OpenLimit Benutzerdokumentation

Elektronisc 

hes 

Handbuch 

OpenLimit 

SignCubes 

2.5.0.3 

Elektronisches Handbuch 

OpenLimit SignCubes 2.5.0.3 

Stand: 23.02.2011

Handbuch OpenLimit SignCubes 2.5.0.3 

Copyright © OpenLimit SignCubes AG 2011 

Diese Dokumentation ist geistiges Eigentum der OpenLimit SignCubes AG. 

Sie darf ohne vorherige schriftliche Einwilligung der OpenLimit SignCubes AG nicht (auch nicht in 

Auszügen) vervielfältigt oder veröffentlicht werden, unabhängig von der Art und Weise oder mit welchen 

Mitteln, elektronisch oder mechanisch, dieses geschieht. Die in dieser Dokumentation verwendeten Softoder 

Hardwarebezeichnungen sind genauso wie Firmen- oder Markennamen in den meisten Fällen 

eingetragene Warenzeichen oder Marken und Eigentum der jeweiligen Hersteller. Sie werden ohne 

Gewährleistung der freien Verwendbarkeit benutzt. Wir richten uns im Wesentlichen nach den 

Schreibweisen der Hersteller. Die Wiedergabe von Waren- und Handelsnamen etc. in dieser Dokumentation 

- auch ohne besondere Kennzeichnung - berechtigt nicht zu der Annahme, dass solche Namen im Sinne der 

Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten sind. 

Alle in dieser Dokumentation enthaltenen Informationen wurden mit größter Sorgfalt zusammengestellt. 

Dennoch können fehlerhafte Angaben nicht völlig ausgeschlossen werden. Die OpenLimit SignCubes AG, 

die Autoren und die Übersetzer haften nicht für eventuelle Fehler oder deren Folgen. In dieser 

Dokumentation werden insbesondere Informationen über Signaturgesetze und entsprechende 

Verordnungen gegeben. Diese Informationen sollen zum Verständnis beitragen und haben nicht den 

Anspruch auf Vollständigkeit. Es obliegt jedem Nutzer selbst, sich über die gesetzlichen Grundlagen, auf 

denen die beschriebene Technologie beruht, zu informieren und die entsprechenden Maßnahmen zu 

ergreifen. 

Diese Dokumentation bietet dem Erwerber eine Anleitung zu den OpenLimit SignCubes Basiskomponenten 

2.5, Version 2.5.0.3. In Einzelfällen kann es zu Abweichungen zwischen den beschriebenen Abläufen, der 

Dokumentation und der tatsächlichen Anwendung kommen. Die OpenLimit SignCubes AG übernimmt keine 

Haftung für etwaige Abweichungen und deren Folgen. 

Da die Software ständig weiter entwickelt wird, behält sich die OpenLimit SignCubes AG Änderungen am 

Inhalt der Dokumentation ohne Ankündigung vor. 

Das Handbuch beschreibt sowohl die Sicherheitsfunktionalität als auch die korrekte Konfiguration und den 

richtigen Umgang mit den Produkten OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3. Die 

OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 wurden einer Evaluierung nach Common 

Criteria v2.3 mit Prüfniveau EAL4+ unterzogen und haben eine Sicherheitsbestätigung durch das 

Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Mehr Informationen zur 

Produktzertifizierung finden Sie auf den Webseiten des BSI unter http://www.bsi.de und der 

Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) 

unter http://www.bundesnetzagentur.de. 

2


Dieses Handbuch gehört zum Lieferumfang des bestätigten Produktes. 

Die Verfahrens-ID für das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 lautet T- 

Systems.02241.TU. Die Sicherheitsvorgaben und die Zertifizierungsreporte können in englischer Sprache 

von den Webseiten des Bundesamtes für Sicherheit in der Informationstechnik bezogen werden. 

Hinweise und Kommentare richten Sie bitte an documentation@OpenLimit.com. 

OpenLimit SignCubes AG 

Zugerstraße 76 B 

CH - 6341 Baar 

Switzerland 

www:openLimit.com 

3


Inhaltsverzeichnis 

1 Einleitung 9 

1.1 Typografische Konventionen 10 

1.2 Bevor Sie beginnen 10 

1.3 Mindestanforderungen und Sicherheitsmaßnahmen 12 

1.4 Installation 14 

1.5 Freischalten der Lizenz 17 

1.6 Betriebssysteme 20 

1.7 Kartenleser 21 

1.8 Chipkarten 23 

1.9 Produktbestandteile 24 

2 Grundlagen der elektronischen Signatur 25 

2.1 Public Key Verfahren 27 

2.2 Signaturerzeugung 28 

2.3 Signaturverifikation 30 

2.4 Rechtliche Aspekte der elektronischen Signatur 32 

3 Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 36 

3.1 OpenLimit SignCubes Security Environment Manager 43 

3.2 OpenLimit SignCubes Viewer 46 

3.3 OpenLimit SignCubes Integrity Tool 48 

4 Konfiguration der OpenLimit SignCubes Basiskomponenten 50 

4.1 Konfigurationsoptionen des OpenLimit SignCubes Security Environment Managers 51 

4.1.1 Option: Lizenzeinstellungen und Lizenzupgrade 53 

4.1.2 Option: Allgemeine Einstellungen 54 

4.1.3 Option: Verzeichnisse 58 

4.1.4 Option: PIN-Abfrage 59 

4


4.1.5 Option: Zertifikate 62 

4.1.6 Option: Algorithmen 64 

4.2 Chipkarten Optionen 65 

4.3 Eigenschaften 66 

4.3.1 Zertifikate exportieren 70 

4.3.2 PIN ändern 71 

5 Arbeiten mit den OpenLimit SignCubes Basiskomponenten 73 

5.1 Arbeiten mit dem OpenLimit SignCubes Security Environment Manager 73 

5.2 Signaturverifikation 77 

5.3 Arbeiten mit dem OpenLimit SignCubes Integrity Tool 87 

5.4 Sperrlistenaktualisierung 97 

5.5 Arbeiten mit dem OpenLimit SignCubes Viewer 101 

5.6 Signaturerzeugung 121 

5.7 Attributzertifikate 126 

5.8 Zeitstempeldienste 131 

5.9 XML Signaturen 134 

6 Arbeitsabläufe 138 

6.1 Dateiformate 138 

6.2 Signieren 140 

6.3 Signatur prüfen 142 

6.3.1 Zusammenfassung 143 

6.3.2 Details 144 

6.3.3 Online Prüfung von Zertifikaten 145 

6.3.4 Online Status 147 

6.3.5 Erstellen Prüfprotokoll 150 

6.4 Verschlüsselung 155 

5


6.4.1 Daten verschlüsseln 156 

6.4.2 Verschlüsselungszertifikat exportieren 158 

6.4.3 Zertifikate installieren 158 

6.4.4 Verzeichnisdienst 160 

6.5 Entschlüsselung 162 

6.5.1 Daten entschlüsseln 163 

7 OpenLimit SignCubes Shell Extension 164 

7.1 Die erste Signatur mit OpenLimit SignCubes 164 

7.2 Shell Extension Menü 165 

7.3 Dateien und Icons im Explorer 166 

8 Adobe Plugin 167 

8.1 Adobe Plugin Grundeinstellungen 168 

8.1.1 PDF Dokument signieren 170 

8.1.2 Signatur im PDF prüfen 171 

9 Der OpenLimit TIFF/PDF (PDF/A) Drucker 174 

9.1 Eigenschaften des OpenLimit PDF Producer 178 

9.2 Eigenschaften des OpenLimit TIFF Producers 179 

9.3 Eigenschaften des OpenLimit SignCubes Druckers (nur Windows NT) 180 

9.3.1 Drucker Eigenschaften – Einstellungen 181 

9.3.2 Drucker Eigenschaften - Dateiformate 183 

9.3.3 Drucker Eigenschaften - Dateiname erstellen 185 

9.3.4 Drucker Eigenschaften - Programm - Start 187 

9.3.5 Drucker Eigenschaften - Wasserzeichen 189 

6


9.3.6 Drucker Eigenschaften - Embed Annotation 191 

10 E-Mail Clients 193 

10.1 Microsoft Outlook und Microsoft Outlook Express 193 

10.1.1 Microsoft Outlook Einstellungen 194 

10.1.2 Signieren und Verschlüsseln 198 

10.1.3 Verschlüsselungszertifikate in Kontakt integrieren 200 

10.2 Mozilla / Netscape Mail 202 

10.2.1 Mozilla / Netscape Mail Client Sicherheitseinstellungen 203 

10.2.2 Arbeiten mit Mozilla / Netscape Mail 217 

10.3 Mozilla Thunderbird 221 

10.3.1 Thunderbird Sicherheitseinstellungen 222 

10.3.2 Arbeiten mit Thunderbird 236 

10.4 Lotus Notes 241 

10.4.1 Lotus Notes 6.5.4 Sicherheitseinstellungen 242 

10.4.2 Arbeiten mit Lotus Notes 6.5.4 247 

10.4.3 Lotus Notes 5 250 

11 SSL Authentisierung 251 

11.1 Internet Explorer 252 

11.2 Mozilla Firefox Browser Sicherheitseinstellungen 253 

11.3 Mozilla Firefox SSL Authentisierung 257 

11.4 Mozilla / Netscape Browser Sicherheitseinstellungen 258 

11.5 Mozilla / Netscape SSL Authentisierung 262 

12 Erste Hilfe 263 

7


12.1 Wie gehe ich mit Fehlermeldungen um? 263 

12.2 Fehlermeldungen vor oder während der Installation 266 

12.3 Fehlermeldungen OpenLimit SignCubes Security Environment Manager 268 

12.4 Fehlermeldungen des OpenLimit SignCubes Viewer 280 

12.5 Technischer Support 290 

13 Index 290 

8

Glossar 


CC Die Common Criteria ist ein internationals Normen- und Regelwerk, welches Vorgaben zur 

sicherheitstechnischen Untersuchung von IT Produkten definiert. 

CRL Eine Certificate List ist eine Liste, die von einem Zetrifikatsanbieter herausgegeben wird und eine Liste aller 

Zetrifikate enthält, die zum Zeitpunkt des Abrufs der Sperrliste durch den Inhaber des zertifikats gesperrt 

worden ist. 

OCSP Online Certificate Status Protocol ist ein Protokoll, welches über eine Online Abfrage die Möglichkeit bietet, bei 

dem Herausgeber zu erfragen, ob ein Zerifikat bekannt bzw. gesperrt ist. Dieses verfahren wird als so genannte 

Positiv Auskunft bezeichnet. 

RSA Kryptographische Mechanismen, benannt nach den Erfindern Ronald L. Rivest, Adi Shamir und Leonard Adleman 

ECDSA Elliptic Curve Digital Signature Algorithm, kryptographische Mechanismen basierend auf elliptischen Kurven 

CMS Cryptographic Message Syntax – beschreibt das Standardformat für kryptographische Nachrichten 

1 Einleitung 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 sind eine evaluierte und bestätigte 

Signaturanwendungskomponente gemäß deutschem Signaturgesetz (SigG) und der Signaturverordnung 

(SigV). 

9


Die bestätigten Komponenten bestehen aus dem OpenLimit SignCubes Security Environment Manager, dem 

OpenLimit SignCubes Viewer sowie dem OpenLimit SignCubes Integrity Tool, die auch Gegenstand der 

vorliegenden Benutzerdokumentation Version 2.5.0.3 sind. 

Die vorliegende Dokumentation Version 2.5.0.3 beschreibt die genannten Produktbestandteile und gibt 

Hinweise zur korrekten und sicheren Konfiguration des Produktes. Weiterhin werden alle Fehlermeldungen 

aufgelistet und Hinweise zum korrekten Umgang mit Fehlermeldungen gegeben. 

Bevor Sie anfangen, mit dem Produkt zu arbeiten, lesen Sie bitte die folgenden Kapitel der Hilfe 

aufmerksam durch: 

Bevor Sie beginnen 

Mindestanforderungen und Sicherheitsmaßnahmen 

Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 

Konfiguration der OpenLimit SignCubes Basiskomponenten (siehe "Konfiguration der OpenLimit 

SignCubes Basiskomponenten 2.5, Version 2.5.0.3") 

Eine Anleitung zum Umgang mit dem Produkt sowie der Nutzung einzelner Funktionen im Detail, finden Sie 

im Kapitel Arbeiten mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3. 

1.1 Typografische Konventionen 

Diese Hilfe verwendet einige typografische Konventionen, die Ihnen die Arbeit mit dem elektronischen 

Handbuch erleichtern. 

1.2 Bevor Sie beginnen 

Formatierung Beschreibung 

Fetter Text Mit dieser Formatierung werden besonders wichtige Passagen 

markiert. 

Normaler Text Dies ist die normale Textformatierung für dieses Handbuch. 

Die vorliegende Benutzerdokumentation Version 2.5.0.3 ist Bestandteil der erfolgten 

Sicherheitsevaluierung und Sicherheitsbestätigung und bezieht sich ausschließlich auf die OpenLimit 

SignCubes Basiskomponenten 2.5, Version 2.5.0.3. 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 sind Bestandteil des Produktes, das Sie 

auf CD-ROM oder Online von der OpenLimit SignCubes AG oder einem ihrer Reseller erworben haben. Das 

10


vorliegende Handbuch Version 2.5.0.3 beschreibt ausschließlich den korrekten Umgang mit den 

Basiskomponenten, für die weiteren Produktbestandteile steht Ihnen eine separate Hilfe zur Verfügung. 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 sind eine Sicherheitssoftware, die Ihnen 

die Erstellung und Verifikation elektronischer Signaturen konform zum deutschen Signaturgesetz (SigG) 

und zur Signaturverordnung (SigV) bietet. Für die sichere Benutzung der OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3 benötigen Sie neben der Software eine Chipkarte und einen 

Kartenleser mit sicherer PIN-Eingabe. 

Dieses Handbuch Version 2.5.0.3 erläutert die Grundlagen zur elektronischen Signatur, die 

Sicherheitskomponenten und Sicherheitsfunktionen des Produktes, zur korrekten Konfiguration sowie den 

Umgang mit dem Produkt. In einem separaten Kapitel werden die Fehlermeldungen und mögliche Ursachen 

für diese Fehlermeldungen aufgeführt. Dieses Kapitel enthält Hinweise und Handlungsempfehlungen, für 

den Fall, dass eine Fehlermeldung von dem Produkt angezeigt wird. 

Sie sollten die folgenden Kapitel lesen, um sicher zu stellen, dass Ihr Rechner die Voraussetzung für den 

Einsatz des Produktes erfüllt: 

Mindestanforderungen und Sicherheitsmaßnahmen 

Betriebssysteme 

Chipkarten 

Kartenleser 

Produktbestandteile 

Sie sollten vor der ersten Verwendung des Produktes das Kapitel Freischalten der Lizenz lesen, um die 

richtige Freischaltung der Lizenz vorzunehmen. Wir empfehlen außerdem, dass Sie vor der ersten 

Verwendung der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 das Kapitel Konfiguration der 

OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 vollständig lesen. 

Hinweis: Sofern Ihr Betriebssystem Benutzerrechte unterstützt, benötigen Sie Administrationsrechte, 

um die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 zu installieren. 

Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt nach der 

Installation und vor der ersten Anwendung des Produktes das OpenLimit SignCubes Integrity Tool 

ausführen, um die Korrektheit der Installation zu verifizieren. Weitere Informationen dazu finden Sie in 

dem Kapitel Arbeiten mit dem OpenLimit SignCubes Integrity Tool. 

11


1.3 Mindestanforderungen und Sicherheitsmaßnahmen 

Bitte stellen Sie sicher, dass Ihr Rechner und Ihre Einsatzumgebung den Anforderungen aus den Kapiteln 

entsprechen. 

Betriebssysteme 

Chipkarten 

Kartenleser 

Die folgenden Sicherheitsmaßnahmen müssen für den korrekten Einsatz des Produktes eingehalten 

werden: 

Benutzer sowie evtl. Administrations- und Wartungspersonal müssen den Anweisungen der 

Benutzerdokumentation Folge leisten. 

Wenn Sie das Produkt auf CD-ROM oder einem anderen Speichermedium bezogen haben, müssen Sie dieses 

geschützt vor dem Zugriff durch unberechtigte dritte Personen aufbewahren. Bevor Sie das Produkt 

installieren, stellen Sie bitte sicher, dass alle Sicherheitsmerkmale (wie z.B. Siegel und Laminierungen) der 

Verpackung unbeschädigt sind. Sollten Sie Zweifel an der Authentizität des Installationsmediums haben, 

wenden Sie sich an den Lieferanten. 

Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt nach der 

Installation und vor der ersten Anwendung das OpenLimit SignCubes Integrity Tool ausführen, um die 

Korrektheit der Installation zu verifizieren. 

Für den Einsatz der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 in der Windows Terminal 

Umgebung ist der Server in einer zutrittsgeschützten Einsatzumgebung und innerhalb eines 

verschließbaren und versiegelten Elektroschrankes unterzubringen. 

Sie müssen als Benutzer regelmäßig, wenigstens jedoch einmal im Monat, die Integrität der 

Produktinstallation auf Ihrem Rechner prüfen. Verwenden Sie dazu die Online-Komponente, die Ihnen über 

die Webseite https://www.OpenLimit.com/integritytool zu diesem Zwecke zur Verfügung gestellt wird. 

In der Windows Terminal Umgebung ist die Produktintegrität serverseitig sofort nach der Installation und 

dann regelmäßig, mindestens jedoch einmal im Monat, durch die Administratoren zuverlässig im Vier- 

Augen-Prinzip zu kontrollieren. 

12


Verwenden Sie stets einen Virenscanner und stellen Sie sicher, dass die aktuellen Virendefinitionen des 

Herstellers installiert sind. Wenn der Virenscanner keine Backdoor-Programme erkennen kann, sollten Sie 

ein entsprechendes zusätzliches Programm installieren. 

Für den Fall, dass Sie über einen Internet-Anschluss verfügen, müssen Sie eine Firewall einsetzen, um das 

Betriebssystem Ihres Computers vor Angriffen aus dem Internet zu schützen. 

Stellen Sie sicher, dass Sie über die volle Kontrolle über eingelegte Speichermedien und 

Netzwerkfreigaben verfügen. Konfigurieren Sie Ihren Rechner niemals so, dass auf den Installationspfad 

des Produktes über Netzwerkfreigaben durch Dritte zugegriffen werden kann. 

Der Zugriff und die Verwendung des Produktes durch den Anwender muss durch die Konfiguration des 

Rechners ermöglicht werden. Das bedeutet, dass der Rechner so konfiguriert sein muss, dass der 

Anwender durch den Computer-Administrator die Rechte eingeräumt bekommt, die er zur Benutzung des 

Produktes benötigt. 

Hinweis: Für den Einsatz der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 auf Windows 

Terminalserver 2003 hat die Remoteverbindung zwischen dem Terminalserver und dem bzw. den 

Terminalclients grundsätzlich verschlüsselt mit 128 Bit zu erfolgen. 

Bei Windows Terminal Server 2003 in Verbindung mit den Betriebsystemen Windows XP und Windows Vista 

clientseitig ist die Verschlüsselung mit 128 Bit bereits Standard für die Verbindung und unbedingt zu 

verwenden. 

Wenn Sie diese Regeln nicht einhalten, verlassen Sie die Umgebung, für die das Produkt zertifiziert und 

bestätigt ist. Die folgenden Anforderungen kann das Produkt nicht leisten: 

Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrtheit und der 

Geheimhaltung der privaten Schlüssel obliegt der Chipkarte. 

Sicherstellung der korrekten Uhrzeit auf dem Rechner des Anwenders. Das Produkt OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3 kann keine Aussagen über die Plausibilität der eingestellten Uhrzeit 

auf dem Rechner des Anwenders treffen. 

Sicherstellung der Integrität des Betriebssystems. Das Produkt enthält keine Mechanismen, um die 

Integrität seiner Umgebung zu prüfen. Sie müssen geeignete Vorkehrungen treffen, um eine 

Kompromittierung des Betriebssystems zu vermeiden. 

13

1.4 Installation 


Sicherheit der kryptografischen Operationen. Das Produkt verwendet Bibliotheken zur Erzeugung und 

Verifikation elektronischer Signaturen über das RSA bzw. ECDSA Public Key Verfahren. Zur 

Signaturerzeugung ist der Einsatz einer Chipkarte unabdingbar. Das Produkt kann die Stärke der 

kryptografischen Mechanismen nicht garantieren und keine Aussagen über die Stärke der 

kryptografischen Funktionen treffen. 

Die Leistungsmerkmale des Produktes sind auf diejenigen Funktionen beschränkt, die in diesem Handbuch 

Version 2.5.0.3 wiedergegeben werden. Als Anwender des Produktes sind Sie verpflichtet, die technischen 

und organisatorischen Maßnahmen einzuhalten, die von der vorliegenden Benutzerdokumentation Version 

2.5.0.3 vorgegeben werden. 

Um mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 arbeiten zu können, benötigen Sie 

eine Chipkarte mit einem Zertifikat für die qualifizierte elektronische Signatur gemäß deutschem 

Signaturgesetz und einen Kartenleser. Die für die OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 zulässigen Chipkarten sind in dem Kapitel Chipkarten aufgelistet. 

Die zulässigen Kartenleser sind in dem Kapitel Kartenleser aufgeführt. 

Stellen Sie sicher, dass Sie eine entsprechende Chipkarte zur Verfügung haben und der Kartenleser 

ordnungsgemäß installiert ist, bevor Sie anfangen, mit der Software zu arbeiten. 

Hinweis: Um einen Lizenzschlüssel mit dem Lizenz-Wizard zu aktivieren, benötigen Sie eine 

Produktkonfiguration, mit der die Verwendung eines unterstützten Chipkartenterminals und einer 

unterstützten Signaturkarte möglich ist. Verwenden Sie das OpenLimit SignCubes Integrity Tool, um die 

installierten Module anzuzeigen. 

Bevor Sie das Produkt installieren, lesen Sie den Abschnitt Mindestanforderungen und 

Sicherheitsmaßnahmen und Betriebssysteme gründlich, um zu gewährleisten, dass Ihr System einem der 

angegebenen Betriebssysteme entspricht. 

Sie können das Produkt wahlweise per Download über einen Web-Shop oder auf einem 

Installationsmedium, wie z.B. einer CD-ROM, bezogen haben. Der im Folgenden dargestellte Ablauf ist für 

beide Varianten identisch. Das Installationsprogramm kopiert die OpenLimit SignCubes Basiskomponenten 

2.5, Version 2.5.0.3 auf Ihren Rechner. Stellen Sie bitte nach der Installation sicher, dass das korrekte 

Produkt installiert wurde, in dem Sie das OpenLimit SignCubes Integrity Tool ausführen. Mehr 

Informationen dazu finden Sie im Kapitel Arbeiten mit dem OpenLimit SignCubes Integrity Tool. 

14


Falls Sie das Setup auf einer CD-ROM erhalten haben und diese in das Laufwerk einlegen, wird bei 

aktiviertem Autostart das Setup automatisch gestartet. Wenn Sie das Setup über einen Download bezogen 

haben, müssen Sie das Programm 'setup.exe' ausführen. Sie sehen dann das Fenster zur Sprachauswahl. 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 werden in deutscher und englischer 

Sprache ausgeliefert: 

Wenn Sie jetzt auf OK klicken, überprüft das Setup Programm die Installationsumgebung unter folgenden 

Gesichtspunkten: 

1. Entspricht das Betriebsystem den aufgeführten Mindestanforderungen? 

2. Sind die Mindestanforderungen an den Internet Explorer erfüllt? 

3. Verfügt der Benutzer über Administrationsrechte? 

4. Ist der schreibende Zugriff auf die Registry möglich? 

Wenn diese Voraussetzungen nicht erfüllt sind, wird eine Fehlermeldung angezeigt und das Setup 

Programm beendet. Wenn die Prüfung erfolgreich verlaufen ist, startet der Installationsvorgang. 

In dem folgenden Fenster haben Sie die Möglichkeit, den Zielordner für die Programmdaten zu ändern. 

15


Wenn Sie jetzt auf Weiter klicken, wird eine Seite angezeigt, auf der Sie die Lizenzvereinbarungen 

akzeptieren müssen. 

16


Nachdem Sie die Lizenzvereinbarungen akzeptiert haben, beginnt der eigentliche Installationsvorgang. 

Nach Bestätigung des Befehls Fertigstellen wird der OpenLimit SignCubes Security Environment Manager 

automatisch gestartet und das Modul zum Freischalten der Lizenz geöffnet. 

Hinweis zur Installation für Windows Terminalserver: Zur Arbeit mit den OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3 über Windows Terminal Server 2000 mit Citrix Frame oder 2003 

mit oder ohne Citrix Frame müssen die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 als 

Terminaldienste im Anwendungsmodus (nicht im Remoteverwaltungsmodus) installiert werden. Es ist 

ausreichend, die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 serverseitig zu 

installieren. 

Bei der Installation der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 in der Windows 

Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame Umgebung ist eine 

zuverlässige Administration des Servers durch das Vier-Augen-Prinzip zu gewährleisten. 

Die Kartenlesertreiber müssen nur auf den Clientrechnern installiert sein. 

Darüber hinaus gibt es für die Installation der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 

in der Windows Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame Umgebung 

eine zusätzliche Dokumentation. Diese wird gesondert durch die OpenLimit SignCubes AG zur Verfügung 

gestellt. 

Hinweis zur sicheren Konfiguration: Bei der Installation der OpenLimit SignCubes Basiskomponenten 

2.5, Version 2.5.0.3 wird automatisch eine sichere Konfiguration des Produktes eingestellt. Sie sollten 

Änderungen in den Konfigurationseinstellungen mit Hilfe der in diesem Handbuch Version 2.5.0.3 

beschriebenen Konfigurationsoptionen für die OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 erst dann vornehmen, wenn Sie im Umgang mit den Funktionalitäten vertraut sind. 

Grundsätzlich sollte das Produkt immer mit den empfohlenen Einstellungen betrieben werden. Über den 

Button Ausgangskonfiguration haben Sie die Möglichkeit, die bei der Installation eingerichteten 

Optionen wieder herzustellen. 

1.5 Freischalten der Lizenz 

Wenn Sie das Produkt zum ersten Mal starten, werden Sie aufgefordert, Lizenzierungsinformationen 

einzugeben. Sie haben die Lizenzinformationen entweder direkt von der OpenLimit SignCubes AG oder 

17


einem ihrer Reseller erhalten. Wenn der Lizenzmanager gestartet wird, sehen Sie den folgenden Dialog. 

Lesen Sie die Informationen gründlich und vergewissern Sie sich, dass Sie die Informationen verstanden 

haben. 

Klicken Sie so lange auf Weiter, bis Sie aufgefordert werden, den Lizenzcode einzugeben. 

Geben Sie den Lizenzcode ein oder klicken Sie auf den Button Reader. 

18


Nachdem Sie den Lizenzcode eingegeben haben, werden Sie aufgefordert, eine Signatur zu erzeugen. Sie 

können die Daten im OpenLimit SignCubes Viewer betrachten, um sich zu vergewissern, dass keine 

persönlichen oder vertraulichen Daten in den Lizenzinformationen enthalten sind. 

Nach Abschluss der Lizenzfreischaltung steht die Lizenz allen Anwendern des Computers zur Verfügung. 

Wenn Sie später eine andere Lizenz erwerben, können Sie ein Upgrade der Lizenz vornehmen. Gehen Sie 

dazu auf den Menüpunkt Eigenschaften des OpenLimit SignCubes Security Environment Managers und 

wählen Sie das Register Lizenz aus. Klicken Sie auf Lizenz-Upgrade, um eine Änderung der 

Lizenzinformationen vorzunehmen. 

Hinweis: Beachten Sie unbedingt, dass eine Weitergabe der Lizenzinformationen an Dritte nicht erlaubt 

ist und strafrechtlich durch die OpenLimit SignCubes AG verfolgt wird. Die zur Verfügung stehende 

Funktionalität des Produktes Version 2.5.0.3 hängt von dem Lizenzcode ab, den Sie erhalten haben. Sie 

können sich auf der Eigenschaftsseite des Produktes anzeigen lassen, welche Funktionen Sie lizenziert 

haben. Der grüne Haken bedeutet dabei, dass die Funktion zur Verfügung steht. Nicht verfügbare 

Funktionalität wird auch nicht angezeigt. 

19

1.6 Betriebssysteme 


Für die Freischaltung der Lizenz ist keine Online-Aktivierung des Produktes notwendig. Sie schützen die 

Lizenz jedoch durch die Erzeugung einer Signatur vor dem Missbrauch durch unberechtigte Dritte. Durch 

die Unterzeichnung der Lizenz mit Ihrem Signaturzertifikat beweisen Sie, dass Sie die Lizenz erworben 

haben und können dies auch in der Anzeige der Lizenzinformationen überprüfen. Mehr Informationen 

finden Sie im Kapitel Option: Lizenzeinstellungen und Lizenzupgrade. 

Für die Arbeit mit dem Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 benötigen Sie 

einen Intel 586 kompatiblen Prozessor, mindestens 120 MB freien Festplattenplatz und mindestens 128 MB 

RAM. Auf dem Rechner muss mindestens der Internet Explorer ab Version 5.01 installiert sein. Wenn Sie 

nicht über diese Mindestversion des Internet Explorers verfügen, laden Sie sich bitte die neueste Version 

des Internet Explorers von der Webseite der Firma Microsoft herunter. Darüber hinaus muss die Java 

Virtual Machine (JVM) ab Version 1.4.2.08 mit dem zugehörigen JRE (Java Runtime Environment) auf dem 

Computer installiert sein. Wenn Sie nicht über die Java Virtual Machine verfügen, können Sie diese unter 

http://java.sun.com herunterladen. 

Die folgenden Betriebssysteme werden von diesem Produkt unterstützt: 

Windows NT 4.0 ab Service Pack 6.0 

Windows 2000 ab Service Pack 2.0 

Windows 2003 

Windows 2003 64 Bit Edition 

Windows XP Home und Professional 

Windows XP 64 Bit Edition 

Windows XP Tablet PC Edition 

Windows Vista 32 Bit und 64 Bit 

Windows 2008 

Windows 2008 64 Bit Edition 

Windows 2000 Terminal Server mit Citrix Meta-Frame 

Windows 2003 Terminal Server mit und ohne Citrix Meta-Frame 

Windows 2008 Terminal Server 

Windows 7 32 Bit und 64 Bit Edition 

Abhängig vom Zustand Ihres Betriebssystems nimmt das Setup Programm Aktualisierungen des 

Betriebssystems vor. Dafür kann ein mehrmaliger Neustart des Rechners notwendig sein, was nicht auf die 

Installation der Software OpenLimit Basiskomponenten 2.5, Version 2.5.0.3 sondern auf die notwendigen 

Betriebssystemupdates zurückzuführen ist. 

20

1.7 Kartenleser 


Das Setup für die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 nimmt ggf. notwendige 

Updates des Betriebssystems vor. Diese Updates stellen sicher, dass die Shell32.dll in der Mindestversion 

4.0 sowie die Microsoft SmartCard Base Components in der Minimalversion 1.0 vorhanden sind. 

Hinweis: Um den Rechner optimal vor Sicherheitslücken zu schützen und die korrekte Arbeit des 

Produktes zu gewährleisten, sollten stets die aktuellen Sicherheits-Updates installiert werden. 

Schützen Sie Ihren Rechner durch einen aktuellen Virenscanner und, sofern Sie über eine 

Internetanbindung verfügen, mit einer Firewall. 

Der Einsatz der folgenden Kartenleser wird durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 unterstützt: 

Cherry Smartboard G83-6700 LQ 

Cherry Smartboard G83-6744 LU 

Cherry ST-2000 

Fujitsu Siemens S26381-K329-V2xx HOS:01 

Kobil KAAN Advanced 

Kobil Systems B1 Pro USB 

Kobil KAAN TriB@nk 

Kobil EMV-TriCAP Reader 

Kobil SecOVID Reader III 

Omnikey Cardman 3621 


Reiner SCT cyberJack e-com v2.0 


Reiner SCT cyberJack pinpad v2.0 


Reiner SCT cyberJack e-com plus v3.0 

Reiner SCT cyberJack secoder 

SCM Microsystems SPRx32/ChipDrive PinPad 

SCM Microsystems SPRx32/ChipDrive PinPad (Firmware version 5.11) 

medCompact eHealth Card Terminal BCS Version 02.00 (Varianten mit 1 bzw. 2 Slots) 

Für die Erzeugung gesetzeskonformer (qualifizierter) Signaturen dürfen nur diejenigen SigG-konformen 

Kartenleser eingesetzt werden, die in diesem Handbuch Version 2.5.0.3 angegeben werden. Zum Zeitpunkt 

21


der Bestätigung des Produktes waren die aufgelisteten Kartenleser nach dem deutschen Signaturgesetz 

bestätigt und dürfen zur Erzeugung qualifizierter elektronischer Signaturen eingesetzt werden: 

Hinweis: Das Produkt unterstützt die Verwendung von Kartenlesern, die keine sichere PIN-Eingabe 

erlauben. Wenn Sie einen solchen Kartenleser verwenden, bewegen Sie sich außerhalb der bestätigten 

Konfiguration. Für die SigG-konforme Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, 

Version 2.5.0.3 ist nur die Verwendung der aufgeführten, bestätigten Kartenleser zulässig. 

Hinweis: Die folgenden Kartenleser sind auf Grund von Abweichungen in der Kompatibilität mit den 

genannten Signaturkarten nicht für die Erzeugung qualifizierter Signaturen verwendbar. 

Cherry Smartboard G83-6700 LQ: 

ZKA Banking Signature card, v6.2 NP, v6.2b NP, 6.2f NP, Type 3 from Giesecke & Devrient 

ZKA Banking signature card, v6.31 NP, Type 3 from Giesecke & Devrient 

ZKA Banking Signature Card, v6.32, Type 3 from Giesecke & Devrient 

ZKA Banking signature card, v6.4 from Giesecke & Devrient 

ZKA Banking signature card, v6.51 from Giesecke & Devrient 

ZKA Banking Signature Card, Version 6.6 from Giesicke & Devrient GmbH 

ZKA-Signaturkarte, ZKA 680 V5A, Version 5.10 from Gemplus-mids GmbH 

ZKA-Signaturkarte, ZKA 680 V5A, Version 5.11 from Gemplus-mids GmbH 

ZKA signature card, version 5.11 M from Gemplus GmbH (Gemalto) 

ZKA Signatur Karte, Version 5.02 from Gemplus-mids GmbH 

SecV1.5.3, from SAGEM ORGA GmbH 

STARCOS 3.0 with Electronic Signature Application V3.0 

STARCOS 3.2 QES, Version 1.1 

ZKA Banking Signature Card, Version 7.1.2 (ecD 7.1.2) from Giesecke & Devrient GmbH 

ZKA Banking Signature card, Version 7.2.1 (ecD 7.2.1) from Giesecke & Devrient 

ZKA signature card, Version 6.01 (ZKA680) from Gemplus GmbH (Gemalto) 

STARCOS 3.2 QES v.2.0, product name "Signtrust Card 3.2" 

STARCOS 3.2 QES v.2.0, product name "Signtrust MCard 3.2" 

STARCOS 3.2 QES v.2.0, product name "Signtrust MCard100 3.2" 

Kobil B1 Professional 

CardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AG 

Siemens CardOS M4.3 B 

22

1.8 Chipkarten 


Reiner SCT pinpad 2.0 

TCOS 3.0 Signature Card, Version 1.1 

medCompact eHealth Card Terminal BCS Version 02.00 

STARCOS 3.0 with Electronic Signature Application V3.0 


Nur unter Win 7 32Bit 


Weitere Informationen bezüglich Inkompatibilitäten bei Kartenlesern und Karten entnehmen Sie bitte der 

Bestätigungsurkunde. 

Hinweis: Für die Arbeit mit den Terminal Servern Windows 2000 mit Citrix Meta-Frame und Windows 

2003 mit und ohne Citrix Meta-Frame müssen die Kartenlesertreiber nur auf den Clientrechnern 

installiert sein. 

Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 ist für den Einsatz folgender 

Chipkarten vorgesehen: 

STARCOS 3.0 with Electronic Signature Application V3.0 from Giesecke & Devrient 

Siemens CardOS M4.3 B 

ZKA Banking signature card, v6.2b NP and 6.2f NP, Type 3 from Giesecke & Devrient 

ZKA Banking signature card, v6.2 NP, Type 3 from Giesecke & Devrient 

ZKA Banking signature card v6.31 NP, Type 3 from Giesecke & Devrient 

ZKA Banking signature card v6.32, Type 3 from Giesecke & Devrient 

ZKA Banking Signature Card, Version 6.4 from Giesecke & Devrient 

ZKA Banking Signature Card, Version 6.51 from Giesecke & Devrient 

ZKA Banking Signature Card, v6.6 from Giesecke & Devrient 

ZKA Banking Signature Card, Version 7.1.2 (ecD 7.1.2) von Giesicke & Devrient GmbH 

ZKA Banking Signature Card, Version 7.2.1 (ecD 7.2.1) von Giesicke & Devrient GmbH 

ZKA signature card, version 5.02 from Gemplus-mids GmbH 

23


ZKA signature card, ZKA 680 V5A Version 5.10 from Gemplus-mids GmbH 

ZKA signature card, ZKA 680 V5A Version 5.11 from Gemplus-mids GmbH 

ZKA signature card, ZKA 680 V5A Version 5.11 M from Gemplus GmbH (Gemalto) 

ZKA signature card, Version 6.01 (ZKA680) from Gemplus GmbH (Gemalto) 

ZKA SECCOS Sig v1.5.3 from Sagem Orga GmbH 

dgnserviceCard 

CardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AG 

BA PKCS# User Card with Siemens Card-API 


ACOS EMV-A03V1, Configuration B and Digital Signature Application a-sign Premium 

STARCOS 3.2 QES Version 1.1 

STARCOS 3.2 QES v.2.0, Produktname "Signtrust Card 3.2" 

STARCOS 3.2 QES v.2.0, Produktname "Signtrust MCard 3.2" 

STARCOS 3.2 QES v.2.0, Produktname "Signtrust MCard100 3.2" 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 unterstützen auch PKCS#15 kompatible 

Karten, die nicht in dieser Liste aufgeführt sind. Die vorliegende Sicherheitsbestätigung erstreckt sich 

nicht auf die Verwendung dieser Karten! OpenLimit übernimmt keine Garantie, dass jede PKCS#15 

kompatible Karte mit dem Produkt zusammen arbeitet. Die Verwendung von Chipkarten, die nicht in 

diesem Handbuch aufgeführt sind, liegt außerhalb der Bestätigung und ist daher nicht für die Erzeugung 

qualifizierter Signaturen geeignet. 

Die aufgelisteten Karten beziehen sich auf bestätigte Signaturkarten, die auf der Webseite der 

Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) 

veröffentlicht wurden. 

Hinweis: Wenn Sie eine Signaturkarte verwenden, die die Erzeugung mehrerer Signaturen in einem 

Durchgang erlaubt, müssen Sie die speziellen Sicherheitsauflagen, welche für diesen Betriebsmodus 

verlangt werden, einhalten. Diese Sicherheitsauflagen finden Sie in den Bestätigungsurkunden für diese 

Karten unter: 

1.9 Produktbestandteile 

www.bundesnetzagentur.de 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 beinhalten die folgenden Bestandteile: 

24


OpenLimit SignCubes Security Environment Manager als zentralen Bestandteil zur Verwaltung 

verfügbarer Signaturkarten, Kartenleser und zur Konfiguration des Produktes. Mehr 

Informationen finden sie im Kapitel OpenLimit SignCubes Security Environment Manager. 

OpenLimit SignCubes Viewer. Mehr Informationen finden Sie im Kapitel OpenLimit SignCubes 

Viewer. 

OpenLimit SignCubes Integrity Tool (Online). Mehr Informationen finden Sie im Kapitel OpenLimit 

SignCubes Integrity Tool. 

die vorliegende Benutzerdokumentation Version 2.5.0.3. 

Im Kapitel Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 finden Sie 

Erläuterungen zur richtigen Konfiguration des Produktes. Die richtige Bedienung wird Ihnen im Kapitel 

Arbeiten mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 erklärt. Der Umgang mit 

Fehlermeldungen wird Ihnen im Kapitel Erste Hilfe ausführlich erläutert. 

Hinweis: In Abhängigkeit von der Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, 

Version 2.5.0.3 steht die Funktion zur Signaturerzeugung und -prüfung über IBM Lotus Formes Viewer 

zur Verfügung. Das OpenLimit SignCubes Integrity Tool zeigt Ihnen an, ob dieses zusätzliche Modul 

installiert ist. 

Weiterhin verfügen die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 über die Möglichkeit, 

XML-Signaturen zu erzeugen bzw. zu verifizieren. Die Funktionalitäten können nur durch die Integration in 

Drittanwendungen aktiviert werden. In dem Kapitel XML Signaturen finden Sie weitere Informationen zur 

Erzeugung und Verifikation von XML-Signaturen. 

2 Grundlagen der elektronischen Signatur 

Elektronische Daten können leicht manipuliert werden. Ob im Internet oder direkt auf dem Computer - 

Veränderungen von Daten können bislang kaum ausgeschlossen werden. 

Aus einem Dokument können Passagen einfach gestrichen oder eingefügt werden. Der Urheber eines 

Dokuments ist nicht festzustellen. Genauso können Daten, die per E-Mail verschickt werden oder auf der 

25


Festplatte gespeichert sind, durch Hacker oder Trojaner ausgelesen werden. Zudem hat das Internet einen 

großen Nachteil: Niemand weiß, mit wem er es auf der anderen Seite zu tun hat. 

Deshalb war es auch lange Zeit undenkbar, dass elektronische Daten, die noch dazu im Internet verschickt 

werden, wo man den Kommunikationspartner nicht sehen kann, mit etwas ähnlichem wie einer 

Unterschrift versehen werden können. 

Durch die elektronische Signatur können zwei Probleme behoben werden: 

Eine unbemerkte Datenmanipulation ist nicht mehr möglich. 

Der Unterzeichner kann eindeutig identifiziert werden. 

Die Signatur macht jegliche absichtliche oder unabsichtliche Manipulation sofort ersichtlich. Über die 

Zertifikatsprüfung kann bewiesen werden, dass die Signatur nicht gefälscht wurde, der Zertifikatsinhaber 

also echt ist. Dabei werden keine persönlichen Daten des Inhabers preisgegeben - lediglich der Name. 

In diesem Abschnitt werden Ihnen die Grundlagen zur elektronischen Signatur auf Basis des RSA bzw. 

ECDSA Verfahrens dargestellt. Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 

unterstützen die Erzeugung und Verifikation elektronischer Signaturen auf Basis einer Chipkarte und eines 

Kartenterminals. Die Hashwertberechnung für die qualifizierte elektronische Signatur wird nach den 

Verfahren SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 vorgenommen, welche als anerkannte 

Verfahren für die Berechnung kryptografischer Prüfsummen durch die Bundesnetzagentur für Elektrizität, 

Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) ausgewiesen sind. Das RSA bzw. 

ECDSA Verfahren ist ein asymmetrisches Verfahren, welches die Einbettung des Produktes in eine PKI 

(Public Key Infrastruktur) ermöglicht. 

Häufig wird im Zusammenhang mit der elektronischen Signatur auch von der elektronischen Unterschrift 

gesprochen. Das deutsche Signaturgesetz erläutert den Begriff der elektronischen Signatur, insbesondere 

der fortgeschrittenen und der qualifizierten elektronischen Signatur. In diesem Handbuch werden Sie 

häufig die Begriffe der Signatur und der elektronischen Unterschrift lesen - beide Begriffe sind richtig und 

bedeuten inhaltlich das Gleiche. 

Die rechtlichen Aspekte zur elektronischen Signatur sind ausführlich im Abschnitt Rechtliche Aspekte der 

elektronischen Signatur erläutert. 

26


2.1 Public Key Verfahren 

Die Signatur und die Verschlüsselung, die mit einer Signaturkarte und dieser Software durchgeführt 

werden, basieren auf einer Public Key Infrastruktur (PKI). Sowohl bei der Signatur als auch bei der 

Datenverschlüsselung kommt eine asymmetrische Verschlüsselung zum Einsatz. Asymmetrisch bedeutet: 

Es werden immer zwei verschiedene Schlüssel verwendet, der private Schlüssel (private key) und der 

öffentliche Schlüssel (public key), die sich gegenseitig ergänzen. Daten, die mit dem einen Schlüssel 

"zugeschlossen" wurden, können nur mit dem anderen wieder "aufgeschlossen" werden. 

Der private Schlüssel befindet sich bei Chipkarten auf dem Chip der Karte und lässt sich nicht auslesen. 

Die zu verarbeitenden Daten werden auf den Chip geladen, dort ver- oder entschlüsselt und wieder in den 

Computer übertragen. Um den privaten Schlüssel zu benutzen, wird die richtige PIN benötigt, die 

zusätzliche Sicherheit gewährleistet. Der öffentliche Schlüssel ist in ein Zertifikat integriert und steht 

jedermann in Verzeichnisdiensten im Internet zur Verfügung oder kann per E-Mail versendet werden. Um 

sicher zu gehen, dass dieses Zertifikat und somit der Schlüssel nicht gefälscht wurde, lässt sich die 

Signatur des Herausgebers prüfen. 

Beim Signieren wird der private Schlüssel auf der Karte verwendet. Somit ist zweifelsfrei belegt: die 

Signatur kann nur vom Karteninhaber sein - nur er hat die Karte und die PIN. Beim Prüfen der Signatur 

wird der öffentliche Schlüssel verwendet, denn jeder soll eine Signatur prüfen können. Die 

Verschlüsselung verwendet die beiden Schlüssel in umgekehrter Reihenfolge. Hier kommt der öffentliche 

Schlüssel des Empfängers zum Einsatz, so dass nur dieser die Daten mit seinem privaten Schlüssel wieder 

entschlüsseln kann. 

Da der Chip einer Chipkarte für die Verarbeitung großer Datenmengen sehr lange benötigen würde, wird 

bei der Verschlüsselung ein automatisch generierter Zufallsschlüssel verarbeitet. Bei der Signatur wird ein 

Hashwert verschlüsselt, der einem Dokument eindeutig zugeordnet werden kann. 

27

2.2 Signaturerzeugung 


Die Signatur hat verschiedene Zwecke: Einerseits wird eine qualifizierte Signatur verwendet, um Briefe, 

Verträge etc. zu unterzeichnen. Andererseits gibt es auch fortgeschrittene Signaturen, die meistens dazu 

verwendet werden, Daten zu sichern, die man nicht unterschreiben möchte. Beispielsweise können auch 

Bild- oder Ton-Dateien signiert werden. Die Signatur schützt zwar nicht vor Veränderungen, macht diese 

aber eindeutig erkennbar. Ist eine Signatur intakt, bedeutet das, dass die Daten nicht geändert wurden. 

Beim Signieren einer Datei wird ein Hashwert gebildet, der mit einem Fingerabdruck vergleichbar ist. Zwei 

Dokumente können nie denselben Hashwert haben, es sei denn, sie sind identisch. 

Dieser Hashwert wird nach dem RSA bzw. ECDSA Verfahren unter Verwendung eines Schlüssels (mit einer 

Länge von mindestens 2048 Bit für qualifizierte Signaturen) verschlüsselt. Die Verschlüsselung des 

Hashwerts findet auf dem Chip der Karte statt. Dieser kleine Prozessor kann kleinere Datenmengen 

verarbeiten. Solch ein Vorgehen ist deshalb wichtig, weil der private Schlüssel die Karte so nie verlässt. 

Denn jegliche Daten, die in einem Computer sind, sind auch potentiell unsicher. Der Schlüssel bekommt 

also lediglich den Befehl, eine kleine Menge an Daten zu verschlüsseln. Die verschlüsselten Daten werden 

anschließend wieder in den Computer zurückgeschickt. Vorher muss der private Schlüssel durch die 

richtige PIN (Personal Identification Number) freigegeben werden, d.h., die Karte wird geöffnet. 

28


Hier ist der empfindlichste Punkt der gesamten Signatur. Nicht die Technik ist es, die den größten 

Unsicherheitsfaktor darstellt, sondern der Mensch. Folgende Punkte sollten Sie unbedingt beachten: 

Schreiben Sie die PIN niemals auf die Karte, den Kartenleser oder in die Nähe Ihres Computers. 

Lassen Sie sich nicht bei der PIN-Eingabe zusehen. 

Achten Sie darauf, dass auch aus der Ferne (Fenster gegenüber etc.) niemand Einblick auf Ihre 

Tastatur oder den Kartenleser hat. 

Geben Sie die PIN in keinem Fall an eine andere Person weiter. 

Benutzen Sie nach Möglichkeit (vor allem, wenn Sie wichtige Verträge o.ä. signieren) einen 

Kartenleser mit sicherer PIN-Eingabe. 

Nach dreimaliger falscher PIN-Eingabe ist der private Schlüssel unbrauchbar. 

Lassen Sie Ihre Karte nie liegen, wenn Sie den Raum verlassen oder Ihre Aufmerksamkeit 

abgelenkt ist. 

Diese hier kompliziert erscheinenden Vorgänge erledigt die Software natürlich automatisch. Der Nutzer 

muss nur auf Signieren klicken, die PIN eingeben und hat sofort eine signierte Datei. Diese besteht aus 

verschlüsseltem Hashwert, Originaldatei und öffentlichem Schlüssel. 

Grundsätzlich benötigen Sie für eine qualifizierte Signatur ein qualifiziertes Zertifikat. Die 

Signaturerzeugung als technischer Prozess sollte immer auf einer sicheren Signaturerzeugungseinheit, 

bestehend aus Kartenterminal, möglichst mit sicherer PIN-Eingabe, und einer Chipkarte vorgenommen 

werden. Weiterhin benötigen Sie eine Software, die Ihnen ein vertrauenswürdiges Umfeld für die 

Erzeugung einer elektronischen Signatur bietet. Grundsätzlich sollten Sie bei der Erzeugung einer 

qualifizierten elektronischen Signatur immer auf eine vorherige Visualisierung der Inhalte bestehen. 

29

2.3 Signaturverifikation 


Folgende Punkte sind bei der Prüfung wichtig: 

Ist das Dokument wirklich unverändert? Integrität der Daten. 

Ist der Signaturinhaber echt? Wurde sein Zertifikat nicht inzwischen gefälscht? Authentizität 

des Inhabers. 

Ist das Zertifikat nicht gesperrt? Zertifikatsstatus. 

1. Die Integrität des Dokuments lässt sich über den Hashwert beweisen: 

Das Dokument wird erneut gehasht. Der alte Hashwert wird entschlüsselt und mit dem neuen verglichen: 

Sind beide Hashwerte identisch, ist bewiesen, dass das Dokument nicht verändert wurde. Das erledigt die 

Software bei jeder Prüfung automatisch und in Echtzeit, d.h., die Software prüft den Hashwert ständig - 

nicht nur einmal. So werden auch Manipulationen am geöffneten Dokument sichtbar. Um den alten 

Hashwert zu entschlüsseln, benötigt der Prüfer den öffentlichen Schlüssel des Unterzeichners, denn die 

Signatur wurde ja mit der Karte, also mit dem privaten Schlüssel erstellt. 

Dieser öffentliche Schlüssel wird als Zertifikat an das signierte Dokument angehängt. 

30


2. Prüfung des Signaturzertifikates 

Die Echtheit und Unversehrtheit eines Zertifikates, also des mitgesendeten öffentlichen Schlüssels, wird 

über die Signatur des Herausgebers geprüft: Jedes persönliche Zertifikat ist von einem Trustcenter (CA) 

signiert. Ist diese Signatur gültig, wurde auch das Zertifikat nicht geändert. Natürlich kann auch die 

Echtheit des Herausgeberzertifikats geprüft werden, das oft wieder von einer anderen Instanz 

herausgegeben wurde. So ergibt sich ein Zertifizierungspfad, der sich bis zu einer vertrauenswürdigen 

Instanz (Root CA oder Wurzelzertifikat) zurückverfolgen lässt. Ist dieser Zertifizierungspfad korrekt und 

die Wurzel vertrauenswürdig, beweist dies die Authentizität des Signaturinhabers. 

In Deutschland ist bei qualifizierten Signaturen die Bundesnetzagentur für Elektrizität, Gas, 

Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) die oberste Instanz (Wurzel). Auch dieser 

Punkt wird von der Software überprüft. Logischerweise kann die Software aber nur überprüfen, ob der 

Zertifizierungspfad lückenlos ist. Um aber die verschiedenen Instanzen (CA's) des Pfades und das 

Wurzelzertifikat zu sehen, muss der Nutzer den Zertifizierungspfad überprüfen. Ob die Wurzel 

vertrauenswürdig ist (z.B. bei Signaturen aus anderen Ländern), obliegt der Entscheidung jedes Einzelnen. 

3. Prüfung des Zertifikatsstatus 

Der Zertifikatsstatus, d.h. die Information, ob ein Zertifikat zu dem Zeitpunkt der Signaturerstellung 

gesperrt war, kann beim Herausgeber überprüft werden: Die Trustcenter stellen Sperrlisten zum Download 

zur Verfügung oder haben eine Online-Zertifikatsabfrage bzw. bieten beides an. Wenn jemand seine 

Signaturkarte verliert, kann er diese über einen 24-Stunden Service sperren lassen und wird sofort 

gelistet. 

31


Die Prüfung des Zertifikatsstatus erfordert ein aktives Eingreifen des Benutzers. Wenn es sich um eine 

wichtige Unterschrift handelt (im Gegensatz zu einer Datensicherung), sollte vor der Signaturprüfung die 

aktuelle Sperrliste heruntergeladen werden. Handelt es sich um ein Trustcenter, das eine Online-Abfrage 

anbietet, kann der Zertifikatsstatus direkt über das Internet abgefragt werden. 

Wichtig ist dabei auch immer der Signaturzeitpunkt. Beispiel: Eine Signatur wurde am 1.7.2004 erstellt und 

wird dann ein Jahr später, am 1.7.2005 geprüft. Der Zertifikatsstatus sagt aus, dass das Zertifikat seit dem 

1.12.2004 gesperrt ist (z.B. Karte verloren). Das bedeutet, dass die Signatur wahrscheinlich dennoch gültig 

ist. Denn zum Zeitpunkt der Signaturerstellung war der Karteninhaber noch im Besitz seiner Karte. Der 

Zeitpunkt wird bei der Signaturerstellung in die Signatur mit einbezogen. Allerdings kann immer nur die 

Zeit benutzt werden, die das Betriebssystem des Computers zur Verfügung stellt. Bei bestehenden 

Zweifeln ist es am sichersten, sich das Dokument noch einmal signieren bzw. einen Zeitstempel hinzufügen 

zu lassen. 

Die Mechanismen der Signaturprüfung sind im Kapitel Arbeiten mit den OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3 - Signaturverifikation beschrieben. Als Benutzer des Produktes 

müssen Sie diesen Abschnitt gelesen haben, um das angezeigte Prüfergebnis des Produktes richtig 

interpretieren zu können. 

2.4 Rechtliche Aspekte der elektronischen Signatur 

Die Verwendun der elektronischen Signatur ist gesetzlich geregelt. Für die Europäische Union trat im 

Januar 2000 die Richtlinie über die Gemeinschaftlichen Rahmenbedingungen für elektronische Signaturen 

in Kraft. Diese Richtlinie enthält die Verpflichtung für jedes Mitgliedsland, die Regelungen in nationales 

Recht umzuwandeln. So werden elektronische Signaturen auch im internationalen Geschäftsverkehr 

möglich. 

In Deutschland sind die Rahmenbedingungen für rechtlich verbindliche elektronische Signaturen durch das 

Signaturgesetz (SigG), die Signaturverordnung (SigV) sowie das Erste Gesetz zur Änderung des 

Signaturgesetzes (1.SigÄndG) festgelegt. 

32


Die wesentlichsten Punkte der europäischen Richtlinie 

Die Gesetze kennen verschiedene Arten von Signaturen. Einfache Signaturen, fortgeschrittene Signaturen 

und qualifizierte Signaturen. Eine Signatur wird als qualifiziert bezeichnet, wenn sie: 

ausschließlich dem Unterzeichner zugeordnet ist, 

die Identifizierung des Unterzeichners ermöglicht, 

mit Mitteln erstellt wird, die nur der Unterzeichner kontrolliert, 

jede nachträgliche Änderung der signierten Daten erkennbar macht 

und auf einem qualifizierten Zertifikat beruht. 

Ein qualifiziertes Zertifikat wird nur von einem qualifizierten Zertifizierungsdiensteanbieter (Trustcenter) 

ausgestellt. Dabei gelten ganz besonders strenge Anforderungen hinsichtlich der Sicherheit der 

Schlüsselerstellung und der Organisation des Trustcenters. Die Einhaltung der gesetzlichen Vorschriften 

durch die Trustcenter wird von einer nationalen Behörde kontrolliert. In Deutschland ist das die 

Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur), 

im Internet unter www.bundesnetzagentur.de. Dort finden Sie auch eine Liste der qualifizierten und 

akkreditierten Trustcenter, die aktuellen Signaturgesetze und weitere Informationen zur Signatur. 

Die Rechtswirkung elektronischer Signaturen 

Qualifizierte Signaturen ... 

erfüllen die Anforderungen in Bezug auf elektronische Daten genauso wie die handschriftliche 

Unterschrift Anforderungen in Bezug auf Daten erfüllt, die auf Papier vorliegen. 

sind vor Gericht als Beweismittel zugelassen. 

... heißt es in den europäischen Richtlinien. Inwiefern diese Vorgaben in nationales Gesetz umgewandelt 

wurden, ist in jedem Land etwas unterschiedlich. 

Aber es bedeutet, dass elektronische Signaturen der eigenhändigen Unterschrift weitgehend gleichgestellt 

sind. In Deutschland ist dies durch die Änderung des § 126 BGB über die Schriftform umgesetzt worden. 

Darin wird bestätigt, dass die Schriftform eines unterschriebenen Dokuments mit der qualifizierten 

Signatur und einem elektronischen Dokument ersetzt werden kann. 

Allerdings gibt es auch Ausnahmen. In besonders empfindlichen Bereichen ist die elektronische Signatur 

nicht erlaubt, z.B.: 

Kündigung von Arbeitsverhältnissen 

Zeugnisse 

33


Bürgschaften 

Notarielle Beurkundungen 

Außerdem sind qualifizierte Signaturen vor Gericht als Beweis zugelassen, können aber eine Urkunde nicht 

ersetzen. Dies liegt in der Definition einer Urkunde begründet. Der Beweiswert ist aber so hoch 

einzustufen (Siehe § 126 BGB), dass sie einem Urkundenbeweis sehr nahe kommen dürfte. 

Anerkennung der verwendeten kryptografischen Algorithmen 

Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht jährlich eine Übesicht über die 

Algorithmen und zugehörigen Parameter, die zur erzeugung von Signaturschlüsseln, zum Hashen zu 

signierender Daten und zur erzeugung und Prüfung qualifizierte elektronischer Signaturen als geeignet 

anzusehen sind. Die aktuelle Fassung des Dokuments können Sie von den Webseiten des Bundesamtes für 

Sicherheit in der Informationstechnik 

www.bsi.de 

herunter laden. 

34


Die folgende Tabelle fasst die Eignung der Hashfunktionen zusammen: 

geeignet bis Ende Erzeugung 

2007 

qualifizierter 

(Übergangsfrist bis Zertifikate*: 

Ende Juni 2008) geeignet bis Ende 

2009 

Erzeugung 

qualifizierter 

Zertifikate**: 

geeignet bis Ende 

2010 


2010 


2014 

SHA-1 SHA-1 SHA-1 RIPEMD-160 SHA-224, SHA-256, SHA- 

384, SHA-512 

(SHA-1, RIPEMD-160)*** 

*d.h. zur Erzeugung qualifizierter Zertifikate, nicht aber zur Erzeugung und Prüfung anderer qualifiziert 

signierter Daten. 

** d.h. zur Erzeugung qualifizierter Zertifikate ≥20 bei Bit Entropie der Seriennummer, nicht aber zur 

Erzeugung und Prüfung anderer qualifiziert signierter Daten. 

***ausschließlich zur Prüfung qualifizierter Zertifikate. 

Für den RSA Algorithmus und die zugehörigen Schlüssellängen hat das Bundesamt für Sicherheit in der 

Informationstechnik die folgenden Vorgaben herausgegeben: 

Zeitraum 

Parameter 

bis Ende 2007 

Übergangsfrist bis 

Ende März 2008) 

n 1024 (Mindestw.) 

2048 (Empf.) 

bis Ende 2008 bis Ende 2009 bis Ende 2010 bis Ende 2014 

1280 (Mindestw.) 

2048 (Empf.) 


2048 (Empf.) 


2048 (Empf.) 


2048 (Empf.) 

Die folgende Tabelle fasst die Bitlängen für den DSA (Digital Signature Algorithm) basierend auf den 

elliptischen Kurven zusammen: 

Zeitraum 

Parameter 

p 1024 (Mindestwert) 

2048 (Empfehlung) 

bis Ende 2007 bis Ende 2008 bis Ende 2009 bis Ende 2014 

1280 (Mindestwert) 


1536 (Mindestwert) 


q 160 160 160 224 

2048 

35


3 Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 

OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 ist ein Produkt zum Erzeugen und Verifizieren 

fortgeschrittener und qualifizierter elektronischer Signaturen sowie zum Ver- und Entschlüsseln von 

Dokumenten. Die folgenden Abschnitte beschreiben die Sicherheitsmerkmale, die Ihnen durch die 

OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 zur Verfügung gestellt werden. Der genaue 

Wortlaut kann dem durch das BSI veröffentlichten Zertifizierungsreport in englischer Sprache für das 

Produkt entnommen werden. 

Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit Zertifikaten unter 

Verwendung eines Kartenterminals und einer Smartcard 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten die Funktion zur Berechnung von 

kryptographischen Prüfsummen (Hashwerten) nach den Algorithmen SHA-1, SHA-224, SHA-256, SHA-384, 

SHA-512 und RIPE-MD 160. Der korrekte Algorithmus wird von der Anwendung automatisch festgelegt. Um 

bei Bedarf diese Einstellungen anwenderspezifisch vornehmen zu können, sind entsprechende 

Einstellungen in der Registrydatei notwendig. Die Algorithmen SHA-224, SHA-256, SHA-384, SHA-512 und 

RIPE-MD 160 werden von der Bundesnetzagentur bzw. dem Bundesamt für Sicherheit in der 

Informationstechnik als geeignete Algorithmen für die Hashwertberechnung bei qualifizierten 

elektronischen Signaturen eingestuft. 

Im nächsten Schritt wird der berechnete Hashwert von einer Chip-Karte verwendet, um nach dem RSA bzw. 

ECDSA Verfahren eine elektronische Signatur zu erzeugen. Bei der Signaturerzeugung können Sie auf den 

OpenLimit SignCubes Viewer zurückgreifen, um die Daten, die Sie signieren möchten, in einer 

rechtsverbindlichen Art und Weise anzuzeigen. 

Bei der Erstellung der Signaturdatei können automatisch eine OCSP-Antwort, ein Zeitstempel sowie 

Attributzertifikate aufgenommen werden, um diese bei der Signaturverifikation zu verwenden. Das 

verwendete Signaturzertifikat wird immer automatisch in die Signaturdatei aufgenommen, um eine 

eindeutige Identifikation des Signaturerzeugers sicherzustellen. 

Verwenden Sie stets einen Kartenleser mit sicherer PIN-Eingabe und qualifizierte Chipkarten. Sie 

benötigen eine gültige Lizenz ab Modus 2 für das Produkt, um diese Sicherheitsfunktion nutzen zu können. 

Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die 

Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. 

36


Signaturverifikation 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten die Funktion zur Prüfung von 

Signaturen an beliebigen Dateien, deren kryptographische Prüfsummen (Hashwerte) nach den Algorithmen 

SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 berechnet wurden. Dabei wird eindeutig 

erkennbar, auf welche Daten sich die elektronische Signatur bezieht. Das Produkt teilt Ihnen mit, ob der 

Originalhashwert und der Verifikationshashwert identisch sind oder nicht, d.h. ob die Daten verändert 

wurden oder nicht. 

Für qualifizierte Signaturen ist der Hashalgorithmus SHA-1 ab 2008 nicht mehr zulässig. Für die Erzeugung 

anderer z.B. fortgeschrittener Signaturen kann der Algorithmus SHA-1 weiterhin zum Einsatz kommen. 

Bei der Signaturprüfung wird aus dem Signaturzertifikat das Herausgeberzertifikat ermittelt und die 

dazugehörige Sperrliste vom lokalen Datenträger geladen. Innerhalb der Sperrliste wird überprüft, ob ein 

entsprechender Eintrag für das Zertifikat vorhanden ist. War das Zertifikat zum Zeitpunkt der 

Signaturerzeugung bereits gesperrt, wird Ihnen dies angezeigt. 

Sie haben die Möglichkeit, eine OCSP-Abfrage zum Signaturzertifikat durchzuführen. Das Ergebnis der 

OCSP-Abfrage wird Ihnen in einer Statusmeldung angezeigt. 

Wurden bei der Signaturerstellung die Optionen zur automatischen OCSP-Abfrage, Erstellung eines 

Zeitstempels sowie das Mitsignieren von Attributzertifikate eingestellt, so werden diese Informationen bei 

der Signaturprüfung automatisch angezeigt. 


Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. Für eine korrekte 

Zetrifikatsprüfung anhand der Sperrlisten sollten Sie regelmäßig die aktuellen Sperrlisten laden. 

Erkennung von Manipulationen an Programm-Modulen 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten die Funktion zum Erkennen von 

Manipulationen an den ausgelieferten Bibliotheken und ausführbaren Dateien. Das Prüfmodul ermittelt die 

Hashwerte aller Bibliotheken und ausführbaren Dateien und vergleicht diese mit den Signaturen der 

einzelnen Dateien. Bei Abweichungen werden die OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 deaktiviert und Sie werden durch eine Textmeldung informiert. 

Es wird automatisch sichergestellt, dass das Prüfmodul nur von einer berechtigten Anwendung geladen 

werden kann. Das bedeutet, dass diese Anwendung mit dem gleichen Schlüssel signiert sein muss wie das 

auf Ihrem Rechner installierte Produkt. 

37


Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, werden die OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3 deaktiviert. Der sichere Zustand der Anwendung ist nicht mehr 

gewährleistet, da eine Manipulation vorgenommen wurde. Mit einer Textmeldung werden Sie auf diesen 

Zustand hingewiesen. 


Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. 

Anzeige der zu signierenden oder bereits signierten Daten 

Der in den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 enthaltene OpenLimit SignCubes 

Viewer bietet die Funktion, Inhalte, die angezeigt werden sollen, eindeutig darzustellen. Der OpenLimit 

SignCubes Viewer sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhalten ist. 

Weiterhin werden Sie informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind. 

Bei der sicheren Anzeige der Datei (PDF-, Text- oder TIFF Format) werden die folgenden Arbeitsschritte 

vorgenommen: Zunächst wird das Format geprüft. Handelt es sich um ein unbekanntes Format, wird eine 

entsprechende Fehlermeldung ausgegeben, die den Hinweis enthält, dass diese Datei nicht dargestellt 

werden kann. Werden aktive bzw. verdeckte Inhalte in der Datei erkannt, wird Ihnen eine Warnmeldung 

angezeigt. 

Der OpenLimit SignCubes Viewer kann Dokumente anzeigen, die der PDF Spezifikation 1.7 entsprechen 

(Abweichungen von der PDF Spezifikation werden weiter unten in diesem Kapitel aufgelistet). Die TIFF 

Erkennung richtet sich nach der Adobe TIFF Spezifikation 6.0. Für die Erkennung von Textdokumenten 

gelten die folgenden Regeln: 

Die folgenden Zeichen werden von dem OpenLimit SignCubes Viewer untersucht, um zu erkennen, dass es 

sich bei dem vorliegenden Dokument um ein Textdokument handelt. 

a) das NULL Byte (0x00) 

b) die Zeichen TAB (0x09), CR (Cariage Return, 0x0d) und LF (Line Feed, 0x0a) 

c) die Zeichen von 0x01 bis 0x1f mit Ausnahme der unter a) und b) angegebenen Zeichen 

d) die Zeichen von ' ' bis '~' (0x20 bis 0x7e) 

e) die deutschen ANSI-Umlaute (0xc4 (Ä), 0xd6 (Ö), 0xdc (Ü), 0xe4 (ä), 0xf6 (ö), 0xfc (ü)) 

f) die deutschen DOS Umlaute (0x81 (ü), 0x84 (ä), 0x8e (Ä), 0x94 (ö), 0x99 (Ö), 0x9a (Ü)) 

g) alle restlichen Zeichen 

Die folgenden Regeln für die Erkennung von Textdateien durch den OpenLimit SignCubes Viewer werden 

formuliert: 

38


Eine Sequenz von Zeichen der Kategorie a) ist am Ende einer Datei zulässig. Ein Zeichen der 

Kategorie a) innerhalb der Datei ist zulässig, mit Ausnahme der Erläuterung aus dem 

vorhergehenden Satz. Das Vorkommen von Zeichen der Kategorie a) innerhalb der Datei und am 

Ende der Datei ist nicht zulässig. 

Tritt mehr als ein Zeichen der Kategorie c) auf, handelt es sich nicht um eine Textdatei. Wenn 

bereits 2 Zeichen der Kategorie a) gefunden wurden, sind Zeichen der Kategorie c) nicht erlaubt. 

Liegt die Gesamtanzahl der Zeichen innerhalb der Datei aus Kategorie b), d), e) und f) unter 

80%, handelt es sich nicht um eine Textdatei. 

Weiterhin werden Warnungen durch den OpenLimit SignCubes Viewer generiert, wenn eines der 

folgenden Szenarien zutrifft. 

Die Kategorie g) ist nicht leer. In diesem Falle wird die folgende Warnung angezeigt: "Die Datei 

enthält Zeichen, die nicht eindeutig darstellbar sind!" 

Die Kategorien e) und f) sind beide nicht leer. In diesem Falle wird die folgende Warnung 

angezeigt, wenn nicht bereits das vorhergehende Szenario zutrifft: "Die Datei enthält sowohl 

'DOS'- als auch 'Windows'-Umlaute. Eine eindeutige Identifikation der korrekten Darstellung ist 

nicht möglich." 

Wenn Zeichen der Kategorie a) und/oder c) in dem Dokument vorhanden sind, wird die folgende 

Warnmeldung angezeigt: "Die Datei enthält Zeichen, die nicht eindeutig darstellbar sind!" 

Hinweis: Das hexadezimale Zeichen 0x00 wird wie folgend dargestellt: . Das hexadezimale 

Zeichen 0x7F wird wie folgend dargestellt: . Das Zeichen 0x00 führt zwar zu einer 

Warnmeldung des Viewers, es wird jedoch im Analysedialog keine gesonderte Warnmeldung 

ausgegeben, da dieses Zeichen in jedem Zeichensatz eine eindeutige Darstellung hat. 

Der OpenLimit SignCubes Viewer verarbeitet in PDF Dateien keine aktiven Code-Elemente, wie etwa Java- 

Script oder Multimedia-Objekte. Da das PDF Format die Einbettung verschiedener Ansichten ein und 

desselben Objektes erlaubt, zeigt der OpenLimit SignCubes Viewer grundsätzlich nur die Standard-Ansicht 

für diese Objekte an. Das bedeutet, dass Sie bei vorhandenen alternativen Darstellungen von Objekten 

grundsätzlich die Analysefunktionen des OpenLimit SignCubes Viewers benutzen müssen, um 

festzustellen, ob die alternativen Darstellungen Elemente enthalten, die den Inhalt des Dokuments 

verfälschen und Sie evtl. nicht bereit wären, diese Dokumentinhalte zu signieren. 

Die PDF Anzeige des OpenLimit SignCubes Viewers unterstützt das Dokumentformat PDF 1.7. Wenn Sie ein 

PDF Dokument mit dem OpenLimit SignCubes Viewer untersuchen, sollten Sie sicher stellen, dass die 

Angaben der PDF-Versionsnummer in dem Dokument der Version 1.7 oder darunter entspricht. Versionen 

nach der PDF-Version 1.7 können in dem Viewer nicht zweifelsfrei dargestellt werden, da spätere Versionen 

Elemente enthalten können, die vom Viewer nicht erkannt und auch nicht dargestellt werden können. 

39


Der Viewer enthält einige Abweichungen zu diesem Standard (Dokumentformat 1.7), die Sie kennen 

sollten: 

Der OpenLimit SignCubes Viewer unterstützt keine Transparenz. 

Der OpenLimit SignCubes Viewer zeigt grundsätzlich die Standardansicht von PDF Objekten an. 

Das PDF Format erlaubt die Angabe von alternativen Ansichten eines Objektes, die Ansicht kann 

z.B. von der Bildschirmauflösung abhängig sein. In diesem Falle werden Sie von dem Produkt 

gewarnt und haben die Möglichkeit, die Mittel des OpenLimit SignCubes Viewer zu verwenden, 

um die alternativen Darstellungen zu untersuchen. 

Der OpenLimit SignCubes Viewer unterstützt keine Multimedia-Elemente. Die Möglichkeit, z.B. 

animierte Flash-Filme anzuzeigen wird von dem Produkt nicht unterstützt. In diesem Falle wird 

Ihnen die Standard-Darstellung (z.B. das Flash-Icon) angezeigt. 

Die Funktion zur Anzeige von PDF Dateien hängt von der Lizenz ab, die Sie erworben haben. Wenn Ihre 

Lizenz nicht erlaubt, PDF Dateien anzuzeigen, steht Ihnen diese Funktion auch nicht zur Verfügung. 

Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel 

Mindestanforderungen dargelegten Anforderungen sicherstellen. Es werden keine aktiven Inhalte wie 

Scripte oder Programmcode interpretiert. 

Schutz vor Hashwertmanipulation 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten einen Schutz vor 

Hashwertverfälschung während des Signaturvorganges. Dazu wird vor dem Signaturvorgang der Hashwert 

über die zu signierenden Daten gebildet. Nach dem Signaturvorgang überprüft das Produkt die erzeugte 

Signatur, indem es die Signatur mit dem öffentlichen Schlüssel des verwendeten Signaturzertifikates 

verifiziert. Abschließend wird Ihnen eine Textmeldung angezeigt, dass die Daten signiert wurden. 

Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel 

Mindestanforderungen dargelegten Anforderungen sicherstellen. 

Sicherstellung der Unversehrtheit des Produktes 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten die Funktion zum Prüfen der 

Integrität der installierten Programm-Module. Diese Sicherheitsfunktion wird durch das OpenLimit 

SignCubes Integrity Tool realisiert. Das OpenLimit SignCubes Integrity Tool ist ein Java-Applet, das die 

Hash-Werte an den ausgelieferten sicherheitsrelevanten Modulen überprüft und somit sicherstellt, dass 

sich die Module noch in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden. 

40


Für die Nutzung des OpenLimit SignCubes Integrity Tool ist das Java Plugin notwendig, das über die 

Internetseite 

www.OpenLimit.com/integritytool 

geladen wird. Das Java Plugin sollte grundsätzlich erst nach positiver Prüfung der Signatur des Applets 

gestartet werden. 

Das Ergebnis der Prüfung durch das OpenLimit SignCubes Integrity Tool wird Ihnen in einer Textmeldung 

angezeigt. Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, ist der sichere Zustand der 

Anwendung nicht mehr gewährleistet und Sie sollten das Produkt auf Ihrem Rechner neu installieren. 

Die Überprüfung der Unversertheit der Programm-Module sollte regelmäßig, d.h. mindestens einmal im 

Monat, durchgeführt werden. 

Stellen Sie sicher, dass sie die im Kapitel Betriebssysteme aufgeführte Version der Java Virtual Machine 

installiert haben, um die korrekte Arbeitsweise dieser Funktion sicherzustellen. 

Import und Verarbeitung von OCSP Abfragen 

Das Produkt bietet Ihnen die Möglichkeit, über das OCSP (Online Certificate Status Protocol) Protokoll die 

Gültigkeit eines Zertifikates zu prüfen. Dazu können Sie zu einem Zertifikat eine OCSP Anfrage mit Hilfe 

des Produktes stellen und erhalten eine entsprechende Antwort von der CA, die das Zertifikat ausgestellt 

hat. Sie sollten diese Möglichkeit immer dann nutzen, wenn Sie sich über die Gültigkeit eines Zertifikates 

direkt beim Herausgeber versichern möchten. 

Sie haben ebenfalls die Möglichkeit, das Produkt so zu konfigurieren, dass eine OCSP Antwort vom 

Herausgeber automatisch zur elektronischen Signatur hinzugefügt wird. Damit geben Sie dem Empfänger 

einer von Ihnen signierten Datei die Gewissheit, dass Ihr Zertifikat zum Zeitpunkt der Signaturerstellung 

nicht gesperrt war. Es besteht die Möglichkeit, dass Sie sich die Einzelheiten der OCSP Antwort anzeigen 

lassen. In diesem Falle haben Sie außerdem die Möglichkeit, das Zertifikat zu begutachten, welches die 

OCSP Antwort unterschrieben hat. 

Während des Imports der OCSP Antwort prüft das Produkt immer die mathematische Gültigkeit der 

Antwort. Ist die mathematische Gültigkeit nicht erfolgreich geprüft worden, werden die OCSP Daten nicht 

importiert. Wenn Sie die Details zur OCSP Antwort begutachten, prüft das Produkt automatisch die 

gesamte Zertifikatskette bis hin zum Wurzelzertifikat auf der Basis von Sperrlisten. Stellen Sie in diesem 

Falle sicher, dass Sie über aktuelle Sperrlisten auf Ihrem Rechner verfügen. 

41


Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen 

dargelegten Anforderungen erfüllen. 

Import und Anbringen von Zeitstempeln 

Das Produkt erlaubt Ihnen das automatische Anbringen eines Zeitstempels an Daten, die Sie signiert 

haben. Dabei wird der Zeitstempel auf mathematische Korrektheit der Signatur überprüft und in die 

Signaturdatei, die Sie erzeugt haben, mit aufgenommen. Kann die mathematische Korrektheit der Signatur 

nicht erfolgreich geprüft werden, wird der Zeitstempel nicht mit aufgenommen und Ihnen wird eine 

entsprechende Fehlermeldung angezeigt. 

Um einen Zeitstempel automatisch zu den signierten Daten aufzunehmen, müssen Sie entsprechende 

Konfigurationseinstellungen an dem Produkt vornehmen. 



Prüfung von Zeitstempeln 

Wenn Sie eine signierte Datei erhalten, die einen Zeitstempel beinhaltet, können Sie die Gültigkeit des 

Zeitstempels überprüfen. Zu diesem Zweck haben Sie einen Dialog zur Verfügung, der Ihnen die 

Einzelheiten des Zeitstempels anzeigt. In diesem Falle wird die Signatur des Zeitstempels basierend auf 

Sperrlisten bis hin zum Wurzelzertifikat überprüft. Sie erhalten neben den eigentlichen Informationen, die 

Ihnen der Zeitstempel bereitstellt Informationen darüber, ob die Signatur des Zeitstempels selber gültig 

ist. Stellen Sie vor der Verwendung dieser Funktion sicher, dass Sie über aktuelle Sperrlisten verfügen. 



Freischalten und Verwendung von lizenzierten Funktionen 

Gemeinsam mit dem Produkt und Ihrer Signaturkarte haben Sie einen Lizenzschlüssel erhalten, den Sie bei 

der ersten Benutzung des Produktes eingeben müssen. Wenn Sie über keinen Lizenzschlüssel verfügen, 

können sie das Produkt zum Prüfen von Signaturen verwenden, jedoch keine Signaturen erstellen. Der 

Lizenzierungsassistent wird Sie durch den Lizenzierungsvorgang führen. Dabei werden keine vertraulichen 

Daten verwendet oder mit dem Hersteller des Produktes ausgetauscht. Sie werden während der 

Lizenzierung des Produktes aufgefordert, die vom Produkt erzeugte Lizenzdatei zu signieren. Dieser 

Vorgang dient zu Ihrer Absicherung, damit Sie später sicher sein können, eine gültige Lizenz Ihres 

Produktes zu verwenden. 

42


Wenn Sie über keinen Lizenzcode verfügen, können Sie das Produkt zum Verifizieren von PKCS#7 

Signaturen an TIFF und Text Dokumenten verwenden. Eine Signaturerzeugung ist in diesem Falle nicht 

möglich. 

Weiterhin werden die folgenden Modi in Abhängigkeit von der installierten Lizenz unterschieden: 

Reader-Modus: Im Reader-Modus haben Sie die Möglichkeit, TIFF und Text Dokumente mit dem 

Viewer zu betrachten. Die Prüfung von PKCS#7 Signaturen an diesen Dokumenten ist möglich, 

allerdings können Sie mit einer solchen (kostenfreien) Lizenz keine Signaturen erzeugen. 

Modus 2: Sie haben die Möglichkeit, TIFF und Text Dokumente zu betrachten und an diesen 

Dokumenten PKCS#7 Signaturen zu erzeugen. Sie können PKCS#7 Signaturen an diesen 

Dokumenten prüfen. 

Modus 3: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente zu betrachten. Sie können 

aber nur TIFF und Text Dokumente mit PKCS#7 Signaturen versehen. Sie haben die Möglichkeit, 

PKCS#7 Signaturen an allen drei Dokumentformaten zu überprüfen. Darüber hinaus können Sie 

in PDF Dateien eingebettete Signaturen verifizieren. 

Modus 4: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7 

Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. PDF 

Signaturen können ebenfalls geprüft werden. 

Modus 5: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7 

Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. Sie können 

zusätzlich eingebettete PDF Signaturen erzeugen und verifizieren. 

Der in diesem Zusammenhang verwendete Begriff PKCS#7 Signatur bezieht sich ausschließlich auf 

abgesetzte bzw. verbundene Signaturen. Signaturen innerhalb von PDF Dokumenten werden als PDF 

Signaturen bezeichnet, auch wenn diese technisch auf dem PKCS#7 Format basieren. 

Ein Upgrade der bei der Installation mitgelieferten Readerlizenz ist jederzeit möglich, allerdings benötigen 

Sie für diesen Vorgang eine Signaturkarte. Das Einspielen einer Lizenz mit geringeren Rechten als die 

bereits freigeschalteten Funktionen wird von dem Produkt verhindert bzw. nicht akzeptiert. 



3.1 OpenLimit SignCubes Security Environment Manager 

Der OpenLimit SignCubes Security Environment Manager ist das Kernstück des Softwarepaketes OpenLimit 

SignCubes Basiskomponenten 2.5, Version 2.5.0.3. Er wird standardmäßig automatisch mit dem 

43


Betriebssystem gestartet. Andernfalls kann der OpenLimit SignCubes Security Environment Manager über 

Start/Programme/OpenLimit SignCubes/OpenLimit SignCubes Manager gestartet werden. Er stellt die 

folgenden Funktionen zur Verfügung: 

Berechnung des Hashwertes unter Verwendung einer der Algorithmen SHA-1, SHA-224, SHA-256, 

SHA-384, SHA-512 und RIPE-MD 160. 

Erzeugung der Signatur unter Verwendung einer Chipkarte und eines Kartenlesers mit sicherer 

PIN-Eingabe 

Hinzufügen eines Zeitstempels zu einer erzeugten elektronischen Signatur 

Unterstützung von Attributzertifikaten bei der Erzeugung einer elektronischen Signatur 

Unterstützung der OCSP Abfrage bei der Erzeugung einer elektronischen Signatur 

Prüfung von Signaturzertifikaten über OCSP und Sperrlisten (CRL) 

Anzeige der OCSP Informationen zu einem Zertifikat 

Verarbeitung von Zeitstempelinformationen während der Signaturprüfung 

Anzeige von Zeitstempelinformationen 

Sicherstellung der Integrität und korrekten Installation der OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3 

Bereitstellung eines Interfaces für die Signaturerzeugung, Prüfung und Produktkonfiguration 

Im Prozess der Verifikation einer Signatur zeigt der OpenLimit SignCubes Security Environment Manager 

die zur Verfügung stehenden Informationen des qualifizierten Attributzertifikates, das zu dem 

qualifizierten Zertifikat zugehört, an. Der OpenLimit SignCubes Security Environment Manager ist in der 

Lage zu erkennen, ob ein Attributzertifikat zu einem Zertifikat dazugehört und bringt es zur Anzeige, 

sofern dieses vorhanden ist. 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 arbeiten mit Daten im PKCS#7 Format oder 

bei XML Daten im XML Signaturformat. Das bedeutet, dass das Produkt OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3 mit allen Anwendungen, die diese Formate unterstützen, kompatibel 

ist. 

Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 steuert die Kartenleser über 

PC/SC oder CT-API Schnittstellen an. Einige Hersteller liefern separate Programmbibliotheken zur 

Ansteuerung der sicheren PIN-Eingabe am Kartenleser. Die OpenLimit SignCubes Basiskomponenten 2.5, 

Version 2.5.0.3 verwenden diese Module, sofern diese vorhanden sind. Die durch die Software OpenLimit 

SignCubes Basiskomponenten 2.5, Version 2.5.0.3 unterstützten Chipkarten finden Sie in dem Abschnitt 

Chipkarten. Die Liste der unterstützten Kartenleser finden Sie in dem Abschnitt Kartenleser. 

44


Es ist möglich, mehrere Kartenterminals und Signaturkarten parallel zu nutzen. Für jedes Kartenterminal 

wird Ihnen ein entsprechendes Icon im System-Tray angezeigt. 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 dürfen für die Erzeugung qualifizierter 

(rechtskonformer) Signaturen nur mit SigG konformen Kartenlesern verwendet werden. Eine Liste dieser 

Geräte wird durch die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 

(Bundesnetzagentur) unter www.bundesnetzagentur.de veröffentlicht. 

Die Signaturprüfung erfolgt nach dem Schalenmodell und zusätzlich nach dem Kettenmodell (für 

qualifizierte Zertifikate) von dem Zertifikat des Anwenders bis zu dem Wurzelzertifikat der CA unter 

Einbeziehung der Sperrlisten. 

Zusätzlich zu der Sperrlistenabfrage unterstützen die OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 das Online Certificate Status Protocol (OCSP). Das OCSP Protokoll ermöglicht die Online-Abfrage der 

Gültigkeit eines Zertifikates. Diese Prüfung kann nur durchgeführt werden, wenn die Information zu dem 

OCSP Responder verfügbar ist. Das bedeutet, dass das Zertifikat eine Information enthalten muss, die es 

ermöglicht den OCSP Responder zu identifizieren. 

Eine weitere Funktion des OpenLimit SignCubes Security Environment Managers ist die Arbeit mit 

Zeitstempeln. Ein Zeitstempel kann eine Angabe im Zusammenhang mit der Signaturerstellung sein, aber 

auch eine Information bei der Signaturprüfung. Weitere Informationen zu Zeitstempeldiensten erhalten Sie 

in dem Abschnitt Zeitstempeldienste. 

Die Verfahrensweise der Beschaffung der Informationen des OCSP, der Sperrlisten und des Zeitstempels 

sind nicht Bestandteil der Evaluierung. 

Hinweis: Die Signaturerzeugung besteht immer aus zwei Teilschritten: der Erzeugung des Hashwertes 

und der Verschlüsselung des Hashwertes mit dem privaten Schlüssel des Zertifikates. Die 

Verschlüsselung des Hashwertes findet immer auf der Chipkarte statt, so dass der private Schlüssel 

Ihres Signaturzertifikates dem OpenLimit SignCubes Security Environment Manager zu keinem 

Zeitpunkt der Signaturerzeugung und auch zu allen anderen Zeitpunkten nicht bekannt ist. Dieses 

Verfahren stellt sicher, dass ein Missbrauch des privaten Schlüssels des Zertifikates ausgeschlossen 

ist. 

Die Verfahren zur Signaturerzeugung und Verifikation arbeiten mit dem RSA bzw. ECDS Verfahren für 

Public Key Kryptographie. Die Stärke der verwendeten Schlüssel beträgt bis zu 2048 Bit und ist von der 

eingesetzten Chip-Karte abhängig. 

45


Wird eine elektronische Signatur erzeugt, so legt der OpenLimit SignCubes Security Environment Manager 

bei der Codierung des PKCS#7 Datencontainers bzw. der XML Signatur die komplette Zertifikatsliste bis hin 

zum Wurzelzertifikat in dem Container ab. Das bedeutet, dass somit immer die komplette Zertifikatsliste 

für das prüfende Programm zur Verfügung steht und eine vollständige Signaturprüfung erfolgen kann. 

Es gibt für den Anwender keine direkte Möglichkeit, den OpenLimit SignCubes Security Environment 

Manager zur Signaturerzeugung, Signaturverifikation, Ver- und Entschlüsselung zu benutzen. Um diese 

Funktionalitäten zu nutzen, steht Ihnen der OpenLimit SignCubes Viewer zur Verfügung. 

Der OpenLimit SignCubes Security Environment Manager enthält Mechanismen, die sicherstellen, dass die 

ausgelieferten Module nicht manipuliert wurden. Dazu überprüft der OpenLimit SignCubes Security 

Environment Manager die Programmbibliotheken während des Ladevorganges auf die Korrektheit ihrer 

Signaturen. Wenn Sie eine Fehlermeldung erhalten, dass die Signatur einer Programmbibliothek 

beschädigt ist, deaktiviert der OpenLimit SignCubes Security Environment Manager den Zugang zu den 

angebotenen Sicherheitsfunktionen. Die genauen Meldungen sind im Kapitel Fehlermeldungen des 

OpenLimit SignCubes Security Environment Manager (siehe "Fehlermeldungen OpenLimit SignCubes 

Security Environment Manager") aufgeführt. Hilfeanleitungen in solchen Situationen finden Sie ebenfalls 

in diesem Kapitel. 

3.2 OpenLimit SignCubes Viewer 

Der OpenLimit SignCubes Viewer ist Bestandteil der OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 und bietet dem Anwender die Möglichkeit, sich gemäß den Anforderungen des §17 Absatz 2 SigG die 

zu signierenden Daten bzw. bereits signierte Daten anzeigen zu lassen. Der OpenLimit SignCubes Viewer 

sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhalten ist. Weiterhin werden Sie 

informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind. 

Bei der Signaturprüfung zeigt der OpenLimit SignCubes Viewer die Daten an, auf die sich die zur Prüfung 

ausgewählte Signatur bezieht. 

Hinweis: Der OpenLimit SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen 

und den Inhalt dieser Dokumente zu untersuchen. Die PDF Dokumente entsprechen der PDF 1.7 

Spezifikation. Sie sollten sich in jedem Fall vergewissern, um welche Version es sich bei der 

verwendeten PDF Datei handelt. Das TIFF Dokument kann eine mehrseitige TIFF Datei (Multipage-TIFF) 

sein. Die dargestellten Dokumentformate hängen von der erworbenen Lizenz ab. 

Werden unbekannte Inhalte oder Spezifikationen in den Dokumenten entdeckt, werden Sie von dem 

OpenLimit SignCubes Viewer darüber informiert. Werden Inhalte gefunden, die als verdeckte oder aktive 

46


Inhalte erkannt werden, sollten Sie das Dokument nicht signieren. Der OpenLimit SignCubes Viewer kann 

diese Inhalte nicht entfernen sondern die Dokumente nur untersuchen. Wenn Sie das Dokument dennoch 

signieren, unterschreiben Sie ein Dokument, welches Sie nicht in seiner richtigen Darstellungsform 

betrachten konnten. 

Wenn Sie ein farbiges TIFF Dokument signieren wollen, sollten Sie immer von der Möglichkeit der 

Graustufen und Schwarz/Weiß Betrachtung des Dokuments innerhalb des OpenLimit SignCubes Viewer 

Gebrauch machen. Der Abschnitt Arbeiten mit dem OpenLimit SignCubes Viewer zeigt Ihnen am Beispiel 

einer manipulierten TIFF Datei, wie Sie verdeckte Inhalte in einem solchen Dokument erkennen können. In 

diesem Kapitel erhalten Sie darüber hinaus eine Beschreibung der Darstellungsmöglichkeiten weiterer 

Dateiinhalte wie Bilder, Java Scripte und Texte, die in PDF Dateien enthalten sein können. 

Mit dem OpenLimit SignCubes Viewer können Dateien im Format PDF, TIFF und TEXT geöffnet werden, 

wobei diese Dokumente mit einer PKCS#7 Signatur versehen sein können. In diesem Falle haben Sie die 

Möglichkeit, die Gültigkeit der Signatur vom Viewer aus zu prüfen. 

Der OpenLimit SignCubes Viewer kann als separates Programm oder innerhalb des 

Signaturanforderungsdialoges gestartet werden. Innerhalb des Signaturanforderungsdialoges können Sie 

den OpenLimit SignCubes Viewer nur dann verwenden, wenn auch ein PDF, Text oder TIFF Dokument als 

das zu signierende Dokument erkannt wird. Der OpenLimit SignCubes Viewer wird als Programm 

‘siqView.exe‘ im Installationspfad der Anwendung installiert, weiterhin wird während der Installation eine 

Verknüpfung im Startmenü des Betriebssystems erzeugt. 

Der OpenLimit SignCubes Viewer kann die Dokumente zwar untersuchen und Warnungen zu den 

Dokumenten generieren sowie Prüfdetails anzeigen, jedoch muss die Entscheidung, ob eine Signatur an 

dem Dokument erzeugt werden soll, durch den Anwender selbst getroffen werden. Die inhaltliche 

Interpretation eines angezeigten Dokuments obliegt vollständig dem Benutzer und kann durch den 

OpenLimit SignCubes Viewer nicht geleistet werden. 

Hinweis zu den anzeigbaren Dokumentformaten 

Die anzeigbaren Dokumentformate hängen von der erworbenen Lizenz ab. Wenn Ihre Lizenz die Anzeige 

von PDF Dokumenten nicht erlaubt, können solche Dokumente auch nicht dargestellt werden. Wenn Sie 

über keinen Lizenzcode für das Produkt verfügen, können sie auch grundsätzlich keine elektronischen 

Signaturen mit dem Produkt erzeugen. Mehr Informationen finden Sie in der Beschreibung der 

Lizenzierungsvarianten unter Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5, 

Version 2.5.0.3. 

47


Hinweis für die Signaturerzeugung: 

Im folgenden Abschnitt wird erklärt, in welcher Situation der OpenLimit SignCubes Viewer ein 

Verbunddokument bzw. eine abgesetzte Signatur erzeugt. Für die Erzeugung von Signaturen benötigen Sie 

eine entsprechende Lizenz. 

Ausgangsdatei Erzeugtes Dateiformat 

TIFF-Datei ohne Signatur Signatur wird als abgesetzte Signaturdatei erzeugt. 

Text-Datei ohne Signatur Signatur wird als abgesetzte Signaturdatei erzeugt. 

TIFF-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei hinzugefügt. 

Text-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei hinzugefügt. 

TIFF-Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt. 

Text-Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt. 

PDF Datei ohne Signatur oder mit eingebetteter 

Signatur 

In Abhängigkeit von der Lizenz wird entweder 

eine eingebettete PDF Signatur oder eine abgesetzte 

PKCS#7 Signatur erzeugt. 

PDF Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signatur hinzugefügt. 

PDF Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt. 

3.3 OpenLimit SignCubes Integrity Tool 

Wenn Sie in die Situation geraten, dass Sie nicht mehr sicher sind, ob Ihr Rechner nicht manipuliert wurde, 

müssen Sie sicherstellen, dass das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 

noch wie vorgesehen arbeitet. 

Um die Integrität des Produktes auf Ihrem Rechner sicherzustellen, sollten Sie sich nicht nur auf die 

korrekte Arbeitsweise des OpenLimit SignCubes Security Environment Managers verlassen. Sie benötigen 

ein unabhängiges Werkzeug, welches im Zweifelsfall in der Lage ist, von einem vertrauenswürdigen 

Medium aus die Integrität des installierten Produktes auf Ihrem Rechner zu überprüfen. 

48


Das OpenLimit SignCubes Integrity Tool überprüft die Hash-Werte an den installierten 

sicherheitsrelevanten Programmbibliotheken. Es wird festgestellt, ob sich die Programmbibliotheken noch 

in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden. Nach erfolgter Prüfung 

wird ein Prüfbericht erstellt. 

Dazu berechnet das Java-Applet die Hashwerte nach SHA-256 und vergleicht sie mit den OpenLimit - 

Originalen. Sie können das Applet über die folgende URL aufrufen: 

https://www.OpenLimit.com/integritytool 

Weiterhin zeigt Ihnen das OpenLimit SignCubes Integrity Tool an, welche Chipkartenterminals und 

Signaturkarten von Ihrer Installation unterstützt werden. Wenn Sie eine Signaturkarte verwenden 

möchten, die von der aktuellen Installation nicht unterstützt wird, können Sie diese Unterstützung durch 

ein Add-On Setup zu Ihrer derzeitigen Installation hinzufügen. Verwenden Sie in jedem Falle das OpenLimit 

SignCubes Integrity Tool um zu überprüfen, ob die beabsichtigten Module Ihrer Installation hinzugefügt 

worden sind. 

Das OpenLimit SignCubes Integrity Tool bietet die Möglichkeit, Konfigurationen für Chipkarten zusätzlich 

zu der Standardinstallation einzuspielen. Diese Konfiguration sind Initialisierungsdateien, die festlegen, 

welcher Hash- und Signaturalgorithmus für die jeweilige Signaturkarte verwendet wird. Das OpenLimit 

SignCubes Integrity Tool kennt alle möglichen Konfigurationen für die Signaturalgorithmen und prüft bei 

dem Integritätscheck auch die verwendeten Algorithmen. 

Weitere Informationen dazu finden Sie in dem Kapitel Arbeiten mit dem OpenLimit SignCubes Integrity 

Tool 

Das Applet OpenLimit SignCubes Integrity Tool ist signiert, die Signatur wird von der Java Virtual Machine 

(JVM) geprüft. Sie müssen dem Zertifikat explizit vertrauen, mit dem das Applet signiert wurde. Die 

Seriennummer des Zertifikates, mit dem das Applet signiert wurde, lautet 

[30927389024320750942604185761776278687] und wurde von VeriSign herausgegeben. Das Zertifikat ist 

vom 27.05.2009 bis zum 27.05.2012 gültig. Für den Fall, dass das Zertifikat erneuert wird, veröffentlicht 

OpenLimit die Seriennummer des aktuellen Zertifikats auf der Webseite. 

Neben den im Kapitel Betriebssysteme genannten Voraussetzungen ist für die Abarbeitung des Java- 

Applets die korrekte Browserkonfiguration zur Verwendung der JVM notwendig. 

Weitere Hinweise zur Arbeit mit dem Java-Applet erhalten Sie in dem Kapitel Arbeiten mit dem OpenLimit 

SignCubes Integrity Tool. 

49


Stellt das OpenLimit SignCubes Integrity Tool fest, dass sich die Programmbibliotheken nicht mehr in 

ihrem Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher 

sollten Sie jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen 

wurde oder ein anderes Programm Ihren Rechner manipuliert hat. 

Hinweis: Starten Sie das OpenLimit SignCubes Integrity Tool nur von der Webseite 


und nach Prüfung des Server-Zertifikats. 

Sie müssen als Nutzer das Prüfprogramm regelmäßig ausführen, um die Integrität des Produktes 

sicherzustellen. Regelmäßig bedeutet in diesem Zusammenhang mindestens einmal im Monat. Weiterhin 

müssen Sie die Integrität des Produktes auf Ihrem Rechner sicherstellen, sobald Sie den Verdacht haben, 

dass die Programmdateien geändert wurden. 

Falls Sie das Produkt über einen Download bezogen haben, sollten Sie in jedem Fall, bevor Sie das Produkt 

zum ersten Mal anwenden, das OpenLimit SignCubes Integrity Tool ausführen, um die Korrektheit der 

Installation zu verifizieren. 

4 Konfiguration der OpenLimit SignCubes Basiskomponenten 

In diesem Abschnitt werden Ihnen die Konfigurationsoptionen des Produktes OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3 dargelegt und auf die sichere Konfiguration des Produktes 

eingegangen. Darüber hinaus werden Sie in jedem Abschnitt dieser Benutzerdokumentation Version 2.5.0.3 

auf die sicheren Parameter bei der Konfiguration hingewiesen. Abweichende Konfigurationen sollten Sie 

nach Möglichkeit nicht einsetzen, da unter Umständen der sichere Betrieb des Produktes nicht mehr 

gewährleistet werden kann. Vor der Arbeit mit dem Produkt müssen Sie die Konfiguration der 

Benutzereinstellungen des Produktes überprüfen, insbesondere, wenn Sie an einem Arbeitsplatz arbeiten, 

an dem auch andere Benutzer Zugriff auf das Produkt haben. 

Administration und Administratorrolle 

Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 erlaubt die individuelle 

Konfiguration der Benutzereinstellungen. Diese individuelle Konfiguration kann allerdings nur dann 

vorgenommen werden, wenn Sie als Benutzer über Administratorrechte verfügen oder Ihnen ein 

50


Administrator des Betriebssystems Administrationsrechte einräumt. Dies gilt daher nur für die 

Betriebssysteme Windows NT 4.0, Windows 2000, Windows XP und Windows Vista, da die individuelle 

Konfiguration des Produktes an Hand der vorhandenen Nutzer vorgenommen wird. 

Die Administration des Produktes ist also an die Administratorrolle des Betriebssystems geknüpft. Es wird 

keine gesonderte Unterscheidung zwischen diesen beiden Rollen im Verlauf dieses Handbuches 

vorgenommen. Wenn in diesem Handbuch von der Rolle des Administrators gesprochen wird, ist damit ein 

Benutzer mit Administrationsrechten auf dem jeweiligen Rechner gemeint bzw. ein Benutzer, dem durch 

den jeweiligen Administrator des Betriebssystems das Recht eingeräumt wurde, das Produkt individuell zu 

konfigurieren. 

Einräumen von Konfigurationsrechten an andere Benutzer 

Sie können die Bindung an die Administratorrolle im Betriebssystem zur Konfiguration des Produktes 

OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 aufheben, indem Sie einen Wert in der 

Registry ändern. Diese Änderung hat dann zur Folge, dass jeder Benutzer des Rechners eine individuelle 

Konfiguration des Produktes vornehmen kann. Da das Produkt automatisch eine sichere Konfiguration 

nach der Installation einnimmt, sollten Sie von dieser Option nach Möglichkeit keinen Gebrauch machen. 

1. Öffnen Sie den Registry Editor des Betriebssystems. 

2. Öffnen Sie den Schlüssel HKLM/Software/SignCubes/Options 

3. Öffnen sie durch einen doppelten Klick auf den Eintrag Options den Wert User 

4. Tragen Sie statt der vorkonfigurierten 0 eine 1 ein. 

Mit diesem Eintrag haben Sie die Administratorrolle für das Produkt OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3, die durch das Betriebssystem vorgegeben ist, aufgehoben. Jetzt 

kann jeder Benutzer individuelle Einstellungen vornehmen, die auch für jeden Benutzer separat verwaltet 

werden. Durch diesen Mechanismus ist sichergestellt, dass keine separaten Administrationsrollen für das 

Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 definiert sind. 

4.1 Konfigurationsoptionen des OpenLimit SignCubes Security Environment Managers 

Der OpenLimit SignCubes Security Environment Manager bietet zwei Menüs zur Konfiguration. Das erste 

Kontextmenü des OpenLimit SignCubes Security Environment Managers wird beim Klicken auf das 

OpenLimit Icon geöffnet. Das zweite Kontextmenü enthält spezifische Konfigurationsoptionen für die 

jeweilige Chipkarte und wird im Kapitel Chipkarten Optionen behandelt. 

Wenn Sie auf das Icon OpenLimit klicken, wird ein Kontextmenü geöffnet. 

51


Hier sind Menüpunkte betreffend der Software gelistet: 

Sperrlistenaktualisierung: Während der Signaturprüfung werden immer die aktuell auf dem 

Rechner verfügbaren Sperrlisten verwendet. Daher sollten Sie in regelmäßigen Abständen (im 

Normalfall täglich) diese Option nutzen, um aktuelle Sperrlisten auf Ihren Rechner herunter 

zuladen. Zusätzlich zur Sperrlistenprüfung können Sie die Online - Prüfung nutzen, um den 

Status des Signaturzertifikates zu ermitteln. Für die Online - Prüfung benötigen Sie eine 

Internetverbindung. Diese wird durch den OpenLimit SignCubes Security Environment Manager 

nicht automatisch hergestellt. 

Eigenschaften: Hier werden Einzelheiten über die Software angegeben. Sie können sich die 

installierten Module sowie deren Versionsnummern anzeigen lassen. Weiterhin können Sie 

sehen, welche Funktionen Sie lizenziert haben. Für dieses Produkt tragen die Programm-Module 

die Versionskennung 2.5.0.3. 

Einstellungen: In diesem Menü können sie globale Einstellungen am OpenLimit SignCubes 

Security Environment Manager vornehmen. Um diese Einstellungen vornehmen zu können, 

benötigen Sie die Rechte eines Administrators. 

Hilfe: Mit diesem Befehl wird die Benutzerdokumentation zu den OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3 geöffnet. 

Info: Hier werden Copyright- und Versionsinformationen der Basiskomponenten angezeigt. 

Beenden: Mit diesem Befehl wird der OpenLimit SignCubes Security Environment Manager 

beendet. Dann kann keine Signaturerzeugung bzw. Signaturverifikation vorgenommen werden. 

52


4.1.1 Option: Lizenzeinstellungen und Lizenzupgrade 

Wenn Sie sich vergewissern wollen, welche Lizenz des Produktes Sie erworben haben, können Sie sich über 

den Menüpunkt Eigenschaften des OpenLimit SignCubes Security Environment Managers die mit Ihrem 

eingegebenen Lizenzcode verbundenen freigeschalteten Eigenschaften des Produktes anzeigen lassen. Ein 

grünes Häkchen bedeutet, dass Sie die jeweilige Eigenschaft des Produktes lizenziert haben und Ihnen 

diese damit zur Verfügung steht. Funktionen, die Ihnen nicht zur Verfügung stehen, werden Ihnen auch 

nicht angezeigt. 

Wenn Sie in dem Menüpunkt Eigenschaften des OpenLimit SignCubes Security Environment Managers auf 

den Knopf Lizenzinhaber klicken, wird Ihnen das Zertifikat desjenigen Benutzers angezeigt, der die Lizenz 

auf dem Rechner freigeschaltet hat. Wenn Sie selbst die Lizenz frei geschaltet haben, muss Ihr Zertifikat in 

diesem Dialog angezeigt werden. 

53


Wenn Sie mehr Funktionen des Produktes nutzen möchten als Sie mit dem Lizenzcode freigeschaltet 

haben, können Sie einen entsprechenden Lizenzcode von der OpenLimit SignCubes AG oder einem ihrer 

Vertriebspartner erwerben. Sie müssen in diesem Falle das Produkt nicht deinstallieren, sondern können 

auf den Button Lizenz-Upgrade klicken. In diesem Falle wird der Lizenzmanager erneut gestartet und Sie 

können über einen entsprechenden Lizenzcode die gewünschten Funktionen frei schalten. 

Hinweis: Geben Sie die Installationspfade der OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 nicht im Netzwerk für andere Benutzer frei. 

Vor Verwendung der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 sollten Sie nochmals 

prüfen, ob die Lizenz korrekt ist, in dem Sie das OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 Icon, Eigenschaften anklicken und sich die verfügbaren Funktionen anzeigen lassen. Gleichfalls 

sollten Sie das Zertifikat des Lizenzinhabers prüfen. 

Wenn der Lizenzierungsassistent beim Start der OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 erscheint, ist keine Lizenzdatei vorhanden. Wenn dies trotz erfolgreich durchgeführter 

Lizenzierung auftritt, wurde eventuell die Lizenzdatei gelöscht. In diesem Falle sollten Sie die Integrität 

des Betriebssystems mit einem geeigneten Programm (z.B. Virenscanner) überprüfen und sicherstellen, 

dass nicht unberechtigte Dritte auf Ihren Rechner zugreifen können. 

4.1.2 Option: Allgemeine Einstellungen 

Wenn Sie im Kontextmenü des OpenLimit SignCubes Security Environment Managers auf Einstellungen 

geklickt haben, erscheint ein Dialog mit Registerkarten, die in den folgenden Abschnitten beschrieben 

werden. 

Hinweis: Sie können die Einstellungen an den Registerkarten nur dann ändern, wenn Sie auch über 

Administrationsrechte verfügen. Für das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 ist keine spezielle Administratorrolle definiert. Weitere Erläuterungen finden Sie im Abschnitt 

Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3. 

54


Die folgenden Optionen können Sie hier einstellen: 

Autostart des OpenLimit SignCubes Security Environment Managers: Setzen das Häkchen in 

der Checkbox, wenn Sie möchten, dass der OpenLimit SignCubes Security Environment Manager 

automatisch beim Start des Betriebssystems gestartet wird. Diese Option wird bei der 

Installation der Software aktiviert. Wenn Sie dieses Verhalten nicht möchten, können Sie das 

Häkchen entfernen. 

Sprache: Hier wird Ihnen die aktuell eingestellte Sprache angezeigt. Das Produkt unterstützt die 

Sprachen Deutsch und Englisch. 

Signaturformat: Hier haben Sie die Möglichkeit, das Dateiformat für zu signierende Dokumente 

einzustellen (Dokument und Signatur in einer Datei oder Dokument und Signatur in zwei 

verschiedenen Dateien). Diese Option hat keine Auswirkungen auf die sichere Anzeigeeinheit, 

d.h. der OpenLimit SignCubes Viewer erzeugt grundsätzlich PKCS#7 Signaturen (getrennte 

Dateien). Die erzeugten Dokumentformate der sicheren Anzeigeeinheit sind im Kapitel 

55


Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 

erläutert. Die Einstellung für XML-Signaturen wird wirksam, wenn die Signaturerzeugung der XML 

Daten über eine Drittanwendung gestartet wird. Weitere Informationen dazu finden Sie in dem 

Abschnitt XML Signaturen. 

Attributzertifikate automatisch mitsignieren: Sofern dieser Haken gesetzt ist, werden bei der 

Signaturerzeugung alle unter dem Ordner 'Eigene Dateien\Attribute Certificates' vorhandenen 

Attributzertifikate dahingehend durchsucht, ob sie zu diesem Zertifikat dazu gehören. Falls dies 

der Fall ist, wird das Attributzertifikat mitsigniert und dem Signaturzertifikat hinzugefügt. 

Signaturen automatisch mit Zeitstempel versehen: Hier können Sie den Signaturdaten 

automatisch einen Zeitstempel hinzufügen. Der Zeitstempel wird jedoch nicht mitsigniert, d.h., 

der Zeitstempel wird nicht durch die neu erstellte Signatur geschützt. 

Signaturen automatisch mit OCSP-Status versehen: Mit der Aktivierung dieser Funktion wird 

automatisch eine OCSP-Abfrage durchgeführt und das Abfrageergebnis wird den Signaturdaten 

hinzugefügt. Die OCSP-Antwort wird nicht durch die neu erstellte Signatur geschützt. 

Durch Anklicken des Buttons Ausgangskonfiguration werden die mit der Installation 

vorgenommenen Voreinstellungen wieder hergestellt. Durch die Anwendung dieses Befehls 

werden nur die Einstellungen für den aktiven Benutzer zurück gesetzt, nicht jedoch die 

Einstellungen, die für alle Benutzer gelten. 

Hinweis zur sicheren Konfiguration: Sie sollten den OpenLimit SignCubes Security Environment Manager 

automatisch beim Start des Betriebssystems starten lassen. Es wird nur dann das Deaktivieren dieser 

Option empfohlen, wenn das PC/SC Subsystem nach dem OpenLimit SignCubes Security Environment 

Manager gestartet wird und dieser dadurch beim Start des Betriebssystems keine Kartenleser erkennt. 

Das Speichern der Originaldaten und der Signatur in einer Datei oder die Erzeugung einer abgetrennten 

Signaturdatei haben keinen Einfluss auf die Sicherheit des Produktes OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3. 

Wenn Sie sich nicht sicher sind, ob sich Ihre Installation in der Originalkonfiguration befindet, verwenden 

Sie bitte den Befehl Ausgangskonfiguration, um die von Ihnen vorgenommenen Änderungen zu verwerfen. 

Hinweis für die Einstellungen des Signaturformats: Wenn Sie die Einstellungen so treffen, dass 

Verbunddokumente beim Signaturvorgang erzeugt werden und Sie ein Dokument über die OpenLimit 

SignCubes Shell-Extension signieren, erhalten Sie ein Dokument mit der Endung '*.p7m'. Wenn Sie nun 

die Originaldaten ein weiteres Mal signieren möchten, werden Sie nach dem Namen der Ausgabedatei 

56


über einen 'Datei speichern unter...' Dialog gefragt, da die Signatur nicht dem '.p7m' Dokument 

hinzugefügt wird. Wenn Sie den Dateinamen beibehalten, wird das Originaldokument überschrieben. Sie 

können aber auch einen anderen Dateinamen angeben, unter dem dieses Dokument dann abgelegt wird. 

Die OpenLimit SignCubes Shell-Extension ist kein Bestandteil der OpenLimit SignCubes Basiskomponenten 

2.5, Version 2.5.0.3, greift aber über eine ebenfalls zertifizierte Schnittstelle auf die Funktionen des 

Produktes zurück. 

57

4.1.3 Option: Verzeichnisse 


Sie haben im Register Verzeichnisse die Möglichkeit, die Verzeichnisse für Sperrlisten und 

Stammzertifikate, die von der Software verwendet werden, umzukonfigurieren. Machen Sie von dieser 

Möglichkeit nur dann Gebrauch, wenn Sie sich sicher sind, dass Sie verstanden haben, wozu diese 

Verzeichnisse von der Software genutzt werden. 

Unter dem Register Verzeichnisse können die Speicherpfade für sicherheitsrelevante Dateien festgelegt 

werden. Standardmäßig steht der Pfad auf C:\Programme\OpenLimit\Data\ und dann der Name des 

jeweiligen Ordners. 

Was bedeutet sicherheitsrelevant? Beispiel Sperrlisten: Das Produkt OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3 verwendet bei der Prüfung von Signaturen Sperrlisten, um die 

58

4.1.4 Option: PIN-Abfrage 


Gültigkeit des Signaturzertifikates bei der Signaturerzeugung zu überprüfen. Die Sperrlisten, die Sie 

manuell vom Sperrlistenverteilungspunkt abrufen, werden im Verzeichnis für Sperrlisten gespeichert. 

Wenn Sie die Verzeichnisse für die Sperrlisten ändern, sollten Sie entweder die in diesem Verzeichnis bei 

der Softwareinstallation abgelegten Dateien ebenfalls in das geänderte Verzeichnis kopieren oder nach 

der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann die korrekte 

Signaturprüfung durch das Produkt nicht gewährleistet werden. 

Sperrlisten: Certificate Revocation Lists (CRLs) sind Listen mit gesperrten Zertifikaten, die von 

den Trustcentern herausgegeben werden. Anhand der Sperrlisten wird geprüft, ob das 

verwendete Signaturzertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt war. 

PKDs: (Public Key Directories) sind Verzeichnisse, in denen die öffentlichen Schlüssel, d.h., die 

Zertifikate von verschiedenen Herausgebern gelistet sind. Hier sind derzeit die von der 

Bundesnetzagentur herausgegebenen CA-Zertifikate enthalten. 

CTLs: (Certificate Trust Lists) sind Verzeichnisse, in denen vertrauenswürdige Wurzelzertifikate 

abgelegt werden können. Das Zertifikat der Bundesnetzagentur, dem wir generell vertrauen, ist 

in der Software integriert. Wenn Sie einer anderen Wurzel vertrauen möchten, speichern Sie das 

Zertifikat in diesem Ordner und legen Sie die CA-Zertifikate auch unter den PKDs ab. 

Wenn sie die Verzeichniseinstellungen falsch konfigurieren oder nicht alle notwendigen Schritte 

vornehmen, damit die Verzeichnisse von den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 

richtig genutzt werden können, ist ein scheinbares Fehlverhalten der Software möglich. Durch Ihre 

Einstellungen konfigurieren Sie selbst, welchen Zertifikaten Sie vertrauen und welchen nicht. 

Hinweis: Wenn Sie die Verzeichnisse ändern, dürfen die neuen Verzeichnisse nicht schreibgeschützt 

sein, da sonst das Ablegen von Sperrlisten in dem Verzeichnis fehlschlägt. 

Hinweis für die sichere Konfiguration: Sie sollten die Einstellungen der Verzeichnisse nicht ändern. 

Wenn Sie die Verzeichnisse ändern, beeinflussen Sie das Sicherheitsverhalten des Produktes. Sie 

sollten diese Einstellungen nur ändern, wenn Sie die obigen Ausführungen richtig verstanden haben. 

In diesem Register können Sie die Optionen für die PIN-Eingabe konfigurieren. Gehen Sie sensibel mit den 

einstellbaren Optionen um, da ein Missbrauch Ihrer Signaturkarte durch falsches oder unachtsames 

Vorgehen mit diesen Optionen erleichtert werden könnte. 

59


In diesem Dialog sind Optionen aufgeführt, welche die Eingabe oder Abfrage der PIN (personal 

identification number) betreffen: 

Sichere PIN-Eingabe automatisch verwenden: Diese Option garantiert, dass bei Kartenlesern, 

welche die sichere PIN-Eingabe unterstützen, diese auch automatisch verwendet wird. Diese 

Option kann in der ausgelieferten Konfiguration nicht abgewählt werden und sollte für eine 

sichere Konfiguration des Produktes immer aktiviert sein. Wenn Sie nicht die sichere PIN- 

Eingabe verwenden, steigt die Gefahr des Ausspähens der PIN durch entsprechende Programme. 

Karte für mehrere Arbeitsschritte öffnen: Wenn Sie größere Arbeitsaufgaben vor sich haben, 

die eine ständige Wiederholung der PIN-Eingabe erfordern, können Sie auch die Karte öffnen. 

Dann wird die PIN einmalig beim ersten Signaturvorgang abgefragt. Weitere Eingaben sind nicht 

mehr erforderlich in Abhängigkeit von Ihren weiteren Einstellungen. Dies ist beispielsweise sehr 

praktisch, wenn man eine Vielzahl von Dokumenten entschlüsseln muss. Auch die Signatur von 

zahlreichen Dateien kann so zeitsparend erledigt werden. 

60


Diese Funktion ist für die in dem Kapitel Chipkarten genannten Karten nur für die fortgeschrittene 

Signatur verfügbar. 

PIN abfragen: Falls Sie die Karte für mehrere Arbeitsschritte öffnen wollen, haben Sie zusätzlich 

die Möglichkeit, diese Option einzuschränken. 

Für qualifizierte Signaturen, fortgeschrittene Signaturen und für Entschlüsselung stehen folgende 

Varianten zur Verfügung: 

bei jeder Verwendung: Jedes Mal wird die PIN abgefragt. 

automatisch mit Begrenzung: Je nach Begrenzung ist die Benutzung eingeschränkt. 

keine weitere Abfrage: Die PIN muss nicht mehr eingegeben werden. 

Beispiel: Wenn Sie nur Entschlüsseln möchten, dann stellen sie die Auswahl bei qualifizierten und 

sonstigen Signaturen auf bei jeder Verwendung und bei Entschlüsseln auf keine weitere Abfrage. 

Begrenzung: Haben Sie oben auf automatisch mit Begrenzung gestellt, können Sie unten eine 

Begrenzung nach Anzahl oder Zeit eingeben. Wenn Sie die Parameter gesetzt haben und 

während des Arbeitens mit der Karte die Parameter ändern, müssen Sie die Karte ziehen und 

neu in das Chipkarten-Terminal stecken, damit die geänderten Einstellungen wirksam werden. 

Sicherheitshinweis: Wenn Sie die Optionen so konfigurieren, dass Sie keine PIN mehr eingeben müssen, 

gehen Sie ein erhöhtes Risiko des Missbrauchs Ihrer Signaturkarte ein. Sie sollten diese Optionen nur 

dann verwenden, wenn Ihr Rechner sicher frei von bösartiger Software wie Viren und Backdoor 

Programmen ist. Weiterhin sollten Sie Ihre Signaturkarte immer aus dem Kartenleser entfernen, sobald 

Sie den Arbeitsplatz verlassen. Wenn Sie diese Mindestsicherheitsanforderungen nicht befolgen, 

können unberechtigte Dritte mit Ihrer Karte Signaturen erzeugen, die vor dem Gesetzgeber den Wert 

Ihrer persönlichen Unterschrift haben. Vor diesen Szenarien können Sie sich nur selbst durch den 

verantwortungsvollen Umgang mit Ihrer Signaturkarte schützen. 

Hinweis: Das 'Offen Halten' für mehrere Arbeitsschritte wird nur von Chip-Karten unterstützt, die durch 

das Trust-Center in dieser Konfiguration ausgeliefert werden. 

Hinweis zur sicheren Konfiguration: Die Option Sichere PIN-Eingabe automatisch verwenden muss 

aktiviert sein. Diese Option zwingt das Produkt, die sichere PIN-Eingabe automatisch zu verwenden. 

Die Option Karte für mehrere Arbeitsschritte öffnen sollte deaktiviert sein. Wenn Sie die Karte für mehrere 

Arbeitsschritte geöffnet halten, gehen Sie das Risiko eines Missbrauchs Ihrer Karte durch Dritte ein. Dieses 

Risiko kann durch die Software nur bedingt abgewehrt werden. In diesem Falle gelten die erhöhten 

61


Sicherheitsauflagen der Chipkarten für diesen Betriebsmodus. Mehr Informationen finden Sie im Abschnitt 

Chipkarten. 

4.1.5 Option: Zertifikate 

Im Register Zertifikate können Sie Einstellungen für den Umgang mit den vorhandenen Zertifikaten 

vornehmen. 

Wenn Sie die Option bei Signatur nur verfügbare Zertifikate anzeigen wählen, werden automatisch nur 

die Zertifikate verwendet, die auf der eingelegten Chipkarte zur Verfügung stehen. Wenn Sie diese Option 

62


deaktivieren, werden ebenfalls auch Zertifikate anderer Personen berücksichtigt, die an diesem 

Arbeitsplatz arbeiten. Sie beeinflussen also den Umgang mit den Zertifikaten durch das Produkt. 

Hinweis: Grundsätzlich wird die Erzeugung einer elektronischen Signatur immer auf der eingelegten 

Chipkarte vorgenommen. Wenn Sie auch Zertifikate anderer Personen bei der Signaturerzeugung 

angezeigt bekommen, bedeutet dies nicht, dass Sie auch eine Signatur mit diesem Zertifikat erzeugen 

können. Das Produkt wird Ihnen lediglich mitteilen, dass Sie die entsprechende Chipkarte in das 

Kartenterminal einlegen müssen. 

Die Option SmartCard-Zertifikate automatisch registrieren bedeutet, dass die auf der Chipkarte 

vorhandenen Zertifikate automatisch im Microsoft Zertifikatsspeicher registriert werden. 

Die Option Automatisch registrierte Zertifikate ständig verfügbar halten bedeutet, dass die von der 

Chipkarte registrierten Zertifikate auch nach der Entnahme aus dem Chipkarten Terminal im Microsoft 

Zertifikatsspeicher verfügbar bleiben. Wenn Sie diese Option deaktivieren, werden die vorher registrierten 

Zertifikate automatisch wieder deregistriert. 

Hinweis zur sicheren Konfiguration: Die angebotene Option bei Signatur nur verfügbare Zertifikate 

anzeigen hat keinen Einfluss auf das Sicherheitsverhalten des Produktes. 

Die angebotene Option SmartCard-Zertifikate automatisch registrieren hat keinen Einfluss auf das 

Sicherheitsverhalten des Produktes. 

Die angebotene Option Automatisch registrierte Zertifikate ständig verfügbar halten hat keinen Einfluss 

auf das Sicherheitsverhalten des Produktes. 

63

4.1.6 Option: Algorithmen 


Im Register Algorithmen haben Sie die Möglichkeit, den bei der Signaturerzeugung zu verwendenden 

Hashalgorithmus einzustellen bzw. die für die Ver- und Entschlüsselung zum Einsatz kommenden 

Verschlüsselungsalgorithmen auszuwählen. 

Die für die Signaturerzeugung zur Verfügung gestellten Algorithmen entsprechen dem Signaturgesetz. 

Hinweis zur sicheren Konfiguration: Grundsätzlich sollten Sie die standardmäßig eingestellten und 

empfohlenen Algorithmen verwenden. Das ist für die Signaturerzeugung SHA-256 und für die Ver- und 

Entschlüsselung 3DES. Der Hash - Algorithmus SHA-1 steht zur Einstellung zur Verfügung, ist aber für 

den Einsatz qualifizierter Signaturen ab 2008 nicht mehr zulässig. 

64


Für die Ver- bzw. Entschlüsselung sollten Sie nur dann andere Einstellungen vornehmen, wenn es aus 

Gründen der Kompatibilität mit anderen Programmen notwendig ist. 

4.2 Chipkarten Optionen 

Mit einem Klick auf das gelbe Chipsymbol (vorausgesetzt die Karte befindet sich im Kartenleser) wird das 

Kontextmenü geöffnet. Die Menüpunkte betreffen Funktionalitäten, die im Zusammenhang mit der Karte 

oder dem Kartenleser stehen. 

Die folgenden Punkte werden im Chipkarten Menü angeboten: 

Verschlüsselungszertifikat exportieren: Mit dieser Option können Sie das 

Verschlüsselungszertifikat von Ihrer Chipkarte in eine Datei speichern. Weitere Informationen 

erhalten Sie in dem Kapitel Zertifikate exportieren. Diese Funktion ist nur dann verfügbar, wenn 

Sie über ein Verschlüsselungszertifikat verfügen. Ob Sie über ein solches Zertifikat verfügen, 

können Sie im Menüpunkt Eigenschaften an Hand der aufgelisteten Zertifikate auf Ihrer 

Chipkarte überprüfen. 

Eigenschaften: Die Eigenschaften des installierten Kartenlesers werden hier angezeigt. Ist eine 

Karte im Kartenleser vorhanden, werden auch die Karteneigenschaften, wie die Kartennummer 

und das Zertifikat angezeigt. Weitere Informationen erhalten Sie in dem Kapitel Eigenschaften. 

Einstellungen: Dieser Menüpunkt wird in den Konfigurationsoptionen des OpenLimit SignCubes 

Security Environment Managers erläutert. 

Info: Hier werden Copyright- und Versionsinformationen angezeigt. 

Beenden: Mit diesem Menüpunkt wird der OpenLimit SignCubes Security Environment Manager 

geschlossen. 

65

4.3 Eigenschaften 


Durch Anklicken des gelben Chipsymbols in der Taskleiste (Karte befindet sich im Kartenleser) und 

Auswahl des Menüpunktes Eigenschaften erhalten Sie folgende Informationen: 

Unter dem Register Kartenleser werden die Bezeichnung des Kartenlesers und die Ansteuerung des 

Kartenlesers angezeigt. Bei Kartenlesern mit sicherer PIN Eingabe wird auf diese Funktion als Ergänzung 

zum Kartenleser hingewiesen. 

66


Unter dem Register Karte sehen Sie die Bezeichnung der Karte (meist mit Herausgeber), die 

Kartennummer und das Betriebssystem der Karte. 

67


Unter dem Register PIN's werden die zu den Zertifikaten der im Kartenleser steckenden Karte gültigen 

PIN's angezeigt. Nach Auswahl eines PIN's werden in dem unteren Fenster als Detailinformationen die 

minimale Länge und sofern vorhanden die maximale Länge angezeigt. Gleichzeitig werden die 

Schaltflächen für weitere Funktionen aktiv. In Abhängigkeit von der Zulässigkeit stehen die Funktionen 

Freischalten, Ändern und Entsperren zur Verfügung. 

68


Unter dem Register Zertifikate werden die Zertifikate der Karte, die im Leser steckt, angezeigt. Nach 

Anklicken eines Zertifikats in der Liste werden in dem unteren Fenster die Einzelinformationen angezeigt. 

Im Abschnitt Zertifikate exportieren können Sie nachlesen, wie Sie die auf Ihrer Karte vorhandenen 

Zertifikate in eine Datei speichern können, um auch anderen Kommunikationspartnern Ihre Zertifikate zu 

schicken. 

In dem Abschnitt Attributzertifkate werden weitere Information zum Handling mit den 

Signaturzertifikaten zugehörigen Attributen gegeben. 

Hinweis zur sicheren Konfiguration: Es werden keine Optionen zur Verfügung gestellt, die einen 

Einfluss auf das Sicherheitsverhalten des Produktes haben. 

69


4.3.1 Zertifikate exportieren 

Damit Sie Ihren Kommunikationspartnern Ihr Verschlüsselungszertifikat schicken können, müssen Sie es 

zunächst aus der Karte extrahieren und in eine Datei exportieren. Diese Datei können Sie dann einfach per 

E-Mail verschicken. 

Stecken Sie die Karte in den Leser und achten Sie darauf, dass sie erkannt wird. 

Klicken Sie das gelbe Chip-Symbol in der Taskleiste an. 

Wählen Sie den Punkt Verschlüsselungszertifikat exportieren. 

Im Fenster Zertifikat exportieren wird der Dateiname angegeben und der Speicherort 

ausgewählt. Wahrscheinlich werden Sie den Namen des Zertifikatsinhabers, also Ihren eigenen, 

angeben wollen. 

Mit einem Klick auf Speichern, ist das Zertifikat als *.cer Datei gespeichert und kann für jede 

Standard-Verschlüsselungssoftware benutzt werden. 

70

4.3.2 PIN ändern 


Hinweis zur sicheren Konfiguration: Es werden keine Optionen angeboten, die einen Einfluss auf das 

Sicherheitsverhalten des Produktes haben können. 

Im OpenLimit SignCubes Security Environment Manager können Sie die PIN bzw. PIN's Ihrer Smartcard 

jederzeit ändern. Dies sollten Sie tun, wenn Sie das Gefühl haben, dass andere Personen Ihre PIN kennen. 

Wählen Sie nach Anklicken des gelben Chipsymbols in der Taskleiste Eigenschaften und anschließend das 

Register PINs. 

Wählen Sie die zu ändernde PIN und klicken Sie auf Ändern. Geben Sie dann die aktuelle PIN ein, um die 

Änderung überhaupt zu ermöglichen. 

71


Danach wird nach der neuen PIN gefragt. Geben Sie diese ein und bestätigen Sie mit OK. 

Die neue PIN muss nochmals bestätigt werden. Geben Sie diese ein weiteres Mal ein. 

Sie haben die PIN jetzt geändert. 

72


Hinweis zur sicheren Konfiguration: Verwenden Sie niemals eine triviale PIN, die den Missbrauch Ihrer 

Karte durch Dritte erleichtern könnte und notieren Sie die PIN niemals auf der Karte oder an Orten, wo 

Dritte in die Kenntnis Ihrer PIN gelangen könnten. Verwenden Sie nur Kartenleser mit sicherer PIN- 

Eingabe, um die PIN Ihrer Chip-Karte zu ändern. Stellen Sie sicher, dass die Eingabe der neuen PIN 

nicht durch Dritte beobachtet wird, da diese dadurch in Kenntnis Ihrer PIN gelangen könnten. 

5 Arbeiten mit den OpenLimit SignCubes Basiskomponenten 

Die folgenden Abschnitte beschreiben den Umgang mit den einzelnen Bestandteilen der OpenLimit 

SignCubes Basiskomponenten 2.5, Version 2.5.0.3. Dieses Kapitel soll Ihnen den Umgang mit dem Produkt 

erleichtern und Ihnen dabei helfen, schnell mit den einzelnen Programmfunktionen vertraut zu werden. 

5.1 Arbeiten mit dem OpenLimit SignCubes Security Environment Manager 

Der OpenLimit SignCubes Security Environment Manager ist als zentraler Bestandteil der Anwendung 

OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 für die Bereitstellung und Überwachung aller 

Sicherheitsaufgaben des Produktes verantwortlich. Für Sie als Benutzer sind vor allem die folgenden 

Punkte relevant: 

Der OpenLimit SignCubes Security Environment Manager verwaltet die angeschlossenen Kartenleser und 

überwacht die eingelegten Chipkarten. 

Der OpenLimit SignCubes Security Environment Manager bietet Ihnen Optionen zur Auswahl an, welche die 

Chipkarte und die erzeugten Dokumente betreffen. Zur Konfiguration dieser Optionen müssen Sie über 

Administrationsrechte auf Ihrem Rechner verfügen. 

73


Als Standard wird der OpenLimit SignCubes Security Environment Manager automatisch beim Start des 

Betriebssystems gestartet. Sie haben allerdings die Möglichkeit, dieses Verhalten in den 

Konfigurationseinstellungen des OpenLimit SignCubes Security Environment Managers zu verändern und 

müssen diesen dann manuell starten. 

Während der Arbeit mit dem OpenLimit SignCubes Security Environment Manager werden Sie durch 

entsprechende Statusmeldungen über den jeweiligen Bearbeitungsstand informiert: 

Sie haben eine Chipkarte in den Kartenleser gesteckt, diese wird erkannt und identifiziert: 

Sie haben den Befehl Signatur erzeugen aktiviert, es läuft die Datenaufbereitung (Hashwertberechnung) 

bzw. die Signaturerzeugung. 

Nach dem Aufbereiten der Daten werden Sie zur PIN Eingabe über die sichere PIN-Eingabe aufgefordert. 

Sie haben den Befehl Signatur prüfen aktiviert, es läuft die Hashwertberechnung und der Abgleich mit den 

Sperrlisten. 

Falls Ihnen diese Informationen nicht mehr angezeigt werden sollen, haben Sie die Möglichkeit, durch 

Anklicken der Option ausblenden, die Anzeige zu unterdrücken. 

Hinweis: Wenn der OpenLimit SignCubes Security Environment Manager gestartet wurde, erscheint das 

OpenLimit Icon in der Taskleiste neben der Uhrzeit. 

74


Hinweis für den manuellen Start: Unter dem folgenden Menüpunkt können Sie den OpenLimit SignCubes 

Security Environment Manager manuell starten. Das Programmverzeichnis kann je nach verwendeter 

Spracheinstellung variieren. Diese Hilfe beschreibt den Umgang mit einem deutschsprachigen 

Betriebssystem. 

Start – Programme – OpenLimit SignCubes - OpenLimit SignCubes Manager 

ACHTUNG: Um die Funktionen der Software nutzen zu können, muss der OpenLimit SignCubes Security 

Environment Manager gestartet sein. Andernfalls haben Sie keinen Zugang zu den Funktionen des 

Produktes. Wenn keine Gründe existieren, den OpenLimit SignCubes Security Environment Manager 

manuell zu starten, dann lassen Sie die Option auf „automatisch starten“ eingestellt. 

Der OpenLimit SignCubes Security Environment Manager kann mehrere Kartenleser und Chipkarten 

parallel verwalten. Welche Kartenleser und Chipkarten unterstützt werden, ist in dem Abschnitt 

Kartenleser bzw. Chipkarten im Detail ausgeführt. 

Für jeden erkannten Kartenleser erscheint ein graues Chip-Symbol in der Taskleiste, wenn keine Karte im 

Kartenleser vorhanden ist. Ist eine Chipkarte im Kartenleser vorhanden, erscheint für jede erkannte 

Chipkarte ein gelbes Chip-Symbol in der Taskleiste. 

Erkennung einer Chipkarte durch den OpenLimit SignCubes Security Environment Manager 

Steckt keine Karte im Kartenleser, wird für jeden erkannten Kartenleser ein graues Chip Symbol angezeigt. 

Wenn Sie die Karte in den Leser stecken, wird das Symbol gelb und bekommt ein grünes Fragezeichen 

(achten Sie darauf, dass die Karte im Leser einrastet). 

Hat der OpenLimit SignCubes Security Environment Manager die Karte richtig erkannt, verschwindet das 

Fragezeichen und der Chip ist gelb. Der erkannte Kartentyp wird automatisch angezeigt. 

75


Jetzt können Sie mit der eingelegten Chipkarte arbeiten. Wenn bereits vor dem Start des OpenLimit 

SignCubes Security Environment Managers eine Chipkarte in den Kartenleser eingelegt wurde, erkennt 

dieser die Karte automatisch. 

Ein gelber Chip mit rotem Kreuz bzw. rotem Fragezeichen erscheint, wenn die Karte verkehrt in den Leser 

gesteckt wurde oder eine Karte verwendet wurde, die nicht kompatibel ist. 

Die verwendbaren Karten sind in dem Abschnitt Chipkarten aufgeführt. 

Ist das Chip-Symbol in der Taskleiste rot, bedeutet dies, dass die Karte geöffnet ist oder Operationen, wie 

z.B. die Hashwertverschlüsselung auf der Chipkarte ausgeführt werden. 

Karte „geöffnet“ bedeutet, dass Sie mehrere Operationen hintereinander ausführen können, ohne erneut 

die PIN eingeben zu müssen. Das kann sinnvoll sein, wenn Sie mehrere Dokumente hintereinander 

signieren möchten. Aus Sicherheitsgründen sollten Sie diese Möglichkeit nur dann nutzen, wenn Sie sich 

absolut sicher sind, dass kein Missbrauch mit der Karte vorgenommen werden kann. Verlassen Sie nie 

Ihren Arbeitsplatz, ohne vorher die Karte aus dem Kartenleser zu entnehmen. Unberechtigte Personen 

könnten sonst diesen Umstand ausnutzen und Signaturen mit Ihrer Chipkarte erzeugen. 

Beim Klicken auf die Icons in der Taskleiste bekommen Sie verschiedene Menüs angeboten. Wenn sie auf 

das Icon des OpenLimit SignCubes Security Environment Manager klicken, wird Ihnen das 

Konfigurationsmenü für den OpenLimit SignCubes Security Environment Manager angeboten. Für diese 

Optionen benötigen Sie Administrationsrechte auf ihrem Arbeitsrechner. Wenn Sie auf das graue 

Chipsymbol klicken, bekommen Sie ein eingeschränktes Menü angeboten, in welchem Sie sich 

Informationen zum verwendeten Kartenleser anzeigen lassen können. Wenn Sie nach dem Einlegen der 

Chipkarte auf das gelbe Chipsymbol klicken, bekommen Sie ein Menü für die jeweilige Chipkarte 

angeboten. Die angebotenen Menüpunkte werden ebenso wie die Menüpunkte für den OpenLimit SignCubes 

Security Environment Manager im Kapitel Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, 

Version 2.5.0.3 behandelt. 

Hinweis: Wenn der OpenLimit SignCubes Security Environment Manager Daten verarbeitet, rotiert das 

Icon des OpenLimit SignCubes Security Environment Managers in der Taskleiste im Uhrzeigersinn, um 

zu verdeutlichen, dass momentan eine Operation ausgeführt wird. Wenn Sie also große Datenmengen 

signieren wollen (z.B. ein Dokument mit einer Größe von 300 MB), haben Sie immer eine Information 

darüber, dass momentan Daten verarbeitet werden. Wenn Sie mit der Maus über das Icon in der 

76


Taskleiste fahren, werden Sie sehen, dass auch der Tooltip-Text des OpenLimit SignCubes Security 

Environment Managers Ihnen mit der Meldung 'Daten werden bearbeitet' eine entsprechende 

Information gibt. 

Hinweis: Der OpenLimit SignCubes Security Environment Manager reagiert für die Kartenleser SPR 332 

und SPR 532 der Firma SCM Microsystems an der USB-Schnittstelle auf die Plug & Play Ereignisse des 

Betriebssystems. Wenn Sie also einen solchen Kartenleser verwenden, haben Sie die Möglichkeit, bei 

laufendem OpenLimit SignCubes Security Environment Manager einen solchen Kartenleser hinzu zu 

nehmen oder von der USB Schnittstelle zu entfernen. Für jeden angesteckten Kartenleser wird ein 

neues Chipsymbol angezeigt und der Tooltipp an diesem Icon teilt Ihnen mit, um welchen Kartenleser 

es sich handelt. Nachdem Ihnen das Chip-Symbol angezeigt wird, ist der Kartenleser voll einsatzbereit. 

Um diese Eigenschaften nutzen zu können, müssen Sie den korrekten Treiber des Herstellers für diesen 

Kartenleser installiert haben. Sind keine Treiber vorhanden, kann das Produkt auch nicht mit dem 

Kartenleser arbeiten bzw. diesen auch nicht erkennen. 

5.2 Signaturverifikation 

Der folgende Abschnitt beschreibt, wie Sie eine Signaturprüfung unter Verwendung des Produktes 

OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 vornehmen können. Grundsätzlich vertraut 

das Produkt dem Wurzelzertifikat der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post 

und Eisenbahnen (Bundesnetzagentur). Aber auch andere Wurzelzertifikate können im Betriebssystem als 

vertrauenswürdig bereitgestellt werden. 

Grundsätzlich gilt: Wenn Sie mit abgesetzten Signaturen arbeiten, muss die Signaturdatei den gleichen 

Namen wie das Originaldokument mit der zusätzlichen Endung '.p7s' tragen. Dies ist Voraussetzung, damit 

der OpenLimit SignCubes Security Environment Manager die zugehörigen Originaldaten erkennen und die 

Signatur verifizieren kann. 

Verfahren zur Signaturprüfung durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 

Im ersten Schritt wird immer überprüft, ob die elektronische Signatur mathematisch korrekt ist. Dies 

bedeutet, dass bei der Signaturprüfung die OpenLimit SignCubes Basiskomponenten 2.5, v2.5.0.3 die 

Prüfsumme (den Hashwert) über die signierten Daten grundsätzlich erneut berechnen und die vorliegende 

Signatur gegen diesen neu berechneten Hashwert prüfen. Ist diese Prüfung erfolgreich, dann ist die 

77


Signatur mathematisch korrekt. Es kann jedoch noch keine Aussage zur tatsächlichen Gültigkeit der 

elektronischen Signatur getroffen werden. Dafür wird in einem weiteren Schritt die Gültigkeit der 

Zertifikate, angefangen beim verwendeten Signaturzertifikat bis hin zur Wurzel der Zertifikatskette 

geprüft. 

Zur Ermittlung der Zertifikatskette werden die in den Signaturdaten enthaltenen Zertifikate herangezogen. 

Kann die Zertifikatskette aus den verfügbaren Signaturdaten nicht ermittelt werden, können die OpenLimit 

SignCubes Basiskomponenten auf alternative Zertifikatsspeicher, wie den Microsoft Zertifikatsspeicher 

oder die Festplatte zurück greifen. Kann die Zertifikatskette nicht gebildet werden, dann treffen die 

OpenLimit SignCubes Basiskomponenten keine Aussage zur Gültigkeit der geprüften elektronischen 

Signatur. Es wird angezeigt, dass die Signatur mathematisch korrekt ist. Es wird jedoch weiterhin 

angezeigt, dass benötigte Zertifikate in der Zertifikatskette fehlen und somit keine abschließende Aussage 

zur Gültigkeit der elektronischen Signatur getroffen werden kann. 

War die Ermittlung des Zertifikatspfades erfolgreich, wird dieser einer Prüfung nach dem Schalenmodell 

unterworfen. Das Schalenmodell besagt, dass alle Zertifikate im Zertifikatspfad zum Signaturzeitpunkt 

gültig und nicht zurückgezogen sein müssen, damit die Signatur als gültig verifiziert werden kann. Ist 

diese Prüfung erfolgreich und die Zertifikatskette vollständig, wird dem Benutzer angezeigt, dass die 

Signatur gültig ist. 

Allgemeine Anforderungen bei der Prüfung elektronischer Signaturen 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 prüfen die Zertifikate einer Kette in jedem 

Falle gegen die zur Verfügung stehenden Sperrlisten. Wird ein entsprechender Sperreintrag für eines der 

geprüften Zertifikate gefunden, so wird Ihnen dieser Sperrstatus auch zur Kenntnis gebracht. 

Hinweis: Achten Sie bitte darauf, dass stets aktuelle Sperrlisten bei der Signaturprüfung zur Verfügung 

stehen. 

Da die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 die lokale Systemzeit zur Codierung 

des Signaturzeitpunktes verwendet, ist die korrekte Einstellung der Systemzeit notwendig. Sie sind als 

Nutzer der OpenLimit SignCubes Basiskomponenten für die Korrektheit der Systemzeit verantwortlich. In 

allen anderen Fällen kann die Prüfung, insbesondere nach dem Kettenmodell, durch das Produkt nicht 

zuverlässig vorgenommen werden. Durch die Prüfung nach dem Schalen- und dem Kettenmodell 

verwendet das Produkt zwei voneinander unabhängig arbeitende Prüfmechanismen, die jedoch beide auf 

Sperrlisten angewiesen sind, welche die oben genannten Bedingungen an den Herausgabezeitpunkt 

erfüllen. 

78


Ist in der Signaturdatei ein Zeitstempel vorhanden, wird auch eine Aussage zur Gültigkeit der Signatur an 

dem Zeitpunkt geliefert, den der Zeitstempel ausweist. Um die vollständige Gültigkeit des Zeitstempels zu 

prüfen, müssen Sie den Detaildialog für Zeitstempel verwenden. Nähere Informationen hierzu finden Sie im 

Kapitel Zeitstempeldienste. 

Hinweis: Ist in dem Signaturabschnitt kein Zeitpunkt der Signaturerzeugung enthalten, wird die 

aktuelle Systemzeit als Prüfzeitpunkt verwendet und angezeigt. 

Hinweis: Bei der Signaturprüfung müssen Sie immer den Zertifikatspfad des geprüften 

Signaturzertifikats überprüfen. Das Produkt verwendet auch vertrauenswürdige Stammzertifikate aus 

dem Microsoft Zertifikatsspeicher, d.h., es kann zu der Aussage kommen, dass die geprüfte Signatur 

gültig ist, obwohl Sie dem Wurzelzertifikat nicht vertrauen. Die Gültigkeit der elektronischen Signatur 

ist im technischen Sinne zwar korrekt, aber evtl. wollen Sie als Benutzer dem Stammzertifikat nicht 

vertrauen. Daher ist die Prüfung des Zertifikatspfades unerlässlich. Diese Prüfung können Sie 

vornehmen, in dem Sie sich das Signaturzertifikat über Details anzeigen lassen und im Zertifikatsdialog 

das Register Zertifizierungspfad auswählen. 

Wenn ein Wurzelzertifikat bei der Signaturprüfung gefunden wurde, geben die OpenLimit SignCubes 

Basiskomponenten den Ablageort an. 

Die Zertifikate der Bundesnetzagentur sind den OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 durch signierte Vertrauenslisten bekannt. In diesem Fall benennt das Produkt das verwendete 

Wurzelzertifikat als 'Vertrauenswürdiges Zertifikat'. 

Wurde das Zertifikat aus dem Microsoft Stammspeicher für vertrauenswürdige 

Stammzertifizierungsstellen bezogen, zeigt das Produkt im Zertifizierungspfad ,Zertifikat aus dem 

Microsoft Stammspeicher für vertrauenswürdige Zertifikate' an. 

Wurde das Zertifikat aus dem CTL Verzeichnis des Produktes bezogen, zeigt das Produkt ,Zertifikat aus 

dem CTL Verzeichnis' an. 

Diese Information wird nur angezeigt, wenn ein Wurzelzertifikat im Zertifizierungspfad gefunden wurde. 

Hinweis: Wenn Sie ein PDF-Dokument prüfen, welches mehrere eingebettete Signaturen enthält, 

müssen Sie im Prüfdialog den Befehl 'Daten anzeigen' verwenden, um diejenige Dokumentversion zu 

sehen, auf die sich die jeweilige Unterschrift bezieht. 

Das PDF Format erlaubt nach einer Signatur, das Dokument weiter zu ändern. Die elektronische 

Unterschrift bezieht sich jedoch immer auf die konkrete Version des Dokuments, die Sie nur aus dem 

79


Prüfdialog heraus eindeutig anzeigen lassen können. Das bedeutet auch, dass die Signatur nicht für das 

geänderte Dokument gilt, sondern exakt für die Dokumentversion, die Ihnen im Prüfdialog über den 

OpenLimit SignCubes Viewer angezeigt wird. 

Prüfung qualifizierter elektronischer Signaturen 

Grundsätzlich wird bei jeder vorliegenden Signatur geprüft, ob dies eine qualifizierte elektronische 

Signatur ist. Die OpenLimit SignCubes Basiskomponenten ermitteln dies an mehreren Kriterien: Das 

verwendete Signaturzertifikat muss das Attribut QC-Statement mit dem Wert EU-QC-konform oder SigGkonform 

aufweisen. Des Weiteren muss das verwendete Signaturzertifikat von einem angezeigten oder 

akkreditierten Zertifizierungsdiensteanbieter herausgegeben worden sein. Die OpenLimit SignCubes 

Basiskomponenten 2.5, v2.5.0.3 verfügen über eigene Verwaltungsmechanismen für diese Einstufung. Die 

Zertifikate der ZDA's und der Bundesnetzagentur müssen in einer signierten Vertrauensliste vorliegen, die 

ausschließlich durch OpenLimit gepflegt wird. 

Treffen die genannten Kriterien zu, so erfolgt die Prüfung der Zertifikatskette nach dem Kettenmodell. 

Dieses Gültigkeitsmodell für Zertifikatsketten erlaubt, dass elektronische Signaturen mit Zertifikaten 

erzeugt werden können, deren Herausgeberzertifikate zum Zeitpunkt der Signaturerstellung bereits 

abgelaufen sind. Dies erlaubt eine kürzere Laufzeit einzelner Zertifikat in der Zertifikatskette und erhöht 

somit die Sicherheit der in Deutschland verwendeten Zertifikatsinfrastruktur. In allen anderen Fällen 

erfolgt die Prüfung nach dem so genannten Schalenmodell. 

Die OpenLimit SignCubes Basiskomponenten zeigen in eindeutiger Art und Weise an, ob das 

Herausgeberzertifikat als angezeigter oder akkreditierter Zertifizierungsdiensteanbieter in der aktuell 

verwendeten Vertrauensliste enthalten ist. Ist dies der Fall, wurde die Signatur nach dem Kettenmodell 

geprüft. Alle anderen Signaturen, die mit den OpenLimit SignCubes Basiskomponenten 2.5, v2.5.0.3 geprüft 

werden, werden unter Verwendung des Schalenmodells geprüft. Detaillierte Informationen zu den 

verschiedenen Prüfmodellen finden Sie auf der Webseite der Bundesnetzagentur 

http://www.bundesnetzagentur.de . 

Für beide Gültigkeitsmodelle gilt, dass das verwendete Signaturzertifikat zum 

Signaturerzeugungszeitpunkt gültig sein muss. Das Herausgeberzertifikat kann beim Kettenmodell bereits 

abgelaufen sein, beim Schalenmodell ist dies nicht zulässig. In keinem von beiden Gültigkeitsmodellen darf 

eines der Zertifikate in der Kette zurückgezogen sein, z.B. wegen Bruch des Signaturschlüssels. 

80


Besonderheiten im Zusammenhang mit dem Katalog zulässiger Algorithmen 

Die Bundesnetzagentur veröffentlicht jedes Jahr einen so genannten Algorithmenkatalog, der die 

Verwendung der zulässigen Algorithmen für die qualifizierte elektronische Signatur regelt. Dieser 

Algorithmenkatalog wird durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 abgebildet. 

Dies bedeutet, dass die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 überprüfen, ob der 

verwendete Algorithmus und der verwendete Signaturschlüssel den Anforderungen an diesen Katalog 

genügen. Ist dies nicht der Fall, wird die geprüfte Signatur auch nicht als gültig geprüft und es wird ein 

Hinweistext angezeigt, dass Algorithmen verwendet werden, die keine Aussage über die tatsächliche 

Gültigkeit der Signatur zulassen. 

Wird Ihnen eine entsprechende Meldung durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 angezeigt, sollten Sie die Webseiten der Bundesnetzagentur sowie den Bundesanzeiger 

heranziehen, um die Korrektheit der eingesetzten Algorithmen unabhängig zu prüfen. 

Signaturprüfung vornehmen 

Nachdem Sie auf eine signierte Datei geklickt haben, erscheint der Dialog Details zur Signaturprüfung: 

81


In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oder 

zumindest mathematisch korrekt ist. 

Ist eine Signatur ungültig, dann wurden die Daten verändert oder die Zertifizierungskette konnte nicht 

aufgelöst werden. Dieser Signatur können Sie nicht vertrauen. 

Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde. 

Außerdem wurde auch die Signatur an sich nicht manipuliert. In der Regel müssen Sie aber noch den 

Onlinestatus des verwendeten Signaturzertifikates prüfen, um wirklich sicher zu sein, dass das 

verwendete Signaturzertifikat in Ordnung ist. 

Dies wird unter den Details, also unter dem Tab mit dem Namen des Signaturinhabers genauer untersucht. 

Hinweis: Falls in Ihrer Programmversion OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 

das Modul zum Erstellen eines Prüfprotokolls mit installiert wurde, haben Sie die Möglichkeit, durch 

Anklicken des Buttons Speichern ein Prüfprotokoll zu erzeugen und zu speichern. Andernfalls wird der 

Button nicht angezeigt. 

82


Die Bedeutung der einzelnen Punkte 

Hashwertüberprüfung: Integrität der Daten 

positiv: Die Daten wurden seit der Signatur nicht verändert. 

Wird als Zusatzinformation ein Hinweis angezeigt, dass die Signatur als ungeeignet eingestuft wird, dann 

bedeutet das, dass für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1) verwendet wurde, 

der für die Erzeugung qualifizierter Signaturen nicht zulässig ist. 

negativ: Die Hashwerte stimmen nicht überein, die Daten wurden möglicherweise verändert. 

Prüfung von Signatur und Zertifizierungspfad: Beschädigung der Signatur und Vollständigkeit 

des Zertifizierungspfades 

Wird als Zusatzinformation ein Hinweis angezeigt, dass die verwendeten Signaturparameter als 

ungeeignet eingestuft werden, dann bedeutet das, dass entweder für die Berechnung des Hashwertes ein 

Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung qualifizierter Signaturen nicht 

zulässig ist oder die verwendeten Schlüssel nicht die erfolderlich Länge größer als 1024 Bit besaßen. 

Zeitpunkt der Signaturerzeugung: Hier wird die Zeit angegeben, die auf dem Rechner zur 

Signaturerzeugung eingestellt war. 

Vertrauensbasis: Zeigt die Quelle für das Wurzel- bzw. Rootzertifikat an, auf der die Prüfung des 

Zertifikats beruht. Weiterhin wird der für die Signaturprüfung verwendete Algorithmenkatalog 

angezeigt. 

Zertifikatsstatus: Sperrung der Signatur. Anhand von Sperrlisten wird geprüft, ob das Zertifikat 

gesperrt wurde. Wenn hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von 

aktuellen Sperrlisten oder eine Online-Prüfung über den Button Onlinestatus... 

Über den Button Details, Auswahl des Zertifikats und wiederum Anklicken des Buttons Details können Sie 

sich die Zertifikatseigenschaften anzeigen lassen. 

Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt werden. 

Nach einem Klick auf Onlinestatus... wird die OCSP-Abfrage geöffnet. Für die Prüfung muss eine 

Verbindung mit dem Internet bestehen. 

83


Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt oder 

unbekannt. 

Wenn Sie auf den Button Details klicken, können Sie sich die Details zur OCSP-Abfrage anzeigen lassen. 

84


Wenn Sie unter dem Register Zusammenfassung auf den Button Signatur-Zertifikat anzeigen klicken, 

können Sie die Details des Zertifikatspfades nachvollziehen. 

Um die Quelle der OCSP Antwort zu prüfen, sollten Sie immer das Zertifikat, welches die OCSP Antwort 

unterzeichnet hat, anzeigen lassen. Sie müssen selbst entscheiden, ob Sie dem Zertifikat vertrauen. 

Unter dem Register OCSP Details werden Ihnen weitere Detailinformationen zu der OCSP Antwort 

angezeigt. 

85


Hinweis: Auch wenn Sie in regelmäßigen Abständen die aktuellen Sperrlisten der 

Zertifikatsherausgeber beziehen, sollten Sie auf jeden Fall immer eine OCSP Abfrage durchführen. 

Lassen Sie sich das Zertifikat der OCSP Antwort anzeigen und entscheiden Sie selbst, ob Sie diesem 

vertrauen. 

86


5.3 Arbeiten mit dem OpenLimit SignCubes Integrity Tool 

Das OpenLimit SignCubes Integrity Tool ist ein Programm zur Überprüfung der Hash-Werte an den 

ausgelieferten sicherheitsrelevanten Modulen und stellt somit sicher, dass sich die Module noch in dem 

Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden. 

Das OpenLimit SignCubes Integrity Tool sollte grundsätzlich über die Internetseite 

gestartet werden. 


In dem Fall, dass Sie das Produkt über einen Download erhalten und installiert haben, sollten Sie, bevor Sie 

das Produkt zum ersten Mal einsetzen, das OpenLimit SignCubes Integrity Tool ausführen, um die 

Korrektheit der Installation zu verifizieren. 

Stellt das OpenLimit SignCubes Integrity Tool fest, dass die Module sich nicht mehr in ihrem 

Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher sollten Sie 

jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen wurde oder 

ein anderes Programm Ihren Rechner manipuliert hat. 

Starten Sie das Integritätstool über die Internetseite https://www.OpenLimit.com/integritytool. Die Java 

Virtual Machine (JVM) überprüft daraufhin die Signatur des Applets und öffnet einen Dialog mit 

Sicherheitshinweisen. 

87


Die Seriennummer des Signaturzertifikates für das OpenLimit SignCubes Integrity Tool finden Sie in dieser 

Benutzerdokumentation unter OpenLimit SignCubes Integrity Tool. 

Zur Sicherheit sollten Sie immer die Signatur des Applets über den Befehl Weitere Informationen prüfen 

und erst dann den Start des Applets selbst freigeben. 

Nach Anklicken des Button Zertifikatsdetails werden die Informationen zu dem Zertifikat einschließlich der 

Seriennummer angezeigt. 

88


In dem folgenden Fenster wird Ihnen der Pfad für die OpenLimit Programminstallation angezeigt. 

Standardmäßig ermittelt das Java-Applet beim Start das Installationsverzeichnis. Falls dieser nicht 

automatisch gefunden wurde bzw. nicht korrekt angezeigt wird, stellen Sie bitte den Pfad über den Button 

'Installationspfad' entsprechend ein. 

Gleichzeitig haben Sie die Möglichkeit, über den Button Sprachauswahl die Sprache einzustellen. Das 

OpenLimit SignCubes Integrity Tool wird in deutsch und englisch bereitgestellt. 

89


Hinweis: Geben Sie die Installationspfade der OpenLimit SignCubes Basiskomponenten 2.5, Version 

2.5.0.3 nicht im Netzwerk für andere Benutzer frei. 

90


Nach Anklicken des Button Prüfung starten wird das OpenLimit SignCubes Integrity Tool gestartet. 

91


Ist der Dateistatus für alle Dateien OK, so ist die Integrität der Software erfolgreich nachgewiesen. 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 können optional Module enthalten wie 

die siq0*.dll, siq1*.dll und siq2*.dll. Diese Module beinhalten die Ansteuerung konkreter Kartenterminals. 

Ist ein Modul vorhanden, dann wird auch jeweils eine Liste der dadurch unterstützten Kartenterminals 

angezeigt: 

siq0ccid.dll 

siq0rsct.dll 

Cherry G83-6744 LQ 


SCM SPR 532 (Firmware 5.10) 
















92


siq0scmm.dll 

siq0ok.dll 

SCM Microsystems SPRx32/Chipdrive PinPad 



siq0kby.dll (PC/SC) oder siq0kbyct.dll (CT-API) 

siq0chy.dll 

siq0cthyc32.dll 

Kobil Systems B1 Pro 

Kobil KAAN Advanced 

Kobil KAAN TriB@nk 

Kobil EMV-TriCAP Reader 

Kobil SecOVID Reader III 

Cherry G83-6700 LQ 

Cherry G83-6744 LU 


medCompact eHealth Card Terminal BCS Version 02.00 

Chipkartenbetriebssysteme und Chipkarten 

siq1seccos.dll unterstützt das SECCOS Chipkartenbetriebssystem 

siq1cm43.dll unterstützt das Siemens CardOS M4.3B 

siq1spk3.dll unterstützt STARCOS 3.0 Chipkartenbetriebssystem 

siq1spk32.dll unterstützt STARCOS 3.2 Chipkartenbetriebssystem 

siq1tcos3x.dll unterstützt TCOS 3.0 

siq1dba.dll und siq2dba.dll unterstützt das Siemens CardOS M4.3B Chipkartensystem in 

Verbindung mit der Siemens API 

93


siq1dhba.dll und siq2dhba.dll unterstützt STARCOS 3.2 QES Version 1.1 Chipkartensystem 

(Heilberufsausweis) 

siq1acos.dll unterstützt ACOS Karten-Betriebssystem 

Chipkartenname im Produkt Chipkarten-OS Chipkartenprofil 

Alle Karten des Sparkassenverlags siq1seccos.dll siq2ds2.dll 

D-TRUST Karte 

TC-Trustcenter 

Generische PKCS#15-Ansteuerung der 

Siemens Karten 

siq1cm43.dll siq2cm43.dll 

dgnserviceCard siq1spk3.dll siq2dgn2.dll 

Signtrust Card (Deutsche Post Com 

siq2dp2.dll 

GmbH) 

Signaturkarte (DATEV eG) 

Signaturkarte (BNotK) 

Signtrust Card 3.2 (Deutsche Post Com 

GmbH) 

siq1spk32.dll siq2dp3.dll 

NetKey 3.0 und NetKey 3.0M siq1tcos3x.dll siq2nks43.dll 

BA User Card mit Siemens Card API siq0dba.dll, siq1dba.dll siq2dba.dll 

Heilberufsausweis siq1dhba.dll, siq2dhba.dll 

siq2dhba.dll 

A-Trust Signaturkarte siq1acos.dll Siq2aa1.dll 

Das Fehlen eines oder mehrerer dieser Module wird durch den Status Nicht installiert ausgewiesen. Die 

Integrität der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 ist trotzdem sichergestellt. 

Ab Version 2.5.0.3 bietet das OpenLimit SignCubes Integrity Tool dem Anwender die Möglichkeit, 

Konfigurationen für Chipkarten zusätzlich einzuspielen. Diese Konfiguration sind Initialisierungsdateien, 

die festlegen, welcher Hash- und Signaturalgorithmus für die jeweilige Signaturkarte verwendet wird. 

Das OpenLimit SignCubes Integrity Tool kennt alle möglichen Konfigurationen für die Signaturalgorithmen 

und prüft bei der Integritätsprüfung auch die verwendeten Algorithmen. Wird eine Kartenkonfiguration 

gefunden, die nicht den Vorgaben der Bundesnetzagentur entspricht, wird eine Warnung an den Benutzer 

generiert und angezeigt. Wird eine Konfigurationsdatei gefunden, die unbekannt ist, wird dieser Zustand 

dem Benutzer angezeigt. 

Beispiel 1: 

Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool bildet 

den Hashwert über die Initialisierungsdatei und stellt dabei fest, dass diese Datei festlegt, dass einige 

94


SECCOS Karten mit SHA-1 als Hashwert signieren sollen. In diesem Falle wird durch das Integrity Tool im 

Anschluss an die Übersicht der unterstützten SECCOS-Karten der folgende Text generiert: „Das Modul ist 

so konfiguriert, dass SHA-1 für einige Karten gemäß obiger Übersicht als Signaturalgorithmus zugelassen 

ist. Bitte prüfen Sie auf der Webseite der Bundesnetzagentur 

http://www.bundesnetzagentur.de 

ob mit dieser Konfiguration die Anforderungen an die qualifizierte Signatur erfüllt werden." 

Beispiel 2: 

Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool bildet 

den Hashwert über die Initialisierungsdatei und stellt dabei fest, welcher Signaturalgorithmus für die 

verschiedenen SECCOS Karten verwendet werden sollen. Die Übersicht der unterstützten SECCOS Karten 

enthält für die einzelnen Karten die Angabe des jeweils unterstützten Signaturalgorithmus. Im Anschluss 

an die Übersicht der unterstützten SECCOS Karten wird der folgende Text generiert: "Informationen zu den 

jeweils verwendeten Signaturalgorithmen entnehmen Sie bitte obiger Übersicht." 

Hinweis: Die Sprachressourcen der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 sind in 

der deuSEMk.dll bzw. der engSEMk.dll gespeichert. Mindestens eine der beiden Dateien muss vorhanden 

sein, ansonsten wird die Integrität der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 

nicht bestätigt. Für die jeweilige Sprachressource müssen auch die dazugehörige Hilfe und der Viewer 

vorhanden sein, ansonsten wird die Integrität ebenfalls nicht bestätigt. 

Nach Bestätigung des Informationsfensters mit OK erhalten Sie die Liste der Dateien, die geprüft wurden 

und den Dateistatus angezeigt. 

Folgende Dateizustände werden unterschieden: 

OK: Die Prüfung des Hashwertes ist positiv, d.h. die Datei entspricht der Originalinstallation. 

Unbekannt: Das ist der Ausgangsstatus für alle Dateien vor der Prüfung. Dieser Status wird auch 

angezeigt, wenn keine Prüfung möglich ist. 

Datei verändert: Die Datei wurde nach der Installation verändert. 

Datei nicht gefunden: Die Datei wurde nicht gefunden. 

Datei nicht lesbar: Die Datei ist nicht lesbar und der Hashwert konnte nicht berechnet werden. 

Nicht installiert: Dieser Status trifft nur für die optionalen Module zu, falls diese nicht installiert 

sind. 

95


Nach Anklicken des Buttons Speichern haben Sie die Möglichkeit, das Ergebnis der Prüfung zu speichern. 

Schließen Sie das Browserfenster, um den Prüfprozess zu beenden. 

96


Wurden Dateien bzw. Signaturen manipuliert, sind nicht vorhanden bzw. konnten nicht gelesen werden, 

teilt Ihnen das Programm dies mit einer entsprechenden Meldung mit. Die Integrität ist damit nicht 

bestätigt. 

Hinweis: Im Falle von Abweichungen vom Originalzustand der Installation müssen Sie den Rechner auf 

sicherheitstechnische Veränderungen und Eingriffe prüfen. 

Es wird empfohlen, dass Sie in diesem Falle die Software mit Hilfe des Installationsprogrammes 

deinstallieren und erneut installieren. Falls die Verifikation des Zertifikates durch die JVM fehlschlägt oder 

andere Dialoge als die abgebildeten angezeigt werden, insbesondere wenn eine andere Seriennummer für 

das Signaturzertifikat angezeigt wird, wird nicht das korrekte Prüfprogramm ausgeführt. In diesem Falle 

dürfen Sie sich nicht auf die Statusaussagen des Tools verlassen und müssen Ihre Installation der JVM 

sowie die URL, von der Sie das OpenLimit SignCubes Integrity Tool bezogen haben, mit den Angaben im 

Handbuch vergleichen. 

5.4 Sperrlistenaktualisierung 

Die Sperrlistenaktualisierung ist ein Zusatzmodul zu den bestätigten Basiskomponenten und kann aus dem 

Menü des Security Environment Managers gestartet werden. Im weiteren Verlauf wird dieses 

Zusatzprogramm als OpenLimit SignCubes Sperrlistenaktualisierungsassistent bezeichnet. 

Der folgende Abschnitt beschreibt die Benutzung des OpenLimit SignCubes 

Sperrlistenaktualisierungsassistenten im Detail. Etwaige Fehlermeldungen des OpenLimit SignCubes 

Sperrlistenaktualisierungsassistenten sind im Kapitel Fehlermeldungen OpenLimit SignCubes Security 

Environment Manager enthalten. 

Um eine sichere Signaturprüfung zu gewährleisten, sollten Sie vor der Signaturprüfung die aktuellsten 

Sicherheitsdateien herunterladen. Diese Sicherheitsdateien bestehen hauptsächlich aus Sperrlisten, aber 

97


auch die Public Key Directories der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und 

Eisenbahnen (Bundesnetzagentur) sollten in regelmäßigen Abständen aktualisiert werden. Sie haben als 

Benutzer die Möglichkeit, auszuwählen, welche Sperrlisten heruntergeladen werden sollen. Sie können am 

Wurzelzertifikat der geprüften Signatur erkennen, welche Sperrliste Sie verwenden müssen, um die 

Signatur korrekt zu prüfen. Als Arbeitsschritt empfiehlt es sich aber immer, vor der eigentlichen 

Signaturprüfung stets alle Sperrlisten herunter zu laden, da Sie im Regelfall nicht wissen, von welchem 

Zertifikat die zu prüfende Signatur erzeugt wurde und wie das zugehörige Herausgeberzertifikat lautet. 

So laden Sie eine aktuelle Sperrliste herunter: 

Klicken Sie auf das OpenLimit Icon in der Taskleiste. 

Wählen Sie den Menüpunkt Sperrlistenaktualisierung. 

Daraufhin öffnet sich der OpenLimit SignCubes Sperrlistenaktualisierungsassistent mit einer Startseite, 

die Sie mit Weiter bestätigen können. 

Wählen Sie aus der Liste mit einem Klick in die Checkboxen die gewünschten Sicherheitsdateien aus. 

98


Klicken Sie jetzt auf Weiter, es werden die aufgelisteten Dateien aktualisiert. Mit einem Klick auf Zurück 

können Sie die Auswahl noch einmal ändern. 

99


Der Dateistatus gibt an, wie weit der Download der jeweiligen Datei fortgeschritten ist. Am Ende wird eine 

Liste mit Ergebnissen erstellt. 

Klicken Sie auf Fertig stellen 

Hinweis: Um diese Dateien zu aktualisieren, benötigen Sie eine Internetverbindung. Konnte die 

Verbindung nicht hergestellt werden, wird als Statusmeldung 'Fehler beim Download' angezeigt. 

Aktuelle Sperrlisten sind notwendig um eine erfolgreiche Signaturprüfung vornehmen zu können. Wenn 

sie die Sperrlisten nicht aktualisieren, können Sie auch keine Signaturen bzw. das verwendete 

Signaturzertifikat und die Zertifikatskette als gültig verifizieren. 

Hinweis: Die Sperrlistenaktualisierung kann über Proxy - Server erfolgen. Voraussetzung dafür ist, dass 

die entsprechenden Einstellungen über den Internetexplorer/Extras/ 

Internetoptionen/Internetverbindungen vorgenommen wurden. (Eine automatische Konfiguration ist 

nicht vorgesehen.) 

Falls eine Anmeldung über User und Passwort erforderlich ist, sind die folgenden Einstellungen notwendig: 

Öffnen Sie die Datei siqSOL.ini in dem Ordner C:\Programme\OpenLimit\Data mit einem beliebigen Editor. 

100


Entfernen Sie vor der Bezeichnung User= und Pass= jeweils das Semikolon und tragen Ihre Zugangsdaten 

für den Proxy - Server ein. 

5.5 Arbeiten mit dem OpenLimit SignCubes Viewer 

Der OpenLimit SignCubes Viewer kann aus dem Signaturanforderungsdialog und bei der Signaturprüfung 

(PKCS#7 Dateien) jeweils über den Button Daten anzeigen gestartet werden, vorausgesetzt es handelt sich 

um Daten im PDF, TIFF oder TXT Format und die Anzeige dieser Dateiformate wurde durch einen 

entsprechenden Lizenzcode freigeschaltet. In diesem Fall werden Ihnen die Daten, die Sie signieren bzw. 

deren Signatur Sie prüfen wollen, angezeigt. Die Schaltflächen zur Signaturerzeugung und 

Signaturverifikation sind nicht aktiv. 

Darüber hinaus kann der OpenLimit SignCubes Viewer als separates Programm über Start - Programme - 

OpenLimit SignCubes - OpenLimit SignCubes Viewer gestartet werden. Beim Start über den 

Programmordner wird das Programm ohne Datei geöffnet. 

101


Nachdem eine Datei geöffnet wurde, sehen Sie im linken Bereich der Anzeige unter dem OpenLimit Logo 

eine Dateivorschau, welche Ihnen die einzelnen Seiten des Dokuments mit der Seitennummer anzeigt. Mit 

einem Klick auf die jeweilige Vorschauseite springt die Seitenansicht im rechten Bereich der Anwendung 

auf die angewählte Seite. Im dargestellten Beispiel umfasst die TIFF Datei nur eine Seite. 

102


Nach Anklicken des Registers Unterschriften erhalten Sie Detailinformationen zu der bzw. den Signaturen 

der Datei. Ist die Datei nicht signiert, wird der Hinweis "Das Dokumment ist nicht digital signiert" 

angezeigt. 

103


Der OpenLimit SignCubes Viewer stellt Ihnen die folgenden Toolbars zur Verfügung. 

Die Toolbar Standard 

Die folgenden Funktionen können über diese Toolbar angesprochen werden: 

Datei öffnen: Hier können Sie eine TIFF oder Textdatei in die Ansicht laden. 

Datei speichern unter: Hier können Sie die Datei unter einem beliebigen Namen speichern. 

Seitenansicht: Es wird eine Druckvorschau generiert. 

Drucken: Hier können Sie die Datei ausdrucken. 

Dateiinhalt: Es werden in Abhängigkeit von dem geöffneten Dateiformat weitere Dateiinhalte 

angezeigt. 

Die Toolbar Ansicht 

Info: Es werden die Versionsinformation und die Copyright Informationen angezeigt. 

Hilfe: Es wird die Benutzerdokumentation (dieses Handbuch) geöffnet 

Diese Toolbar ist nur bei TIFF Dateien aktiv. Textdateien werden immer im Verhältnis 1:1 dargestellt. 

Breite anpassen: Das dargestellte Bild wird an die Breite des Fensters angepasst. 

Alles darstellen: Das dargestellte Bild wird so in das Fenster eingepasst, dass die gesamte Seite 

in dem Fenster dargestellt wird. 

Pixelgenau darstellen: Das Bild wird 1:1 pixelgenau dargestellt. 

Benutzerdefiniert darstellen: Es erscheint ein Dialog, der Ihnen die Auswahl eines 

Zoomverhältnisses zwischen 10% und 300% ermöglicht. 

Schwarz/Weiß Darstellung: Sie haben hier die Möglichkeit, ein TIFF-Dokument, welches als Farb- 

oder Graustufendarstellung vorliegt, in eine Schwarz/Weiß Darstellung zu transformieren. 

Graustufendarstellung: Das aktuelle TIFF-Dokument wird in Graustufen dargestellt. 

Originaldarstellung: Wenn Sie von der Option zur Schwarz/Weiß Darstellung oder der 

Graustufendarstellung Gebrauch gemacht haben, kommen Sie hier wieder zur Originalansicht. 

104


Die Toolbar Signatur 

Diese Toolbar ist nur dann aktiv, wenn das Programm nicht aus dem Signaturanforderungsdialog gestartet 

wurde. 

Signatur erzeugen: Hier können Sie über den OpenLimit SignCubes Security Environment 

Manager die angezeigte Datei elektronisch signieren. 

Signatur prüfen: Hier können Sie über den OpenLimit SignCubes Security Environment Manager 

eine Prüfung der elektronischen Signatur vornehmen. 

In Abhängigkeit von den zur Verfügung stehenden Funktionalitäten können Buttons für weitere 

Anwendungen angezeigt werden wie z.B. dem Mailversand. 

Hinweise für den Umgang mit Meldungen während der Dokumentanalyse: Wenn ein Dokument durch den 

OpenLimit SignCubes Viewer geöffnet werden soll, untersucht der OpenLimit SignCubes Viewer dieses 

Dokument nach versteckten Inhalten. Der folgende Abschnitt zeigt Ihnen, wie Sie mit einer solchen 

Meldung umgehen können. 

Wenn Sie eine TIFF - Datei in den OpenLimit SignCubes Viewer laden, kann die folgende Meldung 

erscheinen. 

Diese Meldung bedeutet, dass die TIFF Datei zwar inhaltlich korrekt ist, aber Datenfelder enthält, die in der 

Darstellung nicht angezeigt werden. Der OpenLimit SignCubes Viewer gibt Ihnen die Möglichkeit, diese 

Datenbereiche ebenfalls zu untersuchen. Um diese Bereiche zu untersuchen, klicken Sie auf: 

das Symbol für weitere Dateiinhalte in der Toolbar 

oder den Menüpunkt Ansicht - weitere Dateiinhalte... 

105


Ihnen wird dann ein Dialog angezeigt, der Ihnen sämtliche Informationen zu den angezeigten Dateiinhalten 

liefert. 

106


Sie können sich z.B. in einer TIFF-Datei alle Tags, nur Text Tags oder auch nur die unbekannten Tags 

anzeigen lassen. In dem unteren Fenster wird dieser Bereich dann Hexadezimal kodiert dargestellt bzw. 

Sie können die Darstellung auch auf Dezimalzahlen umschalten. Wenn Sie den Scrollbalken des Fensters 

nach unten bewegen, sehen Sie einen Bereich, in dem versucht wird, die enthaltenen Informationen als 

Text darzustellen. Dies gibt Ihnen die Möglichkeit, verborgene Inhalte zu erkennen und z.B. zu entscheiden, 

ob Sie die Datei trotz dieser Inhalte signieren möchten. Häufig enthalten TIFF-Dateien noch 

Zusatzinformationen, wie einen Autor. Diese Informationen werden in der Bildverarbeitung oft nicht mit 

dargestellt. Mit der Analyse durch den OpenLimit SignCubes Viewer haben Sie trotz allem noch die 

Möglichkeit, auch diese verborgenen Inhalte zu betrachten. 

Hinweis: Die Untersuchung der verwendeten TIFF-Dateien richtet sich an der Adobe TIFF-Spezifikation 

6.0 aus. Wenn TIFF-Dateien verwendet werden, die nicht dieser Spezifikation entsprechen, kann das 

gelieferte Produkt diese Dateien nicht analysieren und korrekt als TIFF Datei erkennen. 

Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der 

OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 beschrieben. 

107


Untersuchung von TIFF-Dokumenten in der Schwarz-Weiß Darstellung 

Das folgende Beispiel erklärt Ihnen, wie Sie versteckte Inhalte in TIFF-Dokumenten erkennen können, die 

auf Grund unzureichender Kontrastierung in der Ansicht nicht erscheinen. Sie laden eine Grafik mit dem 

OpenLimit SignCubes Viewer, die im ersten Schritt wie folgt dargestellt wird. 

Im nächsten Schritt sollten Sie grundsätzlich eine Untersuchung der dargestellten Grafik vornehmen, da 

auf Grund zu geringer Farbkontraste enthaltene Informationen bei der Darstellung am Monitor verloren 

gehen können. Sie klicken auf den Knopf zur Schwarz/Weiß Darstellung und sehen den folgenden Dialog. 

108


Sie können nahtlos die Einstellung festlegen, ab welchem Punkt die Farbwerte der Farbe Schwarz 

zugeordnet werden. Sie bewegen den Schieberegler bis auf eine volle Schwarz-Weiß Darstellung und 

können somit den Inhalt der Datei nun genauer untersuchen. Damit haben Sie grundsätzlich die 

Möglichkeit, jede farbige Grafik auf verdeckte Inhalte hin zu untersuchen. Nachdem Sie die Einstellungen 

vorgenommen haben, klicken Sie auf OK. In der folgenden Darstellung erkennen Sie nun den Inhalt, der auf 

Grund der unzureichenden Farbkontraste des Monitors sonst nicht sichtbar gewesen wäre. 

Sie haben mit Hilfe des OpenLimit SignCubes Viewers den versteckten Inhalt entdeckt und sollten von der 

Erzeugung einer elektronischen Signatur absehen. 

Grundsätzlicher Hinweis: Der OpenLimit SignCubes Viewer kann Sie nicht von der Interpretation der 

angezeigten Daten befreien. Das TIFF Format ist kein Dateiformat, welches eine Interpretation des 

dargestellten Inhaltes durch ein Programm wie den OpenLimit SignCubes Viewer zulässt. Die 

Untersuchung der Daten auf versteckte Inhalte wird Ihnen durch diesen Produktbestandteil ermöglicht, 

allerdings müssen Sie selbst solche Untersuchungen mit Hilfe der vorhandenen Mechanismen 

109


vornehmen. Das TIFF-Format sieht die Verwendung bestimmter Kompressionsformate innerhalb einer 

TIFF-Datei vor. Die sichere Anzeigeeinheit erkennt nicht alle Kompressionsformate und kann daher 

auch nicht alle Kompressionsformate anzeigen. In diesem Falle wird die Textmeldung angezeigt: 'Das 

Format der Datei ist nicht geeignet'. 

Um Inhalte, wie Sie in dem obigen Szenario erläutert wurden, sicher zu erkennen, müssen Sie bei farbigen 

TIFF-Dokumenten immer eine Analyse in der Schwarz/Weiß Darstellung vornehmen. Sie könnten sonst ein 

Dokument signieren, welches Sie in seinem Inhalt nicht bereit wären, zu signieren. 

Hinweis bei der Analyse von Text-Dateien: Bei der Analyse von Textdokumenten kann der OpenLimit 

SignCubes Viewer melden, dass Zeichen erkannt wurden, für die keine eindeutige Darstellung definiert 

ist. Das bedeutet, dass Zeichen erkannt wurden, die sowohl im OEM Schriftsatz als auch im ANSI 

Schriftsatz eine unterschiedliche Bedeutung haben. 

110


Wenn Sie sich nicht sicher sind, ob dadurch der Inhalt eines Textdokuments verfälscht wird, können Sie 

sich ebenfalls unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar Klarheit 

verschaffen. Die folgende Grafik zeigt, wie die Analyse solcher mehrfach belegten Zeichen im Detail 

dargestellt wird. 

111


Ihnen wird angezeigt, welche Zeichen wie oft erkannt wurden. Wenn Sie auf ein Zeichen in der Liste 

klicken, wird Ihnen zu jedem Vorkommen des Zeichens angezeigt, in welcher Zeile und Spalte des 

Dokuments dieses Zeichen gefunden wurde. So können Sie sich Klarheit verschaffen, ob das Dokument 

immer noch den Inhalt hat, den Sie auch bereit sind, zu signieren. 

Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der 

OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 beschrieben. 

Bei dem Öffnen einer PDF Datei mit dem OpenLimit SignCubes Viewer kann der folgende Hinweis auftreten: 

112


Damit werden Sie darauf hingewiesen, dass in der PDF Datei Java Scripte enthalten sind. Diese werden in 

dem OpenLimit SignCubes Viewer nicht ausgeführt. In dem darauf folgenden Fenster erhalten Sie den 

Hinweis auf "Weitere Dateiinhalte", die Sie sich über Ansicht Weitere Dateiinhalte ansehen können. 

113


Unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar haben Sie die Möglichkeit, sich 

weitere Dateiinhalte zu dem geöffneten PDF Dokument anzeigen zu lassen: 

Allgemein: Es werden Ihnen in zusammengefasster Form die wichtigsten Dateiinhalte 

aufgelistet. 

Bilder: Zeigt an, welche Bilder auf welcher Seite zu finden sind. 

Java Script: Gibt Ihnen eine Auflistung der in dem PDF enthaltenen Java Scripte und dazu 

weitere Detailinformationen. 

Kommentare: Es werden die Kommentare des PDF mit ihrer Position aufgelistet. 

Alle Texte: Unter diesem Register werden alle in dem PDF enthaltenen Texte getrennt nach den 

einzelnen Seiten dargestellt. 

Viewer Meldungen: In diesem Register werden Ihnen weitere Prüfdetails als Hinweis angezeigt. 

Schriften: Es werden die in dem PDF verwendeten Schriftarten aufgezeigt. 

Annotationen: Es werden Zusatzinformationen zu in dem PDF enthaltenen Formularfeldern 

angezeigt. 

Wählen Sie das Register Allgemein erhalten Sie solche Informationen zu dem PDF wie Dateiname, 

enthaltene Java Scripte sowie Bilder und die Kopfdaten des PDF angezeigt. 

114


Wählen Sie in dem Register Bilder ein Bild aus und klicken die Schaltfläche Zeigen an, erhalten Sie eine 

Liste aller in dem PDF enthaltenen Bilder, die Sie sich fortlaufend anzeigen lassen können. 

115


Die in der PDF Datei enthaltenen Java Scripte werden Ihnen unter dem Register Java Script angezeigt: 

116


Über das Register Alle Texte werden die in der PDF Datei enthaltenen Texte getrennt nach den einzelnen 

Seiten zusammengefasst. 

117


Nach Klicken auf die Schaltfläche Zeigen erhalten Sie die Textinformation in dem Textextraktionsdialog 

übersichtlich angezeigt: 

Unter dem Register Viewer Meldungen werden Ihnen weitere Detailinformationen angezeigt, die sich aus 

der Prüfung der Daten bei der Erstellung der Ansicht im Viewer ergeben haben. 

Hinweis: Achten Sie darauf, welche Fonts vom Viewer zur Darstellung der Texte verwendet werden. Es 

ist möglich, dass bei der Erzeugung des PDF Dokuments Fonts verwendet wurden, die auf Ihrem 

Betriebssystem nicht installiert sind. In diesem Falle muss der Viewer diese Fonts durch andere, 

ähnliche Fonts ersetzen. Verwenden Sie zur Prüfung von Texten immer den Text-Extraktionsdialog 

(Registerkarte: Alle Texte, Button: Anzeigen) um sich über den dargestellten Text zu vergewissern. 

118


Unter dem Register Schriften werden Ihnen die in der PDF Datei verwendeten Schriftarten angezeigt mit 

der Information, ob diese Schriftart in der Datei eingebettet ist oder vom Betriebssystem zugeladen wird. 

119


Unter dem Register Annotationen werden Ihnen weitere Zusatzinformationen angezeigt, die in der PDF 

Datei Formularfeldern hinzugefügt sind. 

Hinweis: Verschiedene Grafik-Programme bieten die Möglichkeit, Vektor Grafiken zu erstellen und 

diese in ein PDF Dokument einzubetten. Der Viewer bietet nicht die Möglichkeit, solche Vektor Grafiken 

(oder auch so genannte Splines) zu extrahieren und separat darzustellen oder zu untersuchen. Wenn 

Sie ein PDF Dokument mit Text signieren wollen, vergewissern Sie sich vorab immer über den Text- 

Extraktionsdialog über den vorhandenen Text. Wenn in diesem Dialog nicht der gesamte Text erscheint, 

der vermeintlich in dem PDF Dokument vorhanden ist, ist dieser fehlende Text eine Vektorgrafik. 

Solche Dokumente sollten Sie auf keinen Fall signieren! 

Hinweis: Der OpenLimit SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen. 

Die PDF Dokumente entsprechen der PDF 1.7 Spezifikation. Die Abweichungen von dieser Spezifikation 

wurden bereits im Kapitel Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5, 

Version 2.5.0.3 aufgeführt. Das TIFF Dokument kann eine mehrseitige TIFF Datei (Multipage-TIFF) sein. 

TXT Dokumente müssen den Regeln für Textdokumente entsprechen. Diese Syntaxprüfung ist auch bei 

Dokumenten im Rich Text Format (RTF) oder bei HTML-Quellcode erfolgreich. Die generierte Ansicht 

entspricht dabei immer dem Dokumentquellcode, d.h., eine Interpretation der Dateiinhalte, wie sie z.B. 

bei HTML Dokumenten von einem Browser vorgenommen wird, kann nicht geleistet werden. 

Hinweis: Wenn Sie sich nach der Anzeige durch den OpenLimit SignCubes Viewer hinsichtlich der zu 

signierenden Daten nicht sicher sind, dann sollten Sie diese Daten nicht signieren. 

120

5.6 Signaturerzeugung 


Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bietet Ihnen die Möglichkeit, eine 

qualifizierte Signatur nach dem deutschen Signaturgesetz zu erstellen. Es können aber auch 

fortgeschrittene und andere Signaturen erzeugt werden. Im Signaturgesetz werden verschiedene 

Anforderungen an eine qualifizierte Signatur gestellt. So muss der Benutzer z.B. die Möglichkeit haben, die 

zu signierenden Daten in einer geeigneten Darstellungsform zu betrachten. Diese Möglichkeit wird Ihnen 

in dem Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 über den OpenLimit SignCubes 

Viewer eingeräumt. 

Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 ist für den Umgang mit den im 

Kapitel Chipkarten aufgelisteten Smartcards bestimmt. Sie müssen bei der Signaturerzeugung immer 

darauf achten, dass Sie das richtige Zertifikat für die Signaturerzeugung verwenden. 

Es ist technisch ohne weiteres möglich, Signaturen mit beliebigen Zertifikaten zu erzeugen. Um eine 

qualifizierte Signatur zu erzeugen, müssen Sie immer ein Zertifikat verwenden, dessen Eigenschaften 

ausdrücklich darauf verweisen, dass es für die Erzeugung unabweisbarer elektronischer Signaturen 

vorgesehen ist. Diese Eigenschaften werden Ihnen beim Zertifikatsauswahldialog unter 

Verwendungszweck (Zulässige allgemeine Zwecke) angezeigt. 

Weiterhin können Sie sich mit einem Klick auf den Button Details ... die Eigenschaften des Zertifikates im 

Zertifikatseigenschaftendialog anzeigen lassen. 

Die angezeigten Zertifikatseigenschaften sind in der folgenden Abbildung enthalten: 

121


Klicken Sie auf OK, um diesen Dialog wieder zu schließen. Um eine Signatur zu erzeugen, haben Sie mit den 

OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 mehrere Möglichkeiten. 

122


Wenn Sie z.B. eine Signatur über den OpenLimit SignCubes Viewer erzeugen, klicken Sie auf das Symbol 

'Signatur erzeugen' oder wählen den entsprechenden Menüpunkt. 

Anschließend erscheint das folgende Fenster: 

Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt. 

123


Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitere 

Detailinformationen, wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche PIN, 

angezeigt werden. 

Es erfolgt sofort die Aufforderung zur PIN Eingabe. 

Klicken Sie auf den Button Details, so erscheint das Signaturanforderungsfenster, in dem Ihnen 

weitere Detailinformationen angezeigt werden. Nach dem Sie in diesem Fenster auf Signatur 

erzeugen geklickt haben, erscheint die Aufforderung zur PIN Eingabe. 

Die folgenden Informationen sind in dem Signaturanforderungsdialog enthalten: 

Anwendung: Enthält den Namen der Anwendung sowie den Pfad der Anwendung. Hier können Sie 

jederzeit erkennen, mit welcher Anwendung eine elektronische Signatur erzeugt werden soll. 

Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. Mit dem Knopf 

Zertifikat anzeigen können Sie sich das Zertifikat jederzeit anzeigen lassen. 

Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der eingelegten Karte 

angezeigt. 

Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese Kategorie 

sorgfältig, damit Sie bei Karten mit mehreren PINs nicht die falsche PIN eingeben. 

Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an. 

Daten: Zeigt an, welche Datei signiert werden soll. Mit einem Klick auf den Knopf Daten anzeigen 

können Sie wiederum den OpenLimit SignCubes Viewer starten, um die Daten zu betrachten. 

124


Mit einem Klick auf den Knopf Signatur erzeugen können Sie jetzt die elektronische Signatur erzeugen. 

Beachten Sie bitte, dass automatisch die sichere PIN-Eingabe gestartet wird. Wenn die Daten signiert 

wurden, erscheint ein Informationsfenster, welches Ihnen mitteilt, dass die Daten signiert wurden. 

Hinweis: Wenn Sie automatisch eine OCSP-Antwort und/oder einen Zeitstempel während der 

Signaturerzeugung einbinden, sollten Sie nach der Signaturerstellung die Signatur prüfen und sich die 

Einzelheiten der OCSP-Antwort und des eingeholten Zeitstempels anzeigen lassen. Die Gültigkeit der 

OCSP-Antwort und des Zeitstempels werden erst dann auf Sperrlistenbasis vollständig geprüft, wenn 

Sie sich die Eigenschaften der eingebundenen Daten anzeigen zu lassen. 

Hinweis: Die OpenLimit SignCubes Basiskomponenten bieten die Möglichkeit, mehrere Dateien in einem 

Durchgang zu signieren. Damit Sie diesen Modus verwenden können, benötigen Sie jedoch eine 

zusätzliche OpenLimit Anwendung. Wenn dieser Modus aktiviert wird, erscheint der folgende 

Signaturanforderungsdialog. 

In diesem Falle wird der Button Daten anzeigen in Abhängigkeit von der ausgewählten Datei aktiviert. 

125


Hinweis: Die Aktivierung des Mehrfachsignaturmodus erkennen Sie an der Dateiauswahlliste. Wenn Sie 

diesen Dialog sehen, können Sie mit einem Klick auf den Pfeil die Dateiauswahlliste aufklappen und 

erkennen, welche Dateien signiert werden sollen. 

Wenn der Signaturvorgang gestartet wird, erscheint ein Fortschrittsdialog, der Sie über die aktuell zu 

signierende Datei informiert. Wenn Sie den Button Abbrechen drücken, werden alle bis zu diesem 

Zeitpunkt erzeugten Signaturdateien wieder verworfen. 

Hinweis: Da Sie in diesem Modus mehrere Dateien in einem Durchgang signieren können, sollten Sie 

sich stets über Inhalt aller zu signierenden Daten vergewissern. 

5.7 Attributzertifikate 

Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten dem Anwender die Möglichkeit, der 

elektronischen Signatur mit dem Signaturzertifikat zusätzliche Attributzertifikate hinzuzufügen. 

Dazu wird in dem OpenLimit SignCubes Security Environment Manager die Option Attributzertifikate 

automatisch mitsignieren eingestellt. Im Ergebnis dessen wird bei jeder Signaturerstellung das zu dem 

Signaturzertifikat zugehörige Attributzertifikat bzw. die Attributzertifikate (es sind auch mehrere möglich) 

hinzugefügt. 

Klicken Sie in der Task-Leiste auf das OpenLimit Symbol, wählen Sie den Menüpunkt Einstellungen und 

setzen für Attributzertifikate automatisch mitsignieren den Haken. 

126


Bei der Signaturerstellung mit dieser eingestellten Option erfolgt die Integration des Attributzertifikats 

automatisch. Voraussetzung dafür ist, dass die Datei des Attributzertifikats in dem Verzeichnis Eigene 

Dateien\AttributeCertificates abgelegt ist und zum Signaturzertifikat gehört. 

Die Informationen des Attributzertifikats werden bei der Signaturprüfung zusätzlich zu den Daten des 

Signaturzertifikats angezeigt. Starten Sie dazu die Signaturprüfung 

127


Klicken Sie auf das Register mit dem Namen (Unterzeichner). 

128


Klicken Sie auf den Button Details und wählen anschließend in dem Fenster das Register Details aus: 

Nach Auswahl des Feldes Beschränkung wird Ihnen in der unteren Hälfte des Fensters der Inhalt des 

Attributzertifikats angezeigt. 

129


Hinweis: Das Verzeichnis Eigene Dateien/AttributeCertificates wird durch den OpenLimit SignCubes 

Security Environment Manager automatisch beim ersten Einlesen einer Smartcard angelegt. Die 

Attributzertifikate müssen in diesem Verzeichnis abgelegt sein. 

In dem Fall, dass Sie als Anwender ein anderes Verzeichnis für die Attributzertifikate definieren wollen, 

können Sie dies über die Verzeichniseinstellungen des OpenLimit SignCubes Security Environment 

Managers vornehmen. Weitere Informationen dazu finden Sie in dem Abschnitt Option: Verzeichnisse. 

130

5.8 Zeitstempeldienste 


Mit dem in den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bereitgestellten 

Zeitstempeldienst haben Sie die Möglichkeit, sich die Zeitstempelinformationen, die Daten hinzugefügt 

wurden, anzeigen zu lassen und dessen Signatur zu prüfen. Starten Sie dazu die Signaturprüfung: 

Klicken Sie auf die Schaltfläche Details. 

In dem folgenden Fenster wird unter dem Register Zusammenfassung das Ergebnis der Signaturprüfung zu 

der angeführten Prüfzeit dargestellt. Unter dem Register TSP-Details erhalten Sie weitere 

Einzelinformationen. 

131


Wenn Sie auf den Registerkartenreiter TSP-Details klicken, werden Ihnen detaillierte Informationen zum 

Zeitstempel angezeigt. 

132


Wenn Sie auf den Knopf 'Signatur-Zertifikat anzeigen' klicken, wird Ihnen das Zertifikat angezeigt, welches 

den Zeitstempel unterzeichnet hat. Zudem wird Ihnen die komplette Zertifikatskette zu diesem Zertifikat 

angezeigt. Sie sollten immer die Gültigkeit des Zertifikats, mit dem der Zeitstempel signiert ist, prüfen. 

Wenn Sie mit dem Produkt einen Zeitstempel abholen, sollten Sie immer das unterzeichnende Zertifikat 

des Zeitstempels überprüfen um sicherzustellen, dass Sie vom beabsichtigten Zeitstempeldienst eine 

Antwort erhalten haben. Das Produkt kann die Quelle des Zeitstempels nicht garantieren, die Prüfung mit 

Hilfe des Zertifikates muss von Ihnen durchgeführt werden. Sie müssen in jedem Fall selbst entscheiden, 

ob Sie dem Zeitstempel vertrauen. 

Hinweis: Wenn in der PKCS#7 Signaturdatei bzw. in der XML-Signatur ein Zeitstempel vorhanden ist, 

wird Ihnen automatisch auch das Ergebnis der Gültigkeitsprüfung der Signatur zu dem Zeitpunkt 

mitgeteilt, der durch den Zeitstempel angegeben wird. 

Hinweis: Die Funktion des Zeitstempeldienstes kann nur dann genutzt werden, wenn am PC eine 

Internetverbindung zu dem Zeitstempeldiensteanbieter besteht. 

133

5.9 XML Signaturen 


Die Erzeugung von XML-Signaturen bzw. die Verifikation von XML-Signaturen kann grundsätzlich nur über 

Drittanwendungen aktiviert werden, die wiederum auf die Funktionen der OpenLimit SignCubes 

Basiskomponenten 2.5, Version 2.5.0.3 zugreifen. Damit stehen dem Anwender für die Signaturerzeugung 

von XML-Signaturen auch die Zeitstempeldienste, das Einbinden der OCSP - Anfrage und vorhandener 

Attributzertifikate zur Verfügung. 

Signaturerzeugung für XML Daten 

Wird über die Drittanwendung die Signaturerzeugung gestartet, erscheint der folgende 

Signaturanforderungsdialog: 

Nach Anklicken des Button Daten anzeigen werden die folgenden Informationen angezeigt: 

134


Nach Anklicken des Button Details wird der OpenLimit SignCubes Viewer gestartet und die ausgewählten 

Daten werden angezeigt. Es sind nicht die referenzierten Daten sondern der XML-Datenstrom: 

135


Verifizieren von XML-Signaturen 

Wird über die Drittanwendung die Signaturverifikation gestartet, erscheint das folgende 

Informationsfenster: 

Nach Anklicken des Button Details werden die folgenden Informationen angezeigt: 

136


Nach Anklicken des Button Details wird der OpenLimit SignCubes Viewer geöffnet und die ausgewählten 

Daten werden angezeigt: 

137

6 Arbeitsabläufe 

6.1 Dateiformate 


Die Arbeitsabläufe unter den verschiedenen Modulen der OpenLimit SignCubes Software sind immer 

wieder dieselben. Deshalb beschreiben wir in diesem separaten Kapitel nur die immer wiederkehrenden 

Abläufe. Wie diese gestartet oder angesteuert werden, können Sie in dem Abschnitt unter Arbeiten mit den 

OpenLimit SignCubes Basiskomponenten 2.5.0.3 nachlesen. 

Die OpenLimit SignCubes 2.5 Software speichert Daten in verschiedenen Dateiformaten ab. Das Format 

können Sie über den OpenLimit SignCubes Security Environment Manager einstellen. Standardmäßig wird 

bei der Installation der Software das Format so eingestellt, dass die Signaturdatei und die Originaldaten in 

einer Datei gespeichert werden. 

p7s - Format 

*.p7s Dateien sind PKCS#7-Daten: Es handelt sich dabei um eine abgesetzte Signatur (detached signature). 

Das heißt, die signierten Daten und die Signatur sind in zwei getrennten Dateien gespeichert. Diese 

Vorgehensweise hat den Vorteil, dass man sich die Originaldaten mit dem dazugehörigen Programm 

ansehen kann. Solange diese nicht geändert werden, bleibt auch die Signatur gültig. Die Signatur ist mit 

der Originaldatei durch denselben Dateinamen verbunden. Wenn Sie eine p7s Datei mit einem Doppelklick 

öffnen, wird automatisch die Signaturprüfung gestartet. 

p7m - Format 

*.p7m Dateien sind PKCS#7-Daten: Dahinter können sich signierte, verschlüsselte oder signierte und 

verschlüsselte Daten verbergen. 

Signierte bzw. signierte und verschlüsselte p7m-Dateien liegen als Verbund-Dateien vor. Das heißt, die 

Datei beinhaltet sowohl eine oder mehrere Signaturen im p7s-Format als auch die Originaldaten, welche 

signiert oder signiert und verschlüsselt wurden. Wenn Sie eine p7m-Datei doppelklicken, wird die Datei 

entschlüsselt, sofern sie verschlüsselt war. Anschließend wird die Signaturprüfung gestartet, sofern eine 

Signatur vorhanden ist. 

138


Hinweis: Verschlüsselte Daten werden immer als *.p7m Datei gespeichert. Bei Signaturen mit der 

OpenLimit SignCubes Shell Extension können Sie zwischen p7s (Daten und Signatur getrennt) oder p7m 

(Daten und Signatur in einer Datei) wählen, indem Sie die Einstellungen ändern. 

ors - Format 

*.ors Dateien sind Online-Statusabfragen zu Zertifikaten. Der Status eines Zertifikats kann bei der 

Signaturerstellung oder -prüfung vom Trustcenter abgefragt werden und gibt eine Aussage über die 

Gültigkeit des Zertifikats. 

tsr - Format 

*.tsr Dateien sind Zeitstempelinformationen. Zur Erzeugung von Zeitstempeln benötigt der User einen 

speziell freigeschalteten Zugriff auf einen Zeitstempel-Dienst. Ein Zeitstempel gibt eine Aussage darüber, 

dass gewisse Daten zu einem bestimmten Zeitpunkt existiert haben. Dies wird durch eine digital signierte 

Bescheinigung einer Zertifizierungsstelle bestätigt. 

139

6.2 Signieren 


crl - Format 

*.crl - Dateien sind Sperrlisten: Durch Anklicken mit der rechten Maustaste wird die Sperrliste geöffnet und 

Sie können sich weitere Details zu einzelnen Zertifikaten anzeigen lassen. 

cer - Format 

*.cer - Dateien sind Zertifikatsdateien: Mit einem Doppelklick haben Sie die Möglichkeit, sich dieses 

Zertifikat anzeigen zu lassen. 

Die OpenLimit SignCubes Software bietet Ihnen verschiedene Möglichkeiten, qualifizierte Signaturen nach 

deutschem Signaturgesetz zu erstellen. Es können aber auch fortgeschrittene oder andere Signaturen 

erstellt werden. 

Unabhängig davon, aus welchem Modul heraus Sie den Vorgang der Signaturerzeugung starten, ist der 

nachfolgend beschriebene Ablauf immer gleich: 

Datei signieren 

Nach dem Start der Signaturerzeugung öffnet sich das folgende Fenster: 

Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt. 

Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitere 

Detailinformationen, wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche PIN, 

angezeigt werden. Es erfolgt sofort die Aufforderung zur PIN Eingabe. 

140


Klicken Sie auf den Button Details, so erscheint das nachfolgende Signaturanforderungsfenster, in dem 

Ihnen weitere Detailinformationen angezeigt werden. 

Hier sehen Sie das Zertifikat, welches zur Signaturerzeugung verwendet wird, die Karte, die erforderliche 

PIN, den Kartenleser und die zu signierenden Daten. 

Vor der Signaturerzeugung sollten Sie sich im Fall von Daten im TXT, TIFF oder PDF Format über Daten 

anzeigen die zu signierenden Daten im OpenLimit SignCubes Viewer anzeigen lassen, um sicher zu sein, 

welche Daten Sie tatsächlich signieren. Klicken Sie dazu auf den Button Daten anzeigen. 

Nach dem Sie in diesem Fenster auf Signatur erzeugen geklickt haben, erscheint die Aufforderung zur PIN 

Eingabe. 

Je nach Kartenleser erscheint nun eine unterschiedliche Meldung. 

Geben Sie die PIN auf der Tastatur des Kartenlesers ein, eventuell müssen Sie diese mit OK bestätigen. 

Anschließend erscheint ein Fenster mit der Meldung, dass die Daten signiert wurden. 

141

6.3 Signatur prüfen 


Sollte hier ein Fenster mit der Meldung erscheinen, dass die eingegebene Signatur-PIN zurückgewiesen 

wurde, dann bedeutet das, dass Sie eine falsche PIN eingegeben haben. 

Die Prüfung einer Signatur erfordert Sorgfalt und Umsicht. Folgende Punkte sollten geprüft werden: 

Ist das Dokument wirklich unverändert? 

Ist der Signaturinhaber echt? 

Ist das Zertifikat nicht gesperrt? 

Einige Teile der Prüfung werden automatisch von der Software vorgenommen. Ob aber einem Zertifikat 

vertraut werden kann, liegt in der Entscheidung des Benutzers. Qualifizierte Signaturen nach dem 

deutschen Signaturgesetz lassen sich lückenlos zurückverfolgen bis zur Bundesnetzagentur. Das 

Herausgeberzertifikat der Bundesnetzagentur ist in die Software integriert. Dieser Zertifizierungspfad 

muss mathematisch korrekt und lückenlos sein. Aber auch andere Wurzelzertifikate können im 

Betriebssystem als vertrauenswürdig definiert werden. 

Deshalb bleibt es grundsätzlich dem Benutzer überlassen, welchen Zertifikaten er vertraut und welchen 

nicht. 

Weitere Information zu den Abläufen der Signaturprüfung und der Public Key Infrastruktur finden Sie 

unter Grundlagen der elektronischen Signatur. 

142

6.3.1 Zusammenfassung 


Nachdem Sie auf Signatur Prüfen geklickt haben, erscheint der Dialog Details zur Signaturprüfung: 

In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oder 

mathematisch korrekt ist. 

Ist eine Signatur ungültig, dann wurden die Daten verändert. Dieser Signatur können Sie nicht vertrauen. 

Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde. 

Außerdem wurde auch die Signatur an sich nicht manipuliert. Empfehlenswert ist es in diesem Fall, eine 

OCSP Abfrage durchzuführen und sich auf diesem Weg die Gültigkeit der Signatur bestätigen zu lassen. 

Dazu wählen Sie das Register mit dem Namen des Signaturinhabers. 

143

6.3.2 Details 


Nach Anklicken des Registers mit dem Namen des Signaturinhabers wird Ihnen folgendes Fenster 

angezeigt. 

Im Einzelnen erhalten Sie folgende Informationen: 

Hashwertprüfung: Hier wird die Integrität der Daten überprüft. Ist die Hashwertprüfung positiv, 

bedeutet dies, dass die Daten seit dem Signieren nicht verändert wurden. Negativ bedeutet, dass 

die Daten verändert wurden - in diesem Fall ist die Signatur ungültig. Wird als Zusatzinformation 

ein Hinweis angezeigt, dass die Signatur als ungeeignet eingestuft wird, dann bedeutet das, dass 

für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für 

die Erzeugung qualifizierter Signaturen nicht zulässig ist. 

Prüfung von Signatur und Zertifizierungspfad: Hier wird angegeben, ob eine Beschädigung der 

Signatur vorliegt und ob der Zertifizierungspfad vollständig ist. 

Zeitpunkt der Signaturerzeugung (Systemzeit): Hier wird die Zeit angegeben, die auf dem 

Rechner zum Zeitpunkt der Signaturerzeugung eingestellt war. 

144


6.3.3 Online Prüfung von Zertifikaten 

Vertrauensbasis: Hier wird die Vertrauenswürdigkeit des Zertifikats angegeben. Weiterhin wird 

der für die Signaturprüfung verwendete Algorithmenkatalog angezeigt. 

Zertifikatsstatus: Anhand von Sperrlisten wird geprüft, ob das Zertifikat gesperrt wurde. Wenn 

hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von aktuellen Sperrlisten oder 

eine Online-Prüfung über den Button Onlinestatus... 

Aktuelle Zeit als Prüfzeit (Sperrlistenprüfung): Anhand von Sperrlisten wird geprüft, ob das 

Zertifikat zum Zeitpunkt der Prüfung gültig war. 

Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch Online abgefragt werden. 

Nach einem Klick auf Onlinestatus... in dem Fenster OpenLimit SignCubes - Details zur 

Unterschriftsprüfung wird das Fenster Online Status-Prüfung (OCSP) geöffnet. Für die Prüfung muss eine 

Verbindung mit dem Internet bestehen. 

145


Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt 

oder unbekannt. Das Ergebnis der Online Status-Prüfung wird im normalen Prüfdialog nicht angezeigt. Der 

Prüfdialog bezieht sich lediglich auf die Sperrlisten. 

146

6.3.4 Online Status 


Wurde bei der Signaturerstellung der Signatur ein Online Status zugefügt, dann können Sie sich diesen bei 

der Signaturprüfung ansehen. 

Klicken Sie auf den Button Details, um die Einzelheiten der Signaturprüfung anzuzeigen. 

Wählen Sie dann Online Status aus und klicken Sie auf Details, um die Einzelheiten der Online Status 

Prüfung zum Zeitpunkt der Signaturerzeugung zu sehen. 

147


Klicken Sie auf Details. 

148


Mit Zertifikat anzeigen wird das Zertifikat der Person angezeigt, die die Signatur erzeugt hat. 

Mit Signatur-Zertifikat anzeigen wird das Zertifikat der Zertifizierungsstelle angezeigt, die die Online 

Status Antwort signiert hat. 

Mit Online Status exportieren können Sie die Datei als *.ors speichern. Um sich das Ergebnis der 

OnlinePrüfung vollständig ansehen zu können, müssen Sie das dazugehörige Zertifikat in dem gleichen 

Ordner ablegen. 

149


6.3.5 Erstellen Prüfprotokoll 

Falls in Ihrer Programmversion der OpenLimit SignCubes 2.5 das Modul zum Erstellen eines Prüfprotokolls 

mit installiert wurde, haben Sie die Möglichkeit, durch Anklicken des Button Speichern ein Prüfprotokoll zu 

erzeugen und zu speichern. Andernfalls wird der Button nicht angezeigt. 

Wählen Sie das Verzeichnis und den Dateinamen für das Prüfprotokoll aus. Standardmäßig wird das 

Protokoll in dem Ordner Eigene Dateien\VerificationProtocols abgespeichert. 

150


Das Prüfprotokoll enthält folgende Angaben: 

Dokumentbeschreibung: Die Dokumentbeschreibung zeigt den Dateinamen und das temporäre 

Verzeichnis an, in dem das Prüfprotokoll als Datei zwischengespeichert wird, bevor es entweder 

abschließend in dem Verzeichnis Eigene Dateien\VerificationsProtocolls oder in einem durch den 

Anwender definierten Verzeichnis abgelegt wird. 

Prüfumgebung: Die Prüfumgebung weist aus, wann (Datum und Uhrzeit) die Prüfung 

durchgeführt wurde und durch welchen Nutzer. 

Zusammenfassung der Prüfergebnisse: Hier wird das Ergebnis der Hashwertprüfung und die 

Überprüfung der Zertifizierungskette zusammengefasst dargestellt. 

Informationen zur Signatur: An dieser Stelle erhalten Sie weitere Detailinformationen zur 

Signatur wie den Namen des Unterzeichners, die Signaturzeit, die Vertrauensbasis des 

Herausgeberzertifikats, den Hashwert, das Ergebnis der Hashwertprüfung und welcher 

Signaturalgorithmus verwendet wurde. 

Informationen zum verwendeten Signatur-Zertifikat: Hier werden die Angaben zum 

Herausgeberzertifikat, d.h. wer ist der Herausgeber, die Seriennummer des 

Herausgeberzertifikats und die Gültigkeit ausgewiesen. 

151


Durch die Symbolik im Hintergrund des Prüfprotokolls (grüner Haken, gelbes Ausrufezeichen, roter 

Warnkreis) wird das Ergebnis der Prüfung optisch zusätzlich verdeutlicht. Dabei haben die Symbole 

folgende Bedeutung: 

Grüner Haken: Die Signatur wurde gültig geprüft. 

152


Gelbes Ausrufezeichen: Es gibt Hinweise darauf, dass die Signatur nicht vollständig geprüft 

werden konnte, weil z.B. Sperrlisten oder Herausgeberzertifikate fehlten bzw. nicht aktuell 

waren. In diesem Fall sollten Sie die Aktualisierung der Sperrlisten einschließlich der 

Vertrauenslisten durchführen und die Signaturverifikation nochmals starten. Weitere 

Informationen dazu finden Sie in dem Kapitel Sperrlistenaktualisierung. 

153


Roter Warnkreis: Dieses Symbol weist daraufhin, dass die Datei eine ungültige Signatur besitzt. 

In diesem Fall sollten Sie im Detail prüfen, ob die Daten manipuliert wurden, das Zertifikat 

abgelaufen oder gesperrt ist. 

Hinweis: In Abhängigkeit von dem installierten Programm-Modul zum Erstellen des Prüfprotokolls kann 

die o.g. Beschreibung abweichen. Das kann sowohl das Dateiformat des Prüfprotokolls als auch die 

Informationen, die im Ergebnis der Prüfung dargestellt und gespeichert werden, betreffen. 

154

6.4 Verschlüsselung 


Die Verschlüsselung schützt vor den Augen Dritter. Sie können jegliche Daten verschlüsseln, egal ob diese 

auf dem Rechner gespeichert oder ob sie per e-Mail über das Internet gesendet werden. Da die 

Verschlüsselung aber nicht vor Viren schützt, ist es ratsam, verschlüsselte Daten, die archiviert werden 

sollen, zusätzlich auf externen Datenträgern zu sichern bzw. nach dem Entschlüsseln auf jeden Fall nach 

Viren zu prüfen. 

Zunächst wird das Dokument mit einem Zufallsschlüssel im Triple DES-Verfahren verschlüsselt. Das heißt, 

das Dokument wird dreimal hintereinander mit 192 Bit verschlüsselt. Der Zufallsschlüssel wird dann mit 

dem öffentlichen Schlüssel des Empfängers verschlüsselt. Hier kommt die 1024 Bit RSA-Verschlüsselung 

zum Einsatz. 

Man benötigt zum Verschlüsseln also immer den öffentlichen Schlüssel des Empfängers (das können auch 

mehrere sein). Dieser ist in ein Verschlüsselungszertifikat integriert und kann im Verzeichnisdienst des 

Trustcenters abgerufen und auf dem Computer installiert werden. Sie können sich auch die 

Verschlüsselungszertifikate Ihrer Kommunikationspartner per e-Mail schicken lassen. Ihr eigenes 

Zertifikat können Sie aus der Karte exportieren. Alle installierten Zertifikate werden von der Software 

automatisch angezeigt. Das verschlüsselte Dokument und der verschlüsselte Zufallsschlüssel werden dann 

zusammen archiviert oder per e-Mail an die Kommunikationspartner versandt. 

155


In der Praxis ist es empfehlenswert, Daten durch eine Kombination von elektronischer Signatur und 

Verschlüsselung zu sichern. 

6.4.1 Daten verschlüsseln 

Die Verschlüsselung von Daten ist nicht gesetzlich geregelt. Dennoch ist es ratsam, Daten zusätzlich zur 

Signatur zu verschlüsseln, weil dadurch gewährleistet wird, dass nur bestimmte Personen Einblick in die 

Daten haben. 

Wenn Sie Daten verschlüsseln, sollten Sie mindestens zwei Zertifikate verwenden (Ihres und das einer 

vertrauenswürdigen Person). Wenn Sie Ihre Karte verlieren sollten oder sie auf andere Art unbrauchbar 

wird, sind die verschlüsselten Daten ansonsten unwiederbringlich verloren. Es gibt keine Kopien Ihres 

privaten Schlüssels und eine Wiederherstellung ist unmöglich. 

Verschlüsselungszertifikate auswählen 

Nachdem Sie auf Verschlüsseln geklickt haben, erscheint der Dialog zur Auswahl von 

Verschlüsselungszertifikaten. 

Hier werden alle öffentlichen Schlüssel angezeigt, die auf dem Rechner installiert sind. Sollten Sie auf der 

linken Seite keine Zertifikate außer Ihr eigenes sehen, müssen Sie sich die öffentlichen Schlüssel der 

Empfänger beschaffen. Sie haben dazu mehrere Möglichkeiten: 

Download oder Installation über den Verzeichnisdienst, dazu erhalten Sie weitere Informationen 

in dem Abschnitt Verzeichnisdienst. 

durch Installation des Schlüssels, den Sie als cer - Datei erhalten haben, falls Sie mit diesem 

Kommunikationspartner mehrfach verschlüsselt kommunizieren wollen; Weitere Informationen 

finden Sie in dem Abschnitt Zertifikate installieren 

oder durch Einfügen der *.cer-Datei, in dem Sie auf den Button aus Datei klicken 

156


Nur die Zertifikatsinhaber der ausgewählten Zertifikate können die Datei entschlüsseln. Es ist also ratsam, 

auch das eigene Zertifikat hinzuzufügen. 

Wenn ein Zertifikat selektiert ist, können im unteren Fenster die Informationen dazu angesehen werden. 

Nach einem Klick auf Hinzufügen oder einem Doppelklick auf den Zertifikatsnamen wird das Zertifikat in 

die rechte Liste kopiert. 

Klicken Sie dann auf Übernehmen, um die Daten für die ausgewählten Zertifikate zu verschlüsseln. 

Selektierte Zertifikate können mit Hinzufügen und Entfernen von einem Fenster ins andere verschoben 

werden. Unter Details... wird das ausgewählte Zertifikat angezeigt. Um sicher zu gehen, dass das Zertifikat 

nicht gesperrt ist, kann nach einem Klick auf Details... der Onlinestatus geprüft werden, wenn die CA das 

unterstützt. Ansonsten funktioniert meist auch eine Suche im Verzeichnisdienst (Button weitere...). 

157


Einstellung des Verschlüsselungsalgorithmus 

Für den Verschlüsselungsalgorithmus sollten Sie nur dann andere Einstellungen vornehmen, wenn es aus 

Gründen der Kompatibilität mit anderen Programmen unbedingt notwendig ist. 

6.4.2 Verschlüsselungszertifikat exportieren 

Der OpenLimit SignCubes Security Environment Manager bietet Ihnen die Möglichkeit, Ihr 

Verschlüsselungszertifikat zu exportieren. Das Zertifikat können Sie dann z.B. per e-Mail an eine andere 

Person senden, damit diese wiederum Dokumente für Sie verschlüsseln kann. 

Weitere Informationen dazu finden Sie in dem Kapitel Chipkarten Optionen/Zertifikate exportieren. 

6.4.3 Zertifikate installieren 

Ein Zertifikat aus dem Verzeichnisdienst installieren Sie einfach, indem Sie auf den Button Installieren im 

Ergebnisdialog klicken. Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im 

Zertifikatsauswahldialog. 

Die Zertifikate auf der Karte, die in Ihrem Kartenleser stecken, werden automatisch installiert. 

158


Wenn Sie ein Zertifikat auf anderem Weg erhalten, z.B. per E-Mail, liegt es als Datei vor. Sie müssen es über 

den Zertifikatsdialog von Windows installieren. 

Zertifikate unter Windows installieren 

Doppelklicken Sie das Zertifikat im Windows Explorer. 

Im Zertifikatsdialog von Windows auf Zertifikat installieren klicken. 

Die Gültigkeitsangaben des Windows Zertifikatsdialoges sollten Sie nicht interessieren, da Windows nicht 

immer mit Signatur-Zertifikaten umgehen kann. Negative Aussagen haben keine Relevanz. Gründe dafür 

können neben Inkompatibilität mit den Signaturstandards auch fehlende Algorithmen sein. 

Nach dem Startdialog folgt mit einem Klick auf Weiter der Zertifikatsspeicherdialog. 

Wählen Sie: Alle Zertifikate in folgendem Speicher speichern. 

Klicken Sie auf Durchsuchen... 

Wählen Sie den Ordner Andere Personen und bestätigen Sie mit OK. 

Klicken Sie im Assistenten auf Weiter 

und anschließend auf Fertig stellen. 

Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im Zertifikatsauswahl Dialog. 

159

6.4.4 Verzeichnisdienst 


Nach einem Klick auf weitere... wird der Verzeichnis Client geöffnet. 

Für die Suche können Sie Wildcards (*) benutzen. Das sind Platzhalter, die man für unbekannte Buchstaben 

platzieren kann. Wenn Sie dies nicht tun, müssen Sie die exakte Schreibweise des gesuchten Namens 

kennen. Geben Sie am besten den Nachnamen zwischen Wildcards ein: z.B. *Daneller*. Wenn es sich um 

einen sehr häufigen Namen handelt, ist als Suchbegriffe die E-Mail-Adresse empfehlenswert. 

Zertifikat suchen 

Tragen Sie den oder die Suchbegriffe in die Felder ein. 

Wählen Sie den Verzeichnisdienst der CA, die das Zertifikat herausgegeben hat. 

Klicken Sie auf Starten. 

Zum Suchen nicht auf Weiter sondern auf Starten klicken. Die Weiter und Zurück Button ermöglichen eine 

erneute Suche und ein einfaches Hin- und Herschalten zwischen Ergebnis- und Suchdialog. 

Wenn Sie eine Fehlermeldung erhalten, dass die zulässige Größe überschritten ist, dann haben Sie zu viele 

Suchergebnisse erhalten. Diese Funktion dient dem Datenschutz, so dass nicht einfach mit einer * * -Suche 

alle Zertifikate gefunden werden können. Geben Sie weitere Buchstaben in den Suchbegriff ein. 

160


Ergebnis 

Im Ergebnisdialog werden alle gefundenen Zertifikate angezeigt. 

Zertifikate übernehmen 

Mit einem Klick auf den Namen wird rechts die Zertifikatsinformation angezeigt. 

Über den Button Details kommt man zur Zertifikatsanzeige, wo man sich noch einmal die 

Einzelheiten ansehen kann. Die meisten CAs nehmen gesperrte und ungültige Zertifikate aus 

dem Verzeichnisdienst, so dass sich eine Statusprüfung erübrigt, wenn man hier ein Zertifikat 

gefunden hat. 

Damit das Zertifikat auf dem Rechner bei jeder Verschlüsselung automatisch angezeigt wird, 

kann es installiert werden. Dies sollten Sie für Zertifikate tun, die Sie oft benutzen. 

Haken Sie die Checkbox vor dem Namen der Zertifikate an, die für die Verschlüsselung 

übernommen werden sollen. 

Klicken Sie auf Übernehmen. 

Die Zertifikate erscheinen dann im Zertifikatsauswahl Dialog (Verschlüsseln) auf der rechten 

Seite. 

161

6.5 Entschlüsselung 


Um das Dokument wieder entschlüsseln zu können, wird der Zufallsschlüssel im Klartext benötigt. Er kann 

nur mit dem privaten Schlüssel entschlüsselt werden. Dazu braucht der Benutzer die Karte mit dem, zu 

dem öffentlichen Schlüssel zugehörigen privaten Schlüssel und der PIN. 

Ist der Zufallsschlüssel entschlüsselt, kann auch das gesamte Dokument entschlüsselt werden. Auch diese 

Abläufe übernimmt die Software automatisch. 

Durch dieses Verfahren ist gesichert, dass nur der Karteninhaber mit seiner PIN das Dokument 

entschlüsseln und lesen kann. Die Daten können auch für mehrere Zertifikate verschlüsselt werden. Wir 

empfehlen grundsätzlich, alle Daten, mindesten mit zwei öffentlichen Schlüsseln, für eine andere 

vertrauenswürdige Person und sich selbst, zu verschlüsseln. Bei Daten, die versendet werden, empfiehlt es 

sich das eigene Zertifikat und das des Empfängers. Wenn die eigene Karte verloren geht, oder 

möglicherweise aus anderen Gründen nicht mehr verwendbar ist, können die Daten immer noch mit der 

zweiten Karte (der des Empfängers oder der vertrauenswürdigen Person) entschlüsselt werden. 

162

6.5.1 Daten entschlüsseln 


Dateien entschlüsseln 

Zum Entschlüsseln wir der zu dem öffentlichen Schlüssel zugehörige private Schlüssel benötigt. Aus 

diesem Grund muss zum Entschlüsseln die globale PIN eingegeben werden. 

Es erscheint ein Fenster mit der Meldung, dass die Datei entschlüsselt wurde. 

Klicken Sie auf OK. 

Danach sollten die Daten wieder im Klartext vorliegen. Um viele Dateien hintereinander ohne ständige PIN- 

Eingabe zu entschlüsseln, können Sie die Karte auch "öffnen". Weitere Informationen dazu finden Sie in 

dem Abschnitt PIN-Abfrage. 

163


7 OpenLimit SignCubes Shell Extension 

Die OpenLimit SignCubes Shell Extension ermöglicht die Signatur und Verschlüsselung direkt im Windows 

Explorer. Darüber hinaus sind das Prüfen von Signaturen und die Entschlüsselung integriert. Wenn Sie eine 

Datei mit der rechten Maustaste anklicken, finden Sie im Kontextmenü den Punkt OpenLimit SignCubes. 

Wählen Sie diesen aus, erhalten Sie in Abhängigkeit von der ausgewählten Dateistruktur verschiedene 

Funktionen angeboten. Weitere Informationen erhalten Sie in den nachfolgenden Abschnitten. 

7.1 Die erste Signatur mit OpenLimit SignCubes 

Die erste Signatur haben Sie bereits mit der Lizenzierung der Software erstellt. In den nachfolgenden 

Abschritten wird beschrieben, wie Sie eine weitere Signatur erzeugen. Wählen Sie eine beliebige Datei (im 

Beispiel eine *.tif Datei) im Explorer aus. 

Klicken Sie im Explorer die Datei mit der rechten Maustaste an. 

Wählen Sie OpenLimit SignCubes - Datei signieren 

Weitere Informationen zur Signaturerzeugung finden Sie in dem Abschnitt Signieren. 

Im Ergebnis der Signaturerstellung wird eine p7m-Datei mit demselben Namen der Ursprungsdatei erzeugt. 

Darüber hinaus bleibt die Original-Datei erhalten. Die p7m-Datei enthält sowohl die Original-Daten als auch 

164


die Signatur. Durch Anklicken dieser p7m-Datei mit der rechten Maustaste können Sie die Signaturen 

prüfen und bei Bedarf die Datei getrennt als txt-Datei und p7s-Datei abspeichern. 

7.2 Shell Extension Menü 

Wenn Sie eine Datei im Windows Explorer mit der rechten Maustaste anklicken, öffnet sich das 

Kontextmenü mit dem Menüpunkt OpenLimit SignCubes. Unter diesem finden Sie in der Regel die Punkte: 

Datei signieren 

Datei verschlüsseln 

Datei signieren und verschlüsseln 

Weitere Punkte, wie z.B. 

Signatur(en) prüfen 

Datei entschlüsseln 

Datei und Signatur(en) trennen 

Datei und Signaturen verbinden 

Zertifikat anzeigen 

Online Status anzeigen 

Zeitstempel erzeugen 

Sperrlisten anzeigen 

erscheinen, wenn es sich um bereits signierte oder verschlüsselte Dateien bzw. einen Zeitstempel oder 

eine Online Status-Datei handelt. Die Funktionen, die durch diese Befehle angestoßen werden, sind unter 

Arbeitsabläufe im Einzelnen erklärt. 

165


7.3 Dateien und Icons im Explorer 

Mit OpenLimit SignCubes lassen sich verschiedene Dateiformate erzeugen. Diese erkennt man im Explorer 

auch an Ihren Icons (bei Windows 2000 oder höher). Zeitstempel können in der OpenLimit SignCubes 

Software nicht erzeugt werden. 

p7m Dateien: Verschlüsselte Dateien oder Dateien, die eine Signatur beinhalten, bekommen ein 

blaues Tresor-Icon mit der Aufschrift p7m. 

p7s Dateien: Abgesetzte Signaturen, die durch ihren Dateinamen mit der Ausgangsdatei logisch 

verknüpft sind, bekommen ein blaues Tresor-Icon mit der Aufschrift p7s. 

ors-Dateien: Online Status Response Dateien, die durch das Exportieren von OCSP Antworten 

entstehen, bekommen ein Zertifikats-Icon mit einem roten Siegel. 

tsr-Dateien: Zeitstempel Dateien, die durch ihren Dateinamen mit der Ausgangsdatei logisch 

verknüpft sind, bekommen ein Uhr-Icon mit einem roten Siegel. 

Allerdings werden diese Dateien in den neueren Betriebssystemen als verborgene Dateien oft nicht 

angezeigt. Um sie sichtbar zu machen, muss man unter den Ordneroptionen des Windows Explorers (Menü 

Extras - Ordneroptionen - Reiter Ansicht) unter versteckte Dateien und Ordner die Option alle Dateien und 

Ordner anzeigen aktivieren und Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren. 

166

8 Adobe Plugin 


Weitere Informationen zu den Dateien finden Sie auch unter Dateiformate. 

Das Adobe Plugin ermöglicht die Signatur direkt unter Adobe Acrobat Reader ab Version 7.0.8 und Adobe 

Acrobat 7.0. Wurden PDF Formulare vom Herausgeber mit zusätzlichen Rechten versehen (Adobe Formular 

Server Lösungen), lassen sich diese Formulare auch im Adobe Reader ab Version 7.0.8 signieren. Zudem 

können digitale Signaturen in einem PDF Formular geprüft werden. 

Das Adobe Plugin wird automatisch installiert, soweit Adobe Reader oder Adobe Acrobat auf Ihrem 

Computer installiert ist. 

Falls Sie das Adobeprogamm erst nach der OpenLimit SignCubes Software installieren, müssen Sie das 

Plugin nachträglich installieren. Falls Sie dazu das Installationsprogramm benötigen, wenden Sie sich bitte 

an OpenLimit. 

167


8.1 Adobe Plugin Grundeinstellungen 

Grundeinstellungen festlegen 

Der hier beschriebene Ablauf bezieht sich auf das Produkt Adobe Reader Version 9.0.0. Die Beschreibung 

erfolgt beispielhaft. Weitere Informationen zu aktuellen Versionen der Adobe Produkte finden Sie unter 

auf der OPENLiMiT FAQ Seite unter 

https://www.OpenLimit.com/faq/ 

in der Rubrik Adobe. 

Öffnen Sie den Adobe Reader. 

Über das Bearbeiten-Menü kommen Sie zu dem Menüpunkt Voreinstellungen... 

Wählen Sie im linken Bereich Sicherheit aus. 

Setzen Sie ein Häkchen für „Beim Öffnen des Dokuments Unterschriften prüfen“. 

Klicken Sie dann auf Erweiterte Voreinstellungen. 

168


Unter dem Reiter Überprüfung sollten Sie folgende Einstellungen vornehmen: 

Wählen Sie Immer Standardmethode verwenden (Überschreibt die im Dokument angegebene Methode). 

Wählen Sie dann als Standardmethode zum Überprüfen von Unterschriften: "OpenLimit SignCubes PDF 

Plugin, Version 2.5 ". 

Unter dem Reiter Erstellung sollten Sie die Einstellungen wie folgt vornehmen: 

Wählen Sie als Standardmethode beim Unterschreiben und Verschlüsseln von Dokumenten: "OpenLimit 

SignCubes PDF Plugin, Version 2.5 ". 

169


Mit OK werden die Einstellungen gespeichert. 

8.1.1 PDF Dokument signieren 

Für die Erzeugung einer Signatur in PDF Dokumenten ist in der OpenLimit SignCubes Software ein Adobe 

Plugin integriert. Dieses bietet Ihnen unter bestimmten Voraussetzungen die Möglichkeit, das PDF 

Dokument im Adobe Reader oder Adobe Acrobat zu signieren. 

Wenn ein PDF Dokument oder PDF Formular ein oder mehrere Felder für digitale Signaturen enthält, so 

können Sie mit dem Adobe Plugin eine qualifizierte digitale Signatur direkt in diesem PDF erstellen und 

dieses anschließend speichern. 

Um ein solches PDF mit dem Adobe Reader zu signieren, muss dieses mit zusätzlichen Rechten versehen 

worden sein (Adobe Formular Server Lösungen). Um ein PDF mit Adobe Acrobat zu signieren, reicht es aus, 

170


wenn das Signaturfeld mit Adobe Acrobat erstellt wurde. Um ein Signaturfeld mit Adobe Acrobat selbst zu 

erstellen, lesen Sie bitte in der Adobe Acrobat Hilfe nach. 

So signieren Sie ein PDF Dokument 

Öffnen Sie das Dokument. 

Das PDF Dokument enthält ein oder mehrere Signatur-Felder. Ein Signaturfeld erkennen Sie am roten Pfeil 

links oben im Feld. 

Stecken Sie Ihre Smartcard in den Kartenleser und warten Sie, bis diese erkannt ist (bis das 

Chip-Symbol in der Taskleiste gelb ist). 

Klicken Sie das entsprechende Signaturfeld an. 

Anschließend öffnet sich das Signaturanforderungsfenster. Weitere Informationen finden Sie in dem 

Abschnitt Signatur erzeugen. 

8.1.2 Signatur im PDF prüfen 

PDF Dokumente können Signaturen enthalten, die in einem extra dafür vorgesehenen Signaturfeld 

integriert sind, oder Signaturen, die in das PDF Dokument eingebettet sind, jedoch nicht in einem 

Signaturfeld vorliegen. In diesem Fall handelt es sich um sogenannte "eingebettete" Signaturen. 

Signaturen in Unterschriftsfeldern prüfen 

Enthält ein PDF Dokument bereits eine digitale Signatur in einem dafür vorgesehenen Signaturfeld, so 

können Sie mit dem Adobe Reader oder Adobe Acrobat diese Signatur prüfen. Die Signaturprüfung wird 

mit den Einstellungen vorgenommen, die Sie unter Adobe Acrobat oder Adobe Reader festgelegt haben. 

Weitere Informationen dazu finden Sie in dem Abschnitt Adobe Plugin Grundeinstellungen. 

171


Öffnen Sie das PDF Dokument und klicken Sie auf ein Unterschriftsfeld, das bereits eine Signatur enthält. 

Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OpenLimit SignCubes PDF Plugin" 

ausgewählt haben, so erscheint folgender Dialog: 

In der Zusammenfassung steht das Ergebnis der Signaturprüfung. Ein Beispiel für ein Prüfergebnis wäre 

z.B.: 

Die Datei ist gültig signiert. oder 

Die Signatur ist mathematisch korrekt. 

Für genauere Informationen lesen Sie bitte in den Abschnitten Signaturverifikation bzw. Signaturen prüfen 

nach. 

172


Unsichtbare Signaturen prüfen 

Enthält ein PDF Dokument eine unsichtbare digitale Signatur, so können Sie mit Adobe Reader oder Adobe 

Acrobat diese Signatur prüfen. Die Signaturprüfung wird mit den Einstellungen vorgenommen, die Sie 

unter Adobe Acrobat oder Adobe Reader festgelegt haben. 

Öffnen Sie das PDF Dokument und klicken Sie dann links auf den Reiter Unterschriften, um alle 

Unterschriften des Dokuments anzusehen. 

Wählen Sie jetzt eine Unterschrift aus, klicken Sie dann auf Optionen und wählen Sie Unterschrift 

prüfen. 

Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OpenLimit SignCubes PDF Plugin, 

Version 2.5.0.3" ausgewählt haben, so erscheint folgender Dialog: 

173


Detaillierte Informationen zu den Ergebnissen der Signaturprüfung finden Sie in dem Abschnitt Signaturen 

prüfen. 

9 Der OpenLimit TIFF/PDF (PDF/A) Drucker 

Die OpenLimit SignCubes Software bietet Ihnen mit dem OpenLimit TIFF/PDF Drucker die Möglichkeit, aus 

anderen Programmen heraus wie z.B. Microsoft Word Daten an die sichere Anzeigeeinheit, den OpenLimit 

SignCubes Viewer auszugeben. Die übertragenen Daten werden über den OpenLimit TIFF/PDF Drucker in 

eine sicher darstellbare Bilddatei (TIFF) oder in eine PDF Datei konvertiert. Die Ausgabe über den 

OpenLimit TIFF/PDF Drucker ist mit jedem auf Ihrem System druckbaren Dokument möglich. 

174


Hinweis: Der OpenLimit TIFF/PDF Drucker steht für das Betriebssystem Windows NT nicht zur 

Verfügung. Unter Windows NT wird der OpenLimit SignCubes Drucker installiert. Dieser kann Dateien 

nur in das TIFF Format konvertieren. 

Visualisieren 

Drucken Sie die Datei in dem Programm aus, in dem sie erstellt wurde. Normalerweise geht das über den 

Befehl Datei - Drucken. 

Wählen Sie den OpenLimit TIFF Producer für die Ausgabe der Datei im TIFF Format oder den OpenLimit 

PDF Producer für die Konvertierung als PDF Datei und bestätigen Sie mit OK. 

Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\TIFFOutput abgespeichert. 

Unter dem Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner Dokumente\TIFFOutput. 

Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (tif). 

175


Für die Konvertierung in ein PDF Format wählen Sie den OpenLimit PDF Producer. 

Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\PDFOutput abgespeichert. Unter 

dem Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner Dokumente\PDFOutput. 

Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (pdf). 

Unter Windows NT wählen Sie den OpenLimit SignCubes Drucker aus und bestätigen mit OK. 

176


Daraufhin öffnet sich die Darstellung im OpenLimit SignCubes Viewer. Sollte es lange dauern, bis Ihre Datei 

im OpenLimit SignCubes Viewer dargestellt wird, liegt es möglicherweise daran, dass die gewählten 

Eigenschaften des Druckers mit einer zu hohen Auflösung eingestellt sind. 

177


9.1 Eigenschaften des OpenLimit PDF Producer 

Nach Auswahl des OpenLimit PDF Producer und Anklicken des Buttons Eigenschaften haben Sie Möglichkeit 

die Standardeinstellungen des Druckers zu verändern. 

Über das Menü PDF Compliance Level haben Sie die Möglichkeit die PDF - Version 

PDF 1.4 

auszuwählen. 

PDF 1.5 oder 

PDF/A-1b 

178


9.2 Eigenschaften des OpenLimit TIFF Producers 

Nach Auswahl des OpenLimit TIFF Producer und Anklicken des Buttons Eigenschaften haben Sie 

Möglichkeit die Standardeinstellungen des Druckers zu verändern. 

179


9.3 Eigenschaften des OpenLimit SignCubes Druckers (nur Windows NT) 

Diese Drucker wird nur unter dem Betriebssystem NT installiert, da der OpenLimit PDF Producer und der 

OpenLimit TIFF Producer nicht für Windows NT verfügbar sind. 

Ändern der Druckereigenschaften 

In dem Programm, in dem Sie gerade arbeiten, wählen Sie Datei - Drucken... 

Unter "Name" wählen Sie den OpenLimit SignCubes Drucker 

Klicken Sie auf Eigenschaften... 

Daraufhin sind mehrere Reiter zu sehen. 

Reiter Beschreibung 

Einstellungen Generelle Einstellungen des Druckers 

Dateiformate Ausgabeformat der Datei 

Dateiname erstellen Ausgabename der Datei 

Programm-Start Programm, das nach dem Drucken startet 

Wasserzeichen Wasserzeichen in Datei generieren 

Kommentar einbeziehen Bemerkung Einfügen 

180


9.3.1 Drucker Eigenschaften – Einstellungen 

Papier Größe 

Papier 

Paper Breite; Papier Höhe 

Hier wählen Sie die Papiergröße aus. Sollte die gewählte Papiergröße 

kleiner sein als das zu druckende Dokument, dann werden Teile des 

Dokuments in der SignCubes Visualisierung nicht angezeigt. Wenn dies 

der Fall ist sollten Sie einen Warnhinweis erhalten, sobald Sie auf OK 

gedrückt haben. 

Hier werden die Breite und Höhe des gewählten Papiers angezeigt. Unter 

Einheiten können Sie die Einheit festlegen in der die Breite und Höhe des 

Papiers angezeigt werden. 

FAX header beigelegt Hat unter OpenLimit SignCubes keine Funktion. 

Erweiterte Papiergröße Hat unter OpenLimit SignCubes keine Funktion. 

Fax Auflösung Erstelle faxfähiges Abbild 

Ausrichtung 

Graphik-Auflösung 

Hochformat / Querformat 

Die Auflösung des Ausgabeformats wird für Fax optimiert. Da die 

Auflösung sehr gering ist, wird die Visualisierung des Dokuments eine 

niedrige Qualität haben. Wir empfehlen diese Funktion nicht anzuwenden. 

Hier kann Hochformat (Portrait) oder Querformat (Landscape) ausgewählt 

werden. 

Querformat, 90 Grad gedreht Es wird ein Querformat ausgegeben, aber nochmals um 90° gedreht. 

Auflösung 

Die graphische Auflösung der Visualisierung wird hier festgelegt. Wichtig: 

Mit den Einstellungen in diesem Abschnitt können Sie Qualität und Größe 

der Ausgabedatei entscheidend verändern. Bei zu hoher Einstellung 

werden die Dateien unnötig groß und die Visualisierung kann länger 

dauern. Darüber hinaus könnten auf Grund der Größe der Datei Probleme 

auftreten, falls Sie die signierte Datei anschließend per e-Mail versenden 

wollen. 

High Resolution - Hohe Auflösung. Die Ausgabe sieht sehr gut aus, es 

dauert länger bis die Visualisierung erstellt ist, die Datei wird sehr groß. 

Medium Resolution - Mittlere Auflösung (Standard Einstellung). Schnellere 

Visualisierung, Druckstandard. Gut für Textdokumente und Tabellen. 

Draft Resolution - Vorschau Auflösung. Sehr schnelle Ausgabe, niedrige 

Qualität. 

CUSTOM Resolution - Benutzerdefinierte Auflösung. Hier können Sie selbst 

festlegen, mit welcher Auflösung Sie arbeiten wollen. Benutzen Sie zur 

Eingabe die beiden Felder unterhalb. 

horizontale Auflösung Hier wird die horizontale Auflösung angezeigt. 

vertikale Auflösung Anzeige der vertikalen Auflösung. 

erzwinge Druckerauflösung Keine Funktion unter OpenLimit SignCubes. 

Bildgröße 

Größe der Datei, die der OpenLimit SignCubes Drucker zur Visualisierung 

erstellt. Generell gilt: Je größer die Datei, desto besser die Qualität der 

Visualisierung und umso länger dauert die Ausgabe und umgekehrt. 

181


182


9.3.2 Drucker Eigenschaften - Dateiformate 

Unter diesem Reiter finden Sie Optionen für das Ausgabeformat. 

Dateiformat 

Farbtiefe 

1bit, 8 bit, 8 bit 

Graustufen, 24 bit 

In diesem Menü finden sich verschiedene Dateiformate für die Visualisierung. 

Wichtig: Behalten Sie das Standard Format bei (TIFF Packed), bei manchen 

anderen Einstellungen wird die Datei nicht gedruckt. 

Hier kann die Anzahl der Farben festgelegt werden. 1bit (schwarz-weiß), 8 bit 

(256 Farben), 8 bit Graustufen (256 Grautöne), 24 bit (16,7 Mio. Farben). Wie bei 

der grafischen Auflösung gilt auch hier, je besser die Qualität der 

Visualisierung, desto größer das erzeugte Dokument und desto länger dauert 

mehrseitiges Bild 

die Ausgabe. 

Hier ist per Default ein Häkchen gesetzt, da sonst nur eine Seite des 

erzeugen 

Originaldokuments in der Ausgabe erscheint. 

Optionen 

Keine Imagedatei 

erstellen 

Hat unter OpenLimit SignCubes keine Funktion. 

Osteuropäischer 

Zeichensatz 

Unterstützt das Drucken von Osteuropäischen Schriftzeichen. 

Textdatei erstellen Der Drucker erstellt zusätzlich eine *.txt Datei mit dem Inhalt des Dokuments. 

Hat unter OpenLimit SignCubes keine Funktion. 

TIFF Optionen 

Das Ändern der Standardeinstellungen kann dazu führen dass keine 

Visualisierung erfolgt. 

Fotoqualität Hat unter OpenLimit SignCubes keine Funktion. 

183


184


9.3.3 Drucker Eigenschaften - Dateiname erstellen 

Methode zur 

Erstellung des 

Namen 

Dateiname 

Ausgabepfad 

Gruppendatei- 

Optionen 

Use the document name 

Diese Einstellungen legen fest, wie der Dateiname (prefix) und Dateianhang 

(extension) erstellt werden. 

Nehmen Sie in diesem Bereich keine Änderungen vor, da sonst eventuell 

keine Visualisierung möglich ist. 

Standard Einstellung: Dateiname und Dateianhang werden automatisch 

erstellt. 

Wichtig: Nehmen Sie in diesem Bereich keine Änderungen vor, da sonst 

eventuell keine Visualisierung möglich ist. 

Wenn unter Methode zur Erstellung des Namens die Standard Einstellung 

gewählt ist, ist keine Eingabe nötig. 

Dateinamen Prefix Bei Standard Einstellung ist keine Eingabe nötig. 

Datei Erweiterung Bei Standard Einstellung ist keine Eingabe nötig. 

Hier wird der Ordner angezeigt, in dem der Drucker die temporären 

Dateien für die Visualisierung speichert. 

Wichtig: Nehmen Sie in diesem Bereich keine Änderungen vor, da sonst 

eventuell keine Visualisierung möglich ist. 

Unter OpenLimit SignCubes keine Funktion. 

185


186


9.3.4 Drucker Eigenschaften - Programm - Start 

Anwendung 

automatisch 

starten 

Anwendung 

Darstellung 

der 

Anwendung 

Nachrichten- 

Schnittstelle 

deaktivieren 

vor Druckausführung 

starten 

Hier sollte ein Häkchen gesetzt sein. Falls dem nicht so ist, wird der OpenLimit 

SignCubes Viewer nicht gestartet (es erfolgt keine Visualisierung). Die 

Standardeinstellung wird wieder hergestellt, sobald sich ein Benutzer am 

Betriebssystem neu anmeldet oder der Computer neu gestartet wird. 

Das für die Visualisierung zu startende Programm wird hier angezeigt. Auch hier 

wird die Standardeinstellung wieder hergestellt, sobald sich ein Benutzer am 

Betriebssystem neu anmeldet, oder ein Neustart erfolgt. 

Diese Option sollten Sie nicht wählen, da der OpenLimit SignCubes Viewer nicht 

starten wird. 

nach Druckausf. starten Standardeinstellung. Auch hier gilt, die Einstellung wird nach neuer Anmeldung 

am Betriebssystem oder Neustart wieder hergestellt. 

Parameter übergeben Hier sollte ein Häkchen gesetzt sein, da sonst keine Visualisierung erfolgt. Nach 

Neustart des Computers oder neuer Anmeldung am Betriebssystem wird auch 

diese Einstellung wieder hergestellt. 

Bestimmt die Größe des Fensters, in dem die Anwendung startet 

Diese Funktion steht nicht zur Verfügung. 

187


188


9.3.5 Drucker Eigenschaften - Wasserzeichen 

Wasserzeichen 

drucken 

Wasserzeichen- 

Optionen 

Wasserzeichen nur zur 

ersten Seite hizufügen 

Seiten im Hochformat 

Seiten im Querformat 

Wasserzeichen Datei: 

Position: 

Aktivieren Sie diese Option, um Ihr Dokument mit einem Wasserzeichen 

zu versehen. 

Aktivieren Sie diese Option, um das Wasserzeichen nur auf der ersten 

Seite des Dokuments anzubringen. 

Wählen Sie in diesem Bereich eine Datei aus, die als Wasserzeichen auf 

alle Seiten im Hochformat ausgegeben werden soll. 

Wählen Sie in diesem Bereich eine Datei aus, die als Wasserzeichen auf 

alle Seiten im Querformat ausgegeben werden soll. 

Hier wählen Sie die Datei aus, die als Wasserzeichen ausgegeben werden 

soll. 

Center = Mittig 

Streched to Fit = über die ganze Seite gestreckt 

Streched to Width = über die Seitenbreite gestreckt 

Tile = gekachelt 

Helligkeit: Legen Sie hier die Helligkeit des jeweiligen Wasserzeichens fest. 

189


190


9.3.6 Drucker Eigenschaften - Embed Annotation 

Alle unter diesem Reiter gewählten Optionen werden bei neuer Anmeldung an das Betriebssystem oder 

Neustart des Computers zurückgesetzt. 

Kommentare 

einbeziehen 

Wenn Sie hier ein Häkchen setzen, können Sie Bemerkungen in die zu 

signierende Datei einfügen. Der hier geschriebene Text wird in die TIFF Datei 

Zeichenfolge 

Schriftart 

eingebettet. 

Geben Sie Text hier ein. 

Schriftarten können hier definiert werden. 

Datum 

Format des Datums 

Das aktuelle Datum wird eingefügt, wenn Sie hier ein Häkchen setzen. 

Hier legen Sie ein Datumsformat fest. 

Mit einem Häkchen hier fügt man die Uhrzeit ein. 

Zeit 

Zeit-Format 

Hier legen Sie das Format für die Uhrzeit fest und wählen, ob Sie Minuten, 

Sekunden und Zeitzone mit einbeziehen wollen. 

Kommentar 

Position 

Hier wählen Sie, wie der Text platziert wird. 

Farbe Die Farbe des Textes kann hier gewählt werden. 

191


192

10 E-Mail Clients 


Die Software OpenLimit SignCubes 2.5 unterstützt das Signieren und Verschlüsseln von E-Mails in 

verschiedenen E-Mail Programmen. In diesem Kapitel werden die vorzunehmenden Einstellungen und die 

grundlegenden Arbeitsschritte der unterstützen E-Mail Clients anhand eines Beispiels kurz beschrieben. 

Weitere Informationen zu aktuellen Versionen der E-Mail Clients finden Sie auf der OpenLimit FAQ Seite 

unter 

unter E-Mail Clients. 


Die folgenden Erklärungen betreffen hauptsächlich Funktionen und Einstellungen ausgewählter E-Mail 

Clients und erheben keinen Anspruch auf Vollständigkeit. Sollte hier etwas fehlen, empfehlen wir 

grundsätzlich, in der Hilfe oder im Handbuch des jeweiligen Programms nachzusehen. 

Voraussetzung für das Arbeiten mit den verschiedenen E-Mail Programmen ist, dass das Programm richtig 

installiert ist und das E-Mail Konto, das der E-Mail Adresse Ihres Zertifikats entspricht, richtig eingerichtet 

wurde. Um zu erfahren wie Sie ein E-Mail Konto einrichten, lesen Sie bitte die Hilfe des jeweiligen E-Mail 

Programms. 

10.1 Microsoft Outlook und Microsoft Outlook Express 

Microsoft Outlook und Microsoft Outlook Express sind zwei oft verwendete E-Mail Programme. Mit dem 

OpenLimit SignCubes Cryptographic Service Provider (CSP) können Sie E-Mails in Microsoft Outlook oder 

Microsoft Outlook Express signieren und verschlüsseln. 

Der OpenLimit SignCubes Cryptographic Service Provider kommt nur dann zum Einsatz, wenn 

Informationen der Karte benötigt werden, d.h. bei der Signaturerzeugung und beim Entschlüsseln. Das 

Verschlüsseln und die Signaturprüfung erfolgt durch Microsoft Outlook bzw. Microsoft Outlook Express 

selbst. 

193


10.1.1 Microsoft Outlook Einstellungen 

Um mit Microsoft Outlook bzw. Microsoft Outlook Express alle Sicherheitsfunktionen ausführen zu können, 

benötigen Sie ein e-Mail Konto mit der e-Mail Adresse, die in Ihrem Zertifikat steht. Diese haben Sie beim 

Ausfüllen des Karten-Antrages angegeben. Beim Signieren oder Entschlüsseln wird dann automatisch Ihr 

Zertifikat genommen, wenn die Karte im Kartenleser steckt. 

Einstellungen für Outlook Express 

Die folgenden Sicherheitseinstellungen sind unbedingt einzurichten, damit Sie Ihre Mails signieren und/ 

oder verschlüsseln können. 

Stecken Sie Ihre Chipkarte in den Kartenleser und warten Sie, bis das Chipsymbol gelb ist. 

Klicken Sie im Hauptmenü auf Extras / Konten. 

Wählen Sie nun das Mailkonto aus, bei dem die Mailadresse mit der in Ihrem Zertifikat 

enthaltenen Mailadresse übereinstimmt. 

Klicken Sie auf Eigenschaften und wählen Sie das Register „Sicherheit“ aus. 

Für die E-Mail-Signatur wählen Sie über den ersten Button „Auswählen…“ Ihr Zertifikat für den 

Zweck „Sichere E-Mail“ aus. 

Nehmen Sie diese Einstellungen auch für das Verschlüsselungszertifikat über den 2.Button 

„Auswählen…“ vor. 

Der Algorithmus bleibt auf 3DES eingestellt. 

194


Bestätigen Sie die Einstellungen mit OK 

Wenn Sie automatisch signieren und verschlüsseln möchten, dann können Sie dies unter Extras - 

Optionen - Sicherheit einstellen. 

195


Hinweis: Die nachfolgend beschriebenen Einstellungen sind nicht zwingend notwendig. Sie sollten diese 

Einstellungen nur in dem Fall nochmal prüfen, falls der Empfänger Ihre Mail nicht lesen kann. 

Unter Extras - Optionen - Lesen klicken Sie auf Schriftarten. Dort stellen Sie einen 7 Bit Code ein. Zum 

Beispiel wählen Sie oben aus der Liste Unicode und unten bei der Codierung UTF-7. 

Dann klicken Sie auf den Button Als Standard, um diese Codierung als Standard einzustellen. 

Sie können aber auch jede Nachricht einzeln signieren und/oder verschlüsseln. 

196


Microsoft Outlook 

Bei Microsoft Outlook müssen Sie erst das Signaturzertifikat und das Verschlüsselungszertifikat 

auswählen. 

Unter Extras - Optionen - Sicherheit gibt es den Bereich e-Mail sichern. 

Klicken Sie hier auf Einstellungen... 

Wählen Sie unter Bevorzugte Sicherheitseinstellungen: 

o das Sicherheitsformat für Nachrichten: S/MIME. 

Wählen Sie unter Zertifikate und Algorithmen folgende Einstellungen: 

o Signaturzertifikat: Ihr e-Mail Signaturzertifikat 

o Hashalgorithmus: SHA1 

o Verschlüsselungszertifikat: Ihr e-Mail Verschlüsselungszertifikat 

o Verschlüsselungsalgorithmus: 3DES 

o "Signierten Nachrichten diese Zertifikate hinzufügen" aktivieren. 


197


Unter dem Tab Sicherheit können Sie die automatische Signatur und Verschlüsselung von Nachrichten 

einstellen. Dies ist aber für jede e-Mail auch einzeln möglich. 

10.1.2 Signieren und Verschlüsseln 

In Outlook oder Outlook Express haben Sie unter Extras - Optionen - Sicherheit die Möglichkeit, die 

Sicherheitseinstellungen für alle e-Mails einzustellen. Wenn Sie bei jeder e-Mail selbst entscheiden 

möchten, ob diese verschlüsselt und/oder signiert werden soll, wird dies im E-Mail Fenster eingestellt. 

198


Wenn Sie mehrere E-Mail Konten eingerichtet haben, müssen Sie über das Konto mit der E-Mailadresse 

senden, die in Ihrem Zertifikat enthalten ist. Outlook überprüft die Angaben und falls diese nicht 

übereinstimmen, kann keine Signatur erzeugt werden. 

Outlook Express/Outlook 2003 

Bei Outlook Express können Sie direkt im E-Mail Fenster auf den Button Signieren oder Verschlüsseln 

klicken und anschließend auf Senden. Nach Eingabe der PIN ist die e-Mail signiert. 

Outlook 2000 

Unter Outlook 2000 müssen Sie zum Signieren und Verschlüsseln im E-Mail Fenster auf Optionen klicken 

und dort die entsprechenden Kästchen anhaken. 

Outlook XP 

Klicken Sie im E-Mail Fenster auf Optionen, oben rechts auf Sicherheitseinstellungen und dann die 

Kästchen Signieren und Verschlüsseln anhaken. 

Signatur und Klartext senden 

Wenn Sie die Signatur und den Klartext separat senden (detached signature), können auch die Empfänger 

Ihre E-Mail lesen, deren Client signierte Nachrichten nicht unterstützen (z.B. AOL). Einige können auch die 

Signatur prüfen (z.B. T-Online). 

In Outlook Express finden Sie die Einstellung unter Extras/Optionen/Sicherheit/Button Erweitert. Dort 

sollte kein Häkchen unter "Nachricht vor dem Signieren verschlüsseln (PKCS#7)" gesetzt sein. Um jedoch 

eine E-Mail ohne Klartext zu senden, muss dieses Häkchen wieder gesetzt werden. 

In Outlook finden Sie die Einstellung unter Extras/Optionen/Sicherheit. Dort sollte ein Häkchen für 

"Signierte Nachrichten als Klartext senden" gesetzt sein. 

Um E-Mails verschlüsseln zu können, müssen die Zertifikate der Empfänger in die dazugehörigen Kontakte 

integriert sein. 

199


10.1.3 Verschlüsselungszertifikate in Kontakt integrieren 

Um für eine bestimmte Person zu verschlüsseln, muss das Zertifikat (digitale ID) der Kontaktperson in 

Ihrem System installiert sein. Dazu lassen Sie sich eine signierte E-Mail von Ihrem Kommunikationspartner 

schicken. 

So integrieren Sie ein Verschlüsselungszertifikat (digitale ID) in einem Kontakt 

Outlook 

Öffnen Sie die signierte E-Mail 

Klicken Sie mit der rechten Maustaste auf den Namen des Absenders Von: Mailadresse 

Wählen Sie Zu den Kontakten hinzufügen aus. 

200


Im Register Zertifikate können Sie sich das Zertifikat ansehen 

Klicken Sie auf den Button Speichern und Schliessen, damit das Zertifikat dem Kontakt 

hinzugefügt wird. 

Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem 

neuen Kontakt wird dieser automatisch angelegt. Ab diesem Zeitpunkt können E-Mails für den Empfänger 

verschlüsselt werden. 

Outlook Express 

Öffnen Sie die signierte e-Mail 

Klicken Sie mit der rechten Maustaste auf den Namen des Absenders. 

201


Wählen Sie Zum Adressbuch hinzufügen aus. 

Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem 

neuen Kontakt wird dieser angelegt. Ab diesem Zeitpunkt können E-Mails für den Empfänger verschlüsselt 

werden. 

10.2 Mozilla / Netscape Mail 

Mozilla Mail ist ein Programm der Mozilla Foundation und wird gebündelt mit dem Mozilla Browser 

angeboten. 

Netscape ist eine Mozilla Distribution, die sich grundsätzlich nur in der Oberfläche von Mozilla 

unterscheidet. Da sich mit der deutschen Version von Mozilla einige wichtige Funktionen nicht richtig 

darstellen lassen, wurde für diese Dokumentation Netscape 7.1 verwendet. 

202


Falls Sie eine deutsche Version von Mozilla verwenden, besteht die Möglichkeit, dass einige Texte oder 

Button nicht oder nur unvollständig dargestellt werden. 

Zudem kommt es vor, dass sich Mozilla und Netscape in der Benennung von Button und Kapitel zum Teil 

unterscheiden. 

In diesem Kapitel wird der Umgang mit Mozilla 1.6 bzw. Netscape 7.1 erklärt. 

Weitere Informationen zu aktuellen Versionen der E-Mail Clients finden Sie auf der OpenLimit FAQ Seite 

unter 

unter E-Mail Clients. 


10.2.1 Mozilla / Netscape Mail Client Sicherheitseinstellungen 

Starten Sie zunächst Netscape Mail: Start - Programme - Netscape 7.1 - EMail & Diskussionsforen 

Sollten Sie Netscape Mail zum ersten Mal starten, so wird das Programm Ihnen mit einem Assistenten beim 

Einrichten eines E-Mail Kontos behilflich sein. Um E-Mails signieren /verschlüsseln zu können, muss 

unbedingt ein Mailkonto für die Mailadresse eingerichtet sein, die auch in Ihrem Zertifikat enthalten ist 

(siehe gelbes Chipsymbol/Eigenschaften/Zertifikate). 

Hinweis: Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser ordnungsgemäß 

installiert ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate 

auf Ihrer Karte befinden. 

Klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen, um das folgende Fenster zu öffnen. 

203


Kryptographie Modul installieren 

Wählen Sie aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate 

204


Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten... 

Jetzt öffnet sich das Fenster des Geräte-Managers, in dem alle geladenen Sicherheitsmodule zu sehen 

sind. 

205


Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11-Modul zu installieren. 

Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11-Modul, und 

klicken Sie dann auf Durchsuchen... 

Navigieren Sie nun zum SignCubes Programm-Verzeichnis (Standard: C:\Programme\OpenLimit), 

wählen Sie dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen. 

206


Klicken Sie nun auf OK, um das Modul zu laden. 

Bestätigen Sie die Frage, ob Sie dieses Modul installieren wollen, nochmals mit OK. 

Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK. 

Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OpenLimit SignCubes 

2.5 Software. 

207


Schließen Sie den Geräte-Manager mit einem Klick auf OK, um weitere Einstellungen vornehmen 

zu können. 

Das Mozilla/Netscape Einstellungsfenster sollte noch geöffnet und die Kategorie Zertifikate zu 

sehen sein. 

Klicken Sie auf den Button Zertifikate verwalten, um den Zertifikat-Manager zu öffnen und die 

Vertrauenswürdigkeit für die Zertifikate einzustellen. 

Der Zertifikat-Manager übernimmt die Verwaltung von Zertifikaten. Unter dem Register Ihre 

Zertifikate werden die Zertifikate angezeigt, welche auf Ihrer Karte gespeichert sind. 

208


Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller 

nicht vertrauenswürdig" oder "Aussteller unbekannt" beinhaltet und klicken Sie auf Anzeigen. 

209


Mozilla/Netscape bringt die Meldung "Zertifikat konnte aus unbekannten Gründen nicht zugelassen 

werden." Der Inhalt dieser Meldung ist abhängig von dem jeweiligen Zertifikat. 

Unter Ausgestellt von finden Sie den Herausgeber Ihres Zertifikats, für den Sie die Vertrauenswürdigkeit 

einstellen müssen. Vermerken Sie sich diese Information und schließen Sie das Fenster. 

Klicken Sie auf den Reiter Aussteller und markieren Sie Ihren Zertifikatsaussteller. 

Klicken Sie nun den Aussteller Ihres Zertifikats an. 

210


Über den Button Bearbeiten in dem Fenster Vertrauenseinstellungen für.. sollten Sie mindestens für den 2. 

Punkt ein Häkchen setzen. 

Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen importieren. 

211


Klicken Sie dazu auf den Button Importieren, wählen Sie unter 

C:\Programme\OpenLimit\Data\CRLs den entsprechenden Aussteller aus, z.B. für die OpenLimit 

CA wählen Sie "OpenLimit", markieren Sie die Datei OpenLimit_CA.cer und klicken Sie auf 

Öffnen. 

Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordner des Programmverzeichnisses finden, 

müssen Sie sich das Zertifikat des Zertifikatsherausgebers direkt downloaden und installieren. In den 

meisten Fällen finden Sie diese Daten auf den jeweiligen Internetseiten. 

Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können. 

Jetzt vertrauen Sie dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr 

Zertifikat "Unterzeichnen, Unterschrift oder Verschlüsseln" angezeigt. 

212


Nach dem Sie diese Einstellungen vorgenommen haben, erscheint in dem folgenden Fenster die Meldung, 

für welchen Verwendungszweck das Zertifikat verifiziert wurde. 

Schließen Sie den Zertifikats-Manager und das Einstellungsfenster. 

Zertifikate für die Signatur und Verschlüsselung auswählen 

Klicken Sie in der Menüleiste nun auf Bearbeiten - eMail und Diskussionsforen-Konto- 

Einstellungen... 

213


Wählen Sie jetzt im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse 

enthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu der folgenden Ansicht zu 

gelangen. 

An dieser Stelle legen Sie fest, welche Zertifikate zur Signatur und Verschlüsselung verwendet werden 

sollen. 

Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen. 

214


Mozilla / Netscape schlägt Ihnen an dieser Stelle für die Signatur von E-Mails automatisch ein Zertifikat 

vor. 


Nun öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum Ver- 

und Entschlüsseln verwenden wollen. 

Bestätigen Sie mit OK. 

Anschließend sollten Sie überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist. 

Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen an. Für den Zweck 

sollte mindestens "Verschlüsseln" angezeigt werden. 

Klicken Sie nun auf OK. Damit wird Ihnen erneut das Fenster mit der Rubrik "Sicherheit" 

angezeigt. 

Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre E- 

Mails generell signieren wollen. 

215


Wählen Sie, ob Sie Ihre E-Mails verschlüsselt oder unverschlüsselt versenden wollen. 

Sie können diese Einstellung beim Erstellen einer E-Mail immer noch ändern. 

Sie haben alle Sicherheitseinstellungen für Mozilla/Netscape vorgenommen und können das Fenster mit 

OK schließen. 

216


10.2.2 Arbeiten mit Mozilla / Netscape Mail 

E-Mails signieren und verschlüsseln 

Starten Sie zunächst Mozilla/Netscape Mail und verfassen Sie eine neue E-Mail. 

Klicken Sie jetzt auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E- 

Mail nochmals zu prüfen und gegebenenfalls zu ändern. 

Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine 

E-Mail verschlüsseln zu können. 

Empfangen von signierten und verschlüsselten E-Mails 

Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet. 

217


Klicken Sie auf das Stift-Symbol, um die Details der Signatur zu prüfen. 

Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevor Sie 

die Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol gekennzeichnet. 

218


Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen. 

219


So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Personen in den Zertifikat-Manager 

Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, brauchen Sie den öffentlichen 

Schlüssel dieser Person. 

Variante 1: 

Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail. Wenn Sie die E-Mail öffnen, 

integriert Mozilla /Netscape Mail das mitgesendete Zertifikat automatisch in den Zertifikat-Manager unter 

Andere Personen. 

Variante 2: 

Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem Verschlüsselungszertifikat 

als Anhang. Informationen zum Export eines Verschlüsselungszertifikats finden Sie in dem Abschnitt 

Verschlüsselungszertifikat exportieren. 

Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab, 

Importieren Sie diese dann in dem Zertifikat-Manager unter Zertifikate anderer Personen. 

Wählen Sie dazu: Bearbeiten - Einstellungen - Privatsphäre & Sicherheit - Zertifikate 

Klicken Sie auf Zertifikate verwalten. 

Wählen Sie im Zertifikat-Manager den Register Andere Personen aus. 

Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei (*.cer Datei) aus, die 

Sie auf Ihrem Computer abgespeichert haben. 

220


Das Zertifikat ist im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für diese Person verschlüsseln. 

Beachten Sie, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer bestimmten 

E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail Adresse der 

gleichen Person senden. 

10.3 Mozilla Thunderbird 

Mozilla Thunderbird ist ein E-Mail Programm der Mozilla Foundation. Es bietet alle Funktionen eines 

modernen E-Mail Programms und kann mit PKCS#11 Modulen umgehen. Benutzern von Microsoft Outlook 

wird die Bedienung von Thunderbird leichtfallen, da viele der gängigsten Funktionen ähnlich sind. 

In diesem Kapitel wird der Umgang mit Thunderbird 1.0.2 beschrieben. Sollten Sie eine andere Version von 

Thunderbird verwenden, so kann es zu Abweichungen mit den hier aufgeführten Abläufen kommen. 

221


10.3.1 Thunderbird Sicherheitseinstellungen 

Starten Sie zunächst Thunderbird. Sollten Sie Thunderbird zum ersten Mal starten, so wird Ihnen das 

Programm mit einem Assistenten beim Einrichten eines E-Mail Kontos behilflich sein. 

Um E-Mails signieren /verschlüsseln zu können, muss unbedingt ein Mailkonto für die Mailadresse 

eingerichtet sein, die auch in Ihrem Zertifikat enthalten ist (siehe gelbes 

Chipsymbol/Eigenschaften/Zertifikate). 

Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser ordnungsgemäß installiert ist, 

Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte 

befinden. 

Klicken Sie in der Menüleiste Extras - Einstellungen an, um das folgende Fenster zu öffnen. 

Wählen Sie Erweitert aus und scrollen Sie den Balken rechts im Fenster zum Abschnitt 

Zertifikate. 

222


Kryptographie-Modul installieren 

Klicken Sie auf den Button Kryptographie-Module. 

Jetzt öffnet sich Thunderbirds Kryptographie-Modul-Manager mit einer Ansicht aller bereits geladenen 

Komponenten. 

Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu installieren. 

223


Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11 Modul, und 


Navigieren Sie nun zum SignCubes Installations-Verzeichnis (Standard: 

C:\Programme\OpenLimit), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen. 

224


Klicken Sie nun auf OK, um das Modul zu laden. 

Bestätigen Sie die Frage, ob Sie dieses Modul installieren wollen, nochmals mit OK. 

Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK. 

Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OpenLimit SignCubes 

2.5 Software. 

225


Schließen Sie nun den Kryptographie-Modul-Manager mit einem Klick auf OK, um weitere 

Einstellungen vorzunehmen. 

Das Thunderbird Einstellungsfenster sollte noch geöffnet und der Abschnitt Zertifikate zu sehen sein. 

Klicken Sie auf den Button Zertifikate, um den Thunderbird-Zertifikat-Manager zu öffnen. 

Der Zertifikat-Manager übernimmt die Verwaltung der Zertifikate. Unter dem Register Ihre Zertifikate sind 

die Zertifikate zu sehen, die sich auf Ihrer Karte befinden. 

226


Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller 

nicht vertrauenswürdig" oder "Herausgeber unbekannt" anzeigt. 

Klicken Sie auf Ansicht. 

227


Thunderbird bringt standardmäßig die Ausschrift "Dieses Zertifikat konnte aus unbekannten Gründen nicht 

verifiziert werden." Diese Meldung ist zertifikatsabhängig und kann im Einzelfall abweichen. 

Unter Herausgegeben für finden Sie den Herausgeber Ihres Zertifikats. Vermerken Sie sich bitte diese 

Information und schließen Sie das Fenster. 

Klicken Sie das Register "Zertifizierungsstellen" an und markieren Sie Ihren 

Zertifikatsaussteller. 

228


Über den Button Bearbeiten sollten Sie in dem Fenster "Vertrauenseinstellungen" mindestens für den 2. 

Punkt ein Häkchen setzen. 

Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen importieren. 

Klicken Sie dazu auf den Button Importieren. 

Wählen Sie unter C:\Programme\OpenLimit\Data\CRLs den entsprechenden Aussteller aus, z.B. 

für die OpenLimit CA wählen Sie den Ordner "OpenLimit". 

229


Markieren Sie die Datei "OpenLimit _CA.cer" . 

Klicken Sie auf Öffnen. 

Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordern des Programmverzeichnisses finden, 

müssen Sie sich das Zertifikat direkt von dem Zertifikatsaussteller (im Regelfall per die Web-Seite) 

downloaden. 

Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können. 

Sie sollten mindestens für den 2. Punkt ein Häkchen setzen. Jetzt vertrauen Sie dem Aussteller Ihres 

Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr Zertifikat "Unterzeichnen, Unterschrift oder 

Verschlüsseln" angezeigt. 

Wählen Sie erneut das Register Ihre Zertifikate aus. 

230


Klicken Sie auf Ansicht, um weitere Detailinformationen zu erhalten. 

Wenn alle Einstellungen korrekt ausgeführt wurden, sehen Sie folgendes Fenster, in dem Ihnen mitgeteilt 

wird, für welchen Verwendungszweck das Zertifikat verifiziert wurde. 

231


Klicken Sie auf Schließen. 

Anschließend können Sie auch den Zertifikat-Manager und das Einstellungs-Fenster schließen. 

232


Zertifikate für die Signatur und Verschlüsselung auswählen 

Klicken Sie in der Menüleiste auf Extras - Konten. 

Wählen Sie im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse 

enthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu folgender Ansicht zu 

gelangen. 

Legen Sie fest, welche Zertifikate für die Signatur und Verschlüsselung verwendet werden 

sollen. 

Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen. 

233


Thunderbird schlägt Ihnen an dieser Stelle automatisch ein Zertifikat für die Signatur von E-Mails vor. 

Klicken Sie nun auf OK. 

Es öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum Ver- 

und Entschlüsseln verwenden wollen. 

Klicken Sie hier auf OK. 

Sie sollten überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist. 

Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen an. Für den Zweck 

sollte mindestens "Verschlüsseln" angezeigt werden. 

234


Klicken Sie auf OK. Anschließend erscheint wieder das Fenster mit der Rubrik "Sicherheit" 

Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre E- 

Mails generell signieren wollen. 

Wählen Sie, ob Sie Ihre E-Mails standardmäßig verschlüsselt oder unverschlüsselt versenden 

wollen. 

Sie können diese Einstellungen beim Erstellen einer E-Mail immer noch ändern. 

235


Sie haben alle Sicherheitseinstellungen für Thunderbird vorgenommen und können das Fenster mit OK 

schließen. 

10.3.2 Arbeiten mit Thunderbird 

Bevor Sie die hier beschriebenen Abläufe ausführen können, müssen Sie das E-Mail Programm 

konfigurieren. Lesen Sie dazu das Kapitel Thunderbird Sicherheitseinstellungen. 

E-Mails signieren und verschlüsseln 

Starten Sie Thunderbird und verfassen Sie eine neue E-Mail. 

Klicken Sie auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-Mail 

nochmals zu prüfen und gegebenenfalls zu ändern. 

236


Beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine E- 

Mail verschlüsseln zu können. 

Empfangen von signierten und verschlüsselten E-Mails 

Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet. 

237


Klicken Sie auf das Stift-Symbol, um die Signatur der E-Mail zu prüfen. 

Mit einem Klick auf Unterschriftszertifikat ansehen, können Sie sich die Details zum Zertifikat anzeigen 

lassen. 

238


Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevor Sie 

die Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol gekennzeichnet. 

Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen. 

239


So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Person in den Zertifikat-Manager 

Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, benötigen Sie den öffentlichen 

Schlüssel des Empfängers. 

Variante 1: 

Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail. 

Wenn Sie die E-Mail öffnen, integriert Thunderbird das mitgesendete Zertifikat automatisch in den 

Zertifikat-Manager unter Zertifikate anderer Personen. 

Variante 2: 

Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem Verschlüsselungszertifikat 

als Anhang. Weitere Informationen zu dem Export von Verschlüsselungszertifikaten finden Sie in dem 

Abschnitt Verschlüsselungszertifikat exportieren. 

Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab, 

Importieren Sie diese dann in den Zertifikat-Manager unter Zertifikate anderer Personen. 

Wählen Sie dazu: Extras - Einstellungen - Erweitert - Zertifikate 

Wählen Sie dann im Zertifikat-Manager das Register Zertifikate anderer Personen aus. 

Klicken Sie jetzt auf Importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie auf Ihrem 

Computer abgespeichert haben. 

240

10.4 Lotus Notes 


Das Zertifikat ist jetzt im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für die Person, der dieses 

Zertifikat gehört, verschlüsseln. 

Beachten Sie bitte, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer 

bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail 

Adresse der gleichen Person senden. 

Lotus Notes ist ein E-Mail Programm, welches sehr umfassende Funktionen bietet. Hier werden nur die 

Funktionen beschrieben, welche in direkter Verbindung mit dem Empfangen und Versenden von signierten 

und verschlüsselten E-Mails stehen. 

Die hier beschriebenen Abläufe beziehen sich auf die Software Lotus Notes 6.5, Version 6.5.4 Deutsch. 

Bitte beachten Sie, dass frühere Versionen (z.B. Lotus Notes 6.5.3 Deutsch) nicht ausreichend lokalisiert 

241


sind und daher manche Funktionen (z.B. Internet-Zertifikate von Smartcard importieren) nicht möglich 

sind. Dies hat zur Folge, dass die Vorgängerversionen nicht ohne weiteres für die hier beschriebenen 

Abläufe zu verwenden sind. 

Sollten Sie eine ältere Version von Lotus Notes 6.5 oder Lotus Notes 6 verwenden, so kann es hilfreich 

sein, erst ein Update auf die oben genannte Version zu installieren, bevor Sie versuchen, die hier 

beschriebenen Abläufe nachzuvollziehen. 

10.4.1 Lotus Notes 6.5.4 Sicherheitseinstellungen 

Voraussetzung für die Sicherheitseinstellungen in Lotus Notes 

Bevor Sie die hier beschriebenen Einstellungen vornehmen können, müssen folgende Voraussetzungen 

erfüllt sein: 

Ihr E-Mail Konto muss ordnungsgemäß eingerichtet sein, 

die OpenLimit SignCubes 2.5 Software und der Kartenleser müssen installiert sein, 

OpenLimit SignCubes 2.5 ist gestartet, 

die Karte befindet sich im Kartenleser und wurde erkannt. 

Installieren des PKCS#11 Treibers 

Damit Lotus Notes mit den Zertifikaten auf Ihrer Smartcard arbeiten kann, muss zunächst der PKCS#11 

Treiber in Lotus Notes installiert werden. 

Wählen Sie zunächst Datei - Sicherheit - Benutzersicherheit... 

242


Klicken Sie auf Ihre Identität im linken Bereich des Fensters. 

Wählen Sie anschließend Ihre Smartcard. 

243


Jetzt öffnet sich ein Fenster zur Smartcard Konfiguration. 

Klicken Sie nun auf das Ordner-Symbol, um eine Smartcard-Treiberdatei zu installieren. 

Daraufhin öffnet sich ein Fenster zum Auswählen des Smartcard Treibers. 

Navigieren Sie nun zu dem SignCubes Programmverzeichnis (Standard: C:\Programme\ 

OpenLimit) und wählen die Datei siqp11.dll aus. 

Klicken Sie auf Öffnen, um den Treiber zu installieren. 

244


Daraufhin wird das Fenster zur Smartcard Konfiguration dargestellt, in welchem Sie jetzt den installierten 

Treiber sehen. 

Klicken Sie auf Fortfahren..., um die Installation abzuschließen. 

Installation Ihres Signatur-Zertifikats 

Damit Sie das auf Ihrer Smartcard gespeicherte Signaturzertifikat zum Signieren von E-Mails in Lotus 

Notes nutzen können, müssen Sie dieses zunächst installieren. 

Wählen Sie Ihre Zertifikate in dem linken Bereich des Fensters aus. 

Klicken Sie dann auf den Button Zertifikate abrufen... und wählen Sie aus dem Menü den Punkt 

Internet-Zertifikat von einer Smartcard importieren. 

245


Hinweis: Wenn Sie eine ältere deutsche Version von Lotus Notes 6.5 oder 6 (z.B. Lotus Notes 6.5.3 

Deutsch) verwenden, ist diese Schaltfläche gegraut und Sie können somit keine Smartcard Zertifikate 

importieren. Installieren Sie in diesem Fall ein Update auf Lotus Notes 6.5.4. 

Wenn die Zertifikate erfolgreich importiert wurden, erscheint folgende Meldung. 

Wählen Sie nun Ihre Internet-Zertifikate aus dem Menü. 

Jetzt werden die von der Smartcard importierten Zertifikate angezeigt werden. 

Wenn Ihr Zertifikat nicht angezeigt wird, sollten Sie Lotus Notes beenden, neu starten und dann zu diesem 

Dialog zurückkehren (Datei - Sicherheit - Benutzersicherheit- Ihre Identität - Ihre Zertifikate - Menü: Ihre 

Internet-Zertifikate). 

246


10.4.2 Arbeiten mit Lotus Notes 6.5.4 

Bevor Sie damit beginnen können, mit Lotus Notes 6.5.4 signierte oder verschlüsselte E-Mails zu 

versenden oder zu empfangen, stellen Sie sicher, dass das Programm ordnungsgemäß konfiguriert ist. 

Lesen Sie dazu das Kapitel Lotus Notes 6.5.4 Sicherheitseinstellungen. 

Versenden einer signierten E-Mail 

Erstellen Sie zunächst ein neues Memo. 

Klicken Sie dann auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für Signieren. 

Klicken Sie auf OK, um die Einstellungen zu speichern. 

247


Jetzt können Sie die E-Mail senden. 

Sie werden dazu aufgefordert, eine Signatur zu erzeugen. Weitere Informationen dazu finden Sie in dem 

Abschnitt Signieren. 

So integrieren Sie den öffentlichen Schlüssel des Zertifikats einer anderen Person in Lotus Notes 

Die Person, für die Sie verschlüsseln wollen muss Ihnen dazu eine signierte E-Mail senden. 

Öffnen Sie die E-Mail, klicken Sie dann auf den Button Werkzeuge und wählen Sie im Menü 

Absender in Adressbuch aufnehmen aus. 

248


Es öffnet sich ein Fenster, zur Aufnahme der Daten in das Adressbuch. 

Wählen Sie jetzt das Register Erweitert aus, und aktivieren Sie die Option Gegebenenfalls x.509- 

Zertifikate aufnehmen. 

Klicken Sie OK, um die Daten zu speichern. 

249

10.4.3 Lotus Notes 5 


Versenden einer verschlüsselten E-Mail 

Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen 

verschlüsseln zu können. 

Erstellen Sie zunächst ein neues Memo. 

Klicken Sie auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für Verschlüsseln. 

Klicken Sie dann auf OK, um die Einstellungen zu speichern. 

Jetzt können Sie Ihre verschlüsselte E-Mail versenden. 

Zur Verwendung Ihrer Smartcard unter Lotus Notes 5 wird ein PKCS#11 Treiber benötigt. 

Dieser wird unter Lotus Notes 5 über Trusted Mime eingebunden. Dazu muss Trusted Mime auf dem 

Rechner installiert sein. Um genaue Informationen zu erhalten, wie Sie den PKCS#11 Treiber in Trusted 

Mime richtig einbinden, informieren Sie sich bitte in der Trusted Mime Dokumentation. 

250


Der PKCS#11 Treiber befindet sich im Installationsverzeichnis der OpenLimit SignCubes 2.5 Software 

(Standard: C:\Programme\ OpenLimit\siqp11.dll) 

Weitere Informationen finden Sie in dem Abschnitt Arbeiten mit Lotus Notes 6.5.4. 

11 SSL Authentisierung 

Mit den Modulen der OpenLimit SignCubes Software sind Sie in der Lage, sich an einer Webseite welche SSL 

Authentisierung verwendet, anzumelden. Diese Aufgabe wird je nach Verwendung des Web-Browsers vom 

CSP oder vom PKCS#11 Treiber übernommen. 

Über SSL 

Secure Sockets Layer (SSL) ist ein Verschlüsselungsprotokoll für Datenübertragung im Internet. Wenn eine 

Verbindung zu einer Webseite über SSL hergestellt wird, geschieht dies in etwa so: 

Zunächst sendet der Client (Web-Browser mit dem Sie arbeiten) eine Verbindungsanfrage an den Server 

(dort ist die Webseite, die Sie besuchen wollen). Daraufhin antwortet der Server und sendet ein Zertifikat. 

Indem Sie bestätigen, dass Sie dem Zertifikat des Servers vertrauen, ermöglichen Sie Ihren Web-Browser 

die Verbindung zum Server herzustellen. (Dieser Schritt wird unter Umständen automatisch durchgeführt, 

z.B. dann, wenn das Server-Zertifikat von Ihrem Web-Browser bereits als vertrauenswürdig eingestuft 

wird.) Eventuell will der Server aber auch wissen ob, Sie die Person sind, für die Sie sich ausgeben und 

sendet eine entsprechende Anfrage an Ihren Web-Browser (Bidirektionale SSL-Authentifizierung).Jetzt 

müssen Sie sich dem Server gegenüber identifizieren, indem Sie die Anfrage des Servers signieren. Dabei 

kommen die Module der Software zum Einsatz. Nun ist eine sichere Verbindung über SSL hergestellt. 

Wenn Sie mehr über SSL wissen wollen, lesen Sie unter 

nach. 

http://de.wikipedia.org/wiki/Secure_Sockets_Layer 

Die folgenden Web-Browser werden für die SSL Authentisierung von OpenLimit SignCubes 2.5 unterstützt: 

251

11.1 Internet Explorer 


Internet Explorer ab Version 6 

Mozilla ab Version 1.6 (entspricht Netscape ab Version 7.1) 

Firefox ab Version 1.0.4 

Der Internet Explorer nutzt dazu den Cryptographic Service Provider (CSP). Firefox und Mozilla / Netscape 

hingegen verwenden den PKCS#11 Treiber. Firefox und Mozilla / Netscape müssen daher richtig 

konfiguriert werden, bevor die SSL Authentisierung gestartet werden kann. Wenn Sie mit Firefox oder 

Mozilla / Netscape arbeiten, lesen Sie deshalb bitte die Kapitel Firefox Browser Sicherheitseinstellungen 

bzw. Mozilla / Netscape Browser Sicherheitseinstellungen. 

Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie Ihre Karte 

in den Leser stecken und warten bis diese erkannt wurde (Chipsymbol ist gelb). 

Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSL 

Verschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Server gegenüber 

nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird zwar eine 

sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie übermitteln nicht an die 

Stelle senden, an die Sie diese zu senden glauben. 

Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden. 

Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung 

Wenn Sie mit Internet Explorer eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird 

eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen. 

Bestätigen Sie den Dialog mit Ja, um fortzufahren. 

Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite angezeigt. Lesen Sie 

diese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. 

Um den Vorgang fortzusetzen, müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen. 

Warten Sie nun einen Moment, bis sich der Signaturanforderungsdialog der OpenLimit SignCubes 2.5 

Software öffnet. 

252


Klicken Sie jetzt auf Signatur erzeugen und geben Sie Ihre globale PIN ein. Damit identifizieren 

Sie sich gegenüber dem Server. 

Die Verbindung zur Webseite wird hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite 

ausgetauscht werden, werden über eine sichere Verbindung geschickt. 

11.2 Mozilla Firefox Browser Sicherheitseinstellungen 

Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren, dass 

dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann. 

Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser richtig installiert ist, Ihre Karte 

sich in diesem befindet, erkannt wurde und die notwendigen Zertifikate sich auf Ihrer Karte befinden. 

Öffnen Sie den Web-Browser und klicken Sie dann in der Menüleiste auf Extras - Einstellungen. 


Wählen Sie nun aus der Spalte links im Fenster Erweitert und scrollen Sie dann im rechten Teil 

des Fensters bis zum Abschnitt Zertifikate. 

253


Klicken Sie jetzt auf Kryptographie-Module verwalten... 

Es öffnet sich der Kryptographie-Modul-Manager mit einer Ansicht der bereits aktiven Komponenten. 

254


Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum 

Umgang mit Ihrer Karte notwendig ist, zu installieren. 

Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11 Modul, und 


Navigieren Sie zum SignCubes Installations-Verzeichnis (Standard: C:\Programme\ OpenLimit), 

wählen Sie dort die Datei siqp11.dll aus, 

klicken Sie auf Öffnen. 

255


Klicken Sie nun auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul 

installieren wollen, bestätigen Sie dies mit OK. 

Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul. 


Jetzt ist Firefox richtig konfiguriert. 

256


11.3 Mozilla Firefox SSL Authentisierung 


in den Leser stecken und warten, bis diese erkannt wurde (gelbes Chipsymbol). 








Wenn Sie mit Firefox eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird eventuell eine 

Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen. 


diese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. Um den Vorgang fortzusetzen, 

müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen. 

Sie können das Zertifikat temporär oder für immer akzeptieren. Wenn Sie das Zertifikat für immer 

akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht mehr 

angezeigt. 

Es wird der Signaturanforderungsdialog der OpenLimit SignCubes 2.5 Software geöffnet. 

Klicken Sie jetzt auf Signatur erzeugen. 

Geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit identifizieren Sie sich gegenüber dem 

Server. 

257


Es wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite 


11.4 Mozilla / Netscape Browser Sicherheitseinstellungen 

Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren, dass 

dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann. 

Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser richtig installiert ist, Ihre Karte 

sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte befinden. 

Öffnen Sie den Web-Browser und klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen. 


Wählen Sie nun aus der Spalte links im Fenster Privatsphäre & Sicherheit – Zertifikate. 

258


Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten... 

Jetzt öffnet sich ein Fenster in dem bereits geladene Sicherheitsmodule angezeigt werden. 

259


Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum 

Umgang mit Ihrer Karte notwendig ist, zu installieren. 

Geben Sie dem Modul zunächst einen Namen, z.B. "OpenLimit SignCubes PKCS#11 Modul" und 

klicken Sie auf Durchsuchen... 

Navigieren Sie zum OpenLimit SignCubes Installations-Verzeichnis (Standard: 

C:\Programme\OpenLimit), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen. 

260


Klicken Sie auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul 

installieren wollen, bestätigen Sie dies mit OK. 

Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul. 

261



Jetzt ist Mozilla /Netscape richtig konfiguriert. 

11.5 Mozilla / Netscape SSL Authentisierung 


in den Leser stecken und warten, bis sie erkannt wurde (gelbes Chipsymbol). 








Wenn Sie mit Mozilla / Netscape eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird 

eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen. 


diese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. Um den Vorgang fortzusetzen, 

müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen. 

Sie können das Zertifikat temporär oder dauerhaft akzeptieren. Wenn Sie das Zertifikat dauerhaft 

akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht mehr 

angezeigt. 

Es öffnet sich der Signaturanforderungsdialog der OpenLimit SignCubes 2.5 Software. 

Klicken Sie auf Signatur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit 

identifizieren Sie sich gegenüber dem Server. 

262

12 Erste Hilfe 


Jetzt wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite 


In diesem Kapitel wird der Umgang mit Fehlermeldungen des Produktes beschrieben. In den folgenden 

Auflistungen finden Sie mögliche Fehler, deren Ursache und wie Sie als Benutzer auf diese Fehler 

reagieren können oder müssen. 

12.1 Wie gehe ich mit Fehlermeldungen um? 

Im Idealfall läuft das Produkt auf Ihrem Rechner so, dass Sie nie eine Fehlermeldung sehen. Da aber das 

Produkt Sicherheitskomponenten (siehe „Sicherheitskomponenten der OpenLimit SignCubes 

Basiskomponenten“) enthält, die Sie vor manipulierten Inhalten bei der Darstellung und bei der 

Signaturerzeugung schützen sollen, werden Sie im Laufe der Arbeit mit dem Produkt auch mit solchen 

vermeintlichen Fehlermeldungen konfrontiert, die Sie auf ein Sicherheitsrisiko oder auf einen tatsächlich 

erfolgten Angriff auf ein durch das Produkt zu schützendes Objekt hinweisen. 

Der folgende Abschnitt gibt Ihnen eine Übersicht, wie das Produkt auf versuchte Manipulationen oder 

Änderungen reagiert und wie Sie als Benutzer in diesem Falle verfahren sollten. Dieser Abschnitt soll Sie 

263


als Benutzer des Produktes so sensibilisieren, dass Sie in der Lage sind, den sicheren Zustand des 

Produktes zu erkennen und Abweichungen richtig zu interpretieren. 

Der OpenLimit SignCubes Viewer meldet, dass die Fontdatei cour.ttf nicht vorhanden oder manipuliert 

ist: 

Hintergrund: Der OpenLimit SignCubes Viewer verwendet den Font Courier New zur Darstellung von 

Textinhalten. Diese Schriftart ist eine symmetrische Schriftart und die Verwendung soll dazu beitragen, 

dass Sie den angezeigten Text eindeutig lesen können. Die Interpretation des angezeigten Textes aus 

inhaltlicher Sicht kann die gesicherte Anzeigeeinheit allerdings nicht leisten, Sie müssen als Benutzer 

selbst entscheiden, ob Sie den angezeigten Text signieren wollen oder nicht. 

Ursache: In diesem Falle kommen zwei Ursachen in Frage. Die Datei kann wissentlich oder unwissentlich 

aus dem System entfernt worden sein. Da diese Font-Datei integraler Bestandteil des Betriebssystems ist, 

kommt eine wissentliche oder unwissentliche Manipulation des Betriebssystems in Betracht. Als zweite 

Ursache kann der Austausch oder die Manipulation dieser Datei in Betracht gezogen werden. Wenn Sie z.B. 

ein Grafikbearbeitungsprogramm auf Ihrem Rechner installieren, welches die vorhandene Datei des 

Betriebssystems austauscht, kann diese Fehlermeldung auftreten. Sie sollten aber in Betracht ziehen, dass 

ein Angreifer versucht hat, die Datei so zu manipulieren, dass z.B. das Euro Zeichen gegen das Zeichen für 

britische Pfund ausgetauscht wurde. 

Benutzerinteraktion: Wenn die Fehlermeldung angezeigt wird, müssen Sie als Benutzer selbst 

entscheiden, ob Sie der Darstellung durch den OpenLimit SignCubes Viewer vertrauen. Der OpenLimit 

SignCubes Viewer kann in diesem Fall keine Garantie geben, dass der angezeigte Text dem entspricht, wie 

er mit der korrekten Version der Font Datei angezeigt werden würde. Vertrauen Sie im Zweifelsfall der 

Darstellung nicht und erzeugen Sie keine elektronische Signatur an dem angezeigten Dokument. 

Der Rechner stürzt während der Signaturerzeugung ab oder der Kartenlesertreiber bleibt 'hängen': 

Hintergrund: Wenn Inkompatibilitäten zwischen dem Betriebssystem und dem verwendeten 

Kartenlesertreiber existieren, kann möglicherweise der Rechner während der Signaturerzeugung 

abstürzen oder das System reagiert nicht mehr auf Benutzerinteraktion. Das ist kein Fehler, der durch das 

Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.3 verursacht wird. 

Benutzerinteraktion: Wenn der Rechner abstürzt oder hängen bleibt, sollten Sie auf jeden Fall den 

Rechner abschalten und neu starten. Nur dieses Vorgehen gibt Ihnen als Benutzer die Sicherheit, dass der 

Arbeitsspeicher des Rechners neu initialisiert wird und keine Speicherbereiche im RAM des Rechners 

verbleiben, die evtl. noch die erzeugte elektronische Signatur beinhalten. Wenn das Problem häufiger 

264


auftritt, sollten Sie sich an den Hersteller des verwendeten Kartenlesers wenden und Informationen 

einholen, welcher Treiber für Ihren Kartenleser geeignet ist. 

Bei der Arbeit mit dem Produkt können Sie mit der Anwendung keine Signaturen mehr erzeugen oder 

prüfen. Der Tooltip im Systemtray zeigt an: 'Deaktiviert wegen Manipulationsverdacht': 

Hintergrund: Eine Sicherheitsfunktion des Produktes bietet einen Selbstschutz des Programmes gegen 

Manipulationsversuche durch andere Programme oder durch unbefugte Dritte. Wenn ein Bestandteil des 

Produktes erkennt, dass z.B. eine Programmbibliothek ausgetauscht wurde, wird dies dem OpenLimit 

SignCubes Security Environment Manager gemeldet, welcher daraufhin die Funktionen zur 

Signaturerzeugung und Verifikation deaktiviert. 

Ursache: Möglicherweise hat jemand versucht, den Zustand des Produktes auf Ihrem Rechner zu 

manipulieren oder so zu verändern, dass daraus ein Schaden für Sie als Anwender entstehen könnte. Wenn 

Sie versucht haben, Bibliotheken aus älteren Versionen mit dem Produkt zu verwenden, gilt dies ebenfalls 

als Manipulationsversuch und das Programm wird deaktiviert. 

Benutzerinteraktion: Sie sollten jetzt mit dem OpenLimit SignCubes Integrity Tool den Zustand Ihrer 

lokalen Installation überprüfen. Dieses Programm teilt Ihnen detailliert mit, welche Programmbibliothek 

von dem Manipulationsversuch betroffen ist. Sie sollten keine weiteren Interaktionen mit dem Produkt 

ausführen, insbesondere sollten Sie nicht versuchen, eine elektronische Signatur zu erzeugen. Wenn Sie 

ein nicht vom Hersteller autorisiertes Update eingespielt haben, müssen Sie das Produkt deinstallieren 

und erneut installieren. Wenn Sie sich nicht sicher sind, wie Sie weiter mit dem Produkt verfahren sollen, 

wenden Sie sich an den Hersteller, der Ihnen in diesem Fall Tipps für ein weiteres Vorgehen geben kann. 

265


12.2 Fehlermeldungen vor oder während der Installation 

Die folgenden Fehlermeldungen können vor oder während der Installation angezeigt werden. 

Fehlermeldung Ursache Benutzeraktion 

Ihr Betriebssystem wird nicht 

unterstützt. Bitte verwenden Sie für 

diese Anwendung ein anderes 

Betriebssystem. Das Setup wird 

beendet. 

Ihre gegenwärtige Windows- 

Anmeldung ist nicht mit 

Administratoren-Rechten 

ausgestattet. Um das Setup ausführen 

zu können, müssen Sie sich als 

Administrator anmelden. Das Setup 

wird beendet. 

Ihr Internet Explorer ist älter als 

Version 5.01 SP2. Bitte installieren Sie 

zunächst einen neueren Internet 

Explorer. Das Setup wird beendet. 

Sie haben für die Registry keine 

Rechte zum Schreiben. Die Installation 

kann nur mit Schreibrechten 

fortgesetzt werden 

Diese Fehlermeldung kann nach dem 

Sprachauswahldialog und vor dem 

Anzeigen der ersten Dialogseite für 

das Setup der OpenLimit SignCubes 


generiert werden. 

Die Betriebssystemversion, auf der 

das Produkt installiert werden soll, 

entspricht nicht den 

Mindestvoraussetzungen. 





Basiskomponenten 2.5, Version 

2.5.0.3 generiert werden. 

Sie sind nicht mit 

Administrationsrechten angemeldet. 







Ihr Betriebssystem genügt nicht den 

Mindestanforderungen. 

Ihr Benutzerprofil erlaubt keinen 

schreibenden Zugriff auf die Registry 

des Betriebssystems. 

Konnte Verzeichnis nicht erstellen. Diese Fehlermeldung kann während 

des eigentlichen Installationsvorgangs 

des Setups der OpenLimit SignCubes 



Das Verzeichnis zum Installieren der 

Anwendung konnte nicht erstellt 

werden. 

Sie müssen ein Betriebssystem 

verwenden, welches den 

Mindestanforderungen genügt. 

Sie müssen sich mit 

Administrationsrechten an dem 

Rechner anmelden. 

Sie müssen eine Version des Microsoft 

Internet Explorers installieren, die den 

Anforderungen des Produktes genügt. 

Sie müssen sich mit einem Konto 

anmelden, das über Schreibrechte auf 

die Registry verfügt. Wenn Sie 

Programme verwenden, die den 

schreibenden Zugriff auf die Registry 

verhindern, sollten Sie diese 

deaktivieren. 

Sie sollten prüfen, ob Sie über 

Schreibrechte für das ausgewählte 

Installationsverzeichnis verfügt. 

266



Die installierte Programm-Version ist 

neuer als dieses Setup-Programm. 

Bitte verwenden Sie die aktuellste 

Version. Das Setup wird abgebrochen. 

Der Inhalt dieses Setups ist älter als 

Ihre installierte Version. Bitte 

installieren Sie nur die neueste 

Version. 

Es ist nicht genügend Speicherplatz 

für die Installation dieser Anwendung 

vorhanden. Der minimal erforderliche 

Speicherplatz beträgt 200 MB. 

Sie benötigen für diese Anwendung 

eine Java(TM) Runtime in einer 

Version mindestens 1.4.2_08. Bitte 

installieren Sie vorher eine 

entsprechende Java (TM) Runtime. Das 

Setup wird jetzt abgebrochen. 

Diese Produktversion ist mit der 

installierten Version nicht vereinbar. 

Bitte deinstallieren Sie vorher die alte 

Version. 







Es ist bereits eine neuere Version der 

OpenLimit Basiskomponenten 

installiert. 







Es ist bereits eine neuere Version der 

OpenLimit Basiskomponenten 

installiert. 







Für die Installation steht kein 

ausreichender Speicherplatz zur 

Verfügung. 







Diese Fehlermeldung weist darauf hin, 

dass entweder die Java(TM) Runtime 

Version fehlt oder eine ältere Version 









dass das Produkt nicht kompatibel zu 

den installierten Basiskomponenten 

ist. 

Falls eine Neuinstallation notwendig 

ist, installieren Sie die aktuellste 

Version. 

Falls eine Neuinstallation notwendig 

ist, installieren Sie die aktuellste 

Version. 

Stellen Sie sicher, dass ca. 200 MB 

Speicherplatz für die Installation zur 

Verfügung stehen und starten Sie die 

Installation erneut. 

Installieren Sie zunächst eine aktuelle 

Java(TM) Runtime Version und starten 

sie die Installation erneut. 

Installieren Sie zunächst eine aktuelle 

Version der OpenLimit 

Basiskomponenten, für die dieses 

Produkt freigegeben ist. 

267



Diese Produktversion ist mit der 

installierten Version nicht vereinbar. 

Diese Produktversion lässt sich auf 

Ihrem Rechner nur installieren, wenn 

Sie vorher die alte Version 

deinstalliert haben. 








dass das Produkt nicht kompatibel zu 

den installierten Basiskomponenten 

ist. 







Es ist bereits eine ältere Version des 

Produktes installiert. 

12.3 Fehlermeldungen OpenLimit SignCubes Security Environment Manager 

Prüfen Sie zunächst, ob das zu 

installierende Produkt für die bereits 

vorhandenen Basiskomponenten 

freigegeben ist. 

Bitte deinstallieren Sie zunächst die 

ältere Produktversion und starten 

anschließend die Installation neu. 

Die folgenden Abschnitte erklären, welche Fehlermeldungen auftreten können und wie Sie diese 

Fehlermeldungen bewerten müssen. 

Grundsätzlich werden alle Fehlermeldungen vom OpenLimit SignCubes Security Environment Manager 

generiert, es sei denn, die Fehlermeldung betrifft den OpenLimit SignCubes Viewer. Der OpenLimit 

SignCubes Viewer realisiert selbständig Prüfroutinen, welche die Erkennung von Dokumentformaten 

betreffen. In der folgenden Tabelle werden die Fehlermeldungen für den OpenLimit SignCubes Security 

Environment Manager aufgelistet und die mögliche Fehlerursache benannt. 

268


Fehlermeldung des OpenLimit Mögliche Ursache Auswirkungen auf den sicheren 

SignCubes Security Environment 

Zustand des Produktes/ 

Managers 

Benutzerreaktion 

Der eingegebene Lizenzcode ist Diese Fehlermeldung kommt nach Sie sollten den Lizenzmanager erneut 

ungültig. 

Überprüfung des eingegebenen starten und den Lizenzcode exakt 

Lizenzcodes. 

eingeben. Der sichere Zustand des 

Produktes wird nicht beeinflusst. 

Bei der Freischaltung der Lizenz ist ein Diese Fehlermeldung kann während Sie sollten sollte den Lizenzmanager 

Fehler aufgetreten. 

des Lizenzierungsvorganges generiert erneut starten und auf die exakte 

werden. 

Eingabe des Lizenzcodes achten. Der 

sichere Zustand des Produktes wird 

nicht beeinflusst. 

unerwarteter Fehler Dieser Fehler kann in der Signaturprüfung: Detailanzeige: Zustand 

Zertifikatsdetailanzeige auftreten. Die der Hashwertprüfung: ist undefiniert. 

Fehlermeldung wird angezeigt, wenn die Der sichere Zustand des Produktes ist 

Prüfung des Zertifikates oder des nicht betroffen. Der Hashwert konnte 

Pfades zum Herausgeber fehlschlägt. nicht geprüft werden. 

Es ist ein Fehler aufgetreten, der nicht 

im Rahmen der vorhandenen 

Fehlerbehandlung abgefangen werden 

konnte. 

Versuchen Sie es zu einem späteren Wenn Sie eine OCSP-Anfrage starten Diese Fehlermeldung besagt, dass das 

Zeitpunkt erneut. 

und diese von der Gegenstelle nicht Produkt Ihnen keine Aussage zum 

bearbeitet werden kann, kann diese Zertifikatsstatus liefern kann. Sie 

Statusmeldung erscheinen. 

müssen selbst entscheiden, ob Sie dem 

Die OCSP-Anfrage kann durch die Signaturzertifikat vertrauen. Der 

Gegenstelle zum gegenwärtigen sichere Zustand des Produktes ist in 

Zeitpunkt nicht bearbeitet werden. diesem Fall nicht betroffen. 

Prüfen Sie bitte, ob Sie mit dem Diese Statusmeldung erscheint, wenn Der sichere Zustand ist in diesem Falle 

Internet verbunden sind. 

für eine Operation eine nicht betroffen. 

Internetverbindung notwendig ist, 

diese aber nicht besteht. 

Wenn Sie aktuelle Sperrlisten abrufen 

oder eine OCSP Abfrage durchführen 

wollen, wird eine Internet Verbindung 

benötigt. Wenn die Verbindung nicht 

hergestellt werden kann, werden Sie 

mit dieser Meldung aufgefordert, die 

Internet Verbindung zu überprüfen. 

Die Signaturkomponente konnte nicht Bei folgenden Aktionen kann diese In diesem Falle ist das Produkt 

initialisiert werden! 

Fehlermeldung erscheinen: 

entweder nicht korrekt installiert oder 

Signaturerzeugung aus dem OpenLimit beschädigt. Der sichere Zustand des 

SignCubes Viewer . 

Produktes kann nicht gewährleistet 

Signaturverifikation aus dem werden. Sie sollten das Programm 

OpenLimit SignCubes Viewer. 

erneut installieren. 

Alle Operationen, bei denen ein 

Subsystem auf das OpenLimit 

SignCubes Job Interface zurückgreift. 

Der OpenLimit SignCubes Security 

Die Daten wurden nicht signiert! 

Environment Manager konnte nicht 

gestartet werden bzw. das OpenLimit 

SignCubes Job Interface konnte nicht 

geladen werden. 

Die Daten konnten nicht signiert Die Chipkarte sendete eine 

werden. Diese Fehlermeldung ist ein Statusmeldung, die besagt, dass die 

Hinweis auf eine fehlerhafte Daten von der Chipkarte nicht 

Kommunikation zwischen dem verarbeitet wurden. Der sichere 

OpenLimit SignCubes Security Zustand des Produktes ist nicht 

269


Fehlermeldung des OpenLimit 


Managers 

Mögliche Ursache Auswirkungen auf den sicheren 


Environment Manager und der 

verwendeten Chipkarte, außer Sie 

brechen den Signaturvorgang ab. 

Die Datei ist nicht signiert! Diese Fehlermeldung kann bei der 

Signaturprüfung über den OpenLimit 

SignCubes Viewer auftreten. 

Sie haben versucht, die Signatur an 

einer nicht signierten Datei zu 

überprüfen. Es ist beispielsweise eine 

Signaturdatei vorhanden, jedoch 

enthält die Signaturdatei keine 

Die Datei besitzt eine ungültige 

Signatur! 

Der Zertifikatsstatus konnte nicht 

vollständig geprüft werden! 

Der Dateityp konnte nicht ermittelt 

werden! 

Es liegen keine Informationen über 

Signaturen vor! 

Signatur. 

Diese Statusmeldung kann im Dialog 

zur Signaturprüfung angezeigt 

werden. Die Signaturprüfung ist im 

Abschnitt Arbeiten mit den OpenLimit 

SignCubes Basiskomponenten 2.5, 

Version 2.5.0.3 Signaturverifikation 

beschrieben. 

Die Signatur passt nicht zu den 

Originaldaten. Ursache können die 

Manipulation der Originaldaten, z.B. 

durch Übertragungsfehler als auch 

gezielte Manipulationen der 

Originaldaten oder der Signatur sein. 

Diese Statusmeldung kann im Dialog 

zur Signaturprüfung angezeigt 

werden. Die Signaturprüfung ist im 

Abschnitt Arbeiten mit den OpenLimit 


Version 2.5.0.3 Signaturverifikation 

beschrieben. 

Diese Statusmeldung erscheint bei der 

Signaturverifikation. Diese Meldung 

erscheint immer dann, wenn die 

Gültigkeit des Zertifikats nicht über 

eine Sperrliste, die nach dem 

Signaturzeitpunkt herausgegeben 

wurde, geprüft werden kann. 

Die Statusmeldung kann angezeigt 

werden, wenn eine Datei über 

OpenLimit SignCubes Viewer signiert 

oder verifiziert werden soll. 

Das Modul zur Dokumentenerkennung 

konnte nicht ermitteln, um welchen 

Dateityp es sich handelt. Es war dem 

Modul zur Dokumenterkennung nicht 

möglich, die Datei lesend zu öffnen. 

Die Statusmeldung kann angezeigt 

werden, wenn eine Signatur über 

OpenLimit SignCubes Viewer verifiziert 

werden soll. 

Der Detaildialog für die 

Signaturprüfung wurde aufgerufen, 

ohne dass Signaturinformationen 


gefährdet, Sie sollten die Operation 

wiederholen. 

Der sichere Zustand des Produktes ist 

nicht betroffen. Entweder wurde die 

Signaturdatei nicht korrekt erzeugt 

oder es hat eine Manipulation der 

Signaturdatei stattgefunden, die zur 

Folge hat, dass die Signaturdatei leer 

ist. 


nicht betroffen. Es wurde erkannt, 

dass die Signatur ungültig ist. Sie 

sollten dem empfangenen Dokument 

bzw. der Signatur nicht vertrauen. 


nicht betroffen. Sie sollten eine OCSP 

Abfrage vornehmen. 


nicht betroffen. 


nicht gefährdet. 

270




Managers 

Die Statusabfrage konnte nicht 

erzeugt werden. 

Die Antwort des 

Zertifikatsherausgebers konnte nicht 

verarbeitet werden. 

Die Antwort des 

Zertifikatsherausgebers enthält einen 

unbekannten Statuswert. 

Die Anfrage an den 

Zertifikatsherausgeber konnte von 

diesem nicht verarbeitet werden. 

Die Anfrage führte beim 

Zertifikatsherausgeber zu einem 

internen Fehler. 

Die Anfrage kann durch den 

Zertifikatsherausgeber zurzeit nicht 

bearbeitet werden. 

Die Anfrage wurde durch den 

Zertifikatsherausgeber mit einem 

nicht benutzten Statuscode 

beantwortet. 




übergeben wurden. 

Diese Fehlermeldung kann auftreten, 

wenn im Zertifikatsdetaildialog auf 

den Knopf Onlinestatus geklickt wird. 

Es ist ein interner Fehler bei der 

Erzeugung der OCSP Abfrage 

aufgetreten. 




Die OCSP Antwort des 

Zertifikatsherausgebers enthält 

Fehler, die eine weitergehende 

Verarbeitung der OCSP Antwort 

unmöglich machen. Die OCSP Antwort 

konnte nicht nach dem ASN.1 Standard 

dekodiert werden. 




Der vom Herausgeber übermittelte 

Zertifikatsstatus entspricht nicht der 

Spezifikation nach RFC 2560. 




Der Zertifikatsherausgeber konnte die 

OCSP Anfrage des Produkts OpenLimit 


Version 2.5.0.3 nicht verarbeiten. 




Der Zertifikatsherausgeber konnte die 

OCSP Anfrage des Produkts OpenLimit 


Version 2.5.0.3 nicht verarbeiten. Es 

ist ein interner Fehler beim 

Zertifikatsherausgeber aufgetreten. 




Der Zertifikatsherausgeber kann die 

OCSP Anfrage momentan nicht 

verarbeiten. Sie sollten den Vorgang 

zu einem späteren Zeitpunkt noch 

einmal wiederholen. 












nicht gefährdet. Die OCSP Antwort 

konnte jedoch nicht korrekt 

verarbeitet werden. Sie müssen selbst 

entscheiden, ob Sie dem 

Signaturzertifikat vertrauen. 


nicht gefährdet. Sie müssen selbst 









entscheiden, ob Sie dem verwendeten 


Alternativ können Sie die OCSP 

Abfrage zu einem späteren Zeitpunkt 

noch einmal durchführen. 



konnte jedoch nicht korrekt 




271





Managers 


Der Zertifikatsherausgeber fordert, Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

dass die Anfrage signiert wird. wenn im Zertifikatsdetaildialog auf nicht gefährdet. Allerdings kann keine 

Signierte Anfragen werden zurzeit den Knopf Onlinestatus geklickt wird. gültige OCSP Anfrage an den 

nicht unterstützt. 

Es existieren Formate für OCSP Zertifikatsherausgeber gestellt 

Anfragen, bei denen die Anfrage vom werden. Sie müssen selbst 

Anfragenden signiert sein muss. Das entscheiden, ob Sie dem 

ist z.B. bei kostenpflichtigen OCSP 

Respondern der Fall. Dieses Format 


wird vom Produkt OpenLimit 


Sie haben beim Zertifikatsherausgeber 

Version 2.5.0.3 nicht unterstützt. 

Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

nicht die erforderliche Berechtigung, wenn im Zertifikatsdetaildialog auf nicht gefährdet. Allerdings kann keine 

um den Status abzufragen. 

den Knopf Onlinestatus geklickt wird. gültige OCSP Anfrage an den 

Der Zertifikatsherausgeber kann durch Zertifikatsherausgeber gestellt 

eine eigene Richtlinie festlegen, wer werden. Sie müssen selbst 

berechtigt ist, eine OCSP Anfrage an entscheiden, ob Sie dem 

diesen zu senden. Wenn Sie keine Signaturzertifikat vertrauen. 

entsprechende Berechtigung haben, 

wird Ihnen diese Fehlermeldung 

Die Anfrage wurde durch den 

angezeigt. 

Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

Zertifikatsherausgeber mit einem wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst 

unbekannten Statuscode beantwortet. den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem 





Die Statusabfrage konnte nicht Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist 

durchgeführt werden. 

wenn im Zertifikatsdetaildialog auf nicht gefährdet. Allerdings sollten Sie 

den Knopf Onlinestatus geklickt wird. überprüfen, ob eine 

Möglicherweise ist keine Internetverbindung vorhanden ist. 

Internetverbindung verfügbar. 

Sie haben noch zwei Versuche, die Diese Meldung kann bei der Der sichere Zustand des Produktes ist 

gültige einzugeben. 

Signaturerzeugung auftreten. nicht gefährdet. Sie sollten beim 

Sie haben insgesamt drei Versuche, nächsten Versuch die korrekte PIN 

die jeweilig abgefragte PIN korrekt eingeben. 

einzugeben. steht z.B. für die 

globale PIN. Wenn diese Meldung 

erscheint, haben Sie bereits einmal die 

falsche PIN eingegeben. 

Sie haben noch einen Versuch, die Diese Meldung kann bei der Der sichere Zustand des Produktes ist 

gültige einzugeben. Wird erneut Signaturerzeugung auftreten. nicht gefährdet. Sie sollten beim 

die falsche eingegeben, wird die Sie haben insgesamt drei Versuche, nächsten Versuch die korrekte PIN 

Karte unbrauchbar! 

die jeweilig abgefragte PIN korrekt eingeben. 

einzugeben. steht z.B. für die 

globale PIN. Wenn diese Meldung 

erscheint, haben Sie bereits zweimal 

die falsche PIN eingegeben. 

Die Karte wurde durch mehrfache Diese Meldung kann bei der Der sichere Zustand des Produktes ist 

Fehleingabe unbrauchbar gemacht. Signaturerzeugung auftreten. nicht gefährdet. Allerdings können Sie 

Sie haben durch dreimaliges Eingeben die Chipkarte mit dem Produkt nicht 

der falschen PIN die Karte für die mehr verwenden. 

weitere 

gemacht. 

Benutzung unbrauchbar 

272





Managers 


Der Fehlbedienungszähler ist Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

abgelaufen. 

Signaturerzeugung auftreten. nicht gefährdet. Allerdings können Sie 

Der Fehlbedienungszähler der Karte die Chipkarte mit dem Produkt nicht 

zeigt an, dass die PIN insgesamt 

dreimal falsch eingegeben wurde. 

mehr verwenden. 

Die eingegebene PIN entspricht nicht Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist 

den Anforderungen der Karte! Ändern der PIN der Chipkarte nicht gefährdet. Sie sollten allerdings 

auftreten. 

beim Festlegen der PIN über den 

Die Chipkarte stellt bestimmte Menüpunkt PIN ändern eine PIN 

Anforderungen an die Qualität der PIN. wählen, die den Anforderungen der 

Bei einer TeleSec E4NetKey Karte 

muss die Pin mindestens 6-stellig 

höchstens jedoch 16-stellig sein. 

verwendeten Karte genügt. 

Bei der Übertragung des Kommandos Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

an die Karte trat ein unerwarteter Signaturerzeugung auftreten. nicht gefährdet. Sie sollten den 

Fehler auf! 

Beim Senden des Kommandos an die Vorgang wiederholen. Wenn der Fehler 

Chipkarte ist ein Fehler aufgetreten. permanent auftritt, sollten Sie mit 

Die Chipkarte hat mit einem dem zur Verfügung stehenden Modul 

Kartenstatus geantwortet, der nicht zur Integritätsprüfung die korrekte 

dem erwarteten Status entsprach. Installation des Produktes auf dem 

Rechner prüfen. 

Die eingegebenen PINs sind nicht Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist 

identisch! 

Ändern der PIN der Chipkarte nicht gefährdet. Sie sollten den 

auftreten. 

Dieser Fehler kann beim Ändern der 

PIN auftreten, wenn die erste und die 

Bestätigungspin nicht identisch sind. 

Vorgang wiederholen. 

Die eingegebene PIN wurde Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

zurückgewiesen! 

Signaturerzeugung auftreten. nicht gefährdet. Sie sollten den 

Die Verifikation der PIN durch die Vorgang wiederholen. 

Chipkarte ist fehlgeschlagen. Sie 

haben die falsche PIN eingegeben. 

Die PIN wurde nicht in der erwarteten Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

Zeit eingegeben! 

Signaturerzeugung auftreten. nicht gefährdet. Sie sollten den 

Sie haben zu lange gewartet, um die Vorgang wiederholen. 

PIN einzugeben. die meisten 

Kartenleser mit sicherer PIN Eingabe 

unterstützen die Verwendung von 

Sie müssen die Karte zuerst 

Timeouts während der PIN Eingabe. 

Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes 

freischalten! 

Signaturerzeugung auftreten. ist nicht gefährdet. Sie müssen eine 

Vor der Verwendung muss die Karte freigeschaltete Karte verwenden. 

freigeschaltet werden. 

Ggf. können Sie mit dem Menüpunkt 

Karte freischalten Ihre Karte für die 

weitere Verwendung freischalten. 

Sie müssen die Karte zuerst Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

entsperren. 

Signaturerzeugung auftreten. nicht gefährdet. Sie müssen vor einer 

Sie haben durch mehrfaches Eingeben weiteren Verwendung der Karte diese 

der falschen Pin die Karte gesperrt. durch die Eingabe der PUK wieder 

Sie müssen vor einer weiteren entsperren. 

Zur Zeit stehen keine geeigneten 

Verwendung der Karte diese durch die 

Eingabe des PUK wieder entsperren. 

Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

Zertifikate zur Verfügung! 

Signaturerzeugung auftreten. nicht gefährdet. Sie müssen 

Möglicherweise wollen Sie eine Datei sicherstellen, dass Sie einen 

273




Managers 

Die Antwort ist nicht vom erwarteten 

Typ BASIC. 

Die Antwort hat nicht die erwartete 

Version. 

Beim Prüfen der Antwort ist ein 

unerwarteter interner Fehler 

aufgetreten. 

Die Antwort enthält mindestens eine 

unbekannte kritische Erweiterung. 

Die Antwort ist nicht Signaturgesetz 

konform (positive Kenntnisaussage 

fehlt). 

Die Antwort enthält eine unleserliche 

Zeitangabe der letzten Überprüfung. 

Der in der OCSP Antwort angegebene 

Zeitpunkt weicht von Ihrer lokalen 

Systemzeit ab. Der angegebene 

Zeitpunkt liegt in der Zukunft. 



signieren und haben keinen 

Kartenleser angeschlossen oder keine 

Chipkarte eingelegt. 




Das Format BASIC ist bisher das 

standardisierte Format für OCSP - 

Antworten. Möglicherweise werden zu 

einem späteren Zeitpunkt neue 

Formate definiert, die vom Produkt 

dann nicht unterstützt werden. 




Die OCSP - Antwort hat nicht die 

erwartete Version. 




Die empfangene OCSP Antwort konnte 

nicht korrekt überprüft werden. 

Möglicherweise sind syntaktische 

Fehler in der OCSP-Antwort 

vorhanden. 

Diese Statusmeldung kann auftreten, 



Kritische Erweiterungen sind 

Antwortzusätze, die Ihnen bei der 

Auswertung der OCSP - Antwort zur 

Kenntnis gelangen sollten. Das 

Produkt OpenLimit SignCubes 


ist nicht in der Lage, diese kritische 

Erweiterung korrekt zu interpretieren. 




In der Antwort ist nicht die Aussage 

enthalten, dass der Herausgeber das 

Zertifikat kennt. 




Der Zeitpunkt der letzten Überprüfung 

gibt an, wann der OCSP-Antwortende 

die Gültigkeit des Zertifikats das letzte 

Mal geprüft hat. Das Zeitformat in der 

OCSP-Antwort für diese Überprüfung 

konnte nicht dekodiert werden. 




Der Zeitpunkt der letzten 


Kartenleser installiert und eine 

Chipkarte eingelegt haben, die vom 

Produkt verwendet werden kann. 




























Signaturzertifikat vertrauen. Sie 

274




Managers 

Die Antwort enthält eine unleserliche 

Zeitangabe der nächsten Überprüfung. 

Die Antwort ist wegen der 

aufgeführten Gründe nicht oder nur 

bedingt vertrauenswürdig. 

Die Antwort gilt nicht für das 

angefragte Zertifikat!! 

Interner Fehler beim Lesen eines 

Zertifikates. 

Die Signatur der Antwort konnte nicht 

geprüft werden. 

Das Zertifikat der Gegenstelle konnte 

nicht gefunden werden: 

Das Zertifikat der Gegenstelle konnte 

nicht positiv geprüft werden. 



Zertifikatsprüfung durch den OCSP- 

Antwortenden liegt gegenüber der 

lokalen Systemzeit in der Zukunft. 




Der Zeitpunkt der nächsten 

Überprüfung gibt an, wann der OCSP- 

Antwortende die Gültigkeit des 

Zertifikats das Nächste mal prüfen 

wird. Das Zeitformat in der OCSP- 

Antwort für diese Überprüfung konnte 

nicht dekodiert werden. 




Diese Meldung erscheint, sobald 

Gründe vorliegen, der empfangenen 

OCSP-Antwort nur bedingt oder nicht 

zu vertrauen. 




Die empfangene Antwort bezieht sich 

nicht auf das angefragte Zertifikat. 

Eine solche Meldung kann ein 

Indikator für die Manipulation der 

Antwort durch Dritte sein (Man in the 

Middle). 




Ein Zertifikat, welches vom Produkt 

benötigt wird, konnte nicht gelesen 

oder dekodiert werden. 




Die Signatur der OCSP Antwort konnte 

nicht verifiziert werden. 

Möglicherweise ist der Hashwert der 

Signatur manipuliert worden oder es 

konnte kein Zertifikat zu der Signatur 

ermittelt werden. 




Nach dem ISIS-MTT Standard sollte das 

Zertifikat des OCSP Antwortenden in 

der OCSP Antwort enthalten sein. Das 

Zertifikat ist in der Antwort aber nicht 

enthalten. 





sollten die lokale Systemzeit 

überprüfen. 






nicht gefährdet. Sie sollten dem 

Zertifikat nicht vertrauen. 



Zertifikat nicht vertrauen und die 

Integrität des Betriebssystems 

überprüfen. 


nicht gefährdet. Sie sollten 

Zertifikaten, die nicht korrekt durch 

das Produkt dekodiert werden können, 

nicht vertrauen. 


nicht gefährdet. Sie müssen 

entscheiden, ob Sie dem Zertifikat 

vertrauen. 






nicht gefährdet. Allerdings kann die 

OCSP Antwort auf Grund veralteter 

275




Managers 

Das Zertifikat der Gegenstelle 

berechtigt nicht zur OCSP-Signatur. 

Die positive Kenntnisaussage ist 

fehlerhaft. 

Es fehlt ein expliziter Hinweis auf die 

Gültigkeit der Antwort trotz 

abgelaufenem Zertifikat. 



Möglicherweise existiert keine 

Sperrliste für die OCSP Signatur oder 

die Sperrliste ist veraltet. Eine 

Sperrliste gilt als veraltet, wenn der in 

der Sperrliste angegebene Zeitpunkt 

für die Erneuerung der Sperrliste auf 

dem lokalen Rechner überschritten 

wurde. 




Das Zertifikat, mit welchem die OCSP 

Antwort signiert wurde, berechtigt den 

Signierenden nicht zu einer OCSP 

Signatur. 




Die positive Kenntnisaussage ist 

entweder nicht vorhanden oder ist 

fehlerhaft. 




Das angefragte Zertifikat ist sowohl 

abgelaufen und die Antwort enthält 

keinerlei Hinweis darauf, ob die 

Gegenstelle Kenntnis vom Status 

dieses Zertifikates hat. 

OCSP Response Interner Fehler Diese Fehlermeldung kann auftreten, 



Es ist ein interner Fehler bei der 

Prüfung der OCSP Antwort 

aufgetreten. 

Die Gültigkeit der Antwort wird nicht 

mehr garantiert. 

Zu dem Zertifikat fehlt das 

Herausgeberzertifikat. 

Zu einem der Herausgeber wurde 

keine Sperrliste gefunden. 




Das Zertifikat ist der Gegenstelle zwar 

bekannt, die Zeit für die 

Informationsaufbewahrung zu dem 

angefragten Zertifikat ist allerdings 

abgelaufen. 

Diese Fehlermeldung kann durch den 

Zertifikatsdetaildialog ausgelöst 

werden. 

In der internen Zertifikatsverwaltung 

wurde das Herausgeberzertifikat nicht 

gefunden. 

Diese Statusmeldung kann im 

Signaturprüfdialog erscheinen. 

Für einen Herausgeber existiert keine 

Sperrliste auf dem lokalen Rechner. 


Sperrlisten nicht korrekt verarbeitet 

werden. Sie sollten die lokalen 

Sperrlisten aktualisieren. 















konnte vom Produkt nicht korrekt 
















sollten die aktuellen Sperrlisten 

276




Managers 

Fehler beim Erzeugen eines 

Zeitstempels. 




abrufen. 

Diese Statusmeldung kann beim Holen 

eines Zeitstempels erscheinen. 

Während des Empfangs des 

Zeitstempels ist ein Fehler 

aufgetreten, so dass der Zeitstempel 

von dem Produkt nicht eingeholt 

werden konnte. 

Fehler beim Holen einer OCSP Antwort. Diese Fehlermeldung kann beim Holen 

einer OCSP Antwort auftreten. 

Möglicherweise besteht keine 

Verbindung zum Internet oder der 

Zu einem der Herausgeberzertifikate 

wurde keine aktuelle Sperrliste 

gefunden. 

Von einem der Herausgeber wurde das 

Zertifikat zurückgezogen 

Die Sperrliste einer der Herausgeber 

hat unbekannte Fehler. 

Von diesem Inhaber ist keine 

Sperrliste vorhanden. 

Die Sperrliste dieses Inhabers ist 

abgelaufen. 

Das Prüfzertifikat ist nach der 

Sperrliste dieses Inhabers 

zurückgezogen. 

Die Sperrliste dieses Inhabers hat 

unbekannte Fehler. 

OCSP Responder ist nicht erreichbar. 



Es ist zwar eine Sperrliste vorhanden, 

jedoch ist diese Sperrliste abgelaufen. 

Sie sollten die Sperrlisten über den 

OpenLimit SignCubes 

Sperrlistenaktualisierungsassistent 

aktualisieren. 



Das Zertifikat wurde durch den 

Herausgeber zurückgezogen (das 

Zertifikat ist in der Sperrliste als 

zurückgezogen markiert). 



Die verwendete hat entweder 

syntaktische Fehler oder enthält 

Zusätze, die vom Produkt nicht 

verarbeitet werden können. 



Zu einem konkreten Herausgeber 

wurde kein Sperrliste gefunden. 



Die Sperrliste des konkreten 

Herausgebers ist abgelaufen. Sie 

sollten die Sperrlisten über den 


Sperrlistenaktualisierungsassistent 

aktualisieren. 



Der konkrete Herausgeber hat dieses 

Zertifikat zurückgezogen. 



Die Sperrliste dieses konkreten 


nicht gefährdet. Sie können 

versuchen, den Zeitstempel erneut 

einzuholen. 


nicht gefährdet. Sie können 

versuchen, eine erneute OCSP Abfrage 

durchzuführen. 





sollten die aktuellen Sperrlisten 

abrufen. 





nicht gefährdet. Sie sollten die 

aktuellen Sperrlisten abrufen und den 

Vorgang wiederholen. Zusätzlich 

sollten Sie eine OCSP Abfrage zu dem 

Zertifikat durchführen. 















277




Managers 

Sie vertrauen keinem der 

Wurzelzertifikate! 

Das Modul besitzt eine ungültige 

Signatur. Das Programm wird beendet. 




Herausgebers weist Fehler auf. Vorgang wiederholen. 



Diese Meldung sagt aus, dass keinem 

der Wurzelzertifikate vertraut wird. 

Diese Fehlermeldung kann beim Start 

des OpenLimit SignCubes Security 

Environment Managers generiert 

werden. 

Diese Meldung sagt aus, dass die 

Signatur des angegebenen Programm- 

Moduls beschädigt ist oder die 

Originaldaten (das Modul) und die 

Signaturdatei nicht zueinander 

passen. Aus Sicherheitsgründen wird 

die Anwendung OpenLimit SignCubes 


in diesem Falle beendet. 

Das Zertifikat wurde nicht geprüft. Diese Statusmeldung kann im 


Diese Statusmeldung sagt aus, dass 

die Zertifikate nicht geprüft wurden. 

Die zu signierenden Daten wurden vor 

der Signaturerzeugung verändert! 

Der eingesetzte Hashalgorithmus wird 

als ungeeignet eingestuft. 

Diese Statusmeldung kann immer 

dann auftreten, wenn Sie eine digitale 

Signatur über einen der 

Produktbestandteile erzeugen wollen. 

Diese Meldung sagt aus, dass die 

Originaldaten, die vom 

Produktbestandteil zur Signatur an 

den OpenLimit SignCubes Security 

Environment Manager übergeben 

wurden, zwischenzeitlich verändert 

wurden. 

Diese Fehlermeldung kann bei der 

Signaturverifikation auftreten. 

Diese Meldung sagt aus, dass für die 

Signaturerzeugung ein 

Hashalgorithmus verwendet wurde, 

der für die Erzeugung qualifizierter 

Signaturen nicht zulässig ist. 






nicht gewährleistet. Sie müssen mit 

Hilfe des zur Verfügung stehenden 

Integritätschecks die gesamte 

Installation überprüfen. Sie müssen 

das Produkt deinstallieren und erneut 

installieren. 





Alternativ sollten Sie eine OCSP 

Abfrage zu dem Zertifikat 

durchführen. 

Der sichere Zustand des Produktes 

kann gefährdet sein. Der sichere 

Zustand ist nur dann nicht gefährdet, 

wenn Sie nicht selbst aus Versehen die 

Daten zwischenzeitlich geändert 

haben. In jedem anderen Fall sollten 

Sie die Arbeit mit dem Produkt 

einstellen und eine Integritätsprüfung 

des Produktes vornehmen. Wird bei 

der Integritätsprüfung keine 

Veränderung des Produktes entdeckt, 

sollte mit Hilfe eines Virenscanners 

der Rechner auf böswillige Programme 

hin untersucht werden. 

Das Produkt nimmt in diesem Falle 

einen sicheren Zustand ein, da die 

Funktionen zur Signaturerzeugung 

und Signaturverifikation durch den 

OpenLimit SignCubes Security 

Environment Manager in diesem Falle 

deaktiviert werden. 

Sie sollten sich über die 

Veröffentlichungen der 

Bundesnetzagentur unter 

www.bundesnetzagentur.de 

informieren, welcher Hashalgorithmus 

zulässig ist. 

278





Managers 


Die verwendeten Signaturparameter Diese Fehlermeldung kann bei der Sie sollten sich über die 

werden als ungeeignet eingestuft. Signaturverifikation auftreten. Veröffentlichungen der 

Diese Meldung sagt aus, dass für die Bundesnetzagentur unter 

Signaturerzeugung entweder ein www.bundesnetzagentur.de 

Hashalgorithmus verwendet wurde, informieren, welcher Hashalgorithmus 

der für die Erzeugung qualifizierter und welche Schlüssellängen zulässig 

Signaturen oder die verwendete sind. 

Die verwendeten Algorithmen 

Schlüssellänge nicht zulässig ist. 

Diese Fehlermeldung kann bei der Sie sollten sich über die 

entsprechen nicht den Prüfvorgaben. Signaturprüfung auftreten. 

Veröffentlichungen der 

Diese Meldung weist darauf hin, dass Bundesnetzagentur unter 

ein Hashalgorithmus verwendet www.bundesnetzagentur.de 

wurde, der nicht den Vorgaben der informieren, welcher 

Bundesnetzagentur entspricht. Dieser Hashalgorithmus und welche 

Hinweis erscheint in der Schlüssellängen zulässig sind. 

Zusammenfassung des Prüfdialogs. 

Die von der Karte erzeugte Signatur Diese Fehlermeldung kann bei der Der sichere Zustand des Produktes ist 

entspricht nicht den zu signierenden Signaturerzeugung auftreten. gefährdet. Sie sollten den OpenLimit 

Daten! 

Diese Meldung sagt aus, dass nicht der SignCubes Security Environment 

Hashwert signiert wurde, der Manager beenden und den Rechner 

beabsichtigt wurde. 

herunterfahren, um sicherzugehen, 

dass sich keine digitalen Signaturen 

mehr im Speicher befinden. 

Ein Fehler ist bei der Initialisierung Diese Fehlermeldung kann beim Start Der sichere Zustand des Produktes 

aufgetreten. Das Programm kann nicht des Assistenten zur kann gefährdet sein. Sie sollten mit 

weiter ausgeführt werden. Wenden Sie Sperrlistenaktualisierung generiert dem zur Verfügung stehenden 

sich bitte an die Online-Hilfe und werden. 

Prüfprogramm die Integrität der 

prüfen Sie Ihre Installation. 

Bei der Sperrlistenaktualisierung ist Installation überprüfen. 

ein Fehler bei der Initialisierung des 


Sperrlistenaktualisierungsassistenten 

aufgetreten, der eine weitere 

Benutzung des Sperrlisten 

Aktualisierungsassistenten unmöglich 

macht. 

279


12.4 Fehlermeldungen des OpenLimit SignCubes Viewer 

Der OpenLimit SignCubes Viewer kann ebenfalls Fehlermeldungen generieren, die in der folgenden Tabelle 

aufgelistet sind. 

Grundsätzlich gilt: Wenn eine Fehlermeldung generiert wird, über deren Bedeutung Sie sich nicht sicher 

sind, sollten Sie das Dokument nicht signieren. 


SignCubes Viewer 

Das Format der Datei ist nicht 

geeignet! 

Sie verfügen nicht über die benötigte 

Lizenz, um Dateien dieses Formates 

anzuzeigen! 

Es steht keine gültige Lizenz zur 

Verfügung. Das Programm wird 

beendet. 

Fehlerursache Auswirkungen auf den sicheren 


Diese Fehlermeldung kann beim 

Öffnen einer Datei mit dem OpenLimit 

SignCubes Viewer direkt durch diese 

oder beim Öffnen einer Datei über den 

Signaturanforderungsdialog generiert 

werden. 

Sie haben versucht, eine Datei mit 

dem OpenLimit SignCubes Viewer zu 

öffnen, die weder als PDF, TIFF noch 

als Text Datei erkannt wurde. Diese 

Fehlermeldung wird Ihnen auch dann 

angezeigt, wenn aktive Inhalte in dem 

Dokument vorhanden sind. 



SignCubes Viewer generiert werden. 

Sie haben versucht, eine Datei mit 

dem OpenLimit SignCubes Viewer zu 

öffnen, die entsprechend dem 

Funktionsumfang der installierten 

Lizenz nicht geöffnet werden kann. 

Diese Fehlermeldung wird generiert, 

wenn der Viewer auf einem PC 

gestartet wird, auf dem keine Lizenz 

für die OpenLimit SignCubes 



Sie haben versucht, den OpenLimit 

SignCubes Viewer zu starten, obwohl 

keine Lizenz für die OpenLimit 


Version 2.5.0.3 installiert ist. 



nicht gefährdet. Sie sollten die Datei 

nicht signieren, wenn Sie für die Daten 

über kein sicheres Anzeigemodul 

verfügen. 



Diese Fehlermeldung wird Ihnen nur 

angezeigt, falls Sie eine Datei mit dem 

Viewer öffnen wollen und über keine 

Lizenz verfügen (auch nicht über eine 

Reader-Lizenz). 

Wenn diese Fehlermeldung erscheint, 

ist die Lizenzdatei von Ihrem Rechner 

entfernt worden. Der sichere Zustand 

des Produktes ist nicht betroffen, 

jedoch sollten Sie mit einem 

geeigneten Programm (Virenscanner 

etc.) die Integrität Ihres 

Betriebssystems überprüfen. Eventuell 

haben unberechtigte Dritte Zugriff auf 

Ihren Rechner erlangt. 

280




Die Schriftart 'Courier New', die für die 

Darstellung von Text verwendet wird, 

wurde auf diesem Computer nicht 

gefunden oder stimmt nicht mit der 

Originalinstallation überein. 



Diese Fehlermeldung tritt auf, wenn 

die Datei cour.ttf auf dem Computer 

nicht vorhanden ist oder von der 

Dateiversion abweicht, die der 

Originalinstallation entspricht. Diese 

Fehlermeldung wird beim Start des 

OpenLimit SignCubes Viewers 

gemeldet bzw. beim Öffnen eines 

Textdokuments. 

Fehler beim Zugriff auf die Datei! Diese Fehlermeldung kann beim 





werden. 

Beim Zugriff auf die zu öffnende Datei 

(Kommandozeile oder Menübefehl) ist 

ein Fehler aufgetreten. Die Datei 

existiert nicht oder kann nicht gelesen 

Die Datei enthält sowohl 'DOS' als auch 

'Windows' Umlaute. Eine korrekte 

Darstellung ist u.U. nicht möglich. 

Die Datei enthält Zeichen, für die keine 

eindeutige Darstellung definiert ist. 

werden. 

Diese Fehlermeldung kann während 

der Untersuchung von 

Textdokumenten auftreten. 

Das Textdokument enthält Zeichen, die 

als Umlaute in der Windows 

Darstellung erkannt werden. Darüber 

hinaus sind aber auch Zeichen in dem 

Dokument vorhanden, die als Umlaute 

in der DOS Codierung interpretiert 

werden. 

Diese Fehlermeldung kann während 

der Untersuchung von 

Textdokumenten auftreten. 

Das Dokument enthält Zeichen, für die 

in verschiedenen Schriftsätzen 

verschiedene Darstellungen definiert 

sind. 



betroffen. Sie sollten überprüfen, ob 

die Datei cour.ttf auf dem Rechner 

vorhanden ist. Sie sollten keine 

Signaturen an Text-Dokumenten 

vornehmen, da die korrekte 

Darstellung nicht mehr gewährleistet 

werden kann. 


nicht gefährdet. Sie sollten den 



nicht gefährdet. Sie sollten eine 

Untersuchung des Textdokuments wie 

im Kapitel Arbeiten mit dem SignCubes 

Viewer beschrieben, vornehmen. 


nicht gefährdet. Sie sollten eine 

Untersuchung des Textdokuments wie 

im Kapitel Arbeiten mit dem OpenLimit 

SignCubes Viewer beschrieben, 

vornehmen. 

281




Die TIFF Datei hat eine Größe von . 

Sie enthält freie (scheinbar 

ungenutzte) Bereiche mit einer 

Gesamtgröße von . 

Fehler in TIFF-Struktur: Tag 

'StripOffset' Zeiger ohne 

Größenangabe! 

Fehler in TIFF-Struktur: Tag 

'TileOffsets' ohne 'TileByteCount' 

gefunden! 








werden. 

Eine TIFF-Datei wurde geöffnet, deren 

Inhalt nicht vollständig durch die 

enthaltenen Tags belegt wird. Die 

durch angegebene Anzahl von 

Bytes der Datei wird durch den 

‚offiziellen’ Dateiinhalt nicht 

verwendet und kann verborgene 

Inhalte enthalten. Die Meldung wird 

ausgegeben, wenn die Zahl der nicht 

adressierten Bytes mehr als 50 

beträgt. In jedem Fall können diese 

Bytes unter ‚Ansicht / Weitere 

Dateiinhalte’ betrachtet werden. 

(Einzelne nicht belegte Bytes bzw. 

kleinere ungenutzte Dateibereiche 

sind in TIFF-Dateien normal. Sie 

entstehen durch Füllbytes, die bei der 

Anordnung von Tabellen auf WORD- 

oder DWORD-Grenzen erforderlich 

werden, aber auch durch die 

Bearbeitung der TIFF-Datei.) 






werden. 

Interner Fehler in der TIFF-Struktur. 

Der Inhalt kann u.U. nicht korrekt 

angezeigt werden. Weitere 

Fehlermeldungen sind möglich. Diese 

Meldung kann nur im Fall einer 

beschädigten TIFF-Datei auftreten. 






werden. 

Interner Fehler in der TIFF-Struktur. 

Der Inhalt kann u.U. nicht korrekt 

angezeigt werden. Weitere 

Fehlermeldungen sind möglich. Diese 

Meldung kann nur im Fall einer 

beschädigten TIFF-Datei auftreten. 



nicht gefährdet. Sie müssen die 

enthaltenen Daten in dem Dokument 

genauer untersuchen. Sie müssen 

selbst entscheiden, ob Sie das 

Dokument signieren wollen oder nicht. 













282




Fehlendes Tag! Diese Fehlermeldung kann beim 





werden. 

Es wurde ein Tag nicht gefunden. Es 

ist ein Fehler im Programm 



aufgetreten. 

Fehlerhafter TagType! Diese Fehlermeldung kann beim 





werden. 

Fehler in der TIFF-Struktur. Der Typ 

eines Tag’s entspricht nicht der 

Spezifikation. Weitere 

Fehlermeldungen sind möglich. (Tritt 

beim Markieren eines Tag’s auf, wenn 

dieses Tag nicht der Spezifikation 

Fehler in DataLength (erwartet 'X' 

gefunden 'Y') 

entspricht.) 






werden. 

Fehler in der TIFF-Struktur. Der 

Datenumfang eines Tag’s entspricht 

nicht der Spezifikation. Tritt nur auf, 

wenn die Spezifikation den 

Datenumfang des Tag’s explizit 

festlegt und das Tag dieser Festlegung 

nicht entspricht. Weitere 




entspricht.) 









nicht gefährdet. Der Benutzer muss 

die enthaltenen Daten in dem 

Dokument genauer untersuchen. Der 

Benutzer muss selbst entscheiden, ob 

er das Dokument signieren will oder 

nicht. 







283




Fehler in DataLength (erwartet 'X1' 

oder 'X2' gefunden 'Y') 

Fehler in DataType (erwartet '2' (ASCII) 

gefunden '') 

Fehler in Datei! Zeiger außerhalb des 

Bereichs! 








werden. 


Datenumfang eines Tag’s entspricht 

nicht der Spezifikation. Tritt nur auf, 

wenn die Spezifikation den 

Datenumfang des Tag’s explizit 

festlegt und das Tag dieser Festlegung 

nicht entspricht. Weitere 




entspricht.) 






werden. 


Datentyp eines Tag's entspricht nicht 

der Spezifikation. Tritt nur auf, wenn 

die Spezifikation den Datentyp des 

Tag's explizit festlegt und das Tag 

dieser Festlegung nicht entspricht. 

Weitere Fehlermeldungen sind 

möglich. 






werden. 

Es ist ein Fehler in der TIFF-Datei 

aufgetreten. Eine Adresse in der 

Struktur der TIFF-Datei verweist auf 

Daten, die hinter dem Ende der Datei 

liegen. Tritt auf, wenn die TIFF-Datei 

unvollständig ist (abgeschnitten) oder 

die Adressdaten in der Datei 

beschädigt wurden. Weitere 

Fehlermeldungen sind zu erwarten. 




















284




Fehler in Datei! Überschneidung! Diese Fehlermeldung kann beim 





werden. 

Fehler in der TIFF-Datei. Eine Adresse 

in der Struktur der TIFF-Datei verweist 

auf Daten, die in einem Bereich der 

Datei liegen, in dem bereits andere 

Daten identifiziert wurden. Tritt auf, 

wenn die Adressdaten in der Datei 

beschädigt wurden. Weitere 

Die Signaturkomponente konnte nicht 

initialisiert werden! 

Auf die Datei '' kann nicht 

zugegriffen werden: 

Beim Laden des TIFF-Bildes ist ein 

Fehler aufgetreten: 



Fehlermeldungen sind zu erwarten. 






werden. 

Das SignCubes Job Interface steht 

nicht zur Verfügung. Dies ist ein 

kritischer Fehler. Sie sollten mit dem 

OpenLimit SignCubes Integrity Tool die 

korrekte Installation des Produktes 

auf dem Arbeitsplatz überprüfen. 






werden. 

Die Datei wurde ursprünglich 

geöffnet und gelesen, steht bei einem 

späteren Zugriff jedoch nicht mehr zur 

Verfügung. Die Fehlermeldung des 

Betriebssystems steht in einer zweiten 

Zeile. 






werden. 

Es wurde ein Fehler festgestellt, der 

sich auf die Struktur der TIFF-Datei 

bzw. die Auswertung des Inhalts 

bezieht. Beispiel: Nicht unterstützte 

Kompressionsverfahren oder Fehler in 

der Dateistruktur. Eine genaue 

Bezeichnung des Fehlers - in 

englischer Sprache - steht in der 

zweiten Zeile. 








Der sichere Zustand des Produktes 

kann nicht gewährleistet werden. Sie 

sollten mit dem zur Verfügung 

stehenden Modul zur 

Integritätsprüfung die Integrität der 

Installation auf dem Rechner 

überprüfen. 


nicht gefährdet. Sie sollten den 



nicht gefährdet. Allerdings kann das 

Dokument nicht angezeigt werden. Sie 

müssen entscheiden, ob Sie das 

Dokument trotzdem signieren 

möchten, obwohl kein sicheres 

Anzeigemodul zur Verfügung steht. 

285




Es sind Java Script Elemente 

im Dokument enthalten. 



Diese Fehlermeldung wird generiert, 

wenn der OpenLimit SignCubes Viewer 

Java Script Elemente identifiziert hat. 

Sie sollten sich über den Menüpunkt 

'Weitere Dateiinhalte' über den Inhalt 

der Java Scripte informieren. 

Fehler in der Datenlänge Diese Fehlermeldung kann beim 

Öffnen eines PDF Dokuments 


Fehler im Zugriff auf die Datei! Diese Fehlermeldung kann beim 

Öffnen eines Dokuments angezeigt 

werden. 

Das Modul besitzt 

eine ungültige Signatur! Das 

Programm wird beendet. 

Das Modul konnte 

nicht geladen werden! Das Programm 

wird beendet. 

Das Dokument ist beschädigt und 

muss repariert werden. 

Diese Fehlermeldung kann Ihnen beim 

Start des Viewers angezeigt werden. 

Diese Fehlermeldung kann Ihnen beim 

Start des Viewers angezeigt werden. 






nicht gefährdet. Sie sollten sich 

jedoch über den Inhalt der Java Script 

Elemente über den Menüpunkt 

'Weitere Dateiinhalte' informieren. 

Im Zweifelsfall sollten Sie die 

Unterzeichnung des Dokuments nicht 

fortsetzen. 


nicht gefährdet, jedoch sollten Sie die 

Datei nicht weiter verarbeiten, da ein 

Fehler in der internen 

Dokumentstruktur vorliegt. 


nicht gefährdet. Sie haben jedoch eine 

Datei ausgewählt, die nicht geöffnet 

werden kann. Beispielsweise kann die 

Datei exklusiv durch eine dritte 


nicht mehr gewährleistet. Das 

Programm wird beendet. Sie sollten 

mit dem zur Verfügung stehenden 

Modul zur Integritätsprüfung die 

Integrität der Installation auf dem 

Rechner überprüfen und sicherstellen, 

dass nicht unberechtigte Dritte Zugriff 

auf Ihren Rechner haben. 


nicht mehr gewährleistet. Das 

Programm wird beendet. Sie sollten 

mit dem zur Verfügung stehenden 

Modul zur Integritätsprüfung die 

Integrität der Installation auf dem 

Rechner überprüfen und sicherstellen, 

dass nicht unberechtigte Dritte Zugriff 

auf Ihren Rechner haben. 


nicht betroffen. Der Viewer hat jedoch 

erkannt, dass das vorliegende 

Dokument nicht verarbeitet oder 

angezeigt werden kann. 

Eine solches Dokument sollten Sie 

nicht signieren. 

286




Die Datei-Ende Markierung (EOF) 

wurde nicht gefunden. 

Die Datei konnte nicht geöffnet 

werden. 

Ein unerwarteter Fehler ist 

aufgetreten! 

- es sind alternative Abbildungen 

enthalten 

- es sind Anweisungen zur Ausführung 

externer Programme enthalten 

- es sind Verweise auf externe Dateien 

enthalten 

- es sind Verzweigungen auf 

externe Dokumente enthalten 

- es sind Anweisungen zum Verbergen 

von Inhalten enthalten 









Diese Fehlermeldung wird angezeigt, 

wenn ein Fehler aufgetreten ist, der 

eine weitere Verarbeitung der Daten 

unmöglich macht. 

Diese Meldung kann Ihnen beim Öffnen 

eines PDF Dokuments angezeigt 

werden. 



werden. 



werden. 



werden. 



werden. 



nicht betroffen. Der Viewer hat jedoch 

erkannt, dass das vorliegende 

Dokument einen syntaktischen Fehler 

enthält. 

Ein solches Dokument sollten Sie nicht 

signieren. 


nicht gefährdet, die Datei konnte 

jedoch nicht geöffnet werden. 



Sie sollten die laufende Operation 

jedoch abbrechen bzw. den Viewer 

schließen. 


nicht betroffen, jedoch hat der Viewer 

erkannt, dass Anweisungen in dem PDF 

Dokument vorhanden sind, die nicht 

ausgeführt werden können. 

Sie sollten eine solche Datei nicht 

signieren. 







signieren. 







signieren. 












Si llt i l h D t i i ht 

287




- es sind Anweisungen zum Zugriff auf 

das Internet enthalten 

- es sind Anweisungen zum Abspielen 

von Media-Clips enthalten 

- es sind Anweisungen zur Ausführung 

benannter Aktionen enthalten 





werden. 



werden. 



werden. 

- es sind optionale Inhalte enthalten Diese Meldung kann Ihnen beim Öffnen 


werden. 

- es sind Anweisungen zur Steuerung 

von Media-Clips enthalten 

- es sind Anweisungen zur 

Übermittlung von Formulardaten 

enthalten 


von Sound enthalten 

- es sind Anweisungen zur Steuerung 

besonderer Lesereihenfolgen 

enthalten 



werden. 



werden. 



werden. 



werden. 







Si llt i l h D t i i ht 



















i i 







signieren. 







i i 







signieren 







signieren. 

288




- es wird Transparenz verwendet Diese Meldung kann Ihnen beim Öffnen 


werden. 

- es wurden Inhalte entdeckt, die nicht 

zum Dokument gehören 


von Filmen enthalten 

Das Dokument hat eine neuere Version 

als 1.6 und kann aus diesem Grund u.U. 

nicht eindeutig und fehlerfrei 

dargestellt werden. 

Es steht der Anwendung nicht 

genügend Speicher zur Verfügung! 

Bitte beenden Sie die Anwendung und 

starten Sie diese neu. 





werden. 



werden. 



werden. 

Diese Meldung kann Ihnen bei der 

Verwendung des Text- 

Extraktionsdialogs des Viewers 









signieren. 







signieren. 







signieren. 

Der sichere Zustand ist nicht 

betroffen. sie haben jedoch ein 

Dokument geöffnet, welches eine PDF- 

Version spezifiziert, die größer als die 

erwartete Version 1.6 ist. 

Das bedeutet, dass die Datei unter 

Umständen nicht korrekt angezeigt 

wird. Sie sollten eine solche Datei 

nicht signieren, da der Viewer die 

zweifelsfreie Darstellung des 

Dokuments nicht gewährleisten kann. 

Der sichere Zustand ist nicht 

betroffen. Sie sollten jedoch den 

Viewer schließen und das Dokument 

erneut öffnen. 

Unter bestimmten Umständen stellt 

das Betriebssystem nicht genügend 

Speicher für die Anwendung zur 

Verfügung. Um eine Missinterpretation 

der Daten auszuschließen, sollten Sie 

das Dokument jedoch schließen und 

erneut öffnen. Sie sollten das 

Dokument jedoch nicht signieren, 

bevor Sie den Inhalt des Dokuments 

nicht zweifelsfrei erkennen konnten. 

289


12.5 Technischer Support 

13 Index 

Bei Fragen in der Arbeit mit dem Produkt OpenLimit SignCubes 2.5 sollten Sie zunächst die Beschreibung 

in dem entsprechenden Kapitel des elektronischen Handbuches bzw. in der Benutzerdokumentation der 

OpenLimit SignCubes 2.5 nachlesen. 

Fehlermeldungen und Erklärungen finden Sie im Kapitel Erste Hilfe. 

Darüber hinaus steht Ihnen zur Unterstützung für die Software OpenLimit SignCubes 2.5 ein telefonischer 

Support zur Verfügung. Weitere Informationen zum technischen Support und zu häufig gestellten Fragen 

(FAQ) finden Sie im Internet unter: www.OpenLimit.com. 

Vorab sollten Sie sich darüber informieren, welche Softwareversion Sie installiert haben. Diese Meldung 

finden Sie unter Start - Programme - OpenLimit - Show Version. 

A 

Adobe Plugin • 167 

Adobe Plugin Grundeinstellungen • 168 

Arbeiten mit dem OPENLiMiT SignCubes Integrity Tool • 87 

Arbeiten mit dem OPENLiMiT SignCubes Security Environment Manager • 73 

Arbeiten mit dem OPENLiMiT SignCubes Viewer • 101 

Arbeiten mit den OPENLiMiT SignCubes Basiskomponenten 2.5, Version 2.5.0.2 • 73 

Arbeiten mit Lotus Notes 6.5.4 • 247 

290


Arbeiten mit Mozilla / Netscape Mail • 217 

Arbeiten mit Thunderbird • 236 

Arbeitsabläufe • 138 

Attributzertifikate • 126 

B 

Betriebssysteme • 20 

Bevor Sie beginnen • 10 

Chipkarten • 23 

C 

Chipkarten Optionen • 65 

D 

Dateien und Icons im Explorer • 166 

Dateiformate • 138 

Daten entschlüsseln • 163 

Daten verschlüsseln • 156 

Der OPENLiMiT SignCubes Drucker • 174 

Details • 144 

Die erste Signatur mit OPENLiMiT SignCubes • 164 

Drucker Eigenschaften - Dateiformate • 183 

Drucker Eigenschaften - Dateiname erstellen • 185 

291


Drucker Eigenschaften - Einstellungen • 181 

Drucker Eigenschaften - Embed Annotation • 191 

Drucker Eigenschaften - Programm - Start • 187 

Drucker Eigenschaften - Wasserzeichen • 189 

E 

Eigenschaften • 66 

Eigenschaften des Druckers • 180 

Einleitung • 9 

E-Mail Clients • 193 

Entschlüsselung • 162 

Erste Hilfe • 263 

Erstellen Prüfprotokoll • 150 

F 

Fehlermeldungen des OPENLiMiT SignCubes Viewer • 280 

Fehlermeldungen OPENLiMiT SignCubes Security Environment Manager • 46, 268 

Fehlermeldungen vor oder während der Installation • 266 

Freischalten der Lizenz • 17 

G 

Grundlagen der elektronischen Signatur • 25 

292

Installation • 14 

Internet Explorer • 252 

Kartenleser • 21 

I 


K 

Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.5, Version 2.5.0.2 • 10, 50, 55 

Konfigurationsoptionen des OPENLiMiT SignCubes Security Environment Managers • 51 

L 

Lotus Notes • 241 

Lotus Notes 5 • 250 

Lotus Notes 6.5.4 Sicherheitseinstellungen • 242 

M 

Microsoft Outlook Einstellungen • 194 

Microsoft Outlook und Microsoft Outlook Express • 193 

Mindestanforderungen und Sicherheitsmaßnahmen • 12 

Mozilla / Netscape Browser Sicherheitseinstellungen • 258 

Mozilla / Netscape Mail • 202 

Mozilla / Netscape Mail Client Sicherheitseinstellungen • 203 

Mozilla / Netscape SSL Authentisierung • 262 

Mozilla Firefox Browser Sicherheitseinstellungen • 253 

293


Mozilla Firefox SSL Authentisierung • 257 

Mozilla Thunderbird • 221 

O 

Online Prüfung von Zertifikaten • 145 

Online Status • 147 

OPENLiMiT SignCubes Integrity Tool • 48 

OPENLiMiT SignCubes Security Environment Manager • 43 

OPENLiMiT SignCubes Shell Extension • 164 

OPENLiMiT SignCubes Viewer • 46 

Option 

Algorithmen • 64 

Allgemeine Einstellungen • 54 

Lizenzeinstellungen und Lizenzupgrade • 53 

PIN-Abfrage • 59 

Verzeichnisse • 58 

Zertifikate • 62 

P 

PDF Dokument signieren • 170 

PIN ändern • 71 

Produktbestandteile • 11, 24 

294

Public Key Verfahren • 27 


R 

Rechtliche Aspekte der elektronischen Signatur • 32 

S 

Shell Extension Menü • 165 

Sicherheitskomponenten der OPENLiMiT SignCubes Basiskomponenten 2.5, Version 2.5.0.2 • 36, 107 

Signatur im PDF prüfen • 171 

Signatur prüfen • 142 

Signaturerzeugung • 28, 121 

Signaturverifikation • 30, 77 

Signieren • 140, 248 

Signieren und Verschlüsseln • 198 

Sperrlistenaktualisierung • 97 

SSL Authentisierung • 251 

T 

Technischer Support • 290 

Thunderbird Sicherheitseinstellungen • 222 

Typografische Konventionen • 10 

V 

Verschlüsselung • 155 

295


Verschlüsselungszertifikat exportieren • 158 

Verschlüsselungszertifikate in Kontakt integrieren • 200 

Verzeichnisdienst • 160 

W 

Wie gehe ich mit Fehlermeldungen um? • 263 

Z 

Zeitstempeldienste • 131 

Zertifikate exportieren • 69, 70 

Zertifikate installieren • 158 

Zusammenfassung • 143 

296

OpenLimit Benutzerdokumentation

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?