S-TRUST Sign-it Viewer

S-Trust Sign-it Handbuch 

S-TRUST Sign-it 2.5.1.1 

Elektronisches Handbuch

S-TRUST Sign-it Handbuch 2 

Copyright ® OPENLiMiT SignCubes AG 2008 

Diese Dokumentation ist geistiges Eigentum der OPENLiMiT SignCubes AG. 

Sie darf ohne vorherige schriftliche Einwilligung der OPENLiMiT SignCubes AG nicht (auch nicht in 

Auszügen) vervielfältigt oder veröffentlicht werden, unabhängig von der Art und Weise oder mit 

welchen Mitteln, elektronisch oder mechanisch, dieses geschieht. Die in dieser Dokumentation 

verwendeten Soft- oder Hardwarebezeichnungen sind genauso wie Firmen- oder Markennamen in 

den meisten Fällen eingetragene Warenzeichen oder Marken und Eigentum der jeweiligen Hersteller. 

Sie werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Wir richten uns im Wesentlichen 

nach den Schreibweisen der Hersteller. Die Wiedergabe von Waren- und Handelsnamen etc. in dieser 

Dokumentation - auch ohne besondere Kennzeichnung - berechtigt nicht zu der Annahme, dass 

solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten 

sind. 

Alle in dieser Dokumentation enthaltenen Informationen wurden mit größter Sorgfalt 

zusammengestellt. Dennoch können fehlerhafte Angaben nicht völlig ausgeschlossen werden. Die 

OPENLiMiT SignCubes AG, die Autoren und die Übersetzer haften nicht für eventuelle Fehler oder 

deren Folgen. In dieser Dokumentation werden insbesondere Informationen über Signaturgesetze und 

entsprechende Verordnungen gegeben. Diese Informationen sollen zum Verständnis beitragen und 

haben nicht den Anspruch auf Vollständigkeit. Es obliegt jedem Nutzer selbst, sich über die 

gesetzlichen Grundlagen, auf denen die beschriebene Technologie beruht, zu informieren und die 

entsprechenden Maßnahmen zu ergreifen. 

Diese Dokumentation bietet dem Erwerber eine Anleitung zu den S-TRUST Sign-it Basiskomponenten 

2.5, Version 2.5.1.1. In Einzelfällen kann es zu Abweichungen zwischen den beschriebenen Abläufen, 

der Dokumentation und der tatsächlichen Anwendung kommen. Die OPENLiMiT SignCubes AG 

übernimmt keine Haftung für etwaige Abweichungen und deren Folgen. 

Da die Software ständig weiter entwickelt wird, behält sich die OPENLiMiT SignCubes AG 

Änderungen am Inhalt der Dokumentation ohne Ankündigung vor. 

Alle Programm-Module der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 entsprechen der 

Version 2.5.1.1. Das Handbuch beschreibt sowohl die Sicherheitsfunktionalität als auch die korrekte 

Konfiguration und den richtigen Umgang mit dem Produkt. Die S-TRUST Sign-it Basiskomponenten 

2.5, Version 2.5.1.1 wurden einer Evaluierung nach Common Criteria v2.1 mit Prüfniveau EAL4+ 

unterzogen und haben eine Sicherheitsbestätigung durch das Bundesamt für Sicherheit in der 

Informationstechnik (BSI) erhalten. Mehr Informationen zur Produktzertifizierung finden Sie auf den 

Webseiten des BSI unter http://www.bsi.de und der Bundesnetzagentur für Elektrizität, Gas, 

Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) unter 

http://www.bundesnetzagentur.de. 

Dieses Handbuch gehört zum Lieferumfang des bestätigten Produktes. 

Die Zertifizierungs-ID für das Produkt lautet BSI-DSZ-CC-0585. Die Sicherheitsvorgaben und der 

Zertifizierungsreport für das Produkt können in englischer Sprache von den Webseiten des 

Bundesamtes für Sicherheit in der Informationstechnik bezogen werden.


Hinweise und Kommentare richten Sie bitte an documentation@openlimit.com. 

OPENLiMiT SignCubes AG 

Zugerstraße 76 B 

CH - 6341 Baar 

Switzerland 

Tel: +49 (0) 30 86 87 66 20 

e-Mail: info@openlimit.com 

Web: www.openlimit.com


Inhalt 

Einleitung 8 

Typografische Konventionen ......................................................................................................................................9 

Bevor Sie beginnen................................................................................................................................................... 10 

Mindestanforderungen und Sicherheitsmaßnahmen ................................................................................................. 12 

Installation ............................................................................................................................................................... 14 

Freischalten der Lizenz ............................................................................................................................................20 

Betriebssysteme.......................................................................................................................................................24 

Kartenleser...............................................................................................................................................................25 

Chipkarten................................................................................................................................................................27 

Produktbestandteile .................................................................................................................................................28 

Grundlagen der elektronischen Signatur 29 

Public Key Verfahren ................................................................................................................................................30 

Signaturerzeugung ................................................................................................................................................... 31 

Signaturverifikation..................................................................................................................................................33 

Rechtliche Aspekte der elektronischen Signatur ......................................................................................................36 

Sicherheitskomponenten der S-TRUST Sign-it Basiskomponenten 2.5 40 

S-TRUST Sign-it Security Environment Manager........................................................................................................47 

S-TRUST Sign-it Viewer .............................................................................................................................................50 

S-TRUST Sign-it Integrity Tool...................................................................................................................................52 

Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 54 

Konfigurationsoptionen des S-TRUST Sign-it Security Environment Managers..........................................................56 

Option: Lizenzeinstellungen und Lizenzupgrade ...........................................................................................57 

Option: Allgemeine Einstellungen .................................................................................................................59 

Option: Verzeichnisse ...................................................................................................................................62 

Option: PIN-Abfrage......................................................................................................................................65 

Option: Zertifikate ........................................................................................................................................68 

Option: Algorithmen.......................................................................................................................................71 

Chipkarten Optionen.................................................................................................................................................72 

Eigenschaften...............................................................................................................................................73 

Zertifikate exportieren.................................................................................................................................77 

PIN ändern....................................................................................................................................................78


Arbeiten mit den S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 80 

Arbeiten mit dem S-TRUST Sign-it Security Environment Manager ........................................................................... 81 

Signaturverifikation..................................................................................................................................................85 

Arbeiten mit dem S-TRUST Sign-it Integrity Tool ......................................................................................................93 

Sperrlistenaktualisierung ....................................................................................................................................... 102 

Arbeiten mit dem S-TRUST Sign-it Viewer............................................................................................................... 106 

Signaturerzeugung ................................................................................................................................................. 123 

Attributzertifikate .................................................................................................................................................. 129 

XML Signaturen....................................................................................................................................................... 133 

Zeitstempeldienste................................................................................................................................................. 136 

Arbeitsabläufe 140 

Dateiformate ........................................................................................................................................................... 141 

Signieren ................................................................................................................................................................ 143 

Signatur prüfen....................................................................................................................................................... 145 

Zusammenfassung...................................................................................................................................... 146 

Details .........................................................................................................................................................147 

Online Prüfung von Zertifikaten.................................................................................................................. 148 

Online Status .............................................................................................................................................. 149 

Erstellen Prüfprotokoll ............................................................................................................................... 152 

Verschlüsselung...................................................................................................................................................... 156 

Daten verschlüsseln ................................................................................................................................... 158 

Verschlüsselungszertifikat exportieren...................................................................................................... 160 

Zertifikate installieren................................................................................................................................. 161 

Verzeichnisdienst ....................................................................................................................................... 162 

Entschlüsselung...................................................................................................................................................... 164 

Daten Entschlüsseln ................................................................................................................................... 165 

S-TRUST Sign-it Shellextension 166 

Die erste Signatur mit S-TRUST Sign-it ....................................................................................................................167 

Shell Extension Menü.............................................................................................................................................. 168 

Dateien und Icons im Explorer ................................................................................................................................ 169 

Adobe Plugin 170 

Adobe Plugin Voreinstellungen ................................................................................................................................171 

PDF Dokument signieren..............................................................................................................................174 

Signatur im PDF prüfen................................................................................................................................176 

Signieren mit dem S-TRUST TIFF Producer 179 

Eigenschaften des S-TRUST TIFF Producers ............................................................................................................. 181 

Eigenschaften des S-Trust Sign-it Druckers (nur Windows NT)................................................................................ 182 

Drucker Eigenschaften - Einstellungen ................................................................................................................... 183 

Drucker Eigenschaften - Dateiformate.................................................................................................................... 186 

Drucker Eigenschaften - Dateiname erstellen......................................................................................................... 188 

Drucker Eigenschaften - Programm - Start............................................................................................................. 190 

Drucker Eigenschaften - Wasserzeichen ................................................................................................................. 192 

Drucker Eigenschaften - Embed Annotation............................................................................................................ 194 

E-Mail Clients 196 

Microsoft Outlook und Microsoft Outlook Express ...................................................................................................197 

Microsoft Outlook Einstellungen................................................................................................................. 198 

Signieren und Verschlüsseln...................................................................................................................... 204


Verschlüsselungszertifikate in Kontakt integrieren................................................................................... 205 

Mozilla / Netscape Mail...........................................................................................................................................207 

Mozilla / Netscape Mail Client Sicherheitseinstellungen............................................................................ 208 

Arbeiten mit Mozilla / Netscape Mail .......................................................................................................... 219 

Mozilla Thunderbird ................................................................................................................................................224 

Thunderbird Sicherheitseinstellungen ........................................................................................................225 

Arbeiten mit Thunderbird ...........................................................................................................................238 

Lotus Notes ............................................................................................................................................................243 

Lotus Notes 6.5.4 Sicherheitseinstellungen ...............................................................................................244 

Arbeiten mit Lotus Notes 6.5.4...................................................................................................................249 

Lotus Notes 5 .............................................................................................................................................252 

SSL Authentisierung 253 

Internet Explorer....................................................................................................................................................254 

Firefox Browser Sicherheitseinstellungen ..............................................................................................................255 

Firefox SSL Authentisierung ...................................................................................................................................259 

Mozilla / Netscape Browser Sicherheitseinstellungen ............................................................................................260 

Mozilla / Netscape SSL Authentisierung .................................................................................................................264 

Erste Hilfe 265 

Wie gehe ich mit Fehlermeldungen um?..................................................................................................................266 

Fehlermeldungen vor oder während der Installation ..............................................................................................268 

Fehlermeldungen S-TRUST Sign-it Security Environment Manager .........................................................................272 

Fehlermeldungen des S-TRUST Sign-it Viewer.........................................................................................................290 

Technischer Support...............................................................................................................................................305 

Index 308


Glossar 

CC Die Common Criteria ist ein internationals Normen- und Regelwerk, welches Vorgaben 

zur sicherheitstechnischen Untersuchung von IT Produkten definiert. 

CRL Eine Certificate List ist eine Liste, die von einem Zetrifikatsanbieter herausgegeben wird 

und eine Liste aller Zetrifikate enthält, die zum Zeitpunkt des Abrufs der Sperrliste durch 

den Inhaber des zertifikats gesperrt worden ist. 

OCSP Online Certificate Status Protocol ist ein Protokoll, welches über eine Online Abfrage die 

Möglichkeit bietet, bei dem Herausgeber zu erfragen, ob ein Zerifikat bekannt bzw. 

gesperrt ist. Dieses verfahren wird als so genannte Positiv Auskunft bezeichnet. 

RSA Kryptographische Mechanismen, benannt nach den Erfindern Ronald L. Rivest, Adi 

Shamir und Leonard Adleman 

ECDSA Elliptic Curve Digital Signature Algorithm, kryptographische Mechanismen basierend auf 

elliptischen Kurven 

CMS Cryptographic Message Syntax – beschreibt das Standardformat für kryptographische 

Nachrichten


Einleitung 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 sind eine evaluierte und bestätigte 

Signaturanwendungskomponente gemäß deutschem Signaturgesetz (SigG) und der 

Signaturverordnung (SigV). 

Die bestätigten Komponenten bestehen aus dem S-TRUST Sign-it Security Environment Manager, 

dem S-TRUST Sign-it Viewer sowie dem S-TRUST Sign-it Integrity Tool, die auch Gegenstand der 

vorliegenden Benutzerdokumentation Version 2.5.1.1 sind. 

Die vorliegende Dokumentation Version 2.5.1.1 beschreibt die genannten Produktbestandteile und 

gibt Hinweise zur korrekten und sicheren Konfiguration des Produktes. Weiterhin werden alle 

Fehlermeldungen aufgelistet und Hinweise zum korrekten Umgang mit Fehlermeldungen gegeben. 

Bevor Sie anfangen, mit dem Produkt zu arbeiten, lesen Sie bitte die folgenden Kapitel der Hilfe 

aufmerksam durch: 

� Bevor Sie beginnen 

� Mindestanforderungen und Sicherheitsmaßnahmen 

� Sicherheitskomponenten der S-TRUST Sign-it Basiskomponenten 2.5 

� Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 

Eine Anleitung zum Umgang mit dem Produkt sowie der Nutzung einzelner Funktionen im Detail, 

finden Sie im Kapitel Arbeiten mit den S-TRUST Sign-it Basiskomponenten 2.5.


Typografische Konventionen 

Diese Hilfe verwendet einige typografische Konventionen, die Ihnen die Arbeit mit dem elektronischen 

Handbuch erleichtern. 

Formatierung Beschreibung 

Fetter Text Mit dieser Formatierung werden besonders 

wichtige Passagen markiert. 

kursiv Mit dieser Formatierung werden z.B. 

Menübefehle 

gekennzeichnet. 

und Arbeitsabfolgen 

Normaler Text Dies ist die normale Textformatierung für dieses 

Handbuch.


Bevor Sie beginnen 

Die vorliegende Benutzerdokumentation Version 2.5.1.1 ist Bestandteil der erfolgten 

Sicherheitsevaluierung und Sicherheitsbestätigung und bezieht sich ausschließlich auf die S-TRUST 

Sign-it Basiskomponenten 2.5, Version 2.5.1.1. 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 sind Bestandteil des Produktes, das Sie 

auf CD-ROM von der Deutschen Sparkasse oder Online über den Web-Shop des Deutschen 

Sparkassenverlages erworben haben. Das vorliegende Handbuch Version 2.5.1.1 beschreibt 

ausschließlich den korrekten Umgang mit den Basiskomponenten, für die weiteren 

Produktbestandteile steht Ihnen eine separate Hilfe zur Verfügung. 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 sind eine Sicherheitssoftware, die Ihnen 

die Erstellung und Verifikation elektronischer Signaturen konform zum deutschen Signaturgesetz 

(SigG) und zur Signaturverordnung (SigV) bietet. Für die sichere Benutzung der S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 benötigen Sie neben der Software eine Chipkarte und einen 

Kartenleser mit sicherer PIN-Eingabe. 

Dieses Handbuch Version 2.5.1.1 erläutert die Grundlagen zur elektronischen Signatur, die 

Sicherheitskomponenten und Sicherheitsfunktionen des Produktes, zur korrekten Konfiguration sowie 

den Umgang mit dem Produkt. In einem separaten Kapitel werden die Fehlermeldungen und mögliche 

Ursachen für diese Fehlermeldungen aufgeführt. Dieses Kapitel enthält Hinweise und 

Handlungsempfehlungen, für den Fall, dass eine Fehlermeldung von dem Produkt angezeigt wird. 

Sie sollten die folgenden Kapitel lesen, um sicher zu stellen, dass Ihr Rechner die Voraussetzung für 

den Einsatz des Produktes erfüllt: 

� Mindestanforderungen und Sicherheitsmaßnahmen 

� Betriebssysteme 

� Chipkarten 

� Kartenleser 

� Produktbestandteile


Sie sollten vor der ersten Verwendung des Produktes das Kapitel Freischalten der Lizenz lesen, um 

die richtige Freischaltung der Lizenz vorzunehmen. Wir empfehlen außerdem, dass Sie vor der ersten 

Verwendung der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 das Kapitel Konfiguration 

der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 vollständig lesen. 

Hinweis: Sofern Ihr Betriebssystem Benutzerrechte unterstützt, benötigen Sie Administrationsrechte, 

um die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 zu installieren. 

Falls Sie das Produkt Online über den Web-Shop des Deutschen Sparkassenverlages erworben 

haben, sollten Sie unbedingt nach der Installation und vor der ersten Anwendung des Produktes das 

S-TRUST Sign-it Integrity Tool ausführen, um die Korrektheit der Installation zu verifizieren. Weitere 

Informationen dazu finden Sie in dem Kapitel Arbeiten mit dem S-TRUST Sign-it Integrity Tool.


Mindestanforderungen und 

Sicherheitsmaßnahmen 

Bitte stellen Sie sicher, dass Ihr Rechner und Ihre Einsatzumgebung den Anforderungen aus den 

Kapiteln 

� Betriebssysteme 

� Chipkarten 

� Kartenleser 

entsprechen. 

Die folgenden Sicherheitsmaßnahmen müssen für den korrekten Einsatz des Produktes eingehalten 

werden: 

� Benutzer sowie evtl. Administrations- und Wartungspersonal müssen den Anweisungen der 

Benutzerdokumentation Folge leisten. 

� Wenn Sie das Produkt auf CD-ROM oder einem anderen Speichermedium bezogen haben, 

müssen Sie dieses geschützt vor dem Zugriff durch unberechtigte dritte Personen aufbewahren. 

Bevor Sie das Produkt installieren, stellen Sie bitte sicher, dass alle Sicherheitsmerkmale (wie z.B. 

Siegel und Laminierungen) der Verpackung unbeschädigt sind. Sollten Sie Zweifel an der 

Authentizität des Installationsmediums haben, wenden Sie sich an den Lieferanten. 

� Falls Sie das Produkt Online über den Web-Shop des Deutschen Sparkassenverlages erworben 

haben, sollten Sie unbedingt nach der Installation und vor der ersten Anwendung das S-TRUST 

Sign-it Integrity Tool ausführen, um die Korrektheit der Installation zu verifizieren. 

� Für den Einsatz der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 in der Windows 

Terminal Umgebung ist der Server in einer zutrittsgeschützten Einsatzumgebung und innerhalb 

eines verschließbaren und versiegelten Elektroschrankes unterzubringen. 

� Sie müssen als Benutzer regelmäßig, wenigstens jedoch einmal im Monat, die Integrität der 

Produktinstallation auf Ihrem Rechner prüfen. Verwenden Sie dazu entweder die Online- 

Komponente, die Ihnen über die Webseite https://www.s-trust.de/sign-it/sicherheit zu diesem 

Zwecke zur Verfügung gestellt wird oder das auf der CD mitgelieferte S-TRUST Sign-it Integrity 

Tool. 

� Verwenden Sie stets einen Virenscanner und stellen Sie sicher, dass die aktuellen 

Virendefinitionen des Herstellers installiert sind. Wenn der Virenscanner keine Backdoor- 

Programme erkennen kann, sollten Sie ein entsprechendes zusätzliches Programm installieren. 

� Für den Fall, dass Sie über einen Internet-Anschluss verfügen, müssen Sie eine Firewall 

einsetzen, um das Betriebssystem Ihres Computers vor Angriffen aus dem Internet zu schützen. 

� Stellen Sie sicher, dass Sie über die volle Kontrolle über eingelegte Speichermedien und 

Netzwerkfreigaben verfügen. Konfigurieren Sie Ihren Rechner niemals so, dass auf den


Installationspfad des Produktes über Netzwerkfreigaben durch Dritte zugegriffen werden kann. 

� Der Zugriff und die Verwendung des Produktes durch den Anwender muss durch die 

Konfiguration des Rechners ermöglicht werden. Das bedeutet, dass der Rechner so konfiguriert 

sein muss, dass der Anwender durch den Computer-Administrator die Rechte eingeräumt 

bekommt, die er zur Benutzung des Produktes benötigt. 

Hinweis: Für den Einsatz der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 auf Windows 

Terminalserver 2003 hat die Remoteverbindung zwischen dem Terminalserver und dem bzw. den 

Terminalclients grundsätzlich verschlüsselt mit 128 Bit zu erfolgen. 

� Bei Windows Terminal Server 2003 in Verbindung mit den Betriebsystemen Windows XP und 

Windows Vista clientseitig ist die Verschlüsselung mit 128 Bit bereits Standard für die Verbindung 

und unbedingt zu verwenden. 

Wenn Sie diese Regeln nicht einhalten, verlassen Sie die Umgebung, für die das Produkt zertifiziert 

und bestätigt ist. Die folgenden Anforderungen kann das Produkt nicht leisten: 

� Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrtheit und der 

Geheimhaltung der privaten Schlüssel obliegt der Chipkarte. 

� Sicherstellung der korrekten Uhrzeit auf dem Rechner des Anwenders. Das Produkt S-TRUST 

Sign-it Basiskomponenten 2.5, Version 2.5.1.1 kann keine Aussagen über die Plausibilität der 

eingestellten Uhrzeit auf dem Rechner des Anwenders treffen. 

� Sicherstellung der Integrität des Betriebssystems. Das Produkt enthält keine Mechanismen, um 

die Integrität seiner Umgebung zu prüfen. Sie müssen geeignete Vorkehrungen treffen, um eine 

Kompromittierung des Betriebssystems zu vermeiden. 

� Sicherheit der kryptografischen Operationen. Das Produkt verwendet Bibliotheken zur Erzeugung 

und Verifikation elektronischer Signaturen über das RSA Public Key Verfahren. Zur 

Signaturerzeugung ist der Einsatz einer Chipkarte unabdingbar. Das Produkt kann die Stärke der 

kryptografischen Mechanismen nicht garantieren und keine Aussagen über die Stärke der 

kryptografischen Funktionen treffen. 

Die Leistungsmerkmale des Produktes sind auf diejenigen Funktionen beschränkt, die in diesem 

Handbuch Version 2.5.1.1 wiedergegeben werden. Als Anwender des Produktes sind Sie verpflichtet, 

die technischen und organisatorischen Maßnahmen einzuhalten, die von der vorliegenden 

Benutzerdokumentation Version 2.5.1.1 vorgegeben werden.


Installation 

Um mit den S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 arbeiten zu können, benötigen 

Sie eine Chipkarte mit einem Zertifikat für die qualifizierte elektronische Signatur gemäß deutschem 

Signaturgesetz und einen Kartenleser. Die für die S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 zulässigen Chipkarten sind in dem Kapitel Chipkarten aufgelistet. 

Die zulässigen Kartenleser sind in dem Kapitel Kartenleser aufgeführt. 

Stellen Sie sicher, dass Sie eine entsprechende Chipkarte zur Verfügung haben und der Kartenleser 

ordnungsgemäß installiert ist, bevor Sie anfangen, mit der Software zu arbeiten. 

Bevor Sie das Produkt installieren, lesen Sie den Abschnitt Mindestanforderungen und 

Sicherheitsmaßnahmen und Betriebssysteme gründlich, um zu gewährleisten, dass Ihr System 

einem der angegebenen Betriebssysteme entspricht. 

Sie können das Produkt wahlweise per Download über den Web-Shop des Deutschen 

Sparkassenverlages oder auf einem Installationsmedium, wie z.B. einer CD-ROM, bezogen haben. 

Der im Folgenden dargestellte Ablauf ist für beide Varianten identisch. Das Installationsprogramm 

kopiert die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 auf Ihren Rechner. Stellen Sie 

bitte nach der Installation sicher, dass das korrekte Produkt installiert wurde, in dem Sie das S-TRUST 

Sign-it Integrity Tool ausführen. Mehr Informationen dazu finden Sie im Kapitel Arbeiten mit dem S- 

TRUST Sign-it Integrity Tool. 

Falls Sie das Setup auf einer CD-ROM erhalten haben und diese in das Laufwerk einlegen, wird bei 

aktiviertem Autostart das Setup automatisch gestartet. Wenn Sie das Setup über einen Download 

bezogen haben, müssen Sie das Programm 'setup.exe' ausführen. Sie sehen dann das Fenster zur 

Sprachauswahl. Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 werden in deutscher 

Sprache ausgeliefert: 

Wenn Sie jetzt auf OK klicken, überprüft das Setup Programm die Installationsumgebung unter 

folgenden Gesichtspunkten: 

� Entspricht das Betriebsystem den aufgeführten Mindestanforderungen? 

� Sind die Mindestanforderungen an den Internet Explorer erfüllt? 

� Verfügt der Benutzer über Administrationsrechte? 

� Ist der schreibende Zugriff auf die Registry möglich?


Wenn diese Voraussetzungen nicht erfüllt sind, wird eine Fehlermeldung angezeigt und das Setup 

Programm beendet. Wenn die Prüfung erfolgreich verlaufen ist, erscheint das folgende Dialogfeld. 

Wenn Sie jetzt auf Weiter klicken, werden Sie in dem folgenden Fenster aufgefordert, den 

Installationsvorgang mit Weiter nochmals zu bestätigen. 

In dem folgenden Fenster haben Sie die Möglichkeit, den Zielordner für die Programmdaten zu


ändern. 

Wenn Sie jetzt auf Weiter klicken, wird eine Seite angezeigt, auf der Sie die Lizenzvereinbarungen 

akzeptieren müssen. 

In dem folgenden Fenster werden Sie aufgefordert, entweder einen Lizenzschlüssel einzugeben oder 

die Installation ohne Lizenzschlüssel fortzusetzen. In dem Fall, dass Sie die „Installation ohne


Lizenznummer fortsetzen“ auswählen, können Sie vor Beendigung des Installationsvorgangs 

entscheiden, ob Sie einen kostenlosen Reader oder eine 30 Tage Testlizenz installieren wollen. 

Falls ein Lizenzschlüssel eingegeben wurde, wird nach dem Beenden des Installationsvorganges der 

S-TRUST Sign.it Security Environment Manager automatisch gestartet und die, mit dem 

Lizenzschlüssel freigeschalteten Funktionen stehen sofort zur Anwendung zur Verfügung. 

Wurde die Option „Installation ohne Lizenznummer fortsetzen“ angeklickt, haben Sie nach dem 

Installationsvorgang die Möglichkeit, die S-TRUST Sign-it Basiskomponenten, Version 2.5.1.1 

entweder als kostenlosen Reader zu nutzen oder mit einer 30 Tage Lizenz frei zuschalten. 

Nachdem Sie eine er beiden Optionen ausgewählt haben, beginnt der eigentliche 

Installationsvorgang.


Nach Beendigung der Installation erscheint die folgende Information. 

Nach Bestätigung des Befehls Fertig stellen wird der S-TRUST Sign-it Security Environment 

Manager automatisch gestartet und das Modul zum Freischalten der Lizenz geöffnet, sofern Sie nicht 

bereits zu Beginn der Installation einen Lizenzschlüssel eingegeben haben. 

Hinweis zur Installation für Windows Terminalserver: Zur Arbeit mit den S-TRUST Sign-it


Basiskomponenten 2.5, Version 2.5.1.1 über Windows Terminal Server 2000 mit Citrix Frame oder 

2003 mit oder ohne Citrix Frame müssen die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 

als Terminaldienste im Anwendungsmodus (nicht im Remoteverwaltungsmodus) installiert werden. Es 

ist ausreichend, die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 serverseitig zu 

installieren. 

Bei der Installation der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 in der Windows 

Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame Umgebung ist eine 

zuverlässige Administration des Servers durch das Vier-Augen-Prinzip zu gewährleisten. 

Die Kartenlesertreiber müssen in identischer Version sowohl auf dem Windows Terminal Server als 

auch auf dem bzw. den Clientrechnern installiert sein. 

Darüber hinaus gibt es für die Installation der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 

in der Windows Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame 

Umgebung eine zusätzliche Dokumentation. Diese wird gesondert durch die OPENLiMiT SignCubes 

AG zur Verfügung gestellt. 

Hinweis zur sicheren Konfiguration: Bei der Installation der S-TRUST Sign-it Basiskomponenten 

2.5, Version 2.5.1.1 wird automatisch eine sichere Konfiguration des Produktes eingestellt. Sie sollten 

Änderungen in den Konfigurationseinstellungen mit Hilfe der in diesem Handbuch Version 2.5.1.1 

beschriebenen Konfigurationsoptionen für die S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 erst dann vornehmen, wenn Sie im Umgang mit den Funktionalitäten vertraut sind. 

Grundsätzlich sollte das Produkt immer mit den empfohlenen Einstellungen betrieben werden. Über 

den Button Ausgangskonfiguration haben Sie die Möglichkeit, die bei der Installation eingerichteten 

Optionen wieder herzustellen.


Freischalten der Lizenz 

Wenn Sie das Produkt zum ersten Mal starten, werden Sie aufgefordert, Lizenzierungsinformationen 

einzugeben. Sie haben die Lizenzinformationen entweder direkt von dem Deutschen 

Sparkassenverlag oder die Deutsche Sparkasse erhalten. Wenn der Lizenzmanager gestartet wird, 

sehen Sie den folgenden Dialog. Lesen Sie die Informationen gründlich und vergewissern Sie sich, 

dass Sie die Informationen verstanden haben. 

Klicken Sie so lange auf Weiter, bis Sie aufgefordert werden, den Lizenzcode einzugeben.


Geben Sie den Lizenzcode ein oder klicken Sie auf den Button Reader.


Nachdem Sie den Lizenzcode eingegeben haben, werden Sie aufgefordert, eine Signatur zu 

erzeugen. Sie können die Daten im S-TRUST Sign-it Viewer betrachten, um sich zu vergewissern, 

dass keine persönlichen oder vertraulichen Daten in den Lizenzinformationen enthalten sind. 

Nach Abschluss der Lizenzfreischaltung steht die Lizenz allen Anwendern des Computers zur 

Verfügung. 

Wenn Sie später eine andere Lizenz erwerben, können Sie ein Upgrade der Lizenz vornehmen. 

Gehen Sie dazu auf den Menüpunkt Eigenschaften des S-TRUST Sign-it Security Environment


Managers und wählen Sie das Register Lizenz aus. Klicken Sie auf Lizenz-Upgrade, um eine 

Änderung der Lizenzinformationen vorzunehmen. 

Hinweis: Beachten Sie unbedingt, dass eine Weitergabe der Lizenzinformationen an Dritte nicht 

erlaubt ist und strafrechtlich durch die OPENLiMiT SignCubes AG und/oder den Deutschen 

Sparkassenverlag verfolgt wird. Die zur Verfügung stehende Funktionalität des Produktes Version 

2.5.1.1 hängt von dem Lizenzcode ab, den Sie erhalten haben. Sie können sich auf der 

Eigenschaftsseite des Produktes anzeigen lassen, welche Funktionen Sie lizenziert haben. Der grüne 

Haken bedeutet dabei, dass die Funktion zur Verfügung steht. Nicht verfügbare Funktionalität wird 

auch nicht angezeigt. 

Wenn Sie eine zeitlich befristete Testlizenz installiert haben, wird nach Ablauf der Frist die Lizenzdatei 

durch externe Programme gelöscht. In diesem Fall wird Ihnen der Lizenzassistent angezeigt und Sie 

müssen einen Lizenzcode für eine korrekte Lizenzierung des Produktes eingeben. Alternativ können 

Sie den Button Reader wählen, der keine weitere Eingabe eines Lizenzcodes erfordert. 

Für die Freischaltung der Lizenz ist keine Online-Aktivierung des Produktes notwendig. Sie schützen 

die Lizenz jedoch durch die Erzeugung einer Signatur vor dem Missbrauch durch unberechtigte Dritte. 

Durch die Unterzeichnung der Lizenz mit Ihrem Signaturzertifikat beweisen Sie, dass Sie die Lizenz 

erworben haben und können dies auch in der Anzeige der Lizenzinformationen überprüfen. Mehr 

Informationen finden Sie im Kapitel Option: Lizenzeinstellungen und Lizenzupgrade.


Betriebssysteme 

Für die Arbeit mit dem Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 benötigen 

Sie einen Intel 586 kompatiblen Prozessor, mindestens 120 MB freien Festplattenplatz und 

mindestens 128 MB RAM. Auf dem Rechner muss mindestens der Internet Explorer ab Version 5.01 

installiert sein. Wenn Sie nicht über diese Mindestversion des Internet Explorers verfügen, laden Sie 

sich bitte die neueste Version des Internet Explorers von der Webseite der Firma Microsoft herunter. 

Darüber hinaus muss die Java Virtual Machine (JVM) ab Version 1.4.2.08 mit dem zugehörigen JRE 

(Java Runtime Environment) auf dem Computer installiert sein. Wenn Sie nicht über die Java Virtual 

Machine verfügen, können Sie diese unter http://java.sun.com herunterladen. 

Die folgenden Betriebssysteme werden von diesem Produkt unterstützt: 

• Windows NT 4.0 ab Service Pack 6.0 

• Windows 2000 ab Service Pack 2.0 

• Windows 2003 

• Windows 2003 64 Bit Edition 

• Windows XP Home und Professional 

• Windows XP 64 Bit Edition 

• Windows XP Tablet PC Edition 

• Windows Vista 32 Bit und 64 Bit 

• Windows 2008 

• Windows 2008 64 Bit Edition 

• Windows 2000 Terminal Server mit Citrix Meta-Frame 

• Windows 2003 Terminal Server mit und ohne Citrix Meta-Frame 

• Windows 2008 Terminal Server 

Abhängig vom Zustand Ihres Betriebssystems nimmt das Setup Programm Aktualisierungen des 

Betriebssystems vor. Dafür kann ein mehrmaliger Neustart des Rechners notwendig sein, was nicht 

auf die Installation der Software S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 sondern auf 

die notwendigen Betriebssystemupdates zurückzuführen ist. 

Das Setup für die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 nimmt ggf. notwendige 

Updates des Betriebssystems vor. Diese Updates stellen sicher, dass die Shell32.dll in der 

Mindestversion 4.0 sowie die Microsoft SmartCard Base Components in der Minimalversion 1.0 

vorhanden sind. 

Hinweis: Um den Rechner optimal vor Sicherheitslücken zu schützen und die korrekte Arbeit des 

Produktes zu gewährleisten, sollten stets die aktuellen Sicherheits-Updates der Firma Microsoft 

installiert werden. Schützen Sie Ihren Rechner durch einen aktuellen Virenscanner und, sofern Sie 

über eine Internetanbindung verfügen, mit einer Firewall.


Kartenleser 

Der Einsatz der folgenden Kartenleser wird durch die S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.1 unterstützt: 

� Kobil Systems B1 Pro USB 

� Cherry ST-2000 

� Kobil KAAN Advanced 

� Kobil KAAN Tri@nk 

� SCM Microsystems SPRx32/ChipDrive PinPad 

� Reiner SCT cyberJack e-com v2.0 


� Reiner SCT cyberJack pinpad v2.0 


� Reiner SCT cyberJack e-com plus v3.0 

� Reiner SCT secoder v3.0 

� Omnikey Cardman 3621 


� Fujitsu Siemens S26381-K329-V2xx HOS:01 

Unter dem Betriebssystem Windows Vista werden die folgenden Kartenleser unterstützt: 

� Kobil Systems B1 Pro USB 



� Kobil KAAN Tri@nk 

� SCM Microsystems SPRx32/ChipDrive PinPad (Firmware version 5.10) 








Für die Erzeugung gesetzeskonformer (qualifizierter) Signaturen dürfen nur diejenigen SigG-


konformen Kartenleser eingesetzt werden, die in diesem Handbuch Version 2.5.1.1 angegeben 

werden. Zum Zeitpunkt der Bestätigung des Produktes waren die aufgelisteten Kartenleser nach dem 

deutschen Signaturgesetz bestätigt und dürfen zur Erzeugung qualifizierter elektronischer Signaturen 

eingesetzt warden. 

Hinweis: Das Produkt unterstützt die Verwendung von Kartenlesern, die keine sichere PIN-Eingabe 

erlauben. Wenn Sie einen solchen Kartenleser verwenden, bewegen Sie sich außerhalb der 

bestätigten Konfiguration. Für die SigG-konforme Konfiguration der S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 ist nur die Verwendung der aufgeführten, bestätigten 

Kartenleser zulässig. 

Hinweis: Die folgenden Kartenleser sind auf Grund von Abweichungen in der Kompatibilität mit den 

genannten Signaturkarten nicht für die Erzeugung qualifizierter Signaturen verwendbar. 

Weitere Informationen bezüglich Inkompatibilitäten bei Kartenlesern und Karten entnehmen Sie bitte 

der Bestätigungsurkunde. 

Hinweis: Für die Arbeit mit dem Terminal Server Windows 2000 mit Citrix Frame oder 2003 mit oder 

ohne Citrix Frame müssen die Kartenlesertreiber nur auf den Clientrechnern installiert sein.


Chipkarten 

Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 ist für den Einsatz folgender 

Chipkarten vorgesehen: 

� ZKA Banking signature card, v6.2 NP, v6.2b NP und 6.2f NP, Type 3 von Giesecke & Devrient 

� ZKA Banking signature card, v6.31 NP, Type 3 von Giesecke & Devrient 

� ZKA Banking signature card, v6.32, Type 3 von Giesecke & Devrient 

� ZKA Banking Signature Card, v6.4 von Giesecke & Devrient 



� ZKA signature card, ZKA 680 V5A, Version 5.10 von Gemplus-mids GmbH 

� ZKA signature card, ZKA 680 V5A, Version 5.11 von Gemplus-mids GmbH 

� ZKA Signatur Karte, Version 5.02 der Gemplus-mids GmbH 

� ZKA Banking Signature Card, version 7.1.2 von Giesicke & Devrient GmbH 

� ZKA Banking Signature Card, version 7.2.1 von Giesicke & Devrient GmbH 

� ZKA-Signaturkarte, version 6.01 von Gemalto GmbH 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 unterstützen auch PKCS#15 kompatible 

Karten, die nicht in dieser Liste aufgeführt sind. Die vorliegende Sicherheitsbestätigung erstreckt sich 

nicht auf die Verwendung dieser Karten! OPENLiMiT übernimmt keine Garantie, dass jede PKCS#15 

kompatible Karte mit dem Produkt zusammen arbeitet. Die Verwendung von Chipkarten, die nicht in 

diesem Handbuch aufgeführt sind, liegt außerhalb der Bestätigung und ist daher nicht für die 

Erzeugung qualifizierter Signaturen geeignet. 

Die aufgelisteten Karten beziehen sich auf bestätigte Signaturkarten, die auf der Webseite der 

Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 

(Bundesnetzagentur) veröffentlicht wurden. 

Hinweis: Wenn Sie eine Signaturkarte verwenden, die die Erzeugung mehrerer Signaturen in einem 

Durchgang erlaubt, müssen Sie die speziellen Sicherheitsauflagen, welche für diesen Betriebsmodus 

verlang werden, einhalten. Diese Sicherheitsauflagen finden Sie in den Bestätigungsurkunden für 

diese Karten unter www.bundesnetzagentur.de.


Produktbestandteile 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 beinhalten die folgenden Bestandteile: 

� S-TRUST Sign-it Security Environment Manager als zentralen Bestandteil zur Verwaltung 

verfügbarer Signaturkarten, Kartenleser und zur Konfiguration des Produktes. Mehr Informationen 

finden sie im Kapitel S-TRUST Sign-it Security Environment Manager. 

� S-TRUST Sign-it Viewer. Mehr Informationen finden Sie im Kapitel S-TRUST Sign-it Viewer. 

� S-TRUST Sign-it Integrity Tool (Online). Mehr Informationen finden Sie im Kapitel S-TRUST Sign- 

it Integrity Tool. 

� die vorliegende Benutzerdokumentation Version 2.5.1.1. 

Im Kapitel Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 finden Sie 

Erläuterungen zur richtigen Konfiguration des Produktes. Die richtige Bedienung wird Ihnen im Kapitel 

Arbeiten mit den S-TRUST Sign-it Basiskomponenten 2.5 erklärt. Der Umgang mit 

Fehlermeldungen wird Ihnen im Kapitel Erste Hilfe ausführlich erläutert. 

Hinweis: 

In Abhängigkeit von der Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 

steht die Funktion zur Signaturerzeugung und -prüfung über IBM Lotus Formes Viewer zur Verfügung. 

Das S-TRUST Sign-it Integrity Tool zeigt Ihnen an, ob dieses zusätzliche Modul installiert ist. 

Weiterhin verfügen die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 über die Möglichkeit, 

XML-Signaturen zu erzeugen bzw. zu verifizieren. Die Funktionalitäten können nur durch die 

Integration in Drittanwendungen aktiviert werden. In dem Kapitel XML Signaturen finden Sie weitere 

Informationen zur Erzeugung und Verifikation von XML-Signaturen.


Grundlagen der elektronischen Signatur 

Elektronische Daten können leicht manipuliert werden. Ob im Internet oder direkt auf dem Computer - 

Veränderungen von Daten können bislang kaum ausgeschlossen werden. 

Aus einem Dokument können Passagen einfach gestrichen oder eingefügt werden. Der Urheber eines 

Dokuments ist nicht festzustellen. Genauso können Daten, die per E-Mail verschickt werden oder auf 

der Festplatte gespeichert sind, durch Hacker oder Trojaner ausgelesen werden. Zudem hat das 

Internet einen großen Nachteil: Niemand weiß, mit wem er es auf der anderen Seite zu tun hat. 

Deshalb war es auch lange Zeit undenkbar, dass elektronische Daten, die noch dazu im Internet 

verschickt werden, wo man den Kommunikationspartner nicht sehen kann, mit etwas ähnlichem wie 

einer Unterschrift versehen werden können. 

Durch die elektronische Signatur können zwei Probleme behoben werden: 

� Eine unbemerkte Datenmanipulation ist nicht mehr möglich. 

� Der Unterzeichner kann eindeutig identifiziert werden. 

Die Signatur macht jegliche absichtliche oder unabsichtliche Manipulation sofort ersichtlich. Über die 

Zertifikatsprüfung kann bewiesen werden, dass die Signatur nicht gefälscht wurde, der 

Zertifikatsinhaber also echt ist. Dabei werden keine persönlichen Daten des Inhabers preisgegeben - 

lediglich der Name. 

In diesem Abschnitt werden Ihnen die Grundlagen zur elektronischen Signatur auf Basis des RSA 

bzw. ECDSA Verfahrens dargestellt. Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 

unterstützen die Erzeugung und Verifikation elektronischer Signaturen auf Basis einer Chipkarte und 

eines Kartenterminals. Die Hashwertberechnung für die elektronische Signatur wird nach den 

Verfahren SHA-1,SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 vorgenommen, welche 

als anerkannte Verfahren für die Berechnung kryptografischer Prüfsummen durch die 

Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 

(Bundesnetzagentur) ausgewiesen sind. Das RSA bzw. ECDSA Verfahren ist ein asymmetrisches 

Verfahren, welches die Einbettung des Produktes in eine PKI (Public Key Infrastruktur) ermöglicht. 

Häufig wird im Zusammenhang mit der elektronischen Signatur auch von der elektronischen 

Unterschrift gesprochen. Das deutsche Signaturgesetz erläutert den Begriff der elektronischen 

Signatur, insbesondere der fortgeschrittenen und der qualifizierten elektronischen Signatur. In diesem 

Handbuch werden Sie häufig die Begriffe der Signatur und der elektronischen Unterschrift lesen - 

beide Begriffe sind richtig und bedeuten inhaltlich das Gleiche. 

Die rechtlichen Aspekte zur elektronischen Signatur sind ausführlich im Abschnitt Rechtliche Aspekte 

der elektronischen Signatur erläutert.


Public Key Verfahren 

Die Signatur und die Verschlüsselung, die mit einer Signaturkarte und dieser Software durchgeführt 

werden, basieren auf einer Public Key Infrastruktur (PKI). Sowohl bei der Signatur als auch bei der 

Datenverschlüsselung kommt eine asymmetrische Verschlüsselung zum Einsatz. Asymmetrisch 

bedeutet: Es werden immer zwei verschiedene Schlüssel verwendet, der private Schlüssel (private 

key) und der öffentliche Schlüssel (public key), die sich gegenseitig ergänzen. Daten, die mit dem 

einen Schlüssel "zugeschlossen" wurden, können nur mit dem anderen wieder "aufgeschlossen" 

werden. 

Der private Schlüssel befindet sich bei Chipkarten auf dem Chip der Karte und lässt sich nicht 

auslesen. Die zu verarbeitenden Daten werden auf den Chip geladen, dort ver- oder entschlüsselt und 

wieder in den Computer übertragen. Um den privaten Schlüssel zu benutzen, wird die richtige PIN 

benötigt, die zusätzliche Sicherheit gewährleistet. Der öffentliche Schlüssel ist in ein Zertifikat 

integriert und steht jedermann in Verzeichnisdiensten im Internet zur Verfügung oder kann per E-Mail 

versendet werden. Um sicher zu gehen, dass dieses Zertifikat und somit der Schlüssel nicht gefälscht 

wurde, lässt sich die Signatur des Herausgebers prüfen. 

Beim Signieren wird der private Schlüssel auf der Karte verwendet. Somit ist zweifelsfrei belegt: die 

Signatur kann nur vom Karteninhaber sein - nur er hat die Karte und die PIN. Beim Prüfen der 

Signatur wird der öffentliche Schlüssel verwendet, denn jeder soll eine Signatur prüfen können. Die 

Verschlüsselung verwendet die beiden Schlüssel in umgekehrter Reihenfolge. Hier kommt der 

öffentliche Schlüssel des Empfängers zum Einsatz, so dass nur dieser die Daten mit seinem privaten 

Schlüssel wieder entschlüsseln kann. 

Da der Chip einer Chipkarte für die Verarbeitung großer Datenmengen sehr lange benötigen würde, 

wird bei der Verschlüsselung ein automatisch generierter Zufallsschlüssel verarbeitet. Bei der Signatur 

wird ein Hashwert verschlüsselt, der einem Dokument eindeutig zugeordnet werden kann.


Signaturerzeugung 

Die Signatur hat verschiedene Zwecke: Einerseits wird eine qualifizierte Signatur verwendet, um 

Briefe, Verträge etc. zu unterzeichnen. Andererseits gibt es auch fortgeschrittene Signaturen, die 

meistens dazu verwendet werden, Daten zu sichern, die man nicht unterschreiben möchte. 

Beispielsweise können auch Bild- oder Ton-Dateien signiert werden. Die Signatur schützt zwar nicht 

vor Veränderungen, macht diese aber eindeutig erkennbar. Ist eine Signatur intakt, bedeutet das, 

dass die Daten nicht geändert wurden. 

Beim Signieren einer Datei wird ein Hashwert gebildet, der mit einem Fingerabdruck vergleichbar ist. 

Zwei Dokumente können nie denselben Hashwert haben, es sei denn, sie sind identisch. 

Dieser Hashwert wird nach dem RSA bzw. ECDSA Verfahren unter Verwendung eines Schlüssels mit 

einer Länge von mindestens 1024 Bit (abhängig von der verwendeten Karte) verschlüsselt. Die 

Verschlüsselung des Hashwerts findet auf dem Chip der Karte statt. Dieser kleine Prozessor kann 

kleinere Datenmengen verarbeiten. Solch ein Vorgehen ist deshalb wichtig, weil der private Schlüssel 

die Karte so nie verlässt. Denn jegliche Daten, die in einem Computer sind, sind auch potentiell 

unsicher. Der Schlüssel bekommt also lediglich den Befehl, eine kleine Menge an Daten zu 

verschlüsseln. Die verschlüsselten Daten werden anschließend wieder in den Computer 

zurückgeschickt. Vorher muss der private Schlüssel durch die richtige PIN (Personal Identification 

Number) freigegeben werden, d.h., die Karte wird geöffnet. 

Hier ist der empfindlichste Punkt der gesamten Signatur. Nicht die Technik ist es, die den größten 

Unsicherheitsfaktor darstellt, sondern der Mensch. Folgende Punkte sollten Sie unbedingt beachten: 

� Schreiben Sie die PIN niemals auf die Karte, den Kartenleser oder in die Nähe Ihres Computers. 

� Lassen Sie sich nicht bei der PIN-Eingabe zusehen. 

� Achten Sie darauf, dass auch aus der Ferne (Fenster gegenüber etc.) niemand Einblick auf Ihre


Tastatur oder den Kartenleser hat. 

� Geben Sie die PIN in keinem Fall an eine andere Person weiter. 

� Benutzen Sie nach Möglichkeit (vor allem, wenn Sie wichtige Verträge o.ä. signieren) einen 

Kartenleser mit sicherer PIN-Eingabe. 

� Nach dreimaliger falscher PIN-Eingabe ist der private Schlüssel unbrauchbar. 

� Lassen Sie Ihre Karte nie liegen, wenn Sie den Raum verlassen oder Ihre Aufmerksamkeit 

abgelenkt ist. 

Diese hier kompliziert erscheinenden Vorgänge erledigt die Software natürlich automatisch. Der 

Nutzer muss nur auf Signieren klicken, die PIN eingeben und hat sofort eine signierte Datei. Diese 

besteht aus verschlüsseltem Hashwert, Originaldatei und öffentlichem Schlüssel. 

Grundsätzlich benötigen Sie für eine qualifizierte Signatur ein qualifiziertes Zertifikat. Die 

Signaturerzeugung als technischer Prozess sollte immer auf einer sicheren 

Signaturerzeugungseinheit, bestehend aus Kartenterminal, möglichst mit sicherer PIN-Eingabe, und 

einer Chipkarte vorgenommen werden. Weiterhin benötigen Sie eine Software, die Ihnen ein 

vertrauenswürdiges Umfeld für die Erzeugung einer elektronischen Signatur bietet. Grundsätzlich 

sollten Sie bei der Erzeugung einer qualifizierten elektronischen Signatur immer auf eine vorherige 

Visualisierung der Inhalte bestehen.


Signaturverifikation 

Folgende Punkte sind bei der Prüfung wichtig: 

� Ist das Dokument wirklich unverändert? Integrität der Daten. 

� Ist der Signaturinhaber echt? Wurde sein Zertifikat nicht inzwischen gefälscht? Authentizität des 

Inhabers. 

� Ist das Zertifikat nicht gesperrt? Zertifikatsstatus.


1. Die Integrität des Dokuments lässt sich über den Hashwert beweisen: 

Das Dokument wird erneut gehasht. Der alte Hashwert wird entschlüsselt und mit dem neuen 

verglichen: Sind beide Hashwerte identisch, ist bewiesen, dass das Dokument nicht verändert wurde. 

Das erledigt die Software bei jeder Prüfung automatisch und in Echtzeit, d.h., die Software prüft den 

Hashwert ständig - nicht nur einmal. So werden auch Manipulationen am geöffneten Dokument 

sichtbar. Um den alten Hashwert zu entschlüsseln, benötigt der Prüfer den öffentlichen Schlüssel des 

Unterzeichners, denn die Signatur wurde ja mit der Karte, also mit dem privaten Schlüssel erstellt. 

Dieser öffentliche Schlüssel wird als Zertifikat an das signierte Dokument angehängt. 

2. Prüfung des Signaturzertifikates 

Die Echtheit und Unversehrtheit eines Zertifikates, also des mit gesendeten öffentlichen Schlüssels, 

wird über die Signatur des Herausgebers geprüft: Jedes persönliche Zertifikat ist von einem 

Trustcenter (CA) signiert. Ist diese Signatur gültig, wurde auch das Zertifikat nicht geändert (siehe 

Punkt 1). Natürlich kann auch die Echtheit des Herausgeberzertifikats geprüft werden, das oft wieder 

von einer anderen Instanz herausgegeben wurde. So ergibt sich ein Zertifizierungspfad, der sich bis 

zu einer vertrauenswürdigen Instanz (Root CA oder Wurzelzertifikat) zurückverfolgen lässt. Ist dieser 

Zertifizierungspfad korrekt und die Wurzel vertrauenswürdig, beweist dies die Authentizität des 

Signaturinhabers. 

In Deutschland ist bei qualifizierten Signaturen die Bundesnetzagentur für Elektrizität, Gas, 

Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) die oberste Instanz (Wurzel). Auch 

dieser Punkt wird von der Software überprüft. Logischerweise kann die Software aber nur überprüfen, 

ob der Zertifizierungspfad lückenlos ist. Um aber die verschiedenen Instanzen (CA's) des Pfades und 

das Wurzelzertifikat zu sehen, muss der Nutzer den Zertifizierungspfad überprüfen. Ob die Wurzel


vertrauenswürdig ist (z.B. bei Signaturen aus anderen Ländern), obliegt der Entscheidung jedes 

Einzelnen. 

3. Prüfung des Zertifikatsstatus 

Der Zertifikatsstatus, d.h. die Information, ob ein Zertifikat zu dem Zeitpunkt der Signaturerstellung 

gesperrt war, kann beim Herausgeber überprüft werden: Die Trustcenter stellen Sperrlisten zum 

Download zur Verfügung oder haben eine Online-Zertifikatsabfrage bzw. bieten beides an. Wenn 

jemand seine Signaturkarte verliert, kann er diese über einen 24-Stunden Service sperren lassen und 

wird sofort gelistet. 

Die Prüfung des Zertifikatsstatus erfordert ein aktives Eingreifen des Benutzers. Wenn es sich um eine 

wichtige Unterschrift handelt (im Gegensatz zu einer Datensicherung), sollte vor der Signaturprüfung 

die aktuelle Sperrliste herunter geladen werden. Handelt es sich um ein Trustcenter, das eine Online- 

Abfrage anbietet, kann der Zertifikatsstatus direkt über das Internet abgefragt werden. 

Wichtig ist dabei auch immer der Signaturzeitpunkt. Beispiel: Eine Signatur wurde am 1.7.2004 erstellt 

und wird dann ein Jahr später, am 1.7.2005 geprüft. Der Zertifikatsstatus sagt aus, dass das Zertifikat 

seit dem 1.12.2004 gesperrt ist (z.B. Karte verloren). Das bedeutet, dass die Signatur wahrscheinlich 

dennoch gültig ist. Denn zum Zeitpunkt der Signaturerstellung war der Karteninhaber noch im Besitz 

seiner Karte. Der Zeitpunkt wird bei der Signaturerstellung in die Signatur mit einbezogen. Allerdings 

kann immer nur die Zeit benutzt werden, die das Betriebssystem des Computers zur Verfügung stellt. 

Bei bestehenden Zweifeln ist es am sichersten, sich das Dokument noch einmal signieren bzw. einen 

Zeitstempel hinzufügen zu lassen. 

Die Mechanismen der Signaturprüfung sind im Kapitel Arbeiten mit den S-TRUST Sign-it 

Basiskomponenten 2.5 - Signaturverifikation beschrieben. Als Benutzer des Produktes müssen Sie 

diesen Abschnitt gelesen haben, um das angezeigte Prüfergebnis des Produktes richtig interpretieren 

zu können.


Rechtliche Aspekte der elektronischen Signatur 

Die Verwendung der elektronischen Signatur ist gesetzlich geregelt. Für die Europäische Union trat im 

Januar 2000 die Richtlinie über die Gemeinschaftlichen Rahmenbedingungen für elektronische 

Signaturen in Kraft. Diese Richtlinie enthält die Verpflichtung für jedes Mitgliedsland, die Regelungen 

in nationales Recht umzuwandeln. So werden elektronische Signaturen auch im internationalen 

Geschäftsverkehr möglich. 

In Deutschland sind die Rahmenbedingungen für rechtlich verbindliche elektronische Signaturen 

durch das Signaturgesetz (SigG), die Signaturverordnung (SigV) sowie das Erste Gesetz zur 

Änderung des Signaturgesetzes (1.SigÄndG) festgelegt. 

Die wesentlichsten Punkte der europäischen Richtlinie: 

Die Gesetze kennen verschiedene Arten von Signaturen. Einfache Signaturen, fortgeschrittene 

Signaturen und qualifizierte Signaturen. Eine Signatur wird als qualifiziert bezeichnet, wenn sie: 

� ausschließlich dem Unterzeichner zugeordnet ist, 

� die Identifizierung des Unterzeichners ermöglicht, 

� mit Mitteln erstellt wird, die nur der Unterzeichner kontrolliert, 

� jede nachträgliche Änderung der signierten Daten erkennbar macht 

� und auf einem qualifizierten Zertifikat beruht. 

Ein qualifiziertes Zertifikat wird nur von einem qualifizierten Zertifizierungsdiensteanbieter 

(Trustcenter) ausgestellt. Dabei gelten ganz besonders strenge Anforderungen hinsichtlich der 

Sicherheit der Schlüsselerstellung und der Organisation des Trustcenters. Die Einhaltung der 

gesetzlichen Vorschriften durch die Trustcenter wird von einer nationalen Behörde kontrolliert. In 

Deutschland ist das die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und 

Eisenbahnen (Bundesnetzagentur), im Internet unter www.bundesnetzagentur.de. Dort finden Sie 

auch eine Liste der qualifizierten und akkreditierten Trustcenter, die aktuellen Signaturgesetze und 

weitere Informationen zur Signatur. 

Die Rechtswirkung elektronischer Signaturen 

Qualifizierte Signaturen ... 

� erfüllen die Anforderungen in Bezug auf elektronische Daten genauso wie die handschriftliche 

Unterschrift Anforderungen in Bezug auf Daten erfüllt, die auf Papier vorliegen. 

� sind vor Gericht als Beweismittel zugelassen. 

... heißt es in den europäischen Richtlinien. Inwiefern diese Vorgaben in nationales Gesetz 

umgewandelt wurden, ist in jedem Land etwas unterschiedlich. 

Aber es bedeutet, dass elektronische Signaturen der eigenhändigen Unterschrift weitgehend 

gleichgestellt sind. In Deutschland ist dies durch die Änderung des § 126 BGB über die Schriftform 

umgesetzt worden. Darin wird bestätigt, dass die Schriftform eines unterschriebenen Dokuments mit


der qualifizierten Signatur und einem elektronischen Dokument ersetzt werden kann. 

Allerdings gibt es auch Ausnahmen. In besonders empfindlichen Bereichen ist die elektronische 

Signatur nicht erlaubt, z.B.: 

� Kündigung von Arbeitsverhältnissen 

� Zeugnisse 

� Bürgschaften 

� Notarielle Beurkundungen 

Außerdem sind qualifizierte Signaturen vor Gericht als Beweis zugelassen, können aber eine Urkunde 

nicht ersetzen. Dies liegt in der Definition einer Urkunde begründet. Der Beweiswert ist aber so hoch 

einzustufen (siehe § 126 BGB), dass sie einem Urkundenbeweis sehr nahe kommen dürfte. 

Anerkennung der verwendeten kryptografischen Algorithmen


Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 

(Bundesnetzagentur) veröffentlicht in regelmäßigen Abständen ein Dokument, welches die Gültigkeit 

und Anerkennung der verwendeten Algorithmen regelt. Sie können die aktuelle Fassung des 

Dokuments „Geeignete Algorithmen“ von den Webseiten der Bundesnetzagentur herunterladen. 

Für den RSA Algorithmus und die zugehörigen Schlüssellängen hat die Bundesnetzagentur die 

folgenden Vorgaben herausgegeben: 

geeignet bis 

Ende 2007 

(Übergangsfrist 

bis Ende Juni 

2008) 

Erzeugung 

qualifizierter 

Zertifikate*: 

geeignet bis 

Ende 2009 

Erzeugung 

qualifizierter 

Zertifikate**: 

geeignet bis 

Ende 2010 

geeignet 

2010 

bis Ende 

geeignet bis Ende 

2014 

SHA-1 SHA-1 SHA-1 RIPEMD-160 SHA-224, SHA-256, 

SHA-384, SHA-512 

(SHA-1, RIPEMD- 

160)*** 

*d.h. zur Erzeugung qualifizierter Zertifikate, nicht aber zur Erzeugung und Prüfung anderer qualifiziert 

signierter Daten. 

** d.h. zur Erzeugung qualifizierter Zertifikate bei ≥20 Bit Entropie der Seriennummer, nicht aber zur 

Erzeugung und Prüfung anderer qualifiziert signierter Daten. 

***ausschließlich zur Prüfung qualifizierter Zertifikate. 

Für den RSA Algorithmus und die zugehörigen Schlüssellängen hat das Bundesamt für Sicherheit in 

der Informationstechnik die folgenden Vorgaben herausgegeben: 

Zeitraum 

Parameter 

bis Ende 2007 

(Übergangsfrist 

bis Ende Marz 

2008) 

n 1024 

(Mindestw.) 

2048 (Empf.) 

bis Ende 2008 bis Ende 2009 bis Ende 2010 bis Ende 2014 

1280 

(Mindestw.) 

2048 (Empf.) 

1536 

(Mindestw.) 

2048 (Empf.) 

1728 

(Mindestw.) 

2048 (Empf.) 

1976 (Mindestw.) 

2048 (Empf.) 

Die folgende Tabelle fasst die Bitlängen für den DSA (Digital Signature Algorithm) basierend auf den 

elliptischen Kurven zusammen: 

Zeitraum 

Parameter 

bis Ende 2007 bis Ende 2008 bis Ende 2009 bis Ende 2014 

p 1024 (Mindestwert) 1280 (Mindestwert) 1536 (Mindestwert) 2048 

2048 (Empfehlungen) 2048 (Empfehlungen) 2048 (Empfehlungen)


q 160 160 160 224


Sicherheitskomponenten der S-TRUST Sign-it 

Basiskomponenten 2.5 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 sind ein Produkt zum Erzeugen und 

Verifizieren fortgeschrittener und qualifizierter elektronischer Signaturen sowie zum Ver- und 

Entschlüsseln von Dokumenten. Die folgenden Abschnitte beschreiben die Sicherheitsmerkmale, die 

Ihnen durch die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 zur Verfügung gestellt 

werden. Der genaue Wortlaut kann dem durch das BSI veröffentlichten Zertifizierungsreport in 

englischer Sprache für das Produkt entnommen werden. 

Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit Zertifikaten unter 

Verwendung eines Kartenterminals und einer Smartcard 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 bieten die Funktion zur Berechnung von 

kryptographischen Prüfsummen (Hashwerten) nach den Algorithmen SHA-1, SHA-224, SHA-256, 

SHA-384, SHA-512 und RIPE-MD 160. Der korrekte Algorithmus wird von der Anwendung 

automatisch festgelegt. Um bei Bedarf diese Einstellungen anwenderspezifisch vornehmen zu 

können, sind entsprechende Einstellungen in der Registrydatei notwendig. 

Im nächsten Schritt wird der berechnete Hashwert von einer Chip-Karte verwendet, um nach dem 

RSA bzw. ECDSA Verfahren eine elektronische Signatur zu erzeugen. Bei der Signaturerzeugung 

können Sie auf den S-TRUST Sign-it Viewer zurückgreifen, um die Daten, die Sie signieren möchten, 

in einer rechtsverbindlichen Art und Weise anzuzeigen. 

Bei der Erstellung der Signaturdatei können automatisch eine OCSP-Antwort, ein Zeitstempel sowie 

Attributzertifikate aufgenommen werden, um diese bei der Signaturverifikation zu verwenden. Das 

verwendete Signaturzertifikat wird immer automatisch in die Signaturdatei aufgenommen, um eine 

eindeutige Identifikation des Signaturerzeugers sicherzustellen. 

Verwenden Sie stets einen Kartenleser mit sicherer PIN-Eingabe und qualifizierte Chipkarten. Sie 

benötigen eine gültige Lizenz ab Modus 2 für das Produkt, um diese Sicherheitsfunktion nutzen zu 

können. 

Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die 

Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. 


Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 bieten die Funktion zur Prüfung von 

Signaturen an beliebigen Dateien, deren kryptographische Prüfsummen (Hashwerte) nach den 

Algorithmen SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 berechnet wurden. 

Dabei wird eindeutig erkennbar, auf welche Daten sich die elektronische Signatur bezieht. Das 

Produkt teilt Ihnen mit, ob der Originalhashwert und der Verifikationshashwert identisch sind oder 

nicht, d.h. ob die Daten verändert wurden oder nicht.


Für qualifizierte Signaturen ist der Hashalgorithmus SHA-1 ab 2008 nicht mehr zulässig. Für die 

Erzeugung anderer z.B. fortgeschrittener Signaturen kann der Algorithmus SHA-1 weiterhin zum 

Einsatz kommen. Bei der Signaturprüfung wird aus dem Signaturzertifikat das Herausgeberzertifikat 

ermittelt und die dazugehörige Sperrliste vom lokalen Datenträger geladen. Innerhalb der Sperrliste 

wird überprüft, ob ein entsprechender Eintrag für das Zertifikat vorhanden ist. War das Zertifikat zum 

Zeitpunkt der Signaturerzeugung bereits gesperrt, wird Ihnen dies angezeigt. 

Sie haben die Möglichkeit, eine OCSP-Abfrage zum Signaturzertifikat durchzuführen. Das Ergebnis 

der OCSP-Abfrage wird Ihnen in einer Statusmeldung angezeigt. 

Wurden bei der Signaturerstellung die Optionen zur automatischen OCSP-Abfrage, Erstellung eines 

Zeitstempels sowie das Mitsignieren von Attributzertifikate eingestellt, so werden diese Informationen 

bei der Signaturprüfung automatisch angezeigt. 


Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. Für eine 

korrekte Zetrifikatsprüfung anhand der Sperrlisten sollten Sie regelmäßig die aktuellen 

Sperrlisten laden. 

Erkennung von Manipulationen an Programm-Modulen 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 bieten die Funktion zum Erkennen von 

Manipulationen an den ausgelieferten Bibliotheken und ausführbaren Dateien. Das Prüfmodul ermittelt 

die Hashwerte aller Bibliotheken und ausführbaren Dateien und vergleicht diese mit den Signaturen 

der einzelnen Dateien. Bei Abweichungen werden die S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.1 deaktiviert und Sie werden durch eine Textmeldung informiert. 

Es wird automatisch sichergestellt, dass das Prüfmodul nur von einer berechtigten Anwendung 

geladen werden kann. Das bedeutet, dass diese Anwendung mit dem gleichen Schlüssel signiert sein 

muss wie das auf Ihrem Rechner installierte Produkt. 

Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, werden die S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 deaktiviert. Der sichere Zustand der Anwendung ist nicht mehr 

gewährleistet, da eine Manipulation vorgenommen wurde. Mit einer Textmeldung werden Sie auf 

diesen Zustand hingewiesen. 


Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. 

Anzeige der zu signierenden oder bereits signierten Daten 

Der in den S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 enthaltene S-TRUST Sign-it 

Viewer bietet die Funktion, Inhalte, die angezeigt werden sollen, eindeutig darzustellen. Der S-TRUST 

Sign-it Viewer sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhalten ist. 

Weiterhin werden Sie informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind. 

Bei der sicheren Anzeige der Datei (PDF-, Text- oder TIFF Format) werden die folgenden 

Arbeitsschritte vorgenommen: Zunächst wird das Format geprüft. Handelt es sich um ein unbekanntes 

Format, wird eine entsprechende Fehlermeldung ausgegeben, die den Hinweis enthält, dass diese 

Datei nicht dargestellt werden kann. Werden aktive bzw. verdeckte Inhalte in der Datei erkannt, wird 

Ihnen eine Warnmeldung angezeigt.


Der S-TRUST Sign-it Viewer kann Dokumente anzeigen, die der PDF Spezifikation 1.7 entsprechen 

(Abweichungen von der PDF Spezifikation werden weiter unten in diesem Kapitel aufgelistet). Die 

TIFF Erkennung richtet sich nach der Adobe TIFF Spezifikation 6.0. Für die Erkennung von 

Textdokumenten gelten die folgenden Regeln: 

Die folgenden Zeichen werden von dem S-TRUST Sign-it Viewer untersucht, um zu erkennen, dass 

es sich bei dem vorliegenden Dokument um ein Textdokument handelt. 

� a) das NULL Byte (0x00) 

� b) die Zeichen TAB (0x09), CR (Cariage Return, 0x0d) und LF (Line Feed, 0x0a) 

� c) die Zeichen von 0x01 bis 0x1f mit Ausnahme der unter a) und b) angegebenen Zeichen 

� d) die Zeichen von ' ' bis '~' (0x20 bis 0x7e) 

� e) die deutschen ANSI-Umlaute (0xc4 (Ä), 0xd6 (Ö), 0xdc (Ü), 0xe4 (ä), 0xf6 (ö), 0xfc (ü)) 

� f) die deutschen DOS Umlaute (0x81 (ü), 0x84 (ä), 0x8e (Ä), 0x94 (ö), 0x99 (Ö), 0x9a (Ü)) 

� g) alle restlichen Zeichen 

Die folgenden Regeln für die Erkennung von Textdateien durch den S-TRUST Sign-it Viewer werden 

formuliert: 

� Eine Sequenz von Zeichen der Kategorie a) ist am Ende einer Datei zulässig. Ein Zeichen der 

Kategorie a) innerhalb der Datei ist zulässig, mit Ausnahme der Erläuterung aus dem 

vorhergehenden Satz. Das Vorkommen von Zeichen der Kategorie a) innerhalb der Datei und am 

Ende der Datei ist nicht zulässig. 

� Tritt mehr als ein Zeichen der Kategorie c) auf, handelt es sich nicht um eine Textdatei. Wenn 

bereits 2 Zeichen der Kategorie a) gefunden wurden, sind Zeichen der Kategorie c) nicht erlaubt. 

� Liegt die Gesamtanzahl der Zeichen innerhalb der Datei aus Kategorie b), d), e) und f) unter 80%, 

handelt es sich nicht um eine Textdatei. 

Weiterhin werden Warnungen durch den S-TRUST Sign-it Viewer generiert, wenn eines der folgenden 

Szenarien zutrifft. 

� Die Kategorie g) ist nicht leer. In diesem Falle wird die folgende Warnung angezeigt: "Die Datei 

enthält Zeichen, die nicht eindeutig darstellbar sind!" 

� Die Kategorien e) und f) sind beide nicht leer. In diesem Falle wird die folgende Warnung 

angezeigt, wenn nicht bereits das vorhergehende Szenario zutrifft: "Die Datei enthält sowohl 

'DOS'- als auch 'Windows'-Umlaute. Eine eindeutige Identifikation der korrekten Darstellung ist 

nicht möglich." 

� Wenn Zeichen der Kategorie a) und/oder c) in dem Dokument vorhanden sind, wird die folgende 

Warnmeldung angezeigt: "Die Datei enthält Zeichen, die nicht eindeutig darstellbar sind!" 

Hinweis: Das hexadezimale Zeichen 0x00 wird wie folgend dargestellt: . Das 

hexadezimale Zeichen 0x7F wird wie folgend dargestellt: . Das Zeichen 0x00 führt 

zwar zu einer Warnmeldung des Viewers, es wird jedoch im Analysedialog keine gesonderte 

Warnmeldung ausgegeben, da dieses Zeichen in jedem Zeichensatz eine eindeutige


Darstellung hat. 

Der S-TRUST Sign-it Viewer verarbeitet in PDF Dateien keine aktiven Code-Elemente, wie etwa Java- 

Script oder Multimedia-Objekte. Da das PDF Format die Einbettung verschiedener Ansichten ein und 

desselben Objektes erlaubt, zeigt der S-TRUST Sign-it Viewer grundsätzlich nur die Standard-Ansicht 

für diese Objekte an. Das bedeutet, dass Sie bei vorhandenen alternativen Darstellungen von 

Objekten grundsätzlich die Analysefunktionen des S-TRUST Sign-it Viewers benutzen müssen, um 

festzustellen, ob die alternativen Darstellungen Elemente enthalten, die den Inhalt des Dokuments 

verfälschen und Sie evtl. nicht bereit wären, diese Dokumentinhalte zu signieren. 

Die PDF Anzeige des S-TRUST Sign-it Viewers unterstützt das Dokumentformat PDF 1.7. Wenn Sie 

ein PDF Dokument mit dem S-TRUST Sign-it Viewer untersuchen, sollten Sie sicher stellen, dass die 

Angaben der PDF-Versionsnummer in dem Dokument der Version 1.7 oder darunter entspricht. 

Versionen nach der PDF-Version 1.7 können in dem Viewer nicht zweifelsfrei dargestellt werden, da 

spätere Versionen Elemente enthalten können, die vom Viewer nicht erkannt und auch nicht 

dargestellt werden können. 

Der Viewer enthält einige Abweichungen zu diesem Standard (Dokumentformat 1.7), die Sie kennen 

sollten: 

� Der S-TRUST Sign-it Viewer unterstützt keine Transparenz. 

� Der S-TRUST Sign-it Viewer zeigt grundsätzlich die Standardansicht von PDF Objekten an. Das 

PDF Format erlaubt die Angabe von alternativen Ansichten eines Objektes, die Ansicht kann z.B. 

von der Bildschirmauflösung abhängig sein. In diesem Falle werden Sie von dem Produkt gewarnt 

und haben die Möglichkeit, die Mittel des S-TRUST Sign-it Viewer zu verwenden, um die 

alternativen Darstellungen zu untersuchen. 

� Der S-TRUST Sign-it Viewer unterstützt keine Multimedia-Elemente. Die Möglichkeit, z.B. 

animierte Flash-Filme anzuzeigen wird von dem Produkt nicht unterstützt. In diesem Falle wird 

Ihnen die Standard-Darstellung (z.B. das Flash-Icon) angezeigt. 

Die Funktion zur Anzeige von PDF Dateien hängt von der Lizenz ab, die Sie erworben haben. Wenn 

Ihre Lizenz nicht erlaubt, PDF Dateien anzuzeigen, steht Ihnen diese Funktion auch nicht zur 

Verfügung. 

Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im 

Kapitel Mindestanforderungen dargelegten Anforderungen sicherstellen. Es werden keine 

aktiven Inhalte wie Scripte oder Programmcode interpretiert. 

Schutz vor Hashwertmanipulation 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 bieten einen Schutz vor 

Hashwertverfälschung während des Signaturvorganges. Dazu wird vor dem Signaturvorgang der 

Hashwert über die zu signierenden Daten gebildet. Nach dem Signaturvorgang überprüft das Produkt 

die erzeugte Signatur, indem es die Signatur mit dem öffentlichen Schlüssel des verwendeten 

Signaturzertifikates verifiziert. Abschließend wird Ihnen eine Textmeldung angezeigt, dass die Daten 

signiert wurden. 

Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im


Kapitel Mindestanforderungen dargelegten Anforderungen sicherstellen. 

Sicherstellung der Unversehrtheit des Produktes 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 bieten die Funktion zum Prüfen der 

Integrität der installierten Programm-Module. Diese Sicherheitsfunktion wird durch das S-TRUST Sign- 

it Integrity Tool realisiert. Das S-TRUST Sign-it Integrity Tool ist ein Java-Applet, das die Hash-Werte 

an den ausgelieferten sicherheitsrelevanten Modulen überprüft und somit sicherstellt, dass sich die 

Module noch in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden. 

Für die Nutzung des S-TRUST Sign-it Integrity Tool ist das Java Plugin notwendig, das über die 

Internetseite www.openlimit.com/integritytool geladen oder von der Original CD gestartet wird. Das 

Java Plugin sollte grundsätzlich erst nach positiver Prüfung der Signatur des Applets gestartet werden. 

Das Ergebnis der Prüfung durch das S-TRUST Sign-it Integrity Tool wird Ihnen in einer Textmeldung 

angezeigt. Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, ist der sichere Zustand 

der Anwendung nicht mehr gewährleistet und Sie sollten das Produkt auf Ihrem Rechner neu 

installieren. 

Die Überprüfung der Unversertheit der Programm-Module sollte regelmäßig, d.h. mindestens einmal 

im Monat, durchgeführt werden. 

Stellen Sie sicher, dass sie die im Kapitel Betriebssysteme aufgeführte Version der Java Virtual 

Machine installiert haben, um die korrekte Arbeitsweise dieser Funktion sicherzustellen. 

Import und Verarbeitung von OCSP Abfragen 

Das Produkt bietet Ihnen die Möglichkeit, über das OCSP (Online Certificate Status Protocol) Protokoll 

die Gültigkeit eines Zertifikates zu prüfen. Dazu können Sie zu einem Zertifikat eine OCSP Anfrage mit 

Hilfe des Produktes stellen und erhalten eine entsprechende Antwort von der CA, die das Zertifikat 

ausgestellt hat. Sie sollten diese Möglichkeit immer dann nutzen, wenn Sie sich sich über die 

Gültigkeit eines Zertifikates direkt beim Herausgeber versichern möchten. 

Sie haben ebenfalls die Möglichkeit, das Produkt so zu konfigurieren, dass eine OCSP Antwort vom 

Herausgeber automatisch zur elektronischen Signatur hinzugefügt wird. Damit geben Sie dem 

Empfänger einer von Ihnen signierten Datei die Gewissheit, dass Ihr Zertifikat zum Zeitpunkt der 

Signaturerstellung nicht gesperrt war. Es besteht die Möglichkeit, dass Sie sich die Einzelheiten der 

OCSP Antwort anzeigen lassen. In diesem Falle haben Sie außerdem die Möglichkeit, das Zertifikat 

zu begutachten, welches die OCSP Antwort unterschrieben hat. 

Während des Imports der OCSP Antwort prüft das Produkt immer die mathematische Gültigkeit der 

Antwort. Ist die mathematische Gültigkeit nicht erfolgreich geprüft worden, werden die OCSP Daten 

nicht importiert. Wenn Sie die Details zur OCSP Antwort begutachten, prüft das Produkt automatisch 

die gesamte Zertifikatskette bis hin zum Wurzelzertifikat auf der Basis von Sperrlisten. Stellen Sie in 

diesem Falle sicher, dass Sie über aktuelle Sperrlisten auf Ihrem Rechner verfügen. 

Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel 

Mindestanforderungen dargelegten Anforderungen erfüllen. 

Import und Anbringen von Zeitstempeln 

Das Produkt erlaubt Ihnen das automatische Anbringen eines Zeitstempels an Daten, die Sie signiert 

haben. Dabei wird der Zeitstempel auf mathematische Korrektheit der Signatur überprüft und in die


Signaturdatei, die Sie erzeugt haben, mit aufgenommen. Kann die mathematische Korrektheit der 

Signatur nicht erfolgreich geprüft werden, wird der Zeitstempel nicht mit aufgenommen und Ihnen wird 

eine entsprechende Fehlermeldung angezeigt. 

Um einen Zeitstempel automatisch zu den signierten Daten aufzunehmen, müssen Sie entsprechende 

Konfigurationseinstellungen an dem Produkt vornehmen. 



Prüfung von Zeitstempeln 

Wenn Sie eine signierte Datei erhalten, die einen Zeitstempel beinhaltet, können Sie die Gültigkeit des 

Zeitstempels überprüfen. Zu diesem Zweck haben Sie einen Dialog zur Verfügung, der Ihnen die 

Einzelheiten des Zeitstempels anzeigt. In diesem Falle wird die Signatur des Zeitstempels basierend 

auf Sperrlisten bis hin zum Wurzelzertifikat überprüft. Sie erhalten neben den eigentlichen 

Informationen, die Ihnen der Zeitstempel bereitstellt Informationen darüber, ob die Signatur des 

Zeitstempels selber gültig ist. Stellen Sie vor der Verwendung dieser Funktion sicher, dass Sie über 

aktuelle Sperrlisten verfügen. 



Freischalten und Verwendung von lizenzierten Funktionen 

Gemeinsam mit dem Produkt und Ihrer Signaturkarte haben Sie einen Lizenzschlüssel erhalten, den 

Sie bei der ersten Benutzung des Produktes eingeben müssen. Wenn Sie über keinen 

Lizenzschlüssel verfügen, können sie das Produkt zum Prüfen von Signaturen verwenden, jedoch 

keine Signaturen erstellen. Der Lizenzierungsassistent wird Sie durch den Lizenzierungsvorgang 

führen. Dabei werden keine vertraulichen Daten verwendet oder mit dem Hersteller des Produktes 

ausgetauscht. Sie werden während der Lizenzierung des Produktes aufgefordert, die vom Produkt 

erzeugte Lizenzdatei zu signieren. Dieser Vorgang dient zu Ihrer Absicherung, damit Sie später sicher 

sein können, eine gültige Lizenz Ihres Produktes zu verwenden. 

Wenn Sie über keinen Lizenzcode verfügen, können Sie das Produkt zum Verifizieren von PKCS#7 

Signaturen an TIFF und Text Dokumenten verwenden. Eine Signaturerzeugung ist in diesem Falle 

nicht möglich. 

Weiterhin werden die folgenden Modi in Abhängigkeit von der installierten Lizenz unterschieden: 

� Reader-Modus: Im Reader-Modus haben Sie die Möglichkeit, TIFF und Text Dokumente mit dem 

Viewer zu betrachten. Die Prüfung von PKCS#7 Signaturen an diesen Dokumenten ist möglich, 

allerdings können Sie mit einer solchen (kostenfreien) Lizenz keine Signaturen erzeugen. 

� Modus 2: Sie haben die Möglichkeit, TIFF und Text Dokumente zu betrachten und an diesen 

Dokumenten PKCS#7 Signaturen zu erzeugen. Sie können PKCS#7 Signaturen an diesen 

Dokumenten prüfen. 

� Modus 3: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente zu betrachten. Sie können 

aber nur TIFF und Text Dokumente mit PKCS#7 Signaturen versehen. Sie haben die Möglichkeit, 

PKCS#7 Signaturen an allen drei Dokumentformaten zu überprüfen. Darüber hinaus können Sie in


PDF Dateien eingebettete Signaturen verifizieren. 

� Modus 4: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7 

Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. PDF 

Signaturen können ebenfalls geprüft werden. 

� Modus 5: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7 

Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. Sie können 

zusätzlich eingebettete PDF Signaturen erzeugen und verifizieren. 

Der in diesem Zusammenhang verwendete Begriff PKCS#7 Signatur bezieht sich ausschließlich auf 

abgesetzte bzw. verbundene Signaturen. Signaturen innerhalb von PDF Dokumenten werden als PDF 

Signaturen bezeichnet, auch wenn diese technisch auf dem PKCS#7 Format basieren. 

Ein Upgrade der bei der Installation mitgelieferten Readerlizenz ist jederzeit möglich, allerdings 

benötigen Sie für diesen Vorgang eine Signaturkarte. Das Einspielen einer Lizenz mit geringeren 

Rechten als die bereits freigeschalteten Funktionen wird von dem Produkt verhindert bzw. nicht 

akzeptiert. 


Mindestanforderungen dargelegten Anforderungen erfüllen.


S-TRUST Sign-it Security Environment Manager 

Der S-TRUST Sign-it Security Environment Manager ist das Kernstück des Softwarepaketes S- 

TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1. Er wird standardmäßig automatisch mit dem 

Betriebssystem gestartet. Andernfalls kann der S-TRUST Sign-it Security Environment Manager über 

Start/Programme/S-TRUST Sign-it/S-TRUST Sign-it gestartet werden. Er stellt die folgenden 

Funktionen zur Verfügung: 

� Berechnung des Hashwertes unter Verwendung einer der Algorithmen SHA-1, SHA-224, SHA- 

256, SHA-384, SHA-512 und RIPE-MD 160. 

� Erzeugung der Signatur unter Verwendung einer Chipkarte und eines Kartenlesers mit sicherer 

PIN-Eingabe 

� Hinzufügen eines Zeitstempels zu einer erzeugten elektronischen Signatur 

� Unterstützung von Attributzertifikaten bei der Erzeugung einer elektronischen Signatur 

� Unterstützung der OCSP Abfrage bei der Erzeugung einer elektronischen Signatur 

� Prüfung von Signaturzertifikaten über OCSP und CRL 

� Anzeige der OCSP Informationen zu einem Zertifikat 

� Verarbeitung von Zeitstempelinformationen während der Signaturprüfung 

� Anzeige von Zeitstempelinformationen 

� Sicherstellung der Integrität und korrekten Installation der S-TRUST Sign-it Basiskomponenten 

2.5, Version 2.5.1.1 

� Bereitstellung eines Interfaces für die Signaturerzeugung, Prüfung und Produktkonfiguration


Im Prozess der Verifikation einer Signatur zeigt der S-TRUST Sign-it Security Environment Manager 

die zur Verfügung stehenden Informationen des qualifizierten Attributzertifikates, das zu dem 

qualifizierten Zertifikat zugehört, an. Der S-TRUST Sign-it Security Environment Manager ist in der 

Lage zu erkennen, ob ein Attributzertifikat zu einem Zertifikat dazugehört und bringt es zur Anzeige, 

sofern dieses vorhanden ist. 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 arbeiten mit Daten im PKCS#7 Format. 

Das bedeutet, dass das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 mit allen 

Anwendungen, die dieses Format unterstützen, kompatibel ist. 

Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 steuert die Kartenleser über 

PC/SC oder CT-API Schnittstellen an. Einige Hersteller liefern separate Programmbibliotheken zur 

Ansteuerung der sicheren PIN-Eingabe am Kartenleser. Die S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.1 verwenden diese Module, sofern diese vorhanden sind. Die durch die Software S- 

TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 unterstützten Chipkarten finden Sie in dem 

Abschnitt Chipkarten. Die Liste der unterstützten Kartenleser finden Sie in dem Abschnitt 

Kartenleser. 

Es ist möglich, mehrere Kartenterminals und Signaturkarten parallel zu nutzen. Für jedes 

Kartenterminal wird Ihnen ein entsprechendes Icon im System-Tray angezeigt. 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 dürfen für die Erzeugung qualifizierter 

(rechtskonformer) Signaturen nur mit SigG konformen Kartenlesern verwendet werden. Eine Liste 

dieser Geräte wird durch die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und 

Eisenbahnen (Bundesnetzagentur) unter www.bundesnetzagentur.de veröffentlicht. 

Die Signaturprüfung erfolgt nach dem Schalenmodell und zusätzlich nach dem Kettenmodell (für 

qualifizierte Zertifikate) von dem Zertifikat des Anwenders bis zu dem Wurzelzertifikat der CA unter 

Einbeziehung der Sperrlisten. 

Zusätzlich zu der Sperrlistenabfrage unterstützen die S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.1 das Online Certificate Status Protocol (OCSP). Das OCSP Protokoll ermöglicht die 

Online-Abfrage der Gültigkeit eines Zertifikates. Diese Prüfung kann nur durchgeführt werden, wenn 

die Information zu dem OCSP Responder verfügbar ist. Das bedeutet, dass das Zertifikat eine 

Information enthalten muss, die es ermöglicht den OCSP Responder zu identifizieren. 

Eine weitere Funktion des S-TRUST Sign-it Security Environment Managers ist die Arbeit mit 

Zeitstempeln. Ein Zeitstempel kann eine Angabe im Zusammenhang mit der Signaturerstellung sein, 

aber auch eine Information bei der Signaturprüfung. Weitere Informationen zu Zeitstempeldiensten 

erhalten Sie in dem Abschnitt Zeitstempeldienste. 

Die Verfahrensweise der Beschaffung der Informationen des OCSP, der Sperrlisten und des 

Zeitstempels sind nicht Bestandteil der Evaluierung. 

Hinweis: Die Signaturerzeugung besteht immer aus zwei Teilschritten: der Erzeugung des 

Hashwertes und der Verschlüsselung des Hashwertes mit dem privaten Schlüssel des Zertifikates. Die 

Verschlüsselung des Hashwertes findet immer auf der Chipkarte statt, so dass der private Schlüssel 

Ihres Signaturzertifikates dem S-TRUST Sign-it Security Environment Manager zu keinem Zeitpunkt 

der Signaturerzeugung und auch zu allen anderen Zeitpunkten nicht bekannt ist. Dieses Verfahren


stellt sicher, dass ein Missbrauch des privaten Schlüssels des Zertifikates ausgeschlossen ist. 

Die Verfahren zur Signaturerzeugung und Verifikation arbeiten mit dem RSA bzw. ECDSA Verfahren 

für Public Key Kryptographie. Die Stärke der verwendeten Schlüssel beträgt bis zu 2048 Bit und ist 

von der eingesetzten Chip-Karte abhängig. 

Wird eine elektronische Signatur erzeugt, so legt der S-TRUST Sign-it Security Environment Manager 

bei der Codierung des PKCS#7 Datencontainers die komplette Zertifikatsliste bis hin zum 

Wurzelzertifikat in dem Container ab. Das bedeutet, dass somit immer die komplette Zertifikatsliste für 

das prüfende Programm zur Verfügung steht und eine vollständige Signaturprüfung erfolgen kann. 

Es gibt für den Anwender keine direkte Möglichkeit, den S-TRUST Sign-it Security Environment 

Manager zur Signaturerzeugung, Signaturverifikation, Ver- und Entschlüsselung zu benutzen. Um 

diese Funktionalitäten zu nutzen, steht Ihnen der S-TRUST Sign-it Viewer zur Verfügung. 

Der S-TRUST Sign-it Security Environment Manager enthält Mechanismen, die sicherstellen, dass die 

ausgelieferten Module nicht manipuliert wurden. Dazu überprüft der S-TRUST Sign-it Security 

Environment Manager die Programmbibliotheken während des Ladevorganges auf die Korrektheit 

ihrer Signaturen. Wenn Sie eine Fehlermeldung erhalten, dass die Signatur einer Programmbibliothek 

beschädigt ist, deaktiviert der S-TRUST Sign-it Security Environment Manager den Zugang zu den 

angebotenen Sicherheitsfunktionen. Die genauen Meldungen sind im Kapitel Fehlermeldungen S- 

TRUST Sign-it Security Environment Manager aufgeführt. Hilfeanleitungen in solchen Situationen 

finden Sie ebenfalls in diesem Kapitel.


S-TRUST Sign-it Viewer 

Der S-TRUST Sign-it Viewer ist Bestandteil der S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 und bietet dem Anwender die Möglichkeit, sich gemäß den Anforderungen des §17 Absatz 2 

SigG die zu signierenden Daten bzw. bereits signierte Daten anzeigen zu lassen. Der S-TRUST Sign- 

it Viewer sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhalten ist. Weiterhin 

werden Sie informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind. 

Bei der Signaturprüfung zeigt der S-TRUST Sign-it Viewer die Daten an, auf die sich die zur Prüfung 

ausgewählte Signatur bezieht. 

Hinweis: Der S-TRUST Sign-it Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen und 

den Inhalt dieser Dokumente zu untersuchen. Die PDF Dokumente entsprechen der PDF 1.7 

Spezifikation. Sie sollten sich in jedem Fall vergewissern, um welche Version es sich bei der 

verwendeten PDF Datei handelt. Das TIFF Dokument kann eine mehrseitige TIFF Datei (Multipage- 

TIFF) sein. Die dargestellten Dokumentformate hängen von der erworbenen Lizenz ab. 

Werden unbekannte Inhalte oder Spezifikationen in den Dokumenten entdeckt, werden Sie von dem 

S-TRUST Sign-it Viewer darüber informiert. Werden Inhalte gefunden, die als verdeckte oder aktive 

Inhalte erkannt werden, sollten Sie das Dokument nicht signieren. Der S-TRUST Sign-it Viewer kann 

diese Inhalte nicht entfernen sondern die Dokumente nur untersuchen. Wenn Sie das Dokument 

dennoch signieren, unterschreiben Sie ein Dokument, welches Sie nicht in seiner richtigen 

Darstellungsform betrachten konnten. 

Wenn Sie ein farbiges TIFF Dokument signieren wollen, sollten Sie immer von der Möglichkeit der 

Graustufen und Schwarz/Weiß Betrachtung des Dokuments innerhalb des S-TRUST Sign-it Viewer 

Gebrauch machen. Der Abschnitt Arbeiten mit dem S-TRUST Sign-it Viewer zeigt Ihnen am Beispiel 

einer manipulierten TIFF Datei, wie Sie verdeckte Inhalte in einem solchen Dokument erkennen 

können. In diesem Kapitel erhalten Sie darüber hinaus eine Beschreibung der 

Darstellungsmöglichkeiten weiterer Dateiinalte wie Bilder, Java Scripte und Texte, die in PDF Dateien 

enthalten sein können. 

Mit dem S-TRUST Sign-it Viewer können Dateien im Format PDF, TIFF und TEXT geöffnet werden, 

wobei diese Dokumente mit einer PKCS#7 Signatur versehen sein können. In diesem Falle haben Sie 

die Möglichkeit, die Gültigkeit der Signatur vom Viewer aus zu prüfen. 

Der S-TRUST Sign-it Viewer kann als separates Programm oder innerhalb des 

Signaturanforderungsdialoges gestartet werden. Innerhalb des Signaturanforderungsdialoges können 

Sie den S-TRUST Sign-it Viewer nur dann verwenden, wenn auch ein PDF, Text oder TIFF Dokument 

als das zu signierende Dokument erkannt wird. Der S-TRUST Sign-it Viewer wird als Programm 

siqView.exe im Installationspfad der Anwendung installiert, weiterhin wird während der Installation 

eine Verknüpfung im Startmenü des Betriebssystems erzeugt. 

Der S-TRUST Sign-it Viewer kann die Dokumente zwar untersuchen und Warnungen zu den 

Dokumenten generieren sowie Prüfdetails anzeigen, jedoch muss die Entscheidung, ob eine Signatur


an dem Dokument erzeugt werden soll, durch den Anwender selbst getroffen werden. Die inhaltliche 

Interpretation eines angezeigten Dokuments obliegt vollständig dem Benutzer und kann durch den S- 

TRUST Sign-it Viewer nicht geleistet werden. 

Hinweis zu den anzeigbaren Dokumentformaten 

Die anzeigbaren Dokumentformate hängen von der erworbenen Lizenz ab. Wenn Ihre Lizenz die 

Anzeige von PDF Dokumenten nicht erlaubt, können solche Dokumente auch nicht dargestellt 

werden. Wenn Sie über keinen Lizenzcode für das Produkt verfügen, können sie auch grundsätzlich 

keine elektronischen Signaturen mit dem Produkt erzeugen. Mehr Informationen finden Sie in der 

Beschreibung der Lizenzierungsvarianten unter Sicherheitskomponenten der S-TRUST Sign-it 

Basiskomponenten 2.5. 

Hinweis für die Signaturerzeugung: 

Im folgenden Abschnitt wird erklärt, in welcher Situation der S-TRUST Sign-it Viewer ein 

Verbunddokument bzw. eine abgesetzte Signatur erzeugt. Für die Erzeugung von Signaturen 

benötigen Sie eine entsprechende Lizenz. 

Ausgangsdatei Erzeugtes Dateiformat 

TIFF-Datei ohne Signatur Signatur wird als abgesetzte Signaturdatei erzeugt. 

Text-Datei ohne Signatur Signatur wird als abgesetzte Signaturdatei erzeugt. 

TIFF-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei 

hinzugefügt. 

Text-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei 

TIFF-Datei mit verbundener Signatur 

hinzugefügt. 

Signatur wird dem Verbunddokument hinzugefügt. 

Text-Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt. 

PDF Datei ohne Signatur oder mit In Abhängigkeit von der Lizenz wird entweder eine 

eingebetteter Signatur 

eingebettte PDF Signatur oder eine abgesetzte 

PDF Datei mit abgesetzter Signatur 

PKCS#7 Signatur erzeugt. 

Signatur wird der abgesetzten Signatur hinzugefügt. 

PDF Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt.


S-TRUST Sign-it Integrity Tool 

Wenn Sie in die Situation geraten, dass Sie nicht mehr sicher sind, ob Ihr Rechner nicht manipuliert 

wurde, müssen Sie sicherstellen, dass das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 noch wie vorgesehen arbeitet. 

Um die Integrität des Produktes auf Ihrem Rechner sicherzustellen, sollten Sie sich nicht nur auf die 

korrekte Arbeitsweise des S-TRUST Sign-it Security Environment Managers verlassen. Sie benötigen 

ein unabhängiges Werkzeug, welches im Zweifelsfall in der Lage ist, von einem vertrauenswürdigen 

Medium aus die Integrität des installierten Produktes auf Ihrem Rechner zu überprüfen. 

Der S-TRUST Sign-it Integrity Tool überprüft die Hash-Werte an den installierten sicherheitsrelevanten 

Programmbibliotheken. Es wird festgestellt, ob sich die Programmbibliotheken noch in dem Zustand 

befinden, wie sie ursprünglich ausgeliefert und installiert wurden. 

Dazu berechnet das Java-Applet die Hashwerte nach SHA-1 und vergleicht sie mit den Originalen der 

S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1. Sie können das Applet über die folgende 

URL aufrufen: https://www.s-trust.de/sign-it/sicherheit oder von der Original CD-ROM starten. 

Wenn Sie das Produkt auf CD-ROM erhalten haben, können Sie die Datei 'index.htm' von der CD- 

ROM direkt im Browser aufrufen, um das Tool zu starten. In diesem Falle benötigen Sie keine 

Internetverbindung. 

Das Applet ist signiert, die Signatur wird von der Java Virtual Machine (JVM) geprüft. Sie müssen dem 

Zertifikat explizit vertrauen, mit dem das Applet signiert wurde. Der SHA-1 Fingerprint des Zertifikates, 

mit dem das Applet signiert wurde, lautet: 

65 51 46 26 38 ac 1d ec a2 f2 cb 8f 45 0f f4 05 0a 47 dd 71 

Das Zertifikat ist vom 27.06.2006 bis zum 27.06.2009 gültig. Für den Fall, dass das Zertifikat erneuert 

wird, veröffentlicht OPENLiMiT den Fingerprint des aktuellen Zertifikats auf der Webseite. 

Neben den im Kapitel Betriebssysteme genannten Voraussetzungen ist für die Abarbeitung des 

Java-Applets die korrekte Browserkonfiguration zur Verwendung der JVM notwendig. 

Weitere Hinweise zur Arbeit mit dem Java-Applet erhalten Sie in dem Kapitel Arbeiten mit dem S- 

TRUST Sign-it Integrity Tool. 

Stellt das S-TRUST Sign-it Integrity Tool fest, dass sich die Programmbibliotheken nicht mehr in ihrem 

Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher sollten 

Sie jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen 

wurde oder ein anderes Programm Ihren Rechner manipuliert hat. 

Hinweis: Starten Sie das S-TRUST Sign-it Integrity Tool nur von der Webseite https://www.strust.de/sign-it/sicherheit 

bzw. von der Original CD-ROM und nach Prüfung des Server-Zertifikats. 

Sie müssen als Nutzer das Prüfprogramm regelmäßig ausführen, um die Integrität des 

Produktes sicherzustellen. Regelmäßig bedeutet in diesem Zusammenhang mindestens einmal 

im Monat. Weiterhin müssen Sie die Integrität des Produktes auf Ihrem Rechner sicherstellen, 

sobald Sie den Verdacht haben, dass die Programmdateien geändert wurden.


Falls Sie das Produkt über einen Download bezogen haben, sollten Sie in jedem Fall, bevor Sie 

das Produkt zum ersten Mal anwenden, das S-TRUST Sign-it Integrity Tool ausführen, um die 

Korrektheit der Installation zu verifizieren.


Konfiguration der S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 

In diesem Abschnitt werden Ihnen die Konfigurationsoptionen des Produktes S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 dargelegt und auf die sichere Konfiguration des Produktes 

eingegangen. Darüber hinaus werden Sie in jedem Abschnitt dieser Benutzerdokumentation Version 

2.5.1.1 auf die sicheren Parameter bei der Konfiguration hingewiesen. Abweichende Konfigurationen 

sollten Sie nach Möglichkeit nicht einsetzen, da unter Umständen der sichere Betrieb des Produktes 

nicht mehr gewährleistet werden kann. Vor der Arbeit mit dem Produkt müssen Sie die Konfiguration 

der Benutzereinstellungen des Produktes überprüfen, insbesondere, wenn Sie an einem Arbeitsplatz 

arbeiten, an dem auch andere Benutzer Zugriff auf das Produkt haben. 

Administration und Administratorrolle: 

Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 erlaubt die individuelle 

Konfiguration der Benutzereinstellungen. Diese individuelle Konfiguration kann allerdings nur dann 

vorgenommen werden, wenn Sie als Benutzer über Administratorrechte verfügen oder Ihnen ein 

Administrator des Betriebssystems Administrationsrechte einräumt. Dies gilt daher nur für die 

Betriebssysteme Windows NT 4.0, Windows 2000 und Windows XP, da die individuelle Konfiguration 

des Produktes an Hand der vorhandenen Nutzer vorgenommen wird. 

Die Administration des Produktes ist also an die Administratorrolle des Betriebssytems geknüpft. Es 

wird keine gesonderte Unterscheidung zwischen diesen beiden Rollen im Verlauf dieses Handbuches 

vorgenommen. Wenn in diesem Handbuch von der Rolle des Administrators gesprochen wird, ist 

damit ein Benutzer mit Administrationsrechten auf dem jeweiligen Rechner gemeint bzw. ein Benutzer, 

dem durch den jeweiligen Administrator des Betriebssystems das Recht eingeräumt wurde, das 

Produkt individuell zu konfigurieren. 

Einräumen von Konfigurationsrechten an andere Benutzer: 

Sie können die Bindung an die Administratorrolle im Betriebssystem zur Konfiguration des Produktes 

S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 aufheben, indem Sie einen Wert in der 

Registry ändern. Diese Änderung hat dann zur Folge, dass jeder Benutzer des Rechners eine 

individuelle Konfiguration des Produktes vornehmen kann. Da das Produkt automatisch eine sichere 

Konfiguration nach der Installation einnimmt, sollten Sie von dieser Option nach Möglichkeit keinen 

Gebrauch machen. 

� Öffnen Sie den Registry Editor des Betriebssystems. 

� Öffnen Sie den Schlüssel HKLM/Software/SignCubes/Options 

� Öffnen sie durch einen doppelten Klick auf den Eintrag Options den Wert User 

� Tragen Sie statt der vorkonfigurierten 0 eine 1 ein.


Mit diesem Eintrag haben Sie die Administratorrolle für das Produkt S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1, die durch das Betriebssystem vorgegeben ist, aufgehoben. 

Jetzt kann jeder Benutzer individuelle Einstellungen vornehmen, die auch für jeden Benutzer separat 

verwaltet werden. Durch diesen Mechanismus ist sichergestellt, dass keine separaten 

Administrationsrollen für das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 

definiert sind.


Konfigurationsoptionen des S-TRUST Sign-it 

Security Environment Managers 

Der S-TRUST Sign-it Security Environment Manager bietet zwei Menüs zur Konfiguration. Das erste 

Kontextmenü des S-TRUST Sign-it Security Environment Managers wird beim Klicken auf das S- 

TRUST Sign-it Icon geöffnet. Das zweite Kontextmenü enthält spezifische Konfigurationsoptionen für 

die jeweilige Chipkarte und wird im Kapitel Chipkarten Optionen behandelt. 

Wenn Sie auf das Icon S-TRUST Sign-it klicken, wird ein Kontextmenü geöffnet. 

Hier sind Menüpunkte betreffend der Basiskomponenten gelistet: 

� Sperrlistenaktualisierung: Während der Signaturprüfung werden immer die aktuell auf dem 

Rechner verfügbaren Sperrlisten verwendet. Daher sollten Sie in regelmäßigen Abständen (im 

Normalfall täglich) diese Option nutzen, um aktuelle Sperrlisten auf Ihren Rechner 

herunterzuladen. Zusätzlich zur Sperrlistenprüfung können Sie die Online - Prüfung nutzen, um 

den Status des Signaturzertifikates zu ermitteln. Für die Online - Prüfung benötigen Sie eine 

Internetverbindung. Diese wird durch den S-TRUST Sign-it Security Environment Manager nicht 

automatisch hergestellt. 

� Eigenschaften: Hier werden Einzelheiten über die Basiskomponenten angegeben. Sie können 

sich die installierten Module sowie deren Versionsnummern anzeigen lassen. Weiterhin können 

Sie sehen, welche Funktionen Sie lizenziert haben. 

� Einstellungen: In diesem Menü können sie globale Einstellungen am S-TRUST Sign-it Security 

Environment Manager vornehmen. Um diese Einstellungen vornehmen zu können, benötigen Sie 

die Rechte eines Administrators. 

� Hilfe: Mit diesem Befehl wird die Benutzerdokumentation zu den S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 geöffnet. 

� Info: Hier werden Copyright- und Versionsinformationen der Software angezeigt. 

� Beenden: Mit diesem Befehl wird der S-TRUST Sign-it Security Environment Manager beendet. 

Dann kann keine Signaturerzeugung bzw. Signaturverifikation vorgenommen werden.


Option: Lizenzeinstellungen und Lizenzupgrade 

Wenn Sie sich vergewissern wollen, welche Lizenz des Produktes Sie erworben haben, können Sie 

sich über den Menüpunkt Eigenschaften des S-TRUST Sign-it Security Environment Managers die mit 

Ihrem eingegebenen Lizenzcode verbundenen freigeschalteten Eigenschaften des Produktes 

anzeigen lassen. Ein grünes Häkchen bedeutet, dass Sie die jeweilige Eigenschaft des Produktes 

lizenziert haben und Ihnen diese damit zur Verfügung steht. Funktionen, die Ihnen nicht zur Verfügung 

stehen, werden Ihnen auch nicht angezeigt. 

Wenn Sie in dem Menüpunkt Eigenschaften des S-TRUST Sign-it Security Environment Managers auf 

den Knopf Lizenzinhaber klicken, wird Ihnen das Zertifikat desjenigen Benutzers angezeigt, der die 

Lizenz auf dem Rechner freigeschaltet hat. Wenn Sie selbst die Lizenz freigeschaltet haben, muss Ihr 

Zertifikat in diesem Dialog angezeigt werden. 

Wenn Sie mehr Funktionen des Produktes nutzen möchten als Sie mit dem Lizenzcode freigeschaltet 

haben, können Sie einen entsprechenden Lizenzcode von dem Deutschen Sparkassenverlag oder 

einem seiner Vertriebspartner erwerben. Sie müssen in diesem Falle das Produkt nicht deinstallieren, 

sondern können auf den Button Lizenz-Upgrade klicken. In diesem Falle wird der Lizenzmanager 

erneut gestartet und Sie können über einen entsprechenden Lizenzcode die gewünschten Funktionen 

freischalten. 

Hinweis: 

� Geben Sie die Installationspfade der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 

nicht im Netzwerk für andere Benutzer frei.


� Vor Verwendung der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 sollten Sie 

nochmals prüfen, ob die Lizenz korrekt ist, in dem Sie das S-TRUST Sign-it Basiskomponenten 

2.5, Version 2.5.1.1 Icon, Eigenschaften anklicken und sich die verfügbaren Funktionen anzeigen 

lassen. Gleichfalls sollten Sie das Zertifikat des Lizenzinhabers prüfen. 

� Wenn der Lizenzierungsassistent beim Start der S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 erscheint, ist keine Lizenzdatei vorhanden. Wenn dies trotz erfolgreich durchgeführter 

Lizenzierung auftritt, wurde eventuell die Lizenzdatei gelöscht. In diesem Falle sollten Sie die 

Integrität des Betriebssystem mit einem geeigneten Programm (z.B. Virenscanner) überprüfen und 

sicherstellen, dass nicht unberechtigte Dritte auf Ihren Rechner zugreifen können.


Option: Allgemeine Einstellungen 

Wenn Sie im Kontextmenü des S-TRUST Sign-it Security Environment Managers auf Einstellungen 

geklickt haben, erscheint ein Dialog mit Registerkarten, die in den folgenden Abschnitten beschrieben 

werden. 

Hinweis: Sie können die Einstellungen an den Registerkarten nur dann ändern, wenn Sie auch über 

Administrationsrechte verfügen. Für das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 ist keine spezielle Administratorrolle definiert. Weitere Erläuterungen finden Sie im Abschnitt 

Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1. 

Die folgenden Optionen können Sie hier einstellen: 

� Autostart des S-TRUST Sign-it Security Environment Managers: Setzen das Häkchen in der 

Checkbox, wenn Sie möchten, dass der S-TRUST Sign-it Security Environment Manager 

automatisch beim Start des Betriebssystems gestartet wird. Diese Option wird bei der Installation 

der Software aktiviert. Wenn Sie dieses Verhalten nicht möchten, können Sie das Häkchen 

entfernen. 

� Sprache: Hier wird Ihnen als verwendete Sprache Deutsch angezeigt. 

� Signaturformat: Hier haben Sie die Möglichkeit, das Dateiformat für zu signierende Dokumente 

einzustellen (Dokument und Signatur in einer Datei oder Dokument und Signatur in zwei 

verschiedenen Dateien). Diese Option hat keine Auswirkungen auf die sichere Anzeigeeinheit. Die


erzeugten Dokumentformate der sicheren Anzeigeeinheit sind im Kapitel 

Sicherheitskomponenten der S-TRUST Sign-it Basiskomponenten 2.5 erläutert. Die 

Einstellung für XML-Signaturen wird wirksam, wenn die Signaturerzeugung der XML Daten über 

eine Drittanwendung gestartet wird. Weitere Informationen dazu finden Sie in dem Abschnitt XML 

Signaturen. 

� Attributzertifikate automatisch mitsignieren: Sofern dieser Haken gesetzt ist, werden bei der 

Signaturerzeugung alle unter dem Ordner 'Eigene Dateien\Attribute Certificates' vorhandenen 

Attributzertifikate dahingehend durchsucht, ob sie zu diesem Zertifikat dazu gehören. Falls dies 

der Fall ist, wird das Attributzertifikat mitsigniert und dem Signaturzertifikat hinzugefügt. 

� Signaturen automatisch mit Zeitstempel versehen: Hier können Sie der Signatur automatisch 

einen Zeitstempel hinzufügen. Die Standardkonfiguration Ihres Produktes erlaubt das Abholen von 

Zeitstempeln nicht. 

� Signaturen automatisch mit OCSP-Status versehen: Mit der Aktivierung dieser Funktion wird 

automatisch eine OCSP-Abfrage durchgeführt und das Abfrageergebnis wird der Signatur 

hinzugefügt. 

� Durch Anklicken des Buttons Ausgangskonfiguration werden die mit der Installation 

vorgenommenen Voreinstellungen wieder hergestellt. Durch die Anwendung dieses Befehls 

werden nur die Einstellungen für den aktiven Benutzer zurück gesetzt, nicht jedoch die 

Einstellungen, die für alle Benutzer gelten. 

Hinweis zur sicheren Konfiguration: 

� Sie sollten den S-TRUST Sign-it Security Environment Manager automatisch beim Start des 

Betriebssystems starten lassen. Es wird nur dann das Deaktivieren dieser Option empfohlen, 

wenn das PC/SC Subsystem nach dem S-TRUST Sign-it Security Environment Manager gestartet 

wird und dieser dadurch beim Start des Betriebssystems keine Kartenleser erkennt. 

� Das Speichern der Originaldaten und der Signatur in einer Datei oder die Erzeugung einer 

abgetrennten Signaturdatei haben keinen Einfluss auf die Sicherheit des Produktes S-TRUST 

Sign-it Basiskomponenten 2.5, Version 2.5.1.1. 

� Wenn Sie sich nicht sicher sind, ob sich Ihre Installation in der Originalkonfiguration befindet, 

verwenden Sie bitte den Befehl Ausgangskonfiguration, um die von Ihnen vorgenommenen 

Änderungen zu verwerfen.


Hinweis für die Einstellungen des Signaturformats wenn Sie über die S-TRUST Sign-it Shell 

Extension verfügen: Wenn Sie die Einstellungen so treffen, dass Verbunddokumente beim 

Signaturvorgang erzeugt werden und Sie ein Dokument über die S-TRUST Sign-it Shell-Extension 

signieren, erhalten Sie ein Dokument mit der Endung '*.p7m'. Wenn Sie nun die Originaldaten ein 

weiteres Mal signieren möchten, werden Sie nach dem Namen der Ausgabedatei über einen 'Datei 

speichern unter...' Dialog gefragt, da die Signatur nicht dem '.p7m' Dokument hinzugefügt wird. Wenn 

Sie den Dateinamen beibehalten, wird das Originaldokument überschrieben. Sie können aber auch 

einen anderen Dateinamen angeben, unter dem dieses Dokument dann abgelegt wird. 

Die S-TRUST Sign-it Shell-Extension ist kein Bestandteil der S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.1, greift aber über eine ebenfalls zertifizierte Schnittstelle auf die Funktionen des 

Produktes zurück.


Option: Verzeichnisse 

Sie haben im Register Verzeichnisse die Möglichkeit, die Verzeichnisse für Sperrlisten und 

Stammzertifikate, die von der Software verwendet werden, umzukonfigurieren. Machen Sie von dieser 

Möglichkeit nur dann Gebrauch, wenn Sie sich sicher sind, dass Sie verstanden haben, wozu diese 

Verzeichnisse von der Software genutzt werden.


Unter dem Register Verzeichnisse können die Speicherpfade für sicherheitsrelevante Dateien, die 

Zertifikate und Prüfprotokolle festgelegt werden. Standardmäßig steht der Pfad für die Sperrlisten 

sowie die öffentlichen und die vertrauenswürdigen Zertiifkate auf C:\Programme\S-TRUST Signit\Data\ 

und dann der Name des jeweiligen Ordners. 

Das Verzeichnis für die Smartcard Zertifikate und die Attributzertifikate wird, sofern kein anderes 

Verzeichnis über diese Einstellungen festgelegt wird, standardmäßig in dem Ordner C:\Eigene 

Dateien\ und dann der Name des jeweiligen Ordners angelegt. Wird ein Ordner über die Einstellungen 

des S-TRUST Sign-it Security Environment Managers definiert wie z.B. C:\Daten\, dann werden die 

Speicherpfade Smartcards und AttributCertificates als Unterordner automatisch generiert und die 

Zertifikate in diesen Ordnern abgelegt. 

Als Verzeichnis für das Speichern der Prüfprotokolle kann der Speicherort als vollständiger 

Verzeichnispfad z.B. C:\Daten\Prüfprotokolle angegeben werden. Wird kein Verzeichnis definiert, 

erfolgt die Ablage automatisch in dem Ordner C:\Eigene Dateien\VerificationProtocols. 

Was bedeutet sicherheitsrelevant? Beispiel Sperrlisten: Das Produkt S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 verwendet bei der Prüfung von Signaturen Sperrlisten, um die 

Gültigkeit des Signaturzertifikates bei der Signaturerzeugung zu verifizieren. Die Sperrlisten, die Sie 

manuell vom Sperrlistenverteilungspunkt abrufen, werden im Verzeichnis für Sperrlisten gespeichert.


Wenn Sie die Verzeichnisse für die Sperrlisten ändern, sollten Sie entweder die in diesem Verzeichnis 

bei der Softwareinstallation abgelegten Dateien ebenfalls in das geänderte Verzeichnis kopieren oder 

nach der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann die korrekte 

Signaturprüfung durch das Produkt nicht gewährleistet werden. 

Was bedeutet sicherheitsrelevant? Beispiel Sperrlisten: Das Produkt S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 verwendet bei der Prüfung von Signaturen Sperrlisten, um die 

Gültigkeit des Signaturzertifikates bei der Signaturerzeugung zu überprüfen. Die Sperrlisten, die Sie 

manuell vom Sperrlistenverteilungspunkt abrufen, werden im Verzeichnis für Sperrlisten gespeichert. 

Wenn Sie die Verzeichnisse für die Sperrlisten ändern, sollten Sie entweder die in diesem Verzeichnis 

bei der Softwareinstallation abgelegten Dateien ebenfalls in das geänderte Verzeichnis kopieren oder 

nach der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann die korrekte 

Signaturprüfung durch das Produkt nicht gewährleistet werden. 

Sperrlisten: Certificate Revocation Lists (CRLs) sind Listen mit gesperrten Zertifikaten, die von den 

Trustcentern herausgegeben werden. Anhand der Sperrlisten wird geprüft, ob das verwendete 

Signaturzertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt war. 

PKDs (Public Key Directories) sind Verzeichnisse, in denen die öffentlichen Schlüssel, d.h., die 

Zertifikate von verschiedenen Herausgebern gelistet sind. Hier sind derzeit die von der 

Bundesnetzagentur herausgegebenen CA-Zertifikate enthalten. 

CTLs (Certificate Trust Lists) sind Verzeichnisse, in denen vertrauenswürdige Wurzelzertifikate 

abgelegt werden können. Das Zertifikat der Bundesnetzagentur, dem wir generell vertrauen, ist in der 

Software integriert. Wenn Sie einer anderen Wurzel vertrauen möchten, speichern Sie das Zertifikat in 

diesem Ordner und legen Sie die CA-Zertifikate auch unter den PKDs ab. 

Wenn sie die Verzeichniseinstellungen falsch konfigurieren oder nicht alle notwendigen Schritte 

vornehmen, damit die Verzeichnisse von den S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 richtig genutzt werden können, ist ein scheinbares Fehlverhalten der Software möglich. Durch 

Ihre Einstellungen konfigurieren Sie selbst, welchen Zertifikaten Sie vertrauen und welchen nicht. 

Hinweis: Wenn Sie die Verzeichnisse ändern, dürfen die neuen Verzeichnisse nicht schreibgeschützt 

sein, da sonst das Ablegen von Sperrlisten in dem Verzeichnis fehlschlägt. 

Hinweis für die sichere Konfiguration: 

� Sie sollten die Einstellungen der Verzeichnisse nicht ändern. Wenn Sie die Verzeichnisse ändern, 

beeinflussen Sie das Sicherheitsverhalten des Produktes. Sie sollten diese Einstellungen nur 

ändern, wenn Sie die obigen Ausführungen richtig verstanden haben.


Option: PIN-Abfrage


In diesem Register können Sie die Optionen für die PIN-Eingabe konfigurieren. Gehen Sie sensibel 

mit den einstellbaren Optionen um, da ein Missbrauch Ihrer Signaturkarte durch falsches oder 

unachtsames Vorgehen mit diesen Optionen erleichtert werden könnte. 

In diesem Dialog sind Optionen aufgeführt, welche die Eingabe oder Abfrage der PIN (personal 

identification number) betreffen: 

Sichere PIN-Eingabe automatisch verwenden 

Diese Option garantiert, dass bei Kartenlesern, welche die sichere PIN-Eingabe unterstützen, diese 

auch automatisch verwendet wird. Diese Option kann in der ausgelieferten Konfiguration nicht 

abgewählt werden und sollte für eine sichere Konfiguration des Produktes immer aktiviert sein. Wenn 

Sie nicht die sichere PIN-Eingabe verwenden, steigt die Gefahr des Ausspähens der PIN durch 

entsprechende Programme. 

Karte für mehrere Arbeitsschritte öffnen 

Wenn Sie größere Arbeitsaufgaben vor sich haben, die eine ständige Wiederholung der PIN-Eingabe 

erfordern, können Sie auch die Karte öffnen. Dann wird die PIN einmalig beim ersten Signaturvorgang 

abgefragt. Weitere Eingaben sind nicht mehr erforderlich in Abhängigkeit von Ihren weiteren 

Einstellungen. Dies ist beispielsweise sehr praktisch, wenn man eine Vielzahl von Dokumenten 

entschlüsseln muss. Auch die Signatur von zahlreichen Dateien kann so zeitsparend erledigt werden. 

Diese Funktion ist für die in dem Kapitel Chipkarten genannten Karten nur für die fortgeschrittene 

Signatur verfügbar. 

PIN abfragen


Falls Sie die Karte für mehrere Arbeitsschritte öffnen wollen, haben Sie zusätzlich die Möglichkeit, 

diese Option einzuschränken: für qualifizierte Signaturen, fortgeschrittene Signaturen und für 

Entschlüsselung stehen folgende Varianten zur Verfügung: 

� bei jeder Verwendung: Jedes Mal wird die PIN abgefragt. 

� automatisch mit Begrenzung: Je nach Begrenzung ist die Benutzung eingeschränkt. 

� keine weitere Abfrage: Die PIN muss nicht mehr eingegeben werden. 

Beispiel: Wenn Sie nur Entschlüsseln möchten, dann stellen sie die Auswahl bei qualifizierten und 

sonstigen Signaturen auf bei jeder Verwendung und bei Entschlüsseln auf keine weitere Abfrage. 

Begrenzung: 

Haben Sie oben auf automatisch mit Begrenzung gestellt, können Sie unten eine Begrenzung nach 

Anzahl oder Zeit eingeben. Wenn Sie die Parameter gesetzt haben und während des Arbeitens mit 

der Karte die Parameter ändern, müssen Sie die Karte ziehen und neu in das Chipkarten-Terminal 

stecken, damit die geänderten Einstellungen wirksam werden. 

Sicherheitshinweis: Wenn Sie die Optionen so konfigurieren, dass Sie keine PIN mehr eingeben 

müssen, gehen Sie ein erhöhtes Risiko des Missbrauchs Ihrer Signaturkarte ein. Sie sollten diese 

Optionen nur dann verwenden, wenn Ihr Rechner sicher frei von bösartiger Software wie Viren und 

Backdoor Programmen ist. Weiterhin sollten Sie Ihre Signaturkarte immer aus dem Kartenleser 

entfernen, sobald Sie den Arbeitsplatz verlassen. Wenn Sie diese Mindestsicherheitsanforderungen 

nicht befolgen, können unberechtigte Dritte mit Ihrer Karte Signaturen erzeugen, die vor dem 

Gesetzgeber den Wert Ihrer persönlichen Unterschrift haben. Vor diesen Szenarien können Sie sich 

nur selbst durch den verantwortungsvollen Umgang mit Ihrer Signaturkarte schützen. 

Hinweis: 

Das 'Offen Halten' für mehrere Arbeitsschritte wird nur von Chip-Karten unterstützt, die durch das 

Trust-Center in dieser Konfiguration ausgeliefert werden. Die in dem Kapitel Chipkarten aufgelisten 

qualifizierten S-Trust Karten unterstützen diese Funktion nicht, so dass in dem Fall von 

Mehrfachsignaturen die PIN bei jeder Signaturerzeugung neu eingegeben werden muss. 


� Die Option Sichere PIN-Eingabe automatisch verwenden muss aktiviert sein. Diese Option zwingt 

das Produkt, die sichere PIN-Eingabe automatisch zu verwenden. 

� Die Option Karte für mehrere Arbeitsschritte öffnen muss deaktiviert sein. Wenn Sie die Karte für 

mehrere Arbeitsschritte geöffnet halten, gehen Sie das Risiko eines Missbrauchs Ihrer Karte durch 

Dritte ein. Dieses Risiko kann durch die Software nur bedingt abgewehrt werden.


Option: Zertifikate


Im Register Zertifikate können Sie Einstellungen für den Umgang mit den vorhandenen Zertifikaten 

vornehmen. 

Wenn Sie die Option bei Signatur nur verfügbare Zertifikate anzeigen wählen, werden automatisch nur 

die Zertifikate verwendet, die auf der eingelegten Chipkarte zur Verfügung stehen. Wenn Sie diese 

Option deaktivieren, werden ebenfalls auch Zertifikate anderer Personen berücksichtigt, die an diesem 

Arbeitsplatz arbeiten. Sie beeinflussen also den Umgang mit den Zertifikaten durch das Produkt. 

Wichtiger Hinweis: Grundsätzlich wird die Erzeugung einer elektronischen Signatur immer auf der 

eingelegten Chipkarte vorgenommen. Wenn Sie auch Zertifikate anderer Personen bei der 

Signaturerzeugung angezeigt bekommen, bedeutet dies nicht, dass Sie auch eine Signatur mit 

diesem Zertifikat erzeugen können. Das Produkt wird Ihnen lediglich mitteilen, dass Sie die 

entsprechende Chipkarte in das Kartenterminal einlegen müssen. 

Die Option SmartCard-Zertifikate automatisch registrieren bedeutet, dass die auf der Chipkarte 

vorhandenen Zertifikate automatisch im Microsoft Zertifikatsspeicher registriert werden. 

Die Option Automatisch registrierte Zertifikate ständig verfügbar halten bedeutet, dass die von der 

Chipkarte registrierten Zertifikate auch nach der Entnahme aus dem Chipkarten Terminal im Microsoft 

Zertifikatsspeicher verfügbar bleiben. Wenn Sie diese Option deaktivieren, werden die vorher 

registrierten Zertifikate automatisch wieder deregistriert. 


� Die angebotene Option bei Signatur nur verfügbare Zertifikate anzeigen hat keinen Einfluss auf


das Sicherheitsverhalten des Produktes. 

� Die angebotene Option SmartCard-Zertifikate automatisch registrieren hat keinen Einfluss auf das 

Sicherheitsverhalten des Produktes. 

� Die angebotene Option Automatisch registrierte Zertifikate ständig verfügbar halten hat keinen 

Einfluss auf das Sicherheitsverhalten des Produktes.


Option: Algorithmen 

Im Register Algorithmen haben Sie die Möglichkeit, den bei der Signaturerzeugung zu verwendenden 

Hashalgorithmus einzustellen bzw. die für die Ver- und Entschlüsselung zum Einsatz kommenden 

Verschlüsselungsalgorithmen auszuwählen. 

Die für die Signaturerzeugung zur Verfügung gestellten Algorithmen entsprechen dem Signaturgesetz. 


� Grundsätzlich sollten Sie die standardmäßig eingestellten und empfohlenen Algorithmen 

verwenden. Das ist für die Signaturerzeugung SHA-256 und für die Ver- und Entschlüsselung 

3DES. Ab 2008 ist der Hashalgorithmus SHA-1 für die Erzeugung qualifizierter Signaturen nicht 

mehr zulässig. 

Hinweis: Nutzen Sie die Möglichkeit, sich über das S-TRUST Sign-it Integritätstool die eingestellte 

Konfiguration für die Chipkarte anzeigen zu lassen. 

� Für die Ver- bzw. Entschlüsselung sollten Sie nur dann andere Einstellungen vornehmen, wenn es 

aus Gründen der Kompatibilität mit anderen Programmen notwendig ist.


Chipkarten Optionen 

Mit einem Klick auf das gelbe Chipsymbol (vorausgesetzt die Karte befindet sich im Kartenleser) wird 

das Kontextmenü geöffnet. Die Menüpunkte betreffen Funktionalitäten, die im Zusammenhang mit der 

Karte oder dem Kartenleser stehen. 

Die folgenden Punkte werden im Chipkarten Menü angeboten: 

� Verschlüsselungszertifikat exportieren: Mit dieser Option können Sie das 

Verschlüsselungszertifikat von Ihrer Chipkarte in eine Datei speichern. Weitere Informationen 

erhalten Sie in dem Kapitel Zertifikate exportieren. Diese Funktion ist nur dann verfügbar, wenn 

Sie über ein Verschlüsselungszertifikat verfügen. Ob Sie über ein solches Zertifikat verfügen, 

können Sie im Menüpunkt Eigenschaften an Hand der aufgelisteten Zertifikate auf Ihrer Chipkarte 

überprüfen. 

� Eigenschaften: Die Eigenschaften des installierten Kartenlesers werden hier angezeigt. Ist eine 

Karte im Kartenleser vorhanden, werden auch die Karteneigenschaften, wie die Kartennummer 

und das Zertifikat angezeigt. Weitere Informationen erhalten Sie in dem Kapitel Eigenschaften. 

� Einstellungen: Dieser Menüpunkt wird in den Konfigurationsoptionen des S-TRUST Sign-it 

Security Environment Managers erläutert. 

� Info: Hier werden Copyright- und Versionsinformationen angezeigt. 

� Beenden: Mit diesem Menüpunkt wird der S-TRUST Sign-it Security Environment Manager 

geschlossen.


Eigenschaften 

Durch Anklicken des gelben Chipsymbols in der Taskleiste (Karte befindet sich im Kartenleser) und 

Auswahl des Menüpunktes Eigenschaften erhalten Sie folgende Informationen: 

� Unter dem Register Kartenleser wird die Bezeichnung des Kartenlesers und die Ansteuerung des 

Kartenlesers angezeigt. Bei Kartenlesern mit sicherer PIN Eingabe wird auf diese Funktion als 

Ergänzung zum Kartenleser hingewiesen. 

� Unter dem Register Karte sehen Sie die Bezeichnung der Karte (meist mit Herausgeber), die 

Kartennummer und das Betriebssystem der Karte.


� Unter dem Register PIN's werden die zu den Zertifikaten der im Kartenleser steckenden Karte 

gültigen PIN's angezeigt. Nach Auswahl eines PIN's werden in dem unteren Fenster als 

Detailinformationen die minimale Länge und sofern vorhanden die maximale Länge angezeigt. 

Gleichzeitig werden die Schaltflächen für weitere Funktionen aktiv. In Abhängigkeit von der 

Zulässigkeit stehen die Funktionen Freischalten, Ändern und Entsperren zur Verfügung.


� Unter dem Register Zertifikate werden die Zertifikate der Karte, die im Leser steckt, angezeigt. 

Nach Anklicken eines Zertifikats in der Liste werden in dem unteren Fenster die 

Einzelinformationen angezeigt.


Im Abschnitt Zertifikate exportieren können Sie nachlesen, wie Sie die auf Ihrer Karte vorhandenen 

Zertifikate in eine Datei speichern können, um auch anderen Kommunikationspartnern Ihre Zertifikate 

zu schicken. 

In dem Abschnitt Attributzertifkate werden weitere Information zum Handling mit den 

Signaturzertifikaten zugehörigen Attributen gegeben. 


� Es werden keine Optionen zur Verfügung gestellt, die einen Einfluss auf das Sicherheitsverhalten 

des Produktes haben.


Zertifikate exportieren 

Damit Sie Ihren Kommunikationspartnern Ihr Verschlüsselungszertifikat schicken können, müssen Sie 

es zunächst aus der Karte extrahieren und in eine Datei exportieren. Diese Datei können Sie dann 

einfach per E-Mail verschicken. 

1 Stecken Sie die Karte in den Leser und achten Sie darauf, dass sie erkannt wird. 

2 Klicken Sie das gelbe Chip-Symbol in der Taskleiste an. 

Wählen Sie den Punkt Verschlüsselungszertifikat exportieren. 

1 Im Fenster Zertifikat exportieren wird der Dateiname angegeben und der Speicherort ausgewählt. 

Wahrscheinlich werden Sie den Namen des Zertifikatsinhabers, also Ihren eigenen, angeben 

wollen. 

2 Mit einem Klick auf Speichern, ist das Zertifikat als *.cer Datei gespeichert und kann für jede 

Standard-Verschlüsselungssoftware benutzt werden. 


� Es werden keine Optionen angeboten, die einen Einfluss auf das Sicherheitsverhalten des 

Produktes haben können.


PIN ändern 

Im S-TRUST Sign-it Security Environment Manager können Sie die PIN bzw. PIN's Ihrer Smartcard 

jederzeit ändern. Dies sollten Sie tun, wenn Sie das Gefühl haben, dass andere Personen Ihre PIN 

kennen. 

� Wählen Sie nach Anklicken des gelben Chipsymbols in der Taskleiste Eigenschaften und 

anschließend das Register PINs. 

� Wählen Sie die zu ändernde PIN und klicken Sie auf Ändern. Geben Sie dann die aktuelle PIN 

ein, um die Änderung überhaupt zu ermöglichen. 

� Danach wird nach der neuen PIN gefragt. Geben Sie diese ein und bestätigen Sie mit OK.


� Die neue PIN muss nochmals bestätigt werden. Geben Sie diese ein weiteres Mal ein. 

� Sie haben die PIN jetzt geändert. 


Verwenden Sie niemals eine triviale PIN, die den Missbrauch Ihrer Karte durch Dritte erleichtern 

könnte und notieren Sie die PIN niemals auf der Karte oder an Orten, wo Dritte in die Kenntnis Ihrer 

PIN gelangen könnten. Verwenden Sie nur Kartenleser mit sicherer PIN-Eingabe, um die PIN Ihrer 

Chip-Karte zu ändern. Stellen Sie sicher, dass die Eingabe der neuen PIN nicht durch Dritte 

beobachtet wird, da diese dadurch in Kenntnis Ihrer PIN gelangen könnten.


Arbeiten mit den S-TRUST Sign-it 


Die folgenden Abschnitte beschreiben den Umgang mit den einzelnen Bestandteilen der S-TRUST 

Sign-it Basiskomponenten 2.5, Version 2.5.1.1. Dieses Kapitel soll Ihnen den Umgang mit dem 

Produkt erleichtern und Ihnen dabei helfen, schnell mit den einzelnen Programmfunktionen vertraut zu 

werden.


Arbeiten mit dem S-TRUST Sign-it Security 

Environment Manager 

Der S-TRUST Sign-it Security Environment Manager ist als zentraler Bestandteil der Anwendung S- 

TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 für die Bereitstellung und Überwachung aller 

Sicherheitsaufgaben des Produktes verantwortlich. Für Sie als Benutzer sind vor allem die folgenden 

Punkte relevant: 

� Der S-TRUST Sign-it Security Environment Manager verwaltet die angeschlossenen Kartenleser 

und überwacht die eingelegten Chipkarten. 

� Der S-TRUST Sign-it Security Environment Manager bietet Ihnen Optionen zur Auswahl an, 

welche die Chipkarte und die erzeugten Dokumente betreffen. Zur Konfiguration dieser Optionen 

müssen Sie über Administrationsrechte auf Ihrem Rechner verfügen. 

Als Standard wird der S-TRUST Sign-it Security Environment Manager automatisch beim Start des 

Betriebssystems gestartet. Sie haben allerdings die Möglichkeit, dieses Verhalten in den 

Konfigurationseinstellungen des S-TRUST Sign-it Security Environment Managers zu verändern und 

müssen diesen dann manuell starten. 

Während der Arbeit mit dem S-TRUST Sign-it Security Environment Manager werden Sie durch 

entsprechende Statusmeldungen über den jeweiligen Bearbeitungsstand informiert: 

� Sie haben eine Chipkarte in den Kartenleser gesteckt, diese wird erkannt und identifiziert: 

� Sie haben den Befehl Signatur erzeugen aktiviert, es läuft die Datenaufbereitung 

(Hashwertberechnung) bzw. die Signaturerzeugung. 

� Nach dem Aufbereiten der Daten werden Sie zur PIN Eingabe über die sichere PIN-Eingabe 

aufgefordert. 

� Sie haben den Befehl Signatur prüfen aktiviert, es läuft die Hashwertberechnung und der Abgleich 

mit den Sperrlisten.


Falls Ihnen diese Informationen nicht mehr angezeigt werden sollen, haben Sie die Möglichkeit, durch 

Anklicken der Option ausblenden, die Anzeige zu unterdrücken. 

Hinweis: Wenn der S-TRUST Sign-it Security Environment Manager gestartet wurde, erscheint das S- 

TRUST Sign-it Icon in der Taskleiste neben der Uhrzeit. 

Hinweis für den manuellen Start: 

Unter dem folgenden Menüpunkt können Sie den S-TRUST Sign-it Security Environment Manager 

manuell starten. Das Programmverzeichnis kann je nach verwendeter Spracheinstellung variieren. 

Diese Hilfe beschreibt den Umgang mit einem deutschsprachigen Betriebssystem. 

Start – Programme – S-TRUST Sign-it - S-TRUST Sign-it


ACHTUNG: Um die Funktionen der Software nutzen zu können, muss der S-TRUST Sign-it Security 

Environment Manager gestartet sein. Andernfalls haben Sie keinen Zugang zu den Funktionen des 

Produktes. Wenn keine Gründe existieren, den S-TRUST Sign-it Security Environment Manager 

manuell zu starten, dann lassen Sie die Option auf „automatisch starten“ eingestellt. 

Der S-TRUST Sign-it Security Environment Manager kann mehrere Kartenleser und Chipkarten 

parallel verwalten. Welche Kartenleser und Chipkarten unterstützt werden, ist in dem Abschnitt 

Kartenleser bzw. Chipkarten im Detail ausgeführt. 

Für jeden erkannten Kartenleser erscheint ein graues Chip-Symbol in der Taskleiste, wenn keine 

Karte im Kartenleser vorhanden ist. Ist eine Chipkarte im Kartenleser vorhanden, erscheint für jede 

erkannte Chipkarte ein gelbes Chip-Symbol in der Taskleiste. 

Erkennung einer Chipkarte durch den S-TRUST Sign-it Security Environment Manager 

Steckt keine Karte im Kartenleser, wird für jeden erkannten Kartenleser ein graues Chip Symbol 

angezeigt. 

Wenn Sie die Karte in den Leser stecken, wird das Symbol gelb und bekommt ein grünes 

Fragezeichen (achten Sie darauf, dass die Karte im Leser einrastet). 

Hat der S-TRUST Sign-it Security Environment Manager die Karte richtig erkannt, verschwindet das 

Fragezeichen und der Chip ist gelb. Der erkannte Kartentyp wird automatisch angezeigt. 

Jetzt können Sie mit der eingelegten Chipkarte arbeiten. Wenn bereits vor dem Start des S-TRUST 

Sign-it Security Environment Managers eine Chipkarte in den Kartenleser eingelegt wurde, erkennt 

dieser die Karte automatisch. 

Hinweis: 

Ein gelber Chip mit rotem Kreuz bzw. rotem Fragezeichen erscheint, wenn die Karte verkehrt in den 

Leser gesteckt wurde oder eine Karte verwendet wurde, die nicht kompatibel ist. 

Die verwendbaren Karten sind in dem Abschnitt Chipkarten aufgeführt. 

Ist das Chip-Symbol in der Taskleiste rot, bedeutet dies, dass die Karte geöffnet ist oder Operationen, 

wie z.B. die Hashwertverschlüsselung auf der Chipkarte ausgeführt werden. 

Karte „geöffnet“ bedeutet, dass Sie mehrere Operationen hintereinander ausführen können, ohne 

erneut die PIN eingeben zu müssen. Das kann sinnvoll sein, wenn Sie mehrere Dokumente 

hintereinander signieren möchten. Aus Sicherheitsgründen sollten Sie diese Möglichkeit nur dann 

nutzen, wenn Sie sich absolut sicher sind, dass kein Missbrauch mit der Karte vorgenommen werden 

kann. Verlassen Sie nie Ihren Arbeitsplatz, ohne vorher die Karte aus dem Kartenleser zu entnehmen. 

Unberechtigte Personen könnten sonst diesen Umstand ausnutzen und Signaturen mit Ihrer Chipkarte 

erzeugen. 

Hinweis:


Beim Klicken auf die Icons in der Taskleiste bekommen Sie verschiedene Menüs angeboten. Wenn 

sie auf das Icon des S-TRUST Sign-it Security Environment Manager klicken, wird Ihnen das 

Konfigurationsmenü für den S-TRUST Sign-it Security Environment Manager angeboten. Für diese 

Optionen benötigen Sie Administrationsrechte auf ihrem Arbeitsrechner. Wenn Sie auf das graue 

Chipsymbol klicken, bekommen Sie ein eingeschränktes Menü angeboten, in welchem Sie sich 

Informationen zum verwendeten Kartenleser anzeigen lassen können. Wenn Sie nach dem Einlegen 

der Chipkarte auf das gelbe Chipsymbol klicken, bekommen Sie ein Menü für die jeweilige Chipkarte 

angeboten. Die angebotenen Menüpunkte werden ebenso wie die Menüpunkte für den S-TRUST 

Sign-it Security Environment Manager im Kapitel Konfiguration der S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 behandelt. 

Hinweis: 

Wenn der S-TRUST Sign-it Security Environment Manager Daten verarbeitet, rotiert das Icon des S- 

TRUST Sign-it Security Environment Managers in der Taskleiste im Uhrzeigersinn, um zu 

verdeutlichen, dass momentan eine Operation ausgeführt wird. Wenn Sie also große Datenmengen 

signieren wollen (z.B. ein Dokument mit einer Größe von 300 MB), haben Sie immer eine Information 

darüber, dass momentan Daten verarbeitet werden. Wenn Sie mit der Maus über das Icon in der 

Taskleiste fahren, werden Sie sehen, dass auch der Tooltip-Text des S-TRUST Sign-it Security 

Environment Managers Ihnen mit der Meldung 'Daten werden bearbeitet' eine entsprechende 

Information gibt. 

Hinweis: 

Der S-TRUST Sign-it Security Environment Manager reagiert für die Kartenleser SPR 332 und SPR 

532 der Firma SCM Microsystems an der USB-Schnittstelle auf die Plug & Play Ereignisse des 

Betriebssystems. Wenn Sie also einen solchen Kartenleser verwenden, haben Sie die Möglichkeit, bei 

laufendem S-TRUST Sign-it Security Environment Manager einen solchen Kartenleser hinzu zu 

nehmen oder von der USB Schnittstelle zu entfernen. Für jeden angesteckten Kartenleser wird ein 

neues Chipsymbol angezeigt und der Tooltipp an diesem Icon teilt Ihnen mit, um welchen Kartenleser 

es sich handelt. Nachdem Ihnen das Chip-Symbol angezeigt wird, ist der Kartenleser voll 

einsatzbereit. Um diese Eigenschaften nutzen zu können, müssen Sie den korrekten Treiber des 

Herstellers für diesen Kartenleser installiert haben. Sind keine Treiber vorhanden, kann das Produkt 

auch nicht mit dem Kartenleser arbeiten bzw. diesen auch nicht erkennen.



Der folgende Abschnitt beschreibt, wie Sie eine Signaturprüfung unter Verwendung des Produktes S- 

TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 vornehmen können. Grundsätzlich vertraut das 

Produkt dem Wurzelzertifikat der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post 

und Eisenbahnen (Bundesnetzagentur). Aber auch andere Wurzelzertifikate können im 

Betriebssystem als vertrauenswürdig bereitgestellt werden. 

Grundsätzlich gilt: Wenn Sie mit abgesetzten Signaturen arbeiten, muss die Signaturdatei den 

gleichen Namen wie das Originaldokument mit der zusätzlichen Endung '.p7s' tragen. Dies ist 

Voraussetzung, damit der S-TRUST Sign-it Security Environment Manager die zugehörigen 

Originaldaten erkennen und die Signatur verifizieren kann. 

Verfahren zur Signaturprüfung durch die S-TRUST Sign-it Basiskomponenten 

2.5, Version 2.5.1.1 

Im ersten Schritt wird immer überprüft, ob die elektronische Signatur mathematisch korrekt ist. Dies 

bedeutet, dass bei der Signaturprüfung die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 

die Prüfsumme (den Hashwert) über die signierten Daten grundsätzlich erneut berechnen und die 

vorliegende Signatur gegen diesen neu berechneten Hashwert prüfen. Ist diese Prüfung erfolgreich, 

dann ist die Signatur mathematisch korrekt. Es kann jedoch noch keine Aussage zur tatsächlichen 

Gültigkeit der elektronischen Signatur getroffen werden. Dafür wird in einem weiteren Schritt die 

Gültigkeit der Zertifikate, angefangen beim verwendeten Signaturzertifikat bis hin zur Wurzel der 

Zertifikatskette geprüft. 

Zur Ermittlung der Zertifikatskette werden die in den Signaturdaten enthaltenen Zertifikate 

herangezogen. Kann die Zertifikatskette aus den verfügbaren Signaturdaten nicht ermittelt werden, 

können die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 auf alternative 

Zertifikatsspeicher, wie den Microsoft Zertifikatsspeicher oder die Festplatte zurück greifen. Kann die 

Zertifikatskette nicht gebildet werden, dann treffen die S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.1 keine Aussage zur Gültigkeit der geprüften elektronischen Signatur. Es wird angezeigt, 

dass die Signatur mathematisch korrekt ist. Es wird jedoch weiterhin angezeigt, dass benötigte 

Zertifikate in der Zertifikatskette fehlen und somit keine abschließende Aussage zur Gültigkeit der 

elektronischen Signatur getroffen werden kann. 

War die Ermittlung des Zertifikatspfades erfolgreich, wird dieser einer Prüfung nach dem 

Schalenmodell unterworfen. Das Schalenmodell besagt, dass alle Zertifikate im Zertifikatspfad zum 

Signaturzeitpunkt gültig und nicht zurückgezogen sein müssen, damit die Signatur als gültig verifiziert 

werden kann. Ist diese Prüfung erfolgreich und die Zertifikatskette vollständig, wird dem Benutzer 

angezeigt, dass die Signatur gültig ist. 

Allgemeine Anforderungen bei der Prüfung elektronischer Signaturen 

Die S-TRUST Sign-it Basiskomponenten prüfen die Zertifikate einer Kette in jedem Falle gegen die zur 

Verfügung stehenden Sperrlisten. Wird ein entsprechender Sperreintrag für eines der geprüften


Zertifikate gefunden, so wird Ihnen dieser Sperrstatus auch zur Kenntnis gebracht. 

Hinweis: Achten Sie bitte darauf, dass stets aktuelle Sperrlisten bei der Signaturprüfung zur 

Verfügung stehen. 

Da die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 die lokale Systemzeit zur Codierung 

des Signaturzeitpunktes verwendet, ist die korrekte Einstellung der Systemzeit notwendig. Sie sind als 

Nutzer der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 für die Korrektheit der Systemzeit 

verantwortlich. In allen anderen Fällen kann die Prüfung, insbesondere nach dem Kettenmodell, durch 

das Produkt nicht zuverlässig vorgenommen werden. Durch die Prüfung nach dem Schalen- und dem 

Kettenmodell verwendet das Produkt zwei voneinander unabhängig arbeitende Prüfmechanismen, die 

jedoch beide auf Sperrlisten angewiesen sind, welche die oben genannten Bedingungen an den 

Herausgabezeitpunkt erfüllen. 

Ist in der Signaturdatei ein Zeitstempel vorhanden, wird auch eine Aussage zur Gültigkeit der Signatur 

an dem Zeitpunkt geliefert, den der Zeitstempel ausweist. Um die vollständige Gültigkeit des 

Zeitstempels zu prüfen, müssen Sie den Detaildialog für Zeitstempel verwenden. Nähere 

Informationen hierzu finden Sie im Kapitel Zeitstempeldienste (siehe Seite 133). 

Hinweis: Ist in dem Signaturabschnitt kein Zeitpunkt der Signaturerzeugung enthalten, wird die 

aktuelle Systemzeit als Prüfzeitpunkt verwendet und angezeigt. 

Hinweis: Bei der Signaturprüfung müssen Sie immer den Zertifikatspfad des geprüften 

Signaturzertifikats überprüfen. Das Produkt verwendet auch vertrauenswürdige Stammzertifikate aus 

dem Microsoft Zertifikatsspeicher, d.h., es kann zu der Aussage kommen, dass die geprüfte Signatur 

gültig ist, obwohl Sie dem Wurzelzertifikat nicht vertrauen. Die Gültigkeit der elektronischen Signatur 

ist im technischen Sinne zwar korrekt, aber evtl. wollen Sie als Benutzer dem Stammzertifikat nicht 

vertrauen. Daher ist die Prüfung des Zertifikatspfades unerlässlich. Diese Prüfung können Sie 

vornehmen, in dem Sie sich das Signaturzertifikat über Details anzeigen lassen und im 

Zertifikatsdialog das Register Zertifizierungspfad auswählen. 

Wenn ein Wurzelzertifikat bei der Signaturprüfung gefunden wurde, geben die S-TRUST Sign-it 

Basiskomponenten den Ablageort an. 

Die Zertifikate der Bundesnetzagentur sind den S-TRUST Sign-it Basiskomponenten durch signierte 

Vertrauenslisten bekannt. In diesem Fall benennt das Produkt das verwendete Wurzelzertifikat als 

'Vertrauenswürdiges Zertifikat'. 

Wurde das Zertifikat aus dem Microsoft Stammspeicher für vertrauenswürdige 

Stammzertifizierungsstellen bezogen, zeigt das Produkt im Zertifizierungspfad ,Zertifikat aus dem 

Microsoft Stammspeicher für vertrauenswürdige Zertifikate' an. 

Wurde das Zertifikat aus dem CTL Verzeichnis des Produktes bezogen, zeigt das Produkt ,Zertifikat 

aus dem CTL Verzeichnis' an. 

Diese Information wird nur angezeigt, wenn ein Wurzelzertifikat im Zertifizierungspfad gefunden 

wurde. 

Hinweis: Wenn Sie ein PDF-Dokument prüfen, welches mehrere eingebettete Signaturen enthält, 

müssen Sie im Prüfdialog den Befehl 'Daten anzeigen' verwenden, um diejenige Dokumentversion zu 

sehen, auf die sich die jeweilige Unterschrift bezieht.


Das PDF Format erlaubt nach einer Signatur, das Dokument weiter zu ändern. Die elektronische 

Unterschrift bezieht sich jedoch immer auf die konkrete Version des Dokuments, die Sie nur aus dem 

Prüfdialog heraus eindeutig anzeigen lassen können. Das bedeutet auch, dass die Signatur nicht für 

das geänderte Dokument gilt, sondern exakt für die Dokumentversion, die Ihnen im Prüfdialog über 

den S-TRUST Sign-it Viewer angezeigt wird. 

Prüfung qualifizierter elektronischer Signaturen 

Grundsätzlich wird bei jeder vorliegenden Signatur geprüft, ob dies eine qualifizierte elektronische 

Signatur ist. Die S-TRUST Sign-it Basiskomponenten ermitteln dies an mehreren Kriterien: Das 

verwendete Signaturzertifikat das Attribut QC-Statement mit dem Wert EU-QC-konform oder SigGkonform 

aufweisen. Des weiteren muss das verwendete Signaturzertifikat von einem angezeigten 

oder akkreditierten Zertifizierungsdiensteanbieter herausgegeben worden sein. Die S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 verfügen über eigene Verwaltungsmechanismen für diese 

Einstufung. Die Zertifikate der ZDA's und der Bundesnetzagentur müssen in einer signierten 

Vertrauensliste vorliegen, die ausschließlich durch OPENLiMiT gepflegt wird. 

Treffen die genannten Kriterien zu, so erfolgt die Prüfung der Zertifikatskette nach dem Kettenmodell. 

Dieses Gültigkeitsmodell für Zertifikatsketten erlaubt, dass elektronische Signaturen mit Zertifikaten 

erzeugt werden können, deren Herausgeberzertifikate zum Zeitpunkt der Signaturerstellung bereits 

abgelaufen sind. Dies erlaubt eine kürzere Laufzeit einzelner Zertifikate in der Zertifikatskette und 

erhöht somit die Sicherheit der in Deutschland verwendeten Zertifikatsinfrastruktur. In allen anderen 

Fällen erfolgt die Prüfung nach dem so genannten Schalenmodell. 

Die S-TRUST Sign-it Basiskomponenten zeigen in eindeutiger Art und Weise an, ob das 

Herausgeberzertifikat als angezeigter oder akkreditierter Zertifizierungsdiensteanbieter in der aktuell 

verwendeten Vertrauensliste enthalten ist. Ist dies der Fall, wurde die Signatur nach dem Kettenmodell 

geprüft. Alle anderen Signaturen, die mit den S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 

geprüft werden, werden unter Verwendung des Schalenmodells geprüft. Detaillierte Informationen zu 

den verschiedenen Prüfmodellen finden Sie auf der Webseite der Bundesnetzagentur 

(http://www.bundesnetzagentur.de). 

Für beide Gültigkeitsmodelle gilt, dass das verwendete Signaturzertifikat zum 

Signaturerzeugungszeitpunkt gültig sein muss. Das Herausgeberzertifikat kann beim Kettenmodell 

bereits abgelaufen sein, beim Schalenmodell ist dies nicht zulässig. In keinem von beiden 

Gültigkeitsmodellen darf eines der Zertifikate in der Kette zurückgezogen sein, z.B. wegen Bruch des 

Signaturschlüssels. 

Besonderheiten im Zusammenhang mit dem Katalog zulässiger Algorithmen 

Die Bundesnetzagentur veröffentlicht jedes Jahr einen so genannten Algorithmenkatalog, der die 

Verwendung der zulässigen Algorithmen für die qualifizierte elektronische Signatur regelt. Dieser 

Algorithmenkatalog wird durch die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 

abgebildet. Dies bedeutet, dass die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 

überprüfen, ob der verwendete Algorithmus und der verwendete Signaturschlüssel den Anforderungen 

an diesen Katalog genügen. Ist dies nicht der Fall, wird die geprüfte Signatur auch nicht als gültig 

geprüft und es wird ein Hinweistext angezeigt, dass Algorithmen verwendet werden, die keine


Aussage über die tatsächliche Gültigkeit der Signatur zulassen. 

Wird Ihnen eine entsprechende Meldung durch die S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 angezeigt, sollten Sie die Webseiten der Bundesnetzagentur sowie den Bundesanzeiger 

heranziehen, um die Korrektheit der eingesetzten Algorithmen unabhängig zu prüfen. Da im Jahr 2008 

der Hashalgorithmus SHA-1 für die qualifizierte elektronische Signatur nicht mehr zulässig sein wird 

und eine definitive Festlegung eines Übergangszeitraums noch nicht getroffen wurde, müssen Sie bei 

der Prüfung elektronischer Signaturen im Zweifelsfall die aktuell von der Bundesnetzagentur 

veröffentlichten Dokumente zu Rate ziehen. 

Signaturprüfung vornehmen 

Nachdem Sie auf eine signierte Datei geklickt haben, erscheint der Dialog Details zur Signaturprüfung: 

Hinweis: Falls zu der Installation der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 der 

Button "Speichern" angezeigt wird, haben Sie hier die Möglichkeit, ein Prüfprotokoll zur 

Signaturverifikation abzulegen. 

In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oder 

zumindest mathematisch korrekt ist. 

Ist eine Signatur ungültig, dann wurden die Daten verändert oder die Zertifizierungskette konnte nicht 

aufgelöst werden. Dieser Signatur können Sie nicht vertrauen. 

Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde. 

Außerdem wurde auch die Signatur an sich nicht manipuliert. In der Regel müssen Sie aber noch den 

Onlinestatus des verwendeten Signaturzertifikates prüfen, um wirklich sicher zu sein, dass das 

verwendete Signaturzertifikat in Ordnung ist. 

Dies wird unter den Details, also unter dem Tab mit dem Namen des Signaturinhabers genauer


untersucht. 

Die Bedeutung der einzelnen Punkte 

� Hashwertüberprüfung: Integrität der Daten 

positiv: Die Daten wurden seit der Signatur nicht verändert. 

Wird als Zusatzinformation ein Hinweis angezeigt, dass die Signtur als ungeeignet eingestuft wird, 

dann bedeutet das, dass für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1) 

verwendet wurde, der für die Erzeugung qualifizierter Signaturen nicht zulässig ist. 

negativ: Die Hashwerte stimmen nicht überein, die Daten wurden möglicherweise verändert. 

� Prüfung von Signatur und Zertifizierungspfad: Beschädigung der Signatur und Vollständigkeit des 

Zertifizierungspfades 

Wird als Zusatzinformation ein Hinweis angezeigt, dass die verwendeten Signaturparameter als 

ungeeignet eingestuft werden, dann bedeutet das, dass entweder für die Berechnung des Hashwertes 

ein Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung qualifizierter Signaturen 

nicht zulässig ist oder die verwendeten Schlüssel nicht die erfolderlich Länge größer als 1024 Bit 

besaßen. 

� Zeitpunkt der Signaturerzeugung: Hier wird die Zeit angegeben, die auf dem Rechner zur 

Signaturerzeugung eingestellt war. 

� Vertrauensbasis: Zeigt die Quelle für das Wurzel- bzw. Rootzertifikat an, auf der die Prüfung des 

Zertifikats beruht. Weiterhin wird der für die Signaturprüfung verwendete Algorithmenkatalog 

angezeigt. 

� Zertifikatsstatus: Sperrung der Signatur. Anhand von Sperrlisten wird geprüft, ob das Zertifikat


gesperrt wurde. Wenn hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von 

aktuellen Sperrlisten oder eine Online-Prüfung über den Button Onlinestatus... 

Über den Button Button Details, Auswahl des Zertifikats und wiederum Anklicken des Buttons Details 

können Sie sich die Zertifikatseigenschaften anzeigen lassen. 

Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt werden. 

Nach einem Klick auf Onlinestatus... wird die OCSP-Abfrage geöffnet. Für die Prüfung muss eine 

Verbindung mit dem Internet bestehen. 

Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt 

oder unbekannt. 

Wenn Sie auf den Button Details klicken, können Sie sich die Details zur OCSP-Abfrage anzeigen 

lassen.


Wenn Sie unter dem Register Zusammenfassung auf den Button Signatur-Zertifikat anzeigen klicken, 

können Sie die Details des Zertifikatspfades nachvollziehen. 

Um die Quelle der OCSP Antwort zu prüfen, sollten Sie immer das Zertifikat, welches die OCSP 

Antwort unterzeichnet hat, anzeigen lassen. Sie müssen selbst entscheiden, ob Sie dem Zertifikat 

vertrauen. 

Unter dem Register OCSP Details werden Ihnen weitere Detailinformationen zu der OCSP Antwort 

angezeigt.


Hinweis: Auch wenn Sie in regelmäßigen Abständen die aktuellen Sperrlisten der 

Zertifikatsherausgeber beziehen, sollten Sie auf jeden Fall immer eine OCSP Abfrage durchführen. 

Lassen Sie sich das Zertifikat der OCSP Antwort anzeigen und entscheiden Sie selbst, ob Sie diesem 

vertrauen.


Arbeiten mit dem S-TRUST Sign-it Integrity Tool 

Das S-TRUST Sign-it Integrity Tool ist ein Programm zur Überprüfung der Hash-Werte an den 

ausgelieferten sicherheitsrelevanten Modulen und stellt somit sicher, dass sich die Module noch in 

dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden. 

Das S-TRUST Sign-it Integrity Tool sollte grundsätzlich über die Internetseite 

www.openlimit.com/integritytool/index.htm oder https://www.s-trust.de/sign-it/sicherheit oder die 

Original CD gestartet werden. 

In dem Fall, dass Sie das Produkt über einen Download erhalten und installiert haben, sollten Sie, 

bevor Sie das Produkt zum ersten Mal einsetzen, das S-TRUST Sign-it Integrity Tool ausführen, um 

die Korrektheit der Installation zu verifizieren. 

Stellt das S-TRUST Sign-it Integrity Tool fest, dass die Module sich nicht mehr in ihrem 

Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher sollten 

Sie jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen 

wurde oder ein anderes Programm Ihren Rechner manipuliert hat. 

� Starten Sie die HTML-Seite index.htm von der Original CD oder über die Internetseite 

https://www.s-trust.de/sign-it/sicherheit. Die Java Virtual Machine (JVM) überprüft daraufhin die 

Signatur des Applets und öffnet einen Dialog mit Sicherheitshinweisen.


Den Fingerabdruck des Signaturzertifikates für das S-TRUST Sign-it Integrity Tool finden Sie in dieser 

Benutzerdokumentation unter S-TRUST Sign-it Integrity Tool. 

Zur Sicherheit sollten Sie immer die Signatur des Applets über den Befehl "Mehr Details" prüfen und 

erst dann den Start des Applets selbst freigeben. 

Nach Anklicken des Button Zertifikatsdetails werden die Informationen zu dem Zertifikat einschließlich 

der Seriennummer angezeigt.


� In dem folgenden Fenster finden Sie im Feld 'Installationsverzeichnis' den Pfad für die S-TRUST 

Sign-it Programminstallation. Falls dieser nicht automatisch gefunden wurde bzw. nicht korrekt 

angezeigt wird, stellen Sie bitte den Pfad über den Button 'Suchen' oder 'manuell eingeben' 

entsprechend ein.


� Gleichzeitig haben Sie die Möglichkeit, über den Button Sprachauswahl die Sprache einzustellen. 

Das S-TRUST Sign-it Integrity Tool wird in deutsch und englisch bereitgestellt. 

� Standardmäßig ermittelt das Java-Applet beim Start das Installationsverzeichnis. Wird kein 

Installationspfad angezeigt, dann müssen Sie den Installationspfad manuell auswählen.


Hinweis: Geben Sie die Installationspfade der S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 nicht im Netzwerk für andere Benutzer frei. 

Nach Anklicken des Button Prüfung starten wird das S-TRUST Sign-it Integrity Tool gestartet. 

Sind die Dateien und deren Hash-Werte in Ordnung, wird Ihnen das folgende Ergebnisfenster 

angezeigt: 

Ist der Dateistatus für alle Dateien OK, so ist die Integrität der Software erfolgreich nachgewiesen. 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 können optional Module enthalten wie 

die siq0*.dll, siq1*.dll und siq2*.dll. Diese Module beinhalten die Ansteuerung konkreter


Kartenterminals. Ist ein Modul vorhanden, dann wird auch jeweils eine Liste der dadurch unterstützten 

Kartenterminals angezeigt: 

siq0rsct.dll 







siq0scmm.dll 

� SCM Microsystems SPRx32/Chipdrive PinPad 

siq0ok.dll 



siq0kby.dll (PC/SC) oder siq0kbyct.dll (CT-API) 

� Kobil Systems B1 Pro 


� Kobil KAAN TriB@nk 

siq0chy.dll 


siq0fsc.dll 


Chipkartenbetriebssysteme und Chipkarten 

� sq1seccos.dll unterstützt das SECCOS Chipkartenbetriebssystem 

Chipkarten-OS Chipkartenprofil Chipkartenname im Produkt 

siq1seccos.dll siq2ds2.dll Alle Karten des Sparkassenverlags 

Die Datei OpenLimitSigningCeremony.ifx steuert die Zusammenarbeit zwischen den S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 und dem IBM Lotus Forms Viewer. Der erfolgreiche 

Integritätscheck dieses Moduls wird durch die Meldung „Das Plugin für IBM Lotus Forms Viewer ist 

installiert“ bestätigt. 

Das Fehlen eines oder mehrerer dieser Module wird durch den Status Nicht installiert ausgewiesen. 

Die Integrität der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 ist trotzdem sichergestellt.


Ab Version 2.5.1.1 bietet das S-TRUST Sign-it Integrity Tool dem Anwender die Möglichkeit, 

Konfigurationen für Chipkarten zusätzlich einzuspielen. Diese Konfiguration sind 

Initialisierungsdateien, die festlegen, welcher Hash- und Signaturalgorithmus für die jeweilige 

Signaturkarte verwendet wird. 

Das S-TRUST Sign-it Integrity Tool kennt alle möglichen Konfigurationen für die Signaturalgorithmen 

und prüft bei der Integritätsprüfung auch die verwendeten Algorithmen. Wird eine Kartenkonfiguration 

gefunden, die nicht den Vorgaben der Bundesnetzagentur entspricht, wird eine Warnung an den 

Benutzer generiert und angezeigt. Wird eine Konfigurationsdatei gefunden, die unbekannt ist, wird 

dieser Zustand dem Benutzer angezeigt. 

Beispiel 1: 

Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool 

bildet den Hashwert über die Initialisierungsdatei und stellt dabei fest, dass diese Datei festlegt, dass 

die SECCOS Karten mit SHA-1 als Hashwert signieren sollen. In diesem Falle wird durch das Integrity 

Tool der folgende Text generiert: „Das Modul ist so konfiguriert, dass SHA-1 als Hashalgorithmus bei 

der Signatur zugelassen ist. Bitte prüfen Sie auf der Webseite der Bundesnetzagentur 

(http://www.bundesnetzagentur.de), ob mit dieser Konfiguration die Anforderungen an die qualifizierte 

Signatur erfüllt werden.“ 

Beispiel 2: 

Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool 

bildet den Hashwert über die Initialisierungsdatei und stellt dabei fest, dass diese Datei festlegt, dass 

die SECCOS Karten mit SHA-256 als Hashwert signieren sollen. In diesem Fall wird durch das 

Integrity Tool der folgende Text generiert: „Das Modul ist so konfiguriert, dass SHA-256 als 

Hashalgorithmus bei der Signatur verwendet wird.“ 

Hinweis: Die Sprachressourcen der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 sind in 

der deuSEMk.dll bzw. der engSEMk.dll gespeichert. Mindestens eine der beiden Dateien muss 

vorhanden sein, ansonsten wird die Integrität der S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 nicht bestätigt. Für die jeweilige Sprachressource müssen auch die dazugehörige Hilfe und der 

Viewer vorhanden sein, ansonsten wird die Integrität ebenfalls nicht bestätigt. 

Nach Bestätigung des Informationsfensters mit OK erhalten Sie die Liste der Dateien, die geprüft 

wurden und den Dateistatus angezeigt. 

Folgende Dateizustände werden unterschieden: 

� OK: Die Prüfung des Hashwertes ist positiv, d.h. die Datei entspricht der Originalinstallation. 

� Unbekannt: Das ist der Ausgangsstatus für alle Dateien vor der Prüfung. Dieser Status wird auch 

angezeigt, wenn keine Prüfung möglich ist. 

� Datei verändert: Die Datei wurde nach der Installation verändert. 

� Datei nicht gefunden: Die Datei wurde nicht gefunden. 

� Datei nicht lesbar: Die Datei ist nicht lesbar und der Hashwert konnte nicht berechnet werden.


� Nicht installiert: Dieser Status trifft nur für die optionalen Module zu, falls diese nicht installiert 

sind. 

Nach Anklicken des Button Speichern haben Sie die Möglichkeit, das Ergebnis der Prüfung zu 

speichern. 

� Schließen Sie das Browserfenster, um den Prüfprozess zu beenden. 

Wurden Dateien bzw. Signaturen manipuliert, sind nicht vorhanden bzw. konnten nicht gelesen 

werden, teilt Ihnen das Programm dies mit einer entsprechenden Meldung mit. Die Integrität ist damit 

nicht bestätigt.


Hinweis: Im Falle von Abweichungen vom Originalzustand der Installation müssen Sie den Rechner 

auf sicherheitstechnische Veränderungen und Eingriffe prüfen. 

Es wird empfohlen, dass Sie in diesem Falle die Software mit Hilfe des Installationsprogrammes 

deinstallieren und erneut installieren. Falls die Verifikation des Zertifikates durch die JVM fehlschlägt 

oder andere Dialoge als die abgebildeten angezeigt werden, insbesondere wenn eine andere 

Seriennummer für das Signaturzertifikat angezeigt wird, wird nicht das korrekte Prüfprogramm 

ausgeführt. In diesem Falle dürfen Sie sich nicht auf die Statusaussagen des Tools verlassen und 

müssen Ihre Installation der JVM sowie die URL, von der Sie das S-TRUST Sign-it Integrity Tool 

bezogen haben, mit den Angaben im Handbuch vergleichen.


Sperrlistenaktualisierung 

Die Sperrlistenaktualisierung ist ein Zusatzmodul zu den bestätigten Basiskomponenten und kann aus 

dem Menü des Security Environment Managers gestartet werden. Im weiteren Verlauf wird dieses 

Zusatzprogramm als S-TRUST Sign-it Sperrlistenaktualisierungsassistent bezeichnet. 

Der folgende Abschnitt beschreibt die Benutzung des S-TRUST Sign-it 

Sperrlistenaktualisierungsassistenten im Detail. Etwaige Fehlermeldungen des S-TRUST Sign-it 

Sperrlistenaktualisierungsassistenten sind im Kapitel Fehlermeldungen S-TRUST Sign-it Security 

Environment Manager enthalten. 

Um eine sichere Signaturprüfung zu gewährleisten, sollten Sie vor der Signaturprüfung die aktuellsten 

Sicherheitsdateien herunterladen. Diese Sicherheitsdateien bestehen hauptsächlich aus Sperrlisten, 

aber auch die Public Key Directories der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, 

Post und Eisenbahnen (Bundesnetzagentur) sollten in regelmäßigen Abständen aktualisiert werden. 

Sie haben als Benutzer die Möglichkeit, auszuwählen, welche Sperrlisten heruntergeladen werden 

sollen. Sie können am Wurzelzertifikat der geprüften Signatur erkennen, welche Sperrliste Sie 

verwenden müssen, um die Signatur korrekt zu prüfen. Als Arbeitsschritt empfiehlt es sich aber immer, 

vor der eigentlichen Signaturprüfung stets alle Sperrlisten herunterzuladen, da Sie im Regelfall nicht 

wissen, von welchem Zertifikat die zu prüfende Signatur erzeugt wurde und wie das zugehörige 

Herausgeberzertifikat lautet. 

So laden Sie eine aktuelle Sperrliste herunter: 

� Klicken Sie auf das S-TRUST Sign-it Icon in der Taskleiste. 

� Wählen Sie den Menüpunkt Sperrlistenaktualisierung. 

� Daraufhin öffnet sich der S-TRUST Sign-it Sperrlistenaktualisierungsassistent mit einer Startseite, 

die Sie mit Weiter bestätigen können.


� Wählen Sie aus der Liste mit einem Klick in die Checkboxen die gewünschten Sicherheitsdateien 

aus. 

� Durch Aktivieren der Checkbox Aktuelle Vertrauenslisten laden werden weitere aktuelle 

Vertrauenslisten geladen. Dies bedeutet, dass mit Aktivierung dieser Option auch neue CA's in die 

Vertrauenslisten aufgenommen werden können. Vertrauenslisten für akkreditierte 

Zertifizierungsdiensteanbieter werden nicht aktualisiert. Der Download der neuen Vertrauenslisten 

erfolgt von den Servern der OPENLiMiT oder des DSV.


� Klicken Sie jetzt auf Weiter 

� Wenn Sie jetzt auf Starten klicken, werden die aufgelisteten Dateien aktualisiert. Mit einem Klick 

auf Zurück können Sie die Auswahl noch einmal ändern.


Der Dateistatus gibt an, wie weit der Download der jeweiligen Datei fortgeschritten ist. Am Ende wird 

eine Liste mit Ergebnissen erstellt. 

� Klicken Sie auf Fertig stellen. 

Hinweis: Um diese Dateien zu aktualisieren, benötigen Sie eine Internetverbindung. Konnte die 

Verbindung nicht hergestellt werden, wird als Statusmeldung 'Fehler beim Download' angezeigt. 

Aktuelle Sperrlisten sind notwendig um eine erfolgreiche Signaturprüfung vornehmen zu können. 

Wenn sie die Sperrlisten nicht aktualisieren, können Sie auch keine Signaturen bzw. das verwendete 

Signaturzertifikat und die Zertifikatskette als gültig verifizieren.


Arbeiten mit dem S-TRUST Sign-it Viewer 

Der S-TRUST Sign-it Viewer kann aus dem Signaturanforderungsdialog und bei der Signaturprüfung 

(PKCS#7 Dateien) jeweils über den Button Daten anzeigen gestartet werden, vorausgesetzt es 

handelt sich um Daten im PDF, TIFF oder TXT Format und die Anzeige dieser Dateiformate wurde 

durch einen entsprechenden Lizenzcode freigeschaltet. In diesem Fall werden Ihnen die Daten, die 

Sie signieren bzw. deren Signatur Sie prüfen wollen, angezeigt. Die Schaltflächen zur 

Signaturerzeugung und Signaturverifikation sind nicht aktiv. 

Darüber hinaus kann der S-TRUST Sign-it Viewer als separates Programm über Start - Programme - 

S-TRUST Sign-it - S-TRUST Sign-it Viewer gestartet werden. Beim Start über den Programmordner 

wird das Programm ohne Datei geöffnet. 

Nachdem eine Datei geöffnet wurde, sehen Sie im linken Bereich der Anzeige unter dem S-TRUST 

Sign-it Logo eine Dateivorschau, welche Ihnen die einzelnen Seiten des Dokuments mit der 

Seitennummer anzeigt. Mit einem Klick auf die jeweilige Vorschauseite springt die Seitenansicht im 

rechten Bereich der Anwendung auf die angewählte Seite. Im dargestellten Beispiel umfasst die TIFF 

Datei nur eine Seite.


Nach Anklicken des Registers Unterschriften erhalten Sie Detailinformationen zu der bzw. den 

Signaturen der Datei. Ist die Datei nicht signiert, wird der Hinweis „Das Dokument ist nicht digital 

signiert“ angezeigt.


Die Erläuterung zu den Detailinformationen finden Sie in dem Abschnitt 

Signaturverifikation. 

Der S-TRUST Sign-it Viewer stellt Ihnen die folgenden Toolbars zur Verfügung. 

Die Toolbar Standard: 

Die folgenden Funktionen können über diese Toolbar angesprochen werden: 

� Datei öffnen: Hier können Sie eine TIFF oder Textdatei in die Ansicht laden. 

� Datei speichern unter: Hier können Sie die Datei unter einem beliebigen Namen speichern. 

� Seitenansicht: Es wird eine Druckvorschau generiert. 

� Drucken: Hier können Sie die Datei ausdrucken. 

� Dateiinhalt: Es werden in Abhängigkeit von dem geöffneten Dateiformat weitere Dateiinhalte 

angezeigt. 

� Info: Es werden die Versionsinformation und die Copyright Informationen angezeigt. 

� Hilfe: Es wird die Benutzerdokumentation (dieses Handbuch) geöffnet


Die Toolbar Ansicht: 

Diese Toolbar ist nur bei TIFF Dateien aktiv. Textdateien werden immer im Verhältnis 1:1 dargestellt. 

� Breite anpassen: Das dargestellte Bild wird an die Breite des Fensters angepasst. 

� Alles darstellen: Das dargestellte Bild wird so in das Fenster eingepasst, dass die gesamte Seite 

in dem Fenster dargestellt wird. 

� Pixelgenau darstellen: Das Bild wird 1:1 pixelgenau dargestellt. 

� Benutzerdefiniert darstellen: Es erscheint ein Dialog, der Ihnen die Auswahl eines 

Zoomverhältnisses zwischen 10% und 300% ermöglicht. 

� Schwarz/Weiß Darstellung: Sie haben hier die Möglichkeit, ein TIFF-Dokument, welches als Farb- 

oder Graustufendarstellung vorliegt, in eine Schwarz/Weiß Darstellung zu transformieren. 

� Graustufendarstellung: Das aktuelle TIFF-Dokument wird in Graustufen dargestellt. 

� Originaldarstellung: Wenn Sie von der Option zur Schwarz/Weiß Darstellung oder der 

Graustufendarstellung Gebrauch gemacht haben, kommen Sie hier wieder zur Originalansicht. 

Die Toolbar Signatur: 

Diese Toolbar ist nur dann aktiv, wenn das Programm nicht aus dem Signaturanforderungsdialog 

gestartet wurde. 

� Signatur erzeugen: Hier können Sie über den S-TRUST Sign-it Security Environment Manager die 

angezeigte Datei elektronisch signieren. 

� Signatur prüfen: Hier können Sie über den S-TRUST Sign-it Security Environment Manager eine 

Prüfung der elektronischen Signatur vornehmen.


In Abhängigkeit von den zur Verfügung stehenden Funktionalitäten können Buttons für weitere 

Anwendungen angezeigt werden wie z.B. dem Mailversand. 

Hinweise für den Umgang mit Meldungen während der Dokumentanalyse 

Wenn ein Dokument durch den S-TRUST Sign-it Viewer geöffnet werden soll, untersucht der S- 

TRUST Sign-it Viewer dieses Dokument nach versteckten Inhalten. Der folgende Abschnitt zeigt 

Ihnen, wie Sie mit einer solchen Meldung umgehen können. 

Wenn Sie eine TIFF - Datei in den S-TRUST Sign-it Viewer laden, kann die folgende Meldung 

erscheinen. 

Diese Meldung bedeutet, dass die TIFF Datei zwar inhaltlich korrekt ist, aber Datenfelder enthält, die 

in der Darstellung nicht angezeigt werden. Der S-TRUST Sign-it Viewer gibt Ihnen die Möglichkeit, 

diese Datenbereiche ebenfalls zu untersuchen. Um diese Bereiche zu untersuchen, klicken Sie auf: 

� das Symbol für weitere Dateiinhalte in der Toolbar 

� oder den Menüpunkt Ansicht - weitere Dateiinhalte...


Ihnen wird dann ein Dialog angezeigt, der Ihnen sämtliche Informationen zu den angezeigten 

Dateiinhalten liefert. 

Sie können sich z.B. in einer TIFF-Datei alle Tags, nur Text Tags oder auch nur die unbekannten Tags 

anzeigen lassen. In dem unteren Fenster wird dieser Bereich dann Hexadezimal kodiert dargestellt 

bzw. Sie können die Darstellung auch auf Dezimalzahlen umschalten. Wenn Sie den Scrollbalken des 

Fensters nach unten bewegen, sehen Sie einen Bereich, in dem versucht wird, die enthaltenen 

Informationen als Text darzustellen. Dies gibt Ihnen die Möglichkeit, verborgene Inhalte zu erkennen 

und z.B. zu entscheiden, ob Sie die Datei trotz dieser Inhalte signieren möchten. Häufig enthalten 

TIFF-Dateien noch Zusatzinformationen, wie einen Autor. Diese Informationen werden in der 

Bildverarbeitung oft nicht mit dargestellt. Mit der Analyse durch den S-TRUST Sign-it Viewer haben 

Sie trotz allem noch die Möglichkeit, auch diese verborgenen Inhalte zu betrachten.


Hinweis: Die Untersuchung der verwendeten TIFF-Dateien richtet sich an der Adobe TIFF- 

Spezifikation 6.0 aus. Wenn TIFF-Dateien verwendet werden, die nicht dieser Spezifikation 

entsprechen, kann das gelieferte Produkt diese Dateien nicht analysieren und korrekt als TIFF Datei 

erkennen. 

Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der 

S-TRUST Sign-it Basiskomponenten 2.5 beschrieben. 

Untersuchung von TIFF-Dokumenten in der Schwarz-Weiß Darstellung 

Das folgende Beispiel erklärt Ihnen, wie Sie versteckte Inhalte in TIFF-Dokumenten erkennen können, 

die auf Grund unzureichender Kontrastierung in der Ansicht nicht erscheinen. Sie laden eine Grafik mit 

dem S-TRUST Sign-it Viewer, die im ersten Schritt wie folgt dargestellt wird. 

Im nächsten Schritt sollten Sie grundsätzlich eine Untersuchung der dargestellten Grafik vornehmen, 

da auf Grund zu geringer Farbkontraste enthaltene Informationen bei der Darstellung am Monitor 

verloren gehen können. Sie klicken auf den Knopf zur Schwarz/Weiß Darstellung und sehen den 

folgenden Dialog. 

Sie können nahtlos die Einstellung festlegen, ab welchem Punkt die Farbwerte der Farbe Schwarz 

zugeordnet werden. Sie bewegen den Schieberegler bis auf eine volle Schwarz-Weiß Darstellung und


können somit den Inhalt der Datei nun genauer untersuchen. Damit haben Sie grundsätzlich die 

Möglichkeit, jede farbige Grafik auf verdeckte Inhalte hin zu untersuchen. Nachdem Sie die 

Einstellungen vorgenommen haben, klicken Sie auf OK. In der folgenden Darstellung erkennen Sie 

nun den Inhalt, der auf Grund der unzureichenden Farbkontraste des Monitors sonst nicht sichtbar 

gewesen wäre. 

Sie haben mit Hilfe des S-TRUST Sign-it Viewers den versteckten Inhalt entdeckt und sollten von der 

Erzeugung einer elektronischen Signatur absehen. 

Grundsätzlicher Hinweis: Der S-TRUST Sign-it Viewer kann Sie nicht von der Interpretation der 

angezeigten Daten befreien. Das TIFF Format ist kein Dateiformat, welches eine Interpretation des 

dargestellten Inhaltes durch ein Programm wie den S-TRUST Sign-it Viewer zulässt. Die 

Untersuchung der Daten auf versteckte Inhalte wird Ihnen durch diesen Produktbestandteil ermöglicht, 

allerdings müssen Sie selbst solche Untersuchungen mit Hilfe der vorhandenen Mechanismen 

vornehmen. Das TIFF-Format sieht die Verwendung bestimmter Kompressionsformate innerhalb einer 

TIFF-Datei vor. Die sichere Anzeigeeinheit erkennt nicht alle Kompressionsformate und kann daher 

auch nicht alle Kompressionsformate anzeigen. In diesem Falle wird die Textmeldung angezeigt: 'Das 

Format der Datei ist nicht geeignet'. 

Um Inhalte, wie Sie in dem obigen Szenario erläutert wurden, sicher zu erkennen, müssen Sie 

bei farbigen TIFF-Dokumenten immer eine Analyse in der Schwarz/Weiß Darstellung 

vornehmen. Sie könnten sonst ein Dokument signieren, welches Sie in seinem Inhalt nicht 

bereit wären, zu signieren. 

Hinweis bei der Analyse von Text-Dateien: Bei der Analyse von Textdokumenten kann der S-


TRUST Sign-it Viewer melden, dass Zeichen erkannt wurden, für die keine eindeutige Darstellung 

definiert ist. Das bedeutet, dass Zeichen erkannt wurden, die sowohl im OEM Schriftsatz als auch im 

ANSI Schriftsatz eine unterschiedliche Bedeutung haben. 

Wenn Sie sich nicht sicher sind, ob dadurch der Inhalt eines Textdokuments verfälscht wird, können 

Sie sich ebenfalls unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar Klarheit 

verschaffen. Die folgende Grafik zeigt, wie die Analyse solcher mehrfach belegten Zeichen im Detail 

dargestellt wird.


Ihnen wird angezeigt, welche Zeichen wie oft erkannt wurden. Wenn Sie auf ein Zeichen in der Liste 

klicken, wird Ihnen zu jedem Vorkommen des Zeichens angezeigt, in welcher Zeile und Spalte des 

Dokuments dieses Zeichen gefunden wurde. So können Sie sich Klarheit verschaffen, ob das 

Dokument immer noch den Inhalt hat, den Sie auch bereit sind, zu signieren. 

Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der 

S-TRUST Sign-it Basiskomponenten 2.5 beschrieben. 

Bei dem Öffnen einer PDF Datei mit dem S-TRUST Sign-it Viewer kann der folgende Hinweis 

auftreten: 

Damit werden Sie darauf hingewiesen, dass in der PDF Datei Java Scripte enthalten sind. Diese 

werden in dem S-TRUST Sign-it Viewer nicht ausgeführt. In dem darauf folgenden Fenster erhalten 

Sie den Hinweis auf "Weitere Dateiinhalte", die Sie sich über Ansicht Weitere Dateiinhalte ansehen 

können.


Unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar haben Sie die Möglichkeit, 

sich weitere Dateiinhalte zu dem geöffneten PDF Dokument anzeigen zu lassen: 

Allgemein: Es werden Ihnen in zusammengefasster Form die wichtigsten Dateiinhalte aufgelistet. 

Bilder: Zeigt an, welche Bilder auf welcher Seite zu finden sind. 

Java Script: Gibt Ihnen eine Auflistung der in dem PDF enthaltenen Java Scripte und dazu weitere


Detailinformationen. 

Kommentare: Es werden die Kommentare des PDF mit ihrer Position aufgelistet. 

Alle Texte: Unter diesem Register werden alle in dem PDF enthaltenen Texte getrennt nach den 

einzelnen Seiten dargestellt. 

Viewer Meldungen: In diesem Register werden Ihnen weitere Prüfdetails als Hinweis angezeigt. 

Schriften: Es werden die in dem PDF verwendeten Schriftarten aufgezeigt. 

Annotationen: Es werden Zusatzinformationen zu in dem PDF enthaltenen Formularfeldern angezeigt. 

Wählen Sie das Register Allgemein erhalten Sie solche Informationen zu dem PDF wie Dateiname, 

enthaltene Java Scripte sowie Bilder und die Kopfdaten des PDF angezeigt. 

Wählen Sie in dem Register Bilder ein Bild aus und klicken die Schaltfläche Zeigen an, erhalten Sie 

eine Liste aller in dem PDF enthaltenen Bilder, die Sie sich fortlaufend anzeigen lassen können.


Die in der PDF Datei enthaltenen Java Scripte werden Ihnen unter dem Register Java Script 

angezeigt:


Über das Register Alle Texte werden die in der PDF Datei enthaltenen Texte getrennt nach den 

einzelnen Seiten zusammengefasst. 

Nach Klicken auf die Schaltfläche Zeigen erhalten Sie die Textinformation in dem 

Textextraktionsdialog übersichtlich angezeigt:


Unter dem Register Viewer Meldungen werden Ihnen weitere Detailinformationen angezeigt, die sich 

aus der Prüfung der Daten.bei der Erstellung der Ansicht im Viewer ergeben haben. 

Hinweis: Achten Sie darauf, welche Fonts vom Viewer zur Darstellung der Texte verwendet werden. 

Es ist möglich, dass bei der Erzeugung des PDF Dokuments Fonts verwendet wurden, die auf Ihrem 

Betriebssystem nicht installiert sind. In diesem Falle muss der Viewer diese Fonts durch andere, 

ähnliche Fonts ersetzen. Verwenden Sie zur Prüfung von Texten immer den Text-Extraktionsdialog 

(Registerkarte: Alle Texte, Button: Anzeigen) um sich über den dargestellten Text zu vergewissern.


Unter dem Register Schriften werden Ihnen die in der PDF Datei verwendeten Schriftarten angezeigt 

mit der Information, ob diese Schriftart in der Datei eingebettet ist oder vom Betriebssystem zugeladen 

wird. 

Unter dem Register 'Annotationen' werden Ihnen weitere Zusatzinformationen angezeigt, die in der 

PDF Datei Formularfeldern hinzugefügt sind.


Hinweis: Verschiedene Grafik-Programme bieten die Möglichkeit, Vektor Grafiken zu erstellen und 

diese in ein PDF Dokument einzubetten. Der Viewer bietet nicht die Möglichkeit, solche Vektor 

Grafiken (oder auch sogenannte Splines) zu extrahieren und separat darzustellen oder zu 

untersuchen. Wenn Sie ein PDF Dokument mit Text signieren wollen, vergewissern Sie sich vorab 

immer über den Text-Extraktionsdialog über den vorhandenen Text. Wenn in diesem Dialog nicht der 

gesamte Text erscheint, der vermeintlich in dem PDF Dokument vorhanden ist, ist dieser fehlende 

Text eine Vektorgrafik. Solche Dokumente sollten Sie auf keinen Fall signieren! 

Hinweis: Der S-TRUST Sign-it Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen. 

Die PDF Dokumente entsprechen der PDF 1.7 Spezifikation. Die Abweichungen von dieser 

Spezifikation wurden bereits im Kapitel Sicherheitskomponenten der S-TRUST Sign-it 

Basiskomponenten 2.5 aufgeführt. Das TIFF Dokument kann eine mehrseitige TIFF Datei 

(Multipage-TIFF) sein. TXT Dokumente müssen den Regeln für Textdokumente entsprechen. Diese 

Syntaxprüfung ist auch bei Dokumenten im Rich Text Format (RTF) oder bei HTML-Quellcode 

erfolgreich. Die generierte Ansicht entspricht dabei immer dem Dokumentquellcode, d.h., eine 

Interpretation der Dateiinhalte, wie sie z.B. bei HTML Dokumenten von einem Browser vorgenommen 

wird, kann nicht geleistet werden. 

Hinweis: Wenn Sie sich nach der Anzeige durch den S-TRUST Sign-it Viewer hinsichtlich der 

zu signierenden Daten nicht sicher sind, dann sollten Sie diese Daten nicht signieren.


Signaturerzeugung 

Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 bietet Ihnen die Möglichkeit, 

eine qualifizierte Signatur nach dem deutschen Signaturgesetz zu erstellen. Es können aber auch 

fortgeschrittene und andere Signaturen erzeugt werden. Im Signaturgesetz werden verschiedene 

Anforderungen an eine qualifizierte Signatur gestellt. So muss der Benutzer z.B. die Möglichkeit 

haben, die zu signierenden Daten in einer geeigneten Darstellungsform zu betrachten. Diese 

Möglichkeit wird Ihnen in dem Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 über 

den S-TRUST Sign-it Viewer eingeräumt. 

Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 ist für den Umgang mit den im 

Kapitel Chipkarten aufgelisteten Smartcards bestimmt. Sie müssen bei der Signaturerzeugung immer 

darauf achten, dass Sie das richtige Zertifikat für die Signaturerzeugung verwenden. 

Es ist technisch ohne weiteres möglich, Signaturen mit beliebigen Zertifikaten zu erzeugen. Um eine 

qualifizierte Signatur zu erzeugen, müssen Sie immer ein Zertifikat verwenden, dessen Eigenschaften 

ausdrücklich darauf verweisen, dass es für die Erzeugung unabweisbarer elektronischer Signaturen 

vorgesehen ist. Diese Eigenschaften werden Ihnen beim Zertifikatsauswahldialog unter 

Verwendungszweck (Zulässige allgemeine Zwecke) angezeigt. 

Weiterhin können Sie sich mit einem Klick auf den Button Details ... die Eigenschaften des Zertifikates 

im Zertifikatseigenschaftendialog anzeigen lassen. 

Die angezeigten Zertifikatseigenschaften sind in der folgenden Abbildung enthalten:


Klicken Sie auf OK, um diesen Dialog wieder zu schließen. Um eine Signatur zu erzeugen, haben Sie 

mit den S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 mehrere Möglichkeiten. Wenn Sie 

z.B. eine Signatur über den S-TRUST Sign-it Viewer erzeugen, klicken Sie auf das Symbol 'Signatur 

erzeugen' oder wählen den entsprechenden Menüpunkt.


Anschließend erscheint der Signaturanforderungsdialog: 

� Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt. 

� Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt ohne dass Ihnen weitere 

Detailinformationen wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche PIN 

angezeigt werden. Es erfolgt sofort die Aufforderung zur PIN Eingabe. 

� Klicken Sie auf den Button Details, so erscheint das nachfolegden Signaturanforderungsfenster, in 

dem Ihnen weitere Detailinformationen angezeigt werden. Nach dem Sie in diesem Fenster auf 

Signatur erzeugen geklickt haben, erscheint die Aufforderung zur PIN Eingabe.


Die folgenden Informationen sind in dem Signaturanforderungsdialog enthalten: 

� Anwendung: Enthält den Namen der Anwendung sowie den Pfad der Anwendung. Hier können 

Sie jederzeit erkennen, mit welcher Anwendung eine elektronische Signatur erzeugt werden soll. 

� Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. Mit dem Knopf 

Zertifikat anzeigen können Sie sich das Zertifikat jederzeit anzeigen lassen. 

� Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der eingelegten Karte 

angezeigt. 

� Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese Kategorie 

sorgfältig, damit Sie bei Karten mit mehreren PIN's nicht die falsche PIN eingeben. 

� Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an. 

� Daten: Zeigt an, welche Datei signiert werden soll. Mit einem Klick auf den Knopf Daten anzeigen 

können Sie wiederum den S-TRUST Sign-it Viewer starten, um die Daten zu betrachten.


Mit einem Klick auf den Knopf Signatur erzeugen können Sie jetzt die elektronische Signatur 

erzeugen. Beachten Sie bitte, dass automatisch die sichere PIN-Eingabe gestartet wird. 

In Abhängigkeit von dem Modul, von dem aus Sie die Signaturerzeugung gestartet haben, kann auch 

das folgende Signaturanforderungsfenster angezeigt werden: 

Die folgenden Informationen werden in dem Signaturanforderungsdialog angezeigt: 

� In diesem Fenster werden Ihnen die zu signierenden Daten als Voransicht angezeigt. Für die 

sichere Anzeige über den S-TRUST Sign-it Viewer klicken Sie auf den Button Daten anzeigen. 

� Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. Mit dem Knopf 

Zertifikat anzeigen können Sie sich das Zertifikat jederzeit anzeigen lassen. 

� Verwendete Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der 

eingelegten Karte angezeigt. 

� Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese Kategorie 

sorgfältig, damit Sie bei Karten mit mehreren PIN's nicht die falsche PIN eingeben. 

� Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an. 

Wenn die Daten signiert wurden, erscheint ein Informationsfenster, welches Ihnen mitteilt, dass die 

Daten signiert wurden. 

Hinweis: Wenn Sie automatisch eine OCSP-Antwort während der Signaturerzeugung einbinden,


sollten Sie nach der Signaturerstellung die Signatur prüfen und sich die Einzelheiten der OCSP- 

Antwort anzeigen lassen. Die Gültigkeit der OCSP-Antwort wird erst dann auf Sperrlistenbasis 

vollständig geprüft, wenn Sie sich die Eigenschaften der eingebundenen Daten anzeigen lassen. 

Hinweis: Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 bieten die Möglichkeit, 

mehrere Dateien in einem Durchgang zu signieren. Damit Sie diesen Modus verwenden können, 

benötigen Sie jedoch eine zusätziche OPENLiMiT Anwendung. Wenn dieser Modus aktiviert wird, 

erscheint der folgende Signaturanforderungsdialog. 

In diesem Falle wird der Button 'Daten anzeigen' in Abhängigkeit von der ausgewählten Datei aktiviert. 

Hinweis: Die Aktivierung des Mehrfachsignaturmodus erkennen Sie an der Dateiauswahlliste. Wenn 

Sie diesen Dialog sehen, können Sie mit einem Klick auf den Pfeil die Dateiauswahlliste aufklappen 

und erkennen, welche Dateien signiert werden sollen. 

Wenn der Signaturvorgang gestartet wird, erscheint ein Fortschrittsdialog, der Sie über die aktuell zu 

signierende Datei informiert. Wenn Sie den Button 'Abbrechen' drücken, werden alle bis zu diesem 

Zeitpunkt erzeugten Signaturdateien wieder verworfen. 

Hinweis: Da Sie in diesem Modus mehrere Dateien in einem Durchgang signieren können, sollten Sie 

sich stets über Inhalt aller zu signierenden Daten vergewissern.


Attributzertifikate 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 bieten dem Anwender die Möglichkeit, 

der elektronischen Signatur mit dem Signaturzertifikat zusätzliche Attributzertifikate hinzuzufügen. 

Dazu wird in dem S-TRUST Sign-it Security Environment Manager die Option Attributzertifikate 

automatisch mitsignieren eingestellt. Im Ergebnis dessen wird bei jeder Signaturerstellung das zu dem 

Signaturzertifikat zugehörige Attributzertifikat bzw. die Attributzertifikate (es sind auch mehrere 

möglich) hinzugefügt. 

� Klicken Sie in der Task-Leiste auf das S-TRUST Sign-it Symbol, wählen Sie den Menüpunkt 

Einstellungen und setzen für Attributzertifikate automatisch mitsignieren den Haken. 

� Bei der Signaturerstellung mit dieser eingestellten Option erfolgt die Integration des 

Attributzertifikats automatisch.Voraussetzung dafür ist, dass die Datei des Attributzertifikats in dem 

Verzeichnis Eigene Dateien/AttributeCertificates abgelegt ist und zum Signaturzertifikat gehört. 

� Die Informationen des Attributzertifikats werden bei der Signaturprüfung zusätzlich zu den Daten 

des Signaturzertifikats angezeigt. Starten Sie dazu die Signaturprüfung


� Klicken Sie auf Details und wählen anschließend in dem Fenster Attributzertifikat, dann erhalten 

Sie in der unteren Hälfte des Fensters den Inhalt des Attributzertifikats und weitere Informationen 

angezeigt.


Wenn Sie das Attributzertifikat markiert haben und auf den Knopf Details klicken, wird Ihnen das 

Attributzertifikat in einem entsprechenden Dialog angezeigt. 

Hinweis: Das Verzeichnis Eigene Dateien/AttributeCertificates wird durch den S-TRUST Sign-it


Security Environment Manager automatisch beim ersten Einlesen einer Smartcard angelegt. Die 

Attributzertifikate müssen in diesem Verzeichnis abgelegt sein.


XML Signaturen 

Die Erzeugung von XML-Signaturen bzw. die Verifikation von XML-Signaturen kann grundsätzlich nur 

über Drittanwendungen aktiviert werden, die wiederum auf die Funktionen der S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 zugreifen. Damit stehen dem Anwender für die 

Signaturerzeugung von XML-Signaturen auch die Zeitstempeldienste, das Einbinden der OCSP - 

Anfrage und vorhandener Attributzertifikate zur Verfügung. 

Signaturerzeugung für XML Daten 

Wird über die Drittanwendung die Signaturerzeugung gestartet, erscheint der folgende 

Signaturanforderungsdialog: 

Nach Anklicken des Button Daten anzeigen werden die folgenden Informationen angezeigt:


Nach Anklicken des Button Details wird der S-TRUST Sign-it Viewer gestartet und die ausgewählten 

Daten werden angezeigt. Es sind nicht die referenzierten Daten sondern der XML-Datenstrom: 

Verifizieren von XML-Signaturen 

Wird über die Drittanwendung die Signaturverifikation gestartet, erscheint der folgende 

Signaturanforderungsdialog:


Nach Anklicken des Button Details wird der S-TRUST Sign-it Viewer geöffnet und die 

ausgewählten Daten werden angezeigt:


Zeitstempeldienste 

Mit dem in den S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 bereitgestellten 

Zeitstempeldienst haben Sie die Möglichkeit, sich die Zeitstempelinformationen, die Daten hinzugefügt 

wurden, anzeigen zu lassen und dessen Signatur zu prüfen. 

Für den Fall, dass Sie einen Zeitstempel abholen wollen, muss unter Umständen die 

Zeitstempelanfrage signiert werden. In diesem Fall können die Daten von der Anwendung nicht 

angezeigt werden. 

Starten Sie dazu die Signaturprüfung: 

� Klicken Sie auf die Schaltfläche Details.


� Starten Sie den Befehl Details. In dem folgenden Fenster wird unter dem Register 

Zusammenfassung das Ergebnis der Signaturprüfung zu der angeführten Prüfzeit dargestellt. 

Unter dem Register TSP-Details erhalten Sie weitere Einzelinformationen.


Wenn Sie auf den Registerkartenreiter TSP-Details klicken, werden Ihnen detaillierte Informationen 

zum Zeitstempel angezeigt.


Wenn Sie auf den Knopf 'Signatur-Zertifikat anzeigen' klicken, wird Ihnen das Zertifikat angezeigt, 

welches den Zeitstempel unterzeichnet hat. Zudem wird Ihnen die komplette Zertifikatskette zu diesem 

Zertifikat angezeigt. Sie sollten immer die Gültigkeit des Zertifikats, mit dem der Zeitstempel signiert 

ist, prüfen. 

Wenn Sie mit dem Produkt einen Zeitstempel abholen, sollten Sie immer das unterzeichnende 

Zertifikat des Zeitstempels überprüfen um sicherzustellen, dass Sie vom beabsichtigten 

Zeitstempeldienst eine Antwort erhalten haben. Das Produkt kann die Quelle des Zeitstempels nicht 

garantieren, die Prüfung mit Hilfe des Zertifikates muss von Ihnen durchgeführt werden. Sie müssen in 

jedem Fall selbst entscheiden, ob Sie dem Zeitstempel vertrauen. 

Hinweis: Wenn in der PKCS#7 Signaturdatei bzw. in der XML-Signatur ein Zeitstempel vorhanden ist, 

wird Ihnen automatisch auch das Ergebnis der Gültigkeitsprüfung der Signatur zu dem Zeitpunkt 

mitgeteilt, der durch den Zeitstempel angegeben wird. Weitere Informationen zur XML-Signatur finden 

Sie in dem Abschnitt XML Signaturen 

Hinweis: Die Funktion des Zeitstempeldienstes kann nur dann genutzt werden, wenn am PC eine 

Internetverbindung zu dem Zeitstempeldiensteanbieter besteht.


Arbeitsabläufe 

Die Arbeitsabläufe unter den verschiedenen Modulen der S-TRUST Sign-it Software sind immer 

wieder die selben. Deshalb beschreiben wir in diesem separaten Kapitel nur die immer 

wiederkehrenden Abläufe. Wie diese gestartet oder angesteuert werden, können Sie in den 

Abschnitten unter Die S-TRUST Sign-it Module nachlesen.


Dateiformate 

Die S-TRUST Sign-it 2.5 Software speichert Daten in verschiedenen Dateiformaten ab. Das Format 

können Sie über den S-TRUST Sign-it Security Environment Manager einstellen. Standardmäßig wird 

bei der Installation der Software das Format so eingestellt, dass die Signaturdatei und die 

Originaldaten in einer Datei gespeichert werden. 

p7s - Fomat 

*.p7s Dateien sind PKCS#7-Daten: Es handelt sich dabei um eine abgesetzte Signatur (detached 

signature). Das heißt, die signierten Daten und die Signatur sind in zwei getrennten Dateien 

gespeichert. Das hat den Vorteil, dass man sich die Originaldaten mit dem dazugehörigen Programm 

ansehen kann. Solange diese nicht geändert werden, bleibt auch die Signatur gültig. Die Signatur ist 

mit der Originaldatei durch den selben Dateinamen verbunden. Wenn Sie eine p7s Datei mit einem 

Doppelklick öffnen, wird automatisch die Signaturprüfung gestartet. 

p7m - Format 

*.p7m Dateien sind PKCS#7-Daten: Dahinter können sich signierte, verschlüsselte oder signierte und 

verschlüsselte Daten verbergen. 

Signierte bzw. signierte und verschlüsselte p7m-Dateien liegen als Verbund-Dateien vor. Das heißt, 

die Datei beinhaltet sowohl eine oder mehrere Signaturen im p7s-Format, als auch die Originaldaten, 

welche signiert oder signiert und verschlüsselt wurden. Wenn Sie eine p7m-Datei doppelklicken, wird 

die Datei entschlüsselt, sofern sie verschlüsselt war. Anschließend wird die Signaturprüfung gestartet, 

sofern eine Signatur vorhanden ist. 

Hinweis: Verschlüsselte Daten werden immer als *.p7m Datei gespeichert. Bei Signaturen mit der S-


TRUST Sign-it Shell-Extension können Sie zwischen p7s (Daten und Signatur getrennt) oder p7m 

(Daten und Signatur in einer Datei) wählen, indem Sie die Einstellungen ändern. 

ors - Format 

*.ors Dateien sind Online-Statusabfragen. Dieser Status des Zertifikats kann bei der Signaturerstellung 

oder - prüfung vom Trustcenter abgefragt werden und gibt eine Aussage über die Gültigkeit des 

Zertifikats. 

tsr - Format 

*.tsr Dateien sind Zeitstempelinformationen. Zur Erzeugung von Zeitstempeln benötigt der User einen 

speziell freigeschalteten Zugriff auf einen Zeitstempel-Dienst. Ein Zeitstempel gibt eine Aussage 

darüber, dass gewisse Daten zu einem bestimmten Zeitpunkt existiert haben. Dies wird durch eine 

digital signierte Bescheinigung einer Zertifizierungsstelle bestätigt. Die S-TRUST Sign-it 2.5 Software 

verfügt nicht über die Funktion der Erstellung von Zeitstempel, kann aber diese Informationen prüfen. 

crl - Format 

*.crl - Dateien sind Sperrlisten: Durch Anklicken mit der rechten Maustaste wird die Sperrliste geöffnet 

und Sie können sich weitere Details zu einzelnen Zertifikaten anzeigen lassen. 

cer - Format 

*.cer - Dateien sind Zertifikatsdateien: Mit einem Doppelklick haben Sie die Möglichkeit, sich dieses 

Zertifikat anzeigen zu lassen.


Signieren 

Die S-TRUST Sign-it Software bietet Ihnen verschiedene Möglichkeiten, qualifizierte Signaturen nach 

deutschem Signaturgesetz zu erstellen. Es können aber auch fortgeschrittene oder andere Signaturen 

erstellt werden. 

Unabhängig davon, aus welchem Modul heraus Sie den Vorgang der Signaturerzeugung starten, ist 

der nachfolgend beschriebene Ablauf immer gleich: 

Datei signieren 

Nach dem Start der Signaturerzeugung öffnet sich das folgende Fenster: 

• Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt. 

• Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitere 

Detailinformationen, wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche 

PIN, angezeigt werden. Es erfolgt sofort die Aufforderung zur PIN Eingabe. 

• Klicken Sie auf den Button Details, so erscheint das nachfolgende 

Signaturanforderungsfenster, in dem Ihnen weitere Detailinformationen angezeigt werden. 

Nach dem Sie in diesem Fenster auf Signatur erzeugen geklickt haben, erscheint die 

Aufforderung zur PIN Eingabe. 

Vor der Signaturerzeugung solllten Sie sich im Fall von Daten im TXT, TIFF oder PDF Format über 

Daten anzeigen die zu signierenden Daten im S-TRUST Sign-it Viewer anzeigen lassen, um sicher zu 

sein, welche Daten Sie tatsächlich signieren.


• Klicken Sie auf Signatur erzeugen. 

Je nach Kartenleser erscheint nun eine Meldung mit der Aufforderung zur PIN Eingabe. 

� Geben Sie die PIN auf der Tastatur des Kartenlesers ein, eventuell müssen Sie diese mit OK 

bestätigen. 

Anschließend erscheint ein Fenster mit der Meldung, dass die Daten signiert wurden. 

Sollte hier ein Fenster mit der Meldung erscheinen, dass die eingegebene Signatur-PIN 

zurückgewiesen wurde, dann bedeutet das, dass Sie eine falsche PIN eingegeben haben.


Signatur prüfen 

Die Prüfung einer Signatur erfordert Sorgfalt und Umsicht. Folgende Punkte sollten geprüft werden: 

� Ist das Dokument wirklich unverändert? 

� Authentizität des Zertifikatsinhabers? 

� Ist das Zertifikat nicht gesperrt? 

Einige Teile der Prüfung werden automatisch von der Software vorgenommen. Ob aber einem 

Zertifikat vertraut werden kann, liegt in der Entscheidung des Benutzers. Qualifizierte Signaturen nach 

dem deutschen Signaturgesetz lassen sich lückenlos zurückverfolgen bis zur Bundesnetzagentur. Das 

Herausgeberzertifikat der Bundesnetzagentur ist in die Software integriert. Dieser Zertifizierungspfad 

muss mathematisch korrekt und lückenlos sein. Aber auch andere Wurzelzertifikate können im 

Betriebssystem als vertrauenswürdig definiert werden. 

Deshalb bleibt es grundsätzlich dem Benutzer überlassen, welchen Zertifikaten er vertraut und 

welchen nicht. 

Weitere Information zu den Abläufen der Signaturprüfung und der Public Key Infrastruktur finden Sie 

unter Grundlagen der elektronischen Signatur.


Zusammenfassung 

Nachdem Sie auf Signatur Prüfen geklickt haben, erscheint der Dialog Details zur Signaturprüfung: 

In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oder 

mathematisch korrekt ist. Weiterhin wird angezeigt, ob ein Attributzertifikat mitsigniert wurde. 

Ist eine Signatur ungültig dann wurden die Daten verändert. Dieser Signatur können Sie nicht 

vertrauen. 

Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde. 

Außerdem wurde auch die Signatur an sich nicht manipuliert. Empfehlenswert ist es in diesem Fall, 

eine OCSP Abfrage durchzuführen und sich auf diesem Weg die Gültigkeit der Signatur bestätigen zu 

lassen. Dazu wählen Sie den Register mit dem Namen des Signaturinhabers.


Details 

Nach Anklicken des Registers mit dem Namen des Signaturinhabers wird Ihnen folgendes Fenster 

angezeigt. 

Im Einzelnen erhalten Sie folgende Informationen: 

� Hashwertprüfung: Hier wird die Integrität der Daten überprüft. Ist die Hashwertprüfung positiv, 

bedeutet dies, dass die Daten seit dem Signieren nicht verändert wurden. Negativ bedeutet, dass 

die Daten verändert wurden - in diesem Fall ist die Signatur ungültig. 

� Prüfung von Signatur und Zertifizierungspfad: Hier wird angegegeben ob, eine Beschädigung 

der Signatur vorliegt und ob der Zertifizierungspfad vollständig ist. 

� Zeitpunkt der Signaturerzeugung (Systemzeit): Hier wird die Zeit angegeben, die auf dem 

Rechner zum Zeitpunkt der Signaturerzeugung eingestellt war. 

� Vertrauensbasis: Hier wird die Vertrauenswürdigkeit des Zertifikats angegeben. 

� Zertifikatsstatus: Anhand von Sperrlisten wird geprüft, ob das Zertifikat gesperrt wurde. Wenn 

hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von aktuellen Sperrlisten oder 

eine Online-Prüfung über den Button Onlinestatus... 

� Aktuelle Zeit als Prüfzeit (Sperrlistenprüfung): Anhand von Sperrlisten wird geprüft, ob das 

Zertifikat zum Zeitpunkt der Prüfung gültig war.


Online Prüfung von Zertifikaten 

Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt werden. 

Nach einem Klick auf Onlinestatus... in dem Fenster S-TRUST Sign-it - Details zur 

Unterschriftsprüfung wird das Fenster Online Status-Prüfung (OCSP) geöffnet. Für die Prüfung 

muss eine Verbindung mit dem Internet bestehen. 

Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt 

oder unbekannt. Das Ergebnis der Online Status-Prüfung wird im normalen Prüf-Dialog nicht 

angezeigt. Der Prüf-Dialog bezieht sich lediglich auf die Sperrlisten.


Online Status 

Wurde bei der Signaturerstellung der Signatur ein Online Status zugefügt, dann können Sie sich 

diesen bei der Signaturprüfung ansehen. 

Klicken Sie auf Details, um die Einzelheiten der Signaturprüfung anzuzeigen.


Wählen Sie dann Online Status aus und klicken Sie auf Details, um die Einzelheiten der Online 

Status Prüfung zum Zeitpunkt der Signaturerzeugung zu sehen. 

� Klicken Sie auf Details.


Mit Zertifikat anzeigen wird das Zertifikat der Person angezeigt, die die Signatur erzeugt hat. 

Mit Signatur-Zertifikat anzeigen wird das Zertifikat der Zertifizierungsstelle angezeigt, die die Online 

Status Antwort signiert hat. 

Mit Online Status exportieren können Sie die Datei als *.ors speichern. Um sich das Ergebnis der 

OnlinePrüfung vollständig ansehen zu können, müssen Sie das dazugehörige Zertifikat (Beispiel: 

Monika Burmester.cer) in dem gleichen Ordner ablegen.


Erstellen Prüfprotokoll 

Falls in Ihrer Programmversion der S-TRUST Sign-it 2.5 das Modul zum Erstellen eines Prüfprotokolls 

mit installiert wurde, haben Sie die Möglichkeit, durch Anklicken des Button Speichern ein 

Prüfprotokoll zu erzeugen und zu speichern. Andernfalls wird der Button nicht angezeigt. 

Wählen Sie das Verzeichnis und den Dateinamen für das Prüfprotokoll aus. Standardmäßig wird das 

Protokoll in dem Ordner Eigene Dateien\VerificationProtocols abgespeichert. 

Das Prüfprotokoll enthält folgende Angaben: 

� Dokumentbeschreibung: Die Dokumentbeschreibung zeigt den Dateinamen und das temporäre 

Verzeichnis an, in dem das Prüfprotokoll als Datei zwischengespeichert wird, bevor es entweder 

abschließend in dem Verzeichnis Eigene Dateien\VerificationsProtocolls oder in einem durch


den Anwender definierten Verzeichnis abgelegt wird. 

� Prüfumgebung: Die Prüfumgebung weist aus, wann (Datum und Uhrzeit) die Prüfung 

durchgeführt wurde und durch welchen Nutzer. 

� Zusammenfassung der Prüfergebnisse: Hier wird das Ergebnis der Hashwertprüfung und die 

Überprüfung der Zertifizierungskette zusammengefasst dargestellt. 

� Informationen zur Signatur: An dieser Stelle erhalten Sie weitere Detailinformationen zur 

Signatur wie den Namen des Unterzeichners, die Signaturzeit, die Vertrauensbasis des 

Herausgeberzertifikats, den Hashwert, das Ergebnis der Hashwertprüfung und welcher 

Signaturalgorithmus verwendet wurde. 

� Informationen zum verwendeten Signatur-Zertifikat: Hier werden die Angaben zum 

Herausgeberzertifikat, d.h. wer ist der Herausgeber, die Seriennummer des Herausgeberzeitifikats 

und die Gültigkeit ausgewiesen. 

Durch die Symbolik im Hintergrund des Prüfprotokolls (grüner Haken, gelbes Ausrufezeichen, roter 

Warnkreis) wird das Ergebnis der Prüfung optisch zusätzlich verdeutlicht. Dabei haben die Symbole 

folgende Bedeutung: 

Grüner Haken: Die Signatur wurde gültig geprüft. 

Gelbes Ausrufezeichen: Es gibt Hinweise darauf, dass die Signatur nicht vollständig geprüft werden 

konnte, weil z.B. Sperrlisten oder Herausgeberzertifikate fehlten bzw. nicht aktuell waren. In diesem 

Fall sollten Sie die Aktualisierung der Sperrlisten einschließlich der Vertrauenslisten durchführen und


die Signaturverifikation nochmals starten. Weitere Informationen dazu finden Sie in dem Kapitel 

Sperrlistenaktuslierung. 

Roter Warnkreis: Dieses Symbol weist daraufhin, dass die Datei eine ungültige Signatur besitzt. in 

diesem Fall sollten Sie im Detail prüfen, ob die Daten manipuliert wurden, das Zertifikat abgelaufen 

oder gesperrt ist.


Hinweis: In Abhängigkeit von dem installierten Programm-Modul zum Erstellen des Prüfprotokolls 

kann die o.g. Beschreibung abweichen. Das kann sowohl das Dateiformat des Prüfprotokolls als auch 

die Informationen, die im Ergebnis der Prüfung dargestellt und gespeichert werden, betreffen.


Verschlüsselung 

Die Verschlüsselung schützt vor den Augen Dritter. Sie können jegliche Daten verschlüsseln, egal ob 

diese auf dem Rechner gespeichert oder ob sie per e-Mail über das Internet gesendet werden. Da die 

Verschlüsselung aber nicht vor Viren schützt, ist es ratsam, verschlüsselte Daten, die archiviert 

werden sollen, zusätzlich auf externen Datenträgern zu sichern bzw. nach dem Entschlüsseln auf 

jeden Fall nach Viren zu prüfen. 

Zunächst wird das Dokument mit einem Zufallsschlüssel im Triple DES Verfahren verschlüsselt. Das 

heisst, das Dokument wird dreimal hintereinander mit 192 bit verschlüsselt. Der Zufallsschlüssel wird 

dann mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Hier kommt die 2048bit RSA- 

Verschlüsselung zum Einsatz. 

Man benötigt zum Verschlüsseln also immer den öffentlichen Schlüssel des Empfängers (das können 

auch mehrere sein). Dieser ist in ein Verschlüsselungszertifikat integriert und kann im 

Verzeichnisdienst des Trustcenters abgerufen und auf dem Computer installiert werden. Sie können 

sich auch die Verschlüsselungszertifikate Ihrer Kommuniktionspartner per e-Mail schicken lassen. Ihr 

eigenes Zertifikat können Sie aus der Karte exportieren. Alle installierten Zertifikate werden von der 

Software automatisch angezeigt. Das verschlüsselte Dokument und der verschlüsselte 

Zufallsschlüssel werden dann zusammen archiviert oder per e-Mail an die Kommunikationspartner 

versandt. 

In der Praxis ist es empfehlenswert, Daten durch eine Kombination von elektronischer Signatur und


Verschlüsselung zu sichern. 

Weitere Detailinformationen zur Verschlüsselung fnden Sie in den folgenden Abschnitten.


Daten verschlüsseln 

Verschlüsselungszertifikate auswählen 

� Nachdem Sie auf Verschlüsseln geklickt haben, erscheint der Dialog zur Auswahl von 

Verschlüsselungszertifikaten. 

Hier werden alle öffentlichen Schlüssel angezeigt, die auf dem Rechner installiert sind. Sollten Sie auf 

der linken Seite keine Zertifikate außer Ihr eigenes sehen, müssen Sie sich die öffentlichen Schlüssel 

der Empfänger beschaffen. Sie haben dazu mehrere Möglichkeiten: 

� Download oder Installation über den Verzeichnisdienst, dazu erhalten Sie weitere Informationen in 

dem Abschnitt Verzeichnisdienst 

� durch Installation des Schlüssels, den Sie als cer - Datei erhalten haben, falls Sie mit diesem 

Kommunikationspartner mehrfach verschlüsselt kommunizieren wollen, weitere Informationen 

finden Sie in dem Abschnitt Zertifikate installieren 

� oder durch Einfügen der *.cer - Datei, in dem Sie auf den Button aus Datei klicken 

Nur die Zertifikatsinhaber der ausgewählten Zertifikate können die Datei entschlüsseln. Es ist also 

ratsam, auch das eigene Zertifikat hinzuzufügen. 

� Wenn ein Zertifikat selektiert ist, können im unteren Fenster die Informationen dazu angesehen


werden. 

� Nach einem Klick auf Hinzufügen oder einem Doppelklick auf den Zertifikatsnamen wird das 

Zertifikat in die rechte Liste kopiert. 

� Klicken Sie dann auf Übernehmen, um die Daten für die ausgewählten Zertifikate zu 

verschlüsseln. 

Selektierte Zertifikate können mit Hinzufügen und Entfernen von einem Fenster ins andere 

verschoben werden. Unter Details... wird das Zertifikat angezeigt. Um sicher zu gehen, dass das 

Zertifikat nicht gesperrt ist, kann nach einem Klick auf Details... der Onlinestatus nachgeprüft 

werden, wenn die CA das unterstützt. Ansonsten funktioniert meist auch eine Suche im 

Verzeichnisdienst (Button weitere...). 

Einstellung des Verschlüsselungsalgorithmus: 

Für den Verschlüsselungsalgorithmus sollten Sie nur dann andere Einstellungen vornehmen, wenn es 

aus Gründen der Kompatibilität mit anderen Programmen unbedingt notwendig ist.


Verschlüsselungszertifikat exportieren 

Der S-TRUST Sign-it Security Environment Manager bietet Ihnen die Möglichkeit, Ihr 

Verschlüsselungszertifikat zu exportieren. Das Zertifikat können Sie dann z.B. per e-Mail an eine 

andere Person senden, damit diese wiederum Dokumente für Sie verschlüsseln kann. 

So exportieren Sie Ihr Zertifikat: 

� Stecken Sie Ihre Sparkassen Card in den Kartenleser. 

� Das Chip Symbol in der Taskleiste wird gelb. 

� Klicken Sie das Chip-Icon an und wählen Sie aus dem Menü Verschlüsselungszertifikat 

exportieren. 

� Speichern Sie nun Ihr Zertifikat in einem von Ihnen gewählten Ordner ab. 

� Geben Sie einen Dateinamen ein und beenden Sie durch Anklicken des Button Speichern.


Zertifikate installieren 

Ein Zertifikat aus dem Verzeichnisdienst installieren Sie einfach, indem Sie auf den Button 

Installieren im Ergebnisdialog klicken. Das Zertifikat erscheint beim nächsten Verschlüsseln 

automatisch im Zertifikatsauswahldialog. 

Die Zertifikate auf der Karte, die in Ihrem Kartenleser stecken, werden automatisch installiert. 

Wenn Sie ein Zertifikat auf anderem Weg erhalten, z.B. per e-Mail, liegt es als Datei vor. Sie müssen 

es über den Zertifikatsdialog von Windows installieren. 

Zertifikate unter Windows installieren 

� Doppelklicken Sie das Zertifikat im Windows Explorer. 

� Im Zertifikatsdialog von Windows auf Zertifikat installieren klicken. 

Die Gültigkeitsangaben des Windows Zertifikatsdialoges sollten Sie nicht interessieren, da Windows 

nicht immer mit Signatur-Zertifikaten umgehen kann. Negative Aussagen haben keine Relevanz. 

Gründe dafür können neben Inkompatibilität mit den Signaturstandards auch fehlende Algorithmen 

sein. 

Daraufhin öffnet sich der Assistent für die Installation: 

� Nach dem Startdialog folgt mit einem Klick auf Weiter der Zertifikatsspeicherdialog. 

� Wählen Sie: Alle Zertifikate in folgendem Speicher speichern. 

� Klicken Sie auf Durchsuchen... 

� Wählen Sie den Ordner Andere Personen und bestätigen Sie mit OK. 

� Klicken Sie im Assistenten auf Weiter 

� und anschließend auf Fertig stellen. 

Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im Zertifikatsauswahl Dialog.


Verzeichnisdienst 

Nach einem Klick auf weitere... wird der Verzeichnis Client geöffnet. 

Suche 

Für die Suche können Sie Wildcards (*) benutzen. Das sind Platzhalter, die man für unbekannte 

Buchstaben plazieren kann. Wenn Sie dies nicht tun, müssen Sie die exakte Schreibweise des 

gesuchten Namens kennen. Geben Sie am besten den Nachnamen zwischen Wildcards ein: z.B. 

*Daneller*. Wenn es sich um einen sehr häufigen Namen handelt, sind vielleicht andere Suchbegriffe 

(wie e-Mail oder Vorname) empfehlenswert. 

Zertifikat suchen 

� Tragen Sie den oder die Suchbegriffe in die Felder ein. 

� Wählen Sie den Verzeichnisdienst der CA, die das Zertifikat herausgegeben hat. 

� Klicken Sie auf Starten.


Zum Suchen nicht auf Weiter sondern auf Starten klicken. Die Weiter und Zurück Button ermöglichen 

eine erneute Suche und ein einfaches Hin- und Herschalten zwischen Ergebnis- und Suchdialog. 

Wenn Sie eine Fehlermeldung erhalten, dass die zulässige Größe überschritten ist, dann haben Sie 

zu viele Suchergebnisse erhalten. Diese Funktion dient dem Datenschutz, so dass nicht einfach mit 

einer * * -Suche alle Zertifikate gefunden werden können. Geben Sie weitere Buchstaben in den 

Suchbegriff ein. 

Ergebnis 

Im Ergebnisdialog werden alle gefundenen Zertifikate angezeigt. 

Zertifikate übernehmen 

� Mit einem Klick auf den Namen wird rechts die Zertifikatsinformation angezeigt. 

� Über den Button Details kommt man zur Zertifikatsanzeige, wo man sich noch einmal die 

Einzelheiten ansehen kann. Die meisten CAs nehmen gesperrte und ungültige Zertifikate aus dem 

Verzeichnisdienst, so dass sich eine Statusprüfung erübrigt, wenn man hier ein Zertifikat gefunden 

hat. 

Damit das Zertifikat auf dem Rechner bei jeder Verschlüsselung automatisch angezeigt wird, kann es 

installiert werden. Dies sollten Sie für Zertifikate tun, die Sie oft benutzen. 

� Haken Sie die Checkbox vor dem Namen der Zertifikate an, die für die Verschlüsselung 

übernommen werden sollen. 

� Klicken Sie auf Übernehmen. 

Die Zertifikate erscheinen dann im Zertifikatsauswahl Dialog (Verschlüsseln) auf der rechten Seite.


Entschlüsselung 

Um das Dokument wieder entschlüsseln zu können, wird der Zufallsschlüssel im Klartext benötigt. Er 

kann nur mit dem privaten Schlüssel entschlüsselt werden. Dazu braucht der Benutzer die Karte mit 

dem, zu dem öffentlichen Schlüssel zugehörigen privaten Schlüssel und der PIN. 

Ist der Zufallsschlüssel entschlüsselt, kann auch das gesamte Dokument entschlüsselt werden. Auch 

diese Abläufe übernimmt die Software automatisch. 

Durch dieses Verfahren ist gesichert, dass nur der Karteninhaber mit seiner PIN das Dokument 

entschlüsseln und lesen kann. Die Daten können auch für mehrere Zertifikate verschlüsselt werden. 

Wir empfehlen grundsätzlich, alle Daten, mindestens mit zwei öffentlichen Schlüsseln, für eine andere 

vertrauenswürdige Person und sich selbst, zu verschlüsseln. Bei Daten, die versendet werden, 

empfiehlt sich das eigene Zertifikat und das des Empfängers. Wenn die eigene Karte verloren geht, 

oder möglicherweise aus anderen Gründen nicht mehr verwendbar ist, können die Daten immer noch 

mit der zweiten Karte (der des Empfängers oder der vertrauenswürdigen Person) entschlüsselt 

werden.


Daten Entschlüsseln 

Dateien entschlüsseln 

Zum Entschlüsseln wir der zu dem öffentlichen Schlüssel zugehörige private Schlüssel benötigt. Aus 

diesem Grund muss zum Entschlüsseln die PIN (CSA-Passwort) eingegeben werden. 

Es erscheint ein Fenster mit der Meldung, dass die Datei entschlüsselt wurde. 

� Klicken Sie auf OK. 

Danach sollten die Daten wieder im Klartext vorliegen. Um viele Dateien hintereinander ohne ständige 

PIN-Eingabe zu entschlüsseln, können Sie die Karte auch "öffnen". Weitere Informationen dazu finden 

Sie in dem Abschnitt PIN-Abfrage.


S-TRUST Sign-it Shellextension 

Die S-TRUST Sign-it Shell-Extension ermöglicht die Signatur und Verschlüsselung direkt im Windows 

Explorer. Darüber hinaus sind das Prüfen von Signaturen und die Entschlüsselung integriert. Wenn 

Sie eine Datei mit der rechten Maustaste anklicken, finden Sie im Kontextmenü den Punkt S-TRUST 

Sign-it. 

Wählen Sie diesen aus, erhalten Sie in Abhängigkeit von der ausgewählten Dateistruktur 

verschiedene Funktionen angeboten. Weitere Informationen erhalten Sie in den nachfolgenden 

Abschnitten.


Die erste Signatur mit S-TRUST Sign-it 

Die erste Signatur haben Sie bereits mit der Lizenzierung der Software erstellt. Nachfolgend wird 

beschrieben, wie Sie eine weitere Signatur erzeugen. Legen Sie dazu eine Textdatei (*.txt) an bzw. 

wählen Sie eine beliebige Datei im *.txt Format aus. 

� Klicken Sie im Explorer die Datei mit der rechten Maustaste an. 

� Wählen Sie S-TRUST Sign-it - Datei signieren 

Weitere Informationen zur Signaturerzeugung finden Sie in dem Abschnitt Signieren. 

Im Ergebnis der Signaturerstellung wird eine p7m-Datei mit dem selben Namen der Ursprungsdatei 

erzeugt. Darüber hinaus bleibt die Original-Datei erhalten. Die p7m-Datei enthält sowohl die Original- 

Daten als auch die Signatur. Durch Anklicken dieser p7m-Datei mit der rechten Maustaste können Sie 

die Signaturen prüfen und bei Bedarf die Datei getrennt als txt-Datei und p7s-Datei abspeichern.


Shell Extension Menü 

Wenn Sie eine Datei im Windows Explorer mit der rechten Maustaste anklicken, öffnet sich das 

Kontexmenü mit dem Menüpunkt S-TRUST Sign-it. Unter diesem finden Sie in der Regel die Punkte: 

� Datei signieren 

� Datei verschlüsseln 

� Datei signieren und verschlüsseln 

Weitere Punkte, wie z.B. 

� Signatur(en) prüfen 

� Datei und Signatur(en) trennen 

� Datei und Signatur(en) verbinden 

� Datei entschlüsseln 

� Zeitstempel anzeigen 

� Online Status anzeigen 

� Sperrliste anzeigen 

� Zertifikat anzeigen 

erscheinen, wenn es sich um bereits signierte oder verschlüsselte Dateien bzw. einen Zeitstempel 

oder eine Online Status-Datei handelt. Die Funktionen, die durch diese Befehle angestoßen werden, 

sind unter Arbeitsabläufe im Einzelnen erklärt.


Dateien und Icons im Explorer 

Mit S-TRUST Sign-it lassen sich verschiedene Dateiformate erzeugen. Diese erkennt man im Explorer 

auch an Ihren Icons (bei Windows 2000 oder höher). Zeitstempel können in der S-TRUST Sign-it 

Software nicht erzeugt werden. 

� p7m Dateien: Verschlüsselte Dateien oder Dateien, die eine Signatur beinhalten, bekommen ein 

blaues Tresor-Icon mit der Aufschrift p7m. 

� p7s Dateien: Abgesetze Signaturen, die durch ihren Dateinamen mit der Ausgangsdatei logisch 

verknüpft sind, bekommen ein blaues Tresor-Icon mit der Aufschrift p7s. 

� ors-Dateien: Online Status Response Dateien, die durch das Exportieren von OCSP Antworten 

entstehen, bekommen ein Zertifikats-Icon mit einem roten Siegel. 

� tsr-Dateien: Zeitstempel Dateien, die durch ihren Dateinamen mit der Ausgangsdatei logisch 

verknüpft sind, bekommen ein Uhr-Icon mit einem roten Siegel. 

Allerdings werden diese Dateien in den neueren Betriebssystemen als verborgene Dateien oft nicht 

angezeigt. Um sie sichtbar zu machen, muss man unter den Ordneroptionen des Windows Explorers 

(Menü Extras - Ordneroptionen - Reiter Ansicht) unter versteckte Dateien und Ordner die Option 

alle Dateien und Ordner anzeigen aktivieren und Erweiterungen bei bekannten Dateitypen 

ausblenden deaktivieren. 

Weitere Informationen zu den Dateien finden Sie auch unter Dateiformate.


Adobe Plugin 

Das Adobe Plugin ermöglicht die Signatur direkt unter dem Adobe Acrobat Reader ab Version 7.0.8 

und Adobe Professional ab Version 7.0. Wurden PDF Formulare vom Herausgeber mit zusätzlichen 

Rechten versehen (Adobe Formular Server Lösungen), lassen sich diese Formulare auch im Adobe 

Reader ab Version 7.0.8 signieren. Zudem können digitale Signaturen in einem PDF Formular geprüft 

werden. 

Das Adobe Plugin wird automatisch installiert, soweit der Adobe Reader oder Adobe Acrobat auf 

Ihrem Computer zu dem Zeitpunkt der Installation von S-TRUST Sign-it 2.5 bereits vorhanden ist. 

Andernfalls müssen Sie das Adobe Plugin nachinstallieren.


Adobe Plugin Voreinstellungen 

Voreinstellungen festlegen 

Der hier beschriebene Ablauf bezieht sich auf das Produkt Adobe Reader 9.0.0. 

� Öffnen Sie Adobe Reader. 

� Über das Bearbeiten-Menü kommen Sie zu dem Menüpunkt Voreinstellungen... 

� Wählen Sie im linken Bereich Sicherheit aus. 

� Setzen Sie ein Häkchen für Beim Öffen des Dokuments Unterschriften prüfen, und klicken Sie 

dann auf Erweiterte Voreinstellungen.


� Unter dem Reiter Überprüfung sollten Sie folgende Einstellungen vornehmen: 

� Wählen Sie Immer Standardmethode verwenden (Überschreibt die im Dokument angegebene 

Methode). 

� Wählen Sie dann als Standardmethode zum Überprüfen von Unterschriften: "OPENLiMiT 

SignCubes PDF Plugin, Version 2.5".


Unter dem Reiter Erstellung sollten Sie die Einstellungen wie folgt vornehmen: 

Wählen Sie als Standardmethode beim Unterschreiben und Verschlüsseln von Dokumenten: 

"OPENLiMiT SignCubes PDF Plugin, Version 2.5". 

� Mit OK werden die Einstellungen gespeichert.


PDF Dokument signieren 

Für die Erzeugung einer Signatur in PDF Dokumenten ist in der S-TRUST Sign-it Software ein Adobe 

Plugin integriert. Dieses bietet Ihnen unter bestimmten Voraussetzungen die Möglichkeit, das PDF 

Dokument im Adobe Reader ab Version 7.0.8 oder Adobe Acrobat ab 7.0.8 zu signieren. 

Wenn ein PDF Dokument oder PDF Formular ein oder mehrere Felder für digitale Signaturen enthält, 

so können Sie mit dem Adobe Plugin eine qualifizierte digitale Signatur direkt in diesem PDF erstellen 

und dieses anschließend speichern. 

Um ein solches PDF mit dem Adobe Reader zu signieren, muss dieses mit zusätzlichen Rechten 

versehen worden sein (Adobe Formular Server Lösungen). Um ein PDF mit Adobe Acrobat zu 

signieren, reicht es aus, wenn das Signaturfeld mit Adobe Acrobat erstellt wurde. Um ein Signaturfeld 

mit Adobe Acrobat selbst zu erstellen, lesen Sie bitte in der Adobe Acrobat Hilfe nach. 

So signieren Sie ein PDF Dokument 

� Öffnen Sie das Dokument. 

Das PDF Dokument enthält ein oder mehrere Signatur-Felder. Ein Signaturfeld erkennen Sie am roten 

Pfeil links oben im Feld. 

� Stecken Sie Ihre Smartcard in den Kartenleser und warten Sie, bis diese erkannt ist (bis das Chip- 

Symbol in der Taskleiste gelb ist). 

� Klicken Sie das entsprechende Signaturfeld an.


Anschließend wird das folgende Fenster angezeigt: 

Nach dem Anklicken des Button Signatur erzeugen folgt sofort die Aufforderung zur PIN Eingabe. 

Klicken Sie auf den Button Details wird das nachfolgende Signaturanforderungsfenster angezeigt: 

� Durch Anklicken des Button Daten anzeigen wird der S-TRUST Sign-it Viewer gestartet und Sie 

können sich die Daten im Viewer darstellen lassen. Diese Prüfung der Daten sollten Sie in jedem 

Fall immer vornehmen, um sich versteckte Inhalte bzw. andere Informationen anzeigen zu lassen 

und um sicher zu sein, welche Informationen Sie signieren. 

� Klicken Sie nach Schliessen des Viewers auf Signatur erzeugen.


Signatur im PDF prüfen 

PDF Dokumente können Signaturen enthalten, die in einem extra dafür vorgesehenen Signaturfeld 

integriert sind, oder Signaturen, die in das PDF Dokument eingebettet sind, jedoch nicht in einem 

Signaturfeld vorliegen. In diesem Fall handelt es sich um sogenannte "unsichtbare" Signaturen. 

Signaturen in Unterschriftsfeldern prüfen 

� Enthält ein PDF Dokument bereits eine digitale Signatur in einem dafür vorgesehenen 

Signaturfeld, so können Sie mit Adobe Reader oder Adobe Acrobat diese Signatur prüfen. Die 

Signaturprüfung wird mit den Einstellungen vorgenommen, die Sie unter Adobe Acrobat oder 

Adobe Reader festgelegt haben. Weitere Informatioonen dazu finden Sie in dem Abschnitt Adobe 

Plugin Grundeinstellungen. 

� Öffnen Sie das PDF Dokument und klicken Sie auf ein Unterschriftsfeld, das bereits eine Signatur 

enthält. 

Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OPENLiMiT SignCubes PDF 

Plugin" ausgewählt haben, so erscheint folgender Dialog: 

In der Zusammenfassung steht das Ergebnis der Signaturprüfung. Ein Beispiel für ein Prüfergebnis 

wäre z.B.: 

� Die Datei ist gültig signiert. oder 

� Die Signatur ist mathematisch korrekt. 

Für genauere Informationen lesen Sie bitte im Abschnitt Signaturen Prüfen nach. 

Unsichtbare Signaturen prüfen 

Enthält ein PDF Dokument eine unsichtbare digitale Signatur, so können Sie mit Adobe Reader oder


Adobe Acrobat diese Signatur prüfen. Die Signaturprüfung wird mit den Einstellungen vorgenommen, 

die Sie unter Adobe Acrobat oder Adobe Reader festgelegt haben. 

� Öffnen Sie das PDF Dokument und klicken Sie dann links auf den Reiter Unterschriften, um alle 

Unterschriften des Dokuments anzusehen. 

� Wählen Sie jetzt eine Unterschrift aus, klicken Sie dann auf Optionen und wählen Sie Unterschrift 

prüfen.


Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OPENLiMiT SignCubes PDF 

Plugin, Version 2.0.1.3" ausgewählt haben, so erscheint folgender Dialog:


Signieren mit dem S-TRUST TIFF Producer 

Die S-TRUST Sign-it Software bietet Ihnen mit dem S-TRUST TIFF Producer die Möglichkeit, aus 

anderen Programmen heraus wie z.B. Microsoft Word Daten an die sichere Anzeigeeinheit, den S- 

TRUST Sign-it Viewer auszugeben. Die übertragenen Daten werden über den S-TRUST TIFF 

Producer in eine sicher darstellbare Bilddatei (TIFF) konvertiert. Die Ausgabe über den S-TRUST TIFF 

Producer ist mit jedem auf Ihrem System druckbaren Dokument möglich. 

Visualisieren 

� Drucken Sie die Datei in dem Programm aus, in dem sie erstellt wurde. Normalerweise geht das 

über den Befehl Datei - Drucken. 

Wählen Sie den S-TRUST – TIFF Producer und bestätigen Sie mit OK. 

� Daraufhin öffnet sich die Darstellung im S-TRUST Sign-it Viewer. Sollte es lange dauern, bis Ihre 

Datei im S-TRUST Sign-it Viewer dargestellt wird, liegt es möglicherweise daran, dass die 

gewählten Eigenschaften des S-TRUST TIFF Producer nicht optimal sind, d.h. eine zu hohe 

Auflösung eingestellt ist. 

Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\TIFFOutput abgespeichert. 

Unter dem Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner


Dokumente\TIFFOutput. 

Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (tif). 

• Unter Windows NT wählen Sie den S-TRUST Sign-it Drucker aus und bestätigen mit OK.


Eigenschaften des S-TRUST TIFF Producers 

Nach Auswahl des S-TRUST TIFF Producers und Anklicken des Buttons Eigenschaften haben Sie 

Möglichkeit die Standardeinstellungen des Druckers zu verändern.


Eigenschaften des S-Trust Sign-it Druckers (nur 

Windows NT) 

Diese Drucker wird nur unter dem Betriebssystem NT installiert, da der S-TRUST TIFF Producer nicht 

für Windows NT verfügbar sind. 

Ändern der Druckereigenschaften 

• In dem Programm, in dem Sie gerade arbeiten, wählen Sie Datei - Drucken... 

• Unter "Name" wählen Sie den S-TRUST Sign-it Drucker 

• Klicken Sie auf Eigenschaften... 

Daraufhin sind mehrere Reiter zu sehen. 

Reiter Beschreibung 

Einstellungen Generelle Einstellungen des Druckers 

Dateiformate Ausgabeformat der Datei 

Dateiname erstellen Ausgabename der Datei 

Programm-Start Programm, das nach dem Drucken startet 

Wasserzeichen Wasserzeichen in Datei generieren 

Kommentar einbeziehen Bemerkung Einfügen


Drucker Eigenschaften - Einstellungen 

Bezeichnung Detail Beschreibung 

Papier Größe Papier 

Hier wählen Sie die Papiergröße aus. Sollte die gewählte 

Papiergröße kleiner sein als das zu druckende Dokument, dann 

werden Teile des Dokuments in der SignCubes Visualisierung 

nicht angezeigt. Wenn dies der Fall ist sollten Sie einen 

Warnhinweis erhalten, sobald Sie auf OK gedrückt haben. 

Hier werden die Breite und Höhe des gewählten Papiers 

Paper Breite; 

angezeigt. Unter Einheiten können Sie die Einheit festlegen in der 

Papier Höhe 

die Breite und Höhe des Papiers angezeigt werden. 

FAX 

beigelegt 

header 

Hat unter S-TRUST Sign-it keine Funktion. 

Fax Auflösung 

Ausrichtung 

Graphik- 

Auflösung 

Erweiterte 

Papiergröße 


Die Auflösung des Ausgabeformats wird für Fax optimiert. Da die 

Erstelle faxfähiges Auflösung sehr gering ist, wird die Visualisierung des Dokuments 

Abbild 

eine niedrige Qualität haben. Wir empfehlen diese Funktion nicht 

anzuwenden. 

Hochformat / Hier kann Hochformat (Portrait) oder Querformat (Landscape) 

Querformat ausgewählt werden. 

Querformat, 90 Es wird ein Querformat ausgegeben, aber nochmals um 90° 

Grad gedreht gedreht. 

Die graphische Auflösung der Visualisierung wird hier festgelegt. 

Wichtig: Mit den Einstellungen in diesem Abschnitt können Sie 

Qualität und Größe der Ausgabedatei entscheidend verändern. 

Auflösung Bei zu hoher Einstellung werden die Dateien unnötig gross und 

die Visualisierung kann länger dauern. Darüber hinaus könnten 

auf Grund der Grösse der Datei Probleme auftreten, falls Sie die 

signierte Datei anschliessend per e-Mail versenden wollen. 

High Resolution - Hohe Auflösung. Die Ausgabe sieht sehr gut 

aus, es dauert länger bis die Visualisierung erstellt ist, die Datei 

wird sehr groß. 

Medium Resolution - Mittlere Auflösung (Standard Einstellung). 

Schnellere Visualisierung, Druckstandard. Gut für Textdokumente 

und Tabellen.


Draft Resolution - Vorschau Auflösung. Sehr schnelle Ausgabe, 

niedrige Qualität. 

CUSTOM Resolution - Benutzerdefinierte Auflösung. Hier können 

Sie selbst festlegen, mit welcher Auflösung Sie arbeiten wollen. 

Benutzen Sie zur Eingabe die beiden Felder unterhalb. 

horizontale 

Hier wird die horizontale Auflösung angezeigt. 

Auflösung 

vertikale 

Anzeige der vertikalen Auflösung. 

Auflösung 

erzwinge 

Keine Funktion unter S-TRUST Sign-it. 

Druckerauflö-sung 

Bildgröße 

Größe der Datei, die der S-TRUST Sign-it Drucker zur 

Visualisierung erstellt. Generell gilt: Je größer die Datei, desto 

besser die Qualität der Visualisierung und umso länger dauert die 

Ausgabe und umgekehrt.

S-TRUST Sign-it Handbuch 185


Drucker Eigenschaften - Dateiformate 

Unter diesem Reiter finden Sie Optionen für das Ausgabeformat. 

Dateiformat 

In diesem Menü finden sich verschiedene Dateiformate für die 

Visualisierung. 

Wichtig: Behalten Sie das Standard Format bei (TIFF Packed), bei 

manchen anderen Einstellungen wird die Datei nicht gedruckt. 


Hier kann die Anzahl der Farben festgelegt werden. 1bit (schwarz- 

1bit, 8 bit, 8 bit weiss), 8 bit (256 Farben), 8 bit Graustufen (256 Grautöne), 24 bit 

Farbtiefe Graustufen, 24 (16,7 Mio. Farben). Wie bei der grafischen Auflösung gilt auch hier, 

bit 

je besser die Qualität der Visualisierung, desto größer das erzeugte 

Dokument und desto länger dauert die Ausgabe. 

Optionen 

mehrseitiges 

Bild erzeugen 

Keine 

Hier ist per Default ein Häkchen gesetzt, da sonst nur eine Seite des 

Originaldokuments in der Ausgabe erscheint. 

Imagedatei 

erstellen 


TIFF Optionen 

Osteuropäischer 

Zeichensatz 

Textdatei 

erstellen 

Unterstützt das Drucken von Osteuropäischen Schriftzeichen. 

Der Drucker erstellt zusätzlich eine *.txt Datei mit dem Inhalt des 

Dokuments. 


Das Ändern der Standardeinstellungen kann dazu führen dass keine 

Visualisierung erfolgt. 

Fotoqualität Hat unter S-TRUST Sign-it keine Funktion.



Drucker Eigenschaften - Dateiname erstellen 


Diese Einstellungen legen fest, wie der Dateiname (prefix) 

Methode zur Erstellung 

und Dateianhang (extension) erstellt werden. 

des Namen 

Nehmen Sie in diesem Bereich keine Änderungen vor, da 

sonst eventuell keine Visualisierung möglich ist. 

Standard Einstellung: Dateiname und Dateianhang 

Use the werden automatisch erstellt. 

document Wichtig: Nehmen Sie in diesem Bereich keine 

name 

Änderungen vor, da sonst eventuell keine Visualisierung 

möglich ist. 

Dateiname 

Wenn unter Methode zur Erstellung des Namen die 

Standard Einstellung gewählt ist, ist keine Eingabe nötig. 

Dateinamen 

Prefix 

Bei Standard Einstellung ist keine Eingabe nötig. 

Datei 

Erweiterung 

Bei Standard Einstellung ist keine Eingabe nötig. 

Hier wird der Ordner angezeigt, in dem der Drucker die 

temporären Dateien für die Visualisierung speichert. 

Ausgabepfad 

Wichtig: Nehmen Sie in diesem Bereich keine 

Gruppendatei-Optionen 

Änderungen vor, da sonst eventuell keine Visualisierung 

möglich ist. 

Unter S-TRUST Sign-it keine Funktion.



Drucker Eigenschaften - Programm - Start 


Hier sollte ein Häkchen gesetzt sein. Falls dem nicht so ist, 

Anwendung 

automatisch starten 

wird der S-TRUST Sign-it Viewer nicht gestartet (es erfolgt 

keine Visualisierung). Die Standardeinstellung wird wieder 

hergestellt, sobald sich ein Benutzer am Betriebssystem 

neu anmeldet oder der Computer neu gestartet wird. 

Das für die Visualisierung zu startende Programm wird hier 

Anwendung 

angezeigt. Auch hier wird die Standardeinstellung wieder 

hergestellt, sobald sich ein Benutzer am Betriebssystem 

neu anmeldet, oder ein Neustart erfolgt. 

vor 

Druckausführung 

starten 

Diese Option sollten Sie nicht wählen, da der S-TRUST 

Sign-it Viewer nicht starten wird. 

Standardeinstellung. Auch hier gilt, die Einstellung wird 

nach Druckausf. 

nach neuer Anmeldung am Betriebssystem oder Neustart 

starten 

wieder hergestellt. 

Hier sollte ein Häkchen gesetzt sein, da sonst keine 

Parameter Visualisierung erfolgt. Nach Neustart des Computers oder 

übergeben neuer Anmeldung am Betriebssystem wird auch diese 

Einstellung wieder hergestellt. 

Darstellung der Bestimmt die Größe des Fensters, in dem die Anwendung 

Anwendung 

Nachrichtenstartet 

Schnittstelle 

deaktivieren 

Diese Funktion steht nicht zur Verfügung.



Drucker Eigenschaften - Wasserzeichen 


Wasserzeichen 

Aktivieren Sie diese Option, um Ihr Dokument mit 

drucken 

einem Wasserzeichen zu versehen. 

Wasserzeichen- 

Optionen 

Wasserzeichen nur Aktivieren Sie diese Option, um das 

zur ersten Seite Wasserzeichen nur auf der ersten Seite des 

hinzufügen Dokuments anzubringen. 

Seiten 

Hochformat 

Wählen Sie in diesem Bereich eine Datei aus, die 

im 

als Wasserzeichen auf alle Seiten im Hochformat 

ausgegeben werden soll. 

Seiten 

Querformat 

Wählen Sie in diesem Bereich eine Datei aus, die 

im 

als Wasserzeichen auf alle Seiten im Querformat 

ausgegeben werden soll. 

Wasserzeichen Hier wählen Sie die Datei aus, die als 

Datei: 

Wasserzeichen ausgegeben werden soll. 

Center = Mittig 

Streched to Fit = über die ganze Seite gestreckt 

Position: 

Streched to Width = über die Seitenbreite 

gestreckt 

Tile = gekachelt 

Helligkeit: 

Legen Sie hier die Helligkeit des jeweiligen 

Wasserzeichens fest.



Drucker Eigenschaften - Embed Annotation 

Alle unter diesem Reiter gewählten Optionen werden bei neuer Anmeldung an das Betriebssystem 

oder Neustart des Computers zurückgesetzt. 


Kommentare 

einbeziehen 

Wenn Sie hier ein Häkchen setzen, können Sie 

Bemerkungen in die zu signierende Datei einfügen. Der 

hier geschriebene Text wird in die TIFF Datei eingebettet. 

Zeichenfolge Geben Sie hier den Text ein. 

Schriftart Schriftarten können hier definiert werden. 

Datum 

Das aktuelle Datum wird eingefügt, wenn Sie hier ein 

Häkchen setzen. 

Format 

Datums 

des 

Hier legen Sie ein Datumsformat fest. 

Zeit Mit einem Häkchen hier fügt man die Uhrzeit ein. 

Hier legen Sie das Format für die Uhrzeit fest und wählen, 

Zeit-Format ob Sie Minuten, Sekunden und Zeitzone mit einbeziehen 

wollen. 

Kommentar Position Hier wählen Sie, wie der Text platziert wird. 

Farbe Die Farbe des Textes kann hier gewählt werden.



E-Mail Clients 

Die S-TRUST Sign-it Software unterstützt das Signieren und Verschlüsseln von E-Mails in 

verschiedenen E-Mail Programmen. In diesem Kapitel werden die vorzunehmenden Einstellungen und 

die grundlegenden Arbeitsschritte der unterstützen E-Mail Clients kurz beschrieben. 

Die folgenden Erklärungen betreffen hauptsächlich Funktionen und Einstellungen der unterstützen E- 

Mail Clients und erheben keinen Anspruch auf Vollständigkeit. Sollte hier etwas fehlen, empfehlen wir 

grundsätzlich, in der Hilfe oder im Handbuch des jeweiligen Programms nachzusehen. 

Voraussetzung für das Arbeiten mit den verschiedenen E-Mail Programmen ist, dass das Programm 

richtig installiert ist und das E-Mail Konto, das der E-Mail Adresse Ihres Zertifikats entspricht, 

eingerichtet wurde. Um zu erfahren wie Sie ein E-Mail Konto einrichten, lesen Sie bitte die Hilfe des 

jeweiligen E-Mail Programms.


Microsoft Outlook und Microsoft Outlook Express 

Microsoft Outlook und Microsoft Outlook Express sind zwei oft verwendete E-Mail Programme. Mit 

dem S-TRUST Sign-it Cryptographic Service Provider (CSP) können Sie E-Mails in Microsoft Outlook 

oder Microsoft Outlook Express signieren und verschlüsseln. 

Der S-TRUST Sign-it Cryptographic Service Provider kommt immer dann zum Einsatz, wenn 

Informationen der Karte benötigt werden, d.h. bei der Signaturerzeugung und beim Entschlüsseln. 

Das Verschlüsseln und die Signaturprüfung erfolgt durch Microsoft Outlook bzw. Microsoft Outlook 

Express selbst.


Microsoft Outlook Einstellungen 

Um mit Microsoft Oulook bzw. Microsoft Outlook Express alle Sicherheitsfunktionen ausführen zu 

können, benötigen Sie ein E-Mail Konto mit der E-Mail Adresse, die in Ihrem Zertifikat steht. Diese 

haben Sie beim Ausfüllen des Karten-Antrages angegeben. Beim Signieren oder Entschlüsseln wird 

dann automatisch Ihr Zertifikat genommen, wenn die Karte im Kartenleser steckt. 

Outlook Express 

Die folgenden Sicherheitseinstellungen sind unbedingt einzurichten, damit Sie Ihre Mails signieren 

und/ oder verschlüsseln können. 

� Stecken Sie Ihre Chipkarte in den Kartenleser und warten Sie, bis das Chipsymbol gelb ist. 

� Klicken Sie im Hauptmenü auf Extras / Konten. 

� Wählen Sie nun das Mailkonto aus, bei dem die Mailadresse mit der in Ihrem Zertifikat 

enthaltenen Mailadresse übereinstimmt. 

� Klicken Sie auf Eigenschaften und wählen Sie das Register „Sicherheit“ aus. 

� Für die E-Mail-Signatur wählen Sie über den ersten Button „Auswählen…“ Ihr Zertifikat für den 

Zweck „Sichere E-Mail“ aus. 

� Nehmen Sie diese Einstellungen auch für das Verschlüsselungszertifikat über den 2.Button 

„Auswählen…“ vor. 

� Der Algorithmus bleibt auf 3DES eingestellt.


� Bestätigen Sie die Einstellungen mit OK 

Wenn Sie automatisch signieren und verschlüsseln möchten, dann können Sie dies unter Extras - 

Optionen - Sicherheit einstellen. 

Hinweis: Die nachfolgend beschriebenen Einstellungen sind nicht zwingend notwendig. Sie sollten 

diese Einstellungen nur in dem Fall nochmal prüfen, falls der Empfänger Ihre Mail nicht lesen kann. 

� Unter Extras - Optionen - Lesen klicken Sie auf Schriftarten. 

� Dort stellen Sie einen 7 Bit Code ein. Zum Beispiel wählen Sie oben aus der Liste Unicode und 

unten bei der Codierung UTF-7.


� Dann klicken Sie auf den Button Als Standard, um diese Codierung als Standard einzustellen.


Sie können aber auch jede Nachricht einzeln signieren und/oder verschlüsseln. 

Microsoft Outlook 

Bei Microsoft Outlook müssen Sie erst das Signaturzertifikat und das Verschlüsselungszertifikat 

auswählen. 

� Unter Extras - Optionen - Sicherheit gibt es den Bereich E-Mail sichern. 

� Klicken Sie hier auf Einstellungen... 

� Wählen Sie unter Bevorzugte Sicherheitseinstellungen: das Sicherheitsformat für 

Nachrichten: S/MIME. 

� Wählen Sie unter Zertifikate und Algorithmen folgende Einstellungen: 

� Signaturzertifikat: Ihr E-Mail Signaturzertifikat 

� Hashalgorithmus: SHA1 

� Verschlüsselungszertifikat: Ihr E-Mail Verschlüsselungszertifikat 

� Verschlüsselungsalgorithmus: 3DES 

� "Signierten Nachrichten diese Zertifikate hinzufügen" aktivieren. 

� Klicken Sie auf OK.


Unter dem Tab Sicherheit können Sie die automatische Signatur und Verschlüsselung von 

Nachrichten einstellen. Dies ist aber für jede E-Mail auch einzeln möglich.


Unter Extras - Optionen - E-Mail Format wählen Sie nach einem Klick auf Internationale 

Einstellungen eine 7 Bit Codierung für ausgehende und eingehende E-Mails.


Signieren und Verschlüsseln 

In Outlook oder Outlook Express haben Sie unter Extras - Optionen - Sicherheit die Möglichkeit, die 

Sicherheitseinstellungen für alle E-Mails einzustellen. Wenn Sie bei jeder E-Mail selbst entscheiden 

möchten, ob diese verschlüsselt und/oder signiert werden soll, wird dies im E-Mail Fenster eingestellt. 

Wenn Sie mehrere E-Mail Konten eingerichtet haben, müssen Sie über das Konto mit der E- 

Mailadresse senden, die in Ihrem Zertifikat enthalten ist. Outlook überprüft die Angaben und falls diese 

nicht übereinstimmen, kann keine Signatur erzeugt werden. 

Outlook Express/Outlook 2003 

Bei Outlook Express können Sie direkt im E-Mail Fenster auf den Button Signieren oder 

Verschlüsseln klicken und anschließend auf Senden. Nach Eingabe der PIN ist die E-Mail signiert. 

Outlook 2000 

Unter Outlook 2000 müssen Sie zum Signieren und Verschlüsseln im E-Mail Fenster auf Optionen 

klicken und dort die entsprechenden Kästchen anhaken. 

Outlook XP 

Klicken Sie im E-Mail Fenster auf Optionen, oben rechts auf Sicherheitseinstellungen und dann die 

Kästchen Signieren und Verschlüsseln anhaken. 

Signatur und Klartext senden 

Wenn Sie die Signatur und den Klartext separat senden (detached signature), können auch die 

Empfänger Ihre E-Mail lesen, deren Client signierte Nachrichten nicht unterstützen (z.B. AOL). Einige 

können auch die Signatur prüfen (z.B. T-Online). 

� In Outlook Express finden Sie die Einstellung unter Extras/Optionen/Sicherheit/Button 

"Erweitert". Dort sollte kein Häkchen unter "Nachricht vor dem Signieren verschlüsseln 

(PKCS#7)" gesetzt sein. Um jedoch eine E-Mail ohne Klartext zu senden, muss dieses Häkchen 

wieder gesetzt werden. 

� In Outlook finden Sie die Einstellung unter Extras/Optionen/Sicherheit. Dort sollte ein Häkchen 

für "Signierte Nachrichten als Klartext senden" gesetzt sein. 

Um E-Mails verschlüsseln zu können, müssen die Zertifikate der Empfänger in die dazugehörigen 

Kontakte integriert sein.


Verschlüsselungszertifikate in Kontakt integrieren 

Um für eine bestimmte Person zu verschlüsseln, muss das Zertifikat (digitale ID) der Kontaktperson in 

Ihrem System installiert sein. Dazu lassen Sie sich eine signierte E-Mail von Ihrem 

Kommunikationspartner schicken. 

So integrieren Sie ein Verschlüsselungszertifikat (digitale ID) in einem Kontakt 

Outlook 

� Öffnen Sie die signierte E-Mail 

� Klicken Sie mit der rechten Maustaste auf den Namen des Absenders Von: Mailadresse 

� Wählen Sie Zu den Kontakten hinzufügen aus. 

� im Register Zertifikate können Sie sich das Zertifikat ansehen 

� klicken Sie auf den Button Speichern und Schliessen, damit das Zertifikat dem Kontakt 

hinzugefügt wird.


Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem 

neuen Kontakt wird dieser automatisch angelegt. Ab diesem Zeitpunkt können E-Mails für den 

Empfänger verschlüsselt werden. 

Outlook Express 

� Öffnen Sie die signierte E-Mail 

� Klicken Sie mit der rechten Maustaste auf den Namen des Absenders. 

� Wählen Sie Zum Adressbuch hinzufügen aus. 

Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem 

neuen Kontakt wird dieser angelegt. Ab diesem Zeitpunkt können E-Mails für den Empfänger 

verschlüsselt werden.


Mozilla / Netscape Mail 

Mozilla Mail ist ein Programm der Mozilla Foundation und wird gebündelt mit dem Mozilla Browser 

angeboten. 

Netscape ist eine Mozilla Distribution, die sich grundsätzlich nur in der Oberfläche von Mozilla 

unterscheidet. Da sich mit der deutsche Version von Mozilla einige wichtige Funktionen nicht richtig 

darstellen lassen, wurde für diese Dokumentation Netscape 7.1 verwendet. 

Falls Sie eine deutsche Version von Mozilla verwenden, besteht die Möglichkeit, dass einige Texte 

oder Button nicht oder nur unvollständig dargestellt werden. 

Zudem kommt es vor, dass sich Mozilla und Netscape in der Benennung von Button und Kapitel zum 

Teil unterscheiden. 

In diesem Kapitel wird der Umgang mit Mozilla 1.6 bzw. Netscape 7.1 erklärt.


Mozilla / Netscape Mail Client Sicherheitseinstellungen 

� Starten Sie zunächst Netscape Mail: Start - Programme - Netscape 7.1 - eMail & 

Diskussionsforen 

Sollten Sie Netscape Mail zum ersten Mal starten, so wird das Programm Ihnen mit einem Assistenten 

beim Einrichten eines E-Mail Kontos behilflich sein. Um E-Mails signieren /verschlüsseln zu können, 

muss unbedingt ein Mailkonto für die Mailadresse eingerichtet sein, die auch in Ihrem Zertifikat 

enthalten ist (siehe gelbes Chipsymbol/Eigenschaften/Zertifikate). 

Hinweis: Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser ordnungsgemäss 

installiert ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate 

auf Ihrer Karte befinden. 

� Klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen, um das folgende Fenster zu 

öffnen. 

Kryptographie Modul installieren 

� Wählen Sie aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate


� Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten... 

Jetzt öffnet sich das Fenster des Geräte-Managers, in dem alle geladenen Sicherheitsmodule zu 

sehen sind. 

� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu installieren.


� Geben Sie dem Modul zunächst einen Namen, z.B. S-TRUST PKCS#11 Modul, und klicken Sie 

dann auf Durchsuchen... 

� Navigieren Sie nun zum S-Trust Sign-it Programm-Verzeichnis (Standard: C:\Programme\S- 

TRUST Sign-it), wählen Sie dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen. 

� Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses Modul 

installieren wollen, nochmals mit OK. 

� Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK.


Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der S-TRUST Sign-it 

Software. 

� Schliessen Sie den Geräte-Manager mit einem Klick auf OK, um weitere Einstellungen 

vornehmen zu können. 

Das Mozilla/Netscape Einstellungsfenster sollte noch geöffnet und die Kategorie Zertifikate zu sehen 

sein. 

� Klicken Sie auf den Button Zertifikate verwalten, um den Zertifikat-Manager zu öffnen und die 

Vertrauenswürdigkeit für die Zertifikate einzustellen.


Der Zertifikat-Manager üernimmt die Verwaltung von Zertifikaten. Unter dem Register Ihre Zertifikate 

werden die Zertifikate angezeigt, welche auf Ihrer Karte gespeichert sind. 

� Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller 

nicht vertrauenswürdig" beinhaltet und klicken Sie auf Anzeigen.


Mozilla/Netscape bringt die Meldung "Zertifikat konnte aus unbekannten Gründen nicht 

zugelassen werden." 

� Unter Ausgestellt von finden Sie den Herausgeber Ihres Zertifikats, für den Sie die 

Vertrauenswürdigkeit einstellen müssen. Vermerken Sie sich diese Information und schliessen Sie 

das Fenster. 

� Klicken Sie jetzt das Register Zertifizierungsstellen an. 

� Klicken Sie auf den Reiter Aussteller und markieren Sie Ihren Zertifikatsaussteller.


Über den Button Bearbeiten sollten Sie mindestens für den 2. Punkt ein Häkchen setzen. Jetzt 

vertrauen Sie dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr 

Zertifikat "Unterzeichnen, Verschlüsseln" angezeigt.


Nach dem Sie diese Einstellungen vorgenommen haben, erscheint in dem folgenden Fenster die 

Meldung, für welchen Verwendungszweck das Zertifikat verifiziert wurde.


� Schliessen Sie den Zertifikats-Manager und das Einstellungsfenster. 

Zertifikate für die Signatur und Verschlüsselung auswählen 

� Klicken Sie in der Menüleiste nun auf Bearbeiten - eMail und Diskussionsforen-Konto- 

Einstellungen... 

� Wählen Sie jetzt im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse 

enthalten, die mit Ihrem Zetrifikat verbunden ist) Sicherheit aus, um zu der folgenden Ansicht zu 

gelangen.


An dieser Stelle legen Sie fest, welche Zertifikate zur Signatur und Verschlüsselung verwendet werden 

sollen. 

� Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen. 

Mozilla / Netscape schlägt Ihnen an dieser Stelle für die Signatur von E-Mails automatisch ein 

Zertifikat vor. 

� Klicken Sie auf OK.


Nun öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum 

Ver- und Entschlüsseln verwenden wollen. 

� Klicken Sie nun auf OK. 

� Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre E- 

Mails generell signieren wollen. 

� Wählen Sie, ob Sie Ihre E-Mails verschlüsselt oder unverschlüsselt versenden wollen. 

Sie können diese Einstellung beim Erstellen einer E-Mail immer noch ändern. 

Sie haben alle Sicherheitseinstellungen für Mozilla/Netscape vorgenommen und können das Fenster 

mit OK schließen.


Arbeiten mit Mozilla / Netscape Mail 

E-Mails signieren und verschlüsseln 

� Starten Sie zunächst Mozilla/Netscape Mail und verfassen Sie eine neue E-Mail. 

� Klicken Sie jetzt auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-Mail 

nochmals zu prüfen und gegebenenfalls zu ändern.


Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen 

eine E-Mail verschlüsseln zu können. 

Empfangen von signierten und verschlüsselten E-Mails 

Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.


� Klicken Sie auf das Stift-Symbol, um die Details der Signatur zu prüfen. 

Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, 

bevor Sie die Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol 


� Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.


So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Personen in den Zertifikat- 

Manager: 

Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, brauchen Sie den 

öffentlichen Schlüssel dieser Person. 

Variante 1: 

� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail. 

� Wenn Sie die E-Mail öffnen, integriert Mozilla /Netscape Mail das mitgesendete Zertifikat 

automatisch in den Zertifikat-Manager unter Andere Personen. 

Variante 2: 

� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem 

Verschlüsselungszertifikat als Anhang. Informationen zum Export eines 

Verschlüsselungszertifikats finden Sie in dem Abschnitt Verschlüsselungszertifikat exportieren. 

� Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab, 

� Importieren Sie diese dann in dem Zertifikat-Manager unter Zertifikate anderer Personen. 

� Wählen Sie dazu: Bearbeiten - Einstellungen - Privatsphäre & Sicherheit - Zertifikate 

� Klicken Sie auf Zertifikate verwalten. 

� Wählen Sie im Zertifikat-Manager den Register Andere Personen aus. 

� Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie auf Ihrem 

Computer abgespeichert haben.


Das Zertifikat ist im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für diese Person 

verschlüsseln. 

Beachten Sie, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer 

bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail 

Adresse der gleichen Person senden.


Mozilla Thunderbird 

Mozilla Thunderbird ist ein E-Mail Programm der Mozilla Foundation. Es bietet alle Funktionen eines 

modernen E-Mail Programms und kann mit PKCS#11 Modulen umgehen. Benutzern von Microsoft 

Outlook wird die Bedienung von Thunderbird leichtfallen, da viele der gängigsten Funktionen ähnlich 

sind. 

In diesem Kapitel wird der Umgang mit Thunderbird 1.0.2 beschrieben. Sollten Sie eine andere 

Version von Thunderbird verwenden, so kann es zu Abweichungen mit den hier aufgeführten Abläufen 

kommen.


Thunderbird Sicherheitseinstellungen 

� Starten Sie zunächst Thunderbird. Sollten Sie Thunderbird zum ersten Mal starten, so wird Ihnen 

das Programm mit einem Assistenten beim Einrichten eines E-Mail Kontos behilflich sein. 

Um E-Mails signieren /verschlüsseln zu können, muss unbedingt ein Mailkonto für die Mailadresse 

eingerichtet sein, die auch in Ihrem Zertifikat enthalten ist (siehe gelbes 

Chipsymbol/Eigenschaften/Zertifikate). 

Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser ordnungsgemäss installiert 

ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer 

Karte befinden. 

� Klicken Sie in der Menüleiste Extras - Einstellungen an, um das folgende Fenster zu öffnen. 

� Wählen Sie Erweitert aus und scrollen Sie den Balken rechts im Fenster zum Abschnitt 

Zertifikate.


Kryptographie-Modul installieren 

� Klicken Sie auf den Button Kryptographie-Module. 

Jetzt öffnet sich Thunderbird's Kryptographie-Modul-Manager mit einer Ansicht aller bereits 

geladener Komponenten. 

� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu installieren.



dann auf Durchsuchen... 

� Navigieren Sie nun zum S-Trust Sign-it Installations-Verzeichnis (Standard: C:\Programme\S- 

TRUST Sign-it), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen.


� Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses Modul 

installieren wollen, nochmals mit OK. 

� Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK.


Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der S-TRUST Sign-it 

Software. 

� Schließen Sie nun den Kryptographie-Modul-Manager mit einem Klick auf OK, um weitere 

Einstellungen vorzunehmen.


Das Thunderbird Einstellungsfenster sollte noch geöffnet und der Abschnitt Zertifikate zu sehen sein. 

� Klicken Sie auf den Button Zertifikate, um den Thunderbird-Zertifikat-Manager zu öffnen.


Der Zertifikat-Manager übernimmt die Verwaltung der Zertifikate. Unter dem Register Ihre Zertifikate 

sind die Zertifikate zu sehen, die sich auf Ihrer Karte befinden. 

� Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller 

nicht vertrauenswürdig" anzeigt. 

� Klicken Sie auf Ansicht.


Thunderbird bringt standardmäßig die Ausschrift "Dieses Zertifikat konnte aus unbekannten 

Gründen nicht verifiziert werden." 

� Unter Herausgegeben von finden Sie den Herausgeber Ihres Zertifikats. Vermerken Sie sich bitte 

diese Information und schließen Sie das Fenster. 

� Klicken Sie das Register "Zertifizierungsstellen" an und markieren Sie Ihren 

Zertifikatsaussteller.


� Über den Button Bearbeiten sollten Sie mindestens für den 2. Punkt ein Häkchen setzen. Damit 

vertrauen Sie dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr 

Zertifikat als Zweck "Unterzeichnen/Verschlüsseln" angezeigt. 

� Wählen Sie erneut das Register Ihre Zertifikate aus.


� Klicken Sie auf Ansicht, um weitere Detailinformationen zu erhalten.


Wenn alle Einstellungen korrekt ausgeführt wurden, sehen Sie folgendes Fenster, in dem Ihnen 

mitgeteilt wird, für welchen Verwendungszweck das Zertifikat verifiziert wurde. 

� Klicken Sie auf Schließen. Anschließend können Sie auch den Zertifikat-Manager und das 

Einstellungs-Fenster schließen. 

Zertifikate für die Signatur und Verschlüsselung auswählen 

� Klicken Sie in der Menüleiste auf Extras - Konten. 

� Wählen Sie im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse 

enthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu folgender Ansicht zu 

gelangen.


� Legen Sie fest, welche Zertifikate für die Signatur und Verschlüsselung verwendet werden sollen. 

� Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen. 

Thunderbird schlägt Ihnen an dieser Stelle automatisch ein Zertifikat für die Signatur von E-Mails vor. 

� Klicken Sie nun auf OK.


Es öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum 

Ver- und Entschlüsseln verwenden wollen. 

� Klicken Sie hier auf OK. 

� Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre 

E-Mails generell signieren wollen. 

� Wählen Sie, ob Sie Ihre E-Mails standardmäßig verschlüsselt oder unverschlüsselt versenden 

wollen. 

Sie können diese Einstellungen beim Erstellen einer E-Mail immer noch ändern. 

Sie haben alle Sicherheitseinstellungen für Thunderbird vorgenommen und können das Fenster mit 

OK schließen.


Arbeiten mit Thunderbird 

Bevor Sie die hier beschriebenen Abläufe ausführen können, müssen Sie das E-Mail Programm 

konfigurieren. Lesen Sie dazu das Kapitel Thunderbird Sicherheitseinstellungen. 

E-Mails signieren und verschlüsseln 

� Starten Sie Thunderbird und verfassen Sie eine neue E-Mail. 

� Klicken Sie auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-Mail 

nochmals zu prüfen und gegebenenfalls zu ändern.


Beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine 

E-Mail verschlüsseln zu können. 

Empfangen von signierten und verschlüsselten E-Mails 

Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.


� Klicken Sie auf das Stift-Symbol, um die Signatur der E-Mail zu prüfen. 

� Mit einem Klick auf Unterschriftszertifikat ansehen, können Sie sich die Details zum Zertifikat 

anzeigen lassen.


Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, 

bevor Sie die Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol 


� Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen. 

So integrieren Sie den öffentlichen Schlüssel von Zetrifikaten anderer Person in den Zertifikat- 

Manager: 

Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, benötigen Sie den 

öffentlichen Schlüssel des Empfängers. 

Variante 1: 

� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail. 

� Wenn Sie die E-Mail öffnen, integriert Thunderbird das mitgesendete Zertifikat automatisch in den 

Zertifikat-Manager unter Zertifikate anderer Personen.


Variante 2: 

� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem 

Verschlüsselungszertifikat als Anhang. Weitere Informationen zu dem Export von 

Verschlüsselungszertifikaten finden Sie in dem Abschnitt Verschlüsselungszertifikat 

exportieren. 

� Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab, 

� Importieren Sie diese dann in den Zertifikat-Manager unter Zertifikate anderer Personen. 

� Wählen Sie dazu: Extras - Einstellungen - Erweitert - Zertifikate 

� Wählen Sie dann im Zertifikat-Manager den Register Zertifikate anderer Personen aus. 

� Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie auf Ihrem 

Computer abgespeichert haben. 

Das Zertifikat ist jetzt im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für die Person, der 

dieses Zertifikat gehört, verschlüsseln. 

Beachten Sie bitte, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer 

bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail 

Adresse der gleichen Person senden.


Lotus Notes 

Lotus Notes ist ein E-Mail Programm, welches sehr umfassende Funktionen bietet. Hier werden nur 

die Funktionen beschrieben, welche in direkter Verbindung mit dem Empfangen und Versenden von 

signierten und verschlüsselten E-Mails stehen. 

Die hier beschriebenen Abläufe beziehen sich auf die Software Lotus Notes 6.5, Version 6.5.4 

Deutsch. Bitte beachten Sie, dass frühere Versionen (z.B. Lotus Notes 6.5.3 Deutsch) nicht 

ausreichend lokalisiert sind und daher manche Funktionen (z.B. Internet-Zertifikate von Smartcard 

importieren) nicht möglich sind. Dies hat zur Folge, dass die Vorgängerversionen nicht ohne weiteres 

für die hier beschriebenen Abläufe zu verwenden sind. 

Sollten Sie eine ältere Version von Lotus Notes 6.5 oder Lotus Notes 6 verwenden, so kann es 

hilfreich sein, erst ein Update auf die oben genannte Version zu installieren, bevor Sie versuchen, die 

hier beschriebenen Abläufe nachzuvollziehen.


Lotus Notes 6.5.4 Sicherheitseinstellungen 

Voraussetzung für die Sicherheitseinstellungen in Lotus Notes 

Bevor Sie die hier beschriebenen Einstellungen vornehmen können, müssen folgende 

Voraussetzungen erfüllt sein: 

� Ihr E-Mail Konto muss ordnunsgemäss eingerichtet sein, 

� die S-Trust Sign-it Software und der Kartenleser müssen installiert sein, 

� S-Trust Sign-it ist gestartet, 

� die Karte befindet sich im Kartenleser und wurde erkannt. 

Installieren des PKCS#11 Treibers 

Damit Lotus Notes mit den Zertifikaten auf Ihrer Smartcard arbeiten kann, muss zunächst der 

PKCS#11 Treiber in Lotus Notes installiert werden. 

� Wählen Sie zunächst Datei - Sicherheit - Benutzersicherheit... 

� Klicken Sie auf Ihre Identität im linken Bereich des Fensters. 

� Wählen Sie anschließend Ihre Smartcard.


Jetzt öffnet sich ein Fenster zur Smartcard Konfiguration. 

� Klicken Sie nun auf das Ordner-Symbol, um eine Smartcard-Treiberdatei zu installieren. 

Daraufhin öffnet sich ein Fenster zum Auswählen des Smartcard Treibers. 

� Wählen Sie nun die Datei siqp11.dll aus dem Installationsverzeichnis (Standard: 

C:\Programme\S-TRUST Sign-it). 

� Klicken Sie auf Öffnen, um den Treiber zu installieren.


Daraufhin wird das Fenster zur Smartcard Konfiguration dargestellt, in welchem Sie jetzt den 

installierten Treiber sehen. 

� Klicken Sie auf Fortfahren..., um die Installation abzuschließen. 

Installation Ihres Signatur-Zertifikats 

Damit Sie das auf Ihrer Smartcard gespeicherte Signaturzertifikat zum Signieren von E-Mails in Lotus 

Notes nutzen können, müssen Sie dieses zunächst installieren. 

� Wählen Sie Ihre Zertifikate in dem linken Bereich des Fensters aus. 

� Klicken Sie dann auf den Button Zertifikate abrufen... und wählen Sie Internet-Zertifikat von 

einer Smartcard importieren aus dem Menü.


Hinweis: Wenn Sie eine ältere deutsche Version von Lotus Notes 6.5 oder 6 (z.B. Lotus Notes 6.5.3 

Deutsch) verwenden ist diese Schaltfläche gegraut und Sie können somit keine Smartcard Zertifikate 

importieren. Installieren Sie in diesem Fall ein Update auf Lotus Notes 6.5.4. 

Wenn die Zertifikate erfolgreich importiert wurden, erscheint folgende Meldung. 

� Wählen Sie nun Ihre Internet-Zertifikate aus dem Menü.


Jetzt werden die von der Smartcard importierten Zertifikate angezeigt werden. 

Wenn Ihr Zertifikat nicht angezeigt wird, sollten Sie Lotus Notes beenden, neu starten und dann zu 

diesem Dialog zurückkehren (Datei - Sicherheit - Benutzersicherheit- Ihre Identität - Ihre 

Zertifikate - Menü: Ihre Internet-Zertifikate).


Arbeiten mit Lotus Notes 6.5.4 

Bevor Sie damit beginnen können, mit Lotus Notes 6.5.4 signierte oder verschlüsselte E-Mails zu 

versenden oder zu empfangen, stellen Sie sicher, dass das Programm ordnungsgemäss konfiguriert 

ist. Lesen Sie dazu das Kapitel Lotus Notes 6.5.4 Sicherheitseinstellungen. 

Versenden einer signierten E-Mail 

� Erstellen Sie zunächst ein neues Memo. 

� Klicken Sie dann auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für 

Signieren. 

� Klicken Sie auf OK, um die Einstellungen zu speichern. 

� Jetzt können Sie die E-Mail senden. 

Sie werden dazu aufgefordert, eine Signatur zu erzeugen. Weitere Informationen dazu finden Sie in 

dem Abschnitt Signieren. 

So integrieren Sie den öffentlichen Schlüssel des Zertifikats einer anderen Person in Lotus Notes: 

� Die Person, für die Sie verschlüsseln wollen muss Ihnen dazu eine signierte E-Mail senden. 

� Öffnen Sie die E-Mail, klicken Sie dann auf den Button Werkzeuge und wählen Sie im Menü 

Absender in Adressbuch aufnehmen aus.


Es öffnet sich ein Fenster, zur Aufnahme der Daten in das Adressbuch. 

� Wählen Sie jetzt das Register Erweitert aus, und aktivieren Sie die Option Gegebenenfalls 

x.509-Zertifikate aufnehmen. 

� Klicken Sie OK, um die Daten zu speichern.


Versenden einer verschlüsselten E-Mail 

Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen 

verschlüsseln zu können. 

� Erstellen Sie zunächst ein neues Memo. 

� Klicken Sie auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für 

Verschlüsseln. 

� Klicken Sie dann auf OK, um die Einstellungen zu speichern. 

� Jetzt können Sie Ihre verschlüsselte E-Mail versenden.


Lotus Notes 5 

Zur Verwendung Ihrer S-TRUST Smartcard unter Lotus Notes 5 wird ein PKCS#11 Treiber benötigt. 

Dieser wird unter Lotus Notes 5 über Trusted Mime eingebunden. Dazu muss Trusted Mime auf dem 

Rechner installiert sein. Um genaue Informationen zu erhalten, wie Sie den PKCS#11 Treiber in 

Trusted Mime richtig einbinden, informieren Sie sich bitte in der Trusted Mime Dokumentation. 

Der PKCS#11 Treiber befindet sich im Installationsverzeichnis der S-TRUST Sign-it Software ( 

Standard: C:\Programme\S-TRUST Sign-it\siqp11.dll ) 

Weitere Informationen finden Sie in dem Abschnitt Arbeiten mit Lotus Notes 6.5.4.


SSL Authentisierung 

Mit den Modulen der S-TRUST Sign-it Software sind Sie in der Lage, sich an einer Webseite welche 

SSL Authentisierung verwendet, anzumelden. Diese Aufgabe wird je nach Verwendung des Web- 

Browsers vom CSP oder vom PKCS#11 Treiber übernommen. 

Über SSL: 

Secure Sockets Layer (SSL) ist ein Verschlüsselungsprotokoll für Datenübertragung im Internet. Wenn 

eine Verbindung zu einer Webseite über SSL hergestellt wird, geschieht dies in etwa so: 

� Zunächst sendet der Client (Web-Browser mit dem Sie arbeiten) eine Verbindungsanfrage an den 

Server (dort ist die Webseite, die Sie besuchen wollen). 

� Daraufhin antwortet der Server und sendet ein Zertifikat. 

� Indem Sie bestätigen, dass Sie dem Zertifikat des Servers vertrauen, ermöglichen Sie Ihren Web- 

Browser die Verbindung zum Server herzustellen. (Dieser Schritt wird unter Umständen 

automatisch durchgeführ, z.B. dann, wenn das Server-Zertifikat von Ihrem Web-Browser bereits 

als vertrauenswürdig eingestuft wird.) 

� Eventuell will der Server aber auch wissen ob Sie die Person sind, für die Sie sich ausgeben und 

sendet eine entsprechende Anfrage an Ihren Web-Browser (Bidiretionelle SSL Authentifizierung). 

� Jetzt müssen Sie sich dem Server gegenüber identifizieren, indem Sie die Anfrage des Servers 

signieren. Dabei kommen die Module der Software zum Einsatz. 

� Nun ist eine sichere Verbindung über SSL hergestellt. 

Wenn Sie mehr über SSL wissen wollen, lesen Sie unter 

http://de.wikipedia.org/wiki/Secure_Sockets_Layer nach. 

Die folgenden Web-Browser werden für die SSL Authentisierung von S-TRUST Sign-it unterstützt: 

� Internet Explorer ab Version 6 

� Mozilla ab Version 1.6 (entspricht Netscape ab Version 7.1) 

� Firefox ab Version 1.0.4 

Der Internet Explorer nutzt dazu den Cryptographic Service Provider (CSP). Firefox und Mozilla / 

Netscape hingegen verwenden den PKCS#11 Treiber. Firefox und Mozilla / Netscape müssen daher 

richtig konfiguriert werden, bevor die SSL Authentisierung gestartet werden kann. Wenn Sie mit 

Firefox oder Mozilla / Netscape arbeiten, lesen Sie deshalb bitte die Kapitel Firefox Browser 

Sicherheitseinstellungen bzw. Mozilla / Netscape Browser Sicherheitseinstellungen.


Internet Explorer 

Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie Ihre 

Karte in den Leser stecken und warten bis diese erkannt wurde (Chipsymbol ist gelb). 

Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSL 

Verschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Server 

gegenüber nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird 

zwar eine sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie 

übermitteln nicht an die Stelle senden, an die Sie diese zu senden glauben. 

Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden. 

Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung 

Wenn Sie mit Internet Explorer eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird 

eventuell eine Meldung angezeigt, in der Sie gefragt werden ob Sie die sichere Webseite anzeigen 

wollen. 

� Bestätigen Sie den Dialog mit Ja, um fortzufahren. 

� Jetzt wird das Zertifikat der Webseite angezeigt, das der Server an Sie sendet. Um den Vorgang 

fortzusetzen müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen. 

� Warten Sie nun einen Moment, bis sich der Signaturanforderungsdialog der S-TRUST Sign-it 

Software öffnet. 

� Klicken Sie jetzt auf Signatur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein. 

Damit identifizieren Sie sich gegenüber dem Server. 

Die Verbindung zur Webseite wird hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite 

ausgetauscht werden, werden über eine sichere Verbindung geschickt.


Firefox Browser Sicherheitseinstellungen 

Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so 

konfigurieren, dass dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann. 

Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser richtig installiert ist, Ihre 

Karte sich in diesem befindet, erkannt wurde und die notwendigen Zertifikate sich auf Ihrer Karte 

befinden. 

� Öffnen Sie den Web-Browser und klicken Sie dann in der Menüleiste auf Extras - Einstellungen. 


� Wählen Sie nun aus der Spalte links im Fenster Erweitert und scrollen sie dann im rechten Teil 

des Fensters bis zum Abschnitt Zertifikate. 

� Klicken Sie jetzt auf Kryptographie-Module verwalten...


Es öffnet sich der Kryptographie-Modul-Manager mit einer Ansicht der bereits aktiven Komponenten. 

� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum 

Umgang mit ihrer Karte notwendig ist, zu installieren. 


dann auf Durchsuchen...


Navigieren Sie zum S-Trust Sign-it Installations-Verzeichnis (Standard: C:\Programme\S-TRUST 

Sign-it), wählen Sie dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen. 

� Klicken Sie nun auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses 

Modul installieren wollen, bestätigen Sie dies mit OK.


Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul. 


Jetzt ist Firefox richtig konfiguriert.


Firefox SSL Authentisierung 


Karte in den Leser stecken und warten, bis diese erkannt wurde (gelbes Chipsymbol). 








Wenn Sie mit Firefox eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird eventuell 

eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen. 


� Jetzt wird das Zertifikat der Webseite angezeigt, das der Server an Sie sendet. Um den Vorgang 

fortzusetzen, müssen Sie diesem Zertifikat vertrauen und mit OK bestätigen. 

Sie können das Zertifikat temporär oder für immer akzeptieren. Wenn Sie das Zertifikat für immer 

akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht 

mehr angezeigt. 

Es wird der Signaturanforderungsdialog der S-TRUST Sign-it Software geöffnet. 

� Klicken Sie jetzt auf Signatur erzeugen 

� Geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit identifizieren Sie sich gegenüber dem 

Server. 

Es wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der 

Webseite ausgetauscht werden, werden über eine sichere Verbindung geschickt.


Mozilla / Netscape Browser 

Sicherheitseinstellungen 

Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so 

konfigurieren, dass dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann. 

Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser richtig installiert ist, Ihre 

Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte 

befinden. 

� Öffnen Sie den Web-Browser und klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen. 


� Wählen Sie nun aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate 

� Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...


Jetzt öffnet sich ein Fenster in dem bereits vorhandene Sicherheitsmodule zu sehen sind. 

� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum 

Umgang mit ihrer Karte notwendig ist, zu installieren. 

� Geben Sie dem Modul zunächst einen Namen, z.B. "S-TRUST PKCS#11 Modul" und klicken Sie 

auf Durchsuchen...


Navigieren Sie zum S-TRUST Sign-it Installations-Verzeichnis (Standard: C:\Programme\S-TRUST 

Sign-it), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen. 

� Klicken Sie auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul 

installieren wollen, bestätigen Sie dies mit OK.


Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul. 


Jetzt ist Mozilla /Netscape richtig konfiguriert.


Mozilla / Netscape SSL Authentisierung 


Karte in den Leser stecken und warten, bis sie erkannt wurde (gelbes Chipsymbol). 








Wenn Sie mit Mozilla / Netscape eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird 

eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen 

wollen. 


� Jetzt wird das Zertifikat der Webseite angezeigt, das der Servers an Sie sendet. Um den Vorgang 

fortzusetzen, müssen Sie diesem Zertifikat vertrauen und mit OK bestätigen. 

Sie können das Zertifikat temporär oder dauerhaft akzeptieren. Wenn Sie das Zertifikat dauerhaft 

akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht 

mehr angezeigt. 

Es öffnet sich der Signaturanforderungsdialog der S-TRUST Sign-it Software. 

� Klicken Sie auf Signatur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit 

identifizieren Sie sich gegenüber dem Server. 

Jetzt wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der 

Webseite ausgetauscht werden, werden über eine sichere Verbindung geschickt.


Erste Hilfe 

In diesem Kapitel wird der Umgang mit Fehlermeldungen des Produktes beschrieben. In den 

folgenden Auflistungen finden Sie mögliche Fehler, deren Ursache und wie Sie als Benutzer auf diese 

Fehler reagieren können oder müssen.


Wie gehe ich mit Fehlermeldungen um? 

Im Idealfall läuft das Produkt auf Ihrem Rechner so, dass Sie nie eine Fehlermeldung sehen. Da aber 

das Produkt Sicherheitskomponenten (siehe "Sicherheitskomponenten der S-TRUST Sign-it 

Basiskomponenten 2.5")enthält, die Sie vor manipulierten Inhalten bei der Darstellung und bei der 

Signaturerzeugung schützen sollen, werden Sie im Laufe der Arbeit mit dem Produkt auch mit solchen 

vermeintlichen Fehlermeldungen konfrontiert, die Sie auf ein Sicherheitsrisiko oder auf einen 

tatsächlich erfolgten Angriff auf ein durch das Produkt zu schützendes Objekt hinweisen. 

Der folgende Abschnitt gibt Ihnen eine Übersicht, wie das Produkt auf versuchte Manipulationen oder 

Änderungen reagiert und wie Sie als Benutzer in diesem Falle verfahren sollten. Dieser Abschnitt soll 

Sie als Benutzer des Produktes so sensibilisieren, dass Sie in der Lage sind, den sicheren Zustand 

des Produktes zu erkennen und Abweichungen richtig zu interpretieren. 

Der S-TRUST Sign-it Viewer meldet, dass die Fontdatei cour.ttf nicht vorhanden oder 

manipuliert ist: 

Hintergrund: Der S-TRUST Sign-it Viewer verwendet den Font Courier New zur Darstellung von 

Textinhalten. Diese Schriftart ist eine symmetrische Schriftart und die Verwendung soll dazu 

beitragen, dass Sie den angezeigten Text eindeutig lesen können. Die Interpretation des angezeigten 

Textes aus inhaltlicher Sicht kann die gesicherte Anzeigeeinheit allerdings nicht leisten, Sie müssen 

als Benutzer selbst entscheiden, ob Sie den angezeigten Text signieren wollen oder nicht. 

Ursache: In diesem Falle kommen zwei Ursachen in Frage. Die Datei kann wissentlich oder 

unwissentlich aus dem System entfernt worden sein. Da diese Font-Datei integraler Bestandteil des 

Betriebssystems ist, kommt eine wissentliche oder unwissentliche Manipulation des Betriebssystems 

in Betracht. Als zweite Ursache kann der Austausch oder die Manipulation dieser Datei in Betracht 

gezogen werden. Wenn Sie z.B. ein Grafikbearbeitungsprogramm auf Ihrem Rechner installieren, 

welches die vorhandene Datei des Betriebssystems austauscht, kann diese Fehlermeldung auftreten. 

Sie sollten aber in Betracht ziehen, dass ein Angreifer versucht hat, die Datei so zu manipulieren, dass 

z.B. das Euro Zeichen gegen das Zeichen für britische Pfund ausgetauscht wurde. 

Benutzerinteraktion: Wenn die Fehlermeldung angezeigt wird, müssen Sie als Benutzer selbst 

entscheiden, ob Sie der Darstellung durch den S-TRUST Sign-it Viewer vertrauen. Der S-TRUST 

Sign-it Viewer kann in diesem Fall keine Garantie geben, dass der angezeigte Text dem entspricht, 

wie er mit der korrekten Version der Font Datei angezeigt werden würde. Vertrauen Sie im Zweifelsfall 

der Darstellung nicht und erzeugen Sie keine elektronische Signatur an dem angezeigten Dokument. 

Der Rechner stürzt während der Signaturerzeugung ab oder der Kartenlesertreiber bleibt 

'hängen': 

Hintergrund: Wenn Inkompatibiltäten zwischen dem Betriebssystem und dem verwendeten 

Kartenlesertreiber existieren, kann möglicherweise der Rechner während der Signaturerzeugung 

abstürzen oder das System reagiert nicht mehr auf Benutzerinteraktion. Das ist kein Fehler, der durch 

das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.1 verursacht wird.


Benutzerinteraktion: Wenn der Rechner abstürzt oder hängen bleibt, sollten Sie auf jeden Fall den 

Rechner abschalten und neu starten. Nur dieses Vorgehen gibt Ihnen als Benutzer die Sicherheit, 

dass der Arbeitsspeicher des Rechners neu initialisiert wird und keine Speicherbereiche im RAM des 

Rechners verbleiben, die evtl. noch die erzeugte elektronische Signatur beinhalten. Wenn das 

Problem häufiger auftritt, sollten Sie sich an den Hersteller des verwendeten Kartenlesers wenden und 

Informationen einholen, welcher Treiber für Ihren Kartenleser geeignet ist. 

Bei der Arbeit mit dem Produkt können Sie mit der Anwendung keine Signaturen mehr 

erzeugen oder prüfen. Der Tooltip im Systemtray zeigt an: 'Deaktiviert wegen 

Manipulationsverdacht': 

Hintergrund: Eine Sicherheitsfunktion des Produktes bietet einen Selbstschutz des Programmes 

gegen Manipulationsversuche durch andere Programme oder durch unbefugte Dritte. Wenn ein 

Bestandteil des Produktes erkennt, dass z.B. eine Programmbibliothek ausgetauscht wurde, wird dies 

dem S-TRUST Sign-it Security Environment Manager gemeldet, welcher daraufhin die Funktionen zur 

Signaturerzeugung und Verifikation deaktiviert. Das Programm S-TRUST Sign-it Basiskomponenten 

2.5, Version 2.5.1.1 wird beendet. 

Ursache: Möglicherweise hat jemand versucht, den Zustand des Produktes auf Ihrem Rechner zu 

manipulieren oder so zu verändern, dass daraus ein Schaden für Sie als Anwender entstehen könnte. 

Wenn Sie versucht haben, Bibliotheken aus älteren Versionen mit dem Produkt zu verwenden, gilt 

dies ebenfalls als Manipulationsversuch und das Programm wird beendet. 

Benutzerinteraktion: Sie sollten jetzt mit dem S-TRUST Sign-it Integrity Tool den Zustand Ihrer 

lokalen Installation überprüfen. Dieses Programm teilt Ihnen detailliert mit, welche Programmbibliothek 

von dem Manipulationsversuch betroffen ist. Sie sollten keine weiteren Interaktionen mit dem Produkt 

ausführen, insbesondere sollten Sie nicht versuchen, eine elektronische Signatur zu erzeugen. Wenn 

Sie ein nicht vom Hersteller authorisiertes Update eingespielt haben, müssen Sie das Produkt 

deinstallieren und erneut installieren. Wenn Sie sich nicht sicher sind, wie Sie weiter mit dem Produkt 

verfahren sollen, wenden Sie sich an den Hersteller, der Ihnen in diesem Fall Tipps für ein weiteres 

Vorgehen geben kann.


Fehlermeldungen vor oder während der 

Installation 

Die folgenden Fehlermeldungen können vor oder während der Installation angezeigt werden. 

Fehlermeldung Ursache Benutzeraktion 

Ihr Betriebssystem Diese Fehlermeldung kann nach dem Sie müssen ein Betriebssystem 

wird nicht unterstützt. Sprachauswahldialog und vor dem verwenden, welches den 

Bitte verwenden Sie Anzeigen der ersten Dialogseite für das Mindestanforderungen genügt. 

für diese Anwendung Setup der S-TRUST Sign-it 

ein anderes 


Betriebssystem. Das generiert werden. 

Setup wird beendet. Die Betriebssystemversion, auf der das 

Produkt installiert werden soll, 

entspricht nicht den 

Mindestvoraussetzungen. 

Ihre gegenwärtige Diese Fehlermeldung kann nach dem Sie müssen sich mit 

Windows-Anmeldung Sprachauswahldialog und vor dem Administrationsrechten an dem 

ist nicht mit 

Anzeigen der ersten Dialogseite für das Rechner anmelden. 

Administratoren- Setup der S-TRUST Sign-it 

Rechten ausgestattet. Basiskomponenten 2.5, Version 2.5.1.1 

Um das Setup generiert werden. 

ausführen zu können, Sie sind nicht mit 

müssen Sie sich als 

Administrator 

anmelden. Das Setup 

wird beendet. 

Administrationsrechten angemeldet. 

Ihr Internet Explorer ist Diese Fehlermeldung kann nach dem Sie müssen eine Version des 

älter als Version 5.01 Sprachauswahldialog und vor dem Microsoft Internet Explorers 

SP2. Bitte installieren Anzeigen der ersten Dialogseite für das installieren, die den Anforderungen 

Sie zunächst einen Setup der S-TRUST Sign-it 

des Produktes genügt. 

neueren Internet Basiskomponenten 2.5, Version 2.5.1.1 

Explorer. Das Setup generiert werden. 

wird beendet. Ihr Betriebssystem genügt nicht den 

Mindestanforderungen.



Sie haben für die Ihr Benutzerprofil erlaubt keinen Sie müssen sich mit einem Konto anmelden, 

Registry keine Rechte schreibenden Zugriff auf die Registry das über Schreibrechte auf die Registry 

zum Schreiben. Die des Betriebssystems. 

verfügt. Wenn Sie Programme verwenden, 

Installation kann nur 

die den schreibenden Zugriff auf die Registry 

mit Schreibrechten 

fortgesetzt werden 

verhindern, sollten Sie diese deaktivieren. 

Konnte Verzeichnis Diese Fehlermeldung kann während Sie sollten prüfen, ob Sie über Schreibrechte 

nicht erstellen. des eigentlichen Installationsvorganges für das ausgewählte Installationsverzeichnis 

des Setups der S-TRUST Sign-it 


generiert werden. 

Das Verzeichnis zum Installieren der 

Anwendung konnte nicht erstellt 

werden. 

verfügt. 

Die installierte Diese Fehlermeldung kann nach dem Falls eine Neuinstallation notwendig ist, 

Programm-Version ist Sprachauswahldialog und vor dem installieren Sie die aktuellste Version. 

neuer als dieses Anzeigen der ersten Dialogseite für das 

Setup-Programm. Setup der S-TRUST Sign-it 

Bitte verwenden Sie Basiskomponenten 2.5, Version 2.5.1.1 

die aktuellste Version. 

Das Setup wird 


abgebrochen. Es ist bereits eine neuere Version der 

S-TRUST Sign-it Basiskomponenten 

installiert. 

Der Inhalt dieses Diese Fehlermeldung kann nach dem Falls eine Neuinstallation notwendig ist, 

Setups ist älter als Sprachauswahldialog und vor dem installieren Sie die aktuellste Version. 

Ihre installierte Anzeigen der ersten Dialogseite für das 

Version. Bitte Setup der S-TRUST Sign-it 

installieren Sie nur die Basiskomponenten 2.5, Version 2.5.1.1 

neueste Version. generiert werden. 

Es ist bereits eine neuere Version der 

S-TRUST Sign-it Basiskomponenten 

installiert.



Es ist nicht genügend Diese Fehlermeldung kann nach dem Stellen Sie sicher, dass ca. 200 MB 

Speicherplatz für die Sprachauswahldialog und vor dem Speicherplatz für die Installation zur 

Installation dieser Anzeigen der ersten Dialogseite für das Verfügung stehen und starten Sie die 

Anwendung 

Setup der S-TRUST Sign-it Installation erneut. 

vorhanden. Der Basiskomponenten 2.5, Version 2.5.1.1 

minimal erforderliche generiert werden. 

Speicherplatz beträgt Für die Installation steht kein 

200 MB. 

ausreichender 

Verfügung. 

Speicherplatz zur 

Sie benötigen für 

diese Anwendung 

eine Java(TM) 

Runtime in einer 

Version 

mindestens 

1.4.2_08. Bitte 

installieren Sie 

vorher eine 

entsprechende 

Java (TM) 

Runtime. Das 

Setup wird jetzt 

abgebrochen. 

Diese Fehlermeldung kann nach dem Installieren Sie zunächst eine aktuelle 

Sprachauswahldialog und vor dem Java(TM) Runtime Version und starten sie 

Anzeigen der ersten Dialogseite für das die Installation erneut. 

Setup der S-TRUST Sign-it 



Diese Fehlermeldung weist darauf hin, 

dass entweder die Java(TM) Runtime 

Version fehlt oder eine ältere Version 

installiert ist.



Diese Produktversion Diese Fehlermeldung kann nach dem Installieren Sie zunächst eine aktuelle 

ist mit der installierten Sprachauswahldialog und vor dem Version der S-TRUST Sign-it 

Version nicht Anzeigen der ersten Dialogseite für das Basiskomponenten, für die dieses Produkt 

vereinbar. Bitte Setup der S-TRUST Sign-it freigegeben ist. 

deinstallieren Sie Basiskomponenten 2.5, Version 2.5.1.1 

vorher die alte generiert werden. 

Version. 


dass das Produkt nicht kompatibel zu 

den installierten Basiskomponenten ist. 

Diese Produktversion 

ist mit der installierten 

Version nicht 

vereinbar. 

Diese Fehlermeldung kann nach dem Prüfen Sie zunächst, ob das zu installierende 

Sprachauswahldialog und vor dem Produkt für die bereits vorhandenen 

Anzeigen der ersten Dialogseite für das Basiskomponenten freigegeben ist. 

Setup der S-TRUST Sign-it 




dass das Produkt nicht kompatibel zu 

den installierten Basiskomponenten ist. 

Diese Produktversion Diese Fehlermeldung kann nach dem Bitte deinstallieren Sie zunächst die ältere 

läßt sich auf Ihrem Sprachauswahldialog und vor dem Produktversion und starten anschließend die 

Rechner nur Anzeigen der ersten Dialogseite für das Installation neu. 

installieren, wenn Sie Setup der S-TRUST Sign-it 

vorher die alte Version Basiskomponenten 2.5, Version 2.5.1.1 

deinstalliert haben. generiert werden. 

Es ist bereits eine ältere Version des 

Produktes installiert.


Fehlermeldungen S-TRUST Sign-it 

Security Environment Manager 

Die folgenden Abschnitte erklären, welche Fehlermeldungen auftreten können und wie Sie diese 

Fehlermeldungen bewerten müssen. 

Grundsätzlich werden alle Fehlermeldungen vom S-TRUST Sign-it Security Environment Manager 

generiert, es sei denn, die Fehlermeldung betrifft den S-TRUST Sign-it Viewer. Der S-TRUST Sign-it 

Viewer realisiert selbständig Prüfroutinen, welche die Erkennung von Dokumentformaten betreffen. In 

der folgenden Tabelle werden die Fehlermeldungen für den S-TRUST Sign-it Security Environment 

Manager aufgelistet und die mögliche Fehlerursache benannt. 

Fehlermeldung des S- Mögliche Ursache Auswirkungen auf den sicheren Zustand 

TRUST Sign-it Security 

des Produktes/ Benutzerreaktion 

Environment Managers 

Der eingegebene Diese Fehlermeldung kommt nach Sie sollten den Lizenzmanager erneut 

Lizenzcode ist ungültig. Überprüfung des eingegebenen starten und den Lizenzcode exakt 

Lizenzcodes. 

eingeben. Der sichere Zustand des 

Produktes wird nicht beeinflusst. 

Bei der Freischaltung der Diese Fehlermeldung kann während Sie sollten sollte den Lizenzmanager 

Lizenz ist ein Fehler des Lizenzierungsvorganges generiert erneut starten und auf die exakte 

aufgetreten. 

werden. 

Eingabe des Lizenzcodes achten. Der 

sichere Zustand des Produktes wird 

nicht beeinflusst. 

unerwarteter Fehler Dieser Fehler kann in der Signaturprüfung::Detailanzeige::Zustan 

Zertifikatsdetailanzeige auftreten. Die d der Hashwertprüfung: ist undefiniert. 

Fehlermeldung wird angezeigt, wenn Der sichere Zustand des Produktes ist 

die Prüfung des Zertifikates oder des nicht betroffen. Der Hashwert konnte 

Pfades zum Herausgeber fehlschlägt. nicht geprüft werden. 

Es ist ein Fehler aufgetreten, der nicht Signaturprüfung::Detailanzeige::Zustan 

im Rahmen der vorhandenen d der Signaturprüfung: ist undefiniert. 

Fehlerbehandlung abgefangen werden Der sichere Zustand des Produktes ist 

konnte. 

nicht betroffen. Die Signatur konnte 

nicht geprüft werden.






Versuchen Sie es zu einem Wenn Sie eine OCSP-Anfrage starten Diese Fehlermeldung besagt, dass das 

späteren Zeitpunkt erneut. und diese von der Gegenstelle nicht Produkt Ihnen keine Aussage zum 

bearbeitet werden kann, kann diese Zertifikatsstatus liefern kann. Sie 

Statusmeldung erscheinen. 

müssen selbst entscheiden, ob Sie dem 

Die OCSP-Anfrage kann durch die Signaturzertifikat vertrauen. Der sichere 

Gegenstelle zum gegenwärtigen Zustand des Produktes ist in diesem 

Zeitpunkt nicht bearbeitet werden. Fall nicht betroffen. 

Prüfen Sie bitte, ob Sie mit Diese Statusmeldung erscheint, wenn Der sichere Zustand ist in diesem Falle 

dem Internet verbunden für eine Operation eine nicht betroffen. 

sind. 

Internetverbindung notwendig ist, 

Die 

diese aber nicht besteht. 

Wenn Sie aktuelle Sperrlisten abrufen 

oder eine OCSP Abfrage durchführen 

wollen, wird eine Internet Verbindung 

benötigt. Wenn die Verbindung nicht 

hergestellt werden kann, werden Sie 

mit dieser Meldung aufgefordert, die 

Internet Verbindung zu überprüfen. 

Signaturkomponente Bei folgenden Aktionen kann diese In diesem Falle ist das Produkt 

konnte nicht initialisiert Fehlermeldung erscheinen: 

entweder nicht korrekt installiert oder 

werden! 

� Signaturerzeugung aus dem S- beschädigt. Der sichere Zustand des 

TRUST Sign-it Viewer . 

Produktes kann nicht gewährleistet 

� Signaturverifikation aus dem S- 

werden. Sie sollten das Programm 

TRUST Sign-it Viewer. 

erneut installieren. 

� Alle Operationen, bei denen ein 

Subsystem auf das S-TRUST 

Sign-it Job Interface zurückgreift. 

Der S-TRUST Sign-it Security 

Environment Manager konnte nicht 

gestartet werden bzw. das S-TRUST 

Sign-it Job Interface konnte nicht 

geladen werden.






Die Daten wurden nicht Die Daten konnten nicht signiert Die Chipkarte sendete eine 

signiert! 

werden. Diese Fehlermeldung ist ein Statusmeldung, die besagt, dass die 

Hinweis auf eine fehlerhafte Daten von der Chipkarte nicht 

Kommunikation zwischen dem S- verarbeitet wurden. Der sichere 

TRUST Sign-it Security Environment Zustand des Produktes ist nicht 

Manager und der verwendeten gefährdet, Sie sollten die Operation 

Die Datei ist nicht signiert! 

Chipkarte, außer Sie brechen den wiederholen. 

Signaturvorgang ab. 

Diese Fehlermeldung kann bei der Der sichere Zustand des Produktes ist 

Signaturprüfung über den S-TRUST nicht betroffen. Entweder wurde die 

Sign-it Viewer auftreten. 

Signaturdatei nicht korrekt erzeugt 

Sie haben versucht, die Signatur an oder es hat eine Manipulation der 

einer nicht signierten Datei zu Signaturdatei stattgefunden, die zur 

überprüfen. Es ist beispielsweise eine Folge hat, dass die Signaturdatei leer 

Signaturdatei vorhanden, jedoch ist. 

enthält 

Signatur. 

die Signaturdatei keine 

Die Datei besitzt eine Diese Statusmeldung kann im Dialog Der sichere Zustand des Produktes ist 

ungültige Signatur! zur Signaturprüfung angezeigt werden. nicht betroffen. Es wurde erkannt, dass 

Die Signaturprüfung ist im Abschnitt die Signatur ungültig ist. Sie sollten 

Arbeiten mit den S-TRUST Sign-it dem empfangenen Dokument bzw. der 

Basiskomponenten 2.5 - Signatur nicht vertrauen. 

Signaturprüfung beschrieben. 

Die Signatur passt nicht zu den 

Originaldaten. Ursache können die 

Manipulation der Originaldaten, z.B. 

durch Übertragungsfehler als auch 

gezielte Manipulationen der 

Originaldaten oder der Signatur sein.






Der Zertifikatsstatus Diese Statusmeldung kann im Dialog Der sichere Zustand des Produktes ist 

konnte nicht vollständig zur Signaturprüfung angezeigt werden. nicht betroffen. Sie sollten eine OCSP 

geprüft werden! 

Die Signaturprüfung ist im Abschnitt Abfrage vornehmen. 


Basiskomponenten 2.5 - 

Signaturprüfung beschrieben. 

Diese Statusmeldung erscheint bei der 

Signaturverifikation. Diese Meldung 

erscheint immer dann, wenn die 

Gültigkeit des Zertifikats nicht über 

eine Sperrliste, die nach dem 

Signaturzeitpunkt herausgegeben 

wurde, geprüft werden kann. 

Der Dateityp konnte nicht Die Statusmeldung kann angezeigt Der sichere Zustand des Produktes ist 

ermittelt werden! 

werden, wenn eine Datei über S- 

TRUST Sign-it Viewer signiert oder 

verifiziert werden soll. 

Das Modul zur Dokumentenerkennung 

konnte nicht ermitteln, um welchen 

Dateityp es sich handelt. Es war dem 

nicht betroffen. 

Es liegen 

Modul zur Dokumenterkennung nicht 

möglich, die Datei lesend zu öffnen. 

keine Die Statusmeldung kann angezeigt Der sichere Zustand des Produktes ist 

Informationen über werden, wenn eine Signatur über S- nicht gefährdet. 

Signaturen vor! 

TRUST Sign-it Viewer verifiziert 

werden soll. 

Der Detaildialog für die 

Signaturprüfung wurde aufgerufen, 

ohne dass Signaturinformationen 

übergeben wurden. 

Die Statusabfrage konnte Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

nicht erzeugt werden. wenn im Zertifikatsdetaildialog auf den nicht gefährdet. 

Knopf Onlinestatus geklickt wird. 

Es ist ein interner Fehler bei der 

Erzeugung 

aufgetreten. 

der OCSP Abfrage






Die Antwort des Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Zertifikatsherausgebers wenn im Zertifikatsdetaildialog auf den nicht gefährdet. 

konnte nicht verarbeitet Knopf Onlinestatus geklickt wird. 

werden. 

Die OCSP Antwort des 

Zertifikatsherausgebers enthält Fehler, 

die eine weitergehende Verarbeitung 

der OCSP Antwort unmöglich machen. 

Die OCSP Antwort konnte nicht nach 

dem ASN.1 Standard dekodiert 

Die Antwort 

werden. 

des Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Zertifikatsherausgebers wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Die OCSP Antwort 

enthält einen unbekannten Knopf Onlinestatus geklickt wird. konnte jedoch nicht korrekt verarbeitet 

Statuswert. 

Der vom Herausgeber übermittelte werden. Sie müssen selbst 

Zertifikatsstatus entspricht nicht der entscheiden, ob Sie dem 

Spezifikation nach RFC 2560. Signaturzertifikat vertrauen. 

Die Anfrage an den Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Zertifikatsherausgeber wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Sie müssen selbst 

konnte von diesem nicht Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem 

verarbeitet werden. Der Zertifikatsherausgeber konnte die Signaturzertifikat vertrauen. 

OCSP Anfrage des Produkts S-TRUST 

Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 nicht verarbeiten. 

Die Anfrage führte beim Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Zertifikatsherausgeber zu wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Sie müssen selbst 

einem internen Fehler. Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem 

Der Zertifikatsherausgeber konnte die Signaturzertifikat vertrauen. 

OCSP Anfrage des Produkts S-TRUST 

Sign-it Basiskomponenten 2.5, Version 

2.5.1.1 nicht verarbeiten. Es ist ein 

interner Fehler beim 

Zertifikatsherausgeber aufgetreten.






Die Anfrage kann durch Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

den Zertifikatsherausgeber wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Sie müssen selbst 

zur Zeit nicht bearbeitet Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten 

werden. 

Der Zertifikatsherausgeber kann die Signaturzertifikat vertrauen. Alternativ 

OCSP Anfrage momentan nicht können Sie die OCSP Abfrage zu 

verarbeiten. Sie sollten den Vorgang einem späteren Zeitpunkt noch einmal 

zu einem späteren Zeitpunkt noch durchführen. 

einmal wiederholen. 

Die Anfrage wurde durch Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

den Zertifikatsherausgeber wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Die OCSP Antwort 

mit einem nicht benutzten Knopf Onlinestatus geklickt wird. konnte jedoch nicht korrekt verarbeitet 

Statuscode beantwortet. Der vom Herausgeber übermittelte werden. Sie müssen selbst 

Zertifikatsstatus entspricht nicht der entscheiden, ob Sie dem 

Spezifikation nach RFC 2560. Signaturzertifikat vertrauen. 

Der Zertifikatsherausgeber Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

fordert, daß die Anfrage wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Allerdings kann keine 

signiert wird. Signierte Knopf Onlinestatus geklickt wird. gültige OCSP Anfrage an den 

Anfragen werden zur Zeit Es existieren Formate für OCSP Zertifikatsherausgeber gestellt werden. 

nicht unterstützt. 

Anfragen, bei denen die Anfrage vom Sie müssen selbst entscheiden, ob Sie 

Anfragenden signiert sein muss. Das dem Signaturzertifikat vertrauen. 

ist z.B. bei kostenpflichtigen OCSP 

Respondern der Fall. Dieses Format 

wird vom Produkt S-TRUST Sign-it 

Basiskomponenten 2.5, Version 

Sie haben 

2.5.1.1 nicht unterstützt. 

beim Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Zertifikatsherausgeber wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Allerdings kann keine 

nicht die erforderliche Knopf Onlinestatus geklickt wird. gültige OCSP Anfrage an den 

Berechtigung, um den Der Zertifikatsherausgeber kann durch Zertifikatsherausgeber gestellt werden. 

Status abzufragen. eine eigene Richtlinie festlegen, wer Sie müssen selbst entscheiden, ob Sie 

berechtigt ist, eine OCSP Anfrage an dem Signaturzertifikat vertrauen. 

diesen zu senden. Wenn Sie keine 

entsprechende Berechtigung haben, 

wird Ihnen diese Fehlermeldung 

angezeigt.






Die Anfrage wurde durch Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

den Zertifikatsherausgeber wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Sie müssen selbst 

mit einem unbekannten Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem 

Statuscode beantwortet. Der vom Herausgeber übermittelte Signaturzertifikat vertrauen. 

Zertifikatsstatus entspricht nicht der 

Spezifikation nach RFC 2560. 

Die Statusabfrage konnte Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

nicht durchgeführt werden. wenn im Zertifikatsdetaildialog auf den nicht gefährdet. Allerdings sollten Sie 

Knopf Onlinestatus geklickt wird. überprüfen, ob eine Internetverbindung 

Möglicherweise ist keine vorhanden ist. 

Internetverbindung verfügbar. 

Sie haben noch zwei Diese Meldung kann bei der Der sichere Zustand des Produktes ist 

Versuche, die gültige Signaturerzeugung auftreten. 

nicht gefährdet. Sie sollten beim 

einzugeben. Sie haben insgesamt drei Versuche, nächsten Versuch die korrekte PIN 

die jeweilig abgefragte PIN korrekt eingeben. 

einzugeben. steht z.B. für die 

globale PIN. Wenn diese Meldung 

erscheint, haben Sie bereits einmal die 

falsche PIN eingegeben. 

Sie haben noch einen Diese Meldung kann bei der Der sichere Zustand des Produktes ist 

Versuch, die gültige Signaturerzeugung auftreten. 

nicht gefährdet. Sie sollten beim 

einzugeben. Wird erneut Sie haben insgesamt drei Versuche, nächsten Versuch die korrekte PIN 

die falsche die jeweilig abgefragte PIN korrekt eingeben. 

eingegeben, wird die Karte einzugeben. steht z.B. für die 

unbrauchbar! 

globale PIN. Wenn diese Meldung 

erscheint, haben Sie bereits zweimal 

die falsche PIN eingegeben. 

Die Karte wurde durch Diese Meldung kann bei der Der sichere Zustand des Produktes ist 

mehrfache Fehleingabe Signaturerzeugung auftreten. 

nicht gefährdet. Allerdings können Sie 

unbrauchbar gemacht. Sie haben durch dreimaliges Eingeben die Chipkarte mit dem Produkt nicht 

der falschen PIN die Karte für die mehr verwenden. 

weitere 

gemacht. 

Benutzung unbrauchbar






Der Fehlbedienungszähler Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

ist abgelaufen. 

Signaturerzeugung auftreten. 

nicht gefährdet. Allerdings können Sie 

Der Fehlbedienungszähler der Karte die Chipkarte mit dem Produkt nicht 

zeigt an, dass die PIN insgesamt mehr verwenden. 

dreimal falsch eingegeben wurde. 

Die eingegebene PIN Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist 

entspricht nicht den Ändern der PIN der Chipkarte nicht gefährdet. Sie sollten allerdings 

Anforderungen der Karte! auftreten. 

beim Festlegen der PIN über den 

Die Chipkarte stellt bestimmte Menüpunkt PIN ändern eine PIN 

Anforderungen an die Qualität der PIN. wählen, die den Anforderungen der 

verwendeten Karte genügt. 

Bei der Übertragung des Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

Kommandos an die Karte Signaturerzeugung auftreten. 

nicht gefährdet. Sie sollten den 

trat ein unerwarteter Beim Senden des Kommandos an die Vorgang wiederholen. Wenn der 

Fehler auf! 

Chipkarte ist ein Fehler aufgetreten. Fehler permanent auftritt, sollten Sie 

Die Chipkarte hat mit einem mit dem zur Verfügung stehenden 

Kartenstatus geantwortet, der nicht Modul zur Integritätsprüfung die 

dem erwarteten Status entsprach. korrekte Installation des Produktes auf 

dem Rechner prüfen. 

Die eingegebenen PINs Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist 

sind nicht identisch! Ändern der PIN der Chipkarte nicht gefährdet. Sie sollten den 

auftreten. 

Dieser Fehler kann beim Ändern der 

PIN auftreten, wenn die erste und die 

Bestätigungspin nicht identisch sind. 

Vorgang wiederholen. 

Die eingegebene PIN Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

wurde zurückgewiesen! Signaturerzeugung auftreten. 

nicht gefährdet. Sie sollten den 

Die Verifikation der PIN durch die Vorgang wiederholen. 

Chipkarte ist fehlgeschlagen. Sie 

haben die falsche PIN eingegeben.






Die PIN wurde nicht in der Diese Meldung kann beim Versuch Der sichere Zustand des Produktes ist 

erwarteten Zeit der Signaturerzeugung auftreten. nicht gefährdet. Sie sollten den 

eingegeben! 

Sie haben zu lange gewartet, um die Vorgang wiederholen. 

PIN einzugeben. die meisten 

Sie müssen die 

Kartenleser mit sicherer PIN Eingabe 

unterstützen die Verwendung von 

Timeouts während der PIN Eingabe. 

Karte Diese Meldung kann beim Versuch Der sichere Zustand des Produktes ist 

zuerst freischalten! der Signaturerzeugung auftreten. nicht gefährdet. Sie müssen eine 

Vor der Verwendung muss die Karte freigeschaltete Karte verwenden. Ggf. 

freigeschaltet werden. 

können Sie mit dem Menüpunkt Karte 

freischalten Ihre Karte für die weitere 

Verwendung freischalten. 

Sie müssen die Karte Diese Meldung kann beim Versuch Der sichere Zustand des Produktes ist 

zuerst entsperren. der Signaturerzeugung auftreten. nicht gefährdet. Sie müssen vor einer 

Sie haben durch mehrfaches weiteren Verwendung der Karte diese 

Eingeben der falschen Pin die Karte durch die Eingabe der PUK wieder 

gesperrt. Sie müssen vor einer entsperren. 

Zur Zeit stehen 

weiteren Verwendung der Karte diese 

durch die Eingabe des PUK wieder 

entsperren. 

keine Diese Meldung kann beim Versuch Der sichere Zustand des Produktes ist 

geeigneten Zertifikate zur der Signaturerzeugung auftreten. nicht gefährdet. Sie müssen 

Verfügung! 

Möglicherweise wollen Sie eine Datei sicherstellen, dass Sie einen 

signieren und haben keinen Kartenleser installiert und eine 

Kartenleser angeschlossen oder Chipkarte eingelegt haben, die vom 

keine Chipkarte eingelegt. 

Produkt verwendet werden kann. 

Die Antwort ist nicht vom Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

erwarteten Typ BASIC. wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten 

Das Format BASIC ist bisher das Signaturzertifikat vertrauen. 

standardisierte Format für OCSP - 

Antworten. Möglicherweise werden zu 

einem späteren Zeitpunkt neue 

Formate definiert, die vom Produkt 

dann nicht unterstützt werden.






Die Antwort hat nicht die Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

erwartete Version. wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 


Die OCSP - Antwort hat nicht die Signaturzertifikat vertrauen. 

erwartete Version. 

Beim Prüfen der Antwort ist Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

ein unerwarteter interner wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

Fehler aufgetreten. den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten 

Die empfangene OCSP Antwort Signaturzertifikat vertrauen. 

konnte nicht korrekt überprüft werden. 

Möglicherweise sind syntaktische 

Fehler in der OCSP-Antwort 

Die Anwort 

vorhanden. 

enthält Diese Statusmeldung kann auftreten, Der sichere Zustand des Produktes ist 

mindestens eine wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

unbekannte kritische den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten 

Erweiterung. 

Kritische Erweiterungen sind Signaturzertifikat vertrauen. 

Antwortzusätze, die Ihnen bei der 

Auswertung der OCSP - Antwort zur 

Kenntnis gelangen sollten. Das 

Produkt S-TRUST Sign-it 


2.5.1.1 ist nicht in der Lage, diese 

kritische Erweiterung korrekt zu 

Die Antwort ist 

interpretieren. 

nicht Diese Statusmeldung kann auftreten, Der sichere Zustand des Produktes ist 

Signaturgesetz konform wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

(positive Kenntnisaussage den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten 

fehlt). 

In der Antwort ist nicht die Aussage Signaturzertifikat vertrauen. 

enthalten, dass der Herausgeber das 

Zertifikat kennt.






Die Antwort enthält eine Diese Statusmeldung kann auftreten, Der sichere Zustand des Produktes ist 

unleserliche Zeitangabe der wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

letzten Überprüfung. den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten 

Der Zeitpunkt der letzten Überprüfung Signaturzertifikat vertrauen. 

gibt an, wann der OCSP-Antwortende 

die Gültigkeit des Zertifikats das letzte 

Mal geprüft hat. Das Zeitformat in der 

OCSP-Antwort für diese Überprüfung 

konnte nicht dekodiert werden. 

Der in der OCSP Antwort Diese Statusmeldung kann auftreten, Der sichere Zustand des Produktes ist 

angegebene Zeitpunkt wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

weicht von Ihrer lokalen den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten 

Systemzeit ab. Der Der Zeitpunkt der letzten Signaturzertifikat vertrauen. Sie sollten 

angegebene Zeitpunkt liegt Zertifikatsprüfung durch den OCSP- die lokale Systemzeit überprüfen. 

in der Zukunft. 

Antwortenden liegt gegenüber der 

lokalen Systemzeit in der Zukunft. 

Die Antwort enthält eine Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

unleserliche Zeitangabe der wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

nächsten Überprüfung. den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten 

Der Zeitpunkt der nächsten Signaturzertifikat vertrauen. 

Überprüfung gibt an, wann der 

OCSP-Antwortende die Gültigkeit des 

Zertifikats das Nächste mal prüfen 

wird. Das Zeitformat in der OCSP- 

Antwort für diese Überprüfung konnte 

nicht dekodiert werden. 

Die Antwort ist wegen der Diese Statusmeldung kann auftreten, Der sichere Zustand des Produktes ist 

aufgeführten Gründe nicht wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie sollten dem 

oder nur bedingt den Knopf Onlinestatus geklickt wird. Zertifikat nicht vetrauen. 

vertrauenswürdig. 

Diese Meldung erscheint, sobald 

Gründe vorliegen, der empfangenen 

OCSP-Antwort nur bedingt oder nicht 

zu vertrauen.






Die Antwort gilt nicht für das Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

angefragte Zertifikat!! wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie sollten dem 

den Knopf Onlinestatus geklickt wird. Zertifikat nicht vetrauen und die 

Die empfangene Antwort bezieht sich Integrität 

nicht auf das angefragte Zertifikat. überprüfen. 

des Betriebssystems 

Eine solche Meldung kann ein 

Indikator für die Manipulation der 

Antwort durch Dritte sein (Man in the 

Middle). 

Interner Fehler beim Lesen Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

eines Zertifikates. 

wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie sollten Zertifikaten, 

den Knopf Onlinestatus geklickt wird. die nicht korrekt durch das Produkt 

Ein Zertifikat, welches vom Produkt dekodiert 

benötigt wird, konnte nicht gelesen vertrauen. 

oder dekodiert werden. 

werden können, nicht 

Die Signatur der Antwort Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

konnte nicht geprüft wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen 

werden. 

den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem Zertifikat 

Die Signatur der OCSP Antwort vertrauen. 

konnte nicht verifiziert werden. 

Das Zertifikat 

Möglicherweise ist der Hashwert der 

Signatur manipuliert worden oder es 

konnte kein Zertifikat zu der Signatur 

ermittelt werden. 

der Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Gegenstelle konnte nicht wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

gefunden werden: 


Nach dem ISIS-MTT Standard sollte Signaturzertifikat vertrauen. 

das Zertifikat des OCSP 

Antwortenden in der OCSP Antwort 

enthalten sein. Das Zertifikat ist in der 

Antwort aber nicht enthalten.






Das Zertifikat der Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Gegenstelle konnte nicht wenn im Zertifikatsdetaildialog auf nicht gefährdet. Allerdings kann die 

positiv geprüft werden. den Knopf Onlinestatus geklickt wird. OCSP Antwort auf Grund veralteter 

Möglicherweise existiert kein Sperrlisten nicht korrekt verarbeitet 

Sperrliste für die OCSP Signatur oder werden. Sie sollten die lokalen 

die Sperrliste ist veraltet. Eine Sperrlisten aktualisieren. 

Das Zertifikat 

Sperrliste gilt als veraltet, wenn der in 

der Sperrliste angegbene Zeitpunkt 

für die Erneuerung der Sperrliste auf 

dem lokalen Rechner überschritten 

wurde. 

der Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Gegenstelle berechtigt nicht wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

zur OCSP-Signatur. den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten 

Die 

Das Zertifikat, mit welchem die OCSP Signaturzertifikat vertrauen. 

Antwort signiert wurde, berechtigt den 

Signierenden nicht zu einer OCSP 

Signatur. 

positive Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Kenntnisaussage ist wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

fehlerhaft. 


Die positive Kenntnisaussage ist Signaturzertifikat vertrauen. 

Es fehlt ein 

entweder nicht vorhanden oder ist 

fehlerhaft. 

expliziter Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Hinweis auf die Gültigkeit wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

der Antwort trotz den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem verwendeten 

abgelaufenem Zertifikat. Das angefragte Zertifikat ist sowohl Signaturzertifikat vertrauen. 

abgelaufen und die Antwort enthält 

keinerlei Hinweis darauf, ob die 

Gegenstelle Kenntnis vom Status 

dieses Zertifikates hat.






OCSP Response Interner Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Fehler 

wenn im Zertifikatsdetaildialog auf nicht gefährdet. Die OCSP Antwort 

den Knopf Onlinestatus geklickt wird. konnte vom Produkt nicht korrekt 

Es ist ein interner Fehler bei der verarbeitet werden. Sie müssen selbst 

Prüfung der OCSP Antwort entscheiden, ob Sie dem verwendeten 

aufgetreten. 

Signaturzertifikat vertrauen. 

Die Gültigkeit der Antwort Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

wird nicht mehr garantiert. wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 


Das Zertifikat ist der Gegenstelle zwar Signaturzertifikat vertrauen. 

bekannt, die Zeit für die 

Informationsaufbewahrung zu dem 

angefragten Zertifikat ist allerdings 

abgelaufen. 

Zu dem Zertifikat fehlt das Diese Fehlermeldung kann durch den Der sichere Zustand des Produktes ist 

Herausgeberzertifikat. Zertifikatsdetaildialog ausgelöst nicht gefährdet. Sie müssen selbst 

werden. 

entscheiden, ob Sie dem verwendeten 

In der internen Zertifikatsverwaltung Signaturzertifikat vertrauen. 

wurde das Herausgeberzertifikat nicht 

gefunden. 

Zu einem der Herausgeber Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

wurde keine Sperrliste Signaturprüfdialog erscheinen. nicht gefährdet. Sie müssen selbst 

gefunden. 

Für einen Herausgeber existiert keine entscheiden, ob Sie dem verwendeten 

Sperrliste auf dem lokalen Rechner. Signaturzertifikat vertrauen. Sie sollten 

die aktuellen Sperrlisten abrufen. 

Fehler beim Erzeugen Diese Statusmeldung kann beim Der sichere Zustand des Produktes ist 

eines Zeitstempels. Holen eines Zeitstempels erscheinen. nicht gefährdet. Sie können versuchen, 

Während des Empfangs des den Zeitstempel erneut einzuholen. 

Zeitstempels ist ein Fehler 

aufgetreten, so dass der Zeitstempel 

von dem Produkt nicht eingeholt 

werden konnte.






Fehler beim Holen einer Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist 

OCSP Antwort. 

Holen einer OCSP Antwort auftreten. nicht gefährdet. Sie können versuchen, 

Möglicherweise besteht keine eine erneute OCSP Abfrage 

Verbindung zum Internet oder der durchzuführe. 

OCSP Responder ist nicht erreichbar. 

Zu einem der Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

Herausgeberzertifikate Signaturprüfdialog erscheinen. nicht gefährdet. Sie müssen selbst 

wurde keine aktuelle Es ist zwar eine Sperrliste vorhanden, entscheiden, ob Sie dem verwendeten 

Sperrliste gefunden. jedoch ist diese Sperrliste abgelaufen. Signaturzertifikat vertrauen. Sie sollten 

Sie sollten die Sperrlisten über den S- die aktuellen Sperrlisten abrufen. 

TRUST Sign-it 

Sperrlistenaktualisierungsassistent 

aktualisieren. 

Von einem der Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

Herausgeber wurde das Signaturprüfdialog erscheinen. nicht gefährdet. Sie sollten dem 

Zertifikat zurückgezogen Das Zertifikat wurde durch den Zertifikat nicht vertrauen. 

Herausgeber zurückgezogen (das 

Zertifikat ist in der Sperrliste als 

zurückgezogen markiert). 

Die Sperrliste einer der Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

Herausgeber hat Signaturprüfdialog erscheinen. nicht gefährdet. Sie sollten die 

unbekannte Fehler. Die verwendete hat entweder aktuellen Sperrlisten abrufen und den 

syntaktische Fehler oder enthält Vorgang wiederholen. Zusätzlich 

Zusätze, die vom Produkt nicht sollten Sie eine OCSP Abfrage zu dem 

verarbeitet werden können. 

Zertifikat durchführen. 

Von diesem Inhaber ist Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

keine Sperrliste vorhanden. Signaturprüfdialog erscheinen. nicht gefährdet. Sie sollten die 

Zu einem konkreten Herausgeber aktuellen Sperrlisten abrufen und den 

wurde kein Sperrliste gefunden. Vorgang wiederholen.






Die Sperrliste dieses Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

Inhabers ist abgelaufen. Signaturprüfdialog erscheinen. nicht gefährdet. Sie sollten die 

Die Sperrliste des konkreten aktuellen Sperrlisten abrufen und den 

Herausgebers ist abgelaufen. Sie Vorgang wiederholen. 

sollten die Sperrlisten über den S- 

TRUST Sign-it 

Sperrlistenaktualisierungsassistent 

aktualisieren. 

Das Prüfzertifikat ist nach Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

der Sperrliste dieses Signaturprüfdialog erscheinen. nicht gefährdet. Sie sollten dem 

Inhabers zurückgezogen. Der konkrete Herausgeber hat dieses Zertifikat nicht vertrauen. 

Zertifikat zurückgezogen. 

Die Sperrliste dieses Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

Inhabers hat unbekannte Signaturprüfdialog erscheinen. nicht gefährdet. Sie sollten die 

Fehler. 

Die Sperrliste dieses konkreten aktuellen Sperrlisten abrufen und den 

Herausgebers weist Fehler auf. Vorgang wiederholen. 

Sie vertrauen keinem der Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

Wurzelzertifikate! 

Signaturprüfdialog erscheinen. nicht gefährdet. Sie müssen selbst 

Diese Meldung sagt aus, dass keinem entscheiden, ob Sie dem verwendeten 

der Wurzelzertifikate vertraut wird. Signaturzertifikat vertrauen. 

Das Modul besitzt eine Diese Fehlermeldung kann beim Start Der sichere Zustand des Produktes ist 

ungültige Signatur. Das des S-TRUST Sign-it Security nicht gewährleistet. Sie müssen mit 

Programm wird beendet. Environment Managers generiert Hilfe des zur Verfügung stehenden 

werden. 

Integritätschecks die gesamte 

Diese Meldung sagt aus, dass die Installation überprüfen. Sie müssen 

Signatur des angegebenen das Produkt deinstallieren und erneut 

Programm-Moduls beschädigt ist oder installieren. 

die Originaldaten (das Modul) und die 

Signaturdatei nicht zueinander 

passen. Aus Sicherheitsgründen wird 

die Anwendung S-TRUST Sign-it 


2.5.1.1 in diesem Falle beendet.






Das Zertifikat wurde nicht Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

geprüft. 

Signaturprüfdialog erscheinen. nicht gefährdet. Sie müssen selbst 

Diese Statusmeldung sagt aus, dass entscheiden, ob Sie dem verwendeten 

die Zertifikate nicht geprüft wurden. Signaturzertifikat vertrauen. Alternativ 

sollten Sie eine OCSP Abfrage zu dem 

Zertifikat durchführen. 

Die zu signierenden Daten Diese Statusmeldung kann immer Der sichere Zustand des Produktes 

wurden vor der dann auftreten, wenn Sie eine digitale kann gefährdet sein. Der sichere 

Signaturerzeugung Signatur über einen der Zustand ist nur dann nicht gefährdet, 

verändert! 

Produktbestandteile erzeugen wollen. wenn Sie nicht selbst aus Versehen 

Diese Meldung sagt aus, dass die die Daten zwischenzeitlich geändert 

Originaldaten, die vom haben. In jedem anderen Fall sollten 

Produktbestandteil zur Signatur an Sie die Arbeit mit dem Produkt 

den S-TRUST Sign-it Security einstellen und eine Integritätsprüfung 

Environment Manager übergeben des Produktes vornehmen. Wird bei 

wurden, zwischenzeitlich verändert der Integritätsprüfung keine 

wurden. 

Veränderung des Produktes entdeckt, 

sollte mit Hilfe eines Virenscanners der 

Rechner auf böswillige Programme hin 

untersucht werden. 

Das Produkt nimmt in diesem Falle 

einen sicheren Zustand ein, da die 

Funktionen zur Signaturerzeugung und 

Signaturverifikation durch den S- 

TRUST Sign-it Security Environment 

Manager in diesem Falle deaktviert 

werden. 

Der eingesetzte Diese Fehlermeldung kann bei der Sie sollten sich über die 

Hashalgorithmus wird als Signaturverifikation auftreten. Veröffentlichungen der 

ungeeignet eingestuft. Diese Meldung sagt aus, dass für die Bundesnetzagentur unter 

Signaturerzeugung ein www.bundesnetzagentur.de 

Hashalgorithmus verwendet wurde, informieren, welcher Hashalgorithmus 

der für die Erzeugung qualifizierter zulässig ist. 

Signaturen nicht zulässig ist.






Die verwendeten Diese Fehlermeldung kann bei der Sie sollten sich über die 

Signaturparameter werden Signaturverifikation auftreten. Veröffentlichungen der 

als ungeeignet eingestuft. Diese Meldung sagt aus, dass für die Bundesnetzagentur unter 

Signaturerzeugung entweder ein www.bundesnetzagentur.de 

Hashalgorithmus verwendet wurde, informieren, welcher Hashalgorithmus 

der für die Erzeugung qualifizierter und welche Schlüssellängen zulässig 

Signaturen oder die verwendete sind. 

Die 

Schlüssellänge nicht zulässig ist. 

verwendeten Diese Fehlermeldung kann bei der Sie sollten sich über die 

Algorithmen entsprechen Signaturerprüfung auftreten. 

Veröffentlichungen der 

nicht den Prüfvorgaben. Diese Meldung weist darauf hin, dass Bundesnetzagentur unter 

ein Hashalgorithmus verwendet www.bundesnetzagentur.de 

wurde, der nicht den Vorgaben der informieren, welcher Hashalgorithmus 

Bundesnetzagentur entspricht. Dieser und welche Schlüssellängen zulässig 

Hinweis erscheint in der sind. 

Zusammenfassung des Prüfdialogs. 

Die von der Karte erzeugte Diese Fehlermeldung kann bei der Der sichere Zustand des Produktes ist 

Signatur entspricht nicht Signaturerzeugung auftreten. gefährdet. Sie sollten den S-TRUST 

den zu signierenden Daten! Diese Meldung sagt aus, dass nicht Sign-it Security Environment Manager 

der Hashwert signiert wurde, der beenden und den Rechner 

beabsichtigt wurde. 

herunterfahren, um sicherzugehen, 

Ein Fehler ist bei 

dass sich keine digitalen Signaturen 

mehr im Speicher befinden. 

der Diese Fehlermeldung kann beim Start Der sichere Zustand des Produktes 

Initialisierung aufgetreten. des Assistenten zur kann gefährdet sein. Sie sollten mit 

Das Programm kann nicht Sperrlistenaktualisierung generiert dem zur Verfügung stehenden 

weiter ausgeführt werden. werden. 

Prüfprogramm die Integrität der 

Wenden Sie sich bitte an Bei der Sperrlistenaktualisierung ist Installation überprüfen. 

die Online-Hilfe und prüfen ein Fehler bei der Initialisierung des 

Sie Ihre Installation. S-TRUST Sign-it 

Sperrlistenaktualisierungsassistenten 

aufgetreten, der eine weitere 

Benutzung des Sperrlisten 

Aktualisierungsassistenten unmöglich 

macht.


Fehlermeldungen des S-TRUST Sign-it 

Viewer 

Der S-TRUST Sign-it Viewer kann ebenfalls Fehlermeldungen generieren, die in der folgenden 

Tabelle aufgelistet sind. 

Grundsätzlich gilt: Wenn eine Fehlermeldung generiert wird, über deren Bedeutung Sie sich nicht 

sicher sind, sollten Sie das Dokument nicht signieren. 

Fehlermeldung des Fehlerursache Auswirkungen auf den sicheren Zustand des 

S-TRUST 


Sign-it 

Produktes/Benutzerreaktion 

Das Format der Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

Datei ist nicht einer Datei mit dem S-TRUST Sign-it gefährdet. Sie sollten die Datei nicht signieren, 

geeignet! 

Viewer direkt durch diese oder beim wenn Sie für die Daten über kein sicheres 

Öffnen einer Datei über den Anzeigemodul verfügen. 

Signaturanforderungsdialog 

werden. 

generiert 

Sie haben versucht, eine Datei mit dem 

S-TRUST Sign-it Viewer zu öffnen, die 

weder als PDF, TIFF noch als Text 

Datei erkannt wurde. Diese 

Fehlermeldung wird Ihnen auch dann 

angezeigt, wenn aktive Inhalte in dem 

Dokument vorhanden sind. 

Sie verfügen nicht Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

über die benötigte einer Datei mit dem S-TRUST Sign-it gefährdet. 

Lizenz, um Dateien Viewer generiert werden. 

dieses Formates Sie haben versucht, eine Datei mit dem 

anzuzeigen! S-TRUST Sign-it Viewer zu öffnen, die 

entsprechend dem Funktionsumfang 

der installierten Lizenz nicht geöffnet 

werden kann.







Es steht keine Diese Fehlermeldung wird generiert, Diese Fehlermeldung wird Ihnen nur 

gültige Lizenz zur wenn der Viewer auf einem PC angezeigt, falls Sie eine Datei mit dem Viewer 

Verfügung. Das gestartet wird, auf dem keine Lizenz für öffnen wollen und über keine Lizenz verfügen 

Programm wird die S-TRUST Sign-it Basiskomponenten (auch nicht über eine Reader-Lizenz). 

beendet. 

2.5, Version 2.5.1.1 installiert ist. Wenn diese Fehlermeldung erscheint, ist die 

Sie haben vesucht, den S-TRUST Sign- Lizenzdatei von Ihrem Rechner entfernt 

it Viewer zu starten, obwohl keine worden. Der sichere Zustand des Produktes ist 

Lizenz für die S-TRUST Sign-it nicht betroffen, jedoch sollten Sie mit einem 

Basiskomponenten 2.5, Version 2.5.1.1 geeigneten Programm (Virenscanner etc.) die 

installiert ist. 

Integrität Ihres Betriebssystes überprüfen. 

Eventuell haben unberechtigte Dritte Zugriff auf 

Ihren Rechner erlangt. 

Die Schriftart Diese Fehlermeldung tritt auf, wenn die Der sichere Zustand des Produktes ist 

'Courier New', die für Datei cour.ttf auf dem Computer nicht betroffen. Sie sollten überprüfen, ob die Datei 

die Darstellung von vorhanden ist oder von der Dateiversion cour.ttf auf dem Rechner vorhanden ist. Sie 

Text verwendet wird, abweicht, die der Originalinstallation sollten keine Signaturen an Text-Dokumenten 

wurde auf diesem entspricht. Diese Fehlermeldung wird vornehmen, da die korrekte Darstellung nicht 

Computer nicht beim Start des S-TRUST Sign-it mehr gewährleistet werden kann. 

gefunden oder Viewers gemeldet bzw. beim Öffnen 

stimmt nicht mit der eines Textdokuments. 

Originalinstallation 

überein. 

Fehler beim Zugriff Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

auf die Datei! einer Datei mit dem S-TRUST Sign-it gefährdet. 

Viewer direkt durch diese oder beim wiederholen. 

Sie sollten den Vorgang 

Öffnen einer Datei über den 


werden. 

generiert 

Beim Zugriff auf die zu öffnende Datei 

(Kommandozeile oder Menübefehl) ist 

ein Fehler aufgetreten. Die Datei 

existiert nicht oder kann nicht gelesen 

werden.







Die Datei enthält Diese Fehlermeldung kann während der Der sichere Zustand des Produktes ist nicht 

sowohl 'DOS' als Untersuchung von Textdokumenten gefährdet. Sie sollten eine Untersuchung des 

auch 'Windows' auftreten. 

Textdokuments wie im Kapitel Arbeiten mit 

Umlaute. Eine Das Textdokument enthält Zeichen, die dem S-TRUST Sign-it Viewer beschrieben, 

korrekte Darstellung als Umlaute in der Windows Darstellung vornehmen. 

ist u.U. nicht erkannt werden. Darüber hinaus sind 

möglich. 

aber auch Zeichen in dem dokument 

vorhanden, die als Umlaute in der DOS 

Codierung interpretiert werden. 

Die Datei enthält Diese Fehlermeldung kann während der Der sichere Zustand des Produktes ist nicht 

Zeichen, für die Untersuchung von Textdokumenten gefährdet. Sie sollten eine Untersuchung des 

keine eindeutige auftreten. 

Textdokuments wie im Kapitel Arbeiten mit 

Darstellung definiert Das Dokument enthält Zeichen, für die dem S-TRUST Sign-it Viewer beschrieben, 

ist. 

in verschiedenen Schriftsätzen vornehmen. 

verschiedene 

sind. 

Darstellungen definiert



S-TRUST Sign-it 



Die TIFF Datei hat Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

eine Größe von . einer Datei mit dem S-TRUST Sign-it gefährdet. Sie müsen die enthaltenen Daten in 

Sie enthält freie Viewer direkt durch diese oder beim dem Dokument genauer untersuchen. Sie 

(scheinbar 

Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das 

ungenutzte) Signaturanforderungsdialog generiert Dokument signieren wollen oder nicht. 

Bereiche mit einer werden. 

Gesamtgröße von Eine TIFF-Datei wurde geöffnet, deren 

. 

Inhalt nicht vollständig durch die 

enthaltenen Tags belegt wird. Die durch 

angegebene Anzahl von Bytes der 

Datei wird durch den ‚offiziellen’ 

Dateiinhalt nicht verwendet und kann 

verborgene Inhalte enthalten. Die 

Meldung wird ausgegeben, wenn die 

Zahl der nicht adressierten Bytes mehr 

als 50 beträgt. In jedem Fall können 

diese Bytes unter ‚Ansicht / Weitere 

Dateiinhalte’ betrachtet werden. 

(Einzelne nicht belegte Bytes bzw. 

kleinere ungenutzte Dateibereiche sind 

in TIFF-Dateien normal. Sie entstehen 

durch Füllbytes, die bei der Anordnung 

von Tabellen auf WORD- oder 

DWORD-Grenzen erforderlich werden, 

aber auch durch die Bearbeitung der 

TIFF-Datei.)







Fehler in TIFF- Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

Struktur: Tag einer Datei mit dem S-TRUST Sign-it gefährdet. Sie müssen die enthaltenen Daten 

'StripOffset' Zeiger Viewer direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie 

ohne 


Größenangabe! Signaturanforderungsdialog 

werden. 

generiert Dokument signieren wollen oder nicht. 

Interner Fehler in der TIFF-Struktur. Der 

Inhalt kann u.U. nicht korrekt angezeigt 

werden. Weitere Fehlermeldungen sind 

möglich. Diese Meldung kann nur im 

Fall einer beschädigten TIFF-Datei 

Fehler in TIFFauftreten. 

Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

Struktur: Tag einer Datei mit dem S-TRUST Sign-it gefährdet. Sie müssen die enthaltenen Daten 

'TileOffsets' ohne Viewer direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie 

'TileByteCount' Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das 

gefunden! 


werden. 


Interner Fehler in der TIFF-Struktur. Der 

Inhalt kann u.U. nicht korrekt angezeigt 

werden. Weitere Fehlermeldungen sind 

möglich. Diese Meldung kann nur im 

Fall einer beschädigten TIFF-Datei 

Fehlendes Tag! 

auftreten. 

Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

einer Datei mit dem S-TRUST Sign-it gefährdet. Sie müssen die enthaltenen Daten 

Viewer direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie 



werden. 


Es wurde ein Tag nicht gefunden. Es ist 

ein Fehler im Programm aufgetreten.







Fehlerhafter Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

TagType! 

einer Datei mit dem S-TRUST Sign-it gefährdet. Der Benutzer muss die enthaltenen 

Viewer direkt durch diese oder beim Daten in dem Dokument genauer untersuchen. 

Öffnen einer Datei über den Der Benutzer muss selbst entscheiden, ob er 


werden. 

generiert das Dokument signieren will oder nicht. 

Fehler in der TIFF-Struktur. Der Typ 

eines Tag’s entspricht nicht der 

Fehler 

Spezifikation. Weitere Fehlermeldungen 

sind möglich. (Tritt beim Markieren 

eines Tag’s auf, wenn dieses Tag nicht 

der Spezifikation entspricht.) 

in Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

DataLength einer Datei mit dem S-TRUST Sign-it gefährdet. Sie müssen die enthaltenen Daten 

(erwartet 'X' Viewer direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie 

gefunden 'Y') Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das 


werden. 


Fehler in der TIFF-Struktur. Der 

Datenumfang eines Tag’s entspricht 

nicht der Spezifikation. Tritt nur auf, 

wenn die Spezifikation den 

Datenumfang des Tag’s explizit festlegt 

und das Tag dieser Festlegung nicht 

entspricht. Weitere Fehlermeldungen 



der Spezifikation entspricht.)







Fehler in Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

DataLength einer Datei mit dem S-TRUST Sign-it gefährdet. Sie müssen die enthaltenen Daten 

(erwartet 'X1' oder Viewer direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie 

'X2' gefunden 'Y') Öffnen einer Datei über den müssen selbst entscheiden, ob Sie das 


werden. 



Datenumfang eines Tag’s entspricht 

nicht der Spezifikation. Tritt nur auf, 

wenn die Spezifikation den 

Datenumfang des Tag’s explizit festlegt 

und das Tag dieser Festlegung nicht 

entspricht. Weitere Fehlermeldungen 



der Spezifikation entspricht.) 

Fehler in DataType Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

(erwartet '2' (ASCII) einer Datei mit dem S-TRUST Sign-it gefährdet. Sie müssen die enthaltenen Daten 

gefunden '') Viewer direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie 



werden. 



Datentyp eines Tag's entspricht nicht 

der Spezifikation. Tritt nur auf, wenn die 

Spezifikation den Datentyp des Tag's 

explizit festlegt und das Tag dieser 

Festlegung nicht entspricht. Weitere 

Fehlermeldungen sind möglich.







Fehler in Datei! Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

Zeiger ausserhalb einer Datei mit dem S-TRUST Sign-it gefährdet. Sie müssen die enthaltenen Daten 

des Bereichs! Viewer direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie 



werden. 


Es ist ein Fehler in der TIFF-Datei 

aufgetreten. Eine Adresse in der 

Fehler in 

Struktur der TIFF-Datei verweist auf 

Daten, die hinter dem Ende der Datei 

liegen. Tritt auf, wenn die TIFF-Datei 

unvollständig ist (abgeschnitten) oder 

die Adressdaten in der Datei beschädigt 

wurden. Weitere Fehlermeldungen sind 

zu erwarten. 

Datei! Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

Überschneidung! einer Datei mit dem S-TRUST Sign-it gefährdet. Sie müssen die enthaltenen Daten 

Viewer direkt durch diese oder beim in dem Dokument genauer untersuchen. Sie 



werden. 


Fehler in der TIFF-Datei. Eine Adresse 

in der Struktur der TIFF-Datei verweist 

auf Daten, die in einem Bereich der 

Datei liegen, in dem bereits andere 

Daten identifiziert wurden. Tritt auf, 

wenn die Adressdaten in der Datei 

beschädigt wurden. Weitere 

Fehlermeldungen sind zu erwarten.







Die 

Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes kann nicht 

Signaturkomponente einer Datei mit dem S-TRUST Sign-it gewährleistet werden. Sie sollten mit dem zur 

konnte nicht Viewer direkt durch diese oder beim Verfügung stehenden Modul zur 

initialisiert werden! Öffnen einer Datei über den Integritätsprüfung die Integrität der Installation 


werden. 

generiert auf dem Rechner überprüfen. 

Das S-TRUST Sign-it Job Interface 

steht nicht zur Verfügung. Dies ist ein 

kritischer Fehler. Sie sollten mit dem S- 

TRUST Sign-it Integrity Tool die 

Auf die 

korrekte Installation des Produktes auf 

dem Arbeitsplatz überprüfen. 

Datei Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

'' kann nicht einer Datei mit dem S-TRUST Sign-it gefährdet. Sie sollten den Vorgang 

zugegriffen werden: Viewer direkt durch diese oder beim wiederholen. 

Öffnen einer Datei über den 


werden. 

generiert 

Die Datei wurde ursprünglich 

geöffnet und gelesen, steht bei einem 

späteren Zugriff jedoch nicht mehr zur 

Verfügung. Die Fehlermeldung des 

Betriebssystems steht in einer zweiten 

Zeile.







Beim Laden des Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

TIFF-Bildes ist ein einer Datei mit dem S-TRUST Sign-it gefährdet. Allerdings kann das Dokument nicht 

Fehler aufgetreten: Viewer direkt durch diese oder beim angezeigt werden. Sie müssen entscheiden, 

Öffnen einer Datei über den ob Sie das Dokument trotzdem signieren 

Signaturanforderungsdialog generiert möchten, obwohl kein sicheres Anzeigemodul 

werden. 

zur Verfügung steht. 

Es wurde ein Fehler festgestellt, der 

sich auf die Struktur der TIFF-Datei 

bzw. die Auswertung des Inhalts 

bezieht. Beispiel: Nicht unterstützte 

Kompressionsverfahren oder Fehler in 

der Dateistruktur. Eine genaue 

Es sind 

Bezeichnung des Fehlers - in englischer 

Sprache - steht in der zweiten Zeile. 

Diese Fehlermeldung wird generiert, Der sichere Zustand des Produktes ist nicht 

Java Script wenn der S-TRUST Sign-it Viewer Java gefährdet. Sie sollten sich jedoch über den 

Elemente im Script Elemente identifiziert hat. Inhalt der Java Script Elemente über den 

Dokument enthalten. Sie sollten sich über den Menüpunkt Menüpunkt 

'Weitere Dateiinhalte' über den Inhalt informieren. 

'Weitere Dateiinhalte' 

der Java Scripte informieren. 

Im Zweifelsfall sollten Sie die 

Fehler in der Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

Datenlänge eines PDF Dokuments angezeigt gefährdet, jedoch sollten Sie die Datei nicht 

werden. 

weiter verarbeiten, da ein Fehler in der 

internen Dokumentstruktur vorliegt. 

Fehler im Zugriff auf Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

die Datei! 

eines Dokuments angezeigt werden. gefährdet. Sie haben jedoch eine Datei 

ausgewählt, die nicht geöffnet werden kann. 

Beispielsweise kann die Datei exklusiv durch 

Das Modul besitzt Start des Viewers angezeigt werden. mehr gewährleistet. Das Programm wird 

eine ungültige 

beendet. Sie sollten mit dem zur Verfügung 

Signatur! Das 

stehenden Modul zur Integritätsprüfung die 

Programm wird 

Integrität der Installation auf dem Rechner 

beendet. 

überprüfen und sicherstellen, dass nicht 

b h i D i Z iff f Ih







Das Modul konnte Start des Viewers angezeigt werden. mehr gewährleistet. Das Programm wird 

nicht geladen 

beendet. Sie sollten mit dem zur Verfügung 

werden! Das 

stehenden Modul zur Integritätsprüfung die 

Programm wird 

Integrität der Installation auf dem Rechner 

beendet. 

überprüfen und sicherstellen, dass nicht 

unberechtigte Dritte Zugriff auf Ihren 

Das Dokument ist Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

beschädigt und eines PDF Dokuments angezeigt betroffen. Der Viewer hat jedoch erkannt, 

muss repariert werden. 

dass das vorliegende Dokument nicht 

werden. 

verarbeitet oder angezeigt werden kann. 

Eine solches Dokument sollten Sie nicht 

signieren. 

Die Datei-Ende Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

Markierung (EOF) eines PDF Dokuments angezeigt betroffen. Der Viewer hat jedoch erkannt, 

wurde nicht werden. 

dass das vorliegende Dokument einen 

gefunden. 

syntaktischen Fehler enthält. 

Ein solches Dokument sollten Sie nicht 

signieren. 

Die Datei konnte Diese Fehlermeldung kann beim Öffnen Der sichere Zustand des Produktes ist nicht 

nicht geöffnet eines PDF Dokuments angezeigt gefährdet, die Datei konnte jedoch nicht 

werden. 

werden. 

geöffnet werden. 

Ein unerwarteter Diese Fehlermeldung wird angezeigt, Der sichere Zustand des Produktes ist nicht 

Fehler ist wenn ein Fehler aufgetreten ist, der gefährdet. 

aufgetreten! eine weitere Verarbeitung der Daten Sie sollten die laufende Operation jedoch 

unmöglich macht. 

abbrechen bzw. den Viewer schliessen. 

- es sind alternative Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht 

Abbildungen eines PDF Dokuments angezegt betroffen, jedoch hat der Viewer erkannt, 

enthalten 

werden. 

dass Anweisungen in dem PDF Dokument 

vorhanden sind, die nicht ausgeführt werden 

können. 

Sie sollten eine solche Datei nicht signieren.







- es sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht 

Anweisungen zur eines PDF Dokuments angezegt betroffen, jedoch hat der Viewer erkannt, 

Ausführung externer werden. 


Programme 


enthalten 

können. 

Sie sollten eine solche Datei nicht signieren. 

- es sind Verweise Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht 

auf externe Dateien eines PDF Dokuments angezegt betroffen, jedoch hat der Viewer erkannt, 

enthalten 

werden. 



können. 



Verzweigungen eines PDF Dokuments angezegt betroffen, jedoch hat der Viewer erkannt, 

auf externe werden. 


Dokumente 


enthalten 

können. 



Anweisungen zum eines PDF Dokuments angezegt betroffen, jedoch hat der Viewer erkannt, 

Verbergen von werden. 


Inhalten enthalten 


können. 




Zugriff auf das werden. 


Internet enthalten 


können. 




Abspielen von werden. 


Media-Clips 


enthalten 

können. 










Ausführung werden. 


benannter Aktionen 


enthalten 

können. 


- es sind optionale Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht 

Inhalte enthalten eines PDF Dokuments angezegt betroffen, jedoch hat der Viewer erkannt, 

werden. 



können. 

- es 

Sie sollten eine solche Datei nicht signieren 

sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht 


Steuerung von werden. 


Media-Clips 


enthalten 

können. 




Übermittlung von werden. 


Formulardaten 


enthalten 

können. 

- es 

Sie sollten eine solche Datei nicht signieren 

sind Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht 




Sound enthalten 


können. 




Steuerung 

werden. 


besonderer 


Lesereihenfolgen 

können. 

enthalten 








- es wird Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht 

Transparenz eines PDF Dokuments angezegt betroffen, jedoch hat der Viewer erkannt, 

verwendet 

werden. 



können. 


- es wurden Inhalte Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand des Produktes ist nicht 

entdeckt, die nicht eines PDF Dokuments angezegt betroffen, jedoch hat der Viewer erkannt, 

zum Dokument werden. 


gehören 


können. 






Filmen enthalten 


können. 


Das Dokument hat Diese Meldung kann Ihnen beim Öffnen Der sichere Zustand ist nicht betroffen. sie 

eine neuere Version eines PDF Dokuments angezeigt haben jedoch ein Dokument geöffnet, 

als 1.6 und kann aus werden. 

welches eine PDF-Version spezifiziert, die 

diesem Grund u.U. 

größer als die erwartete Version 1.6 ist. 

nicht eindeutig und 

Das bedeutet, dass die Datei unter 

fehlerfrei dargestellt 

Umständen nicht korrekt angezeigt wird. Sie 

werden. 

sollten eine solche Datei nicht signieren, da 

der Viewer die zweifelsfreie Darstellung des 

Dokuments nicht gewährleisten kann.







Es steht der Diese Meldung kann Ihnen bei der Der sichere Zustand ist nicht betroffen. Sie 

Anwendung nicht Verwendung des Text- sollten jedoch den Viewer schliessen und 

genügend Speicher Extrakionsdialogs des Viewers das Dokument erneut öffnen. 

zur Verfügung! Bitte angezeigt werden. 

Unter bestimmten Umständen stellt das 

beenden Sie die 

Betriebssystem nicht genügend Speicher für 

Anwendung und 

die Anwendung zur Verfügung. Um eine 

starten Sie diese 

Missinterpretation der Daten 

neu. 

auszuschliessen, sollten Sie das Dokument 

jedoch schliessen und erneut öffnen. Sie 

sollten das Dokument jedoch nicht signieren, 

bevor Sie den Inhalt des Dokuments nicht 

zweifelsfrei erkennen konnten. 

Die Prüfsumme der Diese Meldung kann durch den S- Sie sollten diese Datei auf keine Fall 

Datei stimmt nicht TRUST Sign-it Viewer angezeigt signieren. 

mit dem erwarteten werden. 

Prüfen Sie Ihren PC auf Schadsoftware wie 

Wert überein. Der In diesem Fall wurden die zu Viren und Backdoorprogramme unter 

dargestellte Inhalt signierenden Daten manipuliert. Verwendung einer geeigneten 

wurde 

manipuliert. 

u.U. 

Sicherheitssoftware.


Technischer Support 

Bei Fragen in der Arbeit mit dem Produkt S-TRUST Sign-it 2.5 sollten Sie zunächst die Beschreibung 

in dem entsprechenden Kapitel des elektronischen Handbuches nachlesen. 

Darüber hinaus steht Ihnen zur Unterstützung für die Software S-TRUST Sign-it 2.5 ein telefonischer 

Support zur Verfügung. Weitere Informationen zum technischen Support und zu häufig gestellten 

Fragen (FAQ) finden Sie im Internet unter: www.openlimit.com (http://www.openlimit.com). 

Vorab sollten Sie sich darüber informieren, welche Softwareversion Sie installiert haben. Diese 

Meldung finden Sie unter Start - Programme - S-TRUST Sign-it - Version Info.

S-Trust Sign-it Handbuch 307

A 

Arbeiten mit dem S-TRUST Sign-it Integrity 

Tool • 4, 7, 45, 81 

Arbeiten mit dem S-TRUST Sign-it Security 

Environment Manager • 68 

Arbeiten mit dem S-TRUST Sign-it Viewer • 

42, 90, 147 


Basiskomponenten 2.5 • 1, 20, 28, 68, 131 

Attributzertifikate • 64, 118 

B 

Betriebssysteme • 3, 5, 7, 17, 45 

Bevor Sie beginnen • 1, 3 

C 

Chipkarten • 3, 5, 7, 19, 31, 40, 56, 57, 69, 70, 

112 

Chipkarten Optionen • 48, 60 

E 

Eigenschaften • 60, 61 

Einleitung • 1 

Erste Hilfe • 20, 124 

F 

Fehlermeldungen des S-TRUST Sign-it Viewer 

• 145 

Fehlermeldungen S-TRUST Sign-it Security 

Environment Manager • 41, 87, 129 

Fehlermeldungen vor oder während der 

Installation • 127 

Freischalten der Lizenz • 3, 12 

G 

Grundlagen der elektronischen Signatur • 21 

I 

Installation • 7 

K 

Kartenleser • 3, 5, 7, 18, 31, 40, 69 

Konfiguration der S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.1 • 1, 

3, 20, 47, 51, 71 

Konfigurationsoptionen des S-TRUST Sign-it 

Security Environment Managers • 48 

M 

Index 

Mindestanforderungen und 

Sicherheitsmaßnahmen • 1, 3, 5, 7 

O 

Option 

Algorithmen • 59 

Allgemeine Einstellungen • 51 

Lizenzeinstellungen und Lizenzupgrade • 

16, 49 

PIN-Abfrage • 55 

Verzeichnisse • 53 

Zertifikate • 57 

P 

PIN ändern • 66 

Produktbestandteile • 3, 20 

Public Key Verfahren • 23 

R 

Rechtliche Aspekte der elektronischen 

Signatur • 22, 29 

S 

308 

Sicherheitskomponenten der S-TRUST Sign-it 

Basiskomponenten 2.5 • 1, 31, 43, 52, 95, 

101, 111, 125 

Signaturerzeugung • 24, 112 

Signaturverifikation • 25, 72 

Sperrlistenaktualisierung • 87 

S-TRUST Sign-it Integrity Tool • 20, 45, 82 

S-TRUST Sign-it Security Environment 

Manager • 20, 39 

S-TRUST Sign-it Viewer • 20, 42 

T 

Typografische Konventionen • 1 

W 

Wie gehe ich mit Fehlermeldungen um? • 125 

Z 

Zeitstempeldienste • 40, 73, 121 

Zertifikate exportieren • 60, 64

S-TRUST Sign-it Viewer

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?