OPENLiMiT SignCubes Viewer

Elektronisches Handbuch 

OPENLiMiT SignCubes 

2.1.6.3

Copyright © OPENLiMiT SignCubes AG 2008 

Diese Dokumentation ist geistiges Eigentum der OPENLiMiT SignCubes AG. 

Sie darf ohne vorherige schriftliche Einwilligung der OPENLiMiT SignCubes AG nicht (auch 

nicht in Auszügen) vervielfältigt oder veröffentlicht werden, unabhängig von der Art und 

Weise oder mit welchen Mitteln, elektronisch oder mechanisch, dieses geschieht. Die in 

dieser Dokumentation verwendeten Soft- oder Hardwarebezeichnungen sind genauso wie 

Firmen- oder Markennamen in den meisten Fällen eingetragene Warenzeichen oder Marken 

und Eigentum der jeweiligen Hersteller. Sie werden ohne Gewährleistung der freien 

Verwendbarkeit benutzt. Wir richten uns im Wesentlichen nach den Schreibweisen der 

Hersteller. Die Wiedergabe von Waren- und Handelsnamen etc. in dieser Dokumentation - 

auch ohne besondere Kennzeichnung - berechtigt nicht zu der Annahme, dass solche 

Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten 

sind. 

Alle in dieser Dokumentation enthaltenen Informationen wurden mit größter Sorgfalt 

zusammengestellt. Dennoch können fehlerhafte Angaben nicht völlig ausgeschlossen 

werden. Die OPENLiMiT SignCubes AG, die Autoren und die Übersetzer haften nicht für 

eventuelle Fehler oder deren Folgen. In dieser Dokumentation werden insbesondere 

Informationen über Signaturgesetze und entsprechende Verordnungen gegeben. Diese 

Informationen sollen zum Verständnis beitragen und haben nicht den Anspruch auf 

Vollständigkeit. Es obliegt jedem Nutzer selbst, sich über die gesetzlichen Grundlagen, auf 

denen die beschriebene Technologie beruht, zu informieren und die entsprechenden 

Maßnahmen zu ergreifen. 

Diese Dokumentation bietet dem Erwerber eine Anleitung zu den OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3. In Einzelfällen kann es zu Abweichungen zwischen 

den beschriebenen Abläufen, der Dokumentation und der tatsächlichen Anwendung 

kommen. Die OPENLiMiT SignCubes AG übernimmt keine Haftung für etwaige 

Abweichungen und deren Folgen. 

Da die Software ständig weiter entwickelt wird, behält sich die OPENLiMiT SignCubes AG 

Änderungen am Inhalt der Dokumentation ohne Ankündigung vor. 

Das Handbuch beschreibt sowohl die Sicherheitsfunktionalität als auch die korrekte 

Konfiguration und den richtigen Umgang mit den Produkten OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3. Die OPENLiMiT SignCubes Basiskomponenten 2.1, 

Version 2.1.6.3 wurden einer Evaluierung nach Common Criteria v2.1 mit Prüfniveau EAL4+ 

unterzogen und haben eine Sicherheitsbestätigung durch das Bundesamt für Sicherheit in 

der Informationstechnik (BSI) erhalten. Mehr Informationen zur Produktzertifizierung finden 

Sie auf den Webseiten des BSI unter http://www.bsi.de und der Bundesnetzagentur für 

Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) unter

http://www.bundesnetzagentur.de. 

Dieses Handbuch gehört zum Lieferumfang des bestätigten Produktes. 

Die Zertifizierungs-ID für das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, 

Version 2.1.6.3 lautet BSI-DSZ-CC-0494. Die Sicherheitsvorgaben und die 

Zertifizierungsreporte können in englischer Sprache von den Webseiten des Bundesamtes 

für Sicherheit in der Informationstechnik bezogen werden. 

Hinweise und Kommentare richten Sie bitte an documentation@openlimit.com. 

OPENLiMiT SignCubes AG 

Zugerstraße 76 B 

CH - 6341 Baar 

Switzerland 

Web: www.openlimit.com

Inhalt 

Einleitung 1 

Typografische Konventionen..........................................................................................................2 

Bevor Sie beginnen........................................................................................................................3 

Mindestanforderungen und Sicherheitsmaßnahmen.....................................................................5 

Installation ......................................................................................................................................8 

Freischalten der Lizenz ................................................................................................................12 

Betriebssysteme...........................................................................................................................16 

Kartenleser ...................................................................................................................................17 

Chipkarten ....................................................................................................................................20 

Produktbestandteile......................................................................................................................22 

Grundlagen der elektronischen Signatur 23 

Public Key Verfahren ...................................................................................................................25 

Signaturerzeugung.......................................................................................................................26 

Signaturverifikation.......................................................................................................................28 

Rechtliche Aspekte der elektronischen Signatur .........................................................................31 

Sicherheitskomponenten der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 35 

OPENLiMiT SignCubes Security Environment Manager.............................................................44 

OPENLiMiT SignCubes Viewer....................................................................................................47 

OPENLiMiT SignCubes Integrity Tool..........................................................................................50 

Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 53 

Konfigurationsoptionen des OPENLiMiT SignCubes Security Environment Managers ..............55 

Option: Lizenzeinstellungen und Lizenzupgrade...............................................................56 

Option: Allgemeine Einstellungen......................................................................................57 

Option: Verzeichnisse ........................................................................................................60 

Option: PIN-Abfrage...........................................................................................................61 

Option: Zertifikate...............................................................................................................64 

Option: Algorithmen ...........................................................................................................66 

Chipkarten Optionen ....................................................................................................................68 

Eigenschaften ....................................................................................................................69 

Zertifikate exportieren ........................................................................................................72 

PIN ändern.........................................................................................................................74

Arbeiten mit den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 76 

Arbeiten mit dem OPENLiMiT SignCubes Security Environment Manager.................................77 

Signaturverifikation.......................................................................................................................81 

Arbeiten mit dem OPENLiMiT SignCubes Integrity Tool .............................................................90 

Sperrlistenaktualisierung........................................................................................................... 100 

Arbeiten mit dem OPENLiMiT SignCubes Viewer .................................................................... 105 

Signaturerzeugung.................................................................................................................... 123 

Attributzertifikate........................................................................................................................ 128 

Zeitstempeldienste .................................................................................................................... 131 

Arbeitsabläufe 134 

Dateiformate.............................................................................................................................. 135 

Signieren ................................................................................................................................... 138 

Signatur prüfen.......................................................................................................................... 140 

Zusammenfassung ......................................................................................................... 141 

Details ............................................................................................................................. 142 

Online Prüfung von Zertifikaten ...................................................................................... 143 

Online Status................................................................................................................... 144 

Erstellen Prüfprotokoll..................................................................................................... 147 

Verschlüsselung........................................................................................................................ 152 

Daten verschlüsseln........................................................................................................ 153 

Verschlüsselungszertifikat exportieren ........................................................................... 155 

Zertifikate installieren ...................................................................................................... 156 

Verzeichnisdienst............................................................................................................ 158 

Entschlüsselung ........................................................................................................................ 160 

Daten entschlüsseln........................................................................................................ 161 

OPENLiMiT SignCubes Shell Extension 162 

Die erste Signatur mit OPENLiMiT SignCubes......................................................................... 163 

Shell Extension Menü ............................................................................................................... 164 

Dateien und Icons im Explorer .................................................................................................. 165 

Adobe Plugin 167 

Adobe Plugin Grundeinstellungen............................................................................................. 168 

PDF Dokument signieren................................................................................................ 171 

Signatur im PDF prüfen .................................................................................................. 173 

Der OPENLiMiT TIFF/PDF (PDF/A) Drucker 176 

Eigenschaften des OPENLiMiT PDF Producer......................................................................... 180 

Eigenschaften des OPENLiMiT TIFF Producers ...................................................................... 181 

Eigenschaften des OPENLiMiT SignCubes Druckers (nur Windows NT) ................................ 182 

Drucker Eigenschaften - Einstellungen........................................................................... 183 

Drucker Eigenschaften - Dateiformate............................................................................ 185 

Drucker Eigenschaften - Dateiname erstellen ................................................................ 188 

Drucker Eigenschaften - Programm - Start..................................................................... 190 

Drucker Eigenschaften - Wasserzeichen........................................................................ 192 

Drucker Eigenschaften - Embed Annotation................................................................... 194 

E-Mail Clients 196 

Microsoft Outlook und Microsoft Outlook Express .................................................................... 197 

Microsoft Outlook Einstellungen ..................................................................................... 198 

Signieren und Verschlüsseln .......................................................................................... 203

Verschlüsselungszertifikate in Kontakt integrieren ......................................................... 204 

Mozilla / Netscape Mail ............................................................................................................. 207 

Mozilla / Netscape Mail Client Sicherheitseinstellungen ................................................ 208 

Arbeiten mit Mozilla / Netscape Mail............................................................................... 220 

Mozilla Thunderbird................................................................................................................... 224 

Thunderbird Sicherheitseinstellungen ............................................................................ 225 

Arbeiten mit Thunderbird ................................................................................................ 238 

Lotus Notes ............................................................................................................................... 242 

Lotus Notes 6.5.4 Sicherheitseinstellungen.................................................................... 243 

Arbeiten mit Lotus Notes 6.5.4........................................................................................ 248 

Lotus Notes 5.................................................................................................................. 251 

SSL Authentisierung 252 

Internet Explorer........................................................................................................................ 254 

Mozilla Firefox Browser Sicherheitseinstellungen..................................................................... 256 

Mozilla Firefox SSL Authentisierung ......................................................................................... 259 

Mozilla / Netscape Browser Sicherheitseinstellungen .............................................................. 261 

Mozilla / Netscape SSL Authentisierung................................................................................... 264 

Erste Hilfe 266 

Wie gehe ich mit Fehlermeldungen um? .................................................................................. 267 

Fehlermeldungen vor oder während der Installation................................................................. 270 

Fehlermeldungen OPENLiMiT SignCubes Security Environment Manager............................. 272 

Fehlermeldungen des OPENLiMiT SignCubes Viewer............................................................. 300 

Technischer Support ................................................................................................................. 320 

Index 321

Einleitung 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 sind eine evaluierte und 

bestätigte Signaturanwendungskomponente gemäß deutschem Signaturgesetz (SigG) und 

der Signaturverordnung (SigV). 

Die bestätigten Komponenten bestehen aus dem OPENLiMiT SignCubes Security 

Environment Manager, dem OPENLiMiT SignCubes Viewer sowie dem OPENLiMiT 

SignCubes Integrity Tool, die auch Gegenstand der vorliegenden Benutzerdokumentation 

Version 2.1.6.3 sind. 

Die vorliegende Dokumentation Version 2.1.6.3 beschreibt die genannten 

Produktbestandteile und gibt Hinweise zur korrekten und sicheren Konfiguration des 

Produktes. Weiterhin werden alle Fehlermeldungen aufgelistet und Hinweise zum korrekten 

Umgang mit Fehlermeldungen gegeben. 

Bevor Sie anfangen, mit dem Produkt zu arbeiten, lesen Sie bitte die folgenden Kapitel der 

Hilfe aufmerksam durch: 

� Bevor Sie beginnen 

� Mindestanforderungen und Sicherheitsmaßnahmen 

� Sicherheitskomponenten der OPENLiMiT SignCubes Basiskomponenten 2.1, 

Version 2.1.6.3 

� Konfiguration der OPENLiMiT SignCubes Basiskomponenten (siehe "Konfiguration 

der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3") 

Eine Anleitung zum Umgang mit dem Produkt sowie der Nutzung einzelner Funktionen im 

Detail, finden Sie im Kapitel Arbeiten mit den OPENLiMiT SignCubes Basiskomponenten 

2.1, Version 2.1.6.3. 

1

2 

Typografische Konventionen 

Diese Hilfe verwendet einige typografische Konventionen, die Ihnen die Arbeit mit dem 

elektronischen Handbuch erleichtern. 

Formatierung Beschreibung 

Fetter Text Mit dieser Formatierung werden besonders 

wichtige Passagen markiert. 

kursiv Mit dieser Formatierung werden z.B. 

Menübefehle 

gekennzeichnet. 

und Arbeitsabfolgen 

Normaler Text Dies ist die normale Textformatierung für 

dieses Handbuch.

Bevor Sie beginnen 

Die vorliegende Benutzerdokumentation Version 2.1.6.3 ist Bestandteil der erfolgten 

Sicherheitsevaluierung und Sicherheitsbestätigung und bezieht sich ausschließlich auf die 

OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3. 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 sind Bestandteil des 

Produktes, das Sie auf CD-ROM oder Online von der OPENLiMiT SignCubes AG oder 

einem ihrer Reseller erworben haben. Das vorliegende Handbuch Version 2.1.6.3 beschreibt 

ausschließlich den korrekten Umgang mit den Basiskomponenten, für die weiteren 

Produktbestandteile steht Ihnen eine separate Hilfe zur Verfügung. 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 sind eine 

Sicherheitssoftware, die Ihnen die Erstellung und Verifikation elektronischer Signaturen 

konform zum deutschen Signaturgesetz (SigG) und zur Signaturverordnung (SigV) bietet. 

Für die sichere Benutzung der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 

2.1.6.3 benötigen Sie neben der Software eine Chipkarte und einen Kartenleser mit sicherer 

PIN-Eingabe. 

Dieses Handbuch Version 2.1.6.3 erläutert die Grundlagen zur elektronischen Signatur, die 

Sicherheitskomponenten und Sicherheitsfunktionen des Produktes, zur korrekten 

Konfiguration sowie den Umgang mit dem Produkt. In einem separaten Kapitel werden die 

Fehlermeldungen und mögliche Ursachen für diese Fehlermeldungen aufgeführt. Dieses 

Kapitel enthält Hinweise und Handlungsempfehlungen, für den Fall, dass eine 

Fehlermeldung von dem Produkt angezeigt wird. 

Sie sollten die folgenden Kapitel lesen, um sicher zu stellen, dass Ihr Rechner die 

Voraussetzung für den Einsatz des Produktes erfüllt: 

� Mindestanforderungen und Sicherheitsmaßnahmen 

� Betriebssysteme 

� Chipkarten 

� Kartenleser 

� Produktbestandteile 

Sie sollten vor der ersten Verwendung des Produktes das Kapitel Freischalten der Lizenz 

lesen, um die richtige Freischaltung der Lizenz vorzunehmen. Wir empfehlen außerdem, 

dass Sie vor der ersten Verwendung der OPENLiMiT SignCubes Basiskomponenten 2.1, 

Version 2.1.6.3 das Kapitel Konfiguration der OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 vollständig lesen. 

3

4 

Hinweis: Sofern Ihr Betriebssystem Benutzerrechte unterstützt, benötigen Sie 

Administrationsrechte, um die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 

2.1.6.3 zu installieren. 

Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt 

nach der Installation und vor der ersten Anwendung des Produktes das OPENLiMiT 

SignCubes Integrity Tool ausführen, um die Korrektheit der Installation zu verifizieren. 

Weitere Informationen dazu finden Sie in dem Kapitel Arbeiten mit dem OPENLiMiT 

SignCubes Integrity Tool.

Mindestanforderungen und Sicherheitsmaßnahmen 

Bitte stellen Sie sicher, dass Ihr Rechner und Ihre Einsatzumgebung den Anforderungen aus 

den Kapiteln 

� Betriebssysteme 

� Chipkarten 

� Kartenleser 

entsprechen. 

Die folgenden Sicherheitsmaßnahmen müssen für den korrekten Einsatz des Produktes 

eingehalten werden: 

� Benutzer sowie evtl. Administrations- und Wartungspersonal müssen den Anweisungen 

der Benutzerdokumentation Folge leisten. 

� Wenn Sie das Produkt auf CD-ROM oder einem anderen Speichermedium bezogen 

haben, müssen Sie dieses geschützt vor dem Zugriff durch unberechtigte dritte Personen 

aufbewahren. Bevor Sie das Produkt installieren, stellen Sie bitte sicher, dass alle 

Sicherheitsmerkmale (wie z.B. Siegel und Laminierungen) der Verpackung unbeschädigt 

sind. Sollten Sie Zweifel an der Authentizität des Installationsmediums haben, wenden 

Sie sich an den Lieferanten. 

� Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie 

unbedingt nach der Installation und vor der ersten Anwendung das OPENLiMiT 

SignCubes Integrity Tool ausführen, um die Korrektheit der Installation zu verifizieren. 

� Für den Einsatz der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 in 

der Windows Terminal Umgebung ist der Server in einer zutrittsgeschützten 

Einsatzumgebung und innerhalb eines verschließbaren und versiegelten 

Elektroschrankes unterzubringen. 

� Sie müssen als Benutzer regelmäßig, wenigstens jedoch einmal im Monat, die Integrität 

der Produktinstallation auf Ihrem Rechner prüfen. Verwenden Sie dazu die Online- 

Komponente, die Ihnen über die Webseite https://www.openlimit.com/integritytool zu 

diesem Zwecke zur Verfügung gestellt wird. 

� In der Windows Terminal Umgebung ist die Produktintegrität serverseitig sofort nach der 

Installation und dann regelmäßig, mindestens jedoch einmal im Monat, durch die 

Administratoren zuverlässig im Vier-Augen-Prinzip zu kontrollieren. 

5

6 

� Verwenden Sie stets einen Virenscanner und stellen Sie sicher, dass die aktuellen 

Virendefinitionen des Herstellers installiert sind. Wenn der Virenscanner keine Backdoor- 

Programme erkennen kann, sollten Sie ein entsprechendes zusätzliches Programm 

installieren. 

� Für den Fall, dass Sie über einen Internet-Anschluss verfügen, müssen Sie eine Firewall 

einsetzen, um das Betriebssystem Ihres Computers vor Angriffen aus dem Internet zu 

schützen. 

� Stellen Sie sicher, dass Sie über die volle Kontrolle über eingelegte Speichermedien und 

Netzwerkfreigaben verfügen. Konfigurieren Sie Ihren Rechner niemals so, dass auf den 

Installationspfad des Produktes über Netzwerkfreigaben durch Dritte zugegriffen werden 

kann. 

� Der Zugriff und die Verwendung des Produktes durch den Anwender muss durch die 

Konfiguration des Rechners ermöglicht werden. Das bedeutet, dass der Rechner so 

konfiguriert sein muss, dass der Anwender durch den Computer-Administrator die Rechte 

eingeräumt bekommt, die er zur Benutzung des Produktes benötigt. 

Hinweis: Für den Einsatz der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 

auf Windows Terminalserver 2003 hat die Remoteverbindung zwischen dem Terminalserver 

und dem bzw. den Terminalclients grundsätzlich verschlüsselt mit 128 Bit zu erfolgen. 

� Bei Windows Terminal Server 2003 in Verbindung mit den Betriebsystemen Windows XP 

und Windows Vista clientseitig ist die Verschlüsselung mit 128 Bit bereits Standard für die 

Verbindung und unbedingt zu verwenden. 

Wenn Sie diese Regeln nicht einhalten, verlassen Sie die Umgebung, für die das Produkt 

zertifiziert und bestätigt ist. Die folgenden Anforderungen kann das Produkt nicht leisten: 

� Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrtheit 

und der Geheimhaltung der privaten Schlüssel obliegt der Chipkarte. 

� Sicherstellung der korrekten Uhrzeit auf dem Rechner des Anwenders. Das Produkt 

OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 kann keine Aussagen 

über die Plausibilität der eingestellten Uhrzeit auf dem Rechner des Anwenders treffen. 

� Sicherstellung der Integrität des Betriebssystems. Das Produkt enthält keine 

Mechanismen, um die Integrität seiner Umgebung zu prüfen. Sie müssen geeignete 

Vorkehrungen treffen, um eine Kompromittierung des Betriebssystems zu vermeiden.

� Sicherheit der kryptografischen Operationen. Das Produkt verwendet Bibliotheken zur 

Erzeugung und Verifikation elektronischer Signaturen über das RSA Public Key 

Verfahren. Zur Signaturerzeugung ist der Einsatz einer Chipkarte unabdingbar. Das 

Produkt kann die Stärke der kryptografischen Mechanismen nicht garantieren und keine 

Aussagen über die Stärke der kryptografischen Funktionen treffen. 

Die Leistungsmerkmale des Produktes sind auf diejenigen Funktionen beschränkt, die in 

diesem Handbuch Version 2.1.6.3 wiedergegeben werden. Als Anwender des Produktes 

sind Sie verpflichtet, die technischen und organisatorischen Maßnahmen einzuhalten, die 

von der vorliegenden Benutzerdokumentation Version 2.1.6.3 vorgegeben werden. 

7

8 

Installation 

Um mit den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 arbeiten zu 

können, benötigen Sie eine Chipkarte mit einem Zertifikat für die qualifizierte elektronische 

Signatur gemäß deutschem Signaturgesetz und einen Kartenleser. Die für die OPENLiMiT 

SignCubes Basiskomponenten 2.1, Version 2.1.6.3 zulässigen Chipkarten sind in dem 

Kapitel Chipkarten aufgelistet. 

Die zulässigen Kartenleser sind in dem Kapitel Kartenleser aufgeführt. 

Stellen Sie sicher, dass Sie eine entsprechende Chipkarte zur Verfügung haben und der 

Kartenleser ordnungsgemäß installiert ist, bevor Sie anfangen, mit der Software zu arbeiten. 

Hinweis: Um einen Lizenzschlüssel mit dem Lizenz-Wizard zu aktivieren, benötigen Sie eine 

Produktkonfiguration, mit der die Verwendung eines unterstützten Chipkartenterminals und 

einer unterstützten Signaturkarte möglich ist. Verwenden Sie das OPENLiMiT SignCubes 

Integrity Tool, um die installierten Module anzuzeigen. 

Bevor Sie das Produkt installieren, lesen Sie den Abschnitt Mindestanforderungen und 

Sicherheitsmaßnahmen und Betriebssysteme gründlich, um zu gewährleisten, dass Ihr 

System einem der angegebenen Betriebssysteme entspricht. 

Sie können das Produkt wahlweise per Download über einen Web-Shop oder auf einem 

Installationsmedium, wie z.B. einer CD-ROM, bezogen haben. Der im Folgenden dargestellte 

Ablauf ist für beide Varianten identisch. Das Installationsprogramm kopiert die OPENLiMiT 

SignCubes Basiskomponenten 2.1, Version 2.1.6.3 auf Ihren Rechner. Stellen Sie bitte nach 

der Installation sicher, dass das korrekte Produkt installiert wurde, in dem Sie das 

OPENLiMiT SignCubes Integrity Tool ausführen. Mehr Informationen dazu finden Sie im 

Kapitel Arbeiten mit dem OPENLiMiT SignCubes Integrity Tool. 

Falls Sie das Setup auf einer CD-ROM erhalten haben und diese in das Laufwerk einlegen, 

wird bei aktiviertem Autostart das Setup automatisch gestartet. Wenn Sie das Setup über 

einen Download bezogen haben, müssen Sie das Programm 'setup.exe' ausführen. Sie 

sehen dann das Fenster zur Sprachauswahl. Die OPENLiMiT SignCubes Basiskomponenten 

2.1, Version 2.1.6.3 werden in deutscher und englischer Sprache ausgeliefert: 

Wenn Sie jetzt auf OK klicken, überprüft das Setup Programm die Installationsumgebung 

unter folgenden Gesichtspunkten: 

� Entspricht das Betriebsystem den aufgeführten Mindestanforderungen?

� Sind die Mindestanforderungen an den Internet Explorer erfüllt? 

� Verfügt der Benutzer über Administrationsrechte? 

� Ist der schreibende Zugriff auf die Registry möglich? 

Wenn diese Voraussetzungen nicht erfüllt sind, wird eine Fehlermeldung angezeigt und das 

Setup Programm beendet. Wenn die Prüfung erfolgreich verlaufen ist, startet der 

Installationsvorgang. 

In dem folgenden Fenster haben Sie die Möglichkeit, den Zielordner für die Programmdaten 

zu ändern. 

Wenn Sie jetzt auf Weiter klicken, wird eine Seite angezeigt, auf der Sie die 

Lizenzvereinbarungen akzeptieren müssen. 

9

10 

Nachdem Sie die Lizenzvereinbarungen akzeptiert haben, beginnt der eigentliche 

Installationsvorgang. 

Nach Bestätigung des Befehls Fertigstellen wird der OPENLiMiT SignCubes Security 

Environment Manager automatisch gestartet und das Modul zum Freischalten der Lizenz 

geöffnet. 

Hinweis zur Installation für Windows Terminalserver: Zur Arbeit mit den OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 über Windows Terminal Server 2000 mit Citrix 

Frame oder 2003 mit oder ohne Citrix Frame müssen die OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 als Terminaldienste im Anwendungsmodus (nicht im 

Remoteverwaltungsmodus) installiert werden. Es ist ausreichend, die OPENLiMiT 

SignCubes Basiskomponenten 2.1, Version 2.1.6.3 serverseitig zu installieren. 

Bei der Installation der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 in der 

Windows Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame 

Umgebung ist eine zuverlässige Administration des Servers durch das Vier-Augen-Prinzip zu 

gewährleisten. 

Die Kartenlesertreiber müssen in identischer Version sowohl auf dem Windows Terminal 

Server als auch auf dem bzw. den Clientrechnern installiert sein.

Darüber hinaus gibt es für die Installation der OPENLiMiT SignCubes Basiskomponenten 

2.1, Version 2.1.6.3 in der Windows Terminal Server 2000 mit Citrix Frame oder 2003 mit 

oder ohne Citrix Frame Umgebung eine zusätzliche Dokumentation. Diese wird gesondert 

durch die OPENLiMiT SignCubes AG zur Verfügung gestellt. 

Hinweis zur sicheren Konfiguration: Bei der Installation der OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 wird automatisch eine sichere Konfiguration des 

Produktes eingestellt. Sie sollten Änderungen in den Konfigurationseinstellungen mit Hilfe 

der in diesem Handbuch Version 2.1.6.3 beschriebenen Konfigurationsoptionen für die 

OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 erst dann vornehmen, wenn 

Sie im Umgang mit den Funktionalitäten vertraut sind. Grundsätzlich sollte das Produkt 

immer mit den empfohlenen Einstellungen betrieben werden. Über den Button 

Ausgangskonfiguration haben Sie die Möglichkeit, die bei der Installation eingerichteten 

Optionen wieder herzustellen. 

11

12 

Freischalten der Lizenz 

Wenn Sie das Produkt zum ersten Mal starten, werden Sie aufgefordert, 

Lizenzierungsinformationen einzugeben. Sie haben die Lizenzinformationen entweder direkt 

von der OPENLiMiT SignCubes AG oder einem ihrer Reseller erhalten. Wenn der 

Lizenzmanager gestartet wird, sehen Sie den folgenden Dialog. Lesen Sie die Informationen 

gründlich und vergewissern Sie sich, dass Sie die Informationen verstanden haben. 

Klicken Sie so lange auf Weiter, bis Sie aufgefordert werden, den Lizenzcode einzugeben.

Geben Sie den Lizenzcode ein oder klicken Sie auf den Button Reader. 

13

14 

Nachdem Sie den Lizenzcode eingegeben haben, werden Sie aufgefordert, eine Signatur zu 

erzeugen. Sie können die Daten im OPENLiMiT SignCubes Viewer betrachten, um sich zu 

vergewissern, dass keine persönlichen oder vertraulichen Daten in den Lizenzinformationen 

enthalten sind. 

Nach Abschluss der Lizenzfreischaltung steht die Lizenz allen Anwendern des Computers 

zur Verfügung.

Wenn Sie später eine andere Lizenz erwerben, können Sie ein Upgrade der Lizenz 

vornehmen. Gehen Sie dazu auf den Menüpunkt Eigenschaften des OPENLiMiT SignCubes 

Security Environment Managers und wählen Sie das Register Lizenz aus. Klicken Sie auf 

Lizenz-Upgrade, um eine Änderung der Lizenzinformationen vorzunehmen. 

Hinweis: Beachten Sie unbedingt, dass eine Weitergabe der Lizenzinformationen an Dritte 

nicht erlaubt ist und strafrechtlich durch die OPENLiMiT SignCubes AG verfolgt wird. Die zur 

Verfügung stehende Funktionalität des Produktes Version 2.1.6.3 hängt von dem Lizenzcode 

ab, den Sie erhalten haben. Sie können sich auf der Eigenschaftsseite des Produktes 

anzeigen lassen, welche Funktionen Sie lizenziert haben. Der grüne Haken bedeutet dabei, 

dass die Funktion zur Verfügung steht. Nicht verfügbare Funktionalität wird auch nicht 

angezeigt. 

Für die Freischaltung der Lizenz ist keine Online-Aktivierung des Produktes notwendig. Sie 

schützen die Lizenz jedoch durch die Erzeugung einer Signatur vor dem Missbrauch durch 

unberechtigte Dritte. Durch die Unterzeichnung der Lizenz mit Ihrem Signaturzertifikat 

beweisen Sie, dass Sie die Lizenz erworben haben und können dies auch in der Anzeige der 

Lizenzinformationen überprüfen. Mehr Informationen finden Sie im Kapitel Option: 

Lizenzeinstellungen und Lizenzupgrade. 

15

16 

Betriebssysteme 

Für die Arbeit mit dem Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version 

2.1.6.3 benötigen Sie einen Intel 586 kompatiblen Prozessor, mindestens 90 MB freien 

Festplattenplatz und mindestens 64 MB RAM. Auf dem Rechner muss mindestens der 

Internet Explorer ab Version 5.01 installiert sein. Wenn Sie nicht über diese Mindestversion 

des Internet Explorers verfügen, laden Sie sich bitte die neueste Version des Internet 

Explorers von der Webseite der Firma Microsoft herunter. Darüber hinaus muss die Java 

Virtual Machine (JVM) ab Version 1.4.2.08 mit dem zugehörigen JRE (Java Runtime 

Environment) auf dem Computer installiert sein. Wenn Sie nicht über die Java Virtual 

Machine verfügen, können Sie diese unter http://java.sun.com herunterladen. 

Die folgenden Betriebssysteme werden von diesem Produkt unterstützt: 

� Windows NT 4.0 ab Service Pack 6.0 

� Windows 2000 ab Service Pack 2.0 

� Windows 2003 

� Windows XP 

� Windows XP 64 Bit Edition 

� Windows XP Tablet PC Edition 

� Windows Vista 32 Bit und 64 Bit 

� Windows 2000 Terminal Server mit Citrix Meta-Frame 

� Windows 2003 Terminal Server mit und ohne Citrix Meta-Frame 

Abhängig vom Zustand Ihres Betriebssystems nimmt das Setup Programm Aktualisierungen 

des Betriebssystems vor. Dafür kann ein mehrmaliger Neustart des Rechners notwendig 

sein, was nicht auf die Installation der Software OPENLiMiT Basiskomponenten 2.1, Version 

2.1.6.3 sondern auf die notwendigen Betriebssystemupdates zurückzuführen ist. 

Das Setup für die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 nimmt 

ggf. notwendige Updates des Betriebssystems vor. Diese Updates stellen sicher, dass die 

Shell32.dll in der Mindestversion 4.0 sowie die Microsoft SmartCard Base Components in 

der Minimalversion 1.0 vorhanden sind. 

Hinweis: Um den Rechner optimal vor Sicherheitslücken zu schützen und die korrekte Arbeit 

des Produktes zu gewährleisten, sollten stets die aktuellen Sicherheits-Updates installiert 

werden. Schützen Sie Ihren Rechner durch einen aktuellen Virenscanner und, sofern Sie 

über eine Internetanbindung verfügen, mit einer Firewall.

Kartenleser 

Der Einsatz der folgenden Kartenleser wird durch die OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 unterstützt: 

� Cherry Smartboard G83-6700 LQ 

� Cherry Smartboard G83-6744 LU 

� Kobil Systems B1 Pro USB 

� Cherry ST-2000 

� Kobil KAAN Advanced 

� SCM Microsystems SPRx32/ChipDrive PinPad 

� Reiner SCT cyberJack e-com v2.0 


� Reiner SCT cyberJack pinpad v2.0 


� Omnikey Cardman 3621 


� Fujitsu Siemens S26381-K329-V2xx HOS:01 

Unter dem Betriebssystem Windows Vista werden die folgenden Kartenleser unterstützt: 

� Cherry Smartboard G83-6744 LU 


� SCM Microsystems SPRx32/ChipDrive PinPad (Firmware version 5.10) 






� Kobil Systems B1 Pro USB 


17

18 

Für die Erzeugung gesetzeskonformer (qualifizierter) Signaturen dürfen nur diejenigen SigGkonformen 

Kartenleser eingesetzt werden, die in diesem Handbuch Version 2.1.6.3 

angegeben werden. Zum Zeitpunkt der Bestätigung des Produktes waren die aufgelisteten 

Kartenleser nach dem deutschen Signaturgesetz bestätigt und dürfen zur Erzeugung 

qualifizierter elektronischer Signaturen eingesetzt werden: 

Hinweis: Das Produkt unterstützt die Verwendung von Kartenlesern, die keine sichere PIN- 

Eingabe erlauben. Wenn Sie einen solchen Kartenleser verwenden, bewegen Sie sich 

außerhalb der bestätigten Konfiguration. Für die SigG-konforme Konfiguration der 

OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 ist nur die Verwendung der 

aufgeführten, bestätigten Kartenleser zulässig. 

Hinweis: Die folgenden Kartenleser sind auf Grund von Abweichungen in der Kompatibilität 

mit den genannten Signaturkarten nicht für die Erzeugung qualifizierter Signaturen 

verwendbar. 

Cherry Smartboard G83-6700 LQ: 

SECCOS-Karten: 

� ZKA Banking signature card, v6.2b NP und 6.2f NP, Type 3 von Giesecke & Devrient 

� ZKA Banking signature card v6.31 NP, Type 3 von Giesecke & Devrient 

� ZKA Banking signature card v6.32, Type 3 von Giesecke & Devrient 

� ZKA Banking Signature Card, Version 6.4 von Giesecke & Devrient 

� ZKA Banking Signature Card, Version 6.51 von Giesecke & Devrient 

� ZKA Banking Signature Card, v6.6 von Giesecke & Devrient 

� ZKA signature card, version 5.10 von Gemplus-mids GmbH 


� ZKA signature card, version 5.11 M from Gemplus-mids GmbH (Gemalto) 


� ZKA SECCOS Sig v1.5.3 von Sagem Orga GmbH 

� STARCOS 3.0 with Electronic Signature Application v3.0 from Giesecke & Devrient 

Kobil B1 Professional 

� Siemens CardOS M4.3 B 

� CardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AG 

Kobil KAAN Advanced 

TCOS 3.0 Signature Card, Version 1.1 

Weitere Informationen bezüglich Inkompatibilitäten bei Kartenlesern und Karten entnehmen 

Sie bitte der Bestätigungsurkunde.

Hinweis: Für die Arbeit mit den Terminal Servern Windows 2000 mit Citrix Meta-Frame und 

Windows 2003 mit und ohne Citrix Meta-Frame müssen die Kartenlesertreiber in identischer 

Version sowohl auf dem Windows Terminal Server als auch auf dem bzw. den 

Clientrechnern installiert sein. 

19

20 

Chipkarten 

Das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 ist für den 

Einsatz folgender Chipkarten vorgesehen: 

� ZKA Banking signature card, v6.2 NP, v6.2b NP und 6.2f NP, Type 3 von Giesecke & 

Devrient 

� ZKA Banking signature card, v6.31 NP, Type 3 von Giesecke & Devrient 

� ZKA Banking signature card, v6.32, Type 3 von Giesecke & Devrient 




� ZKA signature card, ZKA 680 V5A, Version 5.10 von Gemplus-mids GmbH 

� ZKA signature card, ZKA 680 V5A, Version 5.11 von Gemplus-mids GmbH 

� ZKA Signatur Karte, Version 5.02 der Gemplus-mids GmbH 

� SecV1.5.3 from SAGEM ORGA GmbH 

� STARCOS 3.0 with Electronic Signature Application v3.0 von Giesecke & Devrient 

(dgnserviceCard) 


(Signaturkarte DATEV eG) 


(Deutsche Post Com GmbH) 


(Signtrust MCard Deutsche Post Com GmbH) 

� CardOS V4.3B Re_Cert with Application for Digital Signature von Siemens AG (BA 

PKCS#15 User Card) 

� CardOS V4.3B Re_Cert with Application for Digital Signature von Siemens AG (D- 

TRUST card 2.0 2c) 


TRUST card 2.0 multicard) 

� Siemens CardOS M4.3 B 

� CardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AG in 

conjunction with the Siemens Card-API

� ZKA signature card, version 5.11 M von Gemplus GmbH (Gemalto) 


TRUST card 2.2 2ca) 

� TCOS 3.0 Signature Card, Version 1.1 (NetKey 3.0) 

� TCOS 3.0 Signature Card, Version 1.1 (NetKey 3.0M) 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 unterstützen auch 

PKCS#15 kompatible Karten, die nicht in dieser Liste aufgeführt sind. Die vorliegende 

Sicherheitsbestätigung erstreckt sich nicht auf die Verwendung dieser Karten! OPENLiMiT 

übernimmt keine Garantie, dass jede PKCS#15 kompatible Karte mit dem Produkt 

zusammen arbeitet. Die Verwendung von Chipkarten, die nicht in diesem Handbuch 

aufgeführt sind, liegt außerhalb der Bestätigung und ist daher nicht für die Erzeugung 

qualifizierter Signaturen geeignet. 

Die aufgelisteten Karten beziehen sich auf bestätigte Signaturkarten, die auf der Webseite 

der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 

(Bundesnetzagentur) veröffentlicht wurden. 

Hinweis: Wenn Sie eine Signaturkarte verwenden, die die Erzeugung mehrerer Signaturen in 

einem Durchgang erlaubt, müssen Sie die speziellen Sicherheitsauflagen, welche für diesen 

Betriebsmodus verlang werden, einhalten. Diese Sicherheitsauflagen finden Sie in den 

Bestätigungsurkunden für diese Karten unter www.bundesnetzagentur.de. 

21

22 

Produktbestandteile 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 beinhalten die folgenden 

Bestandteile: 

� OPENLiMiT SignCubes Security Environment Manager als zentralen Bestandteil zur 

Verwaltung verfügbarer Signaturkarten, Kartenleser und zur Konfiguration des Produktes. 

Mehr Informationen finden sie im Kapitel OPENLiMiT SignCubes Security 

Environment Manager. 

� OPENLiMiT SignCubes Viewer. Mehr Informationen finden Sie im Kapitel OPENLiMiT 

SignCubes Viewer. 

� OPENLiMiT SignCubes Integrity Tool (Online). Mehr Informationen finden Sie im Kapitel 

OPENLiMiT SignCubes Integrity Tool. 

� die vorliegende Benutzerdokumentation Version 2.1.6.3. 

Im Kapitel Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 

2.1.6.3 finden Sie Erläuterungen zur richtigen Konfiguration des Produktes. Die richtige 

Bedienung wird Ihnen im Kapitel Arbeiten mit den OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 erklärt. Der Umgang mit Fehlermeldungen wird 

Ihnen im Kapitel Erste Hilfe ausführlich erläutert.

Grundlagen der elektronischen Signatur 

Elektronische Daten können leicht manipuliert werden. Ob im Internet oder direkt auf dem 

Computer - Veränderungen von Daten können bislang kaum ausgeschlossen werden. 

Aus einem Dokument können Passagen einfach gestrichen oder eingefügt werden. Der 

Urheber eines Dokuments ist nicht festzustellen. Genauso können Daten, die per E-Mail 

verschickt werden oder auf der Festplatte gespeichert sind, durch Hacker oder Trojaner 

ausgelesen werden. Zudem hat das Internet einen großen Nachteil: Niemand weiß, mit wem 

er es auf der anderen Seite zu tun hat. 

Deshalb war es auch lange Zeit undenkbar, dass elektronische Daten, die noch dazu im 

Internet verschickt werden, wo man den Kommunikationspartner nicht sehen kann, mit etwas 

ähnlichem wie einer Unterschrift versehen werden können. 

Durch die elektronische Signatur können zwei Probleme behoben werden: 

� Eine unbemerkte Datenmanipulation ist nicht mehr möglich. 

� Der Unterzeichner kann eindeutig identifiziert werden. 

Die Signatur macht jegliche absichtliche oder unabsichtliche Manipulation sofort ersichtlich. 

Über die Zertifikatsprüfung kann bewiesen werden, dass die Signatur nicht gefälscht wurde, 

der Zertifikatsinhaber also echt ist. Dabei werden keine persönlichen Daten des Inhabers 

preisgegeben - lediglich der Name. 

In diesem Abschnitt werden Ihnen die Grundlagen zur elektronischen Signatur auf Basis des 

RSA Verfahrens dargestellt. Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 

2.1.6.3 unterstützen die Erzeugung und Verifikation elektronischer Signaturen auf Basis 

einer Chipkarte und eines Kartenterminals. Die Hashwertberechnung für die qualifizierte 

elektronische Signatur wird nach den Verfahren SHA-256, SHA-384, SHA-512 und RIPE-MD 

160 vorgenommen, welche als anerkannte Verfahren für die Berechnung kryptografischer 

Prüfsummen durch die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post 

und Eisenbahnen (Bundesnetzagentur) ausgewiesen sind. Das RSA Verfahren ist ein 

asymmetrisches Verfahren, welches die Einbettung des Produktes in eine PKI (Public Key 

Infrastruktur) ermöglicht. 

23

24 

Häufig wird im Zusammenhang mit der elektronischen Signatur auch von der elektronischen 

Unterschrift gesprochen. Das deutsche Signaturgesetz erläutert den Begriff der 

elektronischen Signatur, insbesondere der fortgeschrittenen und der qualifizierten 

elektronischen Signatur. In diesem Handbuch werden Sie häufig die Begriffe der Signatur 

und der elektronischen Unterschrift lesen - beide Begriffe sind richtig und bedeuten inhaltlich 

das Gleiche. 

Die rechtlichen Aspekte zur elektronischen Signatur sind ausführlich im Abschnitt Rechtliche 

Aspekte der elektronischen Signatur erläutert.

Public Key Verfahren 

Die Signatur und die Verschlüsselung, die mit einer Signaturkarte und dieser Software 

durchgeführt werden, basieren auf einer Public Key Infrastruktur (PKI). Sowohl bei der 

Signatur als auch bei der Datenverschlüsselung kommt eine asymmetrische 

Verschlüsselung zum Einsatz. Asymmetrisch bedeutet: Es werden immer zwei 

verschiedene Schlüssel verwendet, der private Schlüssel (private key) und der öffentliche 

Schlüssel (public key), die sich gegenseitig ergänzen. Daten, die mit dem einen Schlüssel 

"zugeschlossen" wurden, können nur mit dem anderen wieder "aufgeschlossen" werden. 

Der private Schlüssel befindet sich bei Chipkarten auf dem Chip der Karte und lässt sich 

nicht auslesen. Die zu verarbeitenden Daten werden auf den Chip geladen, dort ver- oder 

entschlüsselt und wieder in den Computer übertragen. Um den privaten Schlüssel zu 

benutzen, wird die richtige PIN benötigt, die zusätzliche Sicherheit gewährleistet. Der 

öffentliche Schlüssel ist in ein Zertifikat integriert und steht jedermann in 

Verzeichnisdiensten im Internet zur Verfügung oder kann per E-Mail versendet werden. Um 

sicher zu gehen, dass dieses Zertifikat und somit der Schlüssel nicht gefälscht wurde, lässt 

sich die Signatur des Herausgebers prüfen. 

Beim Signieren wird der private Schlüssel auf der Karte verwendet. Somit ist zweifelsfrei 

belegt: die Signatur kann nur vom Karteninhaber sein - nur er hat die Karte und die PIN. 

Beim Prüfen der Signatur wird der öffentliche Schlüssel verwendet, denn jeder soll eine 

Signatur prüfen können. Die Verschlüsselung verwendet die beiden Schlüssel in 

umgekehrter Reihenfolge. Hier kommt der öffentliche Schlüssel des Empfängers zum 

Einsatz, so dass nur dieser die Daten mit seinem privaten Schlüssel wieder entschlüsseln 

kann. 

Da der Chip einer Chipkarte für die Verarbeitung großer Datenmengen sehr lange benötigen 

würde, wird bei der Verschlüsselung ein automatisch generierter Zufallsschlüssel verarbeitet. 

Bei der Signatur wird ein Hashwert verschlüsselt, der einem Dokument eindeutig zugeordnet 

werden kann. 

25

26 

Signaturerzeugung 

Die Signatur hat verschiedene Zwecke: Einerseits wird eine qualifizierte Signatur verwendet, 

um Briefe, Verträge etc. zu unterzeichnen. Andererseits gibt es auch fortgeschrittene 

Signaturen, die meistens dazu verwendet werden, Daten zu sichern, die man nicht 

unterschreiben möchte. Beispielsweise können auch Bild- oder Ton-Dateien signiert werden. 

Die Signatur schützt zwar nicht vor Veränderungen, macht diese aber eindeutig erkennbar. 

Ist eine Signatur intakt, bedeutet das, dass die Daten nicht geändert wurden. 

Beim Signieren einer Datei wird ein Hashwert gebildet, der mit einem Fingerabdruck 

vergleichbar ist. Zwei Dokumente können nie denselben Hashwert haben, es sei denn, sie 

sind identisch. 

Dieser Hashwert wird nach dem RSA Verfahren unter Verwendung eines Schlüssels mit 

einer Länge von mindestens 1024 Bit (abhängig von der verwendeten Karte) verschlüsselt. 

Die Verschlüsselung des Hashwerts findet auf dem Chip der Karte statt. Dieser kleine 

Prozessor kann kleinere Datenmengen verarbeiten. Solch ein Vorgehen ist deshalb wichtig, 

weil der private Schlüssel die Karte so nie verlässt. Denn jegliche Daten, die in einem 

Computer sind, sind auch potentiell unsicher. Der Schlüssel bekommt also lediglich den 

Befehl, eine kleine Menge an Daten zu verschlüsseln. Die verschlüsselten Daten werden 

anschließend wieder in den Computer zurückgeschickt. Vorher muss der private Schlüssel 

durch die richtige PIN (Personal Identification Number) freigegeben werden, d.h., die Karte 

wird geöffnet.

Hier ist der empfindlichste Punkt der gesamten Signatur. Nicht die Technik ist es, die den 

größten Unsicherheitsfaktor darstellt, sondern der Mensch. Folgende Punkte sollten Sie 

unbedingt beachten: 

• Schreiben Sie die PIN niemals auf die Karte, den Kartenleser oder in die Nähe Ihres 

Computers. 

• Lassen Sie sich nicht bei der PIN-Eingabe zusehen. 

• Achten Sie darauf, dass auch aus der Ferne (Fenster gegenüber etc.) niemand Einblick 

auf Ihre Tastatur oder den Kartenleser hat. 

• Geben Sie die PIN in keinem Fall an eine andere Person weiter. 

• Benutzen Sie nach Möglichkeit (vor allem, wenn Sie wichtige Verträge o.ä. signieren) 

einen Kartenleser mit sicherer PIN-Eingabe. 

• Nach dreimaliger falscher PIN-Eingabe ist der private Schlüssel unbrauchbar. 

• Lassen Sie Ihre Karte nie liegen, wenn Sie den Raum verlassen oder Ihre 

Aufmerksamkeit abgelenkt ist. 

Diese hier kompliziert erscheinenden Vorgänge erledigt die Software natürlich automatisch. 

Der Nutzer muss nur auf Signieren klicken, die PIN eingeben und hat sofort eine signierte 

Datei. Diese besteht aus verschlüsseltem Hashwert, Originaldatei und öffentlichem 

Schlüssel. 

Grundsätzlich benötigen Sie für eine qualifizierte Signatur ein qualifiziertes Zertifikat. Die 

Signaturerzeugung als technischer Prozess sollte immer auf einer sicheren 

Signaturerzeugungseinheit, bestehend aus Kartenterminal, möglichst mit sicherer PIN- 

Eingabe, und einer Chipkarte vorgenommen werden. Weiterhin benötigen Sie eine Software, 

die Ihnen ein vertrauenswürdiges Umfeld für die Erzeugung einer elektronischen Signatur 

bietet. Grundsätzlich sollten Sie bei der Erzeugung einer qualifizierten elektronischen 

Signatur immer auf eine vorherige Visualisierung der Inhalte bestehen. 

27

28 

Signaturverifikation 

Folgende Punkte sind bei der Prüfung wichtig: 

• Ist das Dokument wirklich unverändert? Integrität der Daten. 

• Ist der Signaturinhaber echt? Wurde sein Zertifikat nicht inzwischen gefälscht? 

Authentizität des Inhabers. 

• Ist das Zertifikat nicht gesperrt? Zertifikatsstatus. 

1. Die Integrität des Dokuments lässt sich über den Hashwert beweisen: 

Das Dokument wird erneut gehasht. Der alte Hashwert wird entschlüsselt und mit dem 

neuen verglichen: Sind beide Hashwerte identisch, ist bewiesen, dass das Dokument nicht 

verändert wurde. Das erledigt die Software bei jeder Prüfung automatisch und in Echtzeit, 

d.h., die Software prüft den Hashwert ständig - nicht nur einmal. So werden auch 

Manipulationen am geöffneten Dokument sichtbar. Um den alten Hashwert zu entschlüsseln, 

benötigt der Prüfer den öffentlichen Schlüssel des Unterzeichners, denn die Signatur wurde 

ja mit der Karte, also mit dem privaten Schlüssel erstellt. 

Dieser öffentliche Schlüssel wird als Zertifikat an das signierte Dokument angehängt.

2. Prüfung des Signaturzertifikates 

Die Echtheit und Unversehrtheit eines Zertifikates, also des mitgesendeten öffentlichen 

Schlüssels, wird über die Signatur des Herausgebers geprüft: Jedes persönliche Zertifikat ist 

von einem Trustcenter (CA) signiert. Ist diese Signatur gültig, wurde auch das Zertifikat nicht 

geändert. Natürlich kann auch die Echtheit des Herausgeberzertifikats geprüft werden, das 

oft wieder von einer anderen Instanz herausgegeben wurde. So ergibt sich ein 

Zertifizierungspfad, der sich bis zu einer vertrauenswürdigen Instanz (Root CA oder 

Wurzelzertifikat) zurückverfolgen lässt. Ist dieser Zertifizierungspfad korrekt und die Wurzel 

vertrauenswürdig, beweist dies die Authentizität des Signaturinhabers. 

In Deutschland ist bei qualifizierten Signaturen die Bundesnetzagentur für Elektrizität, Gas, 

Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) die oberste Instanz 

(Wurzel). Auch dieser Punkt wird von der Software überprüft. Logischerweise kann die 

Software aber nur überprüfen, ob der Zertifizierungspfad lückenlos ist. Um aber die 

verschiedenen Instanzen (CA's) des Pfades und das Wurzelzertifikat zu sehen, muss der 

Nutzer den Zertifizierungspfad überprüfen. Ob die Wurzel vertrauenswürdig ist (z.B. bei 

Signaturen aus anderen Ländern), obliegt der Entscheidung jedes Einzelnen. 

3. Prüfung des Zertifikatsstatus 

Der Zertifikatsstatus, d.h. die Information, ob ein Zertifikat zu dem Zeitpunkt der 

Signaturerstellung gesperrt war, kann beim Herausgeber überprüft werden: Die Trustcenter 

stellen Sperrlisten zum Download zur Verfügung oder haben eine Online-Zertifikatsabfrage 

bzw. bieten beides an. Wenn jemand seine Signaturkarte verliert, kann er diese über einen 

24-Stunden Service sperren lassen und wird sofort gelistet. 

Die Prüfung des Zertifikatsstatus erfordert ein aktives Eingreifen des Benutzers. Wenn es 

sich um eine wichtige Unterschrift handelt (im Gegensatz zu einer Datensicherung), sollte 

vor der Signaturprüfung die aktuelle Sperrliste heruntergeladen werden. Handelt es sich um 

ein Trustcenter, das eine Online-Abfrage anbietet, kann der Zertifikatsstatus direkt über das 

Internet abgefragt werden. 

29

30 

Wichtig ist dabei auch immer der Signaturzeitpunkt. Beispiel: Eine Signatur wurde am 

1.7.2004 erstellt und wird dann ein Jahr später, am 1.7.2005 geprüft. Der Zertifikatsstatus 

sagt aus, dass das Zertifikat seit dem 1.12.2004 gesperrt ist (z.B. Karte verloren). Das 

bedeutet, dass die Signatur wahrscheinlich dennoch gültig ist. Denn zum Zeitpunkt der 

Signaturerstellung war der Karteninhaber noch im Besitz seiner Karte. Der Zeitpunkt wird bei 

der Signaturerstellung in die Signatur mit einbezogen. Allerdings kann immer nur die Zeit 

benutzt werden, die das Betriebssystem des Computers zur Verfügung stellt. Bei 

bestehenden Zweifeln ist es am sichersten, sich das Dokument noch einmal signieren bzw. 

einen Zeitstempel hinzufügen zu lassen. 

Die Mechanismen der Signaturprüfung sind im Kapitel Arbeiten mit den OPENLiMiT 

SignCubes Basiskomponenten 2.1, Version 2.1.6.3 - Signaturverifikation beschrieben. Als 

Benutzer des Produktes müssen Sie diesen Abschnitt gelesen haben, um das angezeigte 

Prüfergebnis des Produktes richtig interpretieren zu können.

Rechtliche Aspekte der elektronischen Signatur 

Die Verwendung der elektronischen Signatur ist gesetzlich geregelt. Für die Europäische 

Union trat im Januar 2000 die Richtlinie über die Gemeinschaftlichen Rahmenbedingungen 

für elektronische Signaturen in Kraft. Diese Richtlinie enthält die Verpflichtung für jedes 

Mitgliedsland, die Regelungen in nationales Recht umzuwandeln. So werden elektronische 

Signaturen auch im internationalen Geschäftsverkehr möglich. 

In Deutschland sind die Rahmenbedingungen für rechtlich verbindliche elektronische 

Signaturen durch das Signaturgesetz (SigG), die Signaturverordnung (SigV) sowie das Erste 

Gesetz zur Änderung des Signaturgesetzes (1.SigÄndG) festgelegt. 

Die wesentlichsten Punkte der europäischen Richtlinie: 

Die Gesetze kennen verschiedene Arten von Signaturen. Einfache Signaturen, fortgeschrittene 

Signaturen und qualifizierte Signaturen. Eine Signatur wird als qualifiziert bezeichnet, wenn 

sie: 

� ausschließlich dem Unterzeichner zugeordnet ist, 

� die Identifizierung des Unterzeichners ermöglicht, 

� mit Mitteln erstellt wird, die nur der Unterzeichner kontrolliert, 

� jede nachträgliche Änderung der signierten Daten erkennbar macht 

� und auf einem qualifizierten Zertifikat beruht. 

Ein qualifiziertes Zertifikat wird nur von einem qualifizierten Zertifizierungsdiensteanbieter 

(Trustcenter) ausgestellt. Dabei gelten ganz besonders strenge Anforderungen hinsichtlich 

der Sicherheit der Schlüsselerstellung und der Organisation des Trustcenters. Die Einhaltung 

der gesetzlichen Vorschriften durch die Trustcenter wird von einer nationalen Behörde 

kontrolliert. In Deutschland ist das die Bundesnetzagentur für Elektrizität, Gas, 

Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur), im Internet unter 

www.bundesnetzagentur.de. Dort finden Sie auch eine Liste der qualifizierten und 

akkreditierten Trustcenter, die aktuellen Signaturgesetze und weitere Informationen zur 

Signatur. 

Die Rechtswirkung elektronischer Signaturen 

Qualifizierte Signaturen ... 

� erfüllen die Anforderungen in Bezug auf elektronische Daten genauso wie die 

handschriftliche Unterschrift Anforderungen in Bezug auf Daten erfüllt, die auf Papier 

vorliegen. 

31

32 

� sind vor Gericht als Beweismittel zugelassen. 

... heißt es in den europäischen Richtlinien. Inwiefern diese Vorgaben in nationales Gesetz 

umgewandelt wurden, ist in jedem Land etwas unterschiedlich. 

Aber es bedeutet, dass elektronische Signaturen der eigenhändigen Unterschrift weitgehend 

gleichgestellt sind. In Deutschland ist dies durch die Änderung des § 126 BGB über die 

Schriftform umgesetzt worden. Darin wird bestätigt, dass die Schriftform eines 

unterschriebenen Dokuments mit der qualifizierten Signatur und einem elektronischen 

Dokument ersetzt werden kann. 

Allerdings gibt es auch Ausnahmen. In besonders empfindlichen Bereichen ist die 

elektronische Signatur nicht erlaubt, z.B.: 

� Kündigung von Arbeitsverhältnissen 

� Zeugnisse 

� Bürgschaften 

� Notarielle Beurkundungen 

Außerdem sind qualifizierte Signaturen vor Gericht als Beweis zugelassen, können aber eine 

Urkunde nicht ersetzen. Dies liegt in der Definition einer Urkunde begründet. Der Beweiswert 

ist aber so hoch einzustufen (Siehe § 126 BGB), dass sie einem Urkundenbeweis sehr nahe 

kommen dürfte. 

Anerkennung der verwendeten kryptografischen Algorithmen 

Das Bundesamt für Sicherheit in der Informationstechnik hat den "Entwurf des BSI für den 

Algorithmenkatalog 2008", welcher die Gültigkeit und Anerkennung der verwendeten 

Algorithmen regelt, veröffentlicht. Sie können die aktuelle Fassung des Dokuments von den 

Webseiten des Bundesamt für Sicherheit in der Informationstechnik www.bsi.de herunter 

laden. 

Die folgende Tabelle fasst die Eignung der Hashfunktionen zusammen: 

geeignet bis 

Ende 2007 

Erzeugung 

qualifizierter 

Zertifikate*: 

geeignet bis 

Ende 2009 

geeignet bis 

Ende 2009 

Erzeugung 

qualifizierter 

Zertifikate**: 

geeignet bis Ende 

2010 

SHA-1 SHA-1 RIPEMD-160 SHA-1, 

160 

RIPEMD- 

geeignet bis Ende 

2014 

SHA-224, SHA- 

256, SHA-384, 

SHA-512 

(SHA-1, RIPEMD- 

160)***

*d.h. zur Erzeugung qualifizierter Zertifikate, nicht aber zur Erzeugung und Prüfung anderer 

qualifiziert signierter Daten. 

** d.h. zur Erzeugung qualifizierter Zertifikate bei ≥20 Bit Entropie der Seriennummer, nicht 

aber zur Erzeugung und Prüfung anderer qualifiziert signierter Daten. 

***ausschließlich zur Prüfung qualifizierter Zertifikate. 

33

34 

Für den RSA Algorithmus und die zugehörigen Schlüssellängen hat das Bundesamt für 

Sicherheit in der Informationstechnik die folgenden Vorgaben herausgegeben: 

Zeitraum 

Parameter 

n 1024 

(Mindestw.) 

2048 (Empf.) 

bis Ende 2007 bis Ende 2008 bis Ende 2009 bis Ende 2010 bis Ende 2014 

1280 

(Mindestw.) 

2048 (Empf.) 

1536 

(Mindestw.) 

2048 (Empf.) 

1728 

(Mindestw.) 

2048 (Empf.) 

1976 

(Mindestw.) 

2048 (Empf.)

Sicherheitskomponenten der OPENLiMiT 

SignCubes Basiskomponenten 2.1, 


OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 ist ein Produkt zum 

Erzeugen und Verifizieren fortgeschrittener und qualifizierter elektronischer Signaturen sowie 

zum Ver- und Entschlüsseln von Dokumenten. Die folgenden Abschnitte beschreiben die 

Sicherheitsmerkmale, die Ihnen durch die OPENLiMiT SignCubes Basiskomponenten 2.1, 

Version 2.1.6.3 zur Verfügung gestellt werden. Der genaue Wortlaut kann dem durch das 

BSI veröffentlichten Zertifizierungsreport in englischer Sprache für das Produkt entnommen 

werden. 

Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit Zertifikaten 

unter Verwendung eines Kartenterminals und einer Smartcard 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten die Funktion zur 

Berechnung von kryptographischen Prüfsummen (Hashwerten) nach den Algorithmen SHA- 

1, SHA-256, SHA-384, SHA-512 und RIPE-MD 160. Diese Algorithmen werden von der 

Bundesnetzagentur bzw. dem Bundesamt für Sicherheit in der Informationstechnik als 

geeignete Algorithmen für die Hashwertberechnung bei qualifizierten elektronischen 

Signaturen eingestuft. Ab 2008 ist der Hashalgorithmus SHA-1 für die Erzeugung 

qualifizierter Signaturen nicht mehr zulässig. Es gibt dazu eine Übergangsregelung, die 

voraussichtlich bis Juni 2008 gültig ist.. Über den aktuellen Stand der Übergangsregelung für 

den Hashalgorithmus SHA-1auf informieren Sie sich bitte auf der Internetseite der 

Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 

(Bundesnetzagentur) im Internet unter www.bundesnetzagentur.de. 

Im nächsten Schritt wird der berechnete Hashwert von einer Chip-Karte verwendet, um nach 

dem RSA Verfahren eine elektronische Signatur zu erzeugen. Bei der Signaturerzeugung 

können Sie auf den OPENLiMiT SignCubes Viewer zurückgreifen, um die Daten, die Sie 

signieren möchten, in einer rechtsverbindlichen Art und Weise anzuzeigen. 

35

36 

Bei der Erstellung der Signaturdatei können automatisch eine OCSP-Antwort, ein 

Zeitstempel sowie Attributzertifikate aufgenommen werden, um diese bei der 

Signaturverifikation zu verwenden. Das verwendete Signaturzertifikat wird immer 

automatisch in die Signaturdatei aufgenommen, um eine eindeutige Identifikation des 

Signaturerzeugers sicherzustellen. 

Verwenden Sie stets einen Kartenleser mit sicherer PIN-Eingabe und qualifizierte 

Chipkarten. Sie benötigen eine gültige Lizenz ab Modus 2 für das Produkt, um diese 

Sicherheitsfunktion nutzen zu können. 

Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die 

Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. 


Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten die Funktion zur 

Prüfung von Signaturen an beliebigen Dateien, deren kryptographische Prüfsummen 

(Hashwerte) nach den Algorithmen SHA-1, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 

berechnet wurden. Dabei wird eindeutig erkennbar, auf welche Daten sich die elektronische 

Signatur bezieht. Das Produkt teilt Ihnen mit, ob der Originalhashwert und der 

Verifikationshashwert identisch sind oder nicht, d.h. ob die Daten verändert wurden oder 

nicht. 

Für qualifizierte Signaturen ist der Hashalgorithmus SHA-1 ab 2008 nicht mehr zulässig. Für 

die Erzeugung anderer z.B. fortgeschrittener Signaturen kann der Algorithmus SHA-1 

weiterhin zum Einsatz kommen. Für die Signaturverifikation mit dem Hashalgorithmus SHA-1 

gibt es eine Übergangsregelung geben, die voraussichtlich bis Juni 2008 gültig ist.. Über den 

aktuellen Stand der Übergangsregelung für den Hashalgorithmus SHA-1informieren Sie sich 

bitte auf der Internetseite der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, 

Post und Eisenbahnen (Bundesnetzagentur) im Internet unter www.bundesnetzagentur.de. 

Bei der Signaturprüfung wird aus dem Signaturzertifikat das Herausgeberzertifikat ermittelt 

und die dazugehörige Sperrliste vom lokalen Datenträger geladen. Innerhalb der Sperrliste 

wird überprüft, ob ein entsprechender Eintrag für das Zertifikat vorhanden ist. War das 

Zertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt, wird Ihnen dies angezeigt. 

Sie haben die Möglichkeit, eine OCSP-Abfrage zum Signaturzertifikat durchzuführen. Das 

Ergebnis der OCSP-Abfrage wird Ihnen in einer Statusmeldung angezeigt. 

Wurden bei der Signaturerstellung die Optionen zur automatischen OCSP-Abfrage, 

Erstellung eines Zeitstempels sowie das Mitsignieren von Attributzertifikate eingestellt, so 

werden diese Informationen bei der Signaturprüfung automatisch angezeigt. 


Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. Für eine korrekte 

Zetrifikatsprüfung anhand der Sperrlisten sollten Sie regelmäßig die aktuellen Sperrlisten laden.

Erkennung von Manipulationen an Programm-Modulen 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten die Funktion zum 

Erkennen von Manipulationen an den ausgelieferten Bibliotheken und ausführbaren Dateien. 

Das Prüfmodul ermittelt die Hashwerte aller Bibliotheken und ausführbaren Dateien und 

vergleicht diese mit den Signaturen der einzelnen Dateien. Bei Abweichungen werden die 

OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 deaktiviert und Sie werden 

durch eine Textmeldung informiert. 

Es wird automatisch sichergestellt, dass das Prüfmodul nur von einer berechtigten 

Anwendung geladen werden kann. Das bedeutet, dass diese Anwendung mit dem gleichen 

Schlüssel signiert sein muss wie das auf Ihrem Rechner installierte Produkt. 

Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, werden die OPENLiMiT 

SignCubes Basiskomponenten 2.1, Version 2.1.6.3 deaktiviert. Der sichere Zustand der 

Anwendung ist nicht mehr gewährleistet, da eine Manipulation vorgenommen wurde. Mit 

einer Textmeldung werden Sie auf diesen Zustand hingewiesen. 


Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. 

Anzeige der zu signierenden oder bereits signierten Daten 

Der in den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 enthaltene 

OPENLiMiT SignCubes Viewer bietet die Funktion, Inhalte, die angezeigt werden sollen, 

eindeutig darzustellen. Der OPENLiMiT SignCubes Viewer sichert, dass die angezeigte 

Datei frei von verdeckten oder aktiven Inhalten ist. Weiterhin werden Sie informiert, falls 

aktive oder nicht darstellbare Inhalte in der Datei enthalten sind. 

Bei der sicheren Anzeige der Datei (PDF-, Text- oder TIFF Format) werden die folgenden 

Arbeitsschritte vorgenommen: Zunächst wird das Format geprüft. Handelt es sich um ein 

unbekanntes Format, wird eine entsprechende Fehlermeldung ausgegeben, die den Hinweis 

enthält, dass diese Datei nicht dargestellt werden kann. Werden aktive bzw. verdeckte 

Inhalte in der Datei erkannt, wird Ihnen eine Warnmeldung angezeigt. 

Der OPENLiMiT SignCubes Viewer kann Dokumente anzeigen, die der PDF Spezifikation 

1.7 entsprechen (Abweichungen von der PDF Spezifikation werden weiter unten in diesem 

Kapitel aufgelistet). Die TIFF Erkennung richtet sich nach der Adobe TIFF Spezifikation 6.0. 

Für die Erkennung von Textdokumenten gelten die folgenden Regeln: 

Die folgenden Zeichen werden von dem OPENLiMiT SignCubes Viewer untersucht, um zu 

erkennen, dass es sich bei dem vorliegenden Dokument um ein Textdokument handelt. 

� a) das NULL Byte (0x00) 

� b) die Zeichen TAB (0x09), CR (Cariage Return, 0x0d) und LF (Line Feed, 0x0a) 

37

38 

� c) die Zeichen von 0x01 bis 0x1f mit Ausnahme der unter a) und b) angegebenen 

Zeichen 

� d) die Zeichen von ' ' bis '~' (0x20 bis 0x7e) 

� e) die deutschen ANSI-Umlaute (0xc4 (Ä), 0xd6 (Ö), 0xdc (Ü), 0xe4 (ä), 0xf6 (ö), 0xfc 

(ü)) 

� f) die deutschen DOS Umlaute (0x81 (ü), 0x84 (ä), 0x8e (Ä), 0x94 (ö), 0x99 (Ö), 0x9a 

(Ü)) 

� g) alle restlichen Zeichen 

Die folgenden Regeln für die Erkennung von Textdateien durch den OPENLiMiT SignCubes 

Viewer werden formuliert: 

� Eine Sequenz von Zeichen der Kategorie a) ist am Ende einer Datei zulässig. Ein 

Zeichen der Kategorie a) innerhalb der Datei ist zulässig, mit Ausnahme der Erläuterung 

aus dem vorhergehenden Satz. Das Vorkommen von Zeichen der Kategorie a) innerhalb 

der Datei und am Ende der Datei ist nicht zulässig. 

� Tritt mehr als ein Zeichen der Kategorie c) auf, handelt es sich nicht um eine Textdatei. 

Wenn bereits 2 Zeichen der Kategorie a) gefunden wurden, sind Zeichen der Kategorie c) 

nicht erlaubt. 

� Liegt die Gesamtanzahl der Zeichen innerhalb der Datei aus Kategorie b), d), e) und f) 

unter 80%, handelt es sich nicht um eine Textdatei. 

Weiterhin werden Warnungen durch den OPENLiMiT SignCubes Viewer generiert, wenn 

eines der folgenden Szenarien zutrifft. 

� Die Kategorie g) ist nicht leer. In diesem Falle wird die folgende Warnung angezeigt: "Die 

Datei enthält Zeichen, die nicht eindeutig darstellbar sind!" 

� Die Kategorien e) und f) sind beide nicht leer. In diesem Falle wird die folgende Warnung 

angezeigt, wenn nicht bereits das vorhergehende Szenario zutrifft: "Die Datei enthält 

sowohl 'DOS'- als auch 'Windows'-Umlaute. Eine eindeutige Identifikation der korrekten 

Darstellung ist nicht möglich." 

� Wenn Zeichen der Kategorie a) und/oder c) in dem Dokument vorhanden sind, wird die 

folgende Warnmeldung angezeigt: "Die Datei enthält Zeichen, die nicht eindeutig 

darstellbar sind!" 

Hinweis: Das hexadezimale Zeichen 0x00 wird wie folgend dargestellt: . Das hexadezimale Zeichen 

0x7F wird wie folgend dargestellt: . Das Zeichen 0x00 führt zwar zu einer Warnmeldung des 

Viewers, es wird jedoch im Analysedialog keine gesonderte Warnmeldung ausgegeben, da dieses 

Zeichen in jedem Zeichensatz eine eindeutige Darstellung hat.

Der OPENLiMiT SignCubes Viewer verarbeitet in PDF Dateien keine aktiven Code- 

Elemente, wie etwa Java-Script oder Multimedia-Objekte. Da das PDF Format die 

Einbettung verschiedener Ansichten ein und desselben Objektes erlaubt, zeigt der 

OPENLiMiT SignCubes Viewer grundsätzlich nur die Standard-Ansicht für diese Objekte an. 

Das bedeutet, dass Sie bei vorhandenen alternativen Darstellungen von Objekten 

grundsätzlich die Analysefunktionen des OPENLiMiT SignCubes Viewers benutzen müssen, 

um festzustellen, ob die alternativen Darstellungen Elemente enthalten, die den Inhalt des 

Dokuments verfälschen und Sie evtl. nicht bereit wären, diese Dokumentinhalte zu signieren. 

Die PDF Anzeige des OPENLiMiT SignCubes Viewers unterstützt das Dokumentformat PDF 

1.7. Wenn Sie ein PDF Dokument mit dem OPENLiMiT SignCubes Viewer untersuchen, 

sollten Sie sicher stellen, dass die Angaben der PDF-Versionsnummer in dem Dokument der 

Version 1.7 oder darunter entspricht. Versionen nach der PDF-Version 1.7 können in dem 

Viewer nicht zweifelsfrei dargestellt werden, da spätere Versionen Elemente enthalten 

können, die vom Viewer nicht erkannt und auch nicht dargestellt werden können. 

Der Viewer enthält einige Abweichungen zu diesem Standard (Dokumentformat 1.7), die Sie 

kennen sollten: 

� Der OPENLiMiT SignCubes Viewer unterstützt keine Transparenz. 

� Der OPENLiMiT SignCubes Viewer zeigt grundsätzlich die Standardansicht von PDF 

Objekten an. Das PDF Format erlaubt die Angabe von alternativen Ansichten eines 

Objektes, die Ansicht kann z.B. von der Bildschirmauflösung abhängig sein. In diesem 

Falle werden Sie von dem Produkt gewarnt und haben die Möglichkeit, die Mittel des 

OPENLiMiT SignCubes Viewer zu verwenden, um die alternativen Darstellungen zu 

untersuchen. 

� Der OPENLiMiT SignCubes Viewer unterstützt keine Multimedia-Elemente. Die 

Möglichkeit, z.B. animierte Flash-Filme anzuzeigen wird von dem Produkt nicht 

unterstützt. In diesem Falle wird Ihnen die Standard-Darstellung (z.B. das Flash-Icon) 

angezeigt. 

Die Funktion zur Anzeige von PDF Dateien hängt von der Lizenz ab, die Sie erworben 

haben. Wenn Ihre Lizenz nicht erlaubt, PDF Dateien anzuzeigen, steht Ihnen diese Funktion 

auch nicht zur Verfügung. 

Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel 

Mindestanforderungen dargelegten Anforderungen sicherstellen. Es werden keine aktiven Inhalte wie 

Scripte oder Programmcode interpretiert. 

Schutz vor Hashwertmanipulation 

39

40 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten einen Schutz vor 

Hashwertverfälschung während des Signaturvorganges. Dazu wird vor dem Signaturvorgang 

der Hashwert über die zu signierenden Daten gebildet. Nach dem Signaturvorgang überprüft 

das Produkt die erzeugte Signatur, indem es die Signatur mit dem öffentlichen Schlüssel des 

verwendeten Signaturzertifikates verifiziert. Abschließend wird Ihnen eine Textmeldung 

angezeigt, dass die Daten signiert wurden. 

Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel 

Mindestanforderungen dargelegten Anforderungen sicherstellen. 

Sicherstellung der Unversehrtheit des Produktes 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten die Funktion zum 

Prüfen der Integrität der installierten Programm-Module. Diese Sicherheitsfunktion wird durch 

das OPENLiMiT SignCubes Integrity Tool realisiert. Das OPENLiMiT SignCubes Integrity 

Tool ist ein Java-Applet, das die Hash-Werte an den ausgelieferten sicherheitsrelevanten 

Modulen überprüft und somit sicherstellt, dass sich die Module noch in dem Zustand 

befinden, wie sie ursprünglich ausgeliefert und installiert wurden. 

Für die Nutzung des OPENLiMiT SignCubes Integrity Tool ist das Java Plugin notwendig, 

das über die Internetseite www.openlimit.com/integritytool geladen wird. Das Java Plugin 

sollte grundsätzlich erst nach positiver Prüfung der Signatur des Applets gestartet werden. 

Das Ergebnis der Prüfung durch das OPENLiMiT SignCubes Integrity Tool wird Ihnen in 

einer Textmeldung angezeigt. Stellt das Prüfmodul eine Beschädigung der Modulsignaturen 

fest, ist der sichere Zustand der Anwendung nicht mehr gewährleistet und Sie sollten das 

Produkt auf Ihrem Rechner neu installieren. 

Die Überprüfung der Unversertheit der Programm-Module sollte regelmäßig, d.h. mindestens 

einmal im Monat, durchgeführt werden. 

Stellen Sie sicher, dass sie die im Kapitel Betriebssysteme aufgeführte Version der Java Virtual Machine 

installiert haben, um die korrekte Arbeitsweise dieser Funktion sicherzustellen. 

Import und Verarbeitung von OCSP Abfragen 

Das Produkt bietet Ihnen die Möglichkeit, über das OCSP (Online Certificate Status Protocol) 

Protokoll die Gültigkeit eines Zertifikates zu prüfen. Dazu können Sie zu einem Zertifikat eine 

OCSP Anfrage mit Hilfe des Produktes stellen und erhalten eine entsprechende Antwort von 

der CA, die das Zertifikat ausgestellt hat. Sie sollten diese Möglichkeit immer dann nutzen, 

wenn Sie sich über die Gültigkeit eines Zertifikates direkt beim Herausgeber versichern 

möchten.

Sie haben ebenfalls die Möglichkeit, das Produkt so zu konfigurieren, dass eine OCSP 

Antwort vom Herausgeber automatisch zur elektronischen Signatur hinzugefügt wird. Damit 

geben Sie dem Empfänger einer von Ihnen signierten Datei die Gewissheit, dass Ihr 

Zertifikat zum Zeitpunkt der Signaturerstellung nicht gesperrt war. Es besteht die Möglichkeit, 

dass Sie sich die Einzelheiten der OCSP Antwort anzeigen lassen. In diesem Falle haben 

Sie außerdem die Möglichkeit, das Zertifikat zu begutachten, welches die OCSP Antwort 

unterschrieben hat. 

Während des Imports der OCSP Antwort prüft das Produkt immer die mathematische 

Gültigkeit der Antwort. Ist die mathematische Gültigkeit nicht erfolgreich geprüft worden, 

werden die OCSP Daten nicht importiert. Wenn Sie die Details zur OCSP Antwort 

begutachten, prüft das Produkt automatisch die gesamte Zertifikatskette bis hin zum 

Wurzelzertifikat auf der Basis von Sperrlisten. Stellen Sie in diesem Falle sicher, dass Sie 

über aktuelle Sperrlisten auf Ihrem Rechner verfügen. 

Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen 

dargelegten Anforderungen erfüllen. 

Import und Anbringen von Zeitstempeln 

Das Produkt erlaubt Ihnen das automatische Anbringen eines Zeitstempels an Daten, die Sie 

signiert haben. Dabei wird der Zeitstempel auf mathematische Korrektheit der Signatur 

überprüft und in die Signaturdatei, die Sie erzeugt haben, mit aufgenommen. Kann die 

mathematische Korrektheit der Signatur nicht erfolgreich geprüft werden, wird der 

Zeitstempel nicht mit aufgenommen und Ihnen wird eine entsprechende Fehlermeldung 

angezeigt. 

Um einen Zeitstempel automatisch zu den signierten Daten aufzunehmen, müssen Sie 

entsprechende Konfigurationseinstellungen an dem Produkt vornehmen. 



Prüfung von Zeitstempeln 

Wenn Sie eine signierte Datei erhalten, die einen Zeitstempel beinhaltet, können Sie die 

Gültigkeit des Zeitstempels überprüfen. Zu diesem Zweck haben Sie einen Dialog zur 

Verfügung, der Ihnen die Einzelheiten des Zeitstempels anzeigt. In diesem Falle wird die 

Signatur des Zeitstempels basierend auf Sperrlisten bis hin zum Wurzelzertifikat überprüft. 

Sie erhalten neben den eigentlichen Informationen, die Ihnen der Zeitstempel bereitstellt 

Informationen darüber, ob die Signatur des Zeitstempels selber gültig ist. Stellen Sie vor der 

Verwendung dieser Funktion sicher, dass Sie über aktuelle Sperrlisten verfügen. 



41

42 

Freischalten und Verwendung von lizenzierten Funktionen 

Gemeinsam mit dem Produkt und Ihrer Signaturkarte haben Sie einen Lizenzschlüssel 

erhalten, den Sie bei der ersten Benutzung des Produktes eingeben müssen. Wenn Sie über 

keinen Lizenzschlüssel verfügen, können sie das Produkt zum Prüfen von Signaturen 

verwenden, jedoch keine Signaturen erstellen. Der Lizenzierungsassistent wird Sie durch 

den Lizenzierungsvorgang führen. Dabei werden keine vertraulichen Daten verwendet oder 

mit dem Hersteller des Produktes ausgetauscht. Sie werden während der Lizenzierung des 

Produktes aufgefordert, die vom Produkt erzeugte Lizenzdatei zu signieren. Dieser Vorgang 

dient zu Ihrer Absicherung, damit Sie später sicher sein können, eine gültige Lizenz Ihres 

Produktes zu verwenden. 

Wenn Sie über keinen Lizenzcode verfügen, können Sie das Produkt zum Verifizieren von 

PKCS#7 Signaturen an TIFF und Text Dokumenten verwenden. Eine Signaturerzeugung ist 

in diesem Falle nicht möglich. 

Weiterhin werden die folgenden Modi in Abhängigkeit von der installierten Lizenz 

unterschieden: 

� Reader-Modus: Im Reader-Modus haben Sie die Möglichkeit, TIFF und Text Dokumente 

mit dem Viewer zu betrachten. Die Prüfung von PKCS#7 Signaturen an diesen 

Dokumenten ist möglich, allerdings können Sie mit einer solchen (kostenfreien) Lizenz 

keine Signaturen erzeugen. 

� Modus 2: Sie haben die Möglichkeit, TIFF und Text Dokumente zu betrachten und an 

diesen Dokumenten PKCS#7 Signaturen zu erzeugen. Sie können PKCS#7 Signaturen 

an diesen Dokumenten prüfen. 

� Modus 3: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente zu betrachten. Sie 

können aber nur TIFF und Text Dokumente mit PKCS#7 Signaturen versehen. Sie haben 

die Möglichkeit, PKCS#7 Signaturen an allen drei Dokumentformaten zu überprüfen. 

Darüber hinaus können Sie in PDF Dateien eingebettete Signaturen verifizieren. 

� Modus 4: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit 

PKCS#7 Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu 

prüfen. PDF Signaturen können ebenfalls geprüft werden. 

� Modus 5: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit 

PKCS#7 Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu 

prüfen. Sie können zusätzlich eingebettete PDF Signaturen erzeugen und verifizieren. 

Der in diesem Zusammenhang verwendete Begriff PKCS#7 Signatur bezieht sich 

ausschließlich auf abgesetzte bzw. verbundene Signaturen. Signaturen innerhalb von PDF 

Dokumenten werden als PDF Signaturen bezeichnet, auch wenn diese technisch auf dem 

PKCS#7 Format basieren.

Ein Upgrade der bei der Installation mitgelieferten Readerlizenz ist jederzeit möglich, 

allerdings benötigen Sie für diesen Vorgang eine Signaturkarte. Das Einspielen einer Lizenz 

mit geringeren Rechten als die bereits freigeschalteten Funktionen wird von dem Produkt 

verhindert bzw. nicht akzeptiert. 



43

44 

OPENLiMiT SignCubes Security Environment 

Manager 

Der OPENLiMiT SignCubes Security Environment Manager ist das Kernstück des 

Softwarepaketes OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3. Er wird 

standardmäßig automatisch mit dem Betriebssystem gestartet. Andernfalls kann der 

OPENLiMiT SignCubes Security Environment Manager über Start/Programme/OPENLiMiT 

SignCubes/OPENLiMiT SignCubes Manager gestartet werden. Er stellt die folgenden 

Funktionen zur Verfügung: 

� Berechnung des Hashwertes unter Verwendung einer der Algorithmen SHA-1, SHA-256, 

SHA-384, SHA-512 und RIPE-MD 160. 

� Erzeugung der Signatur unter Verwendung einer Chipkarte und eines Kartenlesers mit 

sicherer PIN-Eingabe 

� Hinzufügen eines Zeitstempels zu einer erzeugten elektronischen Signatur 

� Unterstützung von Attributzertifikaten bei der Erzeugung einer elektronischen Signatur 

� Unterstützung der OCSP Abfrage bei der Erzeugung einer elektronischen Signatur 

� Prüfung von Signaturzertifikaten über OCSP und CRL 

� Anzeige der OCSP Informationen zu einem Zertifikat 

� Verarbeitung von Zeitstempelinformationen während der Signaturprüfung 

� Anzeige von Zeitstempelinformationen 

� Sicherstellung der Integrität und korrekten Installation der OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 

� Bereitstellung eines Interfaces für die Signaturerzeugung, Prüfung und 

Produktkonfiguration 

Im Prozess der Verifikation einer Signatur zeigt der OPENLiMiT SignCubes Security 

Environment Manager die zur Verfügung stehenden Informationen des qualifizierten 

Attributzertifikates, das zu dem qualifizierten Zertifikat zugehört, an. Der OPENLiMiT 

SignCubes Security Environment Manager ist in der Lage zu erkennen, ob ein 

Attributzertifikat zu einem Zertifikat dazugehört und bringt es zur Anzeige, sofern dieses 

vorhanden ist.

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 arbeiten mit Daten im 

PKCS#7 Format. Das bedeutet, dass das Produkt OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 mit allen Anwendungen, die dieses Format 

unterstützen, kompatibel ist. 

Das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 steuert die 

Kartenleser über PC/SC oder CT-API Schnittstellen an. Einige Hersteller liefern separate 

Programmbibliotheken zur Ansteuerung der sicheren PIN-Eingabe am Kartenleser. Die 

OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 verwenden diese Module, 

sofern diese vorhanden sind. Die durch die Software OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 unterstützten Chipkarten finden Sie in dem Abschnitt 

Chipkarten. Die Liste der unterstützten Kartenleser finden Sie in dem Abschnitt 

Kartenleser. 

Es ist möglich, mehrere Kartenterminals und Signaturkarten parallel zu nutzen. Für jedes 

Kartenterminal wird Ihnen ein entsprechendes Icon im System-Tray angezeigt. 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 dürfen für die 

Erzeugung qualifizierter (rechtskonformer) Signaturen nur mit SigG konformen Kartenlesern 

verwendet werden. Eine Liste dieser Geräte wird durch die Bundesnetzagentur für 

Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) unter 

www.bundesnetzagentur.de veröffentlicht. 

Die Signaturprüfung erfolgt nach dem Schalenmodell und zusätzlich nach dem Kettenmodell 

(für qualifizierte Zertifikate) von dem Zertifikat des Anwenders bis zu dem Wurzelzertifikat der 

CA unter Einbeziehung der Sperrlisten. 

Zusätzlich zu der Sperrlistenabfrage unterstützen die OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 das Online Certificate Status Protocol (OCSP). Das 

OCSP Protokoll ermöglicht die Online-Abfrage der Gültigkeit eines Zertifikates. Diese 

Prüfung kann nur durchgeführt werden, wenn die Information zu dem OCSP Responder 

verfügbar ist. Das bedeutet, dass das Zertifikat eine Information enthalten muss, die es 

ermöglicht den OCSP Responder zu identifizieren. 

Eine weitere Funktion des OPENLiMiT SignCubes Security Environment Managers ist die 

Arbeit mit Zeitstempeln. Ein Zeitstempel kann eine Angabe im Zusammenhang mit der 

Signaturerstellung sein, aber auch eine Information bei der Signaturprüfung. Weitere 

Informationen zu Zeitstempeldiensten erhalten Sie in dem Abschnitt Zeitstempeldienste. 

Die Verfahrensweise der Beschaffung der Informationen des OCSP, der Sperrlisten und des 

Zeitstempels sind nicht Bestandteil der Evaluierung. 

45

46 

Hinweis: Die Signaturerzeugung besteht immer aus zwei Teilschritten: der Erzeugung des 

Hashwertes und der Verschlüsselung des Hashwertes mit dem privaten Schlüssel des 

Zertifikates. Die Verschlüsselung des Hashwertes findet immer auf der Chipkarte statt, so 

dass der private Schlüssel Ihres Signaturzertifikates dem OPENLiMiT SignCubes Security 

Environment Manager zu keinem Zeitpunkt der Signaturerzeugung und auch zu allen 

anderen Zeitpunkten nicht bekannt ist. Dieses Verfahren stellt sicher, dass ein Missbrauch 

des privaten Schlüssels des Zertifikates ausgeschlossen ist. 

Die Verfahren zur Signaturerzeugung und Verifikation arbeiten mit dem RSA Verfahren für 

Public Key Kryptographie. Die Stärke der verwendeten Schlüssel beträgt bis zu 2048 Bit und 

ist von der eingesetzten Chip-Karte abhängig. 

Wird eine elektronische Signatur erzeugt, so legt der OPENLiMiT SignCubes Security 

Environment Manager bei der Codierung des PKCS#7 Datencontainers die komplette 

Zertifikatsliste bis hin zum Wurzelzertifikat in dem Container ab. Das bedeutet, dass somit 

immer die komplette Zertifikatsliste für das prüfende Programm zur Verfügung steht und eine 

vollständige Signaturprüfung erfolgen kann. 

Es gibt für den Anwender keine direkte Möglichkeit, den OPENLiMiT SignCubes Security 

Environment Manager zur Signaturerzeugung, Signaturverifikation, Ver- und 

Entschlüsselung zu benutzen. Um diese Funktionalitäten zu nutzen, steht Ihnen der 

OPENLiMiT SignCubes Viewer zur Verfügung. 

Der OPENLiMiT SignCubes Security Environment Manager enthält Mechanismen, die 

sicherstellen, dass die ausgelieferten Module nicht manipuliert wurden. Dazu überprüft der 

OPENLiMiT SignCubes Security Environment Manager die Programmbibliotheken während 

des Ladevorganges auf die Korrektheit ihrer Signaturen. Wenn Sie eine Fehlermeldung 

erhalten, dass die Signatur einer Programmbibliothek beschädigt ist, deaktiviert der 

OPENLiMiT SignCubes Security Environment Manager den Zugang zu den angebotenen 

Sicherheitsfunktionen. Die genauen Meldungen sind im Kapitel Fehlermeldungen des 

OPENLiMiT SignCubes Security Environment Manager (siehe "Fehlermeldungen 

OPENLiMiT SignCubes Security Environment Manager") aufgeführt. Hilfeanleitungen in 

solchen Situationen finden Sie ebenfalls in diesem Kapitel.

OPENLiMiT SignCubes Viewer 

Der OPENLiMiT SignCubes Viewer ist Bestandteil der OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 und bietet dem Anwender die Möglichkeit, sich 

gemäß den Anforderungen des §17 Absatz 2 SigG die zu signierenden Daten bzw. bereits 

signierte Daten anzeigen zu lassen. Der OPENLiMiT SignCubes Viewer sichert, dass die 

angezeigte Datei frei von verdeckten oder aktiven Inhalten ist. Weiterhin werden Sie 

informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind. 

Bei der Signaturprüfung zeigt der OPENLiMiT SignCubes Viewer die Daten an, auf die sich 

die zur Prüfung ausgewählte Signatur bezieht. 

Hinweis: Der OPENLiMiT SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente 

darzustellen und den Inhalt dieser Dokumente zu untersuchen. Die PDF Dokumente 

entsprechen der PDF 1.7 Spezifikation. Sie sollten sich in jedem Fall vergewissern, um 

welche Version es sich bei der verwendeten PDF Datei handelt. Das TIFF Dokument kann 

eine mehrseitige TIFF Datei (Multipage-TIFF) sein. Die dargestellten Dokumentformate 

hängen von der erworbenen Lizenz ab. 

Werden unbekannte Inhalte oder Spezifikationen in den Dokumenten entdeckt, werden Sie 

von dem OPENLiMiT SignCubes Viewer darüber informiert. Werden Inhalte gefunden, die 

als verdeckte oder aktive Inhalte erkannt werden, sollten Sie das Dokument nicht signieren. 

Der OPENLiMiT SignCubes Viewer kann diese Inhalte nicht entfernen sondern die 

Dokumente nur untersuchen. Wenn Sie das Dokument dennoch signieren, unterschreiben 

Sie ein Dokument, welches Sie nicht in seiner richtigen Darstellungsform betrachten 

konnten. 

Wenn Sie ein farbiges TIFF Dokument signieren wollen, sollten Sie immer von der 

Möglichkeit der Graustufen und Schwarz/Weiß Betrachtung des Dokuments innerhalb des 

OPENLiMiT SignCubes Viewer Gebrauch machen. Der Abschnitt Arbeiten mit dem 

OPENLiMiT SignCubes Viewer zeigt Ihnen am Beispiel einer manipulierten TIFF Datei, wie 

Sie verdeckte Inhalte in einem solchen Dokument erkennen können. In diesem Kapitel 

erhalten Sie darüber hinaus eine Beschreibung der Darstellungsmöglichkeiten weiterer 

Dateiinhalte wie Bilder, Java Scripte und Texte, die in PDF Dateien enthalten sein können. 

Mit dem OPENLiMiT SignCubes Viewer können Dateien im Format PDF, TIFF und TEXT 

geöffnet werden, wobei diese Dokumente mit einer PKCS#7 Signatur versehen sein können. 

In diesem Falle haben Sie die Möglichkeit, die Gültigkeit der Signatur vom Viewer aus zu 

prüfen. 

47

48 

Der OPENLiMiT SignCubes Viewer kann als separates Programm oder innerhalb des 

Signaturanforderungsdialoges gestartet werden. Innerhalb des 

Signaturanforderungsdialoges können Sie den OPENLiMiT SignCubes Viewer nur dann 

verwenden, wenn auch ein PDF, Text oder TIFF Dokument als das zu signierende 

Dokument erkannt wird. Der OPENLiMiT SignCubes Viewer wird als Programm siqView.exe 

im Installationspfad der Anwendung installiert, weiterhin wird während der Installation eine 

Verknüpfung im Startmenü des Betriebssystems erzeugt. 

Der OPENLiMiT SignCubes Viewer kann die Dokumente zwar untersuchen und Warnungen 

zu den Dokumenten generieren sowie Prüfdetails anzeigen, jedoch muss die Entscheidung, 

ob eine Signatur an dem Dokument erzeugt werden soll, durch den Anwender selbst 

getroffen werden. Die inhaltliche Interpretation eines angezeigten Dokuments obliegt 

vollständig dem Benutzer und kann durch den OPENLiMiT SignCubes Viewer nicht geleistet 

werden. 

Hinweis zu den anzeigbaren Dokumentformaten 

Die anzeigbaren Dokumentformate hängen von der erworbenen Lizenz ab. Wenn Ihre Lizenz 

die Anzeige von PDF Dokumenten nicht erlaubt, können solche Dokumente auch nicht 

dargestellt werden. Wenn Sie über keinen Lizenzcode für das Produkt verfügen, können sie 

auch grundsätzlich keine elektronischen Signaturen mit dem Produkt erzeugen. Mehr 

Informationen finden Sie in der Beschreibung der Lizenzierungsvarianten unter 

Sicherheitskomponenten der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 

2.1.6.3. 

Hinweis für die Signaturerzeugung: 

Im folgenden Abschnitt wird erklärt, in welcher Situation der OPENLiMiT SignCubes Viewer 

ein Verbunddokument bzw. eine abgesetzte Signatur erzeugt. Für die Erzeugung von 

Signaturen benötigen Sie eine entsprechende Lizenz. 

Ausgangsdatei Erzeugtes Dateiformat 

TIFF-Datei ohne Signatur Signatur 

erzeugt. 

wird als abgesetzte Signaturdatei 

Text-Datei ohne Signatur Signatur 

erzeugt. 

wird als abgesetzte Signaturdatei 

TIFF-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei 

hinzugefügt. 

Text-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei 

TIFF-Datei mit verbundener Signatur 

hinzugefügt. 

Signatur wird dem Verbunddokument hinzugefügt.

Ausgangsdatei Erzeugtes Dateiformat 

Text-Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt. 

PDF Datei ohne Signatur oder mit In Abhängigkeit von der Lizenz wird entweder eine 

eingebetteter Signatur 

eingebettete PDF Signatur oder eine abgesetzte 

PKCS#7 Signatur erzeugt. 

PDF Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signatur 

PDF Datei mit verbundener Signatur 

hinzugefügt. 

Signatur wird dem Verbunddokument hinzugefügt. 

49

50 

OPENLiMiT SignCubes Integrity Tool 

Wenn Sie in die Situation geraten, dass Sie nicht mehr sicher sind, ob Ihr Rechner nicht 

manipuliert wurde, müssen Sie sicherstellen, dass das Produkt OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 noch wie vorgesehen arbeitet. 

Um die Integrität des Produktes auf Ihrem Rechner sicherzustellen, sollten Sie sich nicht nur 

auf die korrekte Arbeitsweise des OPENLiMiT SignCubes Security Environment Managers 

verlassen. Sie benötigen ein unabhängiges Werkzeug, welches im Zweifelsfall in der Lage 

ist, von einem vertrauenswürdigen Medium aus die Integrität des installierten Produktes auf 

Ihrem Rechner zu überprüfen. 

Das OPENLiMiT SignCubes Integrity Tool überprüft die Hash-Werte an den installierten 

sicherheitsrelevanten Programmbibliotheken. Es wird festgestellt, ob sich die 

Programmbibliotheken noch in dem Zustand befinden, wie sie ursprünglich ausgeliefert und 

installiert wurden. Nach erfolgter Prüfung wird ein Prüfbericht erstellt. 

Dazu berechnet das Java-Applet die Hashwerte nach SHA-256 und vergleicht sie mit den 

OPENLiMiT - Originalen. Sie können das Applet über die folgende URL aufrufen: 

https://www.openlimit.com/integritytool 

Weiterhin zeigt Ihnen das OPENLiMiT SignCubes Integrity Tool an, welche 

Chipkartenterminals und Signaturkarten von Ihrer Installation unterstützt werden. Wenn Sie 

eine Signaturkarte verwenden möchten, die von der aktuellen Installation nicht unterstützt 

wird, können Sie diese Unterstützung durch ein Add-On Setup zu Ihrer derzeitigen 

Installation hinzufügen. Verwenden Sie in jedem Falle das OPENLiMiT SignCubes Integrity 

Tool um zu überprüfen, ob die beabsichtigten Module Ihrer Installation hinzugefügt worden 

sind. 

Das OPENLiMiT SignCubes Integrity Tool bietet die Möglichkeit, Konfigurationen für 

Chipkarten zusätzlich zu der Standardinstallation einzuspielen. Diese Konfiguration sind 

Initialisierungsdateien, die festlegen, welcher Hash- und Signaturalgorithmus für die jeweilige 

Signaturkarte verwendet wird. Das OPENLiMiT SignCubes Integrity Tool kennt alle 

möglichen Konfigurationen für die Signaturalgorithmen und prüft bei dem Integritätscheck 

auch die verwendeten Algorithmen. 

Weitere Informationen dazu finden Sie in dem Kapitel Arbeiten mit dem OPENLiMiT 

SignCubes Integrity Tool

Das Applet OPENLiMiT SignCubes Integrity Tool ist signiert, die Signatur wird von der Java 

Virtual Machine (JVM) geprüft. Sie müssen dem Zertifikat explizit vertrauen, mit dem das 

Applet signiert wurde. Die Seriennummer des Zertifikates, mit dem das Applet signiert wurde, 

lautet [15 87 85 19 94 64 90 08 09 13 38 86 08 35 33 72 42 88 47 0] und wurde von VeriSign 

herausgegeben. Das Zertifikat ist vom 27.06.2006 bis zum 27.06.2009 gültig. Für den Fall, 

dass das Zertifikat erneuert wird, veröffentlicht OPENLiMiT die Seriennummer des aktuellen 

Zertifikats auf der Webseite. 

Neben den im Kapitel Betriebssysteme genannten Voraussetzungen ist für die Abarbeitung 

des Java-Applets die korrekte Browserkonfiguration zur Verwendung der JVM notwendig. 

Weitere Hinweise zur Arbeit mit dem Java-Applet erhalten Sie in dem Kapitel Arbeiten mit 

dem OPENLiMiT SignCubes Integrity Tool. 

Stellt das OPENLiMiT SignCubes Integrity Tool fest, dass sich die Programmbibliotheken 

nicht mehr in ihrem Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem 

Rechner installieren. Vorher sollten Sie jedoch mit einem aktuellen Virenscanner überprüfen, 

ob Ihr Rechner von einem Virus befallen wurde oder ein anderes Programm Ihren Rechner 

manipuliert hat. 

Hinweis: Starten Sie das OPENLiMiT SignCubes Integrity Tool nur von der Webseite 

https://www.openlimit.com/integritytool und nach Prüfung des Server-Zertifikats. 

Sie müssen als Nutzer das Prüfprogramm regelmäßig ausführen, um die Integrität des Produktes 

sicherzustellen. Regelmäßig bedeutet in diesem Zusammenhang mindestens einmal im Monat. Weiterhin 

müssen Sie die Integrität des Produktes auf Ihrem Rechner sicherstellen, sobald Sie den Verdacht haben, 

dass die Programmdateien geändert wurden. 

Falls Sie das Produkt über einen Download bezogen haben, sollten Sie in jedem Fall, bevor Sie das 

Produkt zum ersten Mal anwenden, das OPENLiMiT SignCubes Integrity Tool ausführen, um die 

Korrektheit der Installation zu verifizieren. 

51

Konfiguration der OPENLiMiT SignCubes 


In diesem Abschnitt werden Ihnen die Konfigurationsoptionen des Produktes OPENLiMiT 

SignCubes Basiskomponenten 2.1, Version 2.1.6.3 dargelegt und auf die sichere 

Konfiguration des Produktes eingegangen. Darüber hinaus werden Sie in jedem Abschnitt 

dieser Benutzerdokumentation Version 2.1.6.3 auf die sicheren Parameter bei der 

Konfiguration hingewiesen. Abweichende Konfigurationen sollten Sie nach Möglichkeit nicht 

einsetzen, da unter Umständen der sichere Betrieb des Produktes nicht mehr gewährleistet 

werden kann. Vor der Arbeit mit dem Produkt müssen Sie die Konfiguration der 

Benutzereinstellungen des Produktes überprüfen, insbesondere, wenn Sie an einem 

Arbeitsplatz arbeiten, an dem auch andere Benutzer Zugriff auf das Produkt haben. 

Administration und Administratorrolle: 

Das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 erlaubt die 

individuelle Konfiguration der Benutzereinstellungen. Diese individuelle Konfiguration kann 

allerdings nur dann vorgenommen werden, wenn Sie als Benutzer über Administratorrechte 

verfügen oder Ihnen ein Administrator des Betriebssystems Administrationsrechte einräumt. 

Dies gilt daher nur für die Betriebssysteme Windows NT 4.0, Windows 2000 und Windows 

XP, da die individuelle Konfiguration des Produktes an Hand der vorhandenen Nutzer 

vorgenommen wird. 

Die Administration des Produktes ist also an die Administratorrolle des Betriebssystems 

geknüpft. Es wird keine gesonderte Unterscheidung zwischen diesen beiden Rollen im 

Verlauf dieses Handbuches vorgenommen. Wenn in diesem Handbuch von der Rolle des 

Administrators gesprochen wird, ist damit ein Benutzer mit Administrationsrechten auf dem 

jeweiligen Rechner gemeint bzw. ein Benutzer, dem durch den jeweiligen Administrator des 

Betriebssystems das Recht eingeräumt wurde, das Produkt individuell zu konfigurieren. 

Einräumen von Konfigurationsrechten an andere Benutzer: 

Sie können die Bindung an die Administratorrolle im Betriebssystem zur Konfiguration des 

Produktes OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 aufheben, indem 

Sie einen Wert in der Registry ändern. Diese Änderung hat dann zur Folge, dass jeder 

Benutzer des Rechners eine individuelle Konfiguration des Produktes vornehmen kann. Da 

das Produkt automatisch eine sichere Konfiguration nach der Installation einnimmt, sollten 

Sie von dieser Option nach Möglichkeit keinen Gebrauch machen. 

53

54 

� Öffnen Sie den Registry Editor des Betriebssystems. 

� Öffnen Sie den Schlüssel HKLM/Software/SignCubes/Options 

� Öffnen sie durch einen doppelten Klick auf den Eintrag Options den Wert User 

� Tragen Sie statt der vorkonfigurierten 0 eine 1 ein. 

Mit diesem Eintrag haben Sie die Administratorrolle für das Produkt OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3, die durch das Betriebssystem vorgegeben ist, 

aufgehoben. Jetzt kann jeder Benutzer individuelle Einstellungen vornehmen, die auch für 

jeden Benutzer separat verwaltet werden. Durch diesen Mechanismus ist sichergestellt, dass 

keine separaten Administrationsrollen für das Produkt OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 definiert sind.

Konfigurationsoptionen des OPENLiMiT SignCubes 

Security Environment Managers 

Der OPENLiMiT SignCubes Security Environment Manager bietet zwei Menüs zur 

Konfiguration. Das erste Kontextmenü des OPENLiMiT SignCubes Security Environment 

Managers wird beim Klicken auf das OPENLiMiT Icon geöffnet. Das zweite Kontextmenü 

enthält spezifische Konfigurationsoptionen für die jeweilige Chipkarte und wird im Kapitel 

Chipkarten Optionen behandelt. 

Wenn Sie auf das Icon OPENLiMiT klicken, wird ein Kontextmenü geöffnet. 

Hier sind Menüpunkte betreffend der Software gelistet: 

� Sperrlistenaktualisierung: Während der Signaturprüfung werden immer die aktuell auf 

dem Rechner verfügbaren Sperrlisten verwendet. Daher sollten Sie in regelmäßigen 

Abständen (im Normalfall täglich) diese Option nutzen, um aktuelle Sperrlisten auf Ihren 

Rechner herunter zuladen. Zusätzlich zur Sperrlistenprüfung können Sie die Online - 

Prüfung nutzen, um den Status des Signaturzertifikates zu ermitteln. Für die Online - 

Prüfung benötigen Sie eine Internetverbindung. Diese wird durch den OPENLiMiT 

SignCubes Security Environment Manager nicht automatisch hergestellt. 

� Eigenschaften: Hier werden Einzelheiten über die Software angegeben. Sie können sich 

die installierten Module sowie deren Versionsnummern anzeigen lassen. Weiterhin 

können Sie sehen, welche Funktionen Sie lizenziert haben. Für dieses Produkt tragen die 

Programm-Module die Versionskennung 2.1.6.3. 

� Einstellungen: In diesem Menü können sie globale Einstellungen am OPENLiMiT 

SignCubes Security Environment Manager vornehmen. Um diese Einstellungen 

vornehmen zu können, benötigen Sie die Rechte eines Administrators. 

� Hilfe: Mit diesem Befehl wird die Benutzerdokumentation zu den OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 geöffnet. 

� Info: Hier werden Copyright- und Versionsinformationen der Basiskomponenten 

angezeigt. 

55

56 

� Beenden: Mit diesem Befehl wird der OPENLiMiT SignCubes Security Environment 

Manager beendet. Dann kann keine Signaturerzeugung bzw. Signaturverifikation 

vorgenommen werden. 

Option: Lizenzeinstellungen und Lizenzupgrade 

Wenn Sie sich vergewissern wollen, welche Lizenz des Produktes Sie erworben haben, 

können Sie sich über den Menüpunkt Eigenschaften des OPENLiMiT SignCubes Security 

Environment Managers die mit Ihrem eingegebenen Lizenzcode verbundenen 

freigeschalteten Eigenschaften des Produktes anzeigen lassen. Ein grünes Häkchen 

bedeutet, dass Sie die jeweilige Eigenschaft des Produktes lizenziert haben und Ihnen diese 

damit zur Verfügung steht. Funktionen, die Ihnen nicht zur Verfügung stehen, werden Ihnen 

auch nicht angezeigt. 

Wenn Sie in dem Menüpunkt Eigenschaften des OPENLiMiT SignCubes Security 

Environment Managers auf den Knopf Lizenzinhaber klicken, wird Ihnen das Zertifikat 

desjenigen Benutzers angezeigt, der die Lizenz auf dem Rechner freigeschaltet hat. Wenn 

Sie selbst die Lizenz frei geschaltet haben, muss Ihr Zertifikat in diesem Dialog angezeigt 

werden.

Wenn Sie mehr Funktionen des Produktes nutzen möchten als Sie mit dem Lizenzcode 

freigeschaltet haben, können Sie einen entsprechenden Lizenzcode von der OPENLiMiT 

SignCubes AG oder einem ihrer Vertriebspartner erwerben. Sie müssen in diesem Falle das 

Produkt nicht deinstallieren, sondern können auf den Button Lizenz-Upgrade klicken. In 

diesem Falle wird der Lizenzmanager erneut gestartet und Sie können über einen 

entsprechenden Lizenzcode die gewünschten Funktionen frei schalten. 

Hinweis: 

� Geben Sie die Installationspfade der OPENLiMiT SignCubes Basiskomponenten 2.1, 

Version 2.1.6.3 nicht im Netzwerk für andere Benutzer frei. 

� Vor Verwendung der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 

sollten Sie nochmals prüfen, ob die Lizenz korrekt ist, in dem Sie das OPENLiMiT 

SignCubes Basiskomponenten 2.1, Version 2.1.6.3 Icon, Eigenschaften anklicken und 

sich die verfügbaren Funktionen anzeigen lassen. Gleichfalls sollten Sie das Zertifikat 

des Lizenzinhabers prüfen. 

� Wenn der Lizenzierungsassistent beim Start der OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 erscheint, ist keine Lizenzdatei vorhanden. Wenn 

dies trotz erfolgreich durchgeführter Lizenzierung auftritt, wurde eventuell die Lizenzdatei 

gelöscht. In diesem Falle sollten Sie die Integrität des Betriebssystem mit einem 

geeigneten Programm (z.B. Virenscanner) überprüfen und sicherstellen, dass nicht 

unberechtigte Dritte auf Ihren Rechner zugreifen können. 

Option: Allgemeine Einstellungen 

Wenn Sie im Kontextmenü des OPENLiMiT SignCubes Security Environment Managers auf 

Einstellungen geklickt haben, erscheint ein Dialog mit Registerkarten, die in den folgenden 

Abschnitten beschrieben werden. 

Hinweis: Sie können die Einstellungen an den Registerkarten nur dann ändern, wenn Sie 

auch über Administrationsrechte verfügen. Für das Produkt OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 ist keine spezielle Administratorrolle definiert. 

Weitere Erläuterungen finden Sie im Abschnitt Konfiguration der OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3. 

57

58 

Die folgenden Optionen können Sie hier einstellen: 

� Autostart des OPENLiMiT SignCubes Security Environment Managers: Setzen das 

Häkchen in der Checkbox, wenn Sie möchten, dass der OPENLiMiT SignCubes Security 

Environment Manager automatisch beim Start des Betriebssystems gestartet wird. Diese 

Option wird bei der Installation der Software aktiviert. Wenn Sie dieses Verhalten nicht 

möchten, können Sie das Häkchen entfernen. 

� Sprache: Hier wird Ihnen die aktuell eingestellte Sprache angezeigt. Das Produkt 

unterstützt die Sprachen Deutsch, Englisch und Italienisch. 

� Signaturformat: Hier haben Sie die Möglichkeit, das Dateiformat für zu signierende 

Dokumente einzustellen (Dokument und Signatur in einer Datei oder Dokument und 

Signatur in zwei verschiedenen Dateien). Diese Option hat keine Auswirkungen auf die 

sichere Anzeigeeinheit. Die erzeugten Dokumentformate der sicheren Anzeigeeinheit 

sind im Kapitel Sicherheitskomponenten der OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 erläutert.

� Attributzertifikate automatisch mitsignieren: Sofern dieser Haken gesetzt ist, werden bei 

der Signaturerzeugung alle unter dem Ordner 'Eigene Dateien\Attribute Certificates' 

vorhandenen Attributzertifikate dahingehend durchsucht, ob sie zu diesem Zertifikat dazu 

gehören. Falls dies der Fall ist, wird das Attributzertifikat mitsigniert und dem 

Signaturzertifikat hinzugefügt. 

� Signaturen automatisch mit Zeitstempel versehen: Hier können Sie den Signaturdaten 

automatisch einen Zeitstempel hinzufügen. Der Zeitstempel wird jedoch nicht mitsigniert, 

d.h., der Zeitstempel wird nicht durch die neu erstellte Signatur geschützt. 

� Signaturen automatisch mit OCSP-Status versehen: Mit der Aktivierung dieser Funktion 

wird automatisch eine OCSP-Abfrage durchgeführt und das Abfrageergebnis wird den 

Signaturdaten hinzugefügt. Die OCSP-Antwort wird nicht durch die neu erstellte Signatur 

geschützt. 

� Durch Anklicken des Buttons Ausgangskonfiguration werden die mit der Installation 

vorgenommenen Voreinstellungen wieder hergestellt. Durch die Anwendung dieses 

Befehls werden nur die Einstellungen für den aktiven Benutzer zurück gesetzt, nicht 

jedoch die Einstellungen, die für alle Benutzer gelten. 

Hinweis zur sicheren Konfiguration: 

� Sie sollten den OPENLiMiT SignCubes Security Environment Manager automatisch beim 

Start des Betriebssystems starten lassen. Es wird nur dann das Deaktivieren dieser 

Option empfohlen, wenn das PC/SC Subsystem nach dem OPENLiMiT SignCubes 

Security Environment Manager gestartet wird und dieser dadurch beim Start des 

Betriebssystems keine Kartenleser erkennt. 

� Das Speichern der Originaldaten und der Signatur in einer Datei oder die Erzeugung 

einer abgetrennten Signaturdatei haben keinen Einfluss auf die Sicherheit des Produktes 

OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3. 

� Wenn Sie sich nicht sicher sind, ob sich Ihre Installation in der Originalkonfiguration 

befindet, verwenden Sie bitte den Befehl Ausgangskonfiguration, um die von Ihnen 

vorgenommenen Änderungen zu verwerfen. 

59

60 

Hinweis für die Einstellungen des Signaturformats wenn Sie über die OPENLiMiT SignCubes Shell 

Extension verfügen: Wenn Sie die Einstellungen so treffen, dass Verbunddokumente beim 

Signaturvorgang erzeugt werden und Sie ein Dokument über die OPENLiMiT SignCubes 

Shell-Extension signieren, erhalten Sie ein Dokument mit der Endung '*.p7m'. Wenn Sie nun 

die Originaldaten ein weiteres Mal signieren möchten, werden Sie nach dem Namen der 

Ausgabedatei über einen 'Datei speichern unter...' Dialog gefragt, da die Signatur nicht dem 

'.p7m' Dokument hinzugefügt wird. Wenn Sie den Dateinamen beibehalten, wird das 

Originaldokument überschrieben. Sie können aber auch einen anderen Dateinamen 

angeben, unter dem dieses Dokument dann abgelegt wird. 

Die OPENLiMiT SignCubes Shell-Extension ist kein Bestandteil der OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3, greift aber über eine ebenfalls zertifizierte 

Schnittstelle auf die Funktionen des Produktes zurück. 

Option: Verzeichnisse 

Sie haben im Register Verzeichnisse die Möglichkeit, die Verzeichnisse für Sperrlisten und 

Stammzertifikate, die von der Software verwendet werden, umzukonfigurieren. Machen Sie 

von dieser Möglichkeit nur dann Gebrauch, wenn Sie sich sicher sind, dass Sie verstanden 

haben, wozu diese Verzeichnisse von der Software genutzt werden.

Unter dem Register Verzeichnisse können die Speicherpfade für sicherheitsrelevante Dateien 

festgelegt werden. Standardmäßig steht der Pfad auf C:\Programme\OPENLiMiT\Data\ und 

dann der Name des jeweiligen Ordners. 

Was bedeutet sicherheitsrelevant? Beispiel Sperrlisten: Das Produkt OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 verwendet bei der Prüfung von Signaturen 

Sperrlisten, um die Gültigkeit des Signaturzertifikates bei der Signaturerzeugung zu 

überprüfen. Die Sperrlisten, die Sie manuell vom Sperrlistenverteilungspunkt abrufen, 

werden im Verzeichnis für Sperrlisten gespeichert. Wenn Sie die Verzeichnisse für die 

Sperrlisten ändern, sollten Sie entweder die in diesem Verzeichnis bei der 

Softwareinstallation abgelegten Dateien ebenfalls in das geänderte Verzeichnis kopieren 

oder nach der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann 

die korrekte Signaturprüfung durch das Produkt nicht gewährleistet werden. 

Sperrlisten: Certificate Revocation Lists (CRLs) sind Listen mit gesperrten Zertifikaten, die 

von den Trustcentern herausgegeben werden. Anhand der Sperrlisten wird geprüft, ob das 

verwendete Signaturzertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt war. 

PKDs (Public Key Directories) sind Verzeichnisse, in denen die öffentlichen Schlüssel, d.h., 

die Zertifikate von verschiedenen Herausgebern gelistet sind. Hier sind derzeit die von der 

Bundesnetzagentur herausgegebenen CA-Zertifikate enthalten. 

CTLs (Certificate Trust Lists) sind Verzeichnisse, in denen vertrauenswürdige 

Wurzelzertifikate abgelegt werden können. Das Zertifikat der Bundesnetzagentur, dem wir 

generell vertrauen, ist in der Software integriert. Wenn Sie einer anderen Wurzel vertrauen 

möchten, speichern Sie das Zertifikat in diesem Ordner und legen Sie die CA-Zertifikate 

auch unter den PKDs ab. 

Wenn sie die Verzeichniseinstellungen falsch konfigurieren oder nicht alle notwendigen 

Schritte vornehmen, damit die Verzeichnisse von den OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 richtig genutzt werden können, ist ein scheinbares 

Fehlverhalten der Software möglich. Durch Ihre Einstellungen konfigurieren Sie selbst, 

welchen Zertifikaten Sie vertrauen und welchen nicht. 

Hinweis: Wenn Sie die Verzeichnisse ändern, dürfen die neuen Verzeichnisse nicht 

schreibgeschützt sein, da sonst das Ablegen von Sperrlisten in dem Verzeichnis fehlschlägt. 

Hinweis für die sichere Konfiguration: 

� Sie sollten die Einstellungen der Verzeichnisse nicht ändern. Wenn Sie die Verzeichnisse 

ändern, beeinflussen Sie das Sicherheitsverhalten des Produktes. Sie sollten diese 

Einstellungen nur ändern, wenn Sie die obigen Ausführungen richtig verstanden haben. 

Option: PIN-Abfrage 

61

62 

In diesem Register können Sie die Optionen für die PIN-Eingabe konfigurieren. Gehen Sie 

sensibel mit den einstellbaren Optionen um, da ein Missbrauch Ihrer Signaturkarte durch 

falsches oder unachtsames Vorgehen mit diesen Optionen erleichtert werden könnte. 

In diesem Dialog sind Optionen aufgeführt, welche die Eingabe oder Abfrage der PIN 

(personal identification number) betreffen: 

Sichere PIN-Eingabe automatisch verwenden 

Diese Option garantiert, dass bei Kartenlesern, welche die sichere PIN-Eingabe 

unterstützen, diese auch automatisch verwendet wird. Diese Option kann in der 

ausgelieferten Konfiguration nicht abgewählt werden und sollte für eine sichere Konfiguration 

des Produktes immer aktiviert sein. Wenn Sie nicht die sichere PIN-Eingabe verwenden, 

steigt die Gefahr des Ausspähens der PIN durch entsprechende Programme. 

Karte für mehrere Arbeitsschritte öffnen 

Wenn Sie größere Arbeitsaufgaben vor sich haben, die eine ständige Wiederholung der PIN- 

Eingabe erfordern, können Sie auch die Karte öffnen. Dann wird die PIN einmalig beim 

ersten Signaturvorgang abgefragt. Weitere Eingaben sind nicht mehr erforderlich in 

Abhängigkeit von Ihren weiteren Einstellungen. Dies ist beispielsweise sehr praktisch, wenn 

man eine Vielzahl von Dokumenten entschlüsseln muss. Auch die Signatur von zahlreichen 

Dateien kann so zeitsparend erledigt werden.

Diese Funktion ist für die in dem Kapitel Chipkarten genannten Karten nur für die 

fortgeschrittene Signatur verfügbar. 

PIN abfragen 

Falls Sie die Karte für mehrere Arbeitsschritte öffnen wollen, haben Sie zusätzlich die 

Möglichkeit, diese Option einzuschränken: für qualifizierte Signaturen, fortgeschrittene 

Signaturen und für Entschlüsselung stehen folgende Varianten zur Verfügung: 

� bei jeder Verwendung: Jedes Mal wird die PIN abgefragt. 

� automatisch mit Begrenzung: Je nach Begrenzung ist die Benutzung eingeschränkt. 

� keine weitere Abfrage: Die PIN muss nicht mehr eingegeben werden. 

Beispiel: Wenn Sie nur Entschlüsseln möchten, dann stellen sie die Auswahl bei 

qualifizierten und sonstigen Signaturen auf bei jeder Verwendung und bei Entschlüsseln auf 

keine weitere Abfrage. 

Begrenzung: 

Haben Sie oben auf automatisch mit Begrenzung gestellt, können Sie unten eine 

Begrenzung nach Anzahl oder Zeit eingeben. Wenn Sie die Parameter gesetzt haben und 

während des Arbeitens mit der Karte die Parameter ändern, müssen Sie die Karte ziehen 

und neu in das Chipkarten-Terminal stecken, damit die geänderten Einstellungen wirksam 

werden. 

Sicherheitshinweis: Wenn Sie die Optionen so konfigurieren, dass Sie keine PIN mehr 

eingeben müssen, gehen Sie ein erhöhtes Risiko des Missbrauchs Ihrer Signaturkarte ein. 

Sie sollten diese Optionen nur dann verwenden, wenn Ihr Rechner sicher frei von bösartiger 

Software wie Viren und Backdoor Programmen ist. Weiterhin sollten Sie Ihre Signaturkarte 

immer aus dem Kartenleser entfernen, sobald Sie den Arbeitsplatz verlassen. Wenn Sie 

diese Mindestsicherheitsanforderungen nicht befolgen, können unberechtigte Dritte mit Ihrer 

Karte Signaturen erzeugen, die vor dem Gesetzgeber den Wert Ihrer persönlichen 

Unterschrift haben. Vor diesen Szenarien können Sie sich nur selbst durch den 

verantwortungsvollen Umgang mit Ihrer Signaturkarte schützen. 

Hinweis: 

Das 'Offen Halten' für mehrere Arbeitsschritte wird nur von Chip-Karten unterstützt, die durch 

das Trust-Center in dieser Konfiguration ausgeliefert werden. 


� Die Option Sichere PIN-Eingabe automatisch verwenden muss aktiviert sein. Diese 

Option zwingt das Produkt, die sichere PIN-Eingabe automatisch zu verwenden. 

63

64 

� Die Option Karte für mehrere Arbeitsschritte öffnen sollte deaktiviert sein. Wenn Sie die 

Karte für mehrere Arbeitsschritte geöffnet halten, gehen Sie das Risiko eines 

Missbrauchs Ihrer Karte durch Dritte ein. Dieses Risiko kann durch die Software nur 

bedingt abgewehrt werden. In diesem Falle gelten die erhöhten Sicherheitsauflagen der 

Chipkarten für diesen Betriebsmodus. Mehr Informationen finden Sie im Abschnitt 

Chipkarten. 

Option: Zertifikate 

Im Register Zertifikate können Sie Einstellungen für den Umgang mit den vorhandenen 

Zertifikaten vornehmen. 

Wenn Sie die Option bei Signatur nur verfügbare Zertifikate anzeigen wählen, werden 

automatisch nur die Zertifikate verwendet, die auf der eingelegten Chipkarte zur Verfügung 

stehen. Wenn Sie diese Option deaktivieren, werden ebenfalls auch Zertifikate anderer 

Personen berücksichtigt, die an diesem Arbeitsplatz arbeiten. Sie beeinflussen also den 

Umgang mit den Zertifikaten durch das Produkt.

Wichtiger Hinweis: Grundsätzlich wird die Erzeugung einer elektronischen Signatur immer auf 

der eingelegten Chipkarte vorgenommen. Wenn Sie auch Zertifikate anderer Personen bei 

der Signaturerzeugung angezeigt bekommen, bedeutet dies nicht, dass Sie auch eine 

Signatur mit diesem Zertifikat erzeugen können. Das Produkt wird Ihnen lediglich mitteilen, 

dass Sie die entsprechende Chipkarte in das Kartenterminal einlegen müssen. 

Die Option SmartCard-Zertifikate automatisch registrieren bedeutet, dass die auf der 

Chipkarte vorhandenen Zertifikate automatisch im Microsoft Zertifikatsspeicher registriert 

werden. 

Die Option Automatisch registrierte Zertifikate ständig verfügbar halten bedeutet, dass die 

von der Chipkarte registrierten Zertifikate auch nach der Entnahme aus dem Chipkarten 

Terminal im Microsoft Zertifikatsspeicher verfügbar bleiben. Wenn Sie diese Option 

deaktivieren, werden die vorher registrierten Zertifikate automatisch wieder deregistriert. 


� Die angebotene Option bei Signatur nur verfügbare Zertifikate anzeigen hat keinen 

Einfluss auf das Sicherheitsverhalten des Produktes. 

� Die angebotene Option SmartCard-Zertifikate automatisch registrieren hat keinen 

Einfluss auf das Sicherheitsverhalten des Produktes. 

� Die angebotene Option Automatisch registrierte Zertifikate ständig verfügbar halten hat 

keinen Einfluss auf das Sicherheitsverhalten des Produktes. 

65

66 

Option: Algorithmen 

Im Register Algorithmen haben Sie die Möglichkeit, den bei der Signaturerzeugung zu 

verwendenden Hashalgorithmus einzustellen bzw. die für die Ver- und Entschlüsselung zum 

Einsatz kommenden Verschlüsselungsalgorithmen auszuwählen. 

Die für die Signaturerzeugung zur Verfügung gestellten Algorithmen entsprechen dem 

Signaturgesetz. 


� Grundsätzlich sollten Sie die standardmäßig eingestellten und empfohlenen Algorithmen 

verwenden. Das ist für die Signaturerzeugung SHA-256 und für die Ver- und 

Entschlüsselung 3DES. Der Hash - Algorithmus SHA-1 steht zur Einstellung zur 

Verfügung, ist aber für den Einsatz qualifizierter Signaturen ab 2008 nicht mehr zulässig. 

Dazu gibt es Übergangsregelungen, über die Sie sich auf der Internetseite der 

Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 

(Bundesnetzagentur) im Internet unter www.bundesnetzagentur.de informieren sollten. 

Hinweis: Nutzen Sie bitte die Möglichkeit, sich über das OPENLiMiT SignCubes Integritätstool 

die eingestellte Konfiguration für die Chipkarte anzeigen zu lassen.

� Für die Ver- bzw. Entschlüsselung sollten Sie nur dann andere Einstellungen vornehmen, 

wenn es aus Gründen der Kompatibilität mit anderen Programmen notwendig ist. 

67

68 

Chipkarten Optionen 

Mit einem Klick auf das gelbe Chipsymbol (vorausgesetzt die Karte befindet sich im 

Kartenleser) wird das Kontextmenü geöffnet. Die Menüpunkte betreffen Funktionalitäten, die 

im Zusammenhang mit der Karte oder dem Kartenleser stehen. 

Die folgenden Punkte werden im Chipkarten Menü angeboten: 

� Verschlüsselungszertifikat exportieren: Mit dieser Option können Sie das 

Verschlüsselungszertifikat von Ihrer Chipkarte in eine Datei speichern. Weitere 

Informationen erhalten Sie in dem Kapitel Zertifikate exportieren. Diese Funktion ist nur 

dann verfügbar, wenn Sie über ein Verschlüsselungszertifikat verfügen. Ob Sie über ein 

solches Zertifikat verfügen, können Sie im Menüpunkt Eigenschaften an Hand der 

aufgelisteten Zertifikate auf Ihrer Chipkarte überprüfen. 

� Eigenschaften: Die Eigenschaften des installierten Kartenlesers werden hier angezeigt. 

Ist eine Karte im Kartenleser vorhanden, werden auch die Karteneigenschaften, wie die 

Kartennummer und das Zertifikat angezeigt. Weitere Informationen erhalten Sie in dem 

Kapitel Eigenschaften. 

� Einstellungen: Dieser Menüpunkt wird in den Konfigurationsoptionen des OPENLiMiT 

SignCubes Security Environment Managers erläutert. 

� Info: Hier werden Copyright- und Versionsinformationen angezeigt. 

� Beenden: Mit diesem Menüpunkt wird der OPENLiMiT SignCubes Security Environment 

Manager geschlossen.

Eigenschaften 

Durch Anklicken des gelben Chipsymbols in der Taskleiste (Karte befindet sich im 

Kartenleser) und Auswahl des Menüpunktes Eigenschaften erhalten Sie folgende 

Informationen: 

� Unter dem Register Kartenleser wird die Bezeichnung des Kartenlesers und die 

Ansteuerung des Kartenlesers angezeigt. Bei Kartenlesern mit sicherer PIN Eingabe wird 

auf diese Funktion als Ergänzung zum Kartenleser hingewiesen. 

� Unter dem Register Karte sehen Sie die Bezeichnung der Karte (meist mit Herausgeber), 

die Kartennummer und das Betriebssystem der Karte. 

69

70 

� Unter dem Register PIN's werden die zu den Zertifikaten der im Kartenleser steckenden 

Karte gültigen PIN's angezeigt. Nach Auswahl eines PIN's werden in dem unteren 

Fenster als Detailinformationen die minimale Länge und sofern vorhanden die maximale 

Länge angezeigt. Gleichzeitig werden die Schaltflächen für weitere Funktionen aktiv. In 

Abhängigkeit von der Zulässigkeit stehen die Funktionen Freischalten, Ändern und 

Entsperren zur Verfügung.

� Unter dem Register Zertifikate werden die Zertifikate der Karte, die im Leser steckt, 

angezeigt. Nach Anklicken eines Zertifikats in der Liste werden in dem unteren Fenster 

die Einzelinformationen angezeigt. 

71

72 

Im Abschnitt Zertifikate exportieren können Sie nachlesen, wie Sie die auf Ihrer Karte 

vorhandenen Zertifikate in eine Datei speichern können, um auch anderen 

Kommunikationspartnern Ihre Zertifikate zu schicken. 

In dem Abschnitt Attributzertifkate werden weitere Information zum Handling mit den 

Signaturzertifikaten zugehörigen Attributen gegeben. 


• Es werden keine Optionen zur Verfügung gestellt, die einen Einfluss auf das 

Sicherheitsverhalten des Produktes haben. 

Zertifikate exportieren 

Damit Sie Ihren Kommunikationspartnern Ihr Verschlüsselungszertifikat schicken können, 

müssen Sie es zunächst aus der Karte extrahieren und in eine Datei exportieren. Diese 

Datei können Sie dann einfach per E-Mail verschicken. 

1 Stecken Sie die Karte in den Leser und achten Sie darauf, dass sie erkannt wird. 

2 Klicken Sie das gelbe Chip-Symbol in der Taskleiste an.

Wählen Sie den Punkt Verschlüsselungszertifikat exportieren. 

1 Im Fenster Zertifikat exportieren wird der Dateiname angegeben und der Speicherort 

ausgewählt. Wahrscheinlich werden Sie den Namen des Zertifikatsinhabers, also Ihren 

eigenen, angeben wollen. 

2 Mit einem Klick auf Speichern, ist das Zertifikat als *.cer Datei gespeichert und kann für 

jede Standard-Verschlüsselungssoftware benutzt werden. 


• Es werden keine Optionen angeboten, die einen Einfluss auf das Sicherheitsverhalten 

des Produktes haben können. 

73

74 

PIN ändern 

Im OPENLiMiT SignCubes Security Environment Manager können Sie die PIN bzw. PIN's 

Ihrer Smartcard jederzeit ändern. Dies sollten Sie tun, wenn Sie das Gefühl haben, dass 

andere Personen Ihre PIN kennen. 

� Wählen Sie nach Anklicken des gelben Chipsymbols in der Taskleiste Eigenschaften und 

anschließend das Register PINs. 

� Wählen Sie die zu ändernde PIN und klicken Sie auf Ändern. Geben Sie dann die 

aktuelle PIN ein, um die Änderung überhaupt zu ermöglichen. 

� Danach wird nach der neuen PIN gefragt. Geben Sie diese ein und bestätigen Sie mit 

OK.

• Die neue PIN muss nochmals bestätigt werden. Geben Sie diese ein weiteres Mal ein. 

• Sie haben die PIN jetzt geändert. 


Verwenden Sie niemals eine triviale PIN, die den Missbrauch Ihrer Karte durch Dritte 

erleichtern könnte und notieren Sie die PIN niemals auf der Karte oder an Orten, wo Dritte in 

die Kenntnis Ihrer PIN gelangen könnten. Verwenden Sie nur Kartenleser mit sicherer PIN- 

Eingabe, um die PIN Ihrer Chip-Karte zu ändern. Stellen Sie sicher, dass die Eingabe der 

neuen PIN nicht durch Dritte beobachtet wird, da diese dadurch in Kenntnis Ihrer PIN 

gelangen könnten. 

75

76 

Arbeiten mit den OPENLiMiT SignCubes 


Die folgenden Abschnitte beschreiben den Umgang mit den einzelnen Bestandteilen der 

OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3. Dieses Kapitel soll Ihnen 

den Umgang mit dem Produkt erleichtern und Ihnen dabei helfen, schnell mit den einzelnen 

Programmfunktionen vertraut zu werden.

Arbeiten mit dem OPENLiMiT SignCubes Security 

Environment Manager 

Der OPENLiMiT SignCubes Security Environment Manager ist als zentraler Bestandteil der 

Anwendung OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 für die 

Bereitstellung und Überwachung aller Sicherheitsaufgaben des Produktes verantwortlich. 

Für Sie als Benutzer sind vor allem die folgenden Punkte relevant: 

� Der OPENLiMiT SignCubes Security Environment Manager verwaltet die 

angeschlossenen Kartenleser und überwacht die eingelegten Chipkarten. 

� Der OPENLiMiT SignCubes Security Environment Manager bietet Ihnen Optionen zur 

Auswahl an, welche die Chipkarte und die erzeugten Dokumente betreffen. Zur 

Konfiguration dieser Optionen müssen Sie über Administrationsrechte auf Ihrem Rechner 

verfügen. 

Als Standard wird der OPENLiMiT SignCubes Security Environment Manager automatisch 

beim Start des Betriebssystems gestartet. Sie haben allerdings die Möglichkeit, dieses 

Verhalten in den Konfigurationseinstellungen des OPENLiMiT SignCubes Security 

Environment Managers zu verändern und müssen diesen dann manuell starten. 

Während der Arbeit mit dem OPENLiMiT SignCubes Security Environment Manager werden 

Sie durch entsprechende Statusmeldungen über den jeweiligen Bearbeitungsstand 

informiert: 

� Sie haben eine Chipkarte in den Kartenleser gesteckt, diese wird erkannt und 

identifiziert: 

• Sie haben den Befehl Signatur erzeugen aktiviert, es läuft die Datenaufbereitung 

(Hashwertberechnung) bzw. die Signaturerzeugung. 

• Sie haben den Befehl Signatur prüfen aktiviert, es läuft die Hashwertberechnung und der 

Abgleich mit den Sperrlisten. 

77

78 

Falls Ihnen diese Informationen nicht mehr angezeigt werden sollen, haben Sie die 

Möglichkeit, durch Anklicken der Option ausblenden, die Anzeige zu unterdrücken. 

Hinweis: Wenn der OPENLiMiT SignCubes Security Environment Manager gestartet wurde, 

erscheint das OPENLiMiT Icon in der Taskleiste neben der Uhrzeit. 

Hinweis für den manuellen Start: 

Unter dem folgenden Menüpunkt können Sie den OPENLiMiT SignCubes Security 

Environment Manager manuell starten. Das Programmverzeichnis kann je nach verwendeter 

Spracheinstellung variieren. Diese Hilfe beschreibt den Umgang mit einem 

deutschsprachigen Betriebssystem. 

Start – Programme – OPENLiMiT SignCubes - OPENLiMiT SignCubes Manager 

ACHTUNG: Um die Funktionen der Software nutzen zu können, muss der OPENLiMiT 

SignCubes Security Environment Manager gestartet sein. Andernfalls haben Sie keinen 

Zugang zu den Funktionen des Produktes. Wenn keine Gründe existieren, den OPENLiMiT 

SignCubes Security Environment Manager manuell zu starten, dann lassen Sie die Option 

auf „automatisch starten“ eingestellt. 

Der OPENLiMiT SignCubes Security Environment Manager kann mehrere Kartenleser und 

Chipkarten parallel verwalten. Welche Kartenleser und Chipkarten unterstützt werden, ist in 

dem Abschnitt Kartenleser bzw. Chipkarten im Detail ausgeführt. 

Für jeden erkannten Kartenleser erscheint ein graues Chip-Symbol in der Taskleiste, wenn 

keine Karte im Kartenleser vorhanden ist. Ist eine Chipkarte im Kartenleser vorhanden, 

erscheint für jede erkannte Chipkarte ein gelbes Chip-Symbol in der Taskleiste. 

Erkennung einer Chipkarte durch den OPENLiMiT SignCubes Security Environment 

Manager 

Steckt keine Karte im Kartenleser, wird für jeden erkannten Kartenleser ein graues Chip 

Symbol angezeigt. 

Wenn Sie die Karte in den Leser stecken, wird das Symbol gelb und bekommt ein grünes 

Fragezeichen (achten Sie darauf, dass die Karte im Leser einrastet). 

Hat der OPENLiMiT SignCubes Security Environment Manager die Karte richtig erkannt, 

verschwindet das Fragezeichen und der Chip ist gelb. Der erkannte Kartentyp wird 

automatisch angezeigt.

Jetzt können Sie mit der eingelegten Chipkarte arbeiten. Wenn bereits vor dem Start des 

OPENLiMiT SignCubes Security Environment Managers eine Chipkarte in den Kartenleser 

eingelegt wurde, erkennt dieser die Karte automatisch. 

Hinweis: 

Ein gelber Chip mit rotem Kreuz bzw. rotem Fragezeichen erscheint, wenn die Karte verkehrt 

in den Leser gesteckt wurde oder eine Karte verwendet wurde, die nicht kompatibel ist. 

Die verwendbaren Karten sind in dem Abschnitt Chipkarten aufgeführt. 

Ist das Chip-Symbol in der Taskleiste rot, bedeutet dies, dass die Karte geöffnet ist oder 

Operationen, wie z.B. die Hashwertverschlüsselung auf der Chipkarte ausgeführt werden. 

Karte „geöffnet“ bedeutet, dass Sie mehrere Operationen hintereinander ausführen können, 

ohne erneut die PIN eingeben zu müssen. Das kann sinnvoll sein, wenn Sie mehrere 

Dokumente hintereinander signieren möchten. Aus Sicherheitsgründen sollten Sie diese 

Möglichkeit nur dann nutzen, wenn Sie sich absolut sicher sind, dass kein Missbrauch mit 

der Karte vorgenommen werden kann. Verlassen Sie nie Ihren Arbeitsplatz, ohne vorher die 

Karte aus dem Kartenleser zu entnehmen. Unberechtigte Personen könnten sonst diesen 

Umstand ausnutzen und Signaturen mit Ihrer Chipkarte erzeugen. 

Hinweis: 

Beim Klicken auf die Icons in der Taskleiste bekommen Sie verschiedene Menüs angeboten. 

Wenn sie auf das Icon des OPENLiMiT SignCubes Security Environment Manager klicken, 

wird Ihnen das Konfigurationsmenü für den OPENLiMiT SignCubes Security Environment 

Manager angeboten. Für diese Optionen benötigen Sie Administrationsrechte auf ihrem 

Arbeitsrechner. Wenn Sie auf das graue Chipsymbol klicken, bekommen Sie ein 

eingeschränktes Menü angeboten, in welchem Sie sich Informationen zum verwendeten 

Kartenleser anzeigen lassen können. Wenn Sie nach dem Einlegen der Chipkarte auf das 

gelbe Chipsymbol klicken, bekommen Sie ein Menü für die jeweilige Chipkarte angeboten. 

Die angebotenen Menüpunkte werden ebenso wie die Menüpunkte für den OPENLiMiT 

SignCubes Security Environment Manager im Kapitel Konfiguration der OPENLiMiT 

SignCubes Basiskomponenten 2.1, Version 2.1.6.3 behandelt. 

Hinweis: 

79

80 

Wenn der OPENLiMiT SignCubes Security Environment Manager Daten verarbeitet, rotiert 

das Icon des OPENLiMiT SignCubes Security Environment Managers in der Taskleiste im 

Uhrzeigersinn, um zu verdeutlichen, dass momentan eine Operation ausgeführt wird. Wenn 

Sie also große Datenmengen signieren wollen (z.B. ein Dokument mit einer Größe von 300 

MB), haben Sie immer eine Information darüber, dass momentan Daten verarbeitet werden. 

Wenn Sie mit der Maus über das Icon in der Taskleiste fahren, werden Sie sehen, dass auch 

der Tooltip-Text des OPENLiMiT SignCubes Security Environment Managers Ihnen mit der 

Meldung 'Daten werden bearbeitet' eine entsprechende Information gibt. 

Hinweis: 

Der OPENLiMiT SignCubes Security Environment Manager reagiert für die Kartenleser SPR 

332 und SPR 532 der Firma SCM Microsystems an der USB-Schnittstelle auf die Plug & 

Play Ereignisse des Betriebssystems. Wenn Sie also einen solchen Kartenleser verwenden, 

haben Sie die Möglichkeit, bei laufendem OPENLiMiT SignCubes Security Environment 

Manager einen solchen Kartenleser hinzu zu nehmen oder von der USB Schnittstelle zu 

entfernen. Für jeden angesteckten Kartenleser wird ein neues Chipsymbol angezeigt und der 

Tooltipp an diesem Icon teilt Ihnen mit, um welchen Kartenleser es sich handelt. Nachdem 

Ihnen das Chip-Symbol angezeigt wird, ist der Kartenleser voll einsatzbereit. Um diese 

Eigenschaften nutzen zu können, müssen Sie den korrekten Treiber des Herstellers für 

diesen Kartenleser installiert haben. Sind keine Treiber vorhanden, kann das Produkt auch 

nicht mit dem Kartenleser arbeiten bzw. diesen auch nicht erkennen.


Der folgende Abschnitt beschreibt, wie Sie eine Signaturprüfung unter Verwendung des 

Produktes OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 vornehmen 

können. Grundsätzlich vertraut das Produkt dem Wurzelzertifikat der Bundesnetzagentur für 

Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur). Aber 

auch andere Wurzelzertifikate können im Betriebssystem als vertrauenswürdig bereitgestellt 

werden. 

Grundsätzlich gilt: Wenn Sie mit abgesetzten Signaturen arbeiten, muss die Signaturdatei den 

gleichen Namen wie das Originaldokument mit der zusätzlichen Endung '.p7s' tragen. Dies 

ist Voraussetzung, damit der OPENLiMiT SignCubes Security Environment Manager die 

zugehörigen Originaldaten erkennen und die Signatur verifizieren kann. 

Verfahren zur Signaturprüfung durch die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 

2.1.6.3 

Im ersten Schritt wird immer überprüft, ob die elektronische Signatur mathematisch korrekt 

ist. Dies bedeutet, dass bei der Signaturprüfung die OPENLiMiT SignCubes 

Basiskomponenten 2.1, v2.1.6.3 die Prüfsumme (den Hashwert) über die signierten Daten 

grundsätzlich erneut berechnen und die vorliegende Signatur gegen diesen neu berechneten 

Hashwert prüfen. Ist diese Prüfung erfolgreich, dann ist die Signatur mathematisch korrekt. 

Es kann jedoch noch keine Aussage zur tatsächlichen Gültigkeit der elektronischen Signatur 

getroffen werden. Dafür wird in einem weiteren Schritt die Gültigkeit der Zertifikate, 

angefangen beim verwendeten Signaturzertifikat bis hin zur Wurzel der Zertifikatskette 

geprüft. 

Zur Ermittlung der Zertifikatskette werden die in den Signaturdaten enthaltenen Zertifikate 

herangezogen. Kann die Zertifikatskette aus den verfügbaren Signaturdaten nicht ermittelt 

werden, können die OPENLiMiT SignCubes Basiskomponenten auf alternative 

Zertifikatsspeicher, wie den Microsoft Zertifikatsspeicher oder die Festplatte zurück greifen. 

Kann die Zertifikatskette nicht gebildet werden, dann treffen die OPENLiMiT SignCubes 

Basiskomponenten keine Aussage zur Gültigkeit der geprüften elektronischen Signatur. Es 

wird angezeigt, dass die Signatur mathematisch korrekt ist. Es wird jedoch weiterhin 

angezeigt, dass benötigte Zertifikate in der Zertifikatskette fehlen und somit keine 

abschließende Aussage zur Gültigkeit der elektronischen Signatur getroffen werden kann. 

81

82 

War die Ermittlung des Zertifikatspfades erfolgreich, wird dieser einer Prüfung nach dem 

Schalenmodell unterworfen. Das Schalenmodell besagt, dass alle Zertifikate im 

Zertifikatspfad zum Signaturzeitpunkt gültig und nicht zurückgezogen sein müssen, damit die 

Signatur als gültig verifiziert werden kann. Ist diese Prüfung erfolgreich und die 

Zertifikatskette vollständig, wird dem Benutzer angezeigt, dass die Signatur gültig ist. 

Allgemeine Anforderungen bei der Prüfung elektronischer Signaturen 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 prüfen die Zertifikate 

einer Kette in jedem Falle gegen die zur Verfügung stehenden Sperrlisten. Wird ein 

entsprechender Sperreintrag für eines der geprüften Zertifikate gefunden, so wird Ihnen 

dieser Sperrstatus auch zur Kenntnis gebracht. 

Hinweis: Achten Sie bitte darauf, dass stets aktuelle Sperrlisten bei der Signaturprüfung zur 

Verfügung stehen. 

Da die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 die lokale Systemzeit 

zur Codierung des Signaturzeitpunktes verwendet, ist die korrekte Einstellung der 

Systemzeit notwendig. Sie sind als Nutzer der OPENLiMiT SignCubes Basiskomponenten 

für die Korrektheit der Systemzeit verantwortlich. In allen anderen Fällen kann die Prüfung, 

insbesondere nach dem Kettenmodell, durch das Produkt nicht zuverlässig vorgenommen 

werden. Durch die Prüfung nach dem Schalen- und dem Kettenmodell verwendet das 

Produkt zwei voneinander unabhängig arbeitende Prüfmechanismen, die jedoch beide auf 

Sperrlisten angewiesen sind, welche die oben genannten Bedingungen an den 

Herausgabezeitpunkt erfüllen. 

Ist in der Signaturdatei ein Zeitstempel vorhanden, wird auch eine Aussage zur Gültigkeit der 

Signatur an dem Zeitpunkt geliefert, den der Zeitstempel ausweist. Um die vollständige 

Gültigkeit des Zeitstempels zu prüfen, müssen Sie den Detaildialog für Zeitstempel 

verwenden. Nähere Informationen hierzu finden Sie im Kapitel Zeitstempeldienste. 

Hinweis: Ist in dem Signaturabschnitt kein Zeitpunkt der Signaturerzeugung enthalten, wird 

die aktuelle Systemzeit als Prüfzeitpunkt verwendet und angezeigt. 

Hinweis: Bei der Signaturprüfung müssen Sie immer den Zertifikatspfad des geprüften 

Signaturzertifikats überprüfen. Das Produkt verwendet auch vertrauenswürdige 

Stammzertifikate aus dem Microsoft Zertifikatsspeicher, d.h., es kann zu der Aussage 

kommen, dass die geprüfte Signatur gültig ist, obwohl Sie dem Wurzelzertifikat nicht 

vertrauen. Die Gültigkeit der elektronischen Signatur ist im technischen Sinne zwar korrekt, 

aber evtl. wollen Sie als Benutzer dem Stammzertifikat nicht vertrauen. Daher ist die Prüfung 

des Zertifikatspfades unerlässlich. Diese Prüfung können Sie vornehmen, in dem Sie sich 

das Signaturzertifikat über Details anzeigen lassen und im Zertifikatsdialog das Register 

Zertifizierungspfad auswählen.

Wenn ein Wurzelzertifikat bei der Signaturprüfung gefunden wurde, geben die OPENLiMiT 

SignCubes Basiskomponenten den Ablageort an. 

Die Zertifikate der Bundesnetzagentur sind den OPENLiMiT SignCubes Basiskomponenten 

2.1, Version 2.1.6.3 durch signierte Vertrauenslisten bekannt. In diesem Fall benennt das 

Produkt das verwendete Wurzelzertifikat als 'Vertrauenswürdiges Zertifikat'. 

Wurde das Zertifikat aus dem Microsoft Stammspeicher für vertrauenswürdige 

Stammzertifizierungsstellen bezogen, zeigt das Produkt im Zertifizierungspfad ,Zertifikat aus 

dem Microsoft Stammspeicher für vertrauenswürdige Zertifikate' an. 

Wurde das Zertifikat aus dem CTL Verzeichnis des Produktes bezogen, zeigt das Produkt 

,Zertifikat aus dem CTL Verzeichnis' an. 

Diese Information wird nur angezeigt, wenn ein Wurzelzertifikat im Zertifizierungspfad 

gefunden wurde. 

Hinweis: Wenn Sie ein PDF-Dokument prüfen, welches mehrere eingebettete Signaturen 

enthält, müssen Sie im Prüfdialog den Befehl 'Daten anzeigen' verwenden, um diejenige 

Dokumentversion zu sehen, auf die sich die jeweilige Unterschrift bezieht. 

Das PDF Format erlaubt nach einer Signatur, das Dokument weiter zu ändern. Die 

elektronische Unterschrift bezieht sich jedoch immer auf die konkrete Version des 

Dokuments, die Sie nur aus dem Prüfdialog heraus eindeutig anzeigen lassen können. Das 

bedeutet auch, dass die Signatur nicht für das geänderte Dokument gilt, sondern exakt für 

die Dokumentversion, die Ihnen im Prüfdialog über den OPENLiMiT SignCubes Viewer 

angezeigt wird. 

Prüfung qualifizierter elektronischer Signaturen 

Grundsätzlich wird bei jeder vorliegenden Signatur geprüft, ob dies eine qualifizierte 

elektronische Signatur ist. Die OPENLiMiT SignCubes Basiskomponenten ermitteln dies an 

mehreren Kriterien: Das verwendete Signaturzertifikat das Attribut QC-Statement mit dem 

Wert EU-QC-konform oder SigG-konform aufweisen. Des weiteren muss das verwendete 

Signaturzertifikat von einem angezeigten oder akkreditierten Zertifizierungsdiensteanbieter 

herausgegeben worden sein. Die OPENLiMiT SignCubes Basiskomponenten 2.1, v2.1.6.3 

verfügen über eigene Verwaltungsmechanismen für diese Einstufung. Die Zertifikate der 

ZDA's und der Bundesnetzagentur müssen in einer signierten Vertrauensliste vorliegen, die 

ausschließlich durch OPENLiMiT gepflegt wird. 

83

84 

Treffen die genannten Kriterien zu, so erfolgt die Prüfung der Zertifikatskette nach dem 

Kettenmodell. Dieses Gültigkeitsmodell für Zertifikatsketten erlaubt, dass elektronische 

Signaturen mit Zertifikaten erzeugt werden können, deren Herausgeberzertifikate zum 

Zeitpunkt der Signaturerstellung bereits abgelaufen sind. Dies erlaubt eine kürzere Laufzeit 

einzelner Zertifikat in der Zertifikatskette und erhöht somit die Sicherheit der in Deutschland 

verwendeten Zertifikatsinfrastruktur. In allen anderen Fällen erfolgt die Prüfung nach dem so 

genannten Schalenmodell. 

Die OPENLiMiT SignCubes Basiskomponenten zeigen in eindeutiger Art und Weise an, ob 

das Herausgeberzertifikat als angezeigter oder akkreditierter Zertifizierungsdiensteanbieter 

in der aktuell verwendeten Vertrauensliste enthalten ist. Ist dies der Fall, wurde die Signatur 

nach dem Kettenmodell geprüft. Alle anderen Signaturen, die mit den OPENLiMiT 

SignCubes Basiskomponenten 2.1, v2.1.6.3 geprüft werden, werden unter Verwendung des 

Schalenmodells geprüft. Detaillierte Informationen zu den verschiedenen Prüfmodellen 

finden Sie auf der Webseite der Bundesnetzagentur (http://www.bundesnetzagentur.de). 

Für beide Gültigkeitsmodelle gilt, dass das verwendete Signaturzertifikat zum 

Signaturerzeugungszeitpunkt gültig sein muss. Das Herausgeberzertifikat kann beim 

Kettenmodell bereits abgelaufen sein, beim Schalenmodell ist dies nicht zulässig. In keinem 

von beiden Gültigkeitsmodellen darf eines der Zertifikate in der Kette zurückgezogen sein, 

z.B. wegen Bruch des Signaturschlüssels. 

Besonderheiten im Zusammenhang mit dem Katalog zulässiger Algorithmen 

Die Bundesnetzagentur veröffentlicht jedes Jahr einen so genannten Algorithmenkatalog, 

der die Verwendung der zulässigen Algorithmen für die qualifizierte elektronische Signatur 

regelt. Dieser Algorithmenkatalog wird durch die OPENLiMiT SignCubes Basiskomponenten 

2.1, Version 2.1.6.3 abgebildet. Dies bedeutet, dass die OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 überprüfen, ob der verwendete Algorithmus und der 

verwendete Signaturschlüssel den Anforderungen an diesen Katalog genügen. Ist dies nicht 

der Fall, wird die geprüfte Signatur auch nicht als gültig geprüft und es wird ein Hinweistext 

angezeigt, dass Algorithmen verwendet werden, die keine Aussage über die tatsächliche 

Gültigkeit der Signatur zulassen. 

Wird Ihnen eine entsprechende Meldung durch die OPENLiMiT SignCubes 

Basiskomponenten 2.1, Version 2.1.6.3 angezeigt, sollten Sie die Webseiten der 

Bundesnetzagentur sowie den Bundesanzeiger heranziehen, um die Korrektheit der 

eingesetzten Algorithmen unabhängig zu prüfen. Da im Jahr 2008 der Hashalgorithmus 

SHA-1 für die qualifizierte elektronische Signatur nicht mehr zulässig sein wird und eine 

definitive Festlegung eines Übergangszeitraums noch nicht getroffen wurde, müssen Sie bei 

der Prüfung elektronischer Signaturen im Zweifelsfall die aktuell von der Bundesnetzagentur 

veröffentlichten Dokumente zu Rate ziehen.

Signaturprüfung vornehmen 

Nachdem Sie auf eine signierte Datei geklickt haben, erscheint der Dialog Details zur 

Signaturprüfung: 

In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, 

ungültig oder zumindest mathematisch korrekt ist. 

Ist eine Signatur ungültig, dann wurden die Daten verändert oder die Zertifizierungskette 

konnte nicht aufgelöst werden. Dieser Signatur können Sie nicht vertrauen. 

Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert 

wurde. Außerdem wurde auch die Signatur an sich nicht manipuliert. In der Regel müssen 

Sie aber noch den Onlinestatus des verwendeten Signaturzertifikates prüfen, um wirklich 

sicher zu sein, dass das verwendete Signaturzertifikat in Ordnung ist. 

Dies wird unter den Details, also unter dem Tab mit dem Namen des Signaturinhabers 

genauer untersucht. 

Hinweis: Falls in Ihrer Programmversion OPENLiMiT SignCubes Basiskomponenten 2.1, 

Version 2.1.6.3 das Modul zum Erstellen eines Prüfprotokolls mit installiert wurde, haben Sie 

die Möglichkeit, durch Anklicken des Buttons Speichern ein Prüfprotokoll zu erzeugen und zu 

speichern. Andernfalls wird der Button nicht angezeigt. 

85

86 

Die Bedeutung der einzelnen Punkte 

� Hashwertüberprüfung: Integrität der Daten 

positiv: Die Daten wurden seit der Signatur nicht verändert. 

Wird als Zusatzinformation ein Hinweis angezeigt, dass die Signtur als ungeeignet eingestuft 

wird, dann bedeutet das, dass für die Berechnung des Hashwertes ein Hashalgorithmus 

(z.B. SHA-1) verwendet wurde, der für die Erzeugung qualifizierter Signaturen nicht zulässig 

ist. 

negativ: Die Hashwerte stimmen nicht überein, die Daten wurden möglicherweise verändert. 

� Prüfung von Signatur und Zertifizierungspfad: Beschädigung der Signatur und 

Vollständigkeit des Zertifizierungspfades 

Wird als Zusatzinformation ein Hinweis angezeigt, dass die verwendeten Signaturparameter 

als ungeeignet eingestuft werden, dann bedeutet das, dass entweder für die Berechnung 

des Hashwertes ein Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung 

qualifizierter Signaturen nicht zulässig ist oder die verwendeten Schlüssel nicht die 

erfolderlich Länge größer als 1024 Bit besaßen. 

� Zeitpunkt der Signaturerzeugung: Hier wird die Zeit angegeben, die auf dem Rechner zur 

Signaturerzeugung eingestellt war. 

� Vertrauensbasis: Zeigt die Quelle für das Wurzel- bzw. Rootzertifikat an, auf der die 

Prüfung des Zertifikats beruht. Weiterhin wird der für die Signaturprüfung verwendete 

Algorithmenkatalog angezeigt.

� Zertifikatsstatus: Sperrung der Signatur. Anhand von Sperrlisten wird geprüft, ob das 

Zertifikat gesperrt wurde. Wenn hier nicht geprüft werden kann, empfiehlt sich das 

Herunterladen von aktuellen Sperrlisten oder eine Online-Prüfung über den Button 

Onlinestatus... 

Über den Button Details, Auswahl des Zertifikats und wiederum Anklicken des Buttons 

Details können Sie sich die Zertifikatseigenschaften anzeigen lassen. 

Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt 

werden. 

Nach einem Klick auf Onlinestatus... wird die OCSP-Abfrage geöffnet. Für die Prüfung muss 

eine Verbindung mit dem Internet bestehen. 

Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, 

gesperrt oder unbekannt. 

87

88 

Wenn Sie auf den Button Details klicken, können Sie sich die Details zur OCSP-Abfrage 

anzeigen lassen. 

Wenn Sie unter dem Register Zusammenfassung auf den Button Signatur-Zertifikat 

anzeigen klicken, können Sie die Details des Zertifikatspfades nachvollziehen.

Um die Quelle der OCSP Antwort zu prüfen, sollten Sie immer das Zertifikat, welches die 

OCSP Antwort unterzeichnet hat, anzeigen lassen. Sie müssen selbst entscheiden, ob Sie 

dem Zertifikat vertrauen. 

Unter dem Register OCSP Details werden Ihnen weitere Detailinformationen zu der OCSP 

Antwort angezeigt. 

Hinweis: Auch wenn Sie in regelmäßigen Abständen die aktuellen Sperrlisten der 

Zertifikatsherausgeber beziehen, sollten Sie auf jeden Fall immer eine OCSP Abfrage 

durchführen. Lassen Sie sich das Zertifikat der OCSP Antwort anzeigen und entscheiden Sie 

selbst, ob Sie diesem vertrauen. 

. 

89

90 

Arbeiten mit dem OPENLiMiT SignCubes Integrity 

Tool 

Das OPENLiMiT SignCubes Integrity Tool ist ein Programm zur Überprüfung der Hash- 

Werte an den ausgelieferten sicherheitsrelevanten Modulen und stellt somit sicher, dass sich 

die Module noch in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert 

wurden. 

Das OPENLiMiT SignCubes Integrity Tool sollte grundsätzlich über die Internetseite 

https://www.openlimit.com/integritytool gestartet werden. 

In dem Fall, dass Sie das Produkt über einen Download erhalten und installiert haben, 

sollten Sie, bevor Sie das Produkt zum ersten Mal einsetzen, das OPENLiMiT SignCubes 

Integrity Tool ausführen, um die Korrektheit der Installation zu verifizieren. 

Stellt das OPENLiMiT SignCubes Integrity Tool fest, dass die Module sich nicht mehr in 

ihrem Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner 

installieren. Vorher sollten Sie jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr 

Rechner von einem Virus befallen wurde oder ein anderes Programm Ihren Rechner 

manipuliert hat. 

� Starten Sie das Integritätstool über die Internetseite 

https://www.openlimit.com/integritytool. Die Java Virtual Machine (JVM) überprüft 

daraufhin die Signatur des Applets und öffnet einen Dialog mit Sicherheitshinweisen.

Die Seriennummer des Signaturzertifikates für das OPENLiMiT SignCubes Integrity Tool 

finden Sie in dieser Benutzerdokumentation unter OPENLiMiT SignCubes Integrity Tool. 

Zur Sicherheit sollten Sie immer die Signatur des Applets über den Befehl Weitere 

Informationen prüfen und erst dann den Start des Applets selbst freigeben. 

Nach Anklicken des Button Zertifikatsdetails werden die Informationen zu dem Zertifikat 

einschließlich der Seriennummer angezeigt. 

91

92 

• In dem folgenden Fenster wird Ihnen der Pfad für die OPENLiMiT Programminstallation 

angezeigt. Standardmäßig ermittelt das Java-Applet beim Start das 

Installationsverzeichnis. Falls dieser nicht automatisch gefunden wurde bzw. nicht korrekt 

angezeigt wird, stellen Sie bitte den Pfad über den Button 'Installationspfad' 

entsprechend ein. 

• Gleichzeitig haben Sie die Möglichkeit, über den Button Sprachauswahl die Sprache 

einzustellen. Das OPENLiMiT SignCubes Integrity Tool wird in deutsch und englisch 

bereitgestellt.

Hinweis: Geben Sie die Installationspfade der OPENLiMiT SignCubes Basiskomponenten 

2.1, Version 2.1.6.3 nicht im Netzwerk für andere Benutzer frei. 

Nach Anklicken des Button Prüfung starten wird das OPENLiMiT SignCubes Integrity Tool 

gestartet. 

. 

93

94 

Ist der Dateistatus für alle Dateien OK, so ist die Integrität der Software erfolgreich 

nachgewiesen. 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 können optional Module 

enthalten wie die siq0*.dll, siq1*.dll und siq2*.dll. Diese Module beinhalten die Ansteuerung 

konkreter Kartenterminals. Ist ein Modul vorhanden, dann wird auch jeweils eine Liste der 

dadurch unterstützten Kartenterminals angezeigt: 

siq0rsct.dll 

� Reiner SCT cyberJack e-com v2.0




siq0scmm.dll 

� SCM Microsystems SPRx32/Chipdrive PinPad 

siq0ok.dll 



siq0kby.dll (PC/SC) oder siq0kbyct.dll (CT-API) 

� Kobil Systems B1 Pro 


siq0chy.dll 

� Cherry G83-6700 

� Cherry G83-6744 


siq0fsc.dll 


Chipkartenbetriebssysteme und Chipkarten 

� siq0dba.dll und siq1dba.dll unterstützt das SECCOS Chipkartensystem in Vebrindung mit 

der Siemens API 

� sq1seccos.dll unterstützt das SECCOS Chipkartenbetriebssystem 

� siq1cm43.dll unterstützt das Siemens CardOS M4.3B 

� siq1spk3.dll unterstützt SPK3 

� siq1tcos3x.dll unterstützt TCOS 3.0 

Chipkarten-OS Chipkartenprofil Chipkartenname im Produkt 

siq1seccos.dll siq2ds2.dll Alle Karten des Sparkassenverlags 

siq1cm43.dll siq2cm43.dll D-TRUST Karte 

Generische SigG-Ansteuerung der Siemens 

Karten 

siq1spk3.dll siq2dgn2.dll dgnserviceCard 

95

96 

siq2dp2.dll Signtrust Card (Deutsche Post Com GmbH) 

Signaturkarte (DATEV eG) 

Signaturkarte (BNotK) 

siq1tcos3x.dll siq2nks43.dll NetKey 3.0 und NetKey 3.0M 

siq0dba.dll, 

siq1dba.dll 

siq2dba.dll BA User Card mit Siemens Card API 

Das Fehlen eines oder mehrerer dieser Module wird durch den Status Nicht installiert 

ausgewiesen. Die Integrität der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 

2.1.6.3 ist trotzdem sichergestellt. 

Ab Version 2.1.6.3 bietet das OPENLiMiT SignCubes Integrity Tool dem Anwender die 

Möglichkeit, Konfigurationen für Chipkarten zusätzlich einzuspielen. Diese Konfiguration sind 

Initialisierungsdateien, die festlegen, welcher Hash- und Signaturalgorithmus für die jeweilige 

Signaturkarte verwendet wird. 

Das OPENLiMiT SignCubes Integrity Tool kennt alle möglichen Konfigurationen für die 

Signaturalgorithmen und prüft bei der Integritätsprüfung auch die verwendeten Algorithmen. 

Wird eine Kartenkonfiguration gefunden, die nicht den Vorgaben der Bundesnetzagentur 

entspricht, wird eine Warnung an den Benutzer generiert und angezeigt. Wird eine 

Konfigurationsdatei gefunden, die unbekannt ist, wird dieser Zustand dem Benutzer 

angezeigt. 

Beispiel 1: 

Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das 

Integrity Tool bildet den Hashwert über die Initialisierungsdatei und stellt dabei fest, dass 

diese Datei festlegt, dass die SECCOS Karten mit SHA-1 als Hashwert signieren sollen. In 

diesem Falle wird durch das Integrity Tool der folgende Text generiert: „Das Modul ist so 

konfiguriert, dass SHA-1 als Hashalgorithmus bei der Signatur zugelassen ist. Bitte prüfen 

Sie auf der Webseite der Bundesnetzagentur (http://www.bundesnetzagentur.de), ob mit 

dieser Konfiguration die Anforderungen an die qualifizierte Signatur erfüllt werden.“ 

Beispiel 2: 

Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das 

Integrity Tool bildet den Hashwert über die Initialisierungsdatei und stellt dabei fest, dass 

diese Datei festlegt, dass die SECCOS Karten mit SHA-256 als Hashwert signieren sollen. In 

diesem Fall wird durch das Integrity Tool der folgende Text generiert: „Das Modul ist so 

konfiguriert, dass SHA-256 als Hashalgorithmus bei der Signatur verwendet wird.“

Hinweis: Die Sprachressourcen der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 

2.1.6.3 sind in der deuSEMk.dll bzw. der engSEMk.dll gespeichert. Mindestens eine der 

beiden Dateien muss vorhanden sein, ansonsten wird die Integrität der OPENLiMiT 

SignCubes Basiskomponenten 2.1, Version 2.1.6.3 nicht bestätigt. Für die jeweilige 

Sprachressource müssen auch die dazugehörige Hilfe und der Viewer vorhanden sein, 

ansonsten wird die Integrität ebenfalls nicht bestätigt. 

Nach Bestätigung des Informationsfensters mit OK erhalten Sie die Liste der Dateien, die 

geprüft wurden und den Dateistatus angezeigt. 

Folgende Dateizustände werden unterschieden: 

� OK: Die Prüfung des Hashwertes ist positiv, d.h. die Datei entspricht der 

Originalinstallation. 

� Unbekannt: Das ist der Ausgangsstatus für alle Dateien vor der Prüfung. Dieser Status 

wird auch angezeigt, wenn keine Prüfung möglich ist. 

� Datei verändert: Die Datei wurde nach der Installation verändert. 

� Datei nicht gefunden: Die Datei wurde nicht gefunden. 

� Datei nicht lesbar: Die Datei ist nicht lesbar und der Hashwert konnte nicht berechnet 

werden. 

� Nicht installiert: Dieser Status trifft nur für die optionalen Module zu, falls diese nicht 

installiert sind. 

97

98 

Nach Anklicken des Button Speichern haben Sie die Möglichkeit, das Ergebnis der Prüfung 

zu speichern. 

• Schließen Sie das Browserfenster, um den Prüfprozess zu beenden. 

Wurden Dateien bzw. Signaturen manipuliert, sind nicht vorhanden bzw. konnten nicht 

gelesen werden, teilt Ihnen das Programm dies mit einer entsprechenden Meldung mit. Die 

Integrität ist damit nicht bestätigt. 

Hinweis: Im Falle von Abweichungen vom Originalzustand der Installation müssen Sie den 

Rechner auf sicherheitstechnische Veränderungen und Eingriffe prüfen.

Es wird empfohlen, dass Sie in diesem Falle die Software mit Hilfe des 

Installationsprogrammes deinstallieren und erneut installieren. Falls die Verifikation des 

Zertifikates durch die JVM fehlschlägt oder andere Dialoge als die abgebildeten angezeigt 

werden, insbesondere wenn eine andere Seriennummer für das Signaturzertifikat angezeigt 

wird, wird nicht das korrekte Prüfprogramm ausgeführt. In diesem Falle dürfen Sie sich nicht 

auf die Statusaussagen des Tools verlassen und müssen Ihre Installation der JVM sowie die 

URL, von der Sie das OPENLiMiT SignCubes Integrity Tool bezogen haben, mit den 

Angaben im Handbuch vergleichen. 

99

100 

Sperrlistenaktualisierung 

Die Sperrlistenaktualisierung ist ein Zusatzmodul zu den bestätigten Basiskomponenten und 

kann aus dem Menü des Security Environment Managers gestartet werden. Im weiteren 

Verlauf wird dieses Zusatzprogramm als OPENLiMiT SignCubes 

Sperrlistenaktualisierungsassistent bezeichnet. 

Der folgende Abschnitt beschreibt die Benutzung des OPENLiMiT SignCubes 

Sperrlistenaktualisierungsassistenten im Detail. Etwaige Fehlermeldungen des OPENLiMiT 

SignCubes Sperrlistenaktualisierungsassistenten sind im Kapitel Fehlermeldungen 

OPENLiMiT SignCubes Security Environment Manager enthalten. 

Um eine sichere Signaturprüfung zu gewährleisten, sollten Sie vor der Signaturprüfung die 

aktuellsten Sicherheitsdateien herunterladen. Diese Sicherheitsdateien bestehen 

hauptsächlich aus Sperrlisten, aber auch die Public Key Directories der Bundesnetzagentur 

für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) sollten 

in regelmäßigen Abständen aktualisiert werden. Sie haben als Benutzer die Möglichkeit, 

auszuwählen, welche Sperrlisten heruntergeladen werden sollen. Sie können am 

Wurzelzertifikat der geprüften Signatur erkennen, welche Sperrliste Sie verwenden müssen, 

um die Signatur korrekt zu prüfen. Als Arbeitsschritt empfiehlt es sich aber immer, vor der 

eigentlichen Signaturprüfung stets alle Sperrlisten herunter zu laden, da Sie im Regelfall 

nicht wissen, von welchem Zertifikat die zu prüfende Signatur erzeugt wurde und wie das 

zugehörige Herausgeberzertifikat lautet. 

So laden Sie eine aktuelle Sperrliste herunter: 

� Klicken Sie auf das OPENLiMiT Icon in der Taskleiste. 

� Wählen Sie den Menüpunkt Sperrlistenaktualisierung. 

� Daraufhin öffnet sich der OPENLiMiT SignCubes Sperrlistenaktualisierungsassistent mit 

einer Startseite, die Sie mit Weiter bestätigen können.

• Wählen Sie aus der Liste mit einem Klick in die Checkboxen die gewünschten 

Sicherheitsdateien aus. 

� Klicken Sie jetzt auf Weiter 

101

102 

� Wenn Sie jetzt auf Starten klicken, werden die aufgelisteten Dateien aktualisiert. Mit 

einem Klick auf Zurück können Sie die Auswahl noch einmal ändern. 

Der Dateistatus gibt an, wie weit der Download der jeweiligen Datei fortgeschritten ist. Am 

Ende wird eine Liste mit Ergebnissen erstellt. 

� Klicken Sie auf Fertigstellen

Hinweis: Um diese Dateien zu aktualisieren, benötigen Sie eine Internetverbindung. Konnte 

die Verbindung nicht hergestellt werden, wird als Statusmeldung 'Fehler beim Download' 

angezeigt. Aktuelle Sperrlisten sind notwendig um eine erfolgreiche Signaturprüfung 

vornehmen zu können. Wenn sie die Sperrlisten nicht aktualisieren, können Sie auch keine 

Signaturen bzw. das verwendete Signaturzertifikat und die Zertifikatskette als gültig 

verifizieren. 

Hinweis: Die Sperrlistenaktualisierung kann über Proxy - Server erfolgen. Voraussetzung 

dafür ist, dass die entsprechenden Einstellungen über den Internetexplorer/Extras/ 

Internetoptionen/Internetverbindungen vorgenommen wurden. (Eine automatische 

Konfiguration ist nicht vorgesehen.) 

Falls eine Anmeldung über User und Passwort erforderlich ist, sind die folgenden 

Einstellungen notwendig: 

• Öffnen Sie die Datei siqSOL.ini in dem Ordner C:\Programme\OPENLiMiT\Data mit 

einem beliebigen Editor. 

• Entfernen Sie vor der Bezeichnung User= und Pass= jeweils das Semikolon und tragen 

Ihre Zugangsdaten für den Proxy - Server ein. 

103

104

Arbeiten mit dem OPENLiMiT SignCubes Viewer 

Der OPENLiMiT SignCubes Viewer kann aus dem Signaturanforderungsdialog und bei der 

Signaturprüfung (PKCS#7 Dateien) jeweils über den Button Daten anzeigen gestartet 

werden, vorausgesetzt es handelt sich um Daten im PDF, TIFF oder TXT Format und die 

Anzeige dieser Dateiformate wurde durch einen entsprechenden Lizenzcode freigeschaltet. 

In diesem Fall werden Ihnen die Daten, die Sie signieren bzw. deren Signatur Sie prüfen 

wollen, angezeigt. Die Schaltflächen zur Signaturerzeugung und Signaturverifikation sind 

nicht aktiv. 

Darüber hinaus kann der OPENLiMiT SignCubes Viewer als separates Programm über Start 

- Programme - OPENLiMiT SignCubes - OPENLiMiT SignCubes Viewer gestartet werden. 

Beim Start über den Programmordner wird das Programm ohne Datei geöffnet. 

Nachdem eine Datei geöffnet wurde, sehen Sie im linken Bereich der Anzeige unter dem 

OPENLiMiT Logo eine Dateivorschau, welche Ihnen die einzelnen Seiten des Dokuments 

mit der Seitennummer anzeigt. Mit einem Klick auf die jeweilige Vorschauseite springt die 

Seitenansicht im rechten Bereich der Anwendung auf die angewählte Seite. Im dargestellten 

Beispiel umfasst die TIFF Datei nur eine Seite. 

105

106 

Der OPENLiMiT SignCubes Viewer stellt Ihnen die folgenden Toolbars zur Verfügung. 

Die Toolbar Standard: 

Die folgenden Funktionen können über diese Toolbar angesprochen werden: 

� Datei öffnen: Hier können Sie eine TIFF oder Textdatei in die Ansicht laden. 

� Datei speichern unter: Hier können Sie die Datei unter einem beliebigen Namen 

speichern. 

� Seitenansicht: Es wird eine Druckvorschau generiert. 

� Drucken: Hier können Sie die Datei ausdrucken. 

� Dateiinhalt: Es werden in Abhängigkeit von dem geöffneten Dateiformat weitere 

Dateiinhalte angezeigt. 

� Info: Es werden die Versionsinformation und die Copyright Informationen angezeigt. 

� Hilfe: Es wird die Benutzerdokumentation (dieses Handbuch) geöffnet 

Die Toolbar Ansicht:

Diese Toolbar ist nur bei TIFF Dateien aktiv. Textdateien werden immer im Verhältnis 1:1 

dargestellt. 

� Breite anpassen: Das dargestellte Bild wird an die Breite des Fensters angepasst. 

� Alles darstellen: Das dargestellte Bild wird so in das Fenster eingepasst, dass die 

gesamte Seite in dem Fenster dargestellt wird. 

� Pixelgenau darstellen: Das Bild wird 1:1 pixelgenau dargestellt. 

• Benutzerdefiniert darstellen: Es erscheint ein Dialog, der Ihnen die Auswahl eines 

Zoomverhältnisses zwischen 10% und 300% ermöglicht. 

• Schwarz/Weiß Darstellung: Sie haben hier die Möglichkeit, ein TIFF-Dokument, welches 

als Farb- oder Graustufendarstellung vorliegt, in eine Schwarz/Weiß Darstellung zu 

transformieren. 

� Graustufendarstellung: Das aktuelle TIFF-Dokument wird in Graustufen dargestellt. 

� Originaldarstellung: Wenn Sie von der Option zur Schwarz/Weiß Darstellung oder der 

Graustufendarstellung Gebrauch gemacht haben, kommen Sie hier wieder zur 

Originalansicht. 

Die Toolbar Signatur: 

Diese Toolbar ist nur dann aktiv, wenn das Programm nicht aus dem 

Signaturanforderungsdialog gestartet wurde. 

• Signatur erzeugen: Hier können Sie über den OPENLiMiT SignCubes Security 

Environment Manager die angezeigte Datei elektronisch signieren. 

� Signatur prüfen: Hier können Sie über den OPENLiMiT SignCubes Security Environment 

Manager eine Prüfung der elektronischen Signatur vornehmen. 

In Abhängigkeit von den zur Verfügung stehenden Funktionalitäten können Buttons für 

weitere Anwendungen angezeigt werden wie z.B. dem Mailversand. 

Hinweise für den Umgang mit Meldungen während der Dokumentanalyse 

Wenn ein Dokument durch den OPENLiMiT SignCubes Viewer geöffnet werden soll, 

untersucht der OPENLiMiT SignCubes Viewer dieses Dokument nach versteckten Inhalten. 

Der folgende Abschnitt zeigt Ihnen, wie Sie mit einer solchen Meldung umgehen können. 

107

108 

Wenn Sie eine TIFF - Datei in den OPENLiMiT SignCubes Viewer laden, kann die folgende 

Meldung erscheinen. 

Diese Meldung bedeutet, dass die TIFF Datei zwar inhaltlich korrekt ist, aber Datenfelder 

enthält, die in der Darstellung nicht angezeigt werden. Der OPENLiMiT SignCubes Viewer 

gibt Ihnen die Möglichkeit, diese Datenbereiche ebenfalls zu untersuchen. Um diese 

Bereiche zu untersuchen, klicken Sie auf: 

• das Symbol für weitere Dateiinhalte in der Toolbar 

• oder den Menüpunkt Ansicht - weitere Dateiinhalte... 

Ihnen wird dann ein Dialog angezeigt, der Ihnen sämtliche Informationen zu den angezeigten 

Dateiinhalten liefert.

Sie können sich z.B. in einer TIFF-Datei alle Tags, nur Text Tags oder auch nur die 

unbekannten Tags anzeigen lassen. In dem unteren Fenster wird dieser Bereich dann 

Hexadezimal kodiert dargestellt bzw. Sie können die Darstellung auch auf Dezimalzahlen 

umschalten. Wenn Sie den Scrollbalken des Fensters nach unten bewegen, sehen Sie einen 

Bereich, in dem versucht wird, die enthaltenen Informationen als Text darzustellen. Dies gibt 

Ihnen die Möglichkeit, verborgene Inhalte zu erkennen und z.B. zu entscheiden, ob Sie die 

Datei trotz dieser Inhalte signieren möchten. Häufig enthalten TIFF-Dateien noch 

Zusatzinformationen, wie einen Autor. Diese Informationen werden in der Bildverarbeitung 

oft nicht mit dargestellt. Mit der Analyse durch den OPENLiMiT SignCubes Viewer haben Sie 

trotz allem noch die Möglichkeit, auch diese verborgenen Inhalte zu betrachten. 

Hinweis: Die Untersuchung der verwendeten TIFF-Dateien richtet sich an der Adobe TIFF- 

Spezifikation 6.0 aus. Wenn TIFF-Dateien verwendet werden, die nicht dieser Spezifikation 

entsprechen, kann das gelieferte Produkt diese Dateien nicht analysieren und korrekt als 

TIFF Datei erkennen. 

Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt 


2.1.6.3 beschrieben. 

Untersuchung von TIFF-Dokumenten in der Schwarz-Weiß Darstellung 

109

110 

Das folgende Beispiel erklärt Ihnen, wie Sie versteckte Inhalte in TIFF-Dokumenten 

erkennen können, die auf Grund unzureichender Kontrastierung in der Ansicht nicht 

erscheinen. Sie laden eine Grafik mit dem OPENLiMiT SignCubes Viewer, die im ersten 

Schritt wie folgt dargestellt wird. 

Im nächsten Schritt sollten Sie grundsätzlich eine Untersuchung der dargestellten Grafik 

vornehmen, da auf Grund zu geringer Farbkontraste enthaltene Informationen bei der 

Darstellung am Monitor verloren gehen können. Sie klicken auf den Knopf zur Schwarz/Weiß 

Darstellung und sehen den folgenden Dialog.

Sie können nahtlos die Einstellung festlegen, ab welchem Punkt die Farbwerte der Farbe 

Schwarz zugeordnet werden. Sie bewegen den Schieberegler bis auf eine volle Schwarz- 

Weiß Darstellung und können somit den Inhalt der Datei nun genauer untersuchen. Damit 

haben Sie grundsätzlich die Möglichkeit, jede farbige Grafik auf verdeckte Inhalte hin zu 

untersuchen. Nachdem Sie die Einstellungen vorgenommen haben, klicken Sie auf OK. In 

der folgenden Darstellung erkennen Sie nun den Inhalt, der auf Grund der unzureichenden 

Farbkontraste des Monitors sonst nicht sichtbar gewesen wäre. 

Sie haben mit Hilfe des OPENLiMiT SignCubes Viewers den versteckten Inhalt entdeckt und 

sollten von der Erzeugung einer elektronischen Signatur absehen. 

111

112 

Grundsätzlicher Hinweis: Der OPENLiMiT SignCubes Viewer kann Sie nicht von der 

Interpretation der angezeigten Daten befreien. Das TIFF Format ist kein Dateiformat, 

welches eine Interpretation des dargestellten Inhaltes durch ein Programm wie den 

OPENLiMiT SignCubes Viewer zulässt. Die Untersuchung der Daten auf versteckte Inhalte 

wird Ihnen durch diesen Produktbestandteil ermöglicht, allerdings müssen Sie selbst solche 

Untersuchungen mit Hilfe der vorhandenen Mechanismen vornehmen. Das TIFF-Format 

sieht die Verwendung bestimmter Kompressionsformate innerhalb einer TIFF-Datei vor. Die 

sichere Anzeigeeinheit erkennt nicht alle Kompressionsformate und kann daher auch nicht 

alle Kompressionsformate anzeigen. In diesem Falle wird die Textmeldung angezeigt: 'Das 

Format der Datei ist nicht geeignet'. 

Um Inhalte, wie Sie in dem obigen Szenario erläutert wurden, sicher zu erkennen, 

müssen Sie bei farbigen TIFF-Dokumenten immer eine Analyse in der Schwarz/Weiß 

Darstellung vornehmen. Sie könnten sonst ein Dokument signieren, welches Sie in 

seinem Inhalt nicht bereit wären, zu signieren. 

Hinweis bei der Analyse von Text-Dateien 

Bei der Analyse von Textdokumenten kann der OPENLiMiT SignCubes Viewer melden, dass 

Zeichen erkannt wurden, für die keine eindeutige Darstellung definiert ist. Das bedeutet, 

dass Zeichen erkannt wurden, die sowohl im OEM Schriftsatz als auch im ANSI Schriftsatz 

eine unterschiedliche Bedeutung haben.

Wenn Sie sich nicht sicher sind, ob dadurch der Inhalt eines Textdokuments verfälscht wird, 

können Sie sich ebenfalls unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der 

Toolbar Klarheit verschaffen. Die folgende Grafik zeigt, wie die Analyse solcher mehrfach 

belegten Zeichen im Detail dargestellt wird. 

113

114 

Ihnen wird angezeigt, welche Zeichen wie oft erkannt wurden. Wenn Sie auf ein Zeichen in 

der Liste klicken, wird Ihnen zu jedem Vorkommen des Zeichens angezeigt, in welcher Zeile 

und Spalte des Dokuments dieses Zeichen gefunden wurde. So können Sie sich Klarheit 

verschaffen, ob das Dokument immer noch den Inhalt hat, den Sie auch bereit sind, zu 

signieren. 

Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt 


2.1.6.3 beschrieben. 

Bei dem Öffnen einer PDF Datei mit dem OPENLiMiT SignCubes Viewer kann der folgende 

Hinweis auftreten: 

Damit werden Sie darauf hingewiesen, dass in der PDF Datei Java Scripte enthalten sind. 

Diese werden in dem OPENLiMiT SignCubes Viewer nicht ausgeführt. In dem darauf 

folgenden Fenster erhalten Sie den Hinweis auf "Weitere Dateiinhalte", die Sie sich über 

Ansicht Weitere Dateiinhalte ansehen können.

Unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar haben Sie die 

Möglichkeit, sich weitere Dateiinhalte zu dem geöffneten PDF Dokument anzeigen zu 

lassen: 

115

116 

Allgemein: Es werden Ihnen in zusammengefasster Form die wichtigsten Dateiinhalte 

aufgelistet. 

Bilder: Zeigt an, welche Bilder auf welcher Seite zu finden sind. 

Java Script: Gibt Ihnen eine Auflistung der in dem PDF enthaltenen Java Scripte und dazu 

weitere Detailinformationen. 

Kommentare: Es werden die Kommentare des PDF mit ihrer Position aufgelistet. 

Alle Texte: Unter diesem Register werden alle in dem PDF enthaltenen Texte getrennt nach 

den einzelnen Seiten dargestellt. 

Viewer Meldungen: In diesem Register werden Ihnen weitere Prüfdetails als Hinweis 

angezeigt. 

Schriften: Es werden die in dem PDF verwendeten Schriftarten aufgezeigt. 

Annotationen: Es werden Zusatzinformationen zu in dem PDF enthaltenen Formularfeldern 

angezeigt. 

Wählen Sie das Register Allgemein erhalten Sie solche Informationen zu dem PDF wie 

Dateiname, enthaltene Java Scripte sowie Bilder und die Kopfdaten des PDF angezeigt.

Wählen Sie in dem Register Bilder ein Bild aus und klicken die Schaltfläche Zeigen an, 

erhalten Sie eine Liste aller in dem PDF enthaltenen Bilder, die Sie sich fortlaufend anzeigen 

lassen können. 

117

118 

Die in der PDF Datei enthaltenen Java Scripte werden Ihnen unter dem Register Java Script 

angezeigt: 

Über das Register Alle Texte werden die in der PDF Datei enthaltenen Texte getrennt nach 

den einzelnen Seiten zusammengefasst.

Nach Klicken auf die Schaltfläche Zeigen erhalten Sie die Textinformation in dem 

Textextraktionsdialog übersichtlich angezeigt: 

119

120 

Unter dem Register Viewer Meldungen werden Ihnen weitere Detailinformationen angezeigt, 

die sich aus der Prüfung der Daten bei der Erstellung der Ansicht im Viewer ergeben haben. 

Hinweis: Achten Sie darauf, welche Fonts vom Viewer zur Darstellung der Texte verwendet 

werden. Es ist möglich, dass bei der Erzeugung des PDF Dokuments Fonts verwendet 

wurden, die auf Ihrem Betriebssystem nicht installiert sind. In diesem Falle muss der Viewer 

diese Fonts durch andere, ähnliche Fonts ersetzen. Verwenden Sie zur Prüfung von Texten 

immer den Text-Extraktionsdialog (Registerkarte: Alle Texte, Button: Anzeigen) um sich über 

den dargestellten Text zu vergewissern. 

Unter dem Register Schriften werden Ihnen die in der PDF Datei verwendeten Schriftarten 

angezeigt mit der Information, ob diese Schriftart in der Datei eingebettet ist oder vom 

Betriebssystem zugeladen wird.

Unter dem Register 'Annotationen' werden Ihnen weitere Zusatzinformationen angezeigt, die 

in der PDF Datei Formularfeldern hinzugefügt sind. 

121

122 

Hinweis: Verschiedene Grafik-Programme bieten die Möglichkeit, Vektor Grafiken zu 

erstellen und diese in ein PDF Dokument einzubetten. Der Viewer bietet nicht die 

Möglichkeit, solche Vektor Grafiken (oder auch so genannte Splines) zu extrahieren und 

separat darzustellen oder zu untersuchen. Wenn Sie ein PDF Dokument mit Text signieren 

wollen, vergewissern Sie sich vorab immer über den Text-Extraktionsdialog über den 

vorhandenen Text. Wenn in diesem Dialog nicht der gesamte Text erscheint, der 

vermeintlich in dem PDF Dokument vorhanden ist, ist dieser fehlende Text eine Vektorgrafik. 

Solche Dokumente sollten Sie auf keinen Fall signieren! 

Hinweis: Der OPENLiMiT SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente 

darzustellen. Die PDF Dokumente entsprechen der PDF 1.7 Spezifikation. Die 

Abweichungen von dieser Spezifikation wurden bereits im Kapitel Sicherheitskomponenten 

der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 aufgeführt. Das TIFF 

Dokument kann eine mehrseitige TIFF Datei (Multipage-TIFF) sein. TXT Dokumente müssen 

den Regeln für Textdokumente entsprechen. Diese Syntaxprüfung ist auch bei Dokumenten 

im Rich Text Format (RTF) oder bei HTML-Quellcode erfolgreich. Die generierte Ansicht 

entspricht dabei immer dem Dokumentquellcode, d.h., eine Interpretation der Dateiinhalte, 

wie sie z.B. bei HTML Dokumenten von einem Browser vorgenommen wird, kann nicht 

geleistet werden. 

Hinweis: Wenn Sie sich nach der Anzeige durch den OPENLiMiT SignCubes Viewer 

hinsichtlich der zu signierenden Daten nicht sicher sind, dann sollten Sie diese Daten 

nicht signieren.


Das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bietet Ihnen die 

Möglichkeit, eine qualifizierte Signatur nach dem deutschen Signaturgesetz zu erstellen. Es 

können aber auch fortgeschrittene und andere Signaturen erzeugt werden. Im 

Signaturgesetz werden verschiedene Anforderungen an eine qualifizierte Signatur gestellt. 

So muss der Benutzer z.B. die Möglichkeit haben, die zu signierenden Daten in einer 

geeigneten Darstellungsform zu betrachten. Diese Möglichkeit wird Ihnen in dem Produkt 

OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 über den OPENLiMiT 

SignCubes Viewer eingeräumt. 

Das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 ist für den 

Umgang mit den im Kapitel Chipkarten aufgelisteten Smartcards bestimmt. Sie müssen bei 

der Signaturerzeugung immer darauf achten, dass Sie das richtige Zertifikat für die 

Signaturerzeugung verwenden. 

Es ist technisch ohne weiteres möglich, Signaturen mit beliebigen Zertifikaten zu erzeugen. 

Um eine qualifizierte Signatur zu erzeugen, müssen Sie immer ein Zertifikat verwenden, 

dessen Eigenschaften ausdrücklich darauf verweisen, dass es für die Erzeugung 

unabweisbarer elektronischer Signaturen vorgesehen ist. Diese Eigenschaften werden Ihnen 

beim Zertifikatsauswahldialog unter Verwendungszweck (Zulässige allgemeine Zwecke) 

angezeigt. 

Weiterhin können Sie sich mit einem Klick auf den Button Details ... die Eigenschaften des 

Zertifikates im Zertifikatseigenschaftendialog anzeigen lassen. 

Die angezeigten Zertifikatseigenschaften sind in der folgenden Abbildung enthalten: 

123

124 

Klicken Sie auf OK, um diesen Dialog wieder zu schließen. Um eine Signatur zu erzeugen, 

haben Sie mit den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 mehrere 

Möglichkeiten. Wenn Sie z.B. eine Signatur über den OPENLiMiT SignCubes Viewer 

erzeugen, klicken Sie auf das Symbol 'Signatur erzeugen' oder wählen den entsprechenden 

Menüpunkt.

Anschließend erscheint der Signaturanforderungsdialog: 

Die folgenden Informationen sind in dem Signaturanforderungsdialog enthalten: 

� Anwendung: Enthält den Namen der Anwendung sowie den Pfad der Anwendung. Hier 

können Sie jederzeit erkennen, mit welcher Anwendung eine elektronische Signatur 

erzeugt werden soll. 

125

126 

� Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. Mit dem 

Knopf Zertifikat anzeigen können Sie sich das Zertifikat jederzeit anzeigen lassen. 

� Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der eingelegten 

Karte angezeigt. 

� Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese 

Kategorie sorgfältig, damit Sie bei Karten mit mehreren PIN's nicht die falsche PIN 

eingeben. 

� Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an. 

� Daten: Zeigt an, welche Datei signiert werden soll. Mit einem Klick auf den Knopf Daten 

anzeigen können Sie wiederum den OPENLiMiT SignCubes Viewer starten, um die 

Daten zu betrachten. 

Mit einem Klick auf den Knopf Signatur erzeugen können Sie jetzt die elektronische Signatur 

erzeugen. Beachten Sie bitte, dass automatisch die sichere PIN-Eingabe gestartet wird. 

Wenn die Daten signiert wurden, erscheint ein Informationsfenster, welches Ihnen mitteilt, 

dass die Daten signiert wurden. 

Hinweis: Wenn Sie automatisch eine OCSP-Antwort und/oder einen Zeitstempel während 

der Signaturerzeugung einbinden, sollten Sie nach der Signaturerstellung die Signatur 

prüfen und sich die Einzelheiten der OCSP-Antwort und des eingeholten Zeitstempels 

anzeigen lassen. Die Gültigkeit der OCSP-Antwort und des Zeitstempels werden erst dann 

auf Sperrlistenbasis vollständig geprüft, wenn Sie sich die Eigenschaften der eingebundenen 

Daten anzeigen zu lassen. 

Hinweis: Die OPENLiMiT SignCubes Basiskomponenten bieten die Möglichkeit, mehrere 

Dateien in einem Durchgang zu signieren. Damit Sie diesen Modus verwenden können, 

benötigen Sie jedoch eine zusätzliche OPENLiMiT Anwendung. Wenn dieser Modus aktiviert 

wird, erscheint der folgende Signaturanforderungsdialog.

In diesem Falle wird der Button 'Daten anzeigen' in Abhängigkeit von der ausgewählten 

Datei aktiviert. 

Hinweis: Die Aktivierung des Mehrfachsignaturmodus erkennen Sie an der 

Dateiauswahlliste. Wenn Sie diesen Dialog sehen, können Sie mit einem Klick auf den Pfeil 

die Dateiauswahlliste aufklappen und erkennen, welche Dateien signiert werden sollen. 

Wenn der Signaturvorgang gestartet wird, erscheint ein Fortschrittsdialog, der Sie über die 

aktuell zu signierende Datei informiert. Wenn Sie den Button 'Abbrechen' drücken, werden 

alle bis zu diesem Zeitpunkt erzeugten Signaturdateien wieder verworfen. 

Hinweis: Da Sie in diesem Modus mehrere Dateien in einem Durchgang signieren können, 

sollten Sie sich stets über Inhalt aller zu signierenden Daten vergewissern. 

127

128 

Attributzertifikate 

Die OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 bieten dem Anwender 

die Möglichkeit, der elektronischen Signatur mit dem Signaturzertifikat zusätzliche 

Attributzertifikate hinzuzufügen. 

Dazu wird in dem OPENLiMiT SignCubes Security Environment Manager die Option 

Attributzertifikate automatisch mitsignieren eingestellt. Im Ergebnis dessen wird bei jeder 

Signaturerstellung das zu dem Signaturzertifikat zugehörige Attributzertifikat bzw. die 

Attributzertifikate (es sind auch mehrere möglich) hinzugefügt. 

� Klicken Sie in der Task-Leiste auf das OPENLiMiT Symbol, wählen Sie den Menüpunkt 

Einstellungen und setzen für Attributzertifikate automatisch mitsignieren den Haken. 

• Bei der Signaturerstellung mit dieser eingestellten Option erfolgt die Integration des 

Attributzertifikats automatisch.Voraussetzung dafür ist, dass die Datei des 

Attributzertifikats in dem Verzeichnis Eigene Dateien\AttributeCertificates abgelegt ist und 

zum Signaturzertifikat gehört. 

• Die Informationen des Attributzertifikats werden bei der Signaturprüfung zusätzlich zu 

den Daten des Signaturzertifikats angezeigt. Starten Sie dazu die Signaturprüfung

� Klicken Sie auf Details und wählen anschließend in dem Fenster Attributzertifikat, dann 

erhalten Sie in der unteren Hälfte des Fensters den Inhalt des Attributzertifikats und 

weitere Informationen angezeigt. 

Wenn Sie das Attributzertifikat markiert haben und auf den Knopf Details klicken, wird Ihnen 

das Attributzertifikat in einem entsprechenden Dialog angezeigt. 

129

130 

Hinweis: Das Verzeichnis Eigene Dateien/AttributeCertificates wird durch den OPENLiMiT 

SignCubes Security Environment Manager automatisch beim ersten Einlesen einer 

Smartcard angelegt. Die Attributzertifikate müssen in diesem Verzeichnis abgelegt sein.

Zeitstempeldienste 

Mit dem in den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 

bereitgestellten Zeitstempeldienst haben Sie die Möglichkeit, sich die 

Zeitstempelinformationen, die Daten hinzugefügt wurden, anzeigen zu lassen und dessen 

Signatur zu prüfen. Starten Sie dazu die Signaturprüfung: 

� Klicken Sie auf die Schaltfläche Details. 

131

132 

� Starten Sie den Befehl Details. In dem folgenden Fenster wird unter dem Register 

Zusammenfassung das Ergebnis der Signaturprüfung zu der angeführten Prüfzeit 

dargestellt. Unter dem Register TSP-Details erhalten Sie weitere Einzelinformationen.

Wenn Sie auf den Registerkartenreiter TSP-Details klicken, werden Ihnen detaillierte 

Informationen zum Zeitstempel angezeigt. 

Wenn Sie auf den Knopf 'Signatur-Zertifikat anzeigen' klicken, wird Ihnen das Zertifikat 

angezeigt, welches den Zeitstempel unterzeichnet hat. Zudem wird Ihnen die komplette 

Zertifikatskette zu diesem Zertifikat angezeigt. Sie sollten immer die Gültigkeit des Zertifikats, 

mit dem der Zeitstempel signiert ist, prüfen. 

Wenn Sie mit dem Produkt einen Zeitstempel abholen, sollten Sie immer das 

unterzeichnende Zertifikat des Zeitstempels überprüfen um sicherzustellen, dass Sie vom 

beabsichtigten Zeitstempeldienst eine Antwort erhalten haben. Das Produkt kann die Quelle 

des Zeitstempels nicht garantieren, die Prüfung mit Hilfe des Zertifikates muss von Ihnen 

durchgeführt werden. Sie müssen in jedem Fall selbst entscheiden, ob Sie dem Zeitstempel 

vertrauen. 

Hinweis: Wenn in der PKCS#7 Signaturdatei ein Zeitstempel vorhanden ist, wird Ihnen 

automatisch auch das Ergebnis der Gültigkeitsprüfung der Signatur zu dem Zeitpunkt 

mitgeteilt, der durch den Zeitstempel angegeben wird. 

Hinweis: Die Funktion des Zeitstempeldienstes kann nur dann genutzt werden, wenn am PC 

eine Internetverbindung zu dem Zeitstempeldiensteanbieter besteht. 

133

134 

Arbeitsabläufe 

Die Arbeitsabläufe unter den verschiedenen Modulen der OPENLiMiT SignCubes Software 

sind immer wieder die selben. Deshalb beschreiben wir in diesem separaten Kapitel nur die 

immer wiederkehrenden Abläufe. Wie diese gestartet oder angesteuert werden, können Sie 

in dem Abschnitt unter Arbeiten mit den OPENLiMiT SignCubes Basiskomponenten 

2.1.6.3 nachlesen.

Dateiformate 

Die OPENLiMiT SignCubes 2.1 Software speichert Daten in verschiedenen Dateiformaten 

ab. Das Format können Sie über den OPENLiMiT SignCubes Security Environment Manager 

einstellen. Standardmäßig wird bei der Installation der Software das Format so eingestellt, 

dass die Signaturdatei und die Originaldaten in einer Datei gespeichert werden. 

p7s - Fomat 

*.p7s Dateien sind PKCS#7-Daten: Es handelt sich dabei um eine abgesetzte Signatur 

(detached signature). Das heißt, die signierten Daten und die Signatur sind in zwei 

getrennten Dateien gespeichert. Diese Vorgehensweise hat den Vorteil, dass man sich die 

Originaldaten mit dem dazugehörigen Programm ansehen kann. Solange diese nicht 

geändert werden, bleibt auch die Signatur gültig. Die Signatur ist mit der Originaldatei durch 

den selben Dateinamen verbunden. Wenn Sie eine p7s Datei mit einem Doppelklick öffnen, 

wird automatisch die Signaturprüfung gestartet. 

p7m - Format 

*.p7m Dateien sind PKCS#7-Daten: Dahinter können sich signierte, verschlüsselte oder 

signierte und verschlüsselte Daten verbergen. 

Signierte bzw. signierte und verschlüsselte p7m-Dateien liegen als Verbund-Dateien vor. 

Das heißt, die Datei beinhaltet sowohl eine oder mehrere Signaturen im p7s-Format als auch 

die Originaldaten, welche signiert oder signiert und verschlüsselt wurden. Wenn Sie eine 

p7m-Datei doppelklicken, wird die Datei entschlüsselt, sofern sie verschlüsselt war. 

Anschließend wird die Signaturprüfung gestartet, sofern eine Signatur vorhanden ist. 

135

136 

Hinweis: Verschlüsselte Daten werden immer als *.p7m Datei gespeichert. Bei Signaturen 

mit der OPENLiMiT SignCubes Shell Extension können Sie zwischen p7s (Daten und 

Signatur getrennt) oder p7m (Daten und Signatur in einer Datei) wählen, indem Sie die 

Einstellungen ändern. 

ors - Format 

*.ors Dateien sind Online-Statusabfragen zu Zertifikaten. Der Status eines Zertifikats kann 

bei der Signaturerstellung oder - prüfung vom Trustcenter abgefragt werden und gibt eine 

Aussage über die Gültigkeit des Zertifikats. 

tsr - Format 

*.tsr Dateien sind Zeitstempelinformationen. Zur Erzeugung von Zeitstempeln benötigt der 

User einen speziell freigeschalteten Zugriff auf einen Zeitstempel-Dienst. Ein Zeitstempel 

gibt eine Aussage darüber, dass gewisse Daten zu einem bestimmten Zeitpunkt existiert 

haben. Dies wird durch eine digital signierte Bescheinigung einer Zertifizierungsstelle 

bestätigt. 

crl - Format 

*.crl - Dateien sind Sperrlisten: Durch Anklicken mit der rechten Maustaste wird die Sperrliste 

geöffnet und Sie können sich weitere Details zu einzelnen Zertifikaten anzeigen lassen. 

cer - Format

*.cer - Dateien sind Zertifikatsdateien: Mit einem Doppelklick haben Sie die Möglichkeit, sich 

dieses Zertifikat anzeigen zu lassen. 

137

138 

Signieren 

Die OPENLiMiT SignCubes Software bietet Ihnen verschiedene Möglichkeiten, qualifizierte 

Signaturen nach deutschem Signaturgesetz zu erstellen. Es können aber auch 

fortgeschrittene oder andere Signaturen erstellt werden. 

Unabhängig davon, aus welchem Modul heraus Sie den Vorgang der Signaturerzeugung 

starten, ist der nachfolgend beschriebene Ablauf immer gleich: 

Datei signieren 

Nach dem Start der Signaturerzeugung öffnet sich ein Fenster, in dem die Details der 

Signaturanforderung angezeigt werden. Hier sehen Sie das Zertifikat, welches zur 

Signaturerzeugung verwendet wird, die Karte, die erforderliche PIN, den Kartenleser und die 

zu signierenden Daten. 

Vor der Signaturerzeugung solllten Sie sich im Fall von Daten im TXT, TIFF oder PDF 

Format über Daten anzeigen die zu signierenden Daten im OPENLiMiT SignCubes Viewer 

anzeigen lassen, um sicher zu sein, welche Daten Sie tatsächlich signieren. 

� Klicken Sie auf Signatur erzeugen. 

Je nach Kartenleser erscheint nun eine unterschiedliche Meldung. 

� geben Sie die PIN auf der Tastatur des Kartenlesers ein, eventuell müssen Sie diese mit 

OK bestätigen. 

Anschließend erscheint ein Fenster mit der Meldung, dass die Daten signiert wurden.

Sollte hier ein Fenster mit der Meldung erscheinen, dass die eingegebene Signatur-PIN 

zurückgewiesen wurde, dann bedeutet das, dass Sie eine falsche PIN eingegeben haben. 

139

140 

Signatur prüfen 

Die Prüfung einer Signatur erfordert Sorgfalt und Umsicht. Folgende Punkte sollten geprüft 

werden: 

• Ist das Dokument wirklich unverändert? 

• Ist der Signaturinhaber echt? 

• Ist das Zertifikat nicht gesperrt? 

Einige Teile der Prüfung werden automatisch von der Software vorgenommen. Ob aber 

einem Zertifikat vertraut werden kann, liegt in der Entscheidung des Benutzers. Qualifizierte 

Signaturen nach dem deutschen Signaturgesetz lassen sich lückenlos zurückverfolgen bis 

zur Bundesnetzagentur. Das Herausgeberzertifikat der Bundesnetzagentur ist in die 

Software integriert. Dieser Zertifizierungspfad muss mathematisch korrekt und lückenlos 

sein. Aber auch andere Wurzelzertifikate können im Betriebssystem als vertrauenswürdig 

definiert werden. 

Deshalb bleibt es grundsätzlich dem Benutzer überlassen, welchen Zertifikaten er vertraut 

und welchen nicht. 

Weitere Information zu den Abläufen der Signaturprüfung und der Public Key Infrastruktur 

finden Sie unter Grundlagen der elektronischen Signatur.

Zusammenfassung 

Nachdem Sie auf Signatur Prüfen geklickt haben, erscheint der Dialog Details zur 

Signaturprüfung: 

In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, 

ungültig oder mathematisch korrekt ist. 

Ist eine Signatur ungültig dann wurden die Daten verändert. Dieser Signatur können Sie 

nicht vertrauen. 

Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert 

wurde. Außerdem wurde auch die Signatur an sich nicht manipuliert. Empfehlenswert ist es 

in diesem Fall, eine OCSP Abfrage durchzuführen und sich auf diesem Weg die Gültigkeit 

der Signatur bestätigen zu lassen. Dazu wählen Sie den Register mit dem Namen des 

Signaturinhabers. 

141

142 

Details 

Nach Anklicken des Registers mit dem Namen des Signaturinhabers wird Ihnen folgendes 

Fenster angezeigt. 

Im Einzelnen erhalten Sie folgende Informationen: 

� Hashwertprüfung: Hier wird die Integrität der Daten überprüft. Ist die Hashwertprüfung 

positiv, bedeutet dies, dass die Daten seit dem Signieren nicht verändert wurden. 

Negativ bedeutet, dass die Daten verändert wurden - in diesem Fall ist die Signatur 

ungültig. Wird als Zusatzinformation ein Hinweis angezeigt, dass die Signatur als 

ungeeignet eingestuft wird, dann bedeutet das, dass für die Berechnung des Hashwertes 

ein Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung qualifizierter 

Signaturen nicht zulässig ist. 

� Prüfung von Signatur und Zertifizierungspfad: Hier wird angegegeben ob, eine 

Beschädigung der Signatur vorliegt und ob der Zertifizierungspfad vollständig ist. 

� Zeitpunkt der Signaturerzeugung (Systemzeit): Hier wird die Zeit angegeben, die auf 

dem Rechner zum Zeitpunkt der Signaturerzeugung eingestellt war. 

� Vertrauensbasis: Hier wird die Vertrauenswürdigkeit des Zertifikats angegeben. 

Weiterhin wird der für die Signaturprüfung verwendete Algorithmenkatalog angezeigt.

� Zertifikatsstatus: Anhand von Sperrlisten wird geprüft, ob das Zertifikat gesperrt wurde. 

Wenn hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von aktuellen 

Sperrlisten oder eine Online-Prüfung über den Button Onlinestatus... 

� Aktuelle Zeit als Prüfzeit (Sperrlistenprüfung): Anhand von Sperrlisten wird geprüft, 

ob das Zertifikat zum Zeitpunkt der Prüfung gültig war. 

Online Prüfung von Zertifikaten 

Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt 

werden. 

Nach einem Klick auf Onlinestatus... in dem Fenster OPENLiMiT SignCubes - Details zur 

Unterschriftsprüfung wird das Fenster Online Status-Prüfung (OCSP) geöffnet. Für die 

Prüfung muss eine Verbindung mit dem Internet bestehen. 

Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, 

gesperrt oder unbekannt. Das Ergebnis der Online Status-Prüfung wird im normalen Prüf- 

Dialog nicht angezeigt. Der Prüf-Dialog bezieht sich lediglich auf die Sperrlisten. 

143

144 

Online Status 

Wurde bei der Signaturerstellung der Signatur ein Online Status zugefügt, dann können Sie 

sich diesen bei der Signaturprüfung ansehen. 

Klicken Sie auf Details, um die Einzelheiten der Signaturprüfung anzuzeigen. 

Wählen Sie dann Online Status aus und klicken Sie auf Details, um die Einzelheiten der 

Online Status Prüfung zum Zeitpunkt der Signaturerzeugung zu sehen. 

Klicken Sie auf Details.

Mit Zertifikat anzeigen wird das Zertifikat der Person angezeigt, die die Signatur erzeugt 

hat. 

Mit Signatur-Zertifikat anzeigen wird das Zertifikat der Zertifizierungsstelle angezeigt, die 

die Online Status Antwort signiert hat. 

Mit Online Status exportieren können Sie die Datei als *.ors speichern. Um sich das 

Ergebnis der OnlinePrüfung vollständig ansehen zu können, müssen Sie das dazugehörige 

Zertifikat (Beispiel: Daneller,Dana.cer) in dem gleichen Ordner ablegen. 

145

146

Erstellen Prüfprotokoll 

Falls in Ihrer Programmversion der OPENLiMiT SignCubes 2.1 das Modul zum Erstellen 

eines Prüfprotokolls mit installiert wurde, haben Sie die Möglichkeit, durch Anklicken des 

Button Speichern ein Prüfprotokoll zu erzeugen und zu speichern. Andernfalls wird der 

Button nicht angezeigt. 

Wählen Sie das Verzeichnis und den Dateinamen für das Prüfprotokoll aus. Standardmäßig 

wird das Protokoll in dem Ordner Eigene Dateien\VerificationProtocols abgespeichert. 

Das Prüfprotokoll enthält folgende Angaben: 

147

148 

� Dokumentbeschreibung: Die Dokumentbeschreibung zeigt den Dateinamen und das 

temporäre Verzeichnis an, in dem das Prüfprotokoll als Datei zwischengespeichert wird, 

bevor es entweder abschließend in dem Verzeichnis Eigene 

Dateien\VerificationsProtocolls 

Verzeichnis abgelegt wird. 

oder in einem durch den Anwender definierten 

� Prüfumgebung: Die Prüfumgebung weist aus, wann (Datum und Uhrzeit) die Prüfung 

durchgeführt wurde und durch welchen Nutzer. 

� Zusammenfassung der Prüfergebnisse: Hier wird das Ergebnis der Hashwertprüfung 

und die Überprüfung der Zertifizierungskette zusammengefasst dargestellt. 

� Informationen zur Signatur: An dieser Stelle erhalten Sie weitere Detailinformationen 

zur Signatur wie den Namen des Unterzeichners, die Signaturzeit, die Vertrauensbasis 

des Herausgeberzertifikats, den Hashwert, das Ergebnis der Hashwertprüfung und 

welcher Signaturalgorithmus verwendet wurde. 

� Informationen zum verwendeten Signatur-Zertifikat: Hier werden die Angaben zum 

Herausgeberzertifikat, d.h. wer ist der Herausgeber, die Seriennummer des 

Herausgeberzeitifikats und die Gültigkeit ausgewiesen. 

Durch die Symbolik im Hintergrund des Prüfprotokolls (grüner Haken, gelbes 

Ausrufezeichen, roter Warnkreis) wird das Ergebnis der Prüfung optisch zusätzlich 

verdeutlicht. Dabei haben die Symbole folgende Bedeutung: 

Grüner Haken: Die Signatur wurde gültig geprüft.

Gelbes Ausrufezeichen: Es gibt Hinweise darauf, dass die Signatur nicht vollständig 

geprüft werden konnte, weil z.B. Sperrlisten oder Herausgeberzertifikate fehlten bzw. nicht 

aktuell waren. In diesem Fall sollten Sie die Aktualisierung der Sperrlisten einschließlich der 

Vertrauenslisten durchführen und die Signaturverifikation nochmals starten. Weitere 

Informationen dazu finden Sie in dem Kapitel Sperrlistenaktuslierung. 

149

150 

Roter Warnkreis: Dieses Symbol weist daraufhin, dass die Datei eine ungültige Signatur 

besitzt. In diesem Fall sollten Sie im Detail prüfen, ob die Daten manipuliert wurden, das 

Zertifikat abgelaufen oder gesperrt ist.

Hinweis: In Abhängigkeit von dem installierten Programm-Modul zum Erstellen des 

Prüfprotokolls kann die o.g. Beschreibung abweichen. Das kann sowohl das Dateiformat des 

Prüfprotokolls als auch die Informationen, die im Ergebnis der Prüfung dargestellt und 

gespeichert werden, betreffen. 

151

152 

Verschlüsselung 

Die Verschlüsselung schützt vor den Augen Dritter. Sie können jegliche Daten verschlüsseln, 

egal ob diese auf dem Rechner gespeichert oder ob sie per e-Mail über das Internet 

gesendet werden. Da die Verschlüsselung aber nicht vor Viren schützt, ist es ratsam, 

verschlüsselte Daten, die archiviert werden sollen, zusätzlich auf externen Datenträgern zu 

sichern bzw. nach dem Entschlüsseln auf jeden Fall nach Viren zu prüfen. 

Zunächst wird das Dokument mit einem Zufallsschlüssel im Triple DES Verfahren 

verschlüsselt. Das heisst, das Dokument wird dreimal hintereinander mit 192 bit 

verschlüsselt. Der Zufallsschlüssel wird dann mit dem öffentlichen Schlüssel des 

Empfängers verschlüsselt. Hier kommt die 1024bit RSA-Verschlüsselung zum Einsatz. 

Man benötigt zum Verschlüsseln also immer den öffentlichen Schlüssel des Empfängers 

(das können auch mehrere sein). Dieser ist in ein Verschlüsselungszertifikat integriert und 

kann im Verzeichnisdienst des Trustcenters abgerufen und auf dem Computer installiert 

werden. Sie können sich auch die Verschlüsselungszertifikate Ihrer Kommuniktionspartner 

per e-Mail schicken lassen. Ihr eigenes Zertifikat können Sie aus der Karte exportieren. Alle 

installierten Zertifikate werden von der Software automatisch angezeigt. Das verschlüsselte 

Dokument und der verschlüsselte Zufallsschlüssel werden dann zusammen archiviert oder 

per e-Mail an die Kommunikationspartner versandt.

In der Praxis ist es empfehlenswert, Daten durch eine Kombination von elektronischer 

Signatur und Verschlüsselung zu sichern. 

Daten verschlüsseln 

Die Verschlüsselung von Daten ist nicht gesetzlich geregelt. Dennoch ist es ratsam, Daten 

zusätzlich zur Signatur zu verschlüsseln, weil dadurch gewährleistet wird, dass nur 

bestimmte Personen Einblick in die Daten haben. 

Wenn Sie Daten verschlüsseln, sollten Sie mindestens zwei Zertifikate verwenden (Ihres und 

das einer vertrauenswürdigen Person). Wenn Sie Ihre Karte verlieren sollten oder sie auf 

andere Art unbrauchbar wird, sind die verschlüsselten Daten ansonsten unwiederbringlich 

verloren. Es gibt keine Kopien Ihres privaten Schlüssels und eine Wiederherstellung ist 

unmöglich. 

Verschlüsselungszertifikate auswählen 

� Nachdem Sie auf Verschlüsseln geklickt haben, erscheint der Dialog zur Auswahl von 

Verschlüsselungszertifikaten. 

Hier werden alle öffentlichen Schlüssel angezeigt, die auf dem Rechner installiert sind. 

Sollten Sie auf der linken Seite keine Zertifikate außer Ihr eigenes sehen, müssen Sie sich 

die öffentlichen Schlüssel der Empfänger beschaffen. Sie haben dazu mehrere 

Möglichkeiten: 

• Download oder Installation über den Verzeichnisdienst, dazu erhalten Sie weitere 

Informationen in dem Abschnitt Verzeichnisdienst 

• durch Installation des Schlüssels, den Sie als cer - Datei erhalten haben, falls Sie mit 

diesem Kommunikationspartner mehrfach verschlüsselt kommunizieren wollen; Weitere 

Informationen finden Sie in dem Abschnitt Zertifikate installieren 

• oder durch Einfügen der *.cer - Datei, in dem Sie auf den Button aus Datei klicken 

Nur die Zertifikatsinhaber der ausgewählten Zertifikate können die Datei entschlüsseln. Es ist 

also ratsam, auch das eigene Zertifikat hinzuzufügen. 

153

154 

• Wenn ein Zertifikat selektiert ist, können im unteren Fenster die Informationen dazu 

angesehen werden. 

• Nach einem Klick auf Hinzufügen oder einem Doppelklick auf den Zertifikatsnamen 

wird das Zertifikat in die rechte Liste kopiert. 

• Klicken Sie dann auf Übernehmen, um die Daten für die ausgewählten Zertifikate zu 

verschlüsseln. 

Selektierte Zertifikate können mit Hinzufügen und Entfernen von einem Fenster ins andere 

verschoben werden. Unter Details... wird das ausgewählte Zertifikat angezeigt. Um sicher zu 

gehen, dass das Zertifikat nicht gesperrt ist, kann nach einem Klick auf Details... der 

Onlinestatus geprüft werden, wenn die CA das unterstützt. Ansonsten funktioniert meist 

auch eine Suche im Verzeichnisdienst (Button weitere...). 

Einstellung des Verschlüsselungsalgorithmus: 

Für den Verschlüsselungsalgorithmus sollten Sie nur dann andere Einstellungen vornehmen, 

wenn es aus Gründen der Kompatibilität mit anderen Programmen unbedingt notwendig ist.

Verschlüsselungszertifikat exportieren 

Der OPENLiMiT SignCubes Security Environment Manager bietet Ihnen die Möglichkeit, Ihr 

Verschlüsselungszertifikat zu exportieren. Das Zertifikat können Sie dann z.B. per e-Mail an 

eine andere Person senden, damit diese wiederum Dokumente für Sie verschlüsseln kann. 

Weitere Informationen dazu finden Sie in dem Kapitel Chipkarten Optionen/Zertifikate 

exportieren. 

155

156 

Zertifikate installieren 

Ein Zertifikat aus dem Verzeichnisdienst installieren Sie einfach, indem Sie auf den Button 

Installieren im Ergebnisdialog klicken. Das Zertifikat erscheint beim nächsten Verschlüsseln 

automatisch im Zertifikatsauswahldialog. 

Die Zertifikate auf der Karte, die in Ihrem Kartenleser stecken, werden automatisch installiert. 

Wenn Sie ein Zertifikat auf anderem Weg erhalten, z.B. per e-Mail, liegt es als Datei vor. Sie 

müssen es über den Zertifikatsdialog von Windows installieren. 

Zertifikate unter Windows installieren 

• Doppelklicken Sie das Zertifikat im Windows Explorer. 

• Im Zertifikatsdialog von Windows auf Zertifikat installieren klicken. 

Die Gültigkeitsangaben des Windows Zertifikatsdialoges sollten Sie nicht interessieren, da 

Windows nicht immer mit Signatur-Zertifikaten umgehen kann. Negative Aussagen haben 

keine Relevanz. Gründe dafür können neben Inkompatibilität mit den Signaturstandards 

auch fehlende Algorithmen sein. 

Daraufhin öffnet sich der Assistent für die Installation: 

• Nach dem Startdialog folgt mit einem Klick auf Weiter der Zertifikatsspeicherdialog. 

• Wählen Sie: Alle Zertifikate in folgendem Speicher speichern. 

• Klicken Sie auf Durchsuchen... 

• Wählen Sie den Ordner Andere Personen und bestätigen Sie mit OK. 

• Klicken Sie im Assistenten auf Weiter 

• und anschließend auf Fertig stellen.

Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im Zertifikatsauswahl 

Dialog. 

157

158 

Verzeichnisdienst 

Nach einem Klick auf weitere... wird der Verzeichnis Client geöffnet. 

Suche 

Für die Suche können Sie Wildcards (*) benutzen. Das sind Platzhalter, die man für 

unbekannte Buchstaben plazieren kann. Wenn Sie dies nicht tun, müssen Sie die exakte 

Schreibweise des gesuchten Namens kennen. Geben Sie am besten den Nachnamen 

zwischen Wildcards ein: z.B. *Daneller*. Wenn es sich um einen sehr häufigen Namen 

handelt, ist als Suchbegriffe die E-Mail-Adresse empfehlenswert. 

Zertifikat suchen 

• Tragen Sie den oder die Suchbegriffe in die Felder ein. 

• Wählen Sie den Verzeichnisdienst der CA, die das Zertifikat herausgegeben hat. 

• Klicken Sie auf Starten. 

Zum Suchen nicht auf Weiter sondern auf Starten klicken. Die Weiter und Zurück Button 

ermöglichen eine erneute Suche und ein einfaches Hin- und Herschalten zwischen Ergebnisund 

Suchdialog. 

Wenn Sie eine Fehlermeldung erhalten, dass die zulässige Größe überschritten ist, dann 

haben Sie zu viele Suchergebnisse erhalten. Diese Funktion dient dem Datenschutz, so 

dass nicht einfach mit einer * * -Suche alle Zertifikate gefunden werden können. Geben Sie 

weitere Buchstaben in den Suchbegriff ein. 

Ergebnis 

Im Ergebnisdialog werden alle gefundenen Zertifikate angezeigt.

Zertifikate übernehmen 

• Mit einem Klick auf den Namen wird rechts die Zertifikatsinformation angezeigt. 

• Über den Button Details kommt man zur Zertifikatsanzeige, wo man sich noch einmal die 

Einzelheiten ansehen kann. Die meisten CAs nehmen gesperrte und ungültige Zertifikate 

aus dem Verzeichnisdienst, so dass sich eine Statusprüfung erübrigt, wenn man hier ein 

Zertifikat gefunden hat. 

Damit das Zertifikat auf dem Rechner bei jeder Verschlüsselung automatisch angezeigt wird, 

kann es installiert werden. Dies sollten Sie für Zertifikate tun, die Sie oft benutzen. 

• Haken Sie die Checkbox vor dem Namen der Zertifikate an, die für die Verschlüsselung 

übernommen werden sollen. 

• Klicken Sie auf Übernehmen. 

Die Zertifikate erscheinen dann im Zertifikatsauswahl Dialog (Verschlüsseln) auf der rechten 

Seite. 

159

160 

Entschlüsselung 

Um das Dokument wieder entschlüsseln zu können, wird der Zufallsschlüssel im Klartext 

benötigt. Er kann nur mit dem privaten Schlüssel entschlüsselt werden. Dazu braucht der 

Benutzer die Karte mit dem, zu dem öffentlichen Schlüssel zugehörigen privaten Schlüssel 

und der PIN. 

Ist der Zufallsschlüssel entschlüsselt, kann auch das gesamte Dokument entschlüsselt 

werden. Auch diese Abläufe übernimmt die Software automatisch. 

Durch dieses Verfahren ist gesichert, dass nur der Karteninhaber mit seiner PIN das 

Dokument entschlüsseln und lesen kann. Die Daten können auch für mehrere Zertifikate 

verschlüsselt werden. Wir empfehlen grundsätzlich, alle Daten, mindesten mit zwei 

öffentlichen Schlüsseln, für eine andere vertrauenswürdige Person und sich selbst, zu 

verschlüsseln. Bei Daten, die versendet werden, empfiehlt sich das eigene Zertifikat und das 

des Empfängers. Wenn die eigene Karte verloren geht, oder möglicherweise aus anderen 

Gürnden nicht mehr verwendbar ist, können die Daten immer noch mit der zweiten Karte 

(der des Empfängers oder der vertrauenswürdigen Person) entschlüsselt werden.

Daten entschlüsseln 

Dateien entschlüsseln 

Zum Entschlüsseln wir der zu dem öffentlichen Schlüssel zugehörige private Schlüssel 

benötigt. Aus diesem Grund muss zum Entschlüsseln die globale PIN eingegeben werden. 

Es erscheint ein Fenster mit der Meldung, dass die Datei entschlüsselt wurde. 

� Klicken Sie auf OK. 

Danach sollten die Daten wieder im Klartext vorliegen. Um viele Dateien hintereinander ohne 

ständige PIN-Eingabe zu entschlüsseln, können Sie die Karte auch "öffnen". Weitere 

Informationen dazu finden Sie in dem Abschnitt PIN-Abfrage. 

161

162 

OPENLiMiT SignCubes Shell Extension 

Die OPENLiMiT SignCubes Shell Extension ermöglicht die Signatur und Verschlüsselung 

direkt im Windows Explorer. Darüber hinaus sind das Prüfen von Signaturen und die 

Entschlüsselung integriert. Wenn Sie eine Datei mit der rechten Maustaste anklicken, finden 

Sie im Kontextmenü den Punkt OPENLiMiT SignCubes. 

Wählen Sie diesen aus, erhalten Sie in Abhängigkeit von der ausgewählten Dateistruktur 

verschiedene Funktionen angeboten. Weitere Informationen erhalten Sie in den 

nachfolgenden Abschnitten.

Die erste Signatur mit OPENLiMiT SignCubes 

Die erste Signatur haben Sie bereits mit der Lizenzierung der Software erstellt. In den 

nachfolgenden Abschritten wird beschrieben, wie Sie eine weitere Signatur erzeugen. 

Wählen Sie eine beliebige Datei (im Beispiel eine *.tif Datei) im Explorer aus. 

• Klicken Sie im Explorer die Datei mit der rechten Maustaste an. 

• Wählen Sie OPENLiMiT SignCubes - Datei signieren 

Weitere Informationen zur Signaturerzeugung finden Sie in dem Abschnitt Signieren. 

Im Ergebnis der Signaturerstellung wird eine p7m-Datei mit dem selben Namen der 

Ursprungsdatei erzeugt. Darüber hinaus bleibt die Original-Datei erhalten. Die p7m-Datei 

enthält sowohl die Original-Daten als auch die Signatur. Durch Anklicken dieser p7m-Datei 

mit der rechten Maustaste können Sie die Signaturen prüfen und bei Bedarf die Datei 

getrennt als txt-Datei und p7s-Datei abspeichern. 

163

164 

Shell Extension Menü 

Wenn Sie eine Datei im Windows Explorer mit der rechten Maustaste anklicken, öffnet sich 

das Kontexmenü mit dem Menüpunkt OPENLiMiT SignCubes. Unter diesem finden Sie in 

der Regel die Punkte: 

• Datei signieren 

• Datei verschlüsseln 

• Datei signieren und verschlüsseln 

Weitere Punkte, wie z.B. 

• Signatur(en) prüfen 

• Datei entschlüsseln 

• Datei und Signatur(en) trennen 

• Datei und Signaturen verbinden 

• Zertifikat anzeigen 

• Online Status anzeigen 

• Zeitstempel erzeugen 

• Sperrlisten anzeigen 

erscheinen, wenn es sich um bereits signierte oder verschlüsselte Dateien bzw. einen 

Zeitstempel oder eine Online Status-Datei handelt. Die Funktionen, die durch diese Befehle 

angestoßen werden, sind unter Arbeitsabläufe im Einzelnen erklärt.

Dateien und Icons im Explorer 

Mit OPENLiMiT SignCubes lassen sich verschiedene Dateiformate erzeugen. Diese erkennt 

man im Explorer auch an Ihren Icons (bei Windows 2000 oder höher). Zeitstempel können in 

der OPENLiMiT SignCubes Software nicht erzeugt werden. 

� p7m Dateien: Verschlüsselte Dateien oder Dateien, die eine Signatur beinhalten, 

bekommen ein blaues Tresor-Icon mit der Aufschrift p7m. 

� p7s Dateien: Abgesetze Signaturen, die durch ihren Dateinamen mit der Ausgangsdatei 

logisch verknüpft sind, bekommen ein blaues Tresor-Icon mit der Aufschrift p7s. 

� ors-Dateien: Online Status Response Dateien, die durch das Exportieren von OCSP 

Antworten entstehen, bekommen ein Zertifikats-Icon mit einem roten Siegel. 

� tsr-Dateien: Zeitstempel Dateien, die durch ihren Dateinamen mit der Ausgangsdatei 

logisch verknüpft sind, bekommen ein Uhr-Icon mit einem roten Siegel. 

Allerdings werden diese Dateien in den neueren Betriebssystemen als verborgene Dateien 

oft nicht angezeigt. Um sie sichtbar zu machen, muss man unter den Ordneroptionen des 

Windows Explorers (Menü Extras - Ordneroptionen - Reiter Ansicht) unter versteckte 

Dateien und Ordner die Option alle Dateien und Ordner anzeigen aktivieren und 

Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren. 

165

166 

Weitere Informationen zu den Dateien finden Sie auch unter Dateiformate.

Adobe Plugin 

Das Adobe Plugin ermöglicht die Signatur direkt unter Adobe Acrobat ab Version 7.0.8. 

Wurden PDF Formulare vom Herausgeber mit zusätzlichen Rechten versehen (Adobe 

Formular Server Lösungen), lassen sich diese Formulare auch im Adobe Reader ab Version 

7.0.8 signieren. Zudem können digitale Signaturen in einem PDF Formular geprüft werden. 

Das Adobe Plugin wird automatisch installiert, soweit Adobe Reader oder Adobe Acrobat auf 

Ihrem Computer installiert ist. 

Falls Sie das Adobeprogamm erst nach der OPENLiMiT SignCubes Software installieren, 

müssen Sie das Plugin nachträglich installieren. Falls Sie dazu das Installationsprogramm 

benötigen, wenden Sie sich bitte an OPENLiMiT. 

167

168 

Adobe Plugin Grundeinstellungen 

Grundeinstellungen festlegen 

Der hier beschriebene Ablauf bezieht sich ausschliesslich auf die Produkte Adobe Reader ab 

Version 7.0.8 und Adobe Acrobat 7.0.8. 

• Öffnen Sie Adobe Reader oder Adobe Acrobat. 

• Über das Bearbeiten-Menü kommen Sie zu dem Menüpunkt Grundeinstellungen... 

• Wählen Sie im linken Bereich Sicherheit aus. 

• Setzen Sie ein Häkchen für Beim Öffen des Dokuments Unterschriften prüfen, und 

klicken Sie dann auf Erweiterte Grundeinstellungen.

• Unter dem Reiter Überprüfung sollten Sie folgende Einstellungen vornehmen: 

• Wählen Sie Immer Standardmethode verwenden (Überschreibt die im Dokument 

angegebene Methode). 

• Wählen Sie dann als Standardmethode zum Überprüfen von Unterschriften: 

"OPENLiMiT SignCubes PDF Plugin, Version 2.0.1.3". 

Unter dem Reiter Erstellung sollten Sie die Einstellungen wie folgt vornehmen: 

Wählen Sie als Standardmethode beim Unterschreiben und Verschlüsseln von 

Dokumenten: "OPENLiMiT SignCubes PDF Plugin, Version 2.0.1.3". 

169

170 

� Mit OK werden die Einstellungen gespeichert.

PDF Dokument signieren 

Für die Erzeugung einer Signatur in PDF Dokumenten ist in der OPENLiMiT SignCubes 

Software ein Adobe Plugin integriert. Dieses bietet Ihnen unter bestimmten Voraussetzungen 

die Möglichkeit, das PDF Dokument im Adobe Reader oder Adobe Acrobat zu signieren. 

Wenn ein PDF Dokument oder PDF Formular ein oder mehrere Felder für digitale 

Signaturen enthält, so können Sie mit dem Adobe Plugin eine qualifizierte digitale Signatur 

direkt in diesem PDF erstellen und dieses anschließend speichern. 

Um ein solches PDF mit dem Adobe Reader zu signieren, muss dieses mit zusätzlichen 

Rechten versehen worden sein (Adobe Formular Server Lösungen). Um ein PDF mit Adobe 

Acrobat zu signieren, reicht es aus, wenn das Signaturfeld mit Adobe Acrobat erstellt wurde. 

Um ein Signaturfeld mit Adobe Acrobat selbst zu erstellen, lesen Sie bitte in der Adobe 

Acrobat Hilfe nach. 

So signieren Sie ein PDF Dokument 

• Öffnen Sie das Dokument. 

Das PDF Dokument enthält ein oder mehrere Signatur-Felder. Ein Signaturfeld erkennen Sie 

am roten Pfeil links oben im Feld. 

• Stecken Sie Ihre Smartcard in den Kartenleser und warten Sie, bis diese erkannt ist (bis 

das Chip-Symbol in der Taskleiste gelb ist). 

• Klicken Sie das entsprechende Signaturfeld an. 

Anschließend öffnet sich das Signaturanforderungsfenster. Hier erhalten Sie die Information, 

welches Zertifikat zur Signaturerzeugung verwendet wird, die Karte, die erforderliche PIN, 

den Kartenleser und den Dateinamen der zu signierenden Daten. 

171

172 

• Durch Anklicken des Button Daten anzeigen wird der OPENLiMiT SignCubes Viewer 

gestartet und Sie können sich die Daten im Viewer darstellen lassen. Diese Prüfung der 

Daten sollten Sie in jedem Fall immer vornehmen, um sich versteckte Inhalte bzw. 

andere Informationen anzeigen zu lassen und um sicher zu sein, welche Informationen 

Sie signieren. 

• Klicken Sie nach Schliessen des Viewers auf Signatur erzeugen.

Signatur im PDF prüfen 

PDF Dokumente können Signaturen enthalten, die in einem extra dafür vorgesehenen 

Signaturfeld integriert sind, oder Signaturen, die in das PDF Dokument eingebettet sind, 

jedoch nicht in einem Signaturfeld vorliegen. In diesem Fall handelt es sich um sogenannte 

"unsichtbare" Signaturen. 

Signaturen in Unterschriftsfeldern prüfen 

• Enthält ein PDF Dokument bereits eine digitale Signatur in einem dafür vorgesehenen 

Signaturfeld, so können Sie mit Adobe Reader oder Adobe Acrobat diese Signatur 

prüfen. Die Signaturprüfung wird mit den Einstellungen vorgenommen, die Sie unter 

Adobe Acrobat oder Adobe Reader festgelegt haben. Weitere Informatioonen dazu 

finden Sie in dem Abschnitt Adobe Plugin Grundeinstellungen. 

• Öffnen Sie das PDF Dokument und klicken Sie auf ein Unterschriftsfeld, das bereits eine 

Signatur enthält. 

Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OPENLiMiT 

SignCubes PDF Plugin" ausgewählt haben, so erscheint folgender Dialog: 

In der Zusammenfassung steht das Ergebnis der Signaturprüfung. Ein Beispiel für ein 

Prüfergebnis wäre z.B.: 

• Die Datei ist gültig signiert. oder 

• Die Signatur ist mathematisch korrekt. 

173

174 

Für genauere Informationen lesen Sie bitte in den Abschnitten Signaturverifikation bzw. 

Signaturen prüfen nach. 

Unsichtbare Signaturen prüfen 

Enthält ein PDF Dokument eine unsichtbare digitale Signatur, so können Sie mit Adobe 

Reader oder Adobe Acrobat diese Signatur prüfen. Die Signaturprüfung wird mit den 

Einstellungen vorgenommen, die Sie unter Adobe Acrobat oder Adobe Reader festgelegt 

haben. 

• Öffnen Sie das PDF Dokument und klicken Sie dann links auf den Reiter Unterschriften, 

um alle Unterschriften des Dokuments anzusehen. 

• Wählen Sie jetzt eine Unterschrift aus, klicken Sie dann auf Optionen und wählen Sie 

Unterschrift prüfen. 

Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OPENLiMiT 

SignCubes PDF Plugin, Version 2.0.1.3" ausgewählt haben, so erscheint folgender Dialog:

Detaillierte Informationen zu den Ergebnissen der Signaturprüfung finden Sie in dem 

Abschnitt Signaturen prüfen. 

175

176 

Der OPENLiMiT TIFF/PDF (PDF/A) 

Drucker 

Die OPENLiMiT SignCubes Software bietet Ihnen mit dem OPENLiMiT TIFF/PDF Drucker 

die Möglichkeit, aus anderen Programmen heraus wie z.B. Microsoft Word Daten an die 

sichere Anzeigeeinheit, den OPENLiMiT SignCubes Viewer auszugeben. Die übertragenen 

Daten werden über den OPENLiMiT TIFF/PDF Drucker in eine sicher darstellbare Bilddatei 

(TIFF) oder in eine PDF Datei konvertiert. Die Ausgabe über den OPENLiMiT TIFF/PDF 

Drucker ist mit jedem auf Ihrem System druckbaren Dokument möglich.

Hinweis: Der OPENLiMiT TIFF/PDF Drucker steht für das Betriebssystem Windows NT 

nicht zur Verfügung. Unter Windows NT wird der OPENLiMiT SignCubes Drucker installiert. 

Dieser kann Dateien nur in das TIFF Format konvertieren. 

Visualisieren 

� Drucken Sie die Datei in dem Programm aus, in dem sie erstellt wurde. Normalerweise 

geht das über den Befehl Datei - Drucken. 

Wählen Sie den OPENLiMiT TIFF Producer für die Ausgabe der Datei im TIFF Format oder 

den OPENLiMiT PDF Producer für die Konvertierung als PDF Datei und bestätigen Sie mit 

OK. 

Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\TIFFOutput 

abgespeichert. Unter dem Betriebssystem Microsoft Vista finden Sie die Datei in dem 

Ordner Dokumente\TIFFOutput. 

Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der 

Extension (tif). 

Für die Konvertierung in ein PDF Format wählen Sie den OPENLiMiT PDF Producer. 

177

178 

Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\PDFOutput 

abgespeichert. Unter dem Betriebssystem Microsoft Vista finden Sie die Datei in dem 

Ordner Dokumente\PDFOutput. 

Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der 

Extension (pdf). 

• Unter Windows NT wählen Sie den OPENLiMiT SignCubes Drucker aus und bestätigen 

mit OK.

• 

• 

Daraufhin öffnet sich die Darstellung im OPENLiMiT SignCubes Viewer. Sollte es lange 

dauern, bis Ihre Datei im OPENLiMiT SignCubes Viewer dargestellt wird, liegt es 

möglicherweise daran, dass die gewählten Eigenschaften des Druckers mit einer hohen 

Auflösung eingestellt sind. 

179

180 

Eigenschaften des OPENLiMiT PDF Producer 

Nach Auswahl des OPENLiMiT PDF Producer und Anklicken deas Buttons Eigenschaften 

haben Sie Möglichkeit die Standardeinstellungen des Druckers zu verändern. 

Über das Menü PDF Compliance Level haben Sie die Möglichkeit die PDF - Version 

PDF 1.4 

PDF 1.5 oder 

PDF/A-1b 

auszuwählen.

Eigenschaften des OPENLiMiT TIFF Producers 

Nach Auswahl des OPENLiMiT TIFF Producer und Anklicken des Buttons Eigenschaften 

haben Sie Möglichkeit die Standardeinstellungen des Druckers zu verändern. 

181

182 

Eigenschaften des OPENLiMiT SignCubes Druckers 

(nur Windows NT) 

Diese Drucker wird nur unter dem Betriebssystem NT installiert, da der OPENLiMiT PDF 

Producer und der OPENLiMiT TIFF Producer nicht für Windows NT verfügbar sind. 

Ändern der Druckereigenschaften 

• In dem Programm, in dem Sie gerade arbeiten, wählen Sie Datei - Drucken... 

• Unter "Name" wählen Sie den OPENLiMiT SignCubes Drucker 

• Klicken Sie auf Eigenschaften... 

Daraufhin sind mehrere Reiter zu sehen. 

Reiter Beschreibung 

Einstellungen Generelle Einstellungen des Druckers 

Dateiformate Ausgabeformat der Datei 

Dateiname erstellen Ausgabename der Datei 

Programm-Start 

Programm, das nach dem Drucken 

startet 

Wasserzeichen Wasserzeichen in Datei generieren 

Kommentar 

einbeziehen 

Bemerkung Einfügen

Drucker Eigenschaften - Einstellungen 

Papier Größe Papier 

Fax 

Auflösung 

Ausrichtung 

Graphik- 

Auflösung 

183 

Hier wählen Sie die Papiergröße aus. Sollte die gewählte 

Papiergröße kleiner sein als das zu druckende 

Dokument, dann werden Teile des Dokuments in der 

SignCubes Visualisierung nicht angezeigt. Wenn dies 

der Fall ist sollten Sie einen Warnhinweis erhalten, 

sobald Sie auf OK gedrückt haben. 

Hier werden die Breite und Höhe des gewählten Papiers 

Paper Breite; angezeigt. Unter Einheiten können Sie die Einheit 

Papier Höhe festlegen in der die Breite und Höhe des Papiers 

angezeigt werden. 

FAX header 

Hat unter OPENLiMiT SignCubes keine Funktion. 

beigelegt 

Erweiterte 

Papiergröße 


Die Auflösung des Ausgabeformats wird für Fax 

Erstelle faxfähiges optimiert. Da die Auflösung sehr gering ist, wird die 

Abbild 

Visualisierung des Dokuments eine niedrige Qualität 

haben. Wir empfehlen diese Funktion nicht anzuwenden. 

Hochformat / Hier kann Hochformat (Portrait) oder Querformat 

Querformat (Landscape) ausgewählt werden. 

Querformat, 90 Es wird ein Querformat ausgegeben, aber nochmals um 

Grad gedreht 90° gedreht. 

Auflösung 

Die graphische Auflösung der Visualisierung wird hier 

festgelegt. Wichtig: Mit den Einstellungen in diesem 

Abschnitt können Sie Qualität und Größe der 

Ausgabedatei entscheidend verändern. Bei zu hoher 

Einstellung werden die Dateien unnötig gross und die 

Visualisierung kann länger dauern. Darüber hinaus 

könnten auf Grund der Grösse der Datei Probleme 

auftreten, falls Sie die signierte Datei anschliessend per 

e-Mail versenden wollen.

184 

horizontale 

Auflösung 

High Resolution - Hohe Auflösung. Die Ausgabe sieht 

sehr gut aus, es dauert länger bis die Visualisierung 

erstellt ist, die Datei wird sehr groß. 

Medium Resolution - Mittlere Auflösung (Standard 

Einstellung). Schnellere Visualisierung, Druckstandard. 

Gut für Textdokumente und Tabellen. 

Draft Resolution - Vorschau Auflösung. Sehr schnelle 

Ausgabe, niedrige Qualität. 

CUSTOM Resolution - Benutzerdefinierte Auflösung. 

Hier können Sie selbst festlegen, mit welcher Auflösung 

Sie arbeiten wollen. Benutzen Sie zur Eingabe die 

beiden Felder unterhalb. 

Hier wird die horizontale Auflösung angezeigt. 

vertikale Auflösung Anzeige der vertikalen Auflösung. 

erzwinge 

Druckerauflösung 

Bildgröße 

Keine Funktion unter OPENLiMiT SignCubes. 

Größe der Datei, die der OPENLiMiT SignCubes Drucker 

zur Visualisierung erstellt. Generell gilt: Je größer die 

Datei, desto besser die Qualität der Visualisierung und 

umso länger dauert die Ausgabe und umgekehrt.

Drucker Eigenschaften - Dateiformate 

Unter diesem Reiter finden Sie Optionen für das Ausgabeformat. 

Dateiformat 

185 

In diesem Menü finden sich verschiedene Dateiformate für 

die Visualisierung. 

Wichtig: Behalten Sie das Standard Format bei (TIFF 

Packed), bei manchen anderen Einstellungen wird die Datei 

nicht gedruckt.

186 

Farbtiefe 

Optionen 

TIFF 

Optionen 

Hier kann die Anzahl der Farben festgelegt werden. 1bit 

(schwarz-weiss), 8 bit (256 Farben), 8 bit Graustufen (256 

1bit, 8 bit, 8 bit 

Grautöne), 24 bit (16,7 Mio. Farben). Wie bei der grafischen 

Graustufen, 24 

Auflösung gilt auch hier, je besser die Qualität der 

bit 

Visualisierung, desto größer das erzeugte Dokument und 

desto länger dauert die Ausgabe. 

mehrseitiges Bild Hier ist per Default ein Häkchen gesetzt, da sonst nur eine 

erzeugen Seite des Originaldokuments in der Ausgabe erscheint. 

Keine Imagedatei 


erstellen 

Osteuropäischer 

Zeichensatz 

Textdatei 

erstellen 

Unterstützt das Drucken von Osteuropäischen Schriftzeichen. 

Der Drucker erstellt zusätzlich eine *.txt Datei mit dem Inhalt 

des Dokuments. 


Das Ändern der Standardeinstellungen kann dazu führen 

dass keine Visualisierung erfolgt. 

Fotoqualität Hat unter OPENLiMiT SignCubes keine Funktion.

187

188 

Drucker Eigenschaften - Dateiname erstellen 

Methode zur 

Erstellung 

Namen 

des 

Dateiname 

Ausgabepfad 

Gruppendatei- 

Optionen 

Diese Einstellungen legen fest, wie der Dateiname 

(prefix) und Dateianhang (extension) erstellt werden. 

Nehmen Sie in diesem Bereich keine Änderungen 

vor, da sonst eventuell keine Visualisierung möglich 

ist. 

Standard Einstellung: Dateiname und Dateianhang 

Use the werden automatisch erstellt. 

document Wichtig: Nehmen Sie in diesem Bereich keine 

name Änderungen vor, da sonst eventuell keine 

Visualisierung möglich ist. 

Dateinamen 

Prefix 

Datei 

Erweiterung 

Wenn unter Methode zur Erstellung des Namen die 

Standard Einstellung gewählt ist, ist keine Eingabe 

nötig. 

Bei Standard Einstellung ist keine Eingabe nötig. 

Bei Standard Einstellung ist keine Eingabe nötig. 

Hier wird der Ordner angezeigt, in dem der Drucker 

die temporären Dateien für die Visualisierung 

speichert. 

Wichtig: Nehmen Sie in diesem Bereich keine 

Änderungen vor, da sonst eventuell keine 

Visualisierung möglich ist. 

Unter OPENLiMiT SignCubes keine Funktion.

189

190 

Drucker Eigenschaften - Programm - Start 

Anwendung 

automatisch starten 

Anwendung 

vor 

Druckausführung 

starten 

Hier sollte ein Häkchen gesetzt sein. Falls dem nicht 

so ist, wird der OPENLiMiT SignCubes Viewer nicht 

gestartet (es erfolgt keine Visualisierung). Die 

Standardeinstellung wird wieder hergestellt, sobald 

sich ein Benutzer am Betriebssystem neu anmeldet 

oder der Computer neu gestartet wird. 

Das für die Visualisierung zu startende Programm 

wird hier angezeigt. Auch hier wird die 

Standardeinstellung wieder hergestellt, sobald sich 

ein Benutzer am Betriebssystem neu anmeldet, oder 

ein Neustart erfolgt. 

Diese Option sollten Sie nicht wählen, da der 

OPENLiMiT SignCubes Viewer nicht starten wird. 

Standardeinstellung. Auch hier gilt, die Einstellung 

nach Druckausf. 

wird nach neuer Anmeldung am Betriebssystem oder 

starten 

Neustart wieder hergestellt. 

Parameter 

übergeben 

Hier sollte ein Häkchen gesetzt sein, da sonst keine 

Visualisierung erfolgt. Nach Neustart des Computers 

oder neuer Anmeldung am Betriebssystem wird auch 

diese Einstellung wieder hergestellt. 

Darstellung der Bestimmt die Größe des Fensters, in dem die 

Anwendung Anwendung startet 

Nachrichten- 

Schnittstelle 

deaktivieren 

Diese Funktion steht nicht zur Verfügung.

191

192 

Drucker Eigenschaften - Wasserzeichen 

Wasserzeichen 

drucken 

Wasserzeichen- 

Optionen 

Aktivieren Sie diese Option, um Ihr Dokument 

mit einem Wasserzeichen zu versehen. 

Wasserzeichen nur Aktivieren Sie diese Option, um das 

zur ersten Seite Wasserzeichen nur auf der ersten Seite des 

hizufügen 

Dokuments anzubringen. 

Wählen Sie in diesem Bereich eine Datei aus, 

Seiten im 

die als Wasserzeichen auf alle Seiten im 

Hochformat 

Hochformat ausgegeben werden soll. 

Wählen Sie in diesem Bereich eine Datei aus, 

Seiten im Querformat die als Wasserzeichen auf alle Seiten im 

Querformat ausgegeben werden soll. 

Wasserzeichen 

Datei: 

Position: 

Helligkeit: 

Hier wählen Sie die Datei aus, die als 

Wasserzeichen ausgegeben werden soll. 

Center = Mittig 

Streched to Fit = über die ganze Seite 

gestreckt 

Streched to Width = über die Seitenbreite 

gestreckt 

Tile = gekachelt 

Legen Sie hier die Helligkeit des jeweiligen 

Wasserzeichens fest.

193

194 

Drucker Eigenschaften - Embed Annotation 

Alle unter diesem Reiter gewählten Optionen werden bei neuer Anmeldung an das 

Betriebssystem oder Neustart des Computers zurückgesetzt. 

Kommentare 

einbeziehen 

Zeichenfolge Geben Sie Text hier ein. 

Datum 

Wenn Sie hier ein Häkchen setzen, können Sie 

Bemerkungen in die zu signierende Datei einfügen. 

Der hier geschriebene Text wird in die TIFF Datei 

eingebettet. 

Schriftart Schriftarten können hier definiert werden. 

Das aktuelle Datum wird eingefügt, wenn Sie hier ein 

Häkchen setzen. 

Format des 

Hier legen Sie ein Datumsformat fest. 

Datums 

Zeit Mit einem Häkchen hier fügt man die Uhrzeit ein. 

Zeit-Format 

Hier legen Sie das Format für die Uhrzeit fest und 

wählen, ob Sie Minuten, Sekunden und Zeitzone mit 

einbeziehen wollen. 

Kommentar Position Hier wählen Sie, wie der Text platziert wird. 

Farbe Die Farbe des Textes kann hier gewählt werden.

195

196 

E-Mail Clients 

Die Software OPENLiMiT SignCubes 2.1 unterstützt das Signieren und Verschlüsseln von E- 

Mails in verschiedenen E-Mail Programmen. In diesem Kapitel werden die vorzunehmenden 

Einstellungen und die grundlegenden Arbeitsschritte der unterstützen E-Mail Clients kurz 

beschrieben. 

Die folgenden Erklärungen betreffen hauptsächlich Funktionen und Einstellungen der 

unterstützen E-Mail Clients und erheben keinen Anspruch auf Vollständigkeit. Sollte hier 

etwas fehlen, empfehlen wir grundsätzlich, in der Hilfe oder im Handbuch des jeweiligen 

Programms nachzusehen. 

Voraussetzung für das Arbeiten mit den verschiedenen E-Mail Programmen ist, dass das 

Programm richtig installiert ist und das E-Mail Konto, das der E-Mail Adresse Ihres Zertifikats 

entspricht richtig eingerichtet wurde. Um zu erfahren wie Sie ein E-Mail Konto einrichten, 

lesen Sie bitte die Hilfe des jeweiligen E-Mail Programms.

Microsoft Outlook und Microsoft Outlook Express 

Microsoft Outlook und Microsoft Outlook Express sind zwei oft verwendete E-Mail 

Programme. Mit dem OPENLiMiT SignCubes Cryptographic Service Provider (CSP) können 

Sie E-Mails in Microsoft Outlook oder Microsoft Outlook Express signieren und 


Der OPENLiMiT SignCubes Cryptographic Service Provider kommt nur dann zum Einsatz, 

wenn Informationen der Karte benötigt werden, d.h. bei der Signaturerzeugung und beim 

Entschlüsseln. Das Verschlüsseln und die Signaturprüfung erfolgt durch Microsoft Outlook 

bzw. Microsoft Outlook Express selbst. 

197

198 

Microsoft Outlook Einstellungen 

Um mit Microsoft Oulook bzw. Microsoft Outlook Express alle Sicherheitsfunktionen 

ausführen zu können, benötigen Sie ein e-Mail Konto mit der e-Mail Adresse, die in Ihrem 

Zertifikat steht. Diese haben Sie beim Ausfüllen des Karten-Antrages angegeben. Beim 

Signieren oder Entschlüsseln wird dann automatisch Ihr Zertifikat genommen, wenn die 

Karte im Kartenleser steckt. 

Outlook Express 

Die folgenden Sicherheitseinstellungen sind unbedingt einzurichten, damit Sie Ihre Mails 

signieren und/ oder verschlüsseln können. 

• Stecken Sie Ihre Chipkarte in den Kartenleser und warten Sie, bis das Chipsymbol gelb 

ist. 

• Klicken Sie im Hauptmenü auf Extras / Konten. 

• Wählen Sie nun das Mailkonto aus, bei dem die Mailadresse mit der in Ihrem Zertifikat 

enthaltenen Mailadresse übereinstimmt. 

• Klicken Sie auf Eigenschaften und wählen Sie das Register „Sicherheit“ aus. 

• Für die E-Mail-Signatur wählen Sie über den ersten Button „Auswählen…“ Ihr Zertifikat 

für den Zweck „Sichere E-Mail“ aus. 

• Nehmen Sie diese Einstellungen auch für das Verschlüsselungszertifikat über den 

2.Button „Auswählen…“ vor. 

• Der Algorithmus bleibt auf 3DES eingestellt.

� Bestätigen Sie die Einstellungen mit OK 

Wenn Sie automatisch signieren und verschlüsseln möchten, dann können Sie dies unter 

Extras - Optionen - Sicherheit einstellen. 

199

200 

Hinweis: Die nachfolgend beschriebenen Einstellungen sind nicht zwingend notwendig. Sie 

sollten diese Einstellungen nur in dem Fall nochmal prüfen, falls der Empfänger Ihre Mail 

nicht lesen kann. 

• Unter Extras - Optionen - Lesen klicken Sie auf Schriftarten. 

• Dort stellen Sie einen 7 Bit Code ein. Zum Beispiel wählen Sie oben aus der Liste 

Unicode und unten bei der Codierung UTF-7. 

• Dann klicken Sie auf den Button Als Standard, um diese Codierung als Standard 

einzustellen. 

Sie können aber auch jede Nachricht einzeln signieren und/oder verschlüsseln. 

Microsoft Outlook 

Bei Microsoft Outlook müssen Sie erst das Signaturzertifikat und das 

Verschlüsselungszertifikat auswählen. 

• Unter Extras - Optionen - Sicherheit gibt es den Bereich e-Mail sichern. 

• Klicken Sie hier auf Einstellungen... 

• Wählen Sie unter Bevorzugte Sicherheitseinstellungen: das Sicherheitsformat für 

Nachrichten: S/MIME.

• Wählen Sie unter Zertifikate und Algorithmen folgende Einstellungen: 

• Signaturzertifikat: Ihr e-Mail Signaturzertifikat 

• Hashalgorithmus: SHA1 

• Verschlüsselungszertifikat: Ihr e-Mail Verschlüsselungszertifikat 

• Verschlüsselungsalgorithmus: 3DES 

• "Signierten Nachrichten diese Zertifikate hinzufügen" aktivieren. 

• Klicken Sie auf OK. 

Unter dem Tab Sicherheit können Sie die automatische Signatur und Verschlüsselung von 

Nachrichten einstellen. Dies ist aber für jede e-Mail auch einzeln möglich. 

201

202

Signieren und Verschlüsseln 

In Outlook oder Outlook Express haben Sie unter Extras - Optionen - Sicherheit die 

Möglichkeit, die Sicherheitseinstellungen für alle e-Mails einzustellen. Wenn Sie bei jeder e- 

Mail selbst entscheiden möchten, ob diese verschlüsselt und/oder signiert werden soll, wird 

dies im e-Mail Fenster eingestellt. 

Wenn Sie mehrere e-Mail Konten eingerichtet haben, müssen Sie über das Konto mit der e- 

Mailadresse senden, die in Ihrem Zertifikat enthalten ist. Outlook überprüft die Angaben und 

falls diese nicht übereinstimmen, kann keine Signatur erzeugt werden. 

Outlook Express/Outlook 2003 

Bei Outlook Express können Sie direkt im e-Mail Fenster auf den Button Signieren oder 

Verschlüsseln klicken und anschließend auf Senden. Nach Eingabe der PIN ist die e-Mail 

signiert. 

Outlook 2000 

Unter Outlook 2000 müssen Sie zum Signieren und Verschlüsseln im e-Mail Fenster auf 

Optionen klicken und dort die entsprechenden Kästchen anhaken. 

Outlook XP 

Klicken Sie im e-Mail Fenster auf Optionen, oben rechts auf Sicherheitseinstellungen und 

dann die Kästchen Signieren und Verschlüsseln anhaken. 

Signatur und Klartext senden 

Wenn Sie die Signatur und den Klartext separat senden (detached signature), können auch 

die Empfänger Ihre e-Mail lesen, deren Client signierte Nachrichten nicht unterstützen (z.B. 

AOL). Einige können auch die Signatur prüfen (z.B. T-Online). 

• In Outlook Express finden Sie die Einstellung unter 

Extras/Optionen/Sicherheit/Button "Erweitert". Dort sollte kein Häkchen unter 

"Nachricht vor dem Signieren verschlüsseln (PKCS#7)" gesetzt sein. Um jedoch eine 

e-Mail ohne Klartext zu senden, muss dieses Häkchen wieder gesetzt werden. 

• In Outlook finden Sie die Einstellung unter Extras/Optionen/Sicherheit. Dort sollte ein 

Häkchen für "Signierte Nachrichten als Klartext senden" gesetzt sein. 

Um e-Mails verschlüsseln zu können, müssen die Zertifikate der Empfänger in die 

dazugehörigen Kontakte integriert sein. 

203

204 

Verschlüsselungszertifikate in Kontakt integrieren 

Um für eine bestimmte Person zu verschlüsseln, muss das Zertifikat (digitale ID) der 

Kontaktperson in Ihrem System installiert sein. Dazu lassen Sie sich eine signierte e-Mail 

von Ihrem Kommunikationspartner schicken. 

So integrieren Sie ein Verschlüsselungszertifikat (digitale ID) in einem Kontakt 

Outlook 

• Öffnen Sie die signierte e-Mail 

• Klicken Sie mit der rechten Maustaste auf den Namen des Absenders Von: Mailadresse 

• Wählen Sie Zu den Kontakten hinzufügen aus. 

• im Register Zertifikate können Sie sich das Zertifikat ansehen 

• klicken Sie auf den Button Speichern und Schliessen, damit das Zertifikat dem Kontakt 

hinzugefügt wird. 

Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. 

Bei einem neuen Kontakt wird dieser automatisch angelegt. Ab diesem Zeitpunkt können e- 

Mails für den Empfänger verschlüsselt werden.

205

206 

Outlook Express 

• Öffnen Sie die signierte e-Mail 

• Klicken Sie mit der rechten Maustaste auf den Namen des Absenders. 

• Wählen Sie Zum Adressbuch hinzufügen aus. 

Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. 

Bei einem neuen Kontakt wird dieser angelegt. Ab diesem Zeitpunkt können e-Mails für den 

Empfänger verschlüsselt werden.

Mozilla / Netscape Mail 

Mozilla Mail ist ein Programm der Mozilla Foundation und wird gebündelt mit dem Mozilla 

Browser angeboten. 

Netscape ist eine Mozilla Distribution, die sich grundsätzlich nur in der Oberfläche von 

Mozilla unterscheidet. Da sich mit der deutsche Version von Mozilla einige wichtige 

Funktionen nicht richtig darstellen lassen, wurde für diese Dokumentation Netscape 7.1 

verwendet. 

Falls Sie eine deutsche Version von Mozilla verwenden, besteht die Möglichkeit, dass einige 

Texte oder Button nicht oder nur unvollständig dargestellt werden. 

Zudem kommt es vor, dass sich Mozilla und Netscape in der Benennung von Button und 

Kapitel zum Teil unterscheiden. 

In diesem Kapitel wird der Umgang mit Mozilla 1.6 bzw. Netscape 7.1 erklärt. 

207

208 

Mozilla / Netscape Mail Client Sicherheitseinstellungen 

� Starten Sie zunächst Netscape Mail: Start - Programme - Netscape 7.1 - eMail & 

Diskussionsforen 

Sollten Sie Netscape Mail zum ersten Mal starten, so wird das Programm Ihnen mit einem 

Assistenten beim Einrichten eines E-Mail Kontos behilflich sein. Um e-Mails signieren 

/verschlüsseln zu können, muss unbedingt ein Mailkonto für die Mailadresse eingerichtet 

sein, die auch in Ihrem Zertifikat enthalten ist (siehe gelbes 

Chipsymbol/Eigenschaften/Zertifikate). 

Hinweis: Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser 

ordnungsgemäss installiert ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die 

notwendigen Zertifikate auf Ihrer Karte befinden. 

� Klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen, um das folgende Fenster 

zu öffnen.

Kryptographie Modul installieren 

� Wählen Sie aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate 

� Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten... 

Jetzt öffnet sich das Fenster des Geräte-Managers, in dem alle geladenen 

Sicherheitsmodule zu sehen sind. 

209

210 

• Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11-Modul zu 

installieren. 

• Geben Sie dem Modul zunächst einen Namen, z.B. OPENLiMiT SignCubes PKCS#11- 

Modul, und klicken Sie dann auf Durchsuchen... 

� Navigieren Sie nun zum SignCubes Programm-Verzeichnis (Standard: 

C:\Programme\OPENLiMiT), wählen Sie dort die Datei siqp11.dll aus, und klicken Sie 

auf Öffnen.

• Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses 

Modul installieren wollen, nochmals mit OK. 

• Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls 

mit OK. 

Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OPENLiMiT 

SignCubes 2.1 Software. 

211

212 

� Schliessen Sie den Geräte-Manager mit einem Klick auf OK, um weitere Einstellungen 

vornehmen zu können. 

Das Mozilla/Netscape Einstellungsfenster sollte noch geöffnet und die Kategorie Zertifikate 

zu sehen sein. 

� Klicken Sie auf den Button Zertifikate verwalten, um den Zertifikat-Manager zu öffnen 

und die Vertrauenswürdigkeit für die Zertifikate einzustellen. 

Der Zertifikat-Manager übernimmt die Verwaltung von Zertifikaten. Unter dem Register Ihre 

Zertifikate werden die Zertifikate angezeigt, welche auf Ihrer Karte gespeichert sind. 

� Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck 

"Aussteller nicht verrauenswürdig" oder "Aussteller unbekannt" beinhaltet und 

klicken Sie auf Anzeigen.

• Mozilla/Netscape bringt die Meldung "Zertifikat konnte aus unbekannten Gründen 

nicht zugelassen werden." Der Inhalt dieser Meldung ist abhängig von dem jeweiligen 

Zertifikat. 

• Unter Ausgestellt von finden Sie den Herausgeber Ihres Zertifikats, für den Sie die 

Vertrauenswürdigkeit einstellen müssen. Vermerken Sie sich diese Information und 

schliessen Sie das Fenster. 

• Klicken Sie auf den Reiter Aussteller und markieren Sie Ihren Zertifikatsaussteller. 

• Klicken Sie nun den Aussteller Ihres Zertifikats an. 

213

214 

Über den Button Bearbeiten in dem Fenster Vertrauenseinstellungen für.. sollten Sie 

mindestens für den 2. Punkt ein Häkchen setzen. 

Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen 

importieren. 

Klicken Sie dazu auf den Button Importieren, wählen Sie unter 

C:\Programme\OPENLiMiT\Data\CRLs den entsprechenden Aussteller aus, z.B. für die 

OPENLiMiT CA wählen Sie "OPENLiMiT", markieren Sie die Datei OPENLiMiT_CA.cer und 

klicken Sie auf Öffnen. 

Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordner des Programmverzeichnisses 

finden, müssen Sie sich das Zertifikat des Zertifikatsherausgebers direkt downloaden und 

installieren. In den meisten Fällen finden Sie diese Daten auf den jeweiligen Internetseiten. 

Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.

Jetzt vertrauen Sie dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate 

wird für Ihr Zertifikat "Unterzeichnen, Unterschrift oder Verschlüsseln" angezeigt. 

Nach dem Sie diese Einstellungen vorgenommen haben, erscheint in dem folgenden 

Fenster die Meldung, für welchen Verwendungszweck das Zertifikat verifiziert wurde. 

215

216 

• Schliessen Sie den Zertifikats-Manager und das Einstellungsfenster. 

Zertifikate für die Signatur und Verschlüsselung auswählen 

• Klicken Sie in der Menüleiste nun auf Bearbeiten - eMail und Diskussionsforen-Konto- 

Einstellungen... 

• Wählen Sie jetzt im linken Bereich des Fensters unter Ihrem Mailkonto (muss die 

Mailadresse enthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu der 

folgenden Ansicht zu gelangen.

An dieser Stelle legen Sie fest, welche Zertifikate zur Signatur und Verschlüsselung 

verwendet werden sollen. 

� Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen. 

Mozilla / Netscape schlägt Ihnen an dieser Stelle für die Signatur von E-Mails automatisch 

ein Zertifikat vor. 

� Klicken Sie auf OK. 

Nun öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche 

Zertifikat zum Ver- und Entschlüsseln verwenden wollen. Bestätigen Sie mit OK. 

217

218 

Anschließend solten Sie überprüfen, ob das übernommene Zertifikat für die Verschlüsselung 

geeignet ist. Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen 

an. Für den Zweck sollte mindestens "Verschlüsseln" angezeigt werden. 

• Klicken Sie nun auf OK. Damit wird Ihnen erneut das Fenster mit der Rubrik "Sicherheit" 

angezeigt. 

• Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn 

Sie Ihre E-Mails generell signieren wollen. 

• Wählen Sie, ob Sie Ihre E-Mails verschlüsselt oder unverschlüsselt versenden wollen. 

Sie können diese Einstellung beim Erstellen einer E-Mail immer noch ändern.

Sie haben alle Sicherheitseinstellungen für Mozilla/Netscape vorgenommen und können das 

Fenster mit OK schließen. 

219

220 

Arbeiten mit Mozilla / Netscape Mail 

E-Mails signieren und verschlüsseln 

• Starten Sie zunächst Mozilla/Netscape Mail und verfassen Sie eine neue E-Mail. 

• Klicken Sie jetzt auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für 

die E-Mail nochmals zu prüfen und gegebenenfalls zu ändern. 

Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für 

denjenigen eine E-Mail verschlüsseln zu können. 

Empfangen von signierten und verschlüsselten E-Mails 

Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.

• Klicken Sie auf das Stift-Symbol, um die Details der Signatur zu prüfen. 

Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN 

aufgefordert, bevor Sie die Nachricht lesen können. Verschlüsselte Nachrichten sind mit 

einem Schlüssel-Symbol gekennzeichnet. 

221

222 

• Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen. 

So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Personen in den 

Zertifikat-Manager: 

Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, brauchen Sie 

den öffentlichen Schlüssel dieser Person. 

Variante 1: 

• Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail. 

• Wenn Sie die E-Mail öffnen, integriert Mozilla /Netscape Mail das mitgesendete Zertifikat 

automatisch in den Zertifikat-Manager unter Andere Personen. 

Variante 2:

• Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem 

Verschlüsselungszertifikat als Anhang. Informationen zum Export eines 

Verschlüsselungszertifikats finden Sie in dem Abschnitt Verschlüsselungszertifikat 

exportieren. 

• Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab, 

• Importieren Sie diese dann in dem Zertifikat-Manager unter Zertifikate anderer 

Personen. 

• Wählen Sie dazu: Bearbeiten - Einstellungen - Privatsphäre & Sicherheit - Zertifikate 

• Klicken Sie auf Zertifikate verwalten. 

• Wählen Sie im Zertifikat-Manager den Register Andere Personen aus. 

• Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei (*.cer Datei) 

aus, die Sie auf Ihrem Computer abgespeichert haben. 

Das Zertifikat ist im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für diese Person 


Beachten Sie, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer 

bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine 

andere E-Mail Adresse der gleichen Person senden. 

223

224 

Mozilla Thunderbird 

Mozilla Thunderbird ist ein E-Mail Programm der Mozilla Foundation. Es bietet alle 

Funktionen eines modernen E-Mail Programms und kann mit PKCS#11 Modulen umgehen. 

Benutzern von Microsoft Outlook wird die Bedienung von Thunderbird leichtfallen, da viele 

der gängigsten Funktionen ähnlich sind. 

In diesem Kapitel wird der Umgang mit Thunderbird 1.0.2 beschrieben. Sollten Sie eine 

andere Version von Thunderbird verwenden, so kann es zu Abweichungen mit den hier 

aufgeführten Abläufen kommen.

Thunderbird Sicherheitseinstellungen 

• Starten Sie zunächst Thunderbird. Sollten Sie Thunderbird zum ersten Mal starten, so 

wird Ihnen das Programm mit einem Assistenten beim Einrichten eines E-Mail Kontos 

behilflich sein. 

Um E-Mails signieren /verschlüsseln zu können, muss unbedingt ein Mailkonto für die 

Mailadresse eingerichtet sein, die auch in Ihrem Zertifikat enthalten ist (siehe gelbes 

Chipsymbol/Eigenschaften/Zertifikate). 

Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser ordnungsgemäss 

installiert ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen 

Zertifikate auf Ihrer Karte befinden. 

� Klicken Sie in der Menüleiste Extras - Einstellungen an, um das folgende Fenster zu 

öffnen. 

� Wählen Sie Erweitert aus und scrollen Sie den Balken rechts im Fenster zum Abschnitt 

Zertifikate. 

225

226 

Kryptographie-Modul installieren 

� Klicken Sie auf den Button Kryptographie-Module. 

Jetzt öffnet sich Thunderbird's Kryptographie-Modul-Manager mit einer Ansicht aller 

bereits geladener Komponenten. 

� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu 

installieren.

� Geben Sie dem Modul zunächst einen Namen, z.B. OPENLiMiT SignCubes PKCS#11 


� Navigieren Sie nun zum SignCubes Installations-Verzeichnis (Standard: 

C:\Programme\OPENLiMiT), wählen Sie dort die Datei siqp11.dll aus und klicken Sie 

auf Öffnen. 

227

228 

• Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses 

Modul installieren wollen, nochmals mit OK. 

• Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls 

mit OK. 

Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OPENLiMiT 

SignCubes 2.1 Software. 

� Schließen Sie nun den Kryptographie-Modul-Manager mit einem Klick auf OK, um 

weitere Einstellungen vorzunehmen.

Das Thunderbird Einstellungsfenster sollte noch geöffnet und der Abschnitt Zertifikate zu 

sehen sein. 

� Klicken Sie auf den Button Zertifikate, um den Thunderbird-Zertifikat-Manager zu 

öffnen. 

Der Zertifikat-Manager übernimmt die Verwaltung der Zertifikate. Unter dem Register Ihre 

Zertifikate sind die Zertifikate zu sehen, die sich auf Ihrer Karte befinden. 

229

230 

• Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck 

"Aussteller nicht vertrauenswürdig" oder "Herausgeber unbekannt" anzeigt. 

• Klicken Sie auf Ansicht.

Thunderbird bringt standardmäßig die Ausschrift "Dieses Zertifikat konnte aus 

unbekannten Gründen nicht verifiziert werden." Diese Meldung ist zertifikatsabhängig 

und kann im Einzelfall abweichen. 

• Unter Herausgegeben für finden Sie den Herausgeber Ihres Zertifikats. Vermerken Sie 

sich bitte diese Information und schließen Sie das Fenster. 

• Klicken Sie das Register "Zertifizierungsstellen" an und markieren Sie Ihren 

Zertifikatsaussteller. 

231

232 

Über den Button Bearbeiten sollten Sie in dem Fenster "Vertrauenseinstellungen" 

mindestens für den 2. Punkt ein Häkchen setzen. 

• 

Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen 

importieren. 

• Klicken Sie dazu auf den Button Importieren, 

• wählen Sie unter C:\Programme\OPENLiMiT\Data\CRLs den entsprechenden Aussteller 

aus, z.B. für die OPENLiMiT CA wählen Sie den Ordner "OPENLiMiT", 

• markieren Sie die Datei "OPENLiMiT _CA.cer" und klicken Sie auf Öffnen. 

Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordern des Programmverzeichnisses 

finden, müssen Sie sich das Zertifikat direkt von dem Zertfikatsaussteller (im Regelfall per 

die Web-Seite) downloaden. 

Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.

Sie sollten mindestens für den 2. Punkt ein Häkchen setzen. Jetzt vertrauen Sie dem 

Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr Zertifikat 

"Unterzeichnen, Unterschrift oder Verschlüsseln" angezeigt. 

� Wählen Sie erneut das Register Ihre Zertifikate aus. 

� Klicken Sie auf Ansicht, um weitere Detailinformationen zu erhalten. 

Wenn alle Einstellungen korrekt ausgeführt wurden, sehen Sie folgendes Fenster, in dem 

Ihnen mitgeteilt wird, für welchen Verwendungszweck das Zertifikat verifiziert wurde. 

233

234 

� Klicken Sie auf Schließen. Anschließend können Sie auch den Zertifikat-Manager und 

das Einstellungs-Fenster schließen.

Zertifikate für die Signatur und Verschlüsselung auswählen 

• Klicken Sie in der Menüleiste auf Extras - Konten. 

• Wählen Sie im linken Bereich des Fensters unter Ihrem Mailkonto (muss die 

Mailadresse enthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu 

folgender Ansicht zu gelangen. 

• Legen Sie fest, welche Zertifikate für die Signatur und Verschlüsselung verwendet 

werden sollen. 

• Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen. 

235

236 

Thunderbird schlägt Ihnen an dieser Stelle automatisch ein Zertifikat für die Signatur von E- 

Mails vor. 

� Klicken Sie nun auf OK. 

Es öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche 

Zertifikat zum Ver- und Entschlüsseln verwenden wollen. 

� Klicken Sie hier auf OK. 

Sie sollten überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist. 

� Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen an. Für den 

Zweck sollte mindestens "Verschlüsseln" angezeigt werden. 

• Klicken Sie auf OK. Anschließend erscheint wieder das Fenster mit der Rubrik 

"Sicherheit"

• Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn 

Sie Ihre E-Mails generell signieren wollen. 

• Wählen Sie, ob Sie Ihre E-Mails standardmäßig verschlüsselt oder unverschlüsselt 

versenden wollen. 

Sie können diese Einstellungen beim Erstellen einer E-Mail immer noch ändern. 

Sie haben alle Sicherheitseinstellungen für Thunderbird vorgenommen und können das 

Fenster mit OK schließen. 

237

238 

Arbeiten mit Thunderbird 

Bevor Sie die hier beschriebenen Abläufe ausführen können, müssen Sie das E-Mail 

Programm konfigurieren. Lesen Sie dazu das Kapitel Thunderbird 

Sicherheitseinstellungen. 

E-Mails signieren und verschlüsseln 

• Starten Sie Thunderbird und verfassen Sie eine neue E-Mail. 

• Klicken Sie auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E- 

Mail nochmals zu prüfen und gegebenenfalls zu ändern. 

Beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für 

denjenigen eine E-Mail verschlüsseln zu können. 

Empfangen von signierten und verschlüsselten E-Mails 

Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.

� Klicken Sie auf das Stift-Symbol, um die Signatur der E-Mail zu prüfen. 

� Mit einem Klick auf Unterschriftszertifikat ansehen, können Sie sich die Details zum 

Zertifikat anzeigen lassen. 

Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN 

aufgefordert, bevor Sie die Nachricht lesen können. Verschlüsselte Nachrichten sind mit 

einem Schlüssel-Symbol gekennzeichnet. 

239

240 

� Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen. 

So integrieren Sie den öffentlichen Schlüssel von Zetrifikaten anderer Person in den 

Zertifikat-Manager: 

Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, benötigen Sie 

den öffentlichen Schlüssel des Empfängers. 

Variante 1: 

• Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail. 

• Wenn Sie die E-Mail öffnen, integriert Thunderbird das mitgesendete Zertifikat 

automatisch in den Zertifikat-Manager unter Zertifikate anderer Personen.

Variante 2: 

• Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem 

Verschlüsselungszertifikat als Anhang. Weitere Informationen zu dem Export von 

Verschlüsselungszertifikaten finden Sie in dem Abschnitt Verschlüsselungszertifikat 

exportieren. 

• Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab, 

• Importieren Sie diese dann in den Zertifikat-Manager unter Zertifikate anderer 

Personen. 

• Wählen Sie dazu: Extras - Einstellungen - Erweitert - Zertifikate 

• Wählen Sie dann im Zertifikat-Manager den Register Zertifikate anderer Personen 

aus. 

• Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie 

auf Ihrem Computer abgespeichert haben. 

Das Zertifikat ist jetzt im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für die 

Person, der dieses Zertifikat gehört, verschlüsseln. 

Beachten Sie bitte, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit 

einer bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine 

andere E-Mail Adresse der gleichen Person senden. 

241

242 

Lotus Notes 

Lotus Notes ist ein E-Mail Programm, welches sehr umfassende Funktionen bietet. Hier 

werden nur die Funktionen beschrieben, welche in direkter Verbindung mit dem Empfangen 

und Versenden von signierten und verschlüsselten E-Mails stehen. 

Die hier beschriebenen Abläufe beziehen sich auf die Software Lotus Notes 6.5, Version 

6.5.4 Deutsch. Bitte beachten Sie, dass frühere Versionen (z.B. Lotus Notes 6.5.3 Deutsch) 

nicht ausreichend lokalisiert sind und daher manche Funktionen (z.B. Internet-Zertifikate von 

Smartcard importieren) nicht möglich sind. Dies hat zur Folge, dass die Vorgängerversionen 

nicht ohne weiteres für die hier beschriebenen Abläufe zu verwenden sind. 

Sollten Sie eine ältere Version von Lotus Notes 6.5 oder Lotus Notes 6 verwenden, so kann 

es hilfreich sein, erst ein Update auf die oben genannte Version zu installieren, bevor Sie 

versuchen, die hier beschriebenen Abläufe nachzuvollziehen.

Lotus Notes 6.5.4 Sicherheitseinstellungen 

Voraussetzung für die Sicherheitseinstellungen in Lotus Notes 

Bevor Sie die hier beschriebenen Einstellungen vornehmen können, müssen folgende 

Voraussetzungen erfüllt sein: 

• Ihr E-Mail Konto muss ordnungsgemäß eingerichtet sein, 

• die OPENLiMiT SignCubes 2.1 Software und der Kartenleser müssen installiert sein, 

• OPENLiMiT SignCubes 2.1 ist gestartet, 

• die Karte befindet sich im Kartenleser und wurde erkannt. 

Installieren des PKCS#11 Treibers 

Damit Lotus Notes mit den Zertifikaten auf Ihrer Smartcard arbeiten kann, muss zunächst 

der PKCS#11 Treiber in Lotus Notes installiert werden. 

� Wählen Sie zunächst Datei - Sicherheit - Benutzersicherheit... 

• Klicken Sie auf Ihre Identität im linken Bereich des Fensters. 

• Wählen Sie anschließend Ihre Smartcard. 

243

244 

Jetzt öffnet sich ein Fenster zur Smartcard Konfiguration. 

� Klicken Sie nun auf das Ordner-Symbol, um eine Smartcard-Treiberdatei zu installieren. 

Daraufhin öffnet sich ein Fenster zum Auswählen des Smartcard Treibers. 

• Navigieren Sie nun zu dem SignCubes Programmverzeichnis (Standard: 

C:\Programme\ OPENLiMiT) und wählen die Datei siqp11.dll aus. 

• Klicken Sie auf Öffnen, um den Treiber zu installieren.

Daraufhin wird das Fenster zur Smartcard Konfiguration dargestellt, in welchem Sie jetzt 

den installierten Treiber sehen. 

� Klicken Sie auf Fortfahren..., um die Installation abzuschließen. 

Installation Ihres Signatur-Zertifikats 

Damit Sie das auf Ihrer Smartcard gespeicherte Signaturzertifikat zum Signieren von E-Mails 

in Lotus Notes nutzen können, müssen Sie dieses zunächst installieren. 

• Wählen Sie Ihre Zertifikate in dem linken Bereich des Fensters aus. 

• Klicken Sie dann auf den Button Zertifikate abrufen... und wählen Sie aus dem Menü 

den Punkt Internet-Zertifikat von einer Smartcard importieren. 

245

246 

Hinweis: Wenn Sie eine ältere deutsche Version von Lotus Notes 6.5 oder 6 (z.B. Lotus 

Notes 6.5.3 Deutsch) verwenden ist diese Schaltfläche gegraut und Sie können somit keine 

Smartcard Zertifikate importieren. Installieren Sie in diesem Fall ein Update auf Lotus Notes 

6.5.4. 

Wenn die Zertifikate erfolgreich importiert wurden, erscheint folgende Meldung. 

� Wählen Sie nun Ihre Internet-Zertifikate aus dem Menü. 

Jetzt werden die von der Smartcard importierten Zertifikate angezeigt werden. 

Wenn Ihr Zertifikat nicht angezeigt wird, sollten Sie Lotus Notes beenden, neu starten und 

dann zu diesem Dialog zurückkehren (Datei - Sicherheit - Benutzersicherheit- Ihre 

Identität - Ihre Zertifikate - Menü: Ihre Internet-Zertifikate).

247

248 

Arbeiten mit Lotus Notes 6.5.4 

Bevor Sie damit beginnen können, mit Lotus Notes 6.5.4 signierte oder verschlüsselte E- 

Mails zu versenden oder zu empfangen, stellen Sie sicher, dass das Programm 

ordnungsgemäss konfiguriert ist. Lesen Sie dazu das Kapitel Lotus Notes 6.5.4 


Versenden einer signierten E-Mail 

• Erstellen Sie zunächst ein neues Memo. 

• Klicken Sie dann auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für 

Signieren. 

• Klicken Sie auf OK, um die Einstellungen zu speichern. 

• Jetzt können Sie die E-Mail senden. 

Sie werden dazu aufgefordert, eine Signatur zu erzeugen. Weitere Informationen dazu 

finden Sie in dem Abschnitt Signieren. 

So integrieren Sie den öffentlichen Schlüssel des Zertifikats einer anderen Person in 

Lotus Notes: 

• Die Person, für die Sie verschlüsseln wollen muss Ihnen dazu eine signierte E-Mail 

senden. 

• Öffnen Sie die E-Mail, klicken Sie dann auf den Button Werkzeuge und wählen Sie im 

Menü Absender in Adressbuch aufnehmen aus.

Es öffnet sich ein Fenster, zur Aufnahme der Daten in das Adressbuch. 

• Wählen Sie jetzt das Register Erweitert aus, und aktivieren Sie die Option 

Gegebenenfalls x.509-Zertifikate aufnehmen. 

• Klicken Sie OK, um die Daten zu speichern. 

249

250 

Versenden einer verschlüsselten E-Mail 

Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für 

denjenigen verschlüsseln zu können. 

• Erstellen Sie zunächst ein neues Memo. 

• Klicken Sie auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für 

Verschlüsseln. 

• Klicken Sie dann auf OK, um die Einstellungen zu speichern.

• Jetzt können Sie Ihre verschlüsselte E-Mail versenden. 

Lotus Notes 5 

Zur Verwendung Ihrer Smartcard unter Lotus Notes 5 wird ein PKCS#11 Treiber benötigt. 

Dieser wird unter Lotus Notes 5 über Trusted Mime eingebunden. Dazu muss Trusted Mime 

auf dem Rechner installiert sein. Um genaue Informationen zu erhalten, wie Sie den 

PKCS#11 Treiber in Trusted Mime richtig einbinden, informieren Sie sich bitte in der Trusted 

Mime Dokumentation. 

Der PKCS#11 Treiber befindet sich im Installationsverzeichnis der OPENLiMiT SignCubes 

2.1 Software ( Standard: C:\Programme\ OPENLiMiT\siqp11.dll ) 

Weitere Informationen finden Sie in dem Abschnitt Arbeiten mit Lotus Notes 6.5.4. 

251

252 

SSL Authentisierung 

Mit den Modulen der OPENLiMiT SignCubes Software sind Sie in der Lage, sich an einer 

Webseite welche SSL Authentisierung verwendet, anzumelden. Diese Aufgabe wird je nach 

Verwendung des Web-Browsers vom CSP oder vom PKCS#11 Treiber übernommen.

Über SSL: 

Secure Sockets Layer (SSL) ist ein Verschlüsselungsprotokoll für Datenübertragung im 

Internet. Wenn eine Verbindung zu einer Webseite über SSL hergestellt wird, geschieht dies 

in etwa so: 

• Zunächst sendet der Client (Web-Browser mit dem Sie arbeiten) eine 

Verbindungsanfrage an den Server (dort ist die Webseite, die Sie besuchen wollen). 

• Daraufhin antwortet der Server und sendet ein Zertifikat. 

• Indem Sie bestätigen, dass Sie dem Zertifikat des Servers vertrauen, ermöglichen Sie 

Ihren Web-Browser die Verbindung zum Server herzustellen. (Dieser Schritt wird unter 

Umständen automatisch durchgeführt, z.B. dann, wenn das Server-Zertifikat von Ihrem 

Web-Browser bereits als vertrauenswürdig eingestuft wird.) 

• Eventuell will der Server aber auch wissen ob, Sie die Person sind, für die Sie sich 

ausgeben und sendet eine entsprechende Anfrage an Ihren Web-Browser (Bidiretionelle 

SSL Authentifizierung). 

• Jetzt müssen Sie sich dem Server gegenüber identifizieren, indem Sie die Anfrage des 

Servers signieren. Dabei kommen die Module der Software zum Einsatz. 

• Nun ist eine sichere Verbindung über SSL hergestellt. 

Wenn Sie mehr über SSL wissen wollen, lesen Sie unter 

http://de.wikipedia.org/wiki/Secure_Sockets_Layer nach. 

Die folgenden Web-Browser werden für die SSL Authentisierung von OPENLiMiT SignCubes 

2.1 unterstützt: 

• Internet Explorer ab Version 6 

• Mozilla ab Version 1.6 (entspricht Netscape ab Version 7.1) 

• Firefox ab Version 1.0.4 

Der Internet Explorer nutzt dazu den Cryptographic Service Provider (CSP). Firefox und 

Mozilla / Netscape hingegen verwenden den PKCS#11 Treiber. Firefox und Mozilla / 

Netscape müssen daher richtig konfiguriert werden, bevor die SSL Authentisierung gestartet 

werden kann. Wenn Sie mit Firefox oder Mozilla / Netscape arbeiten, lesen Sie deshalb bitte 

die Kapitel Firefox Browser Sicherheitseinstellungen bzw. Mozilla / Netscape Browser 


253

254 

Internet Explorer 

Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, 

müssen Sie Ihre Karte in den Leser stecken und warten bis diese erkannt wurde 

(Chipsymbol ist gelb). 

Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie 

eine SSL Verschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie 

sich dem Server gegenüber nicht identifizieren. Zudem sendet der Server nicht unbedingt ein 

Zertifikat an Sie. Es wird zwar eine sichere Verbindung hergestellt, jedoch ist es möglich, 

dass Sie die Daten, die Sie übermitteln nicht an die Stelle senden, an die Sie diese zu 

senden glauben. 

Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden 

werden. 

Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung 

Wenn Sie mit Internet Explorer eine Webseite aufsuchen, die SSL Authentisierung 

verwendet, wird eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die 

sichere Webseite anzeigen wollen. 

• Bestätigen Sie den Dialog mit Ja, um fortzufahren. 

• Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite 

angezeigt. Lesen Sie diese aufmerksam durch und lassen Sie sich das Zertifikat 

anzeigen. Um den Vorgang fortzusetzen, müssen Sie diesem Zertifikat vertrauen und mit 

Ja bestätigen. 

Warten Sie nun einen Moment, bis sich der Signaturanforderungsdialog der OPENLiMiT 

SignCubes 2.1 Software öffnet. 

� Klicken Sie jetzt auf Signatur erzeugen und geben Sie Ihre globale PIN ein. Damit 

identifizieren Sie sich gegenüber dem Server.

Die Verbindung zur Webseite wird hergestellt. Alle Daten, die nun zwischen Ihnen und der 

Webseite ausgetauscht werden, werden über eine sichere Verbindung geschickt. 

255

256 

Mozilla Firefox Browser Sicherheitseinstellungen 

Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so 

konfigurieren, dass dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten 

umgehen kann. 

Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser richtig installiert 

ist, Ihre Karte sich in diesem befindet, erkannt wurde und die notwendigen Zertifikate sich 

auf Ihrer Karte befinden. 

� Öffnen Sie den Web-Browser und klicken Sie dann in der Menüleiste auf Extras - 

Einstellungen. 


� Wählen Sie nun aus der Spalte links im Fenster Erweitert und scrollen Sie dann im 

rechten Teil des Fensters bis zum Abschnitt Zertifikate. 

� Klicken Sie jetzt auf Kryptographie-Module verwalten... 

Es öffnet sich der Kryptographie-Modul-Manager mit einer Ansicht der bereits aktiven 

Komponenten.

• Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches 

zum Umgang mit Ihrer Karte notwendig ist, zu installieren. 

• Geben Sie dem Modul zunächst einen Namen, z.B. OPENLiMiT SignCubes PKCS#11 


Navigieren Sie zum SignCubes Installations-Verzeichnis (Standard: C:\Programme\ 

OPENLiMiT), wählen Sie dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen. 

257

258 

� Klicken Sie nun auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie 

dieses Modul installieren wollen, bestätigen Sie dies mit OK. 

Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul. 


Jetzt ist Firefox richtig konfiguriert.

Mozilla Firefox SSL Authentisierung 


müssen Sie Ihre Karte in den Leser stecken und warten, bis diese erkannt wurde (gelbes 

Chipsymbol). 








werden. 


Wenn Sie mit Firefox eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird 

eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite 

anzeigen wollen. 

� Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite 




Sie können das Zertifikat temporär oder für immer akzeptieren. Wenn Sie das Zertifikat für 

immer akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der 

Webseite nicht mehr angezeigt. 

Es wird der Signaturanforderungsdialog der OPENLiMiT SignCubes 2.1 Software geöffnet. 

• Klicken Sie jetzt auf Signatur erzeugen 

• Geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit identifizieren Sie sich gegenüber 

dem Server. 

259

260 

Es wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der 

Webseite ausgetauscht werden, werden über eine sichere Verbindung geschickt.

Mozilla / Netscape Browser Sicherheitseinstellungen 

Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so 

konfigurieren, dass dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten 

umgehen kann. 

Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser richtig installiert 

ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate 

auf Ihrer Karte befinden. 

� Öffnen Sie den Web-Browser und klicken Sie in der Menüleiste auf Bearbeiten - 

Einstellungen. 


� Wählen Sie nun aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate 

� Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten... 

Jetzt öffnet sich ein Fenster in dem bereits geladene Sicherheitsmodule angezeigt werden. 

261

262 

• Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches 

zum Umgang mit Ihrer Karte notwendig ist, zu installieren. 

• Geben Sie dem Modul zunächst einen Namen, z.B. "OPENLiMiT SignCubes PKCS#11 

Modul" und klicken Sie auf Durchsuchen... 

Navigieren Sie zum OPENLiMiT SignCubes Installations-Verzeichnis (Standard: 

C:\Programme\ OPENLiMiT), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf 

Öffnen.

� Klicken Sie auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses 

Modul installieren wollen, bestätigen Sie dies mit OK. 

Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul. 


Jetzt ist Mozilla /Netscape richtig konfiguriert. 

263

264 

Mozilla / Netscape SSL Authentisierung 


müssen Sie Ihre Karte in den Leser stecken und warten, bis sie erkannt wurde (gelbes 

Chipsymbol). 








werden. 


Wenn Sie mit Mozilla / Netscape eine Webseite aufsuchen, die SSL Authentisierung 

verwendet, wird eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die 

sichere Webseite anzeigen wollen. 

� Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteurtern Webseite 




Sie können das Zertifikat temporär oder dauerhaft akzeptieren. Wenn Sie das Zertifikat 

dauerhaft akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch 

der Webseite nicht mehr angezeigt. 

Es öffnet sich der Signaturanforderungsdialog der OPENLiMiT SignCubes 2.1 Software. 

• Klicken Sie auf Signatur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein. 

Damit identifizieren Sie sich gegenüber dem Server.

Jetzt wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und 

der Webseite ausgetauscht werden, werden über eine sichere Verbindung geschickt. 

265

266 

Erste Hilfe 

In diesem Kapitel wird der Umgang mit Fehlermeldungen des Produktes beschrieben. In den 

folgenden Auflistungen finden Sie mögliche Fehler, deren Ursache und wie Sie als Benutzer 

auf diese Fehler reagieren können oder müssen.

Wie gehe ich mit Fehlermeldungen um? 

Im Idealfall läuft das Produkt auf Ihrem Rechner so, dass Sie nie eine Fehlermeldung sehen. 

Da aber das Produkt Sicherheitskomponenten (siehe "Sicherheitskomponenten der 

OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3") enthält, die Sie vor 

manipulierten Inhalten bei der Darstellung und bei der Signaturerzeugung schützen sollen, 

werden Sie im Laufe der Arbeit mit dem Produkt auch mit solchen vermeintlichen 

Fehlermeldungen konfrontiert, die Sie auf ein Sicherheitsrisiko oder auf einen tatsächlich 

erfolgten Angriff auf ein durch das Produkt zu schützendes Objekt hinweisen. 

Der folgende Abschnitt gibt Ihnen eine Übersicht, wie das Produkt auf versuchte 

Manipulationen oder Änderungen reagiert und wie Sie als Benutzer in diesem Falle 

verfahren sollten. Dieser Abschnitt soll Sie als Benutzer des Produktes so sensibilisieren, 

dass Sie in der Lage sind, den sicheren Zustand des Produktes zu erkennen und 

Abweichungen richtig zu interpretieren. 

Der OPENLiMiT SignCubes Viewer meldet, dass die Fontdatei cour.ttf nicht vorhanden 

oder manipuliert ist: 

Hintergrund: Der OPENLiMiT SignCubes Viewer verwendet den Font Courier New zur 

Darstellung von Textinhalten. Diese Schriftart ist eine symmetrische Schriftart und die 

Verwendung soll dazu beitragen, dass Sie den angezeigten Text eindeutig lesen können. 

Die Interpretation des angezeigten Textes aus inhaltlicher Sicht kann die gesicherte 

Anzeigeeinheit allerdings nicht leisten, Sie müssen als Benutzer selbst entscheiden, ob Sie 

den angezeigten Text signieren wollen oder nicht. 

Ursache: In diesem Falle kommen zwei Ursachen in Frage. Die Datei kann wissentlich oder 

unwissentlich aus dem System entfernt worden sein. Da diese Font-Datei integraler 

Bestandteil des Betriebssystems ist, kommt eine wissentliche oder unwissentliche 

Manipulation des Betriebssystems in Betracht. Als zweite Ursache kann der Austausch oder 

die Manipulation dieser Datei in Betracht gezogen werden. Wenn Sie z.B. ein 

Grafikbearbeitungsprogramm auf Ihrem Rechner installieren, welches die vorhandene Datei 

des Betriebssystems austauscht, kann diese Fehlermeldung auftreten. Sie sollten aber in 

Betracht ziehen, dass ein Angreifer versucht hat, die Datei so zu manipulieren, dass z.B. das 

Euro Zeichen gegen das Zeichen für britische Pfund ausgetauscht wurde. 

267

268 

Benutzerinteraktion: Wenn die Fehlermeldung angezeigt wird, müssen Sie als Benutzer 

selbst entscheiden, ob Sie der Darstellung durch den OPENLiMiT SignCubes Viewer 

vertrauen. Der OPENLiMiT SignCubes Viewer kann in diesem Fall keine Garantie geben, 

dass der angezeigte Text dem entspricht, wie er mit der korrekten Version der Font Datei 

angezeigt werden würde. Vertrauen Sie im Zweifelsfall der Darstellung nicht und erzeugen 

Sie keine elektronische Signatur an dem angezeigten Dokument. 

Der Rechner stürzt während der Signaturerzeugung ab oder der Kartenlesertreiber 

bleibt 'hängen': 

Hintergrund: Wenn Inkompatibilitäten zwischen dem Betriebssystem und dem verwendeten 

Kartenlesertreiber existieren, kann möglicherweise der Rechner während der 

Signaturerzeugung abstürzen oder das System reagiert nicht mehr auf Benutzerinteraktion. 

Das ist kein Fehler, der durch das Produkt OPENLiMiT SignCubes Basiskomponenten 2.1, 

Version 2.1.6.3 verursacht wird. 

Benutzerinteraktion: Wenn der Rechner abstürzt oder hängen bleibt, sollten Sie auf jeden 

Fall den Rechner abschalten und neu starten. Nur dieses Vorgehen gibt Ihnen als Benutzer 

die Sicherheit, dass der Arbeitsspeicher des Rechners neu initialisiert wird und keine 

Speicherbereiche im RAM des Rechners verbleiben, die evtl. noch die erzeugte 

elektronische Signatur beinhalten. Wenn das Problem häufiger auftritt, sollten Sie sich an 

den Hersteller des verwendeten Kartenlesers wenden und Informationen einholen, welcher 

Treiber für Ihren Kartenleser geeignet ist. 

Bei der Arbeit mit dem Produkt können Sie mit der Anwendung keine Signaturen mehr 

erzeugen oder prüfen. Der Tooltip im Systemtray zeigt an: 'Deaktiviert wegen 

Manipulationsverdacht': 

Hintergrund: Eine Sicherheitsfunktion des Produktes bietet einen Selbstschutz des 

Programmes gegen Manipulationsversuche durch andere Programme oder durch unbefugte 

Dritte. Wenn ein Bestandteil des Produktes erkennt, dass z.B. eine Programmbibliothek 

ausgetauscht wurde, wird dies dem OPENLiMiT SignCubes Security Environment Manager 

gemeldet, welcher daraufhin die Funktionen zur Signaturerzeugung und Verifikation 

deaktiviert. 

Ursache: Möglicherweise hat jemand versucht, den Zustand des Produktes auf Ihrem 

Rechner zu manipulieren oder so zu verändern, dass daraus ein Schaden für Sie als 

Anwender entstehen könnte. Wenn Sie versucht haben, Bibliotheken aus älteren Versionen 

mit dem Produkt zu verwenden, gilt dies ebenfalls als Manipulationsversuch und das 

Programm wird deaktiviert.

Benutzerinteraktion: Sie sollten jetzt mit dem OPENLiMiT SignCubes Integrity Tool den 

Zustand Ihrer lokalen Installation überprüfen. Dieses Programm teilt Ihnen detailliert mit, 

welche Programmbibliothek von dem Manipulationsversuch betroffen ist. Sie sollten keine 

weiteren Interaktionen mit dem Produkt ausführen, insbesondere sollten Sie nicht versuchen, 

eine elektronische Signatur zu erzeugen. Wenn Sie ein nicht vom Hersteller authorisiertes 

Update eingespielt haben, müssen Sie das Produkt deinstallieren und erneut installieren. 

Wenn Sie sich nicht sicher sind, wie Sie weiter mit dem Produkt verfahren sollen, wenden 

Sie sich an den Hersteller, der Ihnen in diesem Fall Tipps für ein weiteres Vorgehen geben 

kann. 

269

270 

Fehlermeldungen vor oder während der Installation 

Die folgenden Fehlermeldungen können vor oder während der Installation angezeigt 

werden. 

Fehlermeldung Ursache Benutzeraktion 

Ihr Betriebssystem wird 

nicht unterstützt. Bitte 

verwenden Sie für diese 

Anwendung ein anderes 

Betriebssystem. Das 

Setup wird beendet. 

Ihre gegenwärtige 

Windows-Anmeldung ist 

nicht mit 

Administratoren-Rechten 

ausgestattet. Um das 

Setup ausführen zu 

können, müssen Sie sich 

als Administrator 

anmelden. Das Setup 

wird beendet. 

Ihr Internet Explorer ist 

älter als Version 5.01 

SP2. Bitte installieren 

Sie zunächst einen 

neueren Internet 

Explorer. Das Setup wird 

beendet. 

Diese Fehlermeldung kann nach Sie müssen ein Betriebsystem 

dem Sprachauswahldialog und verwenden, welches den 

vor dem Anzeigen der ersten Mindestanforderungen 

Dialogseite für das Setup der genügt. 


Basiskomponenten 2.1, Version 

2.1.6.3 generiert werden. 

Die Betriebsystemversion, auf 

der das Produkt installiert werden 

soll, entspricht nicht den 

Mindestvoraussetzungen. 

Diese Fehlermeldung kann nach 

dem Sprachauswahldialog und 

vor dem Anzeigen der ersten 

Dialogseite für das Setup der 




Sie sind nicht mit 

Administrationsrechten 

angemeldet. 

Diese Fehlermeldung kann nach 

dem Sprachauswahldialog und 

vor dem Anzeigen der ersten 

Dialogseite für das Setup der 




Ihr Betriebsystem genügt nicht 

den Mindestanforderungen. 

Sie müssen sich mit 

Administrationsrechten an 

dem Rechner anmelden. 

Sie müssen eine Version des 

Microsoft Internet Explorers 

installieren, die den 

Anforderungen des Produktes 

genügt.

Fehlermeldung Ursache Benutzeraktion 

Sie haben für die 

Registry keine Rechte 

zum Schreiben. Die 

Installation kann nur mit 

Schreibrechten 

fortgesetzt werden 

Konnte Verzeichnis nicht 

erstellen. 

Ihr Benutzerprofil erlaubt keinen 

schreibenden Zugriff auf die 

Registry des Betriebsystems. 

Diese Fehlermeldung kann 

während des eigentlichen 

Installationsvorganges des 

Setups der OPENLiMiT 

SignCubes Basiskomponenten 

2.1, Version 2.1.6.2 generiert 

werden. 

Das Verzeichnis zum Installieren 

der Anwendung konnte nicht 

erstellt werden. 

271 

Sie müssen sich mit einem 

Konto anmelden, das über 

Schreibrechte auf die Registry 

verfügt. Wenn Sie Programme 

verwenden, die den 

schreibenden Zugriff auf die 

Registry verhindern, sollten 

Sie diese deaktivieren. 

Sie sollten prüfen, ob Sie über 

Schreibrechte für das 

ausgewählte 

Installationsverzeichnis 

verfügt.

272 

Fehlermeldungen OPENLiMiT SignCubes Security 

Environment Manager 

Die folgenden Abschnitte erklären, welche Fehlermeldungen auftreten können und wie Sie 

diese Fehlermeldungen bewerten müssen. 

Grundsätzlich werden alle Fehlermeldungen vom OPENLiMiT SignCubes Security 

Environment Manager generiert, es sei denn, die Fehlermeldung betrifft den OPENLiMiT 

SignCubes Viewer. Der OPENLiMiT SignCubes Viewer realisiert selbständig Prüfroutinen, 

welche die Erkennung von Dokumentformaten betreffen. In der folgenden Tabelle werden 

die Fehlermeldungen für den OPENLiMiT SignCubes Security Environment Manager 

aufgelistet und die mögliche Fehlerursache benannt. 

Fehlermeldung des 

OPENLiMiT 

SignCubes Security 

Environment 

Managers 

Der eingegebene 

Lizenzcode ist 

ungültig. 

Bei der Freischaltung 

der Lizenz ist ein 

Fehler aufgetreten. 

Mögliche Ursache Auswirkungen auf den 

sicheren Zustand des 

Produktes/ Benutzerreaktion 

Diese Fehlermeldung kommt 

nach Überprüfung des 

eingegebenen Lizenzcodes. 


während des 

Lizenzierungsvorganges 

generiert werden. 

Sie sollten den Lizenzmanager 

erneut starten und den 

Lizenzcode exakt eingeben. Der 

sichere Zustand des Produktes 

wird nicht beeinflusst. 

Sie sollten sollte den 

Lizenzmanager erneut starten 

und auf die exakte Eingabe des 

Lizenzcodes achten. Der 


wird nicht beeinflusst.




Environment 

Managers 




unerwarteter Fehler Dieser Fehler kann in der Signaturprüfung:Detailanzeige:Zu 

Zertifikatsdetailanzeige auftreten. stand der Hashwertprüfung: ist 

Die Fehlermeldung wird undefiniert. Der sichere Zustand 

angezeigt, wenn die Prüfung des des Produktes ist nicht betroffen. 

Zertifikates oder des Pfades zum Der Hashwert konnte nicht 

Herausgeber fehlschlägt. 

Es ist ein Fehler aufgetreten, der 

nicht im Rahmen der 

vorhandenen Fehlerbehandlung 

abgefangen werden konnte. 

geprüft werden. 

Versuchen Sie es zu 

einem späteren 

Zeitpunkt erneut. 

Wenn Sie eine OCSP-Anfrage 

starten und diese von der 

Gegenstelle nicht bearbeitet 

werden kann, kann diese 

Statusmeldung erscheinen. 

Die OCSP-Anfrage kann durch 

die Gegenstelle zum 

gegenwärtigen Zeitpunkt nicht 

bearbeitet werden. 

273 

Diese Fehlermeldung besagt, 

dass das Produkt Ihnen keine 

Aussage zum Zertifikatsstatus 

liefern kann. Sie müssen selbst 

entscheiden, ob Sie dem 

Signaturzertifikat vertrauen. Der 


ist in diesem Fall nicht betroffen.

274 




Environment 

Managers 

Prüfen Sie bitte, ob 

Sie mit dem Internet 

verbunden sind. 




Diese Statusmeldung erscheint, 

wenn für eine Operation eine 

Internetverbindung notwendig 

ist, diese aber nicht besteht. 

Wenn Sie aktuelle Sperrlisten 

abrufen oder eine OCSP 

Abfrage durchführen wollen, 

wird eine Internet Verbindung 

benötigt. Wenn die Verbindung 

nicht hergestellt werden kann, 

werden Sie mit dieser Meldung 

aufgefordert, die Internet 

Verbindung zu überprüfen. 

Der sichere Zustand ist in 

diesem Falle nicht betroffen.




Environment 

Managers 

Die 

Signaturkomponente 

konnte nicht 

initialisiert werden! 

Die Daten wurden 

nicht signiert! 




Bei folgenden Aktionen kann 

diese Fehlermeldung 

erscheinen: 

� Signaturerzeugung aus dem 


Viewer . 

� Signaturverifikation aus dem 


Viewer. 

� Alle Operationen, bei denen 

ein Subsystem auf das 

OPENLiMiT SignCubes Job 

Interface zurückgreift. 

Der OPENLiMiT SignCubes 

Security Environment Manager 

konnte nicht gestartet werden 

bzw. das OPENLiMiT 

SignCubes Job Interface konnte 

nicht geladen werden. 

Die Daten konnten nicht signiert 

werden. Diese Fehlermeldung 

ist ein Hinweis auf eine 

fehlerhafte Kommunikation 

zwischen dem OPENLiMiT 


Environment Manager und der 

verwendeten Chipkarte, außer 

Sie brechen den 

Signaturvorgang ab. 

275 

In diesem Falle ist das Produkt 

entweder nicht korrekt installiert 

oder beschädigt. Der sichere 

Zustand des Produktes kann 

nicht gewährleistet werden. Sie 

sollten das Programm erneut 

installieren. 

Die Chipkarte sendete eine 

Statusmeldung, die besagt, 

dass die Daten von der 

Chipkarte nicht verarbeitet 

wurden. Der sichere Zustand 

des Produktes ist nicht 

gefährdet, Sie sollten die 

Operation wiederholen.

276 




Environment 

Managers 

Die Datei ist nicht 

signiert! 

Die Datei besitzt eine 

ungültige Signatur! 




Diese Fehlermeldung kann bei 

der Signaturprüfung über den 


auftreten. 

Sie haben versucht, die Signatur 

an einer nicht signierten Datei 

zu überprüfen. Es ist 

beispielsweise eine 

Signaturdatei vorhanden, jedoch 

enthält die Signaturdatei keine 

Signatur. 

Diese Statusmeldung kann im 

Dialog zur Signaturprüfung 

angezeigt werden. Die 

Signaturprüfung ist im Abschnitt 

Arbeiten mit den OPENLiMiT 

SignCubes 

Basiskomponenten 2.1, 



beschrieben. 

Die Signatur passt nicht zu den 

Originaldaten. Ursache können 

die Manipulation der 

Originaldaten, z.B. durch 

Übertragungsfehler als auch 

gezielte Manipulationen der 

Originaldaten oder der Signatur 

sein. 

Der sichere Zustand des 

Produktes ist nicht betroffen. 

Entweder wurde die 

Signaturdatei nicht korrekt 

erzeugt oder es hat eine 

Manipulation der Signaturdatei 

stattgefunden, die zur Folge hat, 

dass die Signaturdatei leer ist. 


Produktes ist nicht betroffen. Es 

wurde erkannt, dass die 

Signatur ungültig ist. Sie sollten 

dem empfangenen Dokument 

bzw. der Signatur nicht 

vertrauen.




Environment 

Managers 

Der Zertifikatsstatus 

konnte nicht 

vollständig geprüft 

werden! 





Dialog zur Signaturprüfung 

angezeigt werden. Die 

Signaturprüfung ist im Abschnitt 

Arbeiten mit den OPENLiMiT 


Basiskomponenten 2.1, 



beschrieben. 

Diese Statusmeldung erscheint 

bei der Signaturverifikation. 

Diese Meldung erscheint immer 

dann, wenn die Gültigkeit des 

Zertifikats nicht über eine 

Sperrliste, die nach dem 

Signaturzeitpunkt 

herausgegeben wurde, geprüft 

werden kann. 

277 


Produktes ist nicht betroffen. Sie 

sollten eine OCSP Abfrage 

vornehmen.

278 




Environment 

Managers 

Der Dateityp konnte 

nicht ermittelt werden! 

Es liegen keine 

Informationen über 

Signaturen vor! 

Die Statusabfrage 

konnte nicht erzeugt 

werden. 




Die Statusmeldung kann 

angezeigt werden, wenn eine 

Datei über OPENLiMiT 

SignCubes Viewer signiert oder 

verifiziert werden soll. 

Das Modul zur 

Dokumentenerkennung konnte 

nicht ermitteln, um welchen 

Dateityp es sich handelt. Es war 

dem Modul zur 

Dokumenterkennung nicht 

möglich, die Datei lesend zu 

öffnen. 

Die Statusmeldung kann 

angezeigt werden, wenn eine 

Signatur über OPENLiMiT 

SignCubes Viewer verifiziert 

werden soll. 

Der Detaildialog für die 

Signaturprüfung wurde 

aufgerufen, ohne dass 

Signaturinformationen 

übergeben wurden. 


Produktes ist nicht betroffen. 


Produktes ist nicht gefährdet. 

Diese Fehlermeldung kann Der sichere Zustand des 

auftreten, wenn im 


Zertifikatsdetaildialog auf den 

Knopf Onlinestatus geklickt wird. 

Es ist ein interner Fehler bei der 

Erzeugung der OCSP Abfrage 

aufgetreten.




Environment 

Managers 

Die Antwort des 

Zertifikatsherausgeber 

s konnte nicht 

verarbeitet werden. 

Die Antwort des 


s enthält einen 

unbekannten 

Statuswert. 








Die OCSP Antwort des 

Zertifikatsherausgebers enthält 

Fehler, die eine weitergehende 

Verarbeitung der OCSP Antwort 

unmöglich machen. Die OCSP 

Antwort konnte nicht nach dem 

ASN.1 Standard dekodiert 

werden. 





Der vom Herausgeber 

übermittelte Zertifikatsstatus 

entspricht nicht der Spezifikation 

nach RFC 2560. 





Die OCSP Antwort konnte 

jedoch nicht korrekt verarbeitet 

werden. Sie müssen selbst 


Signaturzertifikat vertrauen. 

Die Anfrage an den Diese Fehlermeldung kann Der sichere Zustand des 

Zertifikatsherausgeber auftreten, wenn im 


konnte von diesem Zertifikatsdetaildialog auf den Sie müssen selbst entscheiden, 

nicht verarbeitet Knopf Onlinestatus geklickt wird. ob Sie dem Signaturzertifikat 

werden. 

Der Zertifikatsherausgeber 

konnte die OCSP Anfrage des 

Produkts OPENLiMiT 


2.1, Version 2.1.6.3 nicht 

verarbeiten. 

vertrauen. 

279

280 




Environment 

Managers 

Die Anfrage führte 

beim 


zu einem internen 

Fehler. 








Der Zertifikatsherausgeber 

konnte die OCSP Anfrage des 

Produkts OPENLiMiT 


2.1, Version 2.1.6.3 nicht 

verarbeiten. Es ist ein interner 

Fehler beim 


aufgetreten. 



Sie müssen selbst entscheiden, 

ob Sie dem Signaturzertifikat 

vertrauen. 

Die Anfrage kann Diese Fehlermeldung kann Der sichere Zustand des 

durch den 



Zertifikatsherausgeber Zertifikatsdetaildialog auf den Sie müssen selbst entscheiden, 

zur Zeit nicht Knopf Onlinestatus geklickt wird. ob Sie dem verwendeten 

bearbeitet werden. Der Zertifikatsherausgeber kann Signaturzertifikat vertrauen. 

die OCSP Anfrage momentan Alternativ können Sie die OCSP 

nicht verarbeiten. Sie sollten den Abfrage zu einem späteren 

Vorgang zu einem späteren Zeitpunkt noch einmal 

Zeitpunkt noch einmal 

wiederholen. 

durchführen. 

Die Anfrage wurde Diese Fehlermeldung kann Der sichere Zustand des 

durch den 



Zertifikatsherausgeber Zertifikatsdetaildialog auf den Die OCSP Antwort konnte 

mit einem nicht Knopf Onlinestatus geklickt wird. jedoch nicht korrekt verarbeitet 

benutzten Statuscode Der vom Herausgeber 


beantwortet. 

übermittelte Zertifikatsstatus entscheiden, ob Sie dem 

entspricht nicht der Spezifikation Signaturzertifikat vertrauen. 

nach RFC 2560.




Environment 

Managers 

Der 


fordert, daß die 

Anfrage signiert wird. 

Signierte Anfragen 

werden zur Zeit nicht 

unterstützt. 








Es existieren Formate für OCSP 

Anfragen, bei denen die Anfrage 

vom Anfragenden signiert sein 

muss. Das ist z.B. bei 

kostenpflichtigen OCSP 

Respondern der Fall. Dieses 

Format wird vom Produkt 



2.1.6.3 nicht unterstützt. 



Allerdings kann keine gültige 

OCSP Anfrage an den 

Zertifikatsherausgeber gestellt 




Sie haben beim Diese Fehlermeldung kann Der sichere Zustand des 

Zertifikatsherausgeber auftreten, wenn im 


nicht die erforderliche Zertifikatsdetaildialog auf den Allerdings kann keine gültige 

Berechtigung, um den Knopf Onlinestatus geklickt wird. OCSP Anfrage an den 

Status abzufragen. Der Zertifikatsherausgeber kann Zertifikatsherausgeber gestellt 

durch eine eigene Richtlinie werden. Sie müssen selbst 

festlegen, wer berechtigt ist, entscheiden, ob Sie dem 

eine OCSP Anfrage an diesen 

zu senden. Wenn Sie keine 

entsprechende Berechtigung 

haben, wird Ihnen diese 

Fehlermeldung angezeigt. 


281

282 




Environment 

Managers 

Die Anfrage wurde 

durch den 


mit einem 

unbekannten 

Statuscode 

beantwortet. 

Die Statusabfrage 

konnte nicht 

durchgeführt werden. 

Sie haben noch zwei 

Versuche, die gültige 

einzugeben. 








Der vom Herausgeber 

übermittelte Zertifikatsstatus 

entspricht nicht der Spezifikation 

nach RFC 2560. 





Möglicherweise ist keine 

Internetverbindung verfügbar. 

Diese Meldung kann bei der 

Signaturerzeugung auftreten. 

Sie haben insgesamt drei 

Versuche, die jeweilig 

abgefragte PIN korrekt 

einzugeben. steht z.B. 

für die globale PIN. Wenn diese 

Meldung erscheint, haben Sie 

bereits einmal die falsche PIN 

eingegeben. 




ob Sie dem Signaturzertifikat 

vertrauen. 



Allerdings sollten Sie 

überprüfen, ob eine 

Internetverbindung vorhanden 

ist. 



Sie sollten beim nächsten 

Versuch die korrekte PIN 

eingeben.




Environment 

Managers 

Sie haben noch einen 

Versuch, die gültige 

einzugeben. 

Wird erneut die 

falsche 

eingegeben, wird die 

Karte unbrauchbar! 




Diese Meldung kann bei der 


Sie haben insgesamt drei 

Versuche, die jeweilig 

abgefragte PIN korrekt 

einzugeben. steht z.B. für 

die globale PIN. Wenn diese 

Meldung erscheint, haben Sie 

bereits zweimal die falsche PIN 

eingegeben. 

Die Karte wurde durch Diese Meldung kann bei der 

mehrfache 


Fehleingabe 

Sie haben durch dreimaliges 

unbrauchbar Eingeben der falschen PIN die 

gemacht. 

Karte für die weitere Benutzung 

unbrauchbar gemacht. 

Der 

Fehlbedienungszähler 

ist abgelaufen. 

Diese Meldung kann beim 

Versuch der Signaturerzeugung 

auftreten. 

Der Fehlbedienungszähler der 

Karte zeigt an, dass die PIN 

insgesamt dreimal falsch 

eingegeben wurde. 



Sie sollten beim nächsten 

Versuch die korrekte PIN 

eingeben. 

283 



Allerdings können Sie die 

Chipkarte mit dem Produkt nicht 

mehr verwenden. 



Allerdings können Sie die 

Chipkarte mit dem Produkt nicht 

mehr verwenden.

284 




Environment 

Managers 

Die eingegebene PIN 

entspricht nicht den 

Anforderungen der 

Karte! 

Bei der Übertragung 

des Kommandos an 

die Karte trat ein 

unerwarteter Fehler 

auf! 

Die eingegebenen 

PINs sind nicht 

identisch! 




Diese Fehlermeldung kann beim 

Ändern der PIN der Chipkarte 

auftreten. 

Die Chipkarte stellt bestimmte 

Anforderungen an die Qualität 

der PIN. Bei einer TeleSec 

E4NetKey Karte muss die Pin 

mindestens 6-stellig höchstens 

jedoch 16-stellig sein. 



auftreten. 

Beim Senden des Kommandos 

an die Chipkarte ist ein Fehler 

aufgetreten. Die Chipkarte hat 

mit einem Kartenstatus 

geantwortet, der nicht dem 

erwarteten Status entsprach. 



Sie sollten allerdings beim 

Festlegen der PIN über den 

Menüpunkt PIN ändern eine PIN 

wählen, die den Anforderungen 

der verwendeten Karte genügt. 



Sie sollten den Vorgang 

wiederholen. Wenn der Fehler 

permanent auftritt, sollten Sie 

mit dem zur Verfügung 

stehenden Modul zur 

Integritätsprüfung die korrekte 

Installation des Produktes auf 

dem Rechner prüfen. 

Diese Fehlermeldung kann beim Der sichere Zustand des 

Ändern der PIN der Chipkarte Produktes ist nicht gefährdet. 

auftreten. 


Dieser Fehler kann beim Ändern wiederholen. 

der PIN auftreten, wenn die 

erste und die Bestätigungspin 

nicht identisch sind.




Environment 

Managers 

Die eingegebene PIN 

wurde 

zurückgewiesen! 

Die PIN wurde nicht in 

der erwarteten Zeit 

eingegeben! 

Sie müssen die Karte 

zuerst freischalten! 






auftreten. 

Die Verifikation der PIN durch 

die Chipkarte ist fehlgeschlagen. 

Sie haben die falsche PIN 

eingegeben. 



auftreten. 

Sie haben zu lange gewartet, 

um die PIN einzugeben. die 

meisten Kartenleser mit sicherer 

PIN Eingabe unterstützen die 

Verwendung von Timeouts 

während der PIN Eingabe. 



auftreten. 

Vor der Verwendung muss die 

Karte freigeschaltet werden. 




wiederholen. 




wiederholen. 

285 



Sie müssen eine freigeschaltete 

Karte verwenden. Ggf. können 

Sie mit dem Menüpunkt Karte 

freischalten Ihre Karte für die 

weitere Verwendung 

freischalten.

286 




Environment 

Managers 

Sie müssen die Karte 

zuerst entsperren. 

Zur Zeit stehen keine 

geeigneten Zertifikate 

zur Verfügung! 

Die Antwort ist nicht 

vom erwarteten Typ 

BASIC. 






auftreten. 

Sie haben durch mehrfaches 

Eingeben der falschen Pin die 

Karte gesperrt. Sie müssen vor 

einer weiteren Verwendung der 

Karte diese durch die Eingabe 

des PUK wieder entsperren. 



auftreten. 

Möglicherweise wollen Sie eine 

Datei signieren und haben 

keinen Kartenleser 

angeschlossen oder keine 

Chipkarte eingelegt. 



Sie müssen vor einer weiteren 

Verwendung der Karte diese 

durch die Eingabe der PUK 

wieder entsperren. 



Sie müssen sicherstellen, dass 

Sie einen Kartenleser installiert 

und eine Chipkarte eingelegt 

haben, die vom Produkt 

verwendet werden kann. 




Zertifikatsdetaildialog auf den Sie müssen selbst entscheiden, 

Knopf Onlinestatus geklickt wird. ob Sie dem verwendeten 

Das Format BASIC ist bisher Signaturzertifikat vertrauen. 

das standardisierte Format für 

OCSP - Antworten. 

Möglicherweise werden zu 

einem späteren Zeitpunkt neue 

Formate definiert, die vom 

Produkt dann nicht unterstützt 

werden.




Environment 

Managers 

Die Antwort hat nicht 

die erwartete Version. 

Beim Prüfen der 

Antwort ist ein 

unerwarteter interner 

Fehler aufgetreten. 

Die Antwort enthält 

mindestens eine 

unbekannte kritische 

Erweiterung. 








Die OCSP - Antwort hat nicht 

die erwartete Version. 





Die empfangene OCSP Antwort 

konnte nicht korrekt überprüft 

werden. Möglicherweise sind 

syntaktische Fehler in der 

OCSP-Antwort vorhanden. 

287 




ob Sie dem verwendeten 







Diese Statusmeldung kann Der sichere Zustand des 





Kritische Erweiterungen sind Signaturzertifikat vertrauen. 

Antwortzusätze, die Ihnen bei 

der Auswertung der OCSP - 

Antwort zur Kenntnis gelangen 

sollten. Das Produkt OPENLiMiT 


2.1, Version 2.1.6.3 ist nicht in 

der Lage, diese kritische 

Erweiterung korrekt zu 

interpretieren.

288 




Environment 

Managers 

Die Antwort ist nicht 

Signaturgesetz 

konform (positive 

Kenntnisaussage 

fehlt). 


eine unleserliche 

Zeitangabe der letzten 

Überprüfung. 




Diese Statusmeldung kann 




In der Antwort ist nicht die 

Aussage enthalten, dass der 

Herausgeber das Zertifikat 

kennt. 





Der Zeitpunkt der letzten 

Überprüfung gibt an, wann der 

OCSP-Antwortende die 

Gültigkeit des Zertifikats das 

letzte Mal geprüft hat. Das 

Zeitformat in der OCSP-Antwort 

für diese Überprüfung konnte 

nicht dekodiert werden. 











Der in der OCSP Diese Statusmeldung kann Der sichere Zustand des 

Antwort angegebene auftreten, wenn im 


Zeitpunkt weicht von Zertifikatsdetaildialog auf den Sie müssen selbst entscheiden, 

Ihrer lokalen 


Systemzeit ab. Der Der Zeitpunkt der letzten Signaturzertifikat vertrauen. Sie 

angegebene Zeitpunkt Zertifikatsprüfung durch den sollten die lokale Systemzeit 

liegt in der Zukunft. OCSP-Antwortenden liegt 

gegenüber der lokalen 

Systemzeit in der Zukunft. 

überprüfen.




Environment 

Managers 


eine unleserliche 

Zeitangabe der 

nächsten 

Überprüfung. 

Die Antwort ist wegen 

der aufgeführten 

Gründe nicht oder nur 

bedingt 

vertrauenswürdig. 

Die Antwort gilt nicht 

für das angefragte 

Zertifikat!! 








Der Zeitpunkt der nächsten 

Überprüfung gibt an, wann der 

OCSP-Antwortende die 

Gültigkeit des Zertifikats das 

Nächste mal prüfen wird. Das 

Zeitformat in der OCSP-Antwort 

für diese Überprüfung konnte 

nicht dekodiert werden. 





Diese Meldung erscheint, sobald 

Gründe vorliegen, der 

empfangenen OCSP-Antwort 

nur bedingt oder nicht zu 

vertrauen. 

289 








Sie sollten dem Zertifikat nicht 

vetrauen. 




Zertifikatsdetaildialog auf den Sie sollten dem Zertifikat nicht 

Knopf Onlinestatus geklickt wird. vertrauen und die Integrität des 

Die empfangene Antwort bezieht Betriebssystems überprüfen. 

sich nicht auf das angefragte 

Zertifikat. Eine solche Meldung 

kann ein Indikator für die 

Manipulation der Antwort durch 

Dritte sein (Man in the Middle).

290 




Environment 

Managers 

Interner Fehler beim 

Lesen eines 

Zertifikates. 

Die Signatur der 

Antwort konnte nicht 

geprüft werden. 

Das Zertifikat der 

Gegenstelle konnte 

nicht gefunden 

werden: 








Ein Zertifikat, welches vom 

Produkt benötigt wird, konnte 

nicht gelesen oder dekodiert 

werden. 





Die Signatur der OCSP Antwort 

konnte nicht verifiziert werden. 

Möglicherweise ist der Hashwert 

der Signatur manipuliert worden 

oder es konnte kein Zertifikat zu 

der Signatur ermittelt werden. 



Sie sollten Zertifikaten, die nicht 

korrekt durch das Produkt 

dekodiert werden können, nicht 

vertrauen. 



Sie müssen entscheiden, ob Sie 

dem Zertifikat vertrauen. 






Nach dem ISIS-MTT Standard Signaturzertifikat vertrauen. 

sollte das Zertifikat des OCSP 

Antwortenden in der OCSP 

Antwort enthalten sein. Das 

Zertifikat ist in der Antwort aber 

nicht enthalten.




Environment 

Managers 


Gegenstelle konnte 

nicht positiv geprüft 

werden. 


Gegenstelle 

berechtigt nicht zur 

OCSP-Signatur. 

Die positive 

Kenntnisaussage ist 

fehlerhaft. 








Möglicherweise existiert kein 

Sperrliste für die OCSP Signatur 

oder die Sperrliste ist veraltet. 

Eine Sperrliste gilt als veraltet, 

wenn der in der Sperrliste 

angegebene Zeitpunkt für die 

Erneuerung der Sperrliste auf 

dem lokalen Rechner 

überschritten wurde. 





Das Zertifikat, mit welchem die 

OCSP Antwort signiert wurde, 

berechtigt den Signierenden 

nicht zu einer OCSP Signatur. 



Allerdings kann die OCSP 

Antwort auf Grund veralteter 

Sperrlisten nicht korrekt 

verarbeitet werden. Sie sollten 

die lokalen Sperrlisten 

aktualisieren. 

291 











Die positive Kenntnisaussage ist Signaturzertifikat vertrauen. 

entweder nicht vorhanden oder 

ist fehlerhaft.

292 




Environment 

Managers 

Es fehlt ein expliziter 

Hinweis auf die 

Gültigkeit der Antwort 

trotz abgelaufenem 

Zertifikat. 

OCSP Response 

Interner Fehler 

Die Gültigkeit der 

Antwort wird nicht 

mehr garantiert. 








Das angefragte Zertifikat ist 

sowohl abgelaufen und die 

Antwort enthält keinerlei Hinweis 

darauf, ob die Gegenstelle 

Kenntnis vom Status dieses 

Zertifikates hat. 





Es ist ein interner Fehler bei der 

Prüfung der OCSP Antwort 

aufgetreten. 








Die OCSP Antwort konnte vom 

Produkt nicht korrekt verarbeitet 



verwendeten Signaturzertifikat 

vertrauen. 






Das Zertifikat ist der Gegenstelle Signaturzertifikat vertrauen. 

zwar bekannt, die Zeit für die 

Informationsaufbewahrung zu 

dem angefragten Zertifikat ist 

allerdings abgelaufen.




Environment 

Managers 

Zu dem Zertifikat fehlt 

das 

Herausgeberzertifikat. 

Zu einem der 

Herausgeber wurde 

keine Sperrliste 

gefunden. 

Fehler beim Erzeugen 

eines Zeitstempels. 

Fehler beim Holen 

einer OCSP Antwort. 





durch den Zertifikatsdetaildialog 

ausgelöst werden. 

In der internen 

Zertifikatsverwaltung wurde das 

Herausgeberzertifikat nicht 

gefunden. 


Signaturprüfdialog erscheinen. 

Für einen Herausgeber existiert 

keine Sperrliste auf dem lokalen 

Rechner. 

Diese Statusmeldung kann beim 

Holen eines Zeitstempels 

erscheinen. 

Während des Empfangs des 

Zeitstempels ist ein Fehler 

aufgetreten, so dass der 

Zeitstempel von dem Produkt 

nicht eingeholt werden konnte. 

293 










Signaturzertifikat vertrauen. Sie 

sollten die aktuellen Sperrlisten 

abrufen. 



Sie können versuchen, den 

Zeitstempel erneut einzuholen. 


Holen einer OCSP Antwort Produktes ist nicht gefährdet. 

auftreten. 

Sie können versuchen, eine 

Möglicherweise besteht keine erneute OCSP Abfrage 

Verbindung zum Internet oder durchzuführen. 

der OCSP Responder ist nicht 

erreichbar.

294 




Environment 

Managers 

Zu einem der 

Herausgeberzertifikate 

wurde keine 

aktuelle Sperrliste 

gefunden. 

Von einem der 

Herausgeber wurde 

das Zertifikat 

zurückgezogen 

Die Sperrliste einer 

der Herausgeber hat 

unbekannte Fehler. 

Von diesem Inhaber 

ist keine Sperrliste 

vorhanden. 






Es ist zwar eine Sperrliste 

vorhanden, jedoch ist diese 

Sperrliste abgelaufen. Sie 

sollten die Sperrlisten über den 


Sperrlistenaktualisierungsassist 

ent aktualisieren. 



Das Zertifikat wurde durch den 

Herausgeber zurückgezogen 

(das Zertifikat ist in der 

Sperrliste als zurückgezogen 

markiert). 



Die verwendete hat entweder 

syntaktische Fehler oder enthält 

Zusätze, die vom Produkt nicht 

verarbeitet werden können. 



Zu einem konkreten 

Herausgeber wurde kein 

Sperrliste gefunden. 





Signaturzertifikat vertrauen. Sie 

sollten die aktuellen Sperrlisten 

abrufen. 




vertrauen. 



Sie sollten die aktuellen 

Sperrlisten abrufen und den 

Vorgang wiederholen. 

Zusätzlich sollten Sie eine 

OCSP Abfrage zu dem Zertifikat 

durchführen. 





Vorgang wiederholen.




Environment 

Managers 

Die Sperrliste dieses 

Inhabers ist 

abgelaufen. 

Das Prüfzertifikat ist 

nach der Sperrliste 

dieses Inhabers 

zurückgezogen. 

Die Sperrliste dieses 

Inhabers hat 

unbekannte Fehler. 

Sie vertrauen keinem 

der Wurzelzertifikate! 






Die Sperrliste des konkreten 

Herausgebers ist abgelaufen. 

Sie sollten die Sperrlisten über 

den OPENLiMiT SignCubes 

Sperrlistenaktualisierungsassist 

ent aktualisieren. 



Der konkrete Herausgeber hat 

dieses Zertifikat zurückgezogen. 



Die Sperrliste dieses konkreten 

Herausgebers weist Fehler auf. 



Diese Meldung sagt aus, dass 

keinem der Wurzelzertifikate 

vertraut wird. 









vertrauen. 






295 





Signaturzertifikat vertrauen.

296 




Environment 

Managers 

Das Modul besitzt 

eine ungültige 

Signatur. Das 

Programm wird 

beendet. 

Das Zertifikat wurde 

nicht geprüft. 





Start des OPENLiMiT 


Environment Managers 



die Signatur des angegebenen 

Programm-Moduls beschädigt 

ist oder die Originaldaten (das 

Modul) und die Signaturdatei 

nicht zueinander passen. Aus 

Sicherheitsgründen wird die 

Anwendung OPENLiMiT 


2.1, Version 2.1.6.3 in diesem 

Falle beendet. 



Diese Statusmeldung sagt aus, 

dass die Zertifikate nicht geprüft 

wurden. 


Produktes ist nicht 

gewährleistet. Sie müssen mit 

Hilfe des zur Verfügung 

stehenden Integritätschecks die 

gesamte Installation überprüfen. 

Sie müssen das Produkt 

deinstallieren und erneut 

installieren. 






Alternativ sollten Sie eine OCSP 

Abfrage zu dem Zertifikat 

durchführen.




Environment 

Managers 

Die zu signierenden 

Daten wurden vor der 


verändert! 




Diese Statusmeldung kann Der sichere Zustand des 

immer dann auftreten, wenn Sie Produktes kann gefährdet sein. 

eine digitale Signatur über einen Der sichere Zustand ist nur 

der Produktbestandteile dann nicht gefährdet, wenn Sie 

erzeugen wollen. 

nicht selbst aus Versehen die 

Diese Meldung sagt aus, dass Daten zwischenzeitlich geändert 

die Originaldaten, die vom haben. In jedem anderen Fall 

Produktbestandteil zur Signatur sollten Sie die Arbeit mit dem 

an den OPENLiMiT SignCubes Produkt einstellen und eine 

Security Environment Manager Integritätsprüfung des Produktes 

übergeben wurden, 

vornehmen. Wird bei der 

zwischenzeitlich verändert Integritätsprüfung keine 

wurden. 

Veränderung des Produktes 

entdeckt, sollte mit Hilfe eines 

Virenscanners der Rechner auf 

böswillige Programme hin 

untersucht werden. 

Das Produkt nimmt in diesem 

Falle einen sicheren Zustand 

ein, da die Funktionen zur 

Signaturerzeugung und 

Signaturverifikation durch den 

OPENLiMiT SignCubes Security 

Environment Manager in diesem 

Falle deaktiviert werden. 

297

298 




Environment 

Managers 

Der eingesetzte 

Hashalgorithmus wird 

als ungeeignet 

eingestuft. 

Die verwendeten 

Signaturparameter 

werden als 

ungeeignet eingestuft. 

Die verwendeten 

Algorithmen 

entsprechen nicht den 

Prüfvorgaben. 





der Signaturverifikation 

auftreten. 


für die Signaturerzeugung ein 

Hashalgorithmus verwendet 

wurde, der für die Erzeugung 

qualifizierter Signaturen nicht 

zulässig ist. 


der Signaturverifikation 

auftreten. 


für die Signaturerzeugung 

entweder ein Hashalgorithmus 

verwendet wurde, der für die 

Erzeugung qualifizierter 

Signaturen oder die verwendete 

Schlüssellänge nicht zulässig 

ist. 


der Signaturerprüfung auftreten. 

Diese Meldung weist darauf hin, 

dass ein Hashalgorithmus 

verwendet wurde, der nicht den 

Vorgaben der 

Bundesnetzagentur entspricht. 

Dieser Hinweis erscheint in der 

Zusammenfassung des 

Prüfdialogs. 

Sie sollten sich über die 

Veröffentlichungen der 

Bundesnetzagentur unter 

www.bundesnetzagentur.de 

informieren, welcher 

Hashalgorithmus zulässig ist. 






Hashalgorithmus und welche 

Schlüssellängen zulässig sind. 






Hashalgorithmus und welche 

Schlüssellängen zulässig sind.




Environment 

Managers 

Die von der Karte 

erzeugte Signatur 

entspricht nicht den 

zu signierenden 

Daten! 

Ein Fehler ist bei der 

Initialisierung 

aufgetreten. Das 

Programm kann nicht 

weiter ausgeführt 

werden. Wenden Sie 

sich bitte an die 

Online-Hilfe und 

prüfen Sie Ihre 

Installation. 





der Signaturerzeugung 

auftreten. 


nicht der Hashwert signiert 

wurde, der beabsichtigt wurde. 

299 


Produktes ist gefährdet. Sie 

sollten den OPENLiMiT 


Environment Manager beenden 

und den Rechner 

herunterfahren, um 

sicherzugehen, dass sich keine 

digitalen Signaturen mehr im 

Speicher befinden. 


Start des Assistenten zur Produktes kann gefährdet sein. 

Sperrlistenaktualisierung Sie sollten mit dem zur 


Verfügung stehenden 

Bei der Sperrlistenaktualisierung Prüfprogramm die Integrität der 

ist ein Fehler bei der 

Installation überprüfen. 

Initialisierung des OPENLiMiT 


Sperrlistenaktualisierungsassistenten 

aufgetreten, der eine 

weitere Benutzung des 

Sperrlisten 

Aktualisierungsassistenten 

unmöglich macht.

300 

Fehlermeldungen des OPENLiMiT SignCubes Viewer 

Der OPENLiMiT SignCubes Viewer kann ebenfalls Fehlermeldungen generieren, die in der 

folgenden Tabelle aufgelistet sind. 

Grundsätzlich gilt: Wenn eine Fehlermeldung generiert wird, über deren Bedeutung Sie sich 

nicht sicher sind, sollten Sie das Dokument nicht signieren. 

Fehlermeldung 

des OPENLiMiT 


Viewer 

Das Format der 

Datei ist nicht 

geeignet! 

Fehlerursache Auswirkungen auf den sicheren 

Zustand des 

Produktes/Benutzerreaktion 


Öffnen einer Datei mit dem 


direkt durch diese oder beim 

Öffnen einer Datei über den 

Signaturanforderungsdialog 


Sie haben versucht, eine Datei 

mit dem OPENLiMiT SignCubes 

Viewer zu öffnen, die weder als 

PDF, TIFF noch als Text Datei 

erkannt wurde. Diese 

Fehlermeldung wird Ihnen auch 

dann angezeigt, wenn aktive 

Inhalte in dem Dokument 

vorhanden sind. 

Der sichere Zustand des Produktes ist 

nicht gefährdet. Sie sollten die Datei 

nicht signieren, wenn Sie für die Daten 

über kein sicheres Anzeigemodul 

verfügen.

Fehlermeldung 




Sie verfügen 

nicht über die 

benötigte Lizenz, 

um Dateien 

dieses Formates 

anzuzeigen! 


Zustand des 






Sie haben versucht, eine Datei 

mit dem OPENLiMiT SignCubes 

Viewer zu öffnen, die 

entsprechend dem 

Funktionsumfang der installierten 

Lizenz nicht geöffnet werden 

kann. 

301 


nicht gefährdet. 

Es steht keine Diese Fehlermeldung wird Diese Fehlermeldung wird Ihnen nur 

gültige Lizenz zur generiert, wenn der Viewer auf angezeigt, falls Sie eine Datei mit dem 

Verfügung. Das einem PC gestartet wird, auf dem Viewer öffnen wollen und über keine 

Programm wird keine Lizenz für die OPENLiMiT Lizenz verfügen (auch nicht über eine 

beendet. SignCubes Basiskomponenten Reader-Lizenz). 

2.1, Version 2.1.6.3 installiert ist. Wenn diese Fehlermeldung erscheint, 

Sie haben vesucht, den ist die Lizenzdatei von Ihrem Rechner 

OPENLiMiT SignCubes Viewer entfernt worden. Der sichere Zustand 

zu starten, obwohl keine Lizenz des Produktes ist nicht betroffen, 

für die OPENLiMiT SignCubes jedoch sollten Sie mit einem 

Basiskomponenten 2.1, Version geeigneten Programm (Virenscanner 

2.1.6.3 installiert ist. 

etc.) die Integrität Ihres Betriebssystes 

überprüfen. Eventuell haben 

unberechtigte Dritte Zugriff auf Ihren 

Rechner erlangt.

302 

Fehlermeldung 




Die Schriftart 

'Courier New', 

die für die 

Darstellung von 

Text verwendet 

wird, wurde auf 

diesem 

Computer nicht 

gefunden oder 

stimmt nicht mit 

der 

Originalinstallatio 

n überein. 

Fehler beim 

Zugriff auf die 

Datei! 


Zustand des 


Diese Fehlermeldung tritt auf, 

wenn die Datei cour.ttf auf dem 

Computer nicht vorhanden ist 

oder von der Dateiversion 

abweicht, die der 

Originalinstallation entspricht. 

Diese Fehlermeldung wird beim 

Start des OPENLiMiT SignCubes 

Viewers gemeldet bzw. beim 

Öffnen eines Textdokuments. 








Beim Zugriff auf die zu öffnende 

Datei (Kommandozeile oder 

Menübefehl) ist ein Fehler 

aufgetreten. Die Datei existiert 

nicht oder kann nicht gelesen 

werden. 


betroffen. Sie sollten überprüfen, ob 

die Datei cour.ttf auf dem Rechner 

vorhanden ist. Sie sollten keine 

Signaturen an Text-Dokumenten 

vornehmen, da die korrekte 

Darstellung nicht mehr gewährleistet 

werden kann. 


nicht gefährdet. Sie sollten den 

Vorgang wiederholen.

Fehlermeldung 




Die Datei enthält 

sowohl 'DOS' als 

auch 'Windows' 

Umlaute. Eine 

korrekte 

Darstellung ist 

u.U. nicht 

möglich. 

Die Datei enthält 

Zeichen, für die 

keine eindeutige 

Darstellung 

definiert ist. 


Zustand des 



während der Untersuchung von 

Textdokumenten auftreten. 

Das Textdokument enthält 

Zeichen, die als Umlaute in der 

Windows Darstellung erkannt 

werden. Darüber hinaus sind 

aber auch Zeichen in dem 

dokument vorhanden, die als 

Umlaute in der DOS Codierung 

interpretiert werden. 


während der Untersuchung von 

Textdokumenten auftreten. 

Das Dokument enthält Zeichen, 

für die in verschiedenen 

Schriftsätzen verschiedene 

Darstellungen definiert sind. 

303 


nicht gefährdet. Sie sollten eine 

Untersuchung des Textdokuments wie 

im Kapitel Arbeiten mit dem 

SignCubes Viewer beschrieben, 

vornehmen. 


nicht gefährdet. Sie sollten eine 

Untersuchung des Textdokuments wie 

im Kapitel Arbeiten mit dem 


beschrieben, vornehmen.

304 

Fehlermeldung 




Die TIFF Datei 

hat eine Größe 

von . Sie 

enthält freie 

(scheinbar 

ungenutzte) 

Bereiche mit 

einer 

Gesamtgröße 

von . 


Zustand des 









Eine TIFF-Datei wurde geöffnet, 

deren Inhalt nicht vollständig 

durch die enthaltenen Tags 

belegt wird. Die durch 

angegebene Anzahl von Bytes 

der Datei wird durch den 

‚offiziellen’ Dateiinhalt nicht 

verwendet und kann verborgene 

Inhalte enthalten. Die Meldung 

wird ausgegeben, wenn die Zahl 

der nicht adressierten Bytes 

mehr als 50 beträgt. In jedem 

Fall können diese Bytes unter 

‚Ansicht / Weitere Dateiinhalte’ 

betrachtet werden. (Einzelne 

nicht belegte Bytes bzw. kleinere 

ungenutzte Dateibereiche sind in 

TIFF-Dateien normal. Sie 

entstehen durch Füllbytes, die 

bei der Anordnung von Tabellen 

auf WORD- oder DWORD- 

Grenzen erforderlich werden, 

aber auch durch die Bearbeitung 

der TIFF-Datei.) 


nicht gefährdet. Sie müsen die 

enthaltenen Daten in dem Dokument 

genauer untersuchen. Sie müssen 

selbst entscheiden, ob Sie das 

Dokument signieren wollen oder nicht.

Fehlermeldung 




Fehler in TIFF- 

Struktur: Tag 

'StripOffset' 

Zeiger ohne 

Größenangabe! 

Fehler in TIFF- 

Struktur: Tag 

'TileOffsets' ohne 

'TileByteCount' 

gefunden! 


Zustand des 


Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist 

Öffnen einer Datei mit dem nicht gefährdet. Sie müssen die 

OPENLiMiT SignCubes Viewer enthaltenen Daten in dem Dokument 

direkt durch diese oder beim genauer untersuchen. Sie müssen 

Öffnen einer Datei über den selbst entscheiden, ob Sie das 

Signaturanforderungsdialog Dokument signieren wollen oder nicht. 


Interner Fehler in der TIFF- 

Struktur. Der Inhalt kann u.U. 

nicht korrekt angezeigt werden. 

Weitere Fehlermeldungen sind 

möglich. Diese Meldung kann nur 

im Fall einer beschädigten TIFF- 

Datei auftreten. 








Interner Fehler in der TIFF- 

Struktur. Der Inhalt kann u.U. 

nicht korrekt angezeigt werden. 


möglich. Diese Meldung kann nur 

im Fall einer beschädigten TIFF- 

Datei auftreten. 

305

306 

Fehlermeldung 





Zustand des 


Fehlendes Tag! Diese Fehlermeldung kann beim 







Es wurde ein Tag nicht 

gefunden. Es ist ein Fehler im 

Programm aufgetreten. 

Fehlerhafter 

TagType! 


nicht gefährdet. Sie müssen die 




Dokument signieren wollen oder nicht. 


Öffnen einer Datei mit dem nicht gefährdet. Der Benutzer muss die 


direkt durch diese oder beim genauer untersuchen. Der Benutzer 

Öffnen einer Datei über den muss selbst entscheiden, ob er das 

Signaturanforderungsdialog Dokument signieren will oder nicht. 


Fehler in der TIFF-Struktur. Der 

Typ eines Tag’s entspricht nicht 

der Spezifikation. Weitere 

Fehlermeldungen sind möglich. 

(Tritt beim Markieren eines Tag’s 

auf, wenn dieses Tag nicht der 

Spezifikation entspricht.)

Fehlermeldung 




Fehler in 

DataLength 

(erwartet 'X' 

gefunden 'Y') 


Zustand des 










Datenumfang eines Tag’s 

entspricht nicht der Spezifikation. 

Tritt nur auf, wenn die 

Spezifikation den Datenumfang 

des Tag’s explizit festlegt und 

das Tag dieser Festlegung nicht 

entspricht. Weitere 




Spezifikation entspricht.) 

307

308 

Fehlermeldung 




Fehler in 

DataLength 

(erwartet 'X1' 

oder 'X2' 

gefunden 'Y') 


Zustand des 










Datenumfang eines Tag’s 

entspricht nicht der Spezifikation. 

Tritt nur auf, wenn die 

Spezifikation den Datenumfang 

des Tag’s explizit festlegt und 

das Tag dieser Festlegung nicht 

entspricht. Weitere 




Spezifikation entspricht.)

Fehlermeldung 




Fehler in 

DataType 

(erwartet '2' 

(ASCII) gefunden 

'') 


Zustand des 










Datentyp eines Tag's entspricht 

nicht der Spezifikation. Tritt nur 

auf, wenn die Spezifikation den 

Datentyp des Tag's explizit 

festlegt und das Tag dieser 

Festlegung nicht entspricht. 


möglich. 

309 







310 

Fehlermeldung 




Fehler in Datei! 

Zeiger 

ausserhalb des 

Bereichs! 


Zustand des 









Es ist ein Fehler in der TIFF- 

Datei aufgetreten. Eine Adresse 

in der Struktur der TIFF-Datei 

verweist auf Daten, die hinter 

dem Ende der Datei liegen. Tritt 

auf, wenn die TIFF-Datei 

unvollständig ist (abgeschnitten) 

oder die Adressdaten in der 

Datei beschädigt wurden. 


zu erwarten. 







Fehlermeldung 




Fehler in Datei! 

Überschneidung! 

Die 

Signaturkompon 

ente konnte nicht 

initialisiert 

werden! 


Zustand des 









Fehler in der TIFF-Datei. Eine 

Adresse in der Struktur der TIFF- 

Datei verweist auf Daten, die in 

einem Bereich der Datei liegen, 

in dem bereits andere Daten 

identifiziert wurden. Tritt auf, 

wenn die Adressdaten in der 

Datei beschädigt wurden. 


zu erwarten. 








Das SignCubes Job Interface 

steht nicht zur Verfügung. Dies 

ist ein kritischer Fehler. Sie 

sollten mit dem OPENLiMiT 

SignCubes Integrity Tool die 

korrekte Installation des 

Produktes auf dem Arbeitsplatz 

überprüfen. 

311 






Dokument signieren wollen oder nicht. 

Der sichere Zustand des Produktes 

kann nicht gewährleistet werden. Sie 

sollten mit dem zur Verfügung 

stehenden Modul zur Integritätsprüfung 

die Integrität der Installation auf dem 

Rechner überprüfen.

312 

Fehlermeldung 




Auf die Datei 

'' kann 

nicht zugegriffen 

werden: 

Beim Laden des 

TIFF-Bildes ist 

ein Fehler 

aufgetreten: 


Zustand des 









Die Datei wurde 

ursprünglich geöffnet und 

gelesen, steht bei einem 

späteren Zugriff jedoch nicht 

mehr zur Verfügung. Die 


Betriebssystems steht in einer 

zweiten Zeile. 








Es wurde ein Fehler festgestellt, 

der sich auf die Struktur der 

TIFF-Datei bzw. die Auswertung 

des Inhalts bezieht. Beispiel: 

Nicht unterstützte 

Kompressionsverfahren oder 

Fehler in der Dateistruktur. Eine 

genaue Bezeichnung des 

Fehlers - in englischer Sprache - 

steht in der zweiten Zeile. 


nicht gefährdet. Sie sollten den 



nicht gefährdet. Allerdings kann das 

Dokument nicht angezeigt werden. Sie 

müssen entscheiden, ob Sie das 

Dokument trotzdem signieren möchten, 

obwohl kein sicheres Anzeigemodul 

zur Verfügung steht.

Fehlermeldung 





Zustand des 


Es sind Diese Fehlermeldung wird 

Java Script generiert, wenn der OPENLiMiT 

Elemente im SignCubes Viewer Java Script 

Dokument Elemente identifiziert hat. 

enthalten. Sie sollten sich über den 

Menüpunkt 'Weitere Dateiinhalte' 

über den Inhalt der Java Scripte 

informieren. 

Fehler in der Diese Fehlermeldung kann beim 

Datenlänge Öffnen eines PDF Dokuments 


Fehler im Zugriff 

auf die Datei! 

Das Modul 

besitzt 

eine ungültige 

Signatur! Das 

Programm wird 

beendet. 


Öffnen eines Dokuments 


313 


nicht gefährdet. Sie sollten sich jedoch 

über den Inhalt der Java Script 

Elemente über den Menüpunkt 

'Weitere Dateiinhalte' informieren. 

Im Zweifelsfall sollten Sie die 

Unterzeichnung des Dokuments nicht 

fortsetzen. 


nicht gefährdet, jedoch sollten Sie die 

Datei nicht weiter verarbeiten, da ein 

Fehler in der internen 

Dokumentstruktur vorliegt. 


nicht gefährdet. Sie haben jedoch eine 

Datei ausgewählt, die nicht geöffnet 

werden kann. Beispielsweise kann die 

Datei exklusiv durch eine dritte 

Applikation blockiert sein. 

Diese Fehlermeldung kann Ihnen Der sichere Zustand des Produktes ist 

beim Start des Viewers 

nicht mehr gewährleistet. Das 


Programm wird beendet. Sie sollten mit 

dem zur Verfügung stehenden Modul 

zur Integritätsprüfung die Integrität der 

Installation auf dem Rechner 

überprüfen und sicherstellen, dass 

nicht unberechtigte Dritte Zugriff auf 

Ihren Rechner haben.

314 

Fehlermeldung 




Das Modul 

konnte 

nicht geladen 

werden! Das 

Programm wird 

beendet. 

Das Dokument 

ist beschädigt 

und muss 

repariert werden. 

Die Datei-Ende 

Markierung 

(EOF) wurde 

nicht gefunden. 

Die Datei konnte 

nicht geöffnet 

werden. 

Ein unerwarteter 

Fehler ist 

aufgetreten! 


Zustand des 


Diese Fehlermeldung kann Ihnen 

beim Start des Viewers 



Öffnen eines PDF Dokuments 








Diese Fehlermeldung wird 

angezeigt, wenn ein Fehler 

aufgetreten ist, der eine weitere 

Verarbeitung der Daten 

unmöglich macht. 


nicht mehr gewährleistet. Das 

Programm wird beendet. Sie sollten mit 

dem zur Verfügung stehenden Modul 

zur Integritätsprüfung die Integrität der 

Installation auf dem Rechner 

überprüfen und sicherstellen, dass 

nicht unberechtigte Dritte Zugriff auf 

Ihren Rechner haben. 


nicht betroffen. Der Viewer hat jedoch 

erkannt, dass das vorliegende 

Dokument nicht verarbeitet oder 

angezeigt werden kann. 

Eine solches Dokument sollten Sie 

nicht signieren. 


nicht betroffen. Der Viewer hat jedoch 

erkannt, dass das vorliegende 

Dokument einen syntaktischen Fehler 

enthält. 


nicht gefährdet, die Datei konnte 

jedoch nicht geöffnet werden. 


nicht gefährdet. 

Sie sollten die laufende Operation 

jedoch abbrechen bzw. den Viewer 

schliessen.

Fehlermeldung 




- es sind 

alternative 

Abbildungen 

enthalten 

- es sind 

Anweisungen zur 

Ausführung 

externer 

Programme 

enthalten 

- es sind 

Verweise auf 

externe Dateien 

enthalten 

- es sind 

Verzweigungen 

auf 

externe 

Dokumente 

enthalten 


Zustand des 


Diese Meldung kann Ihnen beim 


angezegt werden. 










315 


nicht betroffen, jedoch hat der Viewer 

erkannt, dass Anweisungen in dem 

PDF Dokument vorhanden sind, die 

nicht ausgeführt werden können. 

Sie sollten eine solche Datei nicht 

signieren. 







signieren. 







signieren. 







signieren.

316 

Fehlermeldung 




- es sind 

Anweisungen 

zum Verbergen 

von Inhalten 

enthalten 

- es sind 

Anweisungen 

zum Zugriff auf 

das Internet 

enthalten 

- es sind 

Anweisungen 

zum Abspielen 

von Media-Clips 

enthalten 

- es sind 


Ausführung 

benannter 

Aktionen 

enthalten 


Zustand des 




















signieren. 







signieren. 







signieren. 







signieren.

Fehlermeldung 




- es sind 

optionale Inhalte 

enthalten 

- es sind 


Steuerung von 

Media-Clips 

enthalten 

- es sind 


Übermittlung von 

Formulardaten 

enthalten 

- es sind 

Anweisungen 

zum Abspielen 

von Sound 

enthalten 


Zustand des 














317 







signieren. 







signieren. 







signieren. 







signieren.

318 

Fehlermeldung 




- es sind 


Steuerung 

besonderer 

Lesereihenfolgen 

enthalten 

- es wird 

Transparenz 

verwendet 

- es wurden 

Inhalte entdeckt, 

die nicht zum 

Dokument 

gehören 

- es sind 

Anweisungen 

zum Abspielen 

von Filmen 

enthalten 


Zustand des 




















signieren. 







signieren. 







signieren. 







signieren.

Fehlermeldung 




Das Dokument 

hat eine neuere 

Version als 1.6 

und kann aus 

diesem grund 

u.U. nicht 

eindeutig und 

fehlerfrei 

dargestellt 

werden. 

Es steht der 

Anwendung nicht 

genügend 

Speicher zur 

Verfügung! Bitte 

beenden Sie die 

Anwendung und 

starten Sie diese 

neu. 


Zustand des 





Diese Meldung kann Ihnen bei 

der Verwendung des Text- 

Extrakionsdialogs des Viewers 


319 

Der sichere Zustand ist nicht betroffen. 

sie haben jedoch ein Dokument 

geöffnet, welches eine PDF-Version 

spezifiziert, die größer als die erwartete 

Version 1.6 ist. 

Das bedeutet, dass die Datei unter 

Umständen nicht korrekt angezeigt 

wird. Sie sollten eine solche Datei nicht 

signieren, da der Viewer die 

zweifelsfreie Darstellung des 

Dokuments nicht gewährleisten kann. 

Der sichere Zustand ist nicht betroffen. 

Sie sollten jedoch den Viewer 

schliessen und das Dokument erneut 

öffnen. 

Unter bestimmten Umständen stellt 

das Betriebssystem nicht genügend 

Speicher für die Anwendung zur 

Verfügung. Um eine Missinterpretation 

der Daten auszuschliessen, sollten Sie 

das Dokument jedoch schliessen und 

erneut öffnen. Sie sollten das 

Dokument jedoch nicht signieren, 

bevor Sie den Inhalt des Dokuments 

nicht zweifelsfrei erkennen konnten.

320 

Technischer Support 

Bei Fragen in der Arbeit mit dem Produkt OPENLiMiT SignCubes 2.1 sollten Sie zunächst 

die Beschreibung in dem entsprechenden Kapitel des elektronischen Handbuches bzw. in 

der Benutzerdokumentation der OPENLiMiT SignCubes 2.1 nachlesen. 

Fehlermeldungen und Erklärungen finden Sie im Kapitel Erste Hilfe. 

Darüber hinaus steht Ihnen zur Unterstützung für die Software OPENLiMiT SignCubes 2.1 

ein telefonischer Support zur Verfügung. Weitere Informationen zum technischen Support 

und zu häufig gestellten Fragen (FAQ) finden Sie im Internet unter: www.openlimit.com. 

Vorab sollten Sie sich darüber informieren, welche Softwareversion Sie installiert haben. 

Diese Meldung finden Sie unter Start - Programme - OPENLiMiT - Show Version.

Index 

A 

Adobe Plugin • 167 

Adobe Plugin Grundeinstellungen • 168 

Arbeiten mit dem OPENLiMiT SignCubes Integrity Tool • 90 

Arbeiten mit dem OPENLiMiT SignCubes Security Environment Manager • 77 

Arbeiten mit dem OPENLiMiT SignCubes Viewer • 105 

Arbeiten mit den OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 • 76 

Arbeiten mit Lotus Notes 6.5.4 • 249 

Arbeiten mit Mozilla / Netscape Mail • 220 

Arbeiten mit Thunderbird • 239 

Arbeitsabläufe • 134 

Attributzertifikate • 128 

B 

Betriebssysteme • 16 

Bevor Sie beginnen • 3 

C 

Chipkarten • 20 

Chipkarten Optionen • 68 

D 

Dateien und Icons im Explorer • 165 

Dateiformate • 135 

Daten entschlüsseln • 161 

Daten verschlüsseln • 153 

Der OPENLiMiT SignCubes Drucker • 176 

Details • 142 

Die erste Signatur mit OPENLiMiT SignCubes • 163 

Drucker Eigenschaften - Dateiformate • 185 

Drucker Eigenschaften - Dateiname erstellen • 188 

Drucker Eigenschaften - Einstellungen • 183 

Drucker Eigenschaften - Embed Annotation • 194 

Drucker Eigenschaften - Programm - Start • 190 

Drucker Eigenschaften - Wasserzeichen • 192 

E 

Eigenschaften • 69 

Eigenschaften des Druckers • 182 

Einleitung • 1 

E-Mail Clients • 196 

Entschlüsselung • 160 

Erste Hilfe • 267 

Erstellen Prüfprotokoll • 147 

321

322 

F 

Fehlermeldungen des OPENLiMiT SignCubes Viewer • 301 

Fehlermeldungen OPENLiMiT SignCubes Security Environment Manager • 46, 273 

Fehlermeldungen vor oder während der Installation • 271 

Freischalten der Lizenz • 12 

G 

Grundlagen der elektronischen Signatur • 23 

I 

Installation • 8 

Internet Explorer • 255 

K 

Kartenleser • 17 

Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.2 • 53 

Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.3 • 1, 57 

Konfigurationsoptionen des OPENLiMiT SignCubes Security Environment Managers • 55 

L 

Lotus Notes • 243 

Lotus Notes 5 • 252 

Lotus Notes 6.5.4 Sicherheitseinstellungen • 244 

M 

Microsoft Outlook Einstellungen • 198 

Microsoft Outlook und Microsoft Outlook Express • 197 

Mindestanforderungen und Sicherheitsmaßnahmen • 5 

Mozilla / Netscape Browser Sicherheitseinstellungen • 262 

Mozilla / Netscape Mail • 207 

Mozilla / Netscape Mail Client Sicherheitseinstellungen • 208 

Mozilla / Netscape SSL Authentisierung • 265 

Mozilla Firefox Browser Sicherheitseinstellungen • 257 

Mozilla Firefox SSL Authentisierung • 260 

Mozilla Thunderbird • 225 

O 

Online Prüfung von Zertifikaten • 143 

Online Status • 144 

OPENLiMiT SignCubes Integrity Tool • 50 

OPENLiMiT SignCubes Security Environment Manager • 44 

OPENLiMiT SignCubes Shell Extension • 162 

OPENLiMiT SignCubes Viewer • 47 

Option 

Algorithmen • 66 

Allgemeine Einstellungen • 57 

Lizenzeinstellungen und Lizenzupgrade • 56 

PIN-Abfrage • 61 

Verzeichnisse • 60 

Zertifikate • 64 

P 

PDF Dokument signieren • 171

PIN ändern • 74 

Produktbestandteile • 3, 22 

Public Key Verfahren • 25 

R 

Rechtliche Aspekte der elektronischen Signatur • 31 

S 

Shell Extension Menü • 164 

Sicherheitskomponenten der OPENLiMiT SignCubes Basiskomponenten 2.1, Version 2.1.6.2 • 35, 

109, 268 

Signatur im PDF prüfen • 173 

Signatur prüfen • 140 

Signaturerzeugung • 26, 123 

Signaturverifikation • 28, 81 

Signieren • 138, 249 

Signieren und Verschlüsseln • 203 

Sperrlistenaktualisierung • 100 

SSL Authentisierung • 253 

T 

Technischer Support • 321 

Thunderbird Sicherheitseinstellungen • 226 

Typografische Konventionen • 2 

V 

Verschlüsselung • 152 

Verschlüsselungszertifikat exportieren • 155 

Verschlüsselungszertifikate in Kontakt integrieren • 204 

Verzeichnisdienst • 158 

W 

Wie gehe ich mit Fehlermeldungen um? • 268 

Z 

Zeitstempeldienste • 131 

Zertifikate exportieren • 72 

Zertifikate installieren • 156 

Zusammenfassung • 141 

323

OPENLiMiT SignCubes Viewer

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?