTF-7.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 200<br />
� Dann klicken Sie auf den Button Als Standard, um diese Codierung als Standard einzustellen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 201<br />
Sie können aber auch jede Nachricht einzeln signieren und/oder verschlüsseln.<br />
Microsoft Outlook<br />
Bei Microsoft Outlook müssen Sie erst das <strong>Sign</strong>aturzertifikat und das Verschlüsselungszertifikat<br />
auswählen.<br />
� Unter Extras - Optionen - Sicherhe<strong>it</strong> gibt es den Bereich E-Mail sichern.<br />
� Klicken Sie hier auf Einstellungen...<br />
� Wählen Sie unter Bevorzugte Sicherhe<strong>it</strong>seinstellungen: das Sicherhe<strong>it</strong>sformat für<br />
Nachrichten: S/MIME.<br />
� Wählen Sie unter Zertifikate und Algor<strong>it</strong>hmen folgende Einstellungen:<br />
� <strong>Sign</strong>aturzertifikat: Ihr E-Mail <strong>Sign</strong>aturzertifikat<br />
� Hashalgor<strong>it</strong>hmus: SHA1<br />
� Verschlüsselungszertifikat: Ihr E-Mail Verschlüsselungszertifikat<br />
� Verschlüsselungsalgor<strong>it</strong>hmus: 3DES<br />
� "<strong>Sign</strong>ierten Nachrichten diese Zertifikate hinzufügen" aktivieren.<br />
� Klicken Sie auf OK.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 202<br />
Unter dem Tab Sicherhe<strong>it</strong> können Sie die automatische <strong>Sign</strong>atur und Verschlüsselung von<br />
Nachrichten einstellen. Dies ist aber für jede E-Mail auch einzeln möglich.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 203<br />
Unter Extras - Optionen - E-Mail Format wählen Sie nach einem Klick auf Internationale<br />
Einstellungen eine 7 B<strong>it</strong> Codierung für ausgehende und eingehende E-Mails.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 204<br />
<strong>Sign</strong>ieren und Verschlüsseln<br />
In Outlook oder Outlook Express haben Sie unter Extras - Optionen - Sicherhe<strong>it</strong> die Möglichke<strong>it</strong>, die<br />
Sicherhe<strong>it</strong>seinstellungen für alle E-Mails einzustellen. Wenn Sie bei jeder E-Mail selbst entscheiden<br />
möchten, ob diese verschlüsselt und/oder signiert werden soll, wird dies im E-Mail Fenster eingestellt.<br />
Wenn Sie mehrere E-Mail Konten eingerichtet haben, müssen Sie über das Konto m<strong>it</strong> der E-<br />
Mailadresse senden, die in Ihrem Zertifikat enthalten ist. Outlook überprüft die Angaben und falls diese<br />
nicht übereinstimmen, kann keine <strong>Sign</strong>atur erzeugt werden.<br />
Outlook Express/Outlook 2003<br />
Bei Outlook Express können Sie direkt im E-Mail Fenster auf den Button <strong>Sign</strong>ieren oder<br />
Verschlüsseln klicken und anschließend auf Senden. Nach Eingabe der PIN ist die E-Mail signiert.<br />
Outlook 2000<br />
Unter Outlook 2000 müssen Sie zum <strong>Sign</strong>ieren und Verschlüsseln im E-Mail Fenster auf Optionen<br />
klicken und dort die entsprechenden Kästchen anhaken.<br />
Outlook XP<br />
Klicken Sie im E-Mail Fenster auf Optionen, oben rechts auf Sicherhe<strong>it</strong>seinstellungen und dann die<br />
Kästchen <strong>Sign</strong>ieren und Verschlüsseln anhaken.<br />
<strong>Sign</strong>atur und Klartext senden<br />
Wenn Sie die <strong>Sign</strong>atur und den Klartext separat senden (detached signature), können auch die<br />
Empfänger Ihre E-Mail lesen, deren Client signierte Nachrichten nicht unterstützen (z.B. AOL). Einige<br />
können auch die <strong>Sign</strong>atur prüfen (z.B. T-Online).<br />
� In Outlook Express finden Sie die Einstellung unter Extras/Optionen/Sicherhe<strong>it</strong>/Button<br />
"Erwe<strong>it</strong>ert". Dort sollte kein Häkchen unter "Nachricht vor dem <strong>Sign</strong>ieren verschlüsseln<br />
(PKCS#7)" gesetzt sein. Um jedoch eine E-Mail ohne Klartext zu senden, muss dieses Häkchen<br />
wieder gesetzt werden.<br />
� In Outlook finden Sie die Einstellung unter Extras/Optionen/Sicherhe<strong>it</strong>. Dort sollte ein Häkchen<br />
für "<strong>Sign</strong>ierte Nachrichten als Klartext senden" gesetzt sein.<br />
Um E-Mails verschlüsseln zu können, müssen die Zertifikate der Empfänger in die dazugehörigen<br />
Kontakte integriert sein.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 205<br />
Verschlüsselungszertifikate in Kontakt integrieren<br />
Um für eine bestimmte Person zu verschlüsseln, muss das Zertifikat (dig<strong>it</strong>ale ID) der Kontaktperson in<br />
Ihrem System installiert sein. Dazu lassen Sie sich eine signierte E-Mail von Ihrem<br />
Kommunikationspartner schicken.<br />
So integrieren Sie ein Verschlüsselungszertifikat (dig<strong>it</strong>ale ID) in einem Kontakt<br />
Outlook<br />
� Öffnen Sie die signierte E-Mail<br />
� Klicken Sie m<strong>it</strong> der rechten Maustaste auf den Namen des Absenders Von: Mailadresse<br />
� Wählen Sie Zu den Kontakten hinzufügen aus.<br />
� im Register Zertifikate können Sie sich das Zertifikat ansehen<br />
� klicken Sie auf den Button Speichern und Schliessen, dam<strong>it</strong> das Zertifikat dem Kontakt<br />
hinzugefügt wird.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 206<br />
Wenn der Kontakt bere<strong>it</strong>s existiert, werden die Daten m<strong>it</strong> den neuen Informationen ergänzt. Bei einem<br />
neuen Kontakt wird dieser automatisch angelegt. Ab diesem Ze<strong>it</strong>punkt können E-Mails für den<br />
Empfänger verschlüsselt werden.<br />
Outlook Express<br />
� Öffnen Sie die signierte E-Mail<br />
� Klicken Sie m<strong>it</strong> der rechten Maustaste auf den Namen des Absenders.<br />
� Wählen Sie Zum Adressbuch hinzufügen aus.<br />
Wenn der Kontakt bere<strong>it</strong>s existiert, werden die Daten m<strong>it</strong> den neuen Informationen ergänzt. Bei einem<br />
neuen Kontakt wird dieser angelegt. Ab diesem Ze<strong>it</strong>punkt können E-Mails für den Empfänger<br />
verschlüsselt werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 207<br />
Mozilla / Netscape Mail<br />
Mozilla Mail ist ein Programm der Mozilla Foundation und wird gebündelt m<strong>it</strong> dem Mozilla Browser<br />
angeboten.<br />
Netscape ist eine Mozilla Distribution, die sich grundsätzlich nur in der Oberfläche von Mozilla<br />
unterscheidet. Da sich m<strong>it</strong> der deutsche Version von Mozilla einige wichtige Funktionen nicht richtig<br />
darstellen lassen, wurde für diese Dokumentation Netscape 7.1 verwendet.<br />
Falls Sie eine deutsche Version von Mozilla verwenden, besteht die Möglichke<strong>it</strong>, dass einige Texte<br />
oder Button nicht oder nur unvollständig dargestellt werden.<br />
Zudem kommt es vor, dass sich Mozilla und Netscape in der Benennung von Button und Kap<strong>it</strong>el zum<br />
Teil unterscheiden.<br />
In diesem Kap<strong>it</strong>el wird der Umgang m<strong>it</strong> Mozilla 1.6 bzw. Netscape 7.1 erklärt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 208<br />
Mozilla / Netscape Mail Client Sicherhe<strong>it</strong>seinstellungen<br />
� Starten Sie zunächst Netscape Mail: Start - Programme - Netscape 7.1 - eMail &<br />
Diskussionsforen<br />
Sollten Sie Netscape Mail zum ersten Mal starten, so wird das Programm Ihnen m<strong>it</strong> einem Assistenten<br />
beim Einrichten eines E-Mail Kontos behilflich sein. Um E-Mails signieren /verschlüsseln zu können,<br />
muss unbedingt ein Mailkonto für die Mailadresse eingerichtet sein, die auch in Ihrem Zertifikat<br />
enthalten ist (siehe gelbes Chipsymbol/Eigenschaften/Zertifikate).<br />
Hinweis: Die Beschreibungen in diesem Kap<strong>it</strong>el setzen voraus, dass Ihr Kartenleser ordnungsgemäss<br />
installiert ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate<br />
auf Ihrer Karte befinden.<br />
� Klicken Sie in der Menüleiste auf Bearbe<strong>it</strong>en - Einstellungen, um das folgende Fenster zu<br />
öffnen.<br />
Kryptographie Modul installieren<br />
� Wählen Sie aus der Spalte links im Fenster Privatsphäre & Sicherhe<strong>it</strong> - Zertifikate
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 209<br />
� Klicken Sie jetzt auf Sicherhe<strong>it</strong>seinrichtungen verwalten...<br />
Jetzt öffnet sich das Fenster des Geräte-Managers, in dem alle geladenen Sicherhe<strong>it</strong>smodule zu<br />
sehen sind.<br />
� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu installieren.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 210<br />
� Geben Sie dem Modul zunächst einen Namen, z.B. S-<strong>TRUST</strong> PKCS#11 Modul, und klicken Sie<br />
dann auf Durchsuchen...<br />
� Navigieren Sie nun zum S-Trust <strong>Sign</strong>-<strong>it</strong> Programm-Verzeichnis (Standard: C:\Programme\S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong>), wählen Sie dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen.<br />
� Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses Modul<br />
installieren wollen, nochmals m<strong>it</strong> OK.<br />
� Die Meldung "Ein neues Sicherhe<strong>it</strong>smodul wurde installiert" bestätigen Sie ebenfalls m<strong>it</strong> OK.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 211<br />
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Software.<br />
� Schliessen Sie den Geräte-Manager m<strong>it</strong> einem Klick auf OK, um we<strong>it</strong>ere Einstellungen<br />
vornehmen zu können.<br />
Das Mozilla/Netscape Einstellungsfenster sollte noch geöffnet und die Kategorie Zertifikate zu sehen<br />
sein.<br />
� Klicken Sie auf den Button Zertifikate verwalten, um den Zertifikat-Manager zu öffnen und die<br />
Vertrauenswürdigke<strong>it</strong> für die Zertifikate einzustellen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 212<br />
Der Zertifikat-Manager üernimmt die Verwaltung von Zertifikaten. Unter dem Register Ihre Zertifikate<br />
werden die Zertifikate angezeigt, welche auf Ihrer Karte gespeichert sind.<br />
� Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller<br />
nicht vertrauenswürdig" beinhaltet und klicken Sie auf Anzeigen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 213<br />
Mozilla/Netscape bringt die Meldung "Zertifikat konnte aus unbekannten Gründen nicht<br />
zugelassen werden."<br />
� Unter Ausgestellt von finden Sie den Herausgeber Ihres Zertifikats, für den Sie die<br />
Vertrauenswürdigke<strong>it</strong> einstellen müssen. Vermerken Sie sich diese Information und schliessen Sie<br />
das Fenster.<br />
� Klicken Sie jetzt das Register Zertifizierungsstellen an.<br />
� Klicken Sie auf den Re<strong>it</strong>er Aussteller und markieren Sie Ihren Zertifikatsaussteller.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 214<br />
Über den Button Bearbe<strong>it</strong>en sollten Sie mindestens für den 2. Punkt ein Häkchen setzen. Jetzt<br />
vertrauen Sie dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr<br />
Zertifikat "Unterzeichnen, Verschlüsseln" angezeigt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 215<br />
Nach dem Sie diese Einstellungen vorgenommen haben, erscheint in dem folgenden Fenster die<br />
Meldung, für welchen Verwendungszweck das Zertifikat verifiziert wurde.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 216<br />
� Schliessen Sie den Zertifikats-Manager und das Einstellungsfenster.<br />
Zertifikate für die <strong>Sign</strong>atur und Verschlüsselung auswählen<br />
� Klicken Sie in der Menüleiste nun auf Bearbe<strong>it</strong>en - eMail und Diskussionsforen-Konto-<br />
Einstellungen...<br />
� Wählen Sie jetzt im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse<br />
enthalten, die m<strong>it</strong> Ihrem Zetrifikat verbunden ist) Sicherhe<strong>it</strong> aus, um zu der folgenden Ansicht zu<br />
gelangen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 217<br />
An dieser Stelle legen Sie fest, welche Zertifikate zur <strong>Sign</strong>atur und Verschlüsselung verwendet werden<br />
sollen.<br />
� Klicken Sie im Bereich Dig<strong>it</strong>ale Unterschrift auf den Button Auswählen.<br />
Mozilla / Netscape schlägt Ihnen an dieser Stelle für die <strong>Sign</strong>atur von E-Mails automatisch ein<br />
Zertifikat vor.<br />
� Klicken Sie auf OK.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 218<br />
Nun öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum<br />
Ver- und Entschlüsseln verwenden wollen.<br />
� Klicken Sie nun auf OK.<br />
� Setzen Sie ein Häkchen für "Nachricht dig<strong>it</strong>al unterschreiben (als Standard)", wenn Sie Ihre E-<br />
Mails generell signieren wollen.<br />
� Wählen Sie, ob Sie Ihre E-Mails verschlüsselt oder unverschlüsselt versenden wollen.<br />
Sie können diese Einstellung beim Erstellen einer E-Mail immer noch ändern.<br />
Sie haben alle Sicherhe<strong>it</strong>seinstellungen für Mozilla/Netscape vorgenommen und können das Fenster<br />
m<strong>it</strong> OK schließen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 219<br />
Arbe<strong>it</strong>en m<strong>it</strong> Mozilla / Netscape Mail<br />
E-Mails signieren und verschlüsseln<br />
� Starten Sie zunächst Mozilla/Netscape Mail und verfassen Sie eine neue E-Mail.<br />
� Klicken Sie jetzt auf den kleinen Pfeil rechts neben Sicherhe<strong>it</strong>, um die Einstellungen für die E-Mail<br />
nochmals zu prüfen und gegebenenfalls zu ändern.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 220<br />
B<strong>it</strong>te beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen<br />
eine E-Mail verschlüsseln zu können.<br />
Empfangen von signierten und verschlüsselten E-Mails<br />
<strong>Sign</strong>ierte E-Mails werden m<strong>it</strong> einem Stift-Symbol gekennzeichnet.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 221<br />
� Klicken Sie auf das Stift-Symbol, um die Details der <strong>Sign</strong>atur zu prüfen.<br />
Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert,<br />
bevor Sie die Nachricht lesen können. Verschlüsselte Nachrichten sind m<strong>it</strong> einem Schlüssel-Symbol<br />
gekennzeichnet.<br />
� Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 222<br />
So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Personen in den Zertifikat-<br />
Manager:<br />
Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, brauchen Sie den<br />
öffentlichen Schlüssel dieser Person.<br />
Variante 1:<br />
� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail.<br />
� Wenn Sie die E-Mail öffnen, integriert Mozilla /Netscape Mail das m<strong>it</strong>gesendete Zertifikat<br />
automatisch in den Zertifikat-Manager unter Andere Personen.<br />
Variante 2:<br />
� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail m<strong>it</strong> dem<br />
Verschlüsselungszertifikat als Anhang. Informationen zum Export eines<br />
Verschlüsselungszertifikats finden Sie in dem Abschn<strong>it</strong>t Verschlüsselungszertifikat exportieren.<br />
� Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,<br />
� Importieren Sie diese dann in dem Zertifikat-Manager unter Zertifikate anderer Personen.<br />
� Wählen Sie dazu: Bearbe<strong>it</strong>en - Einstellungen - Privatsphäre & Sicherhe<strong>it</strong> - Zertifikate<br />
� Klicken Sie auf Zertifikate verwalten.<br />
� Wählen Sie im Zertifikat-Manager den Register Andere Personen aus.<br />
� Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie auf Ihrem<br />
Computer abgespeichert haben.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 223<br />
Das Zertifikat ist im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für diese Person<br />
verschlüsseln.<br />
Beachten Sie, dass das Verschlüsselungszertifikat der Person in Zusammenhang m<strong>it</strong> einer<br />
bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail<br />
Adresse der gleichen Person senden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 224<br />
Mozilla Thunderbird<br />
Mozilla Thunderbird ist ein E-Mail Programm der Mozilla Foundation. Es bietet alle Funktionen eines<br />
modernen E-Mail Programms und kann m<strong>it</strong> PKCS#11 Modulen umgehen. Benutzern von Microsoft<br />
Outlook wird die Bedienung von Thunderbird leichtfallen, da viele der gängigsten Funktionen ähnlich<br />
sind.<br />
In diesem Kap<strong>it</strong>el wird der Umgang m<strong>it</strong> Thunderbird 1.0.2 beschrieben. Sollten Sie eine andere<br />
Version von Thunderbird verwenden, so kann es zu Abweichungen m<strong>it</strong> den hier aufgeführten Abläufen<br />
kommen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 225<br />
Thunderbird Sicherhe<strong>it</strong>seinstellungen<br />
� Starten Sie zunächst Thunderbird. Sollten Sie Thunderbird zum ersten Mal starten, so wird Ihnen<br />
das Programm m<strong>it</strong> einem Assistenten beim Einrichten eines E-Mail Kontos behilflich sein.<br />
Um E-Mails signieren /verschlüsseln zu können, muss unbedingt ein Mailkonto für die Mailadresse<br />
eingerichtet sein, die auch in Ihrem Zertifikat enthalten ist (siehe gelbes<br />
Chipsymbol/Eigenschaften/Zertifikate).<br />
Die Beschreibungen in diesem Kap<strong>it</strong>el setzten voraus, dass Ihr Kartenleser ordnungsgemäss installiert<br />
ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer<br />
Karte befinden.<br />
� Klicken Sie in der Menüleiste Extras - Einstellungen an, um das folgende Fenster zu öffnen.<br />
� Wählen Sie Erwe<strong>it</strong>ert aus und scrollen Sie den Balken rechts im Fenster zum Abschn<strong>it</strong>t<br />
Zertifikate.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 226<br />
Kryptographie-Modul installieren<br />
� Klicken Sie auf den Button Kryptographie-Module.<br />
Jetzt öffnet sich Thunderbird's Kryptographie-Modul-Manager m<strong>it</strong> einer Ansicht aller bere<strong>it</strong>s<br />
geladener Komponenten.<br />
� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu installieren.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 227<br />
� Geben Sie dem Modul zunächst einen Namen, z.B. S-<strong>TRUST</strong> PKCS#11 Modul, und klicken Sie<br />
dann auf Durchsuchen...<br />
� Navigieren Sie nun zum S-Trust <strong>Sign</strong>-<strong>it</strong> Installations-Verzeichnis (Standard: C:\Programme\S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong>), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 228<br />
� Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses Modul<br />
installieren wollen, nochmals m<strong>it</strong> OK.<br />
� Die Meldung "Ein neues Sicherhe<strong>it</strong>smodul wurde installiert" bestätigen Sie ebenfalls m<strong>it</strong> OK.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 229<br />
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Software.<br />
� Schließen Sie nun den Kryptographie-Modul-Manager m<strong>it</strong> einem Klick auf OK, um we<strong>it</strong>ere<br />
Einstellungen vorzunehmen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 230<br />
Das Thunderbird Einstellungsfenster sollte noch geöffnet und der Abschn<strong>it</strong>t Zertifikate zu sehen sein.<br />
� Klicken Sie auf den Button Zertifikate, um den Thunderbird-Zertifikat-Manager zu öffnen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 231<br />
Der Zertifikat-Manager übernimmt die Verwaltung der Zertifikate. Unter dem Register Ihre Zertifikate<br />
sind die Zertifikate zu sehen, die sich auf Ihrer Karte befinden.<br />
� Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller<br />
nicht vertrauenswürdig" anzeigt.<br />
� Klicken Sie auf Ansicht.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 232<br />
Thunderbird bringt standardmäßig die Ausschrift "Dieses Zertifikat konnte aus unbekannten<br />
Gründen nicht verifiziert werden."<br />
� Unter Herausgegeben von finden Sie den Herausgeber Ihres Zertifikats. Vermerken Sie sich b<strong>it</strong>te<br />
diese Information und schließen Sie das Fenster.<br />
� Klicken Sie das Register "Zertifizierungsstellen" an und markieren Sie Ihren<br />
Zertifikatsaussteller.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 233<br />
� Über den Button Bearbe<strong>it</strong>en sollten Sie mindestens für den 2. Punkt ein Häkchen setzen. Dam<strong>it</strong><br />
vertrauen Sie dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr<br />
Zertifikat als Zweck "Unterzeichnen/Verschlüsseln" angezeigt.<br />
� Wählen Sie erneut das Register Ihre Zertifikate aus.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 234<br />
� Klicken Sie auf Ansicht, um we<strong>it</strong>ere Detailinformationen zu erhalten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 235<br />
Wenn alle Einstellungen korrekt ausgeführt wurden, sehen Sie folgendes Fenster, in dem Ihnen<br />
m<strong>it</strong>geteilt wird, für welchen Verwendungszweck das Zertifikat verifiziert wurde.<br />
� Klicken Sie auf Schließen. Anschließend können Sie auch den Zertifikat-Manager und das<br />
Einstellungs-Fenster schließen.<br />
Zertifikate für die <strong>Sign</strong>atur und Verschlüsselung auswählen<br />
� Klicken Sie in der Menüleiste auf Extras - Konten.<br />
� Wählen Sie im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse<br />
enthalten, die m<strong>it</strong> Ihrem Zertifikat verbunden ist) Sicherhe<strong>it</strong> aus, um zu folgender Ansicht zu<br />
gelangen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 236<br />
� Legen Sie fest, welche Zertifikate für die <strong>Sign</strong>atur und Verschlüsselung verwendet werden sollen.<br />
� Klicken Sie im Bereich Dig<strong>it</strong>ale Unterschrift auf den Button Auswählen.<br />
Thunderbird schlägt Ihnen an dieser Stelle automatisch ein Zertifikat für die <strong>Sign</strong>atur von E-Mails vor.<br />
� Klicken Sie nun auf OK.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 237<br />
Es öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum<br />
Ver- und Entschlüsseln verwenden wollen.<br />
� Klicken Sie hier auf OK.<br />
� Setzen Sie ein Häkchen für "Nachricht dig<strong>it</strong>al unterschreiben (als Standard)", wenn Sie Ihre<br />
E-Mails generell signieren wollen.<br />
� Wählen Sie, ob Sie Ihre E-Mails standardmäßig verschlüsselt oder unverschlüsselt versenden<br />
wollen.<br />
Sie können diese Einstellungen beim Erstellen einer E-Mail immer noch ändern.<br />
Sie haben alle Sicherhe<strong>it</strong>seinstellungen für Thunderbird vorgenommen und können das Fenster m<strong>it</strong><br />
OK schließen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 238<br />
Arbe<strong>it</strong>en m<strong>it</strong> Thunderbird<br />
Bevor Sie die hier beschriebenen Abläufe ausführen können, müssen Sie das E-Mail Programm<br />
konfigurieren. Lesen Sie dazu das Kap<strong>it</strong>el Thunderbird Sicherhe<strong>it</strong>seinstellungen.<br />
E-Mails signieren und verschlüsseln<br />
� Starten Sie Thunderbird und verfassen Sie eine neue E-Mail.<br />
� Klicken Sie auf den kleinen Pfeil rechts neben Sicherhe<strong>it</strong>, um die Einstellungen für die E-Mail<br />
nochmals zu prüfen und gegebenenfalls zu ändern.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 239<br />
Beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine<br />
E-Mail verschlüsseln zu können.<br />
Empfangen von signierten und verschlüsselten E-Mails<br />
<strong>Sign</strong>ierte E-Mails werden m<strong>it</strong> einem Stift-Symbol gekennzeichnet.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 240<br />
� Klicken Sie auf das Stift-Symbol, um die <strong>Sign</strong>atur der E-Mail zu prüfen.<br />
� M<strong>it</strong> einem Klick auf Unterschriftszertifikat ansehen, können Sie sich die Details zum Zertifikat<br />
anzeigen lassen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 241<br />
Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert,<br />
bevor Sie die Nachricht lesen können. Verschlüsselte Nachrichten sind m<strong>it</strong> einem Schlüssel-Symbol<br />
gekennzeichnet.<br />
� Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.<br />
So integrieren Sie den öffentlichen Schlüssel von Zetrifikaten anderer Person in den Zertifikat-<br />
Manager:<br />
Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, benötigen Sie den<br />
öffentlichen Schlüssel des Empfängers.<br />
Variante 1:<br />
� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail.<br />
� Wenn Sie die E-Mail öffnen, integriert Thunderbird das m<strong>it</strong>gesendete Zertifikat automatisch in den<br />
Zertifikat-Manager unter Zertifikate anderer Personen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 242<br />
Variante 2:<br />
� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail m<strong>it</strong> dem<br />
Verschlüsselungszertifikat als Anhang. We<strong>it</strong>ere Informationen zu dem Export von<br />
Verschlüsselungszertifikaten finden Sie in dem Abschn<strong>it</strong>t Verschlüsselungszertifikat<br />
exportieren.<br />
� Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,<br />
� Importieren Sie diese dann in den Zertifikat-Manager unter Zertifikate anderer Personen.<br />
� Wählen Sie dazu: Extras - Einstellungen - Erwe<strong>it</strong>ert - Zertifikate<br />
� Wählen Sie dann im Zertifikat-Manager den Register Zertifikate anderer Personen aus.<br />
� Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie auf Ihrem<br />
Computer abgespeichert haben.<br />
Das Zertifikat ist jetzt im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für die Person, der<br />
dieses Zertifikat gehört, verschlüsseln.<br />
Beachten Sie b<strong>it</strong>te, dass das Verschlüsselungszertifikat der Person in Zusammenhang m<strong>it</strong> einer<br />
bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail<br />
Adresse der gleichen Person senden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 243<br />
Lotus Notes<br />
Lotus Notes ist ein E-Mail Programm, welches sehr umfassende Funktionen bietet. Hier werden nur<br />
die Funktionen beschrieben, welche in direkter Verbindung m<strong>it</strong> dem Empfangen und Versenden von<br />
signierten und verschlüsselten E-Mails stehen.<br />
Die hier beschriebenen Abläufe beziehen sich auf die Software Lotus Notes 6.5, Version 6.5.4<br />
Deutsch. B<strong>it</strong>te beachten Sie, dass frühere Versionen (z.B. Lotus Notes 6.5.3 Deutsch) nicht<br />
ausreichend lokalisiert sind und daher manche Funktionen (z.B. Internet-Zertifikate von Smartcard<br />
importieren) nicht möglich sind. Dies hat zur Folge, dass die Vorgängerversionen nicht ohne we<strong>it</strong>eres<br />
für die hier beschriebenen Abläufe zu verwenden sind.<br />
Sollten Sie eine ältere Version von Lotus Notes 6.5 oder Lotus Notes 6 verwenden, so kann es<br />
hilfreich sein, erst ein Update auf die oben genannte Version zu installieren, bevor Sie versuchen, die<br />
hier beschriebenen Abläufe nachzuvollziehen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 244<br />
Lotus Notes 6.5.4 Sicherhe<strong>it</strong>seinstellungen<br />
Voraussetzung für die Sicherhe<strong>it</strong>seinstellungen in Lotus Notes<br />
Bevor Sie die hier beschriebenen Einstellungen vornehmen können, müssen folgende<br />
Voraussetzungen erfüllt sein:<br />
� Ihr E-Mail Konto muss ordnunsgemäss eingerichtet sein,<br />
� die S-Trust <strong>Sign</strong>-<strong>it</strong> Software und der Kartenleser müssen installiert sein,<br />
� S-Trust <strong>Sign</strong>-<strong>it</strong> ist gestartet,<br />
� die Karte befindet sich im Kartenleser und wurde erkannt.<br />
Installieren des PKCS#11 Treibers<br />
Dam<strong>it</strong> Lotus Notes m<strong>it</strong> den Zertifikaten auf Ihrer Smartcard arbe<strong>it</strong>en kann, muss zunächst der<br />
PKCS#11 Treiber in Lotus Notes installiert werden.<br />
� Wählen Sie zunächst Datei - Sicherhe<strong>it</strong> - Benutzersicherhe<strong>it</strong>...<br />
� Klicken Sie auf Ihre Ident<strong>it</strong>ät im linken Bereich des Fensters.<br />
� Wählen Sie anschließend Ihre Smartcard.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 245<br />
Jetzt öffnet sich ein Fenster zur Smartcard Konfiguration.<br />
� Klicken Sie nun auf das Ordner-Symbol, um eine Smartcard-Treiberdatei zu installieren.<br />
Daraufhin öffnet sich ein Fenster zum Auswählen des Smartcard Treibers.<br />
� Wählen Sie nun die Datei siqp11.dll aus dem Installationsverzeichnis (Standard:<br />
C:\Programme\S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong>).<br />
� Klicken Sie auf Öffnen, um den Treiber zu installieren.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 246<br />
Daraufhin wird das Fenster zur Smartcard Konfiguration dargestellt, in welchem Sie jetzt den<br />
installierten Treiber sehen.<br />
� Klicken Sie auf Fortfahren..., um die Installation abzuschließen.<br />
Installation Ihres <strong>Sign</strong>atur-Zertifikats<br />
Dam<strong>it</strong> Sie das auf Ihrer Smartcard gespeicherte <strong>Sign</strong>aturzertifikat zum <strong>Sign</strong>ieren von E-Mails in Lotus<br />
Notes nutzen können, müssen Sie dieses zunächst installieren.<br />
� Wählen Sie Ihre Zertifikate in dem linken Bereich des Fensters aus.<br />
� Klicken Sie dann auf den Button Zertifikate abrufen... und wählen Sie Internet-Zertifikat von<br />
einer Smartcard importieren aus dem Menü.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 247<br />
Hinweis: Wenn Sie eine ältere deutsche Version von Lotus Notes 6.5 oder 6 (z.B. Lotus Notes 6.5.3<br />
Deutsch) verwenden ist diese Schaltfläche gegraut und Sie können som<strong>it</strong> keine Smartcard Zertifikate<br />
importieren. Installieren Sie in diesem Fall ein Update auf Lotus Notes 6.5.4.<br />
Wenn die Zertifikate erfolgreich importiert wurden, erscheint folgende Meldung.<br />
� Wählen Sie nun Ihre Internet-Zertifikate aus dem Menü.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 248<br />
Jetzt werden die von der Smartcard importierten Zertifikate angezeigt werden.<br />
Wenn Ihr Zertifikat nicht angezeigt wird, sollten Sie Lotus Notes beenden, neu starten und dann zu<br />
diesem Dialog zurückkehren (Datei - Sicherhe<strong>it</strong> - Benutzersicherhe<strong>it</strong>- Ihre Ident<strong>it</strong>ät - Ihre<br />
Zertifikate - Menü: Ihre Internet-Zertifikate).
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 249<br />
Arbe<strong>it</strong>en m<strong>it</strong> Lotus Notes 6.5.4<br />
Bevor Sie dam<strong>it</strong> beginnen können, m<strong>it</strong> Lotus Notes 6.5.4 signierte oder verschlüsselte E-Mails zu<br />
versenden oder zu empfangen, stellen Sie sicher, dass das Programm ordnungsgemäss konfiguriert<br />
ist. Lesen Sie dazu das Kap<strong>it</strong>el Lotus Notes 6.5.4 Sicherhe<strong>it</strong>seinstellungen.<br />
Versenden einer signierten E-Mail<br />
� Erstellen Sie zunächst ein neues Memo.<br />
� Klicken Sie dann auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für<br />
<strong>Sign</strong>ieren.<br />
� Klicken Sie auf OK, um die Einstellungen zu speichern.<br />
� Jetzt können Sie die E-Mail senden.<br />
Sie werden dazu aufgefordert, eine <strong>Sign</strong>atur zu erzeugen. We<strong>it</strong>ere Informationen dazu finden Sie in<br />
dem Abschn<strong>it</strong>t <strong>Sign</strong>ieren.<br />
So integrieren Sie den öffentlichen Schlüssel des Zertifikats einer anderen Person in Lotus Notes:<br />
� Die Person, für die Sie verschlüsseln wollen muss Ihnen dazu eine signierte E-Mail senden.<br />
� Öffnen Sie die E-Mail, klicken Sie dann auf den Button Werkzeuge und wählen Sie im Menü<br />
Absender in Adressbuch aufnehmen aus.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 250<br />
Es öffnet sich ein Fenster, zur Aufnahme der Daten in das Adressbuch.<br />
� Wählen Sie jetzt das Register Erwe<strong>it</strong>ert aus, und aktivieren Sie die Option Gegebenenfalls<br />
x.509-Zertifikate aufnehmen.<br />
� Klicken Sie OK, um die Daten zu speichern.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 251<br />
Versenden einer verschlüsselten E-Mail<br />
B<strong>it</strong>te beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen<br />
verschlüsseln zu können.<br />
� Erstellen Sie zunächst ein neues Memo.<br />
� Klicken Sie auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für<br />
Verschlüsseln.<br />
� Klicken Sie dann auf OK, um die Einstellungen zu speichern.<br />
� Jetzt können Sie Ihre verschlüsselte E-Mail versenden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 252<br />
Lotus Notes 5<br />
Zur Verwendung Ihrer S-<strong>TRUST</strong> Smartcard unter Lotus Notes 5 wird ein PKCS#11 Treiber benötigt.<br />
Dieser wird unter Lotus Notes 5 über Trusted Mime eingebunden. Dazu muss Trusted Mime auf dem<br />
Rechner installiert sein. Um genaue Informationen zu erhalten, wie Sie den PKCS#11 Treiber in<br />
Trusted Mime richtig einbinden, informieren Sie sich b<strong>it</strong>te in der Trusted Mime Dokumentation.<br />
Der PKCS#11 Treiber befindet sich im Installationsverzeichnis der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Software (<br />
Standard: C:\Programme\S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong>\siqp11.dll )<br />
We<strong>it</strong>ere Informationen finden Sie in dem Abschn<strong>it</strong>t Arbe<strong>it</strong>en m<strong>it</strong> Lotus Notes 6.5.4.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 253<br />
SSL Authentisierung<br />
M<strong>it</strong> den Modulen der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Software sind Sie in der Lage, sich an einer Webse<strong>it</strong>e welche<br />
SSL Authentisierung verwendet, anzumelden. Diese Aufgabe wird je nach Verwendung des Web-<br />
Browsers vom CSP oder vom PKCS#11 Treiber übernommen.<br />
Über SSL:<br />
Secure Sockets Layer (SSL) ist ein Verschlüsselungsprotokoll für Datenübertragung im Internet. Wenn<br />
eine Verbindung zu einer Webse<strong>it</strong>e über SSL hergestellt wird, geschieht dies in etwa so:<br />
� Zunächst sendet der Client (Web-Browser m<strong>it</strong> dem Sie arbe<strong>it</strong>en) eine Verbindungsanfrage an den<br />
Server (dort ist die Webse<strong>it</strong>e, die Sie besuchen wollen).<br />
� Daraufhin antwortet der Server und sendet ein Zertifikat.<br />
� Indem Sie bestätigen, dass Sie dem Zertifikat des Servers vertrauen, ermöglichen Sie Ihren Web-<br />
Browser die Verbindung zum Server herzustellen. (Dieser Schr<strong>it</strong>t wird unter Umständen<br />
automatisch durchgeführ, z.B. dann, wenn das Server-Zertifikat von Ihrem Web-Browser bere<strong>it</strong>s<br />
als vertrauenswürdig eingestuft wird.)<br />
� Eventuell will der Server aber auch wissen ob Sie die Person sind, für die Sie sich ausgeben und<br />
sendet eine entsprechende Anfrage an Ihren Web-Browser (Bidiretionelle SSL Authentifizierung).<br />
� Jetzt müssen Sie sich dem Server gegenüber identifizieren, indem Sie die Anfrage des Servers<br />
signieren. Dabei kommen die Module der Software zum Einsatz.<br />
� Nun ist eine sichere Verbindung über SSL hergestellt.<br />
Wenn Sie mehr über SSL wissen wollen, lesen Sie unter<br />
http://de.wikipedia.org/wiki/Secure_Sockets_Layer nach.<br />
Die folgenden Web-Browser werden für die SSL Authentisierung von S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> unterstützt:<br />
� Internet Explorer ab Version 6<br />
� Mozilla ab Version 1.6 (entspricht Netscape ab Version 7.1)<br />
� Firefox ab Version 1.0.4<br />
Der Internet Explorer nutzt dazu den Cryptographic Service Provider (CSP). Firefox und Mozilla /<br />
Netscape hingegen verwenden den PKCS#11 Treiber. Firefox und Mozilla / Netscape müssen daher<br />
richtig konfiguriert werden, bevor die SSL Authentisierung gestartet werden kann. Wenn Sie m<strong>it</strong><br />
Firefox oder Mozilla / Netscape arbe<strong>it</strong>en, lesen Sie deshalb b<strong>it</strong>te die Kap<strong>it</strong>el Firefox Browser<br />
Sicherhe<strong>it</strong>seinstellungen bzw. Mozilla / Netscape Browser Sicherhe<strong>it</strong>seinstellungen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 254<br />
Internet Explorer<br />
Bevor Sie eine Webse<strong>it</strong>e besuchen können, welche m<strong>it</strong> SSL Authentisierung arbe<strong>it</strong>et, müssen Sie Ihre<br />
Karte in den Leser stecken und warten bis diese erkannt wurde (Chipsymbol ist gelb).<br />
B<strong>it</strong>te beachten Sie, dass eine gegense<strong>it</strong>ige Identifizierung über SSL nicht das gleiche ist, wie eine SSL<br />
Verschlüsselung. Wenn Sie eine verschlüsselte Webse<strong>it</strong>e besuchen, müssen Sie sich dem Server<br />
gegenüber nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird<br />
zwar eine sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie<br />
überm<strong>it</strong>teln nicht an die Stelle senden, an die Sie diese zu senden glauben.<br />
M<strong>it</strong> einer gegense<strong>it</strong>igen SSL Authentisierung können solche Risiken we<strong>it</strong>gehend vermieden werden.<br />
Herstellen einer Verbindung zu einer Webse<strong>it</strong>e m<strong>it</strong> SSL Authentisierung<br />
Wenn Sie m<strong>it</strong> Internet Explorer eine Webse<strong>it</strong>e aufsuchen, die SSL Authentisierung verwendet, wird<br />
eventuell eine Meldung angezeigt, in der Sie gefragt werden ob Sie die sichere Webse<strong>it</strong>e anzeigen<br />
wollen.<br />
� Bestätigen Sie den Dialog m<strong>it</strong> Ja, um fortzufahren.<br />
� Jetzt wird das Zertifikat der Webse<strong>it</strong>e angezeigt, das der Server an Sie sendet. Um den Vorgang<br />
fortzusetzen müssen Sie diesem Zertifikat vertrauen und m<strong>it</strong> Ja bestätigen.<br />
� Warten Sie nun einen Moment, bis sich der <strong>Sign</strong>aturanforderungsdialog der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Software öffnet.<br />
� Klicken Sie jetzt auf <strong>Sign</strong>atur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein.<br />
Dam<strong>it</strong> identifizieren Sie sich gegenüber dem Server.<br />
Die Verbindung zur Webse<strong>it</strong>e wird hergestellt. Alle Daten, die nun zwischen Ihnen und der Webse<strong>it</strong>e<br />
ausgetauscht werden, werden über eine sichere Verbindung geschickt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 255<br />
Firefox Browser Sicherhe<strong>it</strong>seinstellungen<br />
Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so<br />
konfigurieren, dass dieser m<strong>it</strong> Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann.<br />
Die Beschreibungen in diesem Kap<strong>it</strong>el setzten voraus, dass Ihr Kartenleser richtig installiert ist, Ihre<br />
Karte sich in diesem befindet, erkannt wurde und die notwendigen Zertifikate sich auf Ihrer Karte<br />
befinden.<br />
� Öffnen Sie den Web-Browser und klicken Sie dann in der Menüleiste auf Extras - Einstellungen.<br />
Kryptographie Modul installieren<br />
� Wählen Sie nun aus der Spalte links im Fenster Erwe<strong>it</strong>ert und scrollen sie dann im rechten Teil<br />
des Fensters bis zum Abschn<strong>it</strong>t Zertifikate.<br />
� Klicken Sie jetzt auf Kryptographie-Module verwalten...
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 256<br />
Es öffnet sich der Kryptographie-Modul-Manager m<strong>it</strong> einer Ansicht der bere<strong>it</strong>s aktiven Komponenten.<br />
� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum<br />
Umgang m<strong>it</strong> ihrer Karte notwendig ist, zu installieren.<br />
� Geben Sie dem Modul zunächst einen Namen, z.B. S-<strong>TRUST</strong> PKCS#11 Modul, und klicken Sie<br />
dann auf Durchsuchen...
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 257<br />
Navigieren Sie zum S-Trust <strong>Sign</strong>-<strong>it</strong> Installations-Verzeichnis (Standard: C:\Programme\S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong>), wählen Sie dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen.<br />
� Klicken Sie nun auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses<br />
Modul installieren wollen, bestätigen Sie dies m<strong>it</strong> OK.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 258<br />
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul.<br />
� Klicken Sie nun auf OK.<br />
Jetzt ist Firefox richtig konfiguriert.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 259<br />
Firefox SSL Authentisierung<br />
Bevor Sie eine Webse<strong>it</strong>e besuchen können, welche m<strong>it</strong> SSL Authentisierung arbe<strong>it</strong>et, müssen Sie Ihre<br />
Karte in den Leser stecken und warten, bis diese erkannt wurde (gelbes Chipsymbol).<br />
B<strong>it</strong>te beachten Sie, dass eine gegense<strong>it</strong>ige Identifizierung über SSL nicht das gleiche ist, wie eine SSL<br />
Verschlüsselung. Wenn Sie eine verschlüsselte Webse<strong>it</strong>e besuchen, müssen Sie sich dem Server<br />
gegenüber nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird<br />
zwar eine sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie<br />
überm<strong>it</strong>teln nicht an die Stelle senden, an die Sie diese zu senden glauben.<br />
M<strong>it</strong> einer gegense<strong>it</strong>igen SSL Authentisierung können solche Risiken we<strong>it</strong>gehend vermieden werden.<br />
Herstellen einer Verbindung zu einer Webse<strong>it</strong>e m<strong>it</strong> SSL Authentisierung<br />
Wenn Sie m<strong>it</strong> Firefox eine Webse<strong>it</strong>e aufsuchen, die SSL Authentisierung verwendet, wird eventuell<br />
eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webse<strong>it</strong>e anzeigen wollen.<br />
� Bestätigen Sie den Dialog m<strong>it</strong> Ja, um fortzufahren.<br />
� Jetzt wird das Zertifikat der Webse<strong>it</strong>e angezeigt, das der Server an Sie sendet. Um den Vorgang<br />
fortzusetzen, müssen Sie diesem Zertifikat vertrauen und m<strong>it</strong> OK bestätigen.<br />
Sie können das Zertifikat temporär oder für immer akzeptieren. Wenn Sie das Zertifikat für immer<br />
akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webse<strong>it</strong>e nicht<br />
mehr angezeigt.<br />
Es wird der <strong>Sign</strong>aturanforderungsdialog der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Software geöffnet.<br />
� Klicken Sie jetzt auf <strong>Sign</strong>atur erzeugen<br />
� Geben Sie Ihre globale PIN (CSA-Passwort) ein. Dam<strong>it</strong> identifizieren Sie sich gegenüber dem<br />
Server.<br />
Es wird die Verbindung zur Webse<strong>it</strong>e hergestellt. Alle Daten, die nun zwischen Ihnen und der<br />
Webse<strong>it</strong>e ausgetauscht werden, werden über eine sichere Verbindung geschickt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 260<br />
Mozilla / Netscape Browser<br />
Sicherhe<strong>it</strong>seinstellungen<br />
Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so<br />
konfigurieren, dass dieser m<strong>it</strong> Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann.<br />
Die Beschreibungen in diesem Kap<strong>it</strong>el setzen voraus, dass Ihr Kartenleser richtig installiert ist, Ihre<br />
Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte<br />
befinden.<br />
� Öffnen Sie den Web-Browser und klicken Sie in der Menüleiste auf Bearbe<strong>it</strong>en - Einstellungen.<br />
Kryptographie Modul installieren<br />
� Wählen Sie nun aus der Spalte links im Fenster Privatsphäre & Sicherhe<strong>it</strong> - Zertifikate<br />
� Klicken Sie jetzt auf Sicherhe<strong>it</strong>seinrichtungen verwalten...
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 261<br />
Jetzt öffnet sich ein Fenster in dem bere<strong>it</strong>s vorhandene Sicherhe<strong>it</strong>smodule zu sehen sind.<br />
� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum<br />
Umgang m<strong>it</strong> ihrer Karte notwendig ist, zu installieren.<br />
� Geben Sie dem Modul zunächst einen Namen, z.B. "S-<strong>TRUST</strong> PKCS#11 Modul" und klicken Sie<br />
auf Durchsuchen...
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 262<br />
Navigieren Sie zum S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Installations-Verzeichnis (Standard: C:\Programme\S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong>), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen.<br />
� Klicken Sie auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul<br />
installieren wollen, bestätigen Sie dies m<strong>it</strong> OK.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 263<br />
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul.<br />
� Klicken Sie nun auf OK.<br />
Jetzt ist Mozilla /Netscape richtig konfiguriert.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 264<br />
Mozilla / Netscape SSL Authentisierung<br />
Bevor Sie eine Webse<strong>it</strong>e besuchen können, welche m<strong>it</strong> SSL Authentisierung arbe<strong>it</strong>et, müssen Sie Ihre<br />
Karte in den Leser stecken und warten, bis sie erkannt wurde (gelbes Chipsymbol).<br />
B<strong>it</strong>te beachten Sie, dass eine gegense<strong>it</strong>ige Identifizierung über SSL nicht das gleiche ist, wie eine SSL<br />
Verschlüsselung. Wenn Sie eine verschlüsselte Webse<strong>it</strong>e besuchen, müssen Sie sich dem Server<br />
gegenüber nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird<br />
zwar eine sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie<br />
überm<strong>it</strong>teln nicht an die Stelle senden, an die Sie diese zu senden glauben.<br />
M<strong>it</strong> einer gegense<strong>it</strong>igen SSL Authentisierung können solche Risiken we<strong>it</strong>gehend vermieden werden.<br />
Herstellen einer Verbindung zu einer Webse<strong>it</strong>e m<strong>it</strong> SSL Authentisierung<br />
Wenn Sie m<strong>it</strong> Mozilla / Netscape eine Webse<strong>it</strong>e aufsuchen, die SSL Authentisierung verwendet, wird<br />
eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webse<strong>it</strong>e anzeigen<br />
wollen.<br />
� Bestätigen Sie den Dialog m<strong>it</strong> Ja, um fortzufahren.<br />
� Jetzt wird das Zertifikat der Webse<strong>it</strong>e angezeigt, das der Servers an Sie sendet. Um den Vorgang<br />
fortzusetzen, müssen Sie diesem Zertifikat vertrauen und m<strong>it</strong> OK bestätigen.<br />
Sie können das Zertifikat temporär oder dauerhaft akzeptieren. Wenn Sie das Zertifikat dauerhaft<br />
akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webse<strong>it</strong>e nicht<br />
mehr angezeigt.<br />
Es öffnet sich der <strong>Sign</strong>aturanforderungsdialog der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Software.<br />
� Klicken Sie auf <strong>Sign</strong>atur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein. Dam<strong>it</strong><br />
identifizieren Sie sich gegenüber dem Server.<br />
Jetzt wird die Verbindung zur Webse<strong>it</strong>e hergestellt. Alle Daten, die nun zwischen Ihnen und der<br />
Webse<strong>it</strong>e ausgetauscht werden, werden über eine sichere Verbindung geschickt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 265<br />
Erste Hilfe<br />
In diesem Kap<strong>it</strong>el wird der Umgang m<strong>it</strong> Fehlermeldungen des Produktes beschrieben. In den<br />
folgenden Auflistungen finden Sie mögliche Fehler, deren Ursache und wie Sie als Benutzer auf diese<br />
Fehler reagieren können oder müssen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 266<br />
Wie gehe ich m<strong>it</strong> Fehlermeldungen um?<br />
Im Idealfall läuft das Produkt auf Ihrem Rechner so, dass Sie nie eine Fehlermeldung sehen. Da aber<br />
das Produkt Sicherhe<strong>it</strong>skomponenten (siehe "Sicherhe<strong>it</strong>skomponenten der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5")enthält, die Sie vor manipulierten Inhalten bei der Darstellung und bei der<br />
<strong>Sign</strong>aturerzeugung schützen sollen, werden Sie im Laufe der Arbe<strong>it</strong> m<strong>it</strong> dem Produkt auch m<strong>it</strong> solchen<br />
vermeintlichen Fehlermeldungen konfrontiert, die Sie auf ein Sicherhe<strong>it</strong>srisiko oder auf einen<br />
tatsächlich erfolgten Angriff auf ein durch das Produkt zu schützendes Objekt hinweisen.<br />
Der folgende Abschn<strong>it</strong>t gibt Ihnen eine Übersicht, wie das Produkt auf versuchte Manipulationen oder<br />
Änderungen reagiert und wie Sie als Benutzer in diesem Falle verfahren sollten. Dieser Abschn<strong>it</strong>t soll<br />
Sie als Benutzer des Produktes so sensibilisieren, dass Sie in der Lage sind, den sicheren Zustand<br />
des Produktes zu erkennen und Abweichungen richtig zu interpretieren.<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> meldet, dass die Fontdatei cour.ttf nicht vorhanden oder<br />
manipuliert ist:<br />
Hintergrund: Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> verwendet den Font Courier New zur Darstellung von<br />
Textinhalten. Diese Schriftart ist eine symmetrische Schriftart und die Verwendung soll dazu<br />
be<strong>it</strong>ragen, dass Sie den angezeigten Text eindeutig lesen können. Die Interpretation des angezeigten<br />
Textes aus inhaltlicher Sicht kann die gesicherte Anzeigeeinhe<strong>it</strong> allerdings nicht leisten, Sie müssen<br />
als Benutzer selbst entscheiden, ob Sie den angezeigten Text signieren wollen oder nicht.<br />
Ursache: In diesem Falle kommen zwei Ursachen in Frage. Die Datei kann wissentlich oder<br />
unwissentlich aus dem System entfernt worden sein. Da diese Font-Datei integraler Bestandteil des<br />
Betriebssystems ist, kommt eine wissentliche oder unwissentliche Manipulation des Betriebssystems<br />
in Betracht. Als zwe<strong>it</strong>e Ursache kann der Austausch oder die Manipulation dieser Datei in Betracht<br />
gezogen werden. Wenn Sie z.B. ein Grafikbearbe<strong>it</strong>ungsprogramm auf Ihrem Rechner installieren,<br />
welches die vorhandene Datei des Betriebssystems austauscht, kann diese Fehlermeldung auftreten.<br />
Sie sollten aber in Betracht ziehen, dass ein Angreifer versucht hat, die Datei so zu manipulieren, dass<br />
z.B. das Euro Zeichen gegen das Zeichen für br<strong>it</strong>ische Pfund ausgetauscht wurde.<br />
Benutzerinteraktion: Wenn die Fehlermeldung angezeigt wird, müssen Sie als Benutzer selbst<br />
entscheiden, ob Sie der Darstellung durch den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> vertrauen. Der S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> kann in diesem Fall keine Garantie geben, dass der angezeigte Text dem entspricht,<br />
wie er m<strong>it</strong> der korrekten Version der Font Datei angezeigt werden würde. Vertrauen Sie im Zweifelsfall<br />
der Darstellung nicht und erzeugen Sie keine elektronische <strong>Sign</strong>atur an dem angezeigten Dokument.<br />
Der Rechner stürzt während der <strong>Sign</strong>aturerzeugung ab oder der Kartenlesertreiber bleibt<br />
'hängen':<br />
Hintergrund: Wenn Inkompatibiltäten zwischen dem Betriebssystem und dem verwendeten<br />
Kartenlesertreiber existieren, kann möglicherweise der Rechner während der <strong>Sign</strong>aturerzeugung<br />
abstürzen oder das System reagiert nicht mehr auf Benutzerinteraktion. Das ist kein Fehler, der durch<br />
das Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version 2.5.1.1 verursacht wird.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 267<br />
Benutzerinteraktion: Wenn der Rechner abstürzt oder hängen bleibt, sollten Sie auf jeden Fall den<br />
Rechner abschalten und neu starten. Nur dieses Vorgehen gibt Ihnen als Benutzer die Sicherhe<strong>it</strong>,<br />
dass der Arbe<strong>it</strong>sspeicher des Rechners neu in<strong>it</strong>ialisiert wird und keine Speicherbereiche im RAM des<br />
Rechners verbleiben, die evtl. noch die erzeugte elektronische <strong>Sign</strong>atur beinhalten. Wenn das<br />
Problem häufiger auftr<strong>it</strong>t, sollten Sie sich an den Hersteller des verwendeten Kartenlesers wenden und<br />
Informationen einholen, welcher Treiber für Ihren Kartenleser geeignet ist.<br />
Bei der Arbe<strong>it</strong> m<strong>it</strong> dem Produkt können Sie m<strong>it</strong> der Anwendung keine <strong>Sign</strong>aturen mehr<br />
erzeugen oder prüfen. Der Tooltip im Systemtray zeigt an: 'Deaktiviert wegen<br />
Manipulationsverdacht':<br />
Hintergrund: Eine Sicherhe<strong>it</strong>sfunktion des Produktes bietet einen Selbstschutz des Programmes<br />
gegen Manipulationsversuche durch andere Programme oder durch unbefugte Dr<strong>it</strong>te. Wenn ein<br />
Bestandteil des Produktes erkennt, dass z.B. eine Programmbibliothek ausgetauscht wurde, wird dies<br />
dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager gemeldet, welcher daraufhin die Funktionen zur<br />
<strong>Sign</strong>aturerzeugung und Verifikation deaktiviert. Das Programm S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten<br />
2.5, Version 2.5.1.1 wird beendet.<br />
Ursache: Möglicherweise hat jemand versucht, den Zustand des Produktes auf Ihrem Rechner zu<br />
manipulieren oder so zu verändern, dass daraus ein Schaden für Sie als Anwender entstehen könnte.<br />
Wenn Sie versucht haben, Bibliotheken aus älteren Versionen m<strong>it</strong> dem Produkt zu verwenden, gilt<br />
dies ebenfalls als Manipulationsversuch und das Programm wird beendet.<br />
Benutzerinteraktion: Sie sollten jetzt m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool den Zustand Ihrer<br />
lokalen Installation überprüfen. Dieses Programm teilt Ihnen detailliert m<strong>it</strong>, welche Programmbibliothek<br />
von dem Manipulationsversuch betroffen ist. Sie sollten keine we<strong>it</strong>eren Interaktionen m<strong>it</strong> dem Produkt<br />
ausführen, insbesondere sollten Sie nicht versuchen, eine elektronische <strong>Sign</strong>atur zu erzeugen. Wenn<br />
Sie ein nicht vom Hersteller authorisiertes Update eingespielt haben, müssen Sie das Produkt<br />
deinstallieren und erneut installieren. Wenn Sie sich nicht sicher sind, wie Sie we<strong>it</strong>er m<strong>it</strong> dem Produkt<br />
verfahren sollen, wenden Sie sich an den Hersteller, der Ihnen in diesem Fall Tipps für ein we<strong>it</strong>eres<br />
Vorgehen geben kann.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 268<br />
Fehlermeldungen vor oder während der<br />
Installation<br />
Die folgenden Fehlermeldungen können vor oder während der Installation angezeigt werden.<br />
Fehlermeldung Ursache Benutzeraktion<br />
Ihr Betriebssystem Diese Fehlermeldung kann nach dem Sie müssen ein Betriebssystem<br />
wird nicht unterstützt. Sprachauswahldialog und vor dem verwenden, welches den<br />
B<strong>it</strong>te verwenden Sie Anzeigen der ersten Dialogse<strong>it</strong>e für das Mindestanforderungen genügt.<br />
für diese Anwendung Setup der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
ein anderes<br />
Basiskomponenten 2.5, Version 2.5.1.1<br />
Betriebssystem. Das generiert werden.<br />
Setup wird beendet. Die Betriebssystemversion, auf der das<br />
Produkt installiert werden soll,<br />
entspricht nicht den<br />
Mindestvoraussetzungen.<br />
Ihre gegenwärtige Diese Fehlermeldung kann nach dem Sie müssen sich m<strong>it</strong><br />
Windows-Anmeldung Sprachauswahldialog und vor dem Administrationsrechten an dem<br />
ist nicht m<strong>it</strong><br />
Anzeigen der ersten Dialogse<strong>it</strong>e für das Rechner anmelden.<br />
Administratoren- Setup der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Rechten ausgestattet. Basiskomponenten 2.5, Version 2.5.1.1<br />
Um das Setup generiert werden.<br />
ausführen zu können, Sie sind nicht m<strong>it</strong><br />
müssen Sie sich als<br />
Administrator<br />
anmelden. Das Setup<br />
wird beendet.<br />
Administrationsrechten angemeldet.<br />
Ihr Internet Explorer ist Diese Fehlermeldung kann nach dem Sie müssen eine Version des<br />
älter als Version 5.01 Sprachauswahldialog und vor dem Microsoft Internet Explorers<br />
SP2. B<strong>it</strong>te installieren Anzeigen der ersten Dialogse<strong>it</strong>e für das installieren, die den Anforderungen<br />
Sie zunächst einen Setup der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
des Produktes genügt.<br />
neueren Internet Basiskomponenten 2.5, Version 2.5.1.1<br />
Explorer. Das Setup generiert werden.<br />
wird beendet. Ihr Betriebssystem genügt nicht den<br />
Mindestanforderungen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 269<br />
Fehlermeldung Ursache Benutzeraktion<br />
Sie haben für die Ihr Benutzerprofil erlaubt keinen Sie müssen sich m<strong>it</strong> einem Konto anmelden,<br />
Registry keine Rechte schreibenden Zugriff auf die Registry das über Schreibrechte auf die Registry<br />
zum Schreiben. Die des Betriebssystems.<br />
verfügt. Wenn Sie Programme verwenden,<br />
Installation kann nur<br />
die den schreibenden Zugriff auf die Registry<br />
m<strong>it</strong> Schreibrechten<br />
fortgesetzt werden<br />
verhindern, sollten Sie diese deaktivieren.<br />
Konnte Verzeichnis Diese Fehlermeldung kann während Sie sollten prüfen, ob Sie über Schreibrechte<br />
nicht erstellen. des eigentlichen Installationsvorganges für das ausgewählte Installationsverzeichnis<br />
des Setups der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1<br />
generiert werden.<br />
Das Verzeichnis zum Installieren der<br />
Anwendung konnte nicht erstellt<br />
werden.<br />
verfügt.<br />
Die installierte Diese Fehlermeldung kann nach dem Falls eine Neuinstallation notwendig ist,<br />
Programm-Version ist Sprachauswahldialog und vor dem installieren Sie die aktuellste Version.<br />
neuer als dieses Anzeigen der ersten Dialogse<strong>it</strong>e für das<br />
Setup-Programm. Setup der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
B<strong>it</strong>te verwenden Sie Basiskomponenten 2.5, Version 2.5.1.1<br />
die aktuellste Version.<br />
Das Setup wird<br />
generiert werden.<br />
abgebrochen. Es ist bere<strong>it</strong>s eine neuere Version der<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten<br />
installiert.<br />
Der Inhalt dieses Diese Fehlermeldung kann nach dem Falls eine Neuinstallation notwendig ist,<br />
Setups ist älter als Sprachauswahldialog und vor dem installieren Sie die aktuellste Version.<br />
Ihre installierte Anzeigen der ersten Dialogse<strong>it</strong>e für das<br />
Version. B<strong>it</strong>te Setup der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
installieren Sie nur die Basiskomponenten 2.5, Version 2.5.1.1<br />
neueste Version. generiert werden.<br />
Es ist bere<strong>it</strong>s eine neuere Version der<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten<br />
installiert.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 270<br />
Fehlermeldung Ursache Benutzeraktion<br />
Es ist nicht genügend Diese Fehlermeldung kann nach dem Stellen Sie sicher, dass ca. 200 MB<br />
Speicherplatz für die Sprachauswahldialog und vor dem Speicherplatz für die Installation zur<br />
Installation dieser Anzeigen der ersten Dialogse<strong>it</strong>e für das Verfügung stehen und starten Sie die<br />
Anwendung<br />
Setup der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Installation erneut.<br />
vorhanden. Der Basiskomponenten 2.5, Version 2.5.1.1<br />
minimal erforderliche generiert werden.<br />
Speicherplatz beträgt Für die Installation steht kein<br />
200 MB.<br />
ausreichender<br />
Verfügung.<br />
Speicherplatz zur<br />
Sie benötigen für<br />
diese Anwendung<br />
eine Java(TM)<br />
Runtime in einer<br />
Version<br />
mindestens<br />
1.4.2_08. B<strong>it</strong>te<br />
installieren Sie<br />
vorher eine<br />
entsprechende<br />
Java (TM)<br />
Runtime. Das<br />
Setup wird jetzt<br />
abgebrochen.<br />
Diese Fehlermeldung kann nach dem Installieren Sie zunächst eine aktuelle<br />
Sprachauswahldialog und vor dem Java(TM) Runtime Version und starten sie<br />
Anzeigen der ersten Dialogse<strong>it</strong>e für das die Installation erneut.<br />
Setup der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1<br />
generiert werden.<br />
Diese Fehlermeldung weist darauf hin,<br />
dass entweder die Java(TM) Runtime<br />
Version fehlt oder eine ältere Version<br />
installiert ist.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 271<br />
Fehlermeldung Ursache Benutzeraktion<br />
Diese Produktversion Diese Fehlermeldung kann nach dem Installieren Sie zunächst eine aktuelle<br />
ist m<strong>it</strong> der installierten Sprachauswahldialog und vor dem Version der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Version nicht Anzeigen der ersten Dialogse<strong>it</strong>e für das Basiskomponenten, für die dieses Produkt<br />
vereinbar. B<strong>it</strong>te Setup der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> freigegeben ist.<br />
deinstallieren Sie Basiskomponenten 2.5, Version 2.5.1.1<br />
vorher die alte generiert werden.<br />
Version.<br />
Diese Fehlermeldung weist darauf hin,<br />
dass das Produkt nicht kompatibel zu<br />
den installierten Basiskomponenten ist.<br />
Diese Produktversion<br />
ist m<strong>it</strong> der installierten<br />
Version nicht<br />
vereinbar.<br />
Diese Fehlermeldung kann nach dem Prüfen Sie zunächst, ob das zu installierende<br />
Sprachauswahldialog und vor dem Produkt für die bere<strong>it</strong>s vorhandenen<br />
Anzeigen der ersten Dialogse<strong>it</strong>e für das Basiskomponenten freigegeben ist.<br />
Setup der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1<br />
generiert werden.<br />
Diese Fehlermeldung weist darauf hin,<br />
dass das Produkt nicht kompatibel zu<br />
den installierten Basiskomponenten ist.<br />
Diese Produktversion Diese Fehlermeldung kann nach dem B<strong>it</strong>te deinstallieren Sie zunächst die ältere<br />
läßt sich auf Ihrem Sprachauswahldialog und vor dem Produktversion und starten anschließend die<br />
Rechner nur Anzeigen der ersten Dialogse<strong>it</strong>e für das Installation neu.<br />
installieren, wenn Sie Setup der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
vorher die alte Version Basiskomponenten 2.5, Version 2.5.1.1<br />
deinstalliert haben. generiert werden.<br />
Es ist bere<strong>it</strong>s eine ältere Version des<br />
Produktes installiert.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 272<br />
Fehlermeldungen S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Secur<strong>it</strong>y Environment Manager<br />
Die folgenden Abschn<strong>it</strong>te erklären, welche Fehlermeldungen auftreten können und wie Sie diese<br />
Fehlermeldungen bewerten müssen.<br />
Grundsätzlich werden alle Fehlermeldungen vom S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager<br />
generiert, es sei denn, die Fehlermeldung betrifft den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong>. Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
<strong>Viewer</strong> realisiert selbständig Prüfroutinen, welche die Erkennung von Dokumentformaten betreffen. In<br />
der folgenden Tabelle werden die Fehlermeldungen für den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment<br />
Manager aufgelistet und die mögliche Fehlerursache benannt.<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Der eingegebene Diese Fehlermeldung kommt nach Sie sollten den Lizenzmanager erneut<br />
Lizenzcode ist ungültig. Überprüfung des eingegebenen starten und den Lizenzcode exakt<br />
Lizenzcodes.<br />
eingeben. Der sichere Zustand des<br />
Produktes wird nicht beeinflusst.<br />
Bei der Freischaltung der Diese Fehlermeldung kann während Sie sollten sollte den Lizenzmanager<br />
Lizenz ist ein Fehler des Lizenzierungsvorganges generiert erneut starten und auf die exakte<br />
aufgetreten.<br />
werden.<br />
Eingabe des Lizenzcodes achten. Der<br />
sichere Zustand des Produktes wird<br />
nicht beeinflusst.<br />
unerwarteter Fehler Dieser Fehler kann in der <strong>Sign</strong>aturprüfung::Detailanzeige::Zustan<br />
Zertifikatsdetailanzeige auftreten. Die d der Hashwertprüfung: ist undefiniert.<br />
Fehlermeldung wird angezeigt, wenn Der sichere Zustand des Produktes ist<br />
die Prüfung des Zertifikates oder des nicht betroffen. Der Hashwert konnte<br />
Pfades zum Herausgeber fehlschlägt. nicht geprüft werden.<br />
Es ist ein Fehler aufgetreten, der nicht <strong>Sign</strong>aturprüfung::Detailanzeige::Zustan<br />
im Rahmen der vorhandenen d der <strong>Sign</strong>aturprüfung: ist undefiniert.<br />
Fehlerbehandlung abgefangen werden Der sichere Zustand des Produktes ist<br />
konnte.<br />
nicht betroffen. Die <strong>Sign</strong>atur konnte<br />
nicht geprüft werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 273<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Versuchen Sie es zu einem Wenn Sie eine OCSP-Anfrage starten Diese Fehlermeldung besagt, dass das<br />
späteren Ze<strong>it</strong>punkt erneut. und diese von der Gegenstelle nicht Produkt Ihnen keine Aussage zum<br />
bearbe<strong>it</strong>et werden kann, kann diese Zertifikatsstatus liefern kann. Sie<br />
Statusmeldung erscheinen.<br />
müssen selbst entscheiden, ob Sie dem<br />
Die OCSP-Anfrage kann durch die <strong>Sign</strong>aturzertifikat vertrauen. Der sichere<br />
Gegenstelle zum gegenwärtigen Zustand des Produktes ist in diesem<br />
Ze<strong>it</strong>punkt nicht bearbe<strong>it</strong>et werden. Fall nicht betroffen.<br />
Prüfen Sie b<strong>it</strong>te, ob Sie m<strong>it</strong> Diese Statusmeldung erscheint, wenn Der sichere Zustand ist in diesem Falle<br />
dem Internet verbunden für eine Operation eine nicht betroffen.<br />
sind.<br />
Internetverbindung notwendig ist,<br />
Die<br />
diese aber nicht besteht.<br />
Wenn Sie aktuelle Sperrlisten abrufen<br />
oder eine OCSP Abfrage durchführen<br />
wollen, wird eine Internet Verbindung<br />
benötigt. Wenn die Verbindung nicht<br />
hergestellt werden kann, werden Sie<br />
m<strong>it</strong> dieser Meldung aufgefordert, die<br />
Internet Verbindung zu überprüfen.<br />
<strong>Sign</strong>aturkomponente Bei folgenden Aktionen kann diese In diesem Falle ist das Produkt<br />
konnte nicht in<strong>it</strong>ialisiert Fehlermeldung erscheinen:<br />
entweder nicht korrekt installiert oder<br />
werden!<br />
� <strong>Sign</strong>aturerzeugung aus dem S- beschädigt. Der sichere Zustand des<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> .<br />
Produktes kann nicht gewährleistet<br />
� <strong>Sign</strong>aturverifikation aus dem S-<br />
werden. Sie sollten das Programm<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong>.<br />
erneut installieren.<br />
� Alle Operationen, bei denen ein<br />
Subsystem auf das S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Job Interface zurückgreift.<br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
Environment Manager konnte nicht<br />
gestartet werden bzw. das S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Job Interface konnte nicht<br />
geladen werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 274<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Die Daten wurden nicht Die Daten konnten nicht signiert Die Chipkarte sendete eine<br />
signiert!<br />
werden. Diese Fehlermeldung ist ein Statusmeldung, die besagt, dass die<br />
Hinweis auf eine fehlerhafte Daten von der Chipkarte nicht<br />
Kommunikation zwischen dem S- verarbe<strong>it</strong>et wurden. Der sichere<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Zustand des Produktes ist nicht<br />
Manager und der verwendeten gefährdet, Sie sollten die Operation<br />
Die Datei ist nicht signiert!<br />
Chipkarte, außer Sie brechen den wiederholen.<br />
<strong>Sign</strong>aturvorgang ab.<br />
Diese Fehlermeldung kann bei der Der sichere Zustand des Produktes ist<br />
<strong>Sign</strong>aturprüfung über den S-<strong>TRUST</strong> nicht betroffen. Entweder wurde die<br />
<strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> auftreten.<br />
<strong>Sign</strong>aturdatei nicht korrekt erzeugt<br />
Sie haben versucht, die <strong>Sign</strong>atur an oder es hat eine Manipulation der<br />
einer nicht signierten Datei zu <strong>Sign</strong>aturdatei stattgefunden, die zur<br />
überprüfen. Es ist beispielsweise eine Folge hat, dass die <strong>Sign</strong>aturdatei leer<br />
<strong>Sign</strong>aturdatei vorhanden, jedoch ist.<br />
enthält<br />
<strong>Sign</strong>atur.<br />
die <strong>Sign</strong>aturdatei keine<br />
Die Datei bes<strong>it</strong>zt eine Diese Statusmeldung kann im Dialog Der sichere Zustand des Produktes ist<br />
ungültige <strong>Sign</strong>atur! zur <strong>Sign</strong>aturprüfung angezeigt werden. nicht betroffen. Es wurde erkannt, dass<br />
Die <strong>Sign</strong>aturprüfung ist im Abschn<strong>it</strong>t die <strong>Sign</strong>atur ungültig ist. Sie sollten<br />
Arbe<strong>it</strong>en m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> dem empfangenen Dokument bzw. der<br />
Basiskomponenten 2.5 - <strong>Sign</strong>atur nicht vertrauen.<br />
<strong>Sign</strong>aturprüfung beschrieben.<br />
Die <strong>Sign</strong>atur passt nicht zu den<br />
Originaldaten. Ursache können die<br />
Manipulation der Originaldaten, z.B.<br />
durch Übertragungsfehler als auch<br />
gezielte Manipulationen der<br />
Originaldaten oder der <strong>Sign</strong>atur sein.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 275<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Der Zertifikatsstatus Diese Statusmeldung kann im Dialog Der sichere Zustand des Produktes ist<br />
konnte nicht vollständig zur <strong>Sign</strong>aturprüfung angezeigt werden. nicht betroffen. Sie sollten eine OCSP<br />
geprüft werden!<br />
Die <strong>Sign</strong>aturprüfung ist im Abschn<strong>it</strong>t Abfrage vornehmen.<br />
Arbe<strong>it</strong>en m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5 -<br />
<strong>Sign</strong>aturprüfung beschrieben.<br />
Diese Statusmeldung erscheint bei der<br />
<strong>Sign</strong>aturverifikation. Diese Meldung<br />
erscheint immer dann, wenn die<br />
Gültigke<strong>it</strong> des Zertifikats nicht über<br />
eine Sperrliste, die nach dem<br />
<strong>Sign</strong>aturze<strong>it</strong>punkt herausgegeben<br />
wurde, geprüft werden kann.<br />
Der Date<strong>it</strong>yp konnte nicht Die Statusmeldung kann angezeigt Der sichere Zustand des Produktes ist<br />
erm<strong>it</strong>telt werden!<br />
werden, wenn eine Datei über S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> signiert oder<br />
verifiziert werden soll.<br />
Das Modul zur Dokumentenerkennung<br />
konnte nicht erm<strong>it</strong>teln, um welchen<br />
Date<strong>it</strong>yp es sich handelt. Es war dem<br />
nicht betroffen.<br />
Es liegen<br />
Modul zur Dokumenterkennung nicht<br />
möglich, die Datei lesend zu öffnen.<br />
keine Die Statusmeldung kann angezeigt Der sichere Zustand des Produktes ist<br />
Informationen über werden, wenn eine <strong>Sign</strong>atur über S- nicht gefährdet.<br />
<strong>Sign</strong>aturen vor!<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> verifiziert<br />
werden soll.<br />
Der Detaildialog für die<br />
<strong>Sign</strong>aturprüfung wurde aufgerufen,<br />
ohne dass <strong>Sign</strong>aturinformationen<br />
übergeben wurden.<br />
Die Statusabfrage konnte Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
nicht erzeugt werden. wenn im Zertifikatsdetaildialog auf den nicht gefährdet.<br />
Knopf Onlinestatus geklickt wird.<br />
Es ist ein interner Fehler bei der<br />
Erzeugung<br />
aufgetreten.<br />
der OCSP Abfrage
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 276<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Die Antwort des Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Zertifikatsherausgebers wenn im Zertifikatsdetaildialog auf den nicht gefährdet.<br />
konnte nicht verarbe<strong>it</strong>et Knopf Onlinestatus geklickt wird.<br />
werden.<br />
Die OCSP Antwort des<br />
Zertifikatsherausgebers enthält Fehler,<br />
die eine we<strong>it</strong>ergehende Verarbe<strong>it</strong>ung<br />
der OCSP Antwort unmöglich machen.<br />
Die OCSP Antwort konnte nicht nach<br />
dem ASN.1 Standard dekodiert<br />
Die Antwort<br />
werden.<br />
des Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Zertifikatsherausgebers wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Die OCSP Antwort<br />
enthält einen unbekannten Knopf Onlinestatus geklickt wird. konnte jedoch nicht korrekt verarbe<strong>it</strong>et<br />
Statuswert.<br />
Der vom Herausgeber überm<strong>it</strong>telte werden. Sie müssen selbst<br />
Zertifikatsstatus entspricht nicht der entscheiden, ob Sie dem<br />
Spezifikation nach RFC 2560. <strong>Sign</strong>aturzertifikat vertrauen.<br />
Die Anfrage an den Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Zertifikatsherausgeber wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Sie müssen selbst<br />
konnte von diesem nicht Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem<br />
verarbe<strong>it</strong>et werden. Der Zertifikatsherausgeber konnte die <strong>Sign</strong>aturzertifikat vertrauen.<br />
OCSP Anfrage des Produkts S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 nicht verarbe<strong>it</strong>en.<br />
Die Anfrage führte beim Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Zertifikatsherausgeber zu wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Sie müssen selbst<br />
einem internen Fehler. Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem<br />
Der Zertifikatsherausgeber konnte die <strong>Sign</strong>aturzertifikat vertrauen.<br />
OCSP Anfrage des Produkts S-<strong>TRUST</strong><br />
<strong>Sign</strong>-<strong>it</strong> Basiskomponenten 2.5, Version<br />
2.5.1.1 nicht verarbe<strong>it</strong>en. Es ist ein<br />
interner Fehler beim<br />
Zertifikatsherausgeber aufgetreten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 277<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Die Anfrage kann durch Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
den Zertifikatsherausgeber wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Sie müssen selbst<br />
zur Ze<strong>it</strong> nicht bearbe<strong>it</strong>et Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
werden.<br />
Der Zertifikatsherausgeber kann die <strong>Sign</strong>aturzertifikat vertrauen. Alternativ<br />
OCSP Anfrage momentan nicht können Sie die OCSP Abfrage zu<br />
verarbe<strong>it</strong>en. Sie sollten den Vorgang einem späteren Ze<strong>it</strong>punkt noch einmal<br />
zu einem späteren Ze<strong>it</strong>punkt noch durchführen.<br />
einmal wiederholen.<br />
Die Anfrage wurde durch Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
den Zertifikatsherausgeber wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Die OCSP Antwort<br />
m<strong>it</strong> einem nicht benutzten Knopf Onlinestatus geklickt wird. konnte jedoch nicht korrekt verarbe<strong>it</strong>et<br />
Statuscode beantwortet. Der vom Herausgeber überm<strong>it</strong>telte werden. Sie müssen selbst<br />
Zertifikatsstatus entspricht nicht der entscheiden, ob Sie dem<br />
Spezifikation nach RFC 2560. <strong>Sign</strong>aturzertifikat vertrauen.<br />
Der Zertifikatsherausgeber Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
fordert, daß die Anfrage wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Allerdings kann keine<br />
signiert wird. <strong>Sign</strong>ierte Knopf Onlinestatus geklickt wird. gültige OCSP Anfrage an den<br />
Anfragen werden zur Ze<strong>it</strong> Es existieren Formate für OCSP Zertifikatsherausgeber gestellt werden.<br />
nicht unterstützt.<br />
Anfragen, bei denen die Anfrage vom Sie müssen selbst entscheiden, ob Sie<br />
Anfragenden signiert sein muss. Das dem <strong>Sign</strong>aturzertifikat vertrauen.<br />
ist z.B. bei kostenpflichtigen OCSP<br />
Respondern der Fall. Dieses Format<br />
wird vom Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version<br />
Sie haben<br />
2.5.1.1 nicht unterstützt.<br />
beim Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Zertifikatsherausgeber wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Allerdings kann keine<br />
nicht die erforderliche Knopf Onlinestatus geklickt wird. gültige OCSP Anfrage an den<br />
Berechtigung, um den Der Zertifikatsherausgeber kann durch Zertifikatsherausgeber gestellt werden.<br />
Status abzufragen. eine eigene Richtlinie festlegen, wer Sie müssen selbst entscheiden, ob Sie<br />
berechtigt ist, eine OCSP Anfrage an dem <strong>Sign</strong>aturzertifikat vertrauen.<br />
diesen zu senden. Wenn Sie keine<br />
entsprechende Berechtigung haben,<br />
wird Ihnen diese Fehlermeldung<br />
angezeigt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 278<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Die Anfrage wurde durch Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
den Zertifikatsherausgeber wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Sie müssen selbst<br />
m<strong>it</strong> einem unbekannten Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem<br />
Statuscode beantwortet. Der vom Herausgeber überm<strong>it</strong>telte <strong>Sign</strong>aturzertifikat vertrauen.<br />
Zertifikatsstatus entspricht nicht der<br />
Spezifikation nach RFC 2560.<br />
Die Statusabfrage konnte Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
nicht durchgeführt werden. wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Allerdings sollten Sie<br />
Knopf Onlinestatus geklickt wird. überprüfen, ob eine Internetverbindung<br />
Möglicherweise ist keine vorhanden ist.<br />
Internetverbindung verfügbar.<br />
Sie haben noch zwei Diese Meldung kann bei der Der sichere Zustand des Produktes ist<br />
Versuche, die gültige <strong>Sign</strong>aturerzeugung auftreten.<br />
nicht gefährdet. Sie sollten beim<br />
einzugeben. Sie haben insgesamt drei Versuche, nächsten Versuch die korrekte PIN<br />
die jeweilig abgefragte PIN korrekt eingeben.<br />
einzugeben. steht z.B. für die<br />
globale PIN. Wenn diese Meldung<br />
erscheint, haben Sie bere<strong>it</strong>s einmal die<br />
falsche PIN eingegeben.<br />
Sie haben noch einen Diese Meldung kann bei der Der sichere Zustand des Produktes ist<br />
Versuch, die gültige <strong>Sign</strong>aturerzeugung auftreten.<br />
nicht gefährdet. Sie sollten beim<br />
einzugeben. Wird erneut Sie haben insgesamt drei Versuche, nächsten Versuch die korrekte PIN<br />
die falsche die jeweilig abgefragte PIN korrekt eingeben.<br />
eingegeben, wird die Karte einzugeben. steht z.B. für die<br />
unbrauchbar!<br />
globale PIN. Wenn diese Meldung<br />
erscheint, haben Sie bere<strong>it</strong>s zweimal<br />
die falsche PIN eingegeben.<br />
Die Karte wurde durch Diese Meldung kann bei der Der sichere Zustand des Produktes ist<br />
mehrfache Fehleingabe <strong>Sign</strong>aturerzeugung auftreten.<br />
nicht gefährdet. Allerdings können Sie<br />
unbrauchbar gemacht. Sie haben durch dreimaliges Eingeben die Chipkarte m<strong>it</strong> dem Produkt nicht<br />
der falschen PIN die Karte für die mehr verwenden.<br />
we<strong>it</strong>ere<br />
gemacht.<br />
Benutzung unbrauchbar
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 279<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Der Fehlbedienungszähler Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist<br />
ist abgelaufen.<br />
<strong>Sign</strong>aturerzeugung auftreten.<br />
nicht gefährdet. Allerdings können Sie<br />
Der Fehlbedienungszähler der Karte die Chipkarte m<strong>it</strong> dem Produkt nicht<br />
zeigt an, dass die PIN insgesamt mehr verwenden.<br />
dreimal falsch eingegeben wurde.<br />
Die eingegebene PIN Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist<br />
entspricht nicht den Ändern der PIN der Chipkarte nicht gefährdet. Sie sollten allerdings<br />
Anforderungen der Karte! auftreten.<br />
beim Festlegen der PIN über den<br />
Die Chipkarte stellt bestimmte Menüpunkt PIN ändern eine PIN<br />
Anforderungen an die Qual<strong>it</strong>ät der PIN. wählen, die den Anforderungen der<br />
verwendeten Karte genügt.<br />
Bei der Übertragung des Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist<br />
Kommandos an die Karte <strong>Sign</strong>aturerzeugung auftreten.<br />
nicht gefährdet. Sie sollten den<br />
trat ein unerwarteter Beim Senden des Kommandos an die Vorgang wiederholen. Wenn der<br />
Fehler auf!<br />
Chipkarte ist ein Fehler aufgetreten. Fehler permanent auftr<strong>it</strong>t, sollten Sie<br />
Die Chipkarte hat m<strong>it</strong> einem m<strong>it</strong> dem zur Verfügung stehenden<br />
Kartenstatus geantwortet, der nicht Modul zur Integr<strong>it</strong>ätsprüfung die<br />
dem erwarteten Status entsprach. korrekte Installation des Produktes auf<br />
dem Rechner prüfen.<br />
Die eingegebenen PINs Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist<br />
sind nicht identisch! Ändern der PIN der Chipkarte nicht gefährdet. Sie sollten den<br />
auftreten.<br />
Dieser Fehler kann beim Ändern der<br />
PIN auftreten, wenn die erste und die<br />
Bestätigungspin nicht identisch sind.<br />
Vorgang wiederholen.<br />
Die eingegebene PIN Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist<br />
wurde zurückgewiesen! <strong>Sign</strong>aturerzeugung auftreten.<br />
nicht gefährdet. Sie sollten den<br />
Die Verifikation der PIN durch die Vorgang wiederholen.<br />
Chipkarte ist fehlgeschlagen. Sie<br />
haben die falsche PIN eingegeben.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 280<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Die PIN wurde nicht in der Diese Meldung kann beim Versuch Der sichere Zustand des Produktes ist<br />
erwarteten Ze<strong>it</strong> der <strong>Sign</strong>aturerzeugung auftreten. nicht gefährdet. Sie sollten den<br />
eingegeben!<br />
Sie haben zu lange gewartet, um die Vorgang wiederholen.<br />
PIN einzugeben. die meisten<br />
Sie müssen die<br />
Kartenleser m<strong>it</strong> sicherer PIN Eingabe<br />
unterstützen die Verwendung von<br />
Timeouts während der PIN Eingabe.<br />
Karte Diese Meldung kann beim Versuch Der sichere Zustand des Produktes ist<br />
zuerst freischalten! der <strong>Sign</strong>aturerzeugung auftreten. nicht gefährdet. Sie müssen eine<br />
Vor der Verwendung muss die Karte freigeschaltete Karte verwenden. Ggf.<br />
freigeschaltet werden.<br />
können Sie m<strong>it</strong> dem Menüpunkt Karte<br />
freischalten Ihre Karte für die we<strong>it</strong>ere<br />
Verwendung freischalten.<br />
Sie müssen die Karte Diese Meldung kann beim Versuch Der sichere Zustand des Produktes ist<br />
zuerst entsperren. der <strong>Sign</strong>aturerzeugung auftreten. nicht gefährdet. Sie müssen vor einer<br />
Sie haben durch mehrfaches we<strong>it</strong>eren Verwendung der Karte diese<br />
Eingeben der falschen Pin die Karte durch die Eingabe der PUK wieder<br />
gesperrt. Sie müssen vor einer entsperren.<br />
Zur Ze<strong>it</strong> stehen<br />
we<strong>it</strong>eren Verwendung der Karte diese<br />
durch die Eingabe des PUK wieder<br />
entsperren.<br />
keine Diese Meldung kann beim Versuch Der sichere Zustand des Produktes ist<br />
geeigneten Zertifikate zur der <strong>Sign</strong>aturerzeugung auftreten. nicht gefährdet. Sie müssen<br />
Verfügung!<br />
Möglicherweise wollen Sie eine Datei sicherstellen, dass Sie einen<br />
signieren und haben keinen Kartenleser installiert und eine<br />
Kartenleser angeschlossen oder Chipkarte eingelegt haben, die vom<br />
keine Chipkarte eingelegt.<br />
Produkt verwendet werden kann.<br />
Die Antwort ist nicht vom Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
erwarteten Typ BASIC. wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
Das Format BASIC ist bisher das <strong>Sign</strong>aturzertifikat vertrauen.<br />
standardisierte Format für OCSP -<br />
Antworten. Möglicherweise werden zu<br />
einem späteren Ze<strong>it</strong>punkt neue<br />
Formate definiert, die vom Produkt<br />
dann nicht unterstützt werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 281<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Die Antwort hat nicht die Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
erwartete Version. wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
Die OCSP - Antwort hat nicht die <strong>Sign</strong>aturzertifikat vertrauen.<br />
erwartete Version.<br />
Beim Prüfen der Antwort ist Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
ein unerwarteter interner wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
Fehler aufgetreten. den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
Die empfangene OCSP Antwort <strong>Sign</strong>aturzertifikat vertrauen.<br />
konnte nicht korrekt überprüft werden.<br />
Möglicherweise sind syntaktische<br />
Fehler in der OCSP-Antwort<br />
Die Anwort<br />
vorhanden.<br />
enthält Diese Statusmeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
mindestens eine wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
unbekannte kr<strong>it</strong>ische den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
Erwe<strong>it</strong>erung.<br />
Kr<strong>it</strong>ische Erwe<strong>it</strong>erungen sind <strong>Sign</strong>aturzertifikat vertrauen.<br />
Antwortzusätze, die Ihnen bei der<br />
Auswertung der OCSP - Antwort zur<br />
Kenntnis gelangen sollten. Das<br />
Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version<br />
2.5.1.1 ist nicht in der Lage, diese<br />
kr<strong>it</strong>ische Erwe<strong>it</strong>erung korrekt zu<br />
Die Antwort ist<br />
interpretieren.<br />
nicht Diese Statusmeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
<strong>Sign</strong>aturgesetz konform wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
(pos<strong>it</strong>ive Kenntnisaussage den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
fehlt).<br />
In der Antwort ist nicht die Aussage <strong>Sign</strong>aturzertifikat vertrauen.<br />
enthalten, dass der Herausgeber das<br />
Zertifikat kennt.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 282<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Die Antwort enthält eine Diese Statusmeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
unleserliche Ze<strong>it</strong>angabe der wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
letzten Überprüfung. den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
Der Ze<strong>it</strong>punkt der letzten Überprüfung <strong>Sign</strong>aturzertifikat vertrauen.<br />
gibt an, wann der OCSP-Antwortende<br />
die Gültigke<strong>it</strong> des Zertifikats das letzte<br />
Mal geprüft hat. Das Ze<strong>it</strong>format in der<br />
OCSP-Antwort für diese Überprüfung<br />
konnte nicht dekodiert werden.<br />
Der in der OCSP Antwort Diese Statusmeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
angegebene Ze<strong>it</strong>punkt wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
weicht von Ihrer lokalen den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
Systemze<strong>it</strong> ab. Der Der Ze<strong>it</strong>punkt der letzten <strong>Sign</strong>aturzertifikat vertrauen. Sie sollten<br />
angegebene Ze<strong>it</strong>punkt liegt Zertifikatsprüfung durch den OCSP- die lokale Systemze<strong>it</strong> überprüfen.<br />
in der Zukunft.<br />
Antwortenden liegt gegenüber der<br />
lokalen Systemze<strong>it</strong> in der Zukunft.<br />
Die Antwort enthält eine Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
unleserliche Ze<strong>it</strong>angabe der wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
nächsten Überprüfung. den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
Der Ze<strong>it</strong>punkt der nächsten <strong>Sign</strong>aturzertifikat vertrauen.<br />
Überprüfung gibt an, wann der<br />
OCSP-Antwortende die Gültigke<strong>it</strong> des<br />
Zertifikats das Nächste mal prüfen<br />
wird. Das Ze<strong>it</strong>format in der OCSP-<br />
Antwort für diese Überprüfung konnte<br />
nicht dekodiert werden.<br />
Die Antwort ist wegen der Diese Statusmeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
aufgeführten Gründe nicht wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie sollten dem<br />
oder nur bedingt den Knopf Onlinestatus geklickt wird. Zertifikat nicht vetrauen.<br />
vertrauenswürdig.<br />
Diese Meldung erscheint, sobald<br />
Gründe vorliegen, der empfangenen<br />
OCSP-Antwort nur bedingt oder nicht<br />
zu vertrauen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 283<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Die Antwort gilt nicht für das Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
angefragte Zertifikat!! wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie sollten dem<br />
den Knopf Onlinestatus geklickt wird. Zertifikat nicht vetrauen und die<br />
Die empfangene Antwort bezieht sich Integr<strong>it</strong>ät<br />
nicht auf das angefragte Zertifikat. überprüfen.<br />
des Betriebssystems<br />
Eine solche Meldung kann ein<br />
Indikator für die Manipulation der<br />
Antwort durch Dr<strong>it</strong>te sein (Man in the<br />
Middle).<br />
Interner Fehler beim Lesen Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
eines Zertifikates.<br />
wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie sollten Zertifikaten,<br />
den Knopf Onlinestatus geklickt wird. die nicht korrekt durch das Produkt<br />
Ein Zertifikat, welches vom Produkt dekodiert<br />
benötigt wird, konnte nicht gelesen vertrauen.<br />
oder dekodiert werden.<br />
werden können, nicht<br />
Die <strong>Sign</strong>atur der Antwort Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
konnte nicht geprüft wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen<br />
werden.<br />
den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem Zertifikat<br />
Die <strong>Sign</strong>atur der OCSP Antwort vertrauen.<br />
konnte nicht verifiziert werden.<br />
Das Zertifikat<br />
Möglicherweise ist der Hashwert der<br />
<strong>Sign</strong>atur manipuliert worden oder es<br />
konnte kein Zertifikat zu der <strong>Sign</strong>atur<br />
erm<strong>it</strong>telt werden.<br />
der Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Gegenstelle konnte nicht wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
gefunden werden:<br />
den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
Nach dem ISIS-MTT Standard sollte <strong>Sign</strong>aturzertifikat vertrauen.<br />
das Zertifikat des OCSP<br />
Antwortenden in der OCSP Antwort<br />
enthalten sein. Das Zertifikat ist in der<br />
Antwort aber nicht enthalten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 284<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Das Zertifikat der Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Gegenstelle konnte nicht wenn im Zertifikatsdetaildialog auf nicht gefährdet. Allerdings kann die<br />
pos<strong>it</strong>iv geprüft werden. den Knopf Onlinestatus geklickt wird. OCSP Antwort auf Grund veralteter<br />
Möglicherweise existiert kein Sperrlisten nicht korrekt verarbe<strong>it</strong>et<br />
Sperrliste für die OCSP <strong>Sign</strong>atur oder werden. Sie sollten die lokalen<br />
die Sperrliste ist veraltet. Eine Sperrlisten aktualisieren.<br />
Das Zertifikat<br />
Sperrliste gilt als veraltet, wenn der in<br />
der Sperrliste angegbene Ze<strong>it</strong>punkt<br />
für die Erneuerung der Sperrliste auf<br />
dem lokalen Rechner überschr<strong>it</strong>ten<br />
wurde.<br />
der Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Gegenstelle berechtigt nicht wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
zur OCSP-<strong>Sign</strong>atur. den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
Die<br />
Das Zertifikat, m<strong>it</strong> welchem die OCSP <strong>Sign</strong>aturzertifikat vertrauen.<br />
Antwort signiert wurde, berechtigt den<br />
<strong>Sign</strong>ierenden nicht zu einer OCSP<br />
<strong>Sign</strong>atur.<br />
pos<strong>it</strong>ive Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Kenntnisaussage ist wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
fehlerhaft.<br />
den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
Die pos<strong>it</strong>ive Kenntnisaussage ist <strong>Sign</strong>aturzertifikat vertrauen.<br />
Es fehlt ein<br />
entweder nicht vorhanden oder ist<br />
fehlerhaft.<br />
expliz<strong>it</strong>er Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Hinweis auf die Gültigke<strong>it</strong> wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
der Antwort trotz den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
abgelaufenem Zertifikat. Das angefragte Zertifikat ist sowohl <strong>Sign</strong>aturzertifikat vertrauen.<br />
abgelaufen und die Antwort enthält<br />
keinerlei Hinweis darauf, ob die<br />
Gegenstelle Kenntnis vom Status<br />
dieses Zertifikates hat.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 285<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
OCSP Response Interner Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Fehler<br />
wenn im Zertifikatsdetaildialog auf nicht gefährdet. Die OCSP Antwort<br />
den Knopf Onlinestatus geklickt wird. konnte vom Produkt nicht korrekt<br />
Es ist ein interner Fehler bei der verarbe<strong>it</strong>et werden. Sie müssen selbst<br />
Prüfung der OCSP Antwort entscheiden, ob Sie dem verwendeten<br />
aufgetreten.<br />
<strong>Sign</strong>aturzertifikat vertrauen.<br />
Die Gültigke<strong>it</strong> der Antwort Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
wird nicht mehr garantiert. wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten<br />
Das Zertifikat ist der Gegenstelle zwar <strong>Sign</strong>aturzertifikat vertrauen.<br />
bekannt, die Ze<strong>it</strong> für die<br />
Informationsaufbewahrung zu dem<br />
angefragten Zertifikat ist allerdings<br />
abgelaufen.<br />
Zu dem Zertifikat fehlt das Diese Fehlermeldung kann durch den Der sichere Zustand des Produktes ist<br />
Herausgeberzertifikat. Zertifikatsdetaildialog ausgelöst nicht gefährdet. Sie müssen selbst<br />
werden.<br />
entscheiden, ob Sie dem verwendeten<br />
In der internen Zertifikatsverwaltung <strong>Sign</strong>aturzertifikat vertrauen.<br />
wurde das Herausgeberzertifikat nicht<br />
gefunden.<br />
Zu einem der Herausgeber Diese Statusmeldung kann im Der sichere Zustand des Produktes ist<br />
wurde keine Sperrliste <strong>Sign</strong>aturprüfdialog erscheinen. nicht gefährdet. Sie müssen selbst<br />
gefunden.<br />
Für einen Herausgeber existiert keine entscheiden, ob Sie dem verwendeten<br />
Sperrliste auf dem lokalen Rechner. <strong>Sign</strong>aturzertifikat vertrauen. Sie sollten<br />
die aktuellen Sperrlisten abrufen.<br />
Fehler beim Erzeugen Diese Statusmeldung kann beim Der sichere Zustand des Produktes ist<br />
eines Ze<strong>it</strong>stempels. Holen eines Ze<strong>it</strong>stempels erscheinen. nicht gefährdet. Sie können versuchen,<br />
Während des Empfangs des den Ze<strong>it</strong>stempel erneut einzuholen.<br />
Ze<strong>it</strong>stempels ist ein Fehler<br />
aufgetreten, so dass der Ze<strong>it</strong>stempel<br />
von dem Produkt nicht eingeholt<br />
werden konnte.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 286<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Fehler beim Holen einer Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist<br />
OCSP Antwort.<br />
Holen einer OCSP Antwort auftreten. nicht gefährdet. Sie können versuchen,<br />
Möglicherweise besteht keine eine erneute OCSP Abfrage<br />
Verbindung zum Internet oder der durchzuführe.<br />
OCSP Responder ist nicht erreichbar.<br />
Zu einem der Diese Statusmeldung kann im Der sichere Zustand des Produktes ist<br />
Herausgeberzertifikate <strong>Sign</strong>aturprüfdialog erscheinen. nicht gefährdet. Sie müssen selbst<br />
wurde keine aktuelle Es ist zwar eine Sperrliste vorhanden, entscheiden, ob Sie dem verwendeten<br />
Sperrliste gefunden. jedoch ist diese Sperrliste abgelaufen. <strong>Sign</strong>aturzertifikat vertrauen. Sie sollten<br />
Sie sollten die Sperrlisten über den S- die aktuellen Sperrlisten abrufen.<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Sperrlistenaktualisierungsassistent<br />
aktualisieren.<br />
Von einem der Diese Statusmeldung kann im Der sichere Zustand des Produktes ist<br />
Herausgeber wurde das <strong>Sign</strong>aturprüfdialog erscheinen. nicht gefährdet. Sie sollten dem<br />
Zertifikat zurückgezogen Das Zertifikat wurde durch den Zertifikat nicht vertrauen.<br />
Herausgeber zurückgezogen (das<br />
Zertifikat ist in der Sperrliste als<br />
zurückgezogen markiert).<br />
Die Sperrliste einer der Diese Statusmeldung kann im Der sichere Zustand des Produktes ist<br />
Herausgeber hat <strong>Sign</strong>aturprüfdialog erscheinen. nicht gefährdet. Sie sollten die<br />
unbekannte Fehler. Die verwendete hat entweder aktuellen Sperrlisten abrufen und den<br />
syntaktische Fehler oder enthält Vorgang wiederholen. Zusätzlich<br />
Zusätze, die vom Produkt nicht sollten Sie eine OCSP Abfrage zu dem<br />
verarbe<strong>it</strong>et werden können.<br />
Zertifikat durchführen.<br />
Von diesem Inhaber ist Diese Statusmeldung kann im Der sichere Zustand des Produktes ist<br />
keine Sperrliste vorhanden. <strong>Sign</strong>aturprüfdialog erscheinen. nicht gefährdet. Sie sollten die<br />
Zu einem konkreten Herausgeber aktuellen Sperrlisten abrufen und den<br />
wurde kein Sperrliste gefunden. Vorgang wiederholen.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 287<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Die Sperrliste dieses Diese Statusmeldung kann im Der sichere Zustand des Produktes ist<br />
Inhabers ist abgelaufen. <strong>Sign</strong>aturprüfdialog erscheinen. nicht gefährdet. Sie sollten die<br />
Die Sperrliste des konkreten aktuellen Sperrlisten abrufen und den<br />
Herausgebers ist abgelaufen. Sie Vorgang wiederholen.<br />
sollten die Sperrlisten über den S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Sperrlistenaktualisierungsassistent<br />
aktualisieren.<br />
Das Prüfzertifikat ist nach Diese Statusmeldung kann im Der sichere Zustand des Produktes ist<br />
der Sperrliste dieses <strong>Sign</strong>aturprüfdialog erscheinen. nicht gefährdet. Sie sollten dem<br />
Inhabers zurückgezogen. Der konkrete Herausgeber hat dieses Zertifikat nicht vertrauen.<br />
Zertifikat zurückgezogen.<br />
Die Sperrliste dieses Diese Statusmeldung kann im Der sichere Zustand des Produktes ist<br />
Inhabers hat unbekannte <strong>Sign</strong>aturprüfdialog erscheinen. nicht gefährdet. Sie sollten die<br />
Fehler.<br />
Die Sperrliste dieses konkreten aktuellen Sperrlisten abrufen und den<br />
Herausgebers weist Fehler auf. Vorgang wiederholen.<br />
Sie vertrauen keinem der Diese Statusmeldung kann im Der sichere Zustand des Produktes ist<br />
Wurzelzertifikate!<br />
<strong>Sign</strong>aturprüfdialog erscheinen. nicht gefährdet. Sie müssen selbst<br />
Diese Meldung sagt aus, dass keinem entscheiden, ob Sie dem verwendeten<br />
der Wurzelzertifikate vertraut wird. <strong>Sign</strong>aturzertifikat vertrauen.<br />
Das Modul bes<strong>it</strong>zt eine Diese Fehlermeldung kann beim Start Der sichere Zustand des Produktes ist<br />
ungültige <strong>Sign</strong>atur. Das des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y nicht gewährleistet. Sie müssen m<strong>it</strong><br />
Programm wird beendet. Environment Managers generiert Hilfe des zur Verfügung stehenden<br />
werden.<br />
Integr<strong>it</strong>ätschecks die gesamte<br />
Diese Meldung sagt aus, dass die Installation überprüfen. Sie müssen<br />
<strong>Sign</strong>atur des angegebenen das Produkt deinstallieren und erneut<br />
Programm-Moduls beschädigt ist oder installieren.<br />
die Originaldaten (das Modul) und die<br />
<strong>Sign</strong>aturdatei nicht zueinander<br />
passen. Aus Sicherhe<strong>it</strong>sgründen wird<br />
die Anwendung S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version<br />
2.5.1.1 in diesem Falle beendet.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 288<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Das Zertifikat wurde nicht Diese Statusmeldung kann im Der sichere Zustand des Produktes ist<br />
geprüft.<br />
<strong>Sign</strong>aturprüfdialog erscheinen. nicht gefährdet. Sie müssen selbst<br />
Diese Statusmeldung sagt aus, dass entscheiden, ob Sie dem verwendeten<br />
die Zertifikate nicht geprüft wurden. <strong>Sign</strong>aturzertifikat vertrauen. Alternativ<br />
sollten Sie eine OCSP Abfrage zu dem<br />
Zertifikat durchführen.<br />
Die zu signierenden Daten Diese Statusmeldung kann immer Der sichere Zustand des Produktes<br />
wurden vor der dann auftreten, wenn Sie eine dig<strong>it</strong>ale kann gefährdet sein. Der sichere<br />
<strong>Sign</strong>aturerzeugung <strong>Sign</strong>atur über einen der Zustand ist nur dann nicht gefährdet,<br />
verändert!<br />
Produktbestandteile erzeugen wollen. wenn Sie nicht selbst aus Versehen<br />
Diese Meldung sagt aus, dass die die Daten zwischenze<strong>it</strong>lich geändert<br />
Originaldaten, die vom haben. In jedem anderen Fall sollten<br />
Produktbestandteil zur <strong>Sign</strong>atur an Sie die Arbe<strong>it</strong> m<strong>it</strong> dem Produkt<br />
den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y einstellen und eine Integr<strong>it</strong>ätsprüfung<br />
Environment Manager übergeben des Produktes vornehmen. Wird bei<br />
wurden, zwischenze<strong>it</strong>lich verändert der Integr<strong>it</strong>ätsprüfung keine<br />
wurden.<br />
Veränderung des Produktes entdeckt,<br />
sollte m<strong>it</strong> Hilfe eines Virenscanners der<br />
Rechner auf böswillige Programme hin<br />
untersucht werden.<br />
Das Produkt nimmt in diesem Falle<br />
einen sicheren Zustand ein, da die<br />
Funktionen zur <strong>Sign</strong>aturerzeugung und<br />
<strong>Sign</strong>aturverifikation durch den S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment<br />
Manager in diesem Falle deaktviert<br />
werden.<br />
Der eingesetzte Diese Fehlermeldung kann bei der Sie sollten sich über die<br />
Hashalgor<strong>it</strong>hmus wird als <strong>Sign</strong>aturverifikation auftreten. Veröffentlichungen der<br />
ungeeignet eingestuft. Diese Meldung sagt aus, dass für die Bundesnetzagentur unter<br />
<strong>Sign</strong>aturerzeugung ein www.bundesnetzagentur.de<br />
Hashalgor<strong>it</strong>hmus verwendet wurde, informieren, welcher Hashalgor<strong>it</strong>hmus<br />
der für die Erzeugung qualifizierter zulässig ist.<br />
<strong>Sign</strong>aturen nicht zulässig ist.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 289<br />
Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
des Produktes/ Benutzerreaktion<br />
Environment Managers<br />
Die verwendeten Diese Fehlermeldung kann bei der Sie sollten sich über die<br />
<strong>Sign</strong>aturparameter werden <strong>Sign</strong>aturverifikation auftreten. Veröffentlichungen der<br />
als ungeeignet eingestuft. Diese Meldung sagt aus, dass für die Bundesnetzagentur unter<br />
<strong>Sign</strong>aturerzeugung entweder ein www.bundesnetzagentur.de<br />
Hashalgor<strong>it</strong>hmus verwendet wurde, informieren, welcher Hashalgor<strong>it</strong>hmus<br />
der für die Erzeugung qualifizierter und welche Schlüssellängen zulässig<br />
<strong>Sign</strong>aturen oder die verwendete sind.<br />
Die<br />
Schlüssellänge nicht zulässig ist.<br />
verwendeten Diese Fehlermeldung kann bei der Sie sollten sich über die<br />
Algor<strong>it</strong>hmen entsprechen <strong>Sign</strong>aturerprüfung auftreten.<br />
Veröffentlichungen der<br />
nicht den Prüfvorgaben. Diese Meldung weist darauf hin, dass Bundesnetzagentur unter<br />
ein Hashalgor<strong>it</strong>hmus verwendet www.bundesnetzagentur.de<br />
wurde, der nicht den Vorgaben der informieren, welcher Hashalgor<strong>it</strong>hmus<br />
Bundesnetzagentur entspricht. Dieser und welche Schlüssellängen zulässig<br />
Hinweis erscheint in der sind.<br />
Zusammenfassung des Prüfdialogs.<br />
Die von der Karte erzeugte Diese Fehlermeldung kann bei der Der sichere Zustand des Produktes ist<br />
<strong>Sign</strong>atur entspricht nicht <strong>Sign</strong>aturerzeugung auftreten. gefährdet. Sie sollten den S-<strong>TRUST</strong><br />
den zu signierenden Daten! Diese Meldung sagt aus, dass nicht <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment Manager<br />
der Hashwert signiert wurde, der beenden und den Rechner<br />
beabsichtigt wurde.<br />
herunterfahren, um sicherzugehen,<br />
Ein Fehler ist bei<br />
dass sich keine dig<strong>it</strong>alen <strong>Sign</strong>aturen<br />
mehr im Speicher befinden.<br />
der Diese Fehlermeldung kann beim Start Der sichere Zustand des Produktes<br />
In<strong>it</strong>ialisierung aufgetreten. des Assistenten zur kann gefährdet sein. Sie sollten m<strong>it</strong><br />
Das Programm kann nicht Sperrlistenaktualisierung generiert dem zur Verfügung stehenden<br />
we<strong>it</strong>er ausgeführt werden. werden.<br />
Prüfprogramm die Integr<strong>it</strong>ät der<br />
Wenden Sie sich b<strong>it</strong>te an Bei der Sperrlistenaktualisierung ist Installation überprüfen.<br />
die Online-Hilfe und prüfen ein Fehler bei der In<strong>it</strong>ialisierung des<br />
Sie Ihre Installation. S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Sperrlistenaktualisierungsassistenten<br />
aufgetreten, der eine we<strong>it</strong>ere<br />
Benutzung des Sperrlisten<br />
Aktualisierungsassistenten unmöglich<br />
macht.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 290<br />
Fehlermeldungen des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
<strong>Viewer</strong><br />
Der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> kann ebenfalls Fehlermeldungen generieren, die in der folgenden<br />
Tabelle aufgelistet sind.<br />
Grundsätzlich gilt: Wenn eine Fehlermeldung generiert wird, über deren Bedeutung Sie sich nicht<br />
sicher sind, sollten Sie das Dokument nicht signieren.<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
Das Format der Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Datei ist nicht einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Sie sollten die Datei nicht signieren,<br />
geeignet!<br />
<strong>Viewer</strong> direkt durch diese oder beim wenn Sie für die Daten über kein sicheres<br />
Öffnen einer Datei über den Anzeigemodul verfügen.<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert<br />
Sie haben versucht, eine Datei m<strong>it</strong> dem<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> zu öffnen, die<br />
weder als PDF, TIFF noch als Text<br />
Datei erkannt wurde. Diese<br />
Fehlermeldung wird Ihnen auch dann<br />
angezeigt, wenn aktive Inhalte in dem<br />
Dokument vorhanden sind.<br />
Sie verfügen nicht Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
über die benötigte einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet.<br />
Lizenz, um Dateien <strong>Viewer</strong> generiert werden.<br />
dieses Formates Sie haben versucht, eine Datei m<strong>it</strong> dem<br />
anzuzeigen! S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> zu öffnen, die<br />
entsprechend dem Funktionsumfang<br />
der installierten Lizenz nicht geöffnet<br />
werden kann.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 291<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
Es steht keine Diese Fehlermeldung wird generiert, Diese Fehlermeldung wird Ihnen nur<br />
gültige Lizenz zur wenn der <strong>Viewer</strong> auf einem PC angezeigt, falls Sie eine Datei m<strong>it</strong> dem <strong>Viewer</strong><br />
Verfügung. Das gestartet wird, auf dem keine Lizenz für öffnen wollen und über keine Lizenz verfügen<br />
Programm wird die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Basiskomponenten (auch nicht über eine Reader-Lizenz).<br />
beendet.<br />
2.5, Version 2.5.1.1 installiert ist. Wenn diese Fehlermeldung erscheint, ist die<br />
Sie haben vesucht, den S-<strong>TRUST</strong> <strong>Sign</strong>- Lizenzdatei von Ihrem Rechner entfernt<br />
<strong>it</strong> <strong>Viewer</strong> zu starten, obwohl keine worden. Der sichere Zustand des Produktes ist<br />
Lizenz für die S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> nicht betroffen, jedoch sollten Sie m<strong>it</strong> einem<br />
Basiskomponenten 2.5, Version 2.5.1.1 geeigneten Programm (Virenscanner etc.) die<br />
installiert ist.<br />
Integr<strong>it</strong>ät Ihres Betriebssystes überprüfen.<br />
Eventuell haben unberechtigte Dr<strong>it</strong>te Zugriff auf<br />
Ihren Rechner erlangt.<br />
Die Schriftart Diese Fehlermeldung tr<strong>it</strong>t auf, wenn die Der sichere Zustand des Produktes ist<br />
'Courier New', die für Datei cour.ttf auf dem Computer nicht betroffen. Sie sollten überprüfen, ob die Datei<br />
die Darstellung von vorhanden ist oder von der Dateiversion cour.ttf auf dem Rechner vorhanden ist. Sie<br />
Text verwendet wird, abweicht, die der Originalinstallation sollten keine <strong>Sign</strong>aturen an Text-Dokumenten<br />
wurde auf diesem entspricht. Diese Fehlermeldung wird vornehmen, da die korrekte Darstellung nicht<br />
Computer nicht beim Start des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> mehr gewährleistet werden kann.<br />
gefunden oder <strong>Viewer</strong>s gemeldet bzw. beim Öffnen<br />
stimmt nicht m<strong>it</strong> der eines Textdokuments.<br />
Originalinstallation<br />
überein.<br />
Fehler beim Zugriff Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
auf die Datei! einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet.<br />
<strong>Viewer</strong> direkt durch diese oder beim wiederholen.<br />
Sie sollten den Vorgang<br />
Öffnen einer Datei über den<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert<br />
Beim Zugriff auf die zu öffnende Datei<br />
(Kommandozeile oder Menübefehl) ist<br />
ein Fehler aufgetreten. Die Datei<br />
existiert nicht oder kann nicht gelesen<br />
werden.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 292<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
Die Datei enthält Diese Fehlermeldung kann während der Der sichere Zustand des Produktes ist nicht<br />
sowohl 'DOS' als Untersuchung von Textdokumenten gefährdet. Sie sollten eine Untersuchung des<br />
auch 'Windows' auftreten.<br />
Textdokuments wie im Kap<strong>it</strong>el Arbe<strong>it</strong>en m<strong>it</strong><br />
Umlaute. Eine Das Textdokument enthält Zeichen, die dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> beschrieben,<br />
korrekte Darstellung als Umlaute in der Windows Darstellung vornehmen.<br />
ist u.U. nicht erkannt werden. Darüber hinaus sind<br />
möglich.<br />
aber auch Zeichen in dem dokument<br />
vorhanden, die als Umlaute in der DOS<br />
Codierung interpretiert werden.<br />
Die Datei enthält Diese Fehlermeldung kann während der Der sichere Zustand des Produktes ist nicht<br />
Zeichen, für die Untersuchung von Textdokumenten gefährdet. Sie sollten eine Untersuchung des<br />
keine eindeutige auftreten.<br />
Textdokuments wie im Kap<strong>it</strong>el Arbe<strong>it</strong>en m<strong>it</strong><br />
Darstellung definiert Das Dokument enthält Zeichen, für die dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> beschrieben,<br />
ist.<br />
in verschiedenen Schriftsätzen vornehmen.<br />
verschiedene<br />
sind.<br />
Darstellungen definiert
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 293<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
<strong>Viewer</strong><br />
Die TIFF Datei hat Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
eine Größe von . einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Sie müsen die enthaltenen Daten in<br />
Sie enthält freie <strong>Viewer</strong> direkt durch diese oder beim dem Dokument genauer untersuchen. Sie<br />
(scheinbar<br />
Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das<br />
ungenutzte) <strong>Sign</strong>aturanforderungsdialog generiert Dokument signieren wollen oder nicht.<br />
Bereiche m<strong>it</strong> einer werden.<br />
Gesamtgröße von Eine TIFF-Datei wurde geöffnet, deren<br />
.<br />
Inhalt nicht vollständig durch die<br />
enthaltenen Tags belegt wird. Die durch<br />
angegebene Anzahl von Bytes der<br />
Datei wird durch den ‚offiziellen’<br />
Dateiinhalt nicht verwendet und kann<br />
verborgene Inhalte enthalten. Die<br />
Meldung wird ausgegeben, wenn die<br />
Zahl der nicht adressierten Bytes mehr<br />
als 50 beträgt. In jedem Fall können<br />
diese Bytes unter ‚Ansicht / We<strong>it</strong>ere<br />
Dateiinhalte’ betrachtet werden.<br />
(Einzelne nicht belegte Bytes bzw.<br />
kleinere ungenutzte Dateibereiche sind<br />
in TIFF-Dateien normal. Sie entstehen<br />
durch Füllbytes, die bei der Anordnung<br />
von Tabellen auf WORD- oder<br />
DWORD-Grenzen erforderlich werden,<br />
aber auch durch die Bearbe<strong>it</strong>ung der<br />
TIFF-Datei.)
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 294<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
Fehler in TIFF- Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Struktur: Tag einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Sie müssen die enthaltenen Daten<br />
'StripOffset' Zeiger <strong>Viewer</strong> direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie<br />
ohne<br />
Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das<br />
Größenangabe! <strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert Dokument signieren wollen oder nicht.<br />
Interner Fehler in der TIFF-Struktur. Der<br />
Inhalt kann u.U. nicht korrekt angezeigt<br />
werden. We<strong>it</strong>ere Fehlermeldungen sind<br />
möglich. Diese Meldung kann nur im<br />
Fall einer beschädigten TIFF-Datei<br />
Fehler in TIFFauftreten.<br />
Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Struktur: Tag einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Sie müssen die enthaltenen Daten<br />
'TileOffsets' ohne <strong>Viewer</strong> direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie<br />
'TileByteCount' Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das<br />
gefunden!<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert Dokument signieren wollen oder nicht.<br />
Interner Fehler in der TIFF-Struktur. Der<br />
Inhalt kann u.U. nicht korrekt angezeigt<br />
werden. We<strong>it</strong>ere Fehlermeldungen sind<br />
möglich. Diese Meldung kann nur im<br />
Fall einer beschädigten TIFF-Datei<br />
Fehlendes Tag!<br />
auftreten.<br />
Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Sie müssen die enthaltenen Daten<br />
<strong>Viewer</strong> direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie<br />
Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert Dokument signieren wollen oder nicht.<br />
Es wurde ein Tag nicht gefunden. Es ist<br />
ein Fehler im Programm aufgetreten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 295<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
Fehlerhafter Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
TagType!<br />
einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Der Benutzer muss die enthaltenen<br />
<strong>Viewer</strong> direkt durch diese oder beim Daten in dem Dokument genauer untersuchen.<br />
Öffnen einer Datei über den Der Benutzer muss selbst entscheiden, ob er<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert das Dokument signieren will oder nicht.<br />
Fehler in der TIFF-Struktur. Der Typ<br />
eines Tag’s entspricht nicht der<br />
Fehler<br />
Spezifikation. We<strong>it</strong>ere Fehlermeldungen<br />
sind möglich. (Tr<strong>it</strong>t beim Markieren<br />
eines Tag’s auf, wenn dieses Tag nicht<br />
der Spezifikation entspricht.)<br />
in Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
DataLength einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Sie müssen die enthaltenen Daten<br />
(erwartet 'X' <strong>Viewer</strong> direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie<br />
gefunden 'Y') Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert Dokument signieren wollen oder nicht.<br />
Fehler in der TIFF-Struktur. Der<br />
Datenumfang eines Tag’s entspricht<br />
nicht der Spezifikation. Tr<strong>it</strong>t nur auf,<br />
wenn die Spezifikation den<br />
Datenumfang des Tag’s expliz<strong>it</strong> festlegt<br />
und das Tag dieser Festlegung nicht<br />
entspricht. We<strong>it</strong>ere Fehlermeldungen<br />
sind möglich. (Tr<strong>it</strong>t beim Markieren<br />
eines Tag’s auf, wenn dieses Tag nicht<br />
der Spezifikation entspricht.)
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 296<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
Fehler in Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
DataLength einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Sie müssen die enthaltenen Daten<br />
(erwartet 'X1' oder <strong>Viewer</strong> direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie<br />
'X2' gefunden 'Y') Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert Dokument signieren wollen oder nicht.<br />
Fehler in der TIFF-Struktur. Der<br />
Datenumfang eines Tag’s entspricht<br />
nicht der Spezifikation. Tr<strong>it</strong>t nur auf,<br />
wenn die Spezifikation den<br />
Datenumfang des Tag’s expliz<strong>it</strong> festlegt<br />
und das Tag dieser Festlegung nicht<br />
entspricht. We<strong>it</strong>ere Fehlermeldungen<br />
sind möglich. (Tr<strong>it</strong>t beim Markieren<br />
eines Tag’s auf, wenn dieses Tag nicht<br />
der Spezifikation entspricht.)<br />
Fehler in DataType Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
(erwartet '2' (ASCII) einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Sie müssen die enthaltenen Daten<br />
gefunden '') <strong>Viewer</strong> direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie<br />
Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert Dokument signieren wollen oder nicht.<br />
Fehler in der TIFF-Struktur. Der<br />
Datentyp eines Tag's entspricht nicht<br />
der Spezifikation. Tr<strong>it</strong>t nur auf, wenn die<br />
Spezifikation den Datentyp des Tag's<br />
expliz<strong>it</strong> festlegt und das Tag dieser<br />
Festlegung nicht entspricht. We<strong>it</strong>ere<br />
Fehlermeldungen sind möglich.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 297<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
Fehler in Datei! Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Zeiger ausserhalb einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Sie müssen die enthaltenen Daten<br />
des Bereichs! <strong>Viewer</strong> direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie<br />
Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert Dokument signieren wollen oder nicht.<br />
Es ist ein Fehler in der TIFF-Datei<br />
aufgetreten. Eine Adresse in der<br />
Fehler in<br />
Struktur der TIFF-Datei verweist auf<br />
Daten, die hinter dem Ende der Datei<br />
liegen. Tr<strong>it</strong>t auf, wenn die TIFF-Datei<br />
unvollständig ist (abgeschn<strong>it</strong>ten) oder<br />
die Adressdaten in der Datei beschädigt<br />
wurden. We<strong>it</strong>ere Fehlermeldungen sind<br />
zu erwarten.<br />
Datei! Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Überschneidung! einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Sie müssen die enthaltenen Daten<br />
<strong>Viewer</strong> direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie<br />
Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert Dokument signieren wollen oder nicht.<br />
Fehler in der TIFF-Datei. Eine Adresse<br />
in der Struktur der TIFF-Datei verweist<br />
auf Daten, die in einem Bereich der<br />
Datei liegen, in dem bere<strong>it</strong>s andere<br />
Daten identifiziert wurden. Tr<strong>it</strong>t auf,<br />
wenn die Adressdaten in der Datei<br />
beschädigt wurden. We<strong>it</strong>ere<br />
Fehlermeldungen sind zu erwarten.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 298<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
Die<br />
Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes kann nicht<br />
<strong>Sign</strong>aturkomponente einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gewährleistet werden. Sie sollten m<strong>it</strong> dem zur<br />
konnte nicht <strong>Viewer</strong> direkt durch diese oder beim Verfügung stehenden Modul zur<br />
in<strong>it</strong>ialisiert werden! Öffnen einer Datei über den Integr<strong>it</strong>ätsprüfung die Integr<strong>it</strong>ät der Installation<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert auf dem Rechner überprüfen.<br />
Das S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Job Interface<br />
steht nicht zur Verfügung. Dies ist ein<br />
kr<strong>it</strong>ischer Fehler. Sie sollten m<strong>it</strong> dem S-<br />
<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool die<br />
Auf die<br />
korrekte Installation des Produktes auf<br />
dem Arbe<strong>it</strong>splatz überprüfen.<br />
Datei Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
'' kann nicht einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Sie sollten den Vorgang<br />
zugegriffen werden: <strong>Viewer</strong> direkt durch diese oder beim wiederholen.<br />
Öffnen einer Datei über den<br />
<strong>Sign</strong>aturanforderungsdialog<br />
werden.<br />
generiert<br />
Die Datei wurde ursprünglich<br />
geöffnet und gelesen, steht bei einem<br />
späteren Zugriff jedoch nicht mehr zur<br />
Verfügung. Die Fehlermeldung des<br />
Betriebssystems steht in einer zwe<strong>it</strong>en<br />
Zeile.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 299<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
Beim Laden des Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
TIFF-Bildes ist ein einer Datei m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> gefährdet. Allerdings kann das Dokument nicht<br />
Fehler aufgetreten: <strong>Viewer</strong> direkt durch diese oder beim angezeigt werden. Sie müssen entscheiden,<br />
Öffnen einer Datei über den ob Sie das Dokument trotzdem signieren<br />
<strong>Sign</strong>aturanforderungsdialog generiert möchten, obwohl kein sicheres Anzeigemodul<br />
werden.<br />
zur Verfügung steht.<br />
Es wurde ein Fehler festgestellt, der<br />
sich auf die Struktur der TIFF-Datei<br />
bzw. die Auswertung des Inhalts<br />
bezieht. Beispiel: Nicht unterstützte<br />
Kompressionsverfahren oder Fehler in<br />
der Dateistruktur. Eine genaue<br />
Es sind<br />
Bezeichnung des Fehlers - in englischer<br />
Sprache - steht in der zwe<strong>it</strong>en Zeile.<br />
Diese Fehlermeldung wird generiert, Der sichere Zustand des Produktes ist nicht<br />
Java Script wenn der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> Java gefährdet. Sie sollten sich jedoch über den<br />
Elemente im Script Elemente identifiziert hat. Inhalt der Java Script Elemente über den<br />
Dokument enthalten. Sie sollten sich über den Menüpunkt Menüpunkt<br />
'We<strong>it</strong>ere Dateiinhalte' über den Inhalt informieren.<br />
'We<strong>it</strong>ere Dateiinhalte'<br />
der Java Scripte informieren.<br />
Im Zweifelsfall sollten Sie die<br />
Fehler in der Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Datenlänge eines PDF Dokuments angezeigt gefährdet, jedoch sollten Sie die Datei nicht<br />
werden.<br />
we<strong>it</strong>er verarbe<strong>it</strong>en, da ein Fehler in der<br />
internen Dokumentstruktur vorliegt.<br />
Fehler im Zugriff auf Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
die Datei!<br />
eines Dokuments angezeigt werden. gefährdet. Sie haben jedoch eine Datei<br />
ausgewählt, die nicht geöffnet werden kann.<br />
Beispielsweise kann die Datei exklusiv durch<br />
Das Modul bes<strong>it</strong>zt Start des <strong>Viewer</strong>s angezeigt werden. mehr gewährleistet. Das Programm wird<br />
eine ungültige<br />
beendet. Sie sollten m<strong>it</strong> dem zur Verfügung<br />
<strong>Sign</strong>atur! Das<br />
stehenden Modul zur Integr<strong>it</strong>ätsprüfung die<br />
Programm wird<br />
Integr<strong>it</strong>ät der Installation auf dem Rechner<br />
beendet.<br />
überprüfen und sicherstellen, dass nicht<br />
b h i D i Z iff f Ih
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 300<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
Das Modul konnte Start des <strong>Viewer</strong>s angezeigt werden. mehr gewährleistet. Das Programm wird<br />
nicht geladen<br />
beendet. Sie sollten m<strong>it</strong> dem zur Verfügung<br />
werden! Das<br />
stehenden Modul zur Integr<strong>it</strong>ätsprüfung die<br />
Programm wird<br />
Integr<strong>it</strong>ät der Installation auf dem Rechner<br />
beendet.<br />
überprüfen und sicherstellen, dass nicht<br />
unberechtigte Dr<strong>it</strong>te Zugriff auf Ihren<br />
Das Dokument ist Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
beschädigt und eines PDF Dokuments angezeigt betroffen. Der <strong>Viewer</strong> hat jedoch erkannt,<br />
muss repariert werden.<br />
dass das vorliegende Dokument nicht<br />
werden.<br />
verarbe<strong>it</strong>et oder angezeigt werden kann.<br />
Eine solches Dokument sollten Sie nicht<br />
signieren.<br />
Die Datei-Ende Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Markierung (EOF) eines PDF Dokuments angezeigt betroffen. Der <strong>Viewer</strong> hat jedoch erkannt,<br />
wurde nicht werden.<br />
dass das vorliegende Dokument einen<br />
gefunden.<br />
syntaktischen Fehler enthält.<br />
Ein solches Dokument sollten Sie nicht<br />
signieren.<br />
Die Datei konnte Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
nicht geöffnet eines PDF Dokuments angezeigt gefährdet, die Datei konnte jedoch nicht<br />
werden.<br />
werden.<br />
geöffnet werden.<br />
Ein unerwarteter Diese Fehlermeldung wird angezeigt, Der sichere Zustand des Produktes ist nicht<br />
Fehler ist wenn ein Fehler aufgetreten ist, der gefährdet.<br />
aufgetreten! eine we<strong>it</strong>ere Verarbe<strong>it</strong>ung der Daten Sie sollten die laufende Operation jedoch<br />
unmöglich macht.<br />
abbrechen bzw. den <strong>Viewer</strong> schliessen.<br />
- es sind alternative Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Abbildungen eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
enthalten<br />
werden.<br />
dass Anweisungen in dem PDF Dokument<br />
vorhanden sind, die nicht ausgeführt werden<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 301<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
- es sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Anweisungen zur eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
Ausführung externer werden.<br />
dass Anweisungen in dem PDF Dokument<br />
Programme<br />
vorhanden sind, die nicht ausgeführt werden<br />
enthalten<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.<br />
- es sind Verweise Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
auf externe Dateien eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
enthalten<br />
werden.<br />
dass Anweisungen in dem PDF Dokument<br />
vorhanden sind, die nicht ausgeführt werden<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.<br />
- es sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Verzweigungen eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
auf externe werden.<br />
dass Anweisungen in dem PDF Dokument<br />
Dokumente<br />
vorhanden sind, die nicht ausgeführt werden<br />
enthalten<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.<br />
- es sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Anweisungen zum eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
Verbergen von werden.<br />
dass Anweisungen in dem PDF Dokument<br />
Inhalten enthalten<br />
vorhanden sind, die nicht ausgeführt werden<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.<br />
- es sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Anweisungen zum eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
Zugriff auf das werden.<br />
dass Anweisungen in dem PDF Dokument<br />
Internet enthalten<br />
vorhanden sind, die nicht ausgeführt werden<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.<br />
- es sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Anweisungen zum eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
Abspielen von werden.<br />
dass Anweisungen in dem PDF Dokument<br />
Media-Clips<br />
vorhanden sind, die nicht ausgeführt werden<br />
enthalten<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 302<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
- es sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Anweisungen zur eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
Ausführung werden.<br />
dass Anweisungen in dem PDF Dokument<br />
benannter Aktionen<br />
vorhanden sind, die nicht ausgeführt werden<br />
enthalten<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.<br />
- es sind optionale Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Inhalte enthalten eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
werden.<br />
dass Anweisungen in dem PDF Dokument<br />
vorhanden sind, die nicht ausgeführt werden<br />
können.<br />
- es<br />
Sie sollten eine solche Datei nicht signieren<br />
sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Anweisungen zur eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
Steuerung von werden.<br />
dass Anweisungen in dem PDF Dokument<br />
Media-Clips<br />
vorhanden sind, die nicht ausgeführt werden<br />
enthalten<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.<br />
- es sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Anweisungen zur eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
Überm<strong>it</strong>tlung von werden.<br />
dass Anweisungen in dem PDF Dokument<br />
Formulardaten<br />
vorhanden sind, die nicht ausgeführt werden<br />
enthalten<br />
können.<br />
- es<br />
Sie sollten eine solche Datei nicht signieren<br />
sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Anweisungen zum eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
Abspielen von werden.<br />
dass Anweisungen in dem PDF Dokument<br />
Sound enthalten<br />
vorhanden sind, die nicht ausgeführt werden<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.<br />
- es sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Anweisungen zur eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
Steuerung<br />
werden.<br />
dass Anweisungen in dem PDF Dokument<br />
besonderer<br />
vorhanden sind, die nicht ausgeführt werden<br />
Lesereihenfolgen<br />
können.<br />
enthalten<br />
Sie sollten eine solche Datei nicht signieren.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 303<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
- es wird Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Transparenz eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
verwendet<br />
werden.<br />
dass Anweisungen in dem PDF Dokument<br />
vorhanden sind, die nicht ausgeführt werden<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.<br />
- es wurden Inhalte Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
entdeckt, die nicht eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
zum Dokument werden.<br />
dass Anweisungen in dem PDF Dokument<br />
gehören<br />
vorhanden sind, die nicht ausgeführt werden<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.<br />
- es sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht<br />
Anweisungen zum eines PDF Dokuments angezegt betroffen, jedoch hat der <strong>Viewer</strong> erkannt,<br />
Abspielen von werden.<br />
dass Anweisungen in dem PDF Dokument<br />
Filmen enthalten<br />
vorhanden sind, die nicht ausgeführt werden<br />
können.<br />
Sie sollten eine solche Datei nicht signieren.<br />
Das Dokument hat Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand ist nicht betroffen. sie<br />
eine neuere Version eines PDF Dokuments angezeigt haben jedoch ein Dokument geöffnet,<br />
als 1.6 und kann aus werden.<br />
welches eine PDF-Version spezifiziert, die<br />
diesem Grund u.U.<br />
größer als die erwartete Version 1.6 ist.<br />
nicht eindeutig und<br />
Das bedeutet, dass die Datei unter<br />
fehlerfrei dargestellt<br />
Umständen nicht korrekt angezeigt wird. Sie<br />
werden.<br />
sollten eine solche Datei nicht signieren, da<br />
der <strong>Viewer</strong> die zweifelsfreie Darstellung des<br />
Dokuments nicht gewährleisten kann.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 304<br />
Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des<br />
S-<strong>TRUST</strong><br />
<strong>Viewer</strong><br />
<strong>Sign</strong>-<strong>it</strong><br />
Produktes/Benutzerreaktion<br />
Es steht der Diese Meldung kann Ihnen bei der Der sichere Zustand ist nicht betroffen. Sie<br />
Anwendung nicht Verwendung des Text- sollten jedoch den <strong>Viewer</strong> schliessen und<br />
genügend Speicher Extrakionsdialogs des <strong>Viewer</strong>s das Dokument erneut öffnen.<br />
zur Verfügung! B<strong>it</strong>te angezeigt werden.<br />
Unter bestimmten Umständen stellt das<br />
beenden Sie die<br />
Betriebssystem nicht genügend Speicher für<br />
Anwendung und<br />
die Anwendung zur Verfügung. Um eine<br />
starten Sie diese<br />
Missinterpretation der Daten<br />
neu.<br />
auszuschliessen, sollten Sie das Dokument<br />
jedoch schliessen und erneut öffnen. Sie<br />
sollten das Dokument jedoch nicht signieren,<br />
bevor Sie den Inhalt des Dokuments nicht<br />
zweifelsfrei erkennen konnten.<br />
Die Prüfsumme der Diese Meldung kann durch den S- Sie sollten diese Datei auf keine Fall<br />
Datei stimmt nicht <strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> angezeigt signieren.<br />
m<strong>it</strong> dem erwarteten werden.<br />
Prüfen Sie Ihren PC auf Schadsoftware wie<br />
Wert überein. Der In diesem Fall wurden die zu Viren und Backdoorprogramme unter<br />
dargestellte Inhalt signierenden Daten manipuliert. Verwendung einer geeigneten<br />
wurde<br />
manipuliert.<br />
u.U.<br />
Sicherhe<strong>it</strong>ssoftware.
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Handbuch 305<br />
Technischer Support<br />
Bei Fragen in der Arbe<strong>it</strong> m<strong>it</strong> dem Produkt S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> 2.5 sollten Sie zunächst die Beschreibung<br />
in dem entsprechenden Kap<strong>it</strong>el des elektronischen Handbuches nachlesen.<br />
Darüber hinaus steht Ihnen zur Unterstützung für die Software S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> 2.5 ein telefonischer<br />
Support zur Verfügung. We<strong>it</strong>ere Informationen zum technischen Support und zu häufig gestellten<br />
Fragen (FAQ) finden Sie im Internet unter: www.openlim<strong>it</strong>.com (http://www.openlim<strong>it</strong>.com).<br />
Vorab sollten Sie sich darüber informieren, welche Softwareversion Sie installiert haben. Diese<br />
Meldung finden Sie unter Start - Programme - S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> - Version Info.
S-Trust <strong>Sign</strong>-<strong>it</strong> Handbuch 307
A<br />
Arbe<strong>it</strong>en m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y<br />
Tool • 4, 7, 45, 81<br />
Arbe<strong>it</strong>en m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
Environment Manager • 68<br />
Arbe<strong>it</strong>en m<strong>it</strong> dem S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> •<br />
42, 90, 147<br />
Arbe<strong>it</strong>en m<strong>it</strong> den S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5 • 1, 20, 28, 68, 131<br />
Attributzertifikate • 64, 118<br />
B<br />
Betriebssysteme • 3, 5, 7, 17, 45<br />
Bevor Sie beginnen • 1, 3<br />
C<br />
Chipkarten • 3, 5, 7, 19, 31, 40, 56, 57, 69, 70,<br />
112<br />
Chipkarten Optionen • 48, 60<br />
E<br />
Eigenschaften • 60, 61<br />
Einle<strong>it</strong>ung • 1<br />
Erste Hilfe • 20, 124<br />
F<br />
Fehlermeldungen des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong><br />
• 145<br />
Fehlermeldungen S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y<br />
Environment Manager • 41, 87, 129<br />
Fehlermeldungen vor oder während der<br />
Installation • 127<br />
Freischalten der Lizenz • 3, 12<br />
G<br />
Grundlagen der elektronischen <strong>Sign</strong>atur • 21<br />
I<br />
Installation • 7<br />
K<br />
Kartenleser • 3, 5, 7, 18, 31, 40, 69<br />
Konfiguration der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5, Version 2.5.1.1 • 1,<br />
3, 20, 47, 51, 71<br />
Konfigurationsoptionen des S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Secur<strong>it</strong>y Environment Managers • 48<br />
M<br />
Index<br />
Mindestanforderungen und<br />
Sicherhe<strong>it</strong>smaßnahmen • 1, 3, 5, 7<br />
O<br />
Option<br />
Algor<strong>it</strong>hmen • 59<br />
Allgemeine Einstellungen • 51<br />
Lizenzeinstellungen und Lizenzupgrade •<br />
16, 49<br />
PIN-Abfrage • 55<br />
Verzeichnisse • 53<br />
Zertifikate • 57<br />
P<br />
PIN ändern • 66<br />
Produktbestandteile • 3, 20<br />
Public Key Verfahren • 23<br />
R<br />
Rechtliche Aspekte der elektronischen<br />
<strong>Sign</strong>atur • 22, 29<br />
S<br />
308<br />
Sicherhe<strong>it</strong>skomponenten der S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong><br />
Basiskomponenten 2.5 • 1, 31, 43, 52, 95,<br />
101, 111, 125<br />
<strong>Sign</strong>aturerzeugung • 24, 112<br />
<strong>Sign</strong>aturverifikation • 25, 72<br />
Sperrlistenaktualisierung • 87<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Integr<strong>it</strong>y Tool • 20, 45, 82<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> Secur<strong>it</strong>y Environment<br />
Manager • 20, 39<br />
S-<strong>TRUST</strong> <strong>Sign</strong>-<strong>it</strong> <strong>Viewer</strong> • 20, 42<br />
T<br />
Typografische Konventionen • 1<br />
W<br />
Wie gehe ich m<strong>it</strong> Fehlermeldungen um? • 125<br />
Z<br />
Ze<strong>it</strong>stempeldienste • 40, 73, 121<br />
Zertifikate exportieren • 60, 64