OpenLimit Benutzerdokumentation
OpenLimit Benutzerdokumentation
OpenLimit Benutzerdokumentation
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Elektronisc<br />
hes<br />
Handbuch<br />
<strong>OpenLimit</strong><br />
SignCubes<br />
2.5.0.3<br />
Elektronisches Handbuch<br />
<strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Stand: 23.02.2011
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Copyright © <strong>OpenLimit</strong> SignCubes AG 2011<br />
Diese Dokumentation ist geistiges Eigentum der <strong>OpenLimit</strong> SignCubes AG.<br />
Sie darf ohne vorherige schriftliche Einwilligung der <strong>OpenLimit</strong> SignCubes AG nicht (auch nicht in<br />
Auszügen) vervielfältigt oder veröffentlicht werden, unabhängig von der Art und Weise oder mit welchen<br />
Mitteln, elektronisch oder mechanisch, dieses geschieht. Die in dieser Dokumentation verwendeten Softoder<br />
Hardwarebezeichnungen sind genauso wie Firmen- oder Markennamen in den meisten Fällen<br />
eingetragene Warenzeichen oder Marken und Eigentum der jeweiligen Hersteller. Sie werden ohne<br />
Gewährleistung der freien Verwendbarkeit benutzt. Wir richten uns im Wesentlichen nach den<br />
Schreibweisen der Hersteller. Die Wiedergabe von Waren- und Handelsnamen etc. in dieser Dokumentation<br />
- auch ohne besondere Kennzeichnung - berechtigt nicht zu der Annahme, dass solche Namen im Sinne der<br />
Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten sind.<br />
Alle in dieser Dokumentation enthaltenen Informationen wurden mit größter Sorgfalt zusammengestellt.<br />
Dennoch können fehlerhafte Angaben nicht völlig ausgeschlossen werden. Die <strong>OpenLimit</strong> SignCubes AG,<br />
die Autoren und die Übersetzer haften nicht für eventuelle Fehler oder deren Folgen. In dieser<br />
Dokumentation werden insbesondere Informationen über Signaturgesetze und entsprechende<br />
Verordnungen gegeben. Diese Informationen sollen zum Verständnis beitragen und haben nicht den<br />
Anspruch auf Vollständigkeit. Es obliegt jedem Nutzer selbst, sich über die gesetzlichen Grundlagen, auf<br />
denen die beschriebene Technologie beruht, zu informieren und die entsprechenden Maßnahmen zu<br />
ergreifen.<br />
Diese Dokumentation bietet dem Erwerber eine Anleitung zu den <strong>OpenLimit</strong> SignCubes Basiskomponenten<br />
2.5, Version 2.5.0.3. In Einzelfällen kann es zu Abweichungen zwischen den beschriebenen Abläufen, der<br />
Dokumentation und der tatsächlichen Anwendung kommen. Die <strong>OpenLimit</strong> SignCubes AG übernimmt keine<br />
Haftung für etwaige Abweichungen und deren Folgen.<br />
Da die Software ständig weiter entwickelt wird, behält sich die <strong>OpenLimit</strong> SignCubes AG Änderungen am<br />
Inhalt der Dokumentation ohne Ankündigung vor.<br />
Das Handbuch beschreibt sowohl die Sicherheitsfunktionalität als auch die korrekte Konfiguration und den<br />
richtigen Umgang mit den Produkten <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3. Die<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 wurden einer Evaluierung nach Common<br />
Criteria v2.3 mit Prüfniveau EAL4+ unterzogen und haben eine Sicherheitsbestätigung durch das<br />
Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Mehr Informationen zur<br />
Produktzertifizierung finden Sie auf den Webseiten des BSI unter http://www.bsi.de und der<br />
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur)<br />
unter http://www.bundesnetzagentur.de.<br />
2
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Dieses Handbuch gehört zum Lieferumfang des bestätigten Produktes.<br />
Die Verfahrens-ID für das Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 lautet T-<br />
Systems.02241.TU. Die Sicherheitsvorgaben und die Zertifizierungsreporte können in englischer Sprache<br />
von den Webseiten des Bundesamtes für Sicherheit in der Informationstechnik bezogen werden.<br />
Hinweise und Kommentare richten Sie bitte an documentation@<strong>OpenLimit</strong>.com.<br />
<strong>OpenLimit</strong> SignCubes AG<br />
Zugerstraße 76 B<br />
CH - 6341 Baar<br />
Switzerland<br />
www:openLimit.com<br />
3
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Inhaltsverzeichnis<br />
1 Einleitung 9<br />
1.1 Typografische Konventionen 10<br />
1.2 Bevor Sie beginnen 10<br />
1.3 Mindestanforderungen und Sicherheitsmaßnahmen 12<br />
1.4 Installation 14<br />
1.5 Freischalten der Lizenz 17<br />
1.6 Betriebssysteme 20<br />
1.7 Kartenleser 21<br />
1.8 Chipkarten 23<br />
1.9 Produktbestandteile 24<br />
2 Grundlagen der elektronischen Signatur 25<br />
2.1 Public Key Verfahren 27<br />
2.2 Signaturerzeugung 28<br />
2.3 Signaturverifikation 30<br />
2.4 Rechtliche Aspekte der elektronischen Signatur 32<br />
3 Sicherheitskomponenten der <strong>OpenLimit</strong> SignCubes Basiskomponenten 36<br />
3.1 <strong>OpenLimit</strong> SignCubes Security Environment Manager 43<br />
3.2 <strong>OpenLimit</strong> SignCubes Viewer 46<br />
3.3 <strong>OpenLimit</strong> SignCubes Integrity Tool 48<br />
4 Konfiguration der <strong>OpenLimit</strong> SignCubes Basiskomponenten 50<br />
4.1 Konfigurationsoptionen des <strong>OpenLimit</strong> SignCubes Security Environment Managers 51<br />
4.1.1 Option: Lizenzeinstellungen und Lizenzupgrade 53<br />
4.1.2 Option: Allgemeine Einstellungen 54<br />
4.1.3 Option: Verzeichnisse 58<br />
4.1.4 Option: PIN-Abfrage 59<br />
4
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
4.1.5 Option: Zertifikate 62<br />
4.1.6 Option: Algorithmen 64<br />
4.2 Chipkarten Optionen 65<br />
4.3 Eigenschaften 66<br />
4.3.1 Zertifikate exportieren 70<br />
4.3.2 PIN ändern 71<br />
5 Arbeiten mit den <strong>OpenLimit</strong> SignCubes Basiskomponenten 73<br />
5.1 Arbeiten mit dem <strong>OpenLimit</strong> SignCubes Security Environment Manager 73<br />
5.2 Signaturverifikation 77<br />
5.3 Arbeiten mit dem <strong>OpenLimit</strong> SignCubes Integrity Tool 87<br />
5.4 Sperrlistenaktualisierung 97<br />
5.5 Arbeiten mit dem <strong>OpenLimit</strong> SignCubes Viewer 101<br />
5.6 Signaturerzeugung 121<br />
5.7 Attributzertifikate 126<br />
5.8 Zeitstempeldienste 131<br />
5.9 XML Signaturen 134<br />
6 Arbeitsabläufe 138<br />
6.1 Dateiformate 138<br />
6.2 Signieren 140<br />
6.3 Signatur prüfen 142<br />
6.3.1 Zusammenfassung 143<br />
6.3.2 Details 144<br />
6.3.3 Online Prüfung von Zertifikaten 145<br />
6.3.4 Online Status 147<br />
6.3.5 Erstellen Prüfprotokoll 150<br />
6.4 Verschlüsselung 155<br />
5
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
6.4.1 Daten verschlüsseln 156<br />
6.4.2 Verschlüsselungszertifikat exportieren 158<br />
6.4.3 Zertifikate installieren 158<br />
6.4.4 Verzeichnisdienst 160<br />
6.5 Entschlüsselung 162<br />
6.5.1 Daten entschlüsseln 163<br />
7 <strong>OpenLimit</strong> SignCubes Shell Extension 164<br />
7.1 Die erste Signatur mit <strong>OpenLimit</strong> SignCubes 164<br />
7.2 Shell Extension Menü 165<br />
7.3 Dateien und Icons im Explorer 166<br />
8 Adobe Plugin 167<br />
8.1 Adobe Plugin Grundeinstellungen 168<br />
8.1.1 PDF Dokument signieren 170<br />
8.1.2 Signatur im PDF prüfen 171<br />
9 Der <strong>OpenLimit</strong> TIFF/PDF (PDF/A) Drucker 174<br />
9.1 Eigenschaften des <strong>OpenLimit</strong> PDF Producer 178<br />
9.2 Eigenschaften des <strong>OpenLimit</strong> TIFF Producers 179<br />
9.3 Eigenschaften des <strong>OpenLimit</strong> SignCubes Druckers (nur Windows NT) 180<br />
9.3.1 Drucker Eigenschaften – Einstellungen 181<br />
9.3.2 Drucker Eigenschaften - Dateiformate 183<br />
9.3.3 Drucker Eigenschaften - Dateiname erstellen 185<br />
9.3.4 Drucker Eigenschaften - Programm - Start 187<br />
9.3.5 Drucker Eigenschaften - Wasserzeichen 189<br />
6
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
9.3.6 Drucker Eigenschaften - Embed Annotation 191<br />
10 E-Mail Clients 193<br />
10.1 Microsoft Outlook und Microsoft Outlook Express 193<br />
10.1.1 Microsoft Outlook Einstellungen 194<br />
10.1.2 Signieren und Verschlüsseln 198<br />
10.1.3 Verschlüsselungszertifikate in Kontakt integrieren 200<br />
10.2 Mozilla / Netscape Mail 202<br />
10.2.1 Mozilla / Netscape Mail Client Sicherheitseinstellungen 203<br />
10.2.2 Arbeiten mit Mozilla / Netscape Mail 217<br />
10.3 Mozilla Thunderbird 221<br />
10.3.1 Thunderbird Sicherheitseinstellungen 222<br />
10.3.2 Arbeiten mit Thunderbird 236<br />
10.4 Lotus Notes 241<br />
10.4.1 Lotus Notes 6.5.4 Sicherheitseinstellungen 242<br />
10.4.2 Arbeiten mit Lotus Notes 6.5.4 247<br />
10.4.3 Lotus Notes 5 250<br />
11 SSL Authentisierung 251<br />
11.1 Internet Explorer 252<br />
11.2 Mozilla Firefox Browser Sicherheitseinstellungen 253<br />
11.3 Mozilla Firefox SSL Authentisierung 257<br />
11.4 Mozilla / Netscape Browser Sicherheitseinstellungen 258<br />
11.5 Mozilla / Netscape SSL Authentisierung 262<br />
12 Erste Hilfe 263<br />
7
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
12.1 Wie gehe ich mit Fehlermeldungen um? 263<br />
12.2 Fehlermeldungen vor oder während der Installation 266<br />
12.3 Fehlermeldungen <strong>OpenLimit</strong> SignCubes Security Environment Manager 268<br />
12.4 Fehlermeldungen des <strong>OpenLimit</strong> SignCubes Viewer 280<br />
12.5 Technischer Support 290<br />
13 Index 290<br />
8
Glossar<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
CC Die Common Criteria ist ein internationals Normen- und Regelwerk, welches Vorgaben zur<br />
sicherheitstechnischen Untersuchung von IT Produkten definiert.<br />
CRL Eine Certificate List ist eine Liste, die von einem Zetrifikatsanbieter herausgegeben wird und eine Liste aller<br />
Zetrifikate enthält, die zum Zeitpunkt des Abrufs der Sperrliste durch den Inhaber des zertifikats gesperrt<br />
worden ist.<br />
OCSP Online Certificate Status Protocol ist ein Protokoll, welches über eine Online Abfrage die Möglichkeit bietet, bei<br />
dem Herausgeber zu erfragen, ob ein Zerifikat bekannt bzw. gesperrt ist. Dieses verfahren wird als so genannte<br />
Positiv Auskunft bezeichnet.<br />
RSA Kryptographische Mechanismen, benannt nach den Erfindern Ronald L. Rivest, Adi Shamir und Leonard Adleman<br />
ECDSA Elliptic Curve Digital Signature Algorithm, kryptographische Mechanismen basierend auf elliptischen Kurven<br />
CMS Cryptographic Message Syntax – beschreibt das Standardformat für kryptographische Nachrichten<br />
1 Einleitung<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 sind eine evaluierte und bestätigte<br />
Signaturanwendungskomponente gemäß deutschem Signaturgesetz (SigG) und der Signaturverordnung<br />
(SigV).<br />
9
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die bestätigten Komponenten bestehen aus dem <strong>OpenLimit</strong> SignCubes Security Environment Manager, dem<br />
<strong>OpenLimit</strong> SignCubes Viewer sowie dem <strong>OpenLimit</strong> SignCubes Integrity Tool, die auch Gegenstand der<br />
vorliegenden <strong>Benutzerdokumentation</strong> Version 2.5.0.3 sind.<br />
Die vorliegende Dokumentation Version 2.5.0.3 beschreibt die genannten Produktbestandteile und gibt<br />
Hinweise zur korrekten und sicheren Konfiguration des Produktes. Weiterhin werden alle Fehlermeldungen<br />
aufgelistet und Hinweise zum korrekten Umgang mit Fehlermeldungen gegeben.<br />
Bevor Sie anfangen, mit dem Produkt zu arbeiten, lesen Sie bitte die folgenden Kapitel der Hilfe<br />
aufmerksam durch:<br />
Bevor Sie beginnen<br />
Mindestanforderungen und Sicherheitsmaßnahmen<br />
Sicherheitskomponenten der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3<br />
Konfiguration der <strong>OpenLimit</strong> SignCubes Basiskomponenten (siehe "Konfiguration der <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten 2.5, Version 2.5.0.3")<br />
Eine Anleitung zum Umgang mit dem Produkt sowie der Nutzung einzelner Funktionen im Detail, finden Sie<br />
im Kapitel Arbeiten mit den <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3.<br />
1.1 Typografische Konventionen<br />
Diese Hilfe verwendet einige typografische Konventionen, die Ihnen die Arbeit mit dem elektronischen<br />
Handbuch erleichtern.<br />
1.2 Bevor Sie beginnen<br />
Formatierung Beschreibung<br />
Fetter Text Mit dieser Formatierung werden besonders wichtige Passagen<br />
markiert.<br />
Normaler Text Dies ist die normale Textformatierung für dieses Handbuch.<br />
Die vorliegende <strong>Benutzerdokumentation</strong> Version 2.5.0.3 ist Bestandteil der erfolgten<br />
Sicherheitsevaluierung und Sicherheitsbestätigung und bezieht sich ausschließlich auf die <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten 2.5, Version 2.5.0.3.<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 sind Bestandteil des Produktes, das Sie<br />
auf CD-ROM oder Online von der <strong>OpenLimit</strong> SignCubes AG oder einem ihrer Reseller erworben haben. Das<br />
10
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
vorliegende Handbuch Version 2.5.0.3 beschreibt ausschließlich den korrekten Umgang mit den<br />
Basiskomponenten, für die weiteren Produktbestandteile steht Ihnen eine separate Hilfe zur Verfügung.<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 sind eine Sicherheitssoftware, die Ihnen<br />
die Erstellung und Verifikation elektronischer Signaturen konform zum deutschen Signaturgesetz (SigG)<br />
und zur Signaturverordnung (SigV) bietet. Für die sichere Benutzung der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3 benötigen Sie neben der Software eine Chipkarte und einen<br />
Kartenleser mit sicherer PIN-Eingabe.<br />
Dieses Handbuch Version 2.5.0.3 erläutert die Grundlagen zur elektronischen Signatur, die<br />
Sicherheitskomponenten und Sicherheitsfunktionen des Produktes, zur korrekten Konfiguration sowie den<br />
Umgang mit dem Produkt. In einem separaten Kapitel werden die Fehlermeldungen und mögliche Ursachen<br />
für diese Fehlermeldungen aufgeführt. Dieses Kapitel enthält Hinweise und Handlungsempfehlungen, für<br />
den Fall, dass eine Fehlermeldung von dem Produkt angezeigt wird.<br />
Sie sollten die folgenden Kapitel lesen, um sicher zu stellen, dass Ihr Rechner die Voraussetzung für den<br />
Einsatz des Produktes erfüllt:<br />
Mindestanforderungen und Sicherheitsmaßnahmen<br />
Betriebssysteme<br />
Chipkarten<br />
Kartenleser<br />
Produktbestandteile<br />
Sie sollten vor der ersten Verwendung des Produktes das Kapitel Freischalten der Lizenz lesen, um die<br />
richtige Freischaltung der Lizenz vorzunehmen. Wir empfehlen außerdem, dass Sie vor der ersten<br />
Verwendung der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 das Kapitel Konfiguration der<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 vollständig lesen.<br />
Hinweis: Sofern Ihr Betriebssystem Benutzerrechte unterstützt, benötigen Sie Administrationsrechte,<br />
um die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 zu installieren.<br />
Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt nach der<br />
Installation und vor der ersten Anwendung des Produktes das <strong>OpenLimit</strong> SignCubes Integrity Tool<br />
ausführen, um die Korrektheit der Installation zu verifizieren. Weitere Informationen dazu finden Sie in<br />
dem Kapitel Arbeiten mit dem <strong>OpenLimit</strong> SignCubes Integrity Tool.<br />
11
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
1.3 Mindestanforderungen und Sicherheitsmaßnahmen<br />
Bitte stellen Sie sicher, dass Ihr Rechner und Ihre Einsatzumgebung den Anforderungen aus den Kapiteln<br />
entsprechen.<br />
Betriebssysteme<br />
Chipkarten<br />
Kartenleser<br />
Die folgenden Sicherheitsmaßnahmen müssen für den korrekten Einsatz des Produktes eingehalten<br />
werden:<br />
Benutzer sowie evtl. Administrations- und Wartungspersonal müssen den Anweisungen der<br />
<strong>Benutzerdokumentation</strong> Folge leisten.<br />
Wenn Sie das Produkt auf CD-ROM oder einem anderen Speichermedium bezogen haben, müssen Sie dieses<br />
geschützt vor dem Zugriff durch unberechtigte dritte Personen aufbewahren. Bevor Sie das Produkt<br />
installieren, stellen Sie bitte sicher, dass alle Sicherheitsmerkmale (wie z.B. Siegel und Laminierungen) der<br />
Verpackung unbeschädigt sind. Sollten Sie Zweifel an der Authentizität des Installationsmediums haben,<br />
wenden Sie sich an den Lieferanten.<br />
Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt nach der<br />
Installation und vor der ersten Anwendung das <strong>OpenLimit</strong> SignCubes Integrity Tool ausführen, um die<br />
Korrektheit der Installation zu verifizieren.<br />
Für den Einsatz der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 in der Windows Terminal<br />
Umgebung ist der Server in einer zutrittsgeschützten Einsatzumgebung und innerhalb eines<br />
verschließbaren und versiegelten Elektroschrankes unterzubringen.<br />
Sie müssen als Benutzer regelmäßig, wenigstens jedoch einmal im Monat, die Integrität der<br />
Produktinstallation auf Ihrem Rechner prüfen. Verwenden Sie dazu die Online-Komponente, die Ihnen über<br />
die Webseite https://www.<strong>OpenLimit</strong>.com/integritytool zu diesem Zwecke zur Verfügung gestellt wird.<br />
In der Windows Terminal Umgebung ist die Produktintegrität serverseitig sofort nach der Installation und<br />
dann regelmäßig, mindestens jedoch einmal im Monat, durch die Administratoren zuverlässig im Vier-<br />
Augen-Prinzip zu kontrollieren.<br />
12
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Verwenden Sie stets einen Virenscanner und stellen Sie sicher, dass die aktuellen Virendefinitionen des<br />
Herstellers installiert sind. Wenn der Virenscanner keine Backdoor-Programme erkennen kann, sollten Sie<br />
ein entsprechendes zusätzliches Programm installieren.<br />
Für den Fall, dass Sie über einen Internet-Anschluss verfügen, müssen Sie eine Firewall einsetzen, um das<br />
Betriebssystem Ihres Computers vor Angriffen aus dem Internet zu schützen.<br />
Stellen Sie sicher, dass Sie über die volle Kontrolle über eingelegte Speichermedien und<br />
Netzwerkfreigaben verfügen. Konfigurieren Sie Ihren Rechner niemals so, dass auf den Installationspfad<br />
des Produktes über Netzwerkfreigaben durch Dritte zugegriffen werden kann.<br />
Der Zugriff und die Verwendung des Produktes durch den Anwender muss durch die Konfiguration des<br />
Rechners ermöglicht werden. Das bedeutet, dass der Rechner so konfiguriert sein muss, dass der<br />
Anwender durch den Computer-Administrator die Rechte eingeräumt bekommt, die er zur Benutzung des<br />
Produktes benötigt.<br />
Hinweis: Für den Einsatz der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 auf Windows<br />
Terminalserver 2003 hat die Remoteverbindung zwischen dem Terminalserver und dem bzw. den<br />
Terminalclients grundsätzlich verschlüsselt mit 128 Bit zu erfolgen.<br />
Bei Windows Terminal Server 2003 in Verbindung mit den Betriebsystemen Windows XP und Windows Vista<br />
clientseitig ist die Verschlüsselung mit 128 Bit bereits Standard für die Verbindung und unbedingt zu<br />
verwenden.<br />
Wenn Sie diese Regeln nicht einhalten, verlassen Sie die Umgebung, für die das Produkt zertifiziert und<br />
bestätigt ist. Die folgenden Anforderungen kann das Produkt nicht leisten:<br />
Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrtheit und der<br />
Geheimhaltung der privaten Schlüssel obliegt der Chipkarte.<br />
Sicherstellung der korrekten Uhrzeit auf dem Rechner des Anwenders. Das Produkt <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3 kann keine Aussagen über die Plausibilität der eingestellten Uhrzeit<br />
auf dem Rechner des Anwenders treffen.<br />
Sicherstellung der Integrität des Betriebssystems. Das Produkt enthält keine Mechanismen, um die<br />
Integrität seiner Umgebung zu prüfen. Sie müssen geeignete Vorkehrungen treffen, um eine<br />
Kompromittierung des Betriebssystems zu vermeiden.<br />
13
1.4 Installation<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Sicherheit der kryptografischen Operationen. Das Produkt verwendet Bibliotheken zur Erzeugung und<br />
Verifikation elektronischer Signaturen über das RSA bzw. ECDSA Public Key Verfahren. Zur<br />
Signaturerzeugung ist der Einsatz einer Chipkarte unabdingbar. Das Produkt kann die Stärke der<br />
kryptografischen Mechanismen nicht garantieren und keine Aussagen über die Stärke der<br />
kryptografischen Funktionen treffen.<br />
Die Leistungsmerkmale des Produktes sind auf diejenigen Funktionen beschränkt, die in diesem Handbuch<br />
Version 2.5.0.3 wiedergegeben werden. Als Anwender des Produktes sind Sie verpflichtet, die technischen<br />
und organisatorischen Maßnahmen einzuhalten, die von der vorliegenden <strong>Benutzerdokumentation</strong> Version<br />
2.5.0.3 vorgegeben werden.<br />
Um mit den <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 arbeiten zu können, benötigen Sie<br />
eine Chipkarte mit einem Zertifikat für die qualifizierte elektronische Signatur gemäß deutschem<br />
Signaturgesetz und einen Kartenleser. Die für die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 zulässigen Chipkarten sind in dem Kapitel Chipkarten aufgelistet.<br />
Die zulässigen Kartenleser sind in dem Kapitel Kartenleser aufgeführt.<br />
Stellen Sie sicher, dass Sie eine entsprechende Chipkarte zur Verfügung haben und der Kartenleser<br />
ordnungsgemäß installiert ist, bevor Sie anfangen, mit der Software zu arbeiten.<br />
Hinweis: Um einen Lizenzschlüssel mit dem Lizenz-Wizard zu aktivieren, benötigen Sie eine<br />
Produktkonfiguration, mit der die Verwendung eines unterstützten Chipkartenterminals und einer<br />
unterstützten Signaturkarte möglich ist. Verwenden Sie das <strong>OpenLimit</strong> SignCubes Integrity Tool, um die<br />
installierten Module anzuzeigen.<br />
Bevor Sie das Produkt installieren, lesen Sie den Abschnitt Mindestanforderungen und<br />
Sicherheitsmaßnahmen und Betriebssysteme gründlich, um zu gewährleisten, dass Ihr System einem der<br />
angegebenen Betriebssysteme entspricht.<br />
Sie können das Produkt wahlweise per Download über einen Web-Shop oder auf einem<br />
Installationsmedium, wie z.B. einer CD-ROM, bezogen haben. Der im Folgenden dargestellte Ablauf ist für<br />
beide Varianten identisch. Das Installationsprogramm kopiert die <strong>OpenLimit</strong> SignCubes Basiskomponenten<br />
2.5, Version 2.5.0.3 auf Ihren Rechner. Stellen Sie bitte nach der Installation sicher, dass das korrekte<br />
Produkt installiert wurde, in dem Sie das <strong>OpenLimit</strong> SignCubes Integrity Tool ausführen. Mehr<br />
Informationen dazu finden Sie im Kapitel Arbeiten mit dem <strong>OpenLimit</strong> SignCubes Integrity Tool.<br />
14
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Falls Sie das Setup auf einer CD-ROM erhalten haben und diese in das Laufwerk einlegen, wird bei<br />
aktiviertem Autostart das Setup automatisch gestartet. Wenn Sie das Setup über einen Download bezogen<br />
haben, müssen Sie das Programm 'setup.exe' ausführen. Sie sehen dann das Fenster zur Sprachauswahl.<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 werden in deutscher und englischer<br />
Sprache ausgeliefert:<br />
Wenn Sie jetzt auf OK klicken, überprüft das Setup Programm die Installationsumgebung unter folgenden<br />
Gesichtspunkten:<br />
1. Entspricht das Betriebsystem den aufgeführten Mindestanforderungen?<br />
2. Sind die Mindestanforderungen an den Internet Explorer erfüllt?<br />
3. Verfügt der Benutzer über Administrationsrechte?<br />
4. Ist der schreibende Zugriff auf die Registry möglich?<br />
Wenn diese Voraussetzungen nicht erfüllt sind, wird eine Fehlermeldung angezeigt und das Setup<br />
Programm beendet. Wenn die Prüfung erfolgreich verlaufen ist, startet der Installationsvorgang.<br />
In dem folgenden Fenster haben Sie die Möglichkeit, den Zielordner für die Programmdaten zu ändern.<br />
15
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wenn Sie jetzt auf Weiter klicken, wird eine Seite angezeigt, auf der Sie die Lizenzvereinbarungen<br />
akzeptieren müssen.<br />
16
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nachdem Sie die Lizenzvereinbarungen akzeptiert haben, beginnt der eigentliche Installationsvorgang.<br />
Nach Bestätigung des Befehls Fertigstellen wird der <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
automatisch gestartet und das Modul zum Freischalten der Lizenz geöffnet.<br />
Hinweis zur Installation für Windows Terminalserver: Zur Arbeit mit den <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3 über Windows Terminal Server 2000 mit Citrix Frame oder 2003<br />
mit oder ohne Citrix Frame müssen die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 als<br />
Terminaldienste im Anwendungsmodus (nicht im Remoteverwaltungsmodus) installiert werden. Es ist<br />
ausreichend, die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 serverseitig zu<br />
installieren.<br />
Bei der Installation der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 in der Windows<br />
Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame Umgebung ist eine<br />
zuverlässige Administration des Servers durch das Vier-Augen-Prinzip zu gewährleisten.<br />
Die Kartenlesertreiber müssen nur auf den Clientrechnern installiert sein.<br />
Darüber hinaus gibt es für die Installation der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3<br />
in der Windows Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame Umgebung<br />
eine zusätzliche Dokumentation. Diese wird gesondert durch die <strong>OpenLimit</strong> SignCubes AG zur Verfügung<br />
gestellt.<br />
Hinweis zur sicheren Konfiguration: Bei der Installation der <strong>OpenLimit</strong> SignCubes Basiskomponenten<br />
2.5, Version 2.5.0.3 wird automatisch eine sichere Konfiguration des Produktes eingestellt. Sie sollten<br />
Änderungen in den Konfigurationseinstellungen mit Hilfe der in diesem Handbuch Version 2.5.0.3<br />
beschriebenen Konfigurationsoptionen für die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 erst dann vornehmen, wenn Sie im Umgang mit den Funktionalitäten vertraut sind.<br />
Grundsätzlich sollte das Produkt immer mit den empfohlenen Einstellungen betrieben werden. Über den<br />
Button Ausgangskonfiguration haben Sie die Möglichkeit, die bei der Installation eingerichteten<br />
Optionen wieder herzustellen.<br />
1.5 Freischalten der Lizenz<br />
Wenn Sie das Produkt zum ersten Mal starten, werden Sie aufgefordert, Lizenzierungsinformationen<br />
einzugeben. Sie haben die Lizenzinformationen entweder direkt von der <strong>OpenLimit</strong> SignCubes AG oder<br />
17
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
einem ihrer Reseller erhalten. Wenn der Lizenzmanager gestartet wird, sehen Sie den folgenden Dialog.<br />
Lesen Sie die Informationen gründlich und vergewissern Sie sich, dass Sie die Informationen verstanden<br />
haben.<br />
Klicken Sie so lange auf Weiter, bis Sie aufgefordert werden, den Lizenzcode einzugeben.<br />
Geben Sie den Lizenzcode ein oder klicken Sie auf den Button Reader.<br />
18
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nachdem Sie den Lizenzcode eingegeben haben, werden Sie aufgefordert, eine Signatur zu erzeugen. Sie<br />
können die Daten im <strong>OpenLimit</strong> SignCubes Viewer betrachten, um sich zu vergewissern, dass keine<br />
persönlichen oder vertraulichen Daten in den Lizenzinformationen enthalten sind.<br />
Nach Abschluss der Lizenzfreischaltung steht die Lizenz allen Anwendern des Computers zur Verfügung.<br />
Wenn Sie später eine andere Lizenz erwerben, können Sie ein Upgrade der Lizenz vornehmen. Gehen Sie<br />
dazu auf den Menüpunkt Eigenschaften des <strong>OpenLimit</strong> SignCubes Security Environment Managers und<br />
wählen Sie das Register Lizenz aus. Klicken Sie auf Lizenz-Upgrade, um eine Änderung der<br />
Lizenzinformationen vorzunehmen.<br />
Hinweis: Beachten Sie unbedingt, dass eine Weitergabe der Lizenzinformationen an Dritte nicht erlaubt<br />
ist und strafrechtlich durch die <strong>OpenLimit</strong> SignCubes AG verfolgt wird. Die zur Verfügung stehende<br />
Funktionalität des Produktes Version 2.5.0.3 hängt von dem Lizenzcode ab, den Sie erhalten haben. Sie<br />
können sich auf der Eigenschaftsseite des Produktes anzeigen lassen, welche Funktionen Sie lizenziert<br />
haben. Der grüne Haken bedeutet dabei, dass die Funktion zur Verfügung steht. Nicht verfügbare<br />
Funktionalität wird auch nicht angezeigt.<br />
19
1.6 Betriebssysteme<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Für die Freischaltung der Lizenz ist keine Online-Aktivierung des Produktes notwendig. Sie schützen die<br />
Lizenz jedoch durch die Erzeugung einer Signatur vor dem Missbrauch durch unberechtigte Dritte. Durch<br />
die Unterzeichnung der Lizenz mit Ihrem Signaturzertifikat beweisen Sie, dass Sie die Lizenz erworben<br />
haben und können dies auch in der Anzeige der Lizenzinformationen überprüfen. Mehr Informationen<br />
finden Sie im Kapitel Option: Lizenzeinstellungen und Lizenzupgrade.<br />
Für die Arbeit mit dem Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 benötigen Sie<br />
einen Intel 586 kompatiblen Prozessor, mindestens 120 MB freien Festplattenplatz und mindestens 128 MB<br />
RAM. Auf dem Rechner muss mindestens der Internet Explorer ab Version 5.01 installiert sein. Wenn Sie<br />
nicht über diese Mindestversion des Internet Explorers verfügen, laden Sie sich bitte die neueste Version<br />
des Internet Explorers von der Webseite der Firma Microsoft herunter. Darüber hinaus muss die Java<br />
Virtual Machine (JVM) ab Version 1.4.2.08 mit dem zugehörigen JRE (Java Runtime Environment) auf dem<br />
Computer installiert sein. Wenn Sie nicht über die Java Virtual Machine verfügen, können Sie diese unter<br />
http://java.sun.com herunterladen.<br />
Die folgenden Betriebssysteme werden von diesem Produkt unterstützt:<br />
Windows NT 4.0 ab Service Pack 6.0<br />
Windows 2000 ab Service Pack 2.0<br />
Windows 2003<br />
Windows 2003 64 Bit Edition<br />
Windows XP Home und Professional<br />
Windows XP 64 Bit Edition<br />
Windows XP Tablet PC Edition<br />
Windows Vista 32 Bit und 64 Bit<br />
Windows 2008<br />
Windows 2008 64 Bit Edition<br />
Windows 2000 Terminal Server mit Citrix Meta-Frame<br />
Windows 2003 Terminal Server mit und ohne Citrix Meta-Frame<br />
Windows 2008 Terminal Server<br />
Windows 7 32 Bit und 64 Bit Edition<br />
Abhängig vom Zustand Ihres Betriebssystems nimmt das Setup Programm Aktualisierungen des<br />
Betriebssystems vor. Dafür kann ein mehrmaliger Neustart des Rechners notwendig sein, was nicht auf die<br />
Installation der Software <strong>OpenLimit</strong> Basiskomponenten 2.5, Version 2.5.0.3 sondern auf die notwendigen<br />
Betriebssystemupdates zurückzuführen ist.<br />
20
1.7 Kartenleser<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Das Setup für die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 nimmt ggf. notwendige<br />
Updates des Betriebssystems vor. Diese Updates stellen sicher, dass die Shell32.dll in der Mindestversion<br />
4.0 sowie die Microsoft SmartCard Base Components in der Minimalversion 1.0 vorhanden sind.<br />
Hinweis: Um den Rechner optimal vor Sicherheitslücken zu schützen und die korrekte Arbeit des<br />
Produktes zu gewährleisten, sollten stets die aktuellen Sicherheits-Updates installiert werden.<br />
Schützen Sie Ihren Rechner durch einen aktuellen Virenscanner und, sofern Sie über eine<br />
Internetanbindung verfügen, mit einer Firewall.<br />
Der Einsatz der folgenden Kartenleser wird durch die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 unterstützt:<br />
Cherry Smartboard G83-6700 LQ<br />
Cherry Smartboard G83-6744 LU<br />
Cherry ST-2000<br />
Fujitsu Siemens S26381-K329-V2xx HOS:01<br />
Kobil KAAN Advanced<br />
Kobil Systems B1 Pro USB<br />
Kobil KAAN TriB@nk<br />
Kobil EMV-TriCAP Reader<br />
Kobil SecOVID Reader III<br />
Omnikey Cardman 3621<br />
Omnikey Cardman 3821<br />
Reiner SCT cyberJack e-com v2.0<br />
Reiner SCT cyberJack e-com v3.0<br />
Reiner SCT cyberJack pinpad v2.0<br />
Reiner SCT cyberJack pinpad v3.0<br />
Reiner SCT cyberJack e-com plus v3.0<br />
Reiner SCT cyberJack secoder<br />
SCM Microsystems SPRx32/ChipDrive PinPad<br />
SCM Microsystems SPRx32/ChipDrive PinPad (Firmware version 5.11)<br />
medCompact eHealth Card Terminal BCS Version 02.00 (Varianten mit 1 bzw. 2 Slots)<br />
Für die Erzeugung gesetzeskonformer (qualifizierter) Signaturen dürfen nur diejenigen SigG-konformen<br />
Kartenleser eingesetzt werden, die in diesem Handbuch Version 2.5.0.3 angegeben werden. Zum Zeitpunkt<br />
21
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
der Bestätigung des Produktes waren die aufgelisteten Kartenleser nach dem deutschen Signaturgesetz<br />
bestätigt und dürfen zur Erzeugung qualifizierter elektronischer Signaturen eingesetzt werden:<br />
Hinweis: Das Produkt unterstützt die Verwendung von Kartenlesern, die keine sichere PIN-Eingabe<br />
erlauben. Wenn Sie einen solchen Kartenleser verwenden, bewegen Sie sich außerhalb der bestätigten<br />
Konfiguration. Für die SigG-konforme Konfiguration der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5,<br />
Version 2.5.0.3 ist nur die Verwendung der aufgeführten, bestätigten Kartenleser zulässig.<br />
Hinweis: Die folgenden Kartenleser sind auf Grund von Abweichungen in der Kompatibilität mit den<br />
genannten Signaturkarten nicht für die Erzeugung qualifizierter Signaturen verwendbar.<br />
Cherry Smartboard G83-6700 LQ:<br />
ZKA Banking Signature card, v6.2 NP, v6.2b NP, 6.2f NP, Type 3 from Giesecke & Devrient<br />
ZKA Banking signature card, v6.31 NP, Type 3 from Giesecke & Devrient<br />
ZKA Banking Signature Card, v6.32, Type 3 from Giesecke & Devrient<br />
ZKA Banking signature card, v6.4 from Giesecke & Devrient<br />
ZKA Banking signature card, v6.51 from Giesecke & Devrient<br />
ZKA Banking Signature Card, Version 6.6 from Giesicke & Devrient GmbH<br />
ZKA-Signaturkarte, ZKA 680 V5A, Version 5.10 from Gemplus-mids GmbH<br />
ZKA-Signaturkarte, ZKA 680 V5A, Version 5.11 from Gemplus-mids GmbH<br />
ZKA signature card, version 5.11 M from Gemplus GmbH (Gemalto)<br />
ZKA Signatur Karte, Version 5.02 from Gemplus-mids GmbH<br />
SecV1.5.3, from SAGEM ORGA GmbH<br />
STARCOS 3.0 with Electronic Signature Application V3.0<br />
STARCOS 3.2 QES, Version 1.1<br />
ZKA Banking Signature Card, Version 7.1.2 (ecD 7.1.2) from Giesecke & Devrient GmbH<br />
ZKA Banking Signature card, Version 7.2.1 (ecD 7.2.1) from Giesecke & Devrient<br />
ZKA signature card, Version 6.01 (ZKA680) from Gemplus GmbH (Gemalto)<br />
STARCOS 3.2 QES v.2.0, product name "Signtrust Card 3.2"<br />
STARCOS 3.2 QES v.2.0, product name "Signtrust MCard 3.2"<br />
STARCOS 3.2 QES v.2.0, product name "Signtrust MCard100 3.2"<br />
Kobil B1 Professional<br />
CardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AG<br />
Siemens CardOS M4.3 B<br />
22
1.8 Chipkarten<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Reiner SCT pinpad 2.0<br />
TCOS 3.0 Signature Card, Version 1.1<br />
medCompact eHealth Card Terminal BCS Version 02.00<br />
STARCOS 3.0 with Electronic Signature Application V3.0<br />
Fujitsu Siemens S26381-K329-V2xx HOS:01<br />
Nur unter Win 7 32Bit<br />
TCOS 3.0 Signature Card, Version 1.1<br />
Weitere Informationen bezüglich Inkompatibilitäten bei Kartenlesern und Karten entnehmen Sie bitte der<br />
Bestätigungsurkunde.<br />
Hinweis: Für die Arbeit mit den Terminal Servern Windows 2000 mit Citrix Meta-Frame und Windows<br />
2003 mit und ohne Citrix Meta-Frame müssen die Kartenlesertreiber nur auf den Clientrechnern<br />
installiert sein.<br />
Das Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 ist für den Einsatz folgender<br />
Chipkarten vorgesehen:<br />
STARCOS 3.0 with Electronic Signature Application V3.0 from Giesecke & Devrient<br />
Siemens CardOS M4.3 B<br />
ZKA Banking signature card, v6.2b NP and 6.2f NP, Type 3 from Giesecke & Devrient<br />
ZKA Banking signature card, v6.2 NP, Type 3 from Giesecke & Devrient<br />
ZKA Banking signature card v6.31 NP, Type 3 from Giesecke & Devrient<br />
ZKA Banking signature card v6.32, Type 3 from Giesecke & Devrient<br />
ZKA Banking Signature Card, Version 6.4 from Giesecke & Devrient<br />
ZKA Banking Signature Card, Version 6.51 from Giesecke & Devrient<br />
ZKA Banking Signature Card, v6.6 from Giesecke & Devrient<br />
ZKA Banking Signature Card, Version 7.1.2 (ecD 7.1.2) von Giesicke & Devrient GmbH<br />
ZKA Banking Signature Card, Version 7.2.1 (ecD 7.2.1) von Giesicke & Devrient GmbH<br />
ZKA signature card, version 5.02 from Gemplus-mids GmbH<br />
23
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
ZKA signature card, ZKA 680 V5A Version 5.10 from Gemplus-mids GmbH<br />
ZKA signature card, ZKA 680 V5A Version 5.11 from Gemplus-mids GmbH<br />
ZKA signature card, ZKA 680 V5A Version 5.11 M from Gemplus GmbH (Gemalto)<br />
ZKA signature card, Version 6.01 (ZKA680) from Gemplus GmbH (Gemalto)<br />
ZKA SECCOS Sig v1.5.3 from Sagem Orga GmbH<br />
dgnserviceCard<br />
CardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AG<br />
BA PKCS# User Card with Siemens Card-API<br />
TCOS 3.0 Signature Card, Version 1.1<br />
ACOS EMV-A03V1, Configuration B and Digital Signature Application a-sign Premium<br />
STARCOS 3.2 QES Version 1.1<br />
STARCOS 3.2 QES v.2.0, Produktname "Signtrust Card 3.2"<br />
STARCOS 3.2 QES v.2.0, Produktname "Signtrust MCard 3.2"<br />
STARCOS 3.2 QES v.2.0, Produktname "Signtrust MCard100 3.2"<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 unterstützen auch PKCS#15 kompatible<br />
Karten, die nicht in dieser Liste aufgeführt sind. Die vorliegende Sicherheitsbestätigung erstreckt sich<br />
nicht auf die Verwendung dieser Karten! <strong>OpenLimit</strong> übernimmt keine Garantie, dass jede PKCS#15<br />
kompatible Karte mit dem Produkt zusammen arbeitet. Die Verwendung von Chipkarten, die nicht in<br />
diesem Handbuch aufgeführt sind, liegt außerhalb der Bestätigung und ist daher nicht für die Erzeugung<br />
qualifizierter Signaturen geeignet.<br />
Die aufgelisteten Karten beziehen sich auf bestätigte Signaturkarten, die auf der Webseite der<br />
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur)<br />
veröffentlicht wurden.<br />
Hinweis: Wenn Sie eine Signaturkarte verwenden, die die Erzeugung mehrerer Signaturen in einem<br />
Durchgang erlaubt, müssen Sie die speziellen Sicherheitsauflagen, welche für diesen Betriebsmodus<br />
verlangt werden, einhalten. Diese Sicherheitsauflagen finden Sie in den Bestätigungsurkunden für diese<br />
Karten unter:<br />
1.9 Produktbestandteile<br />
www.bundesnetzagentur.de<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 beinhalten die folgenden Bestandteile:<br />
24
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
<strong>OpenLimit</strong> SignCubes Security Environment Manager als zentralen Bestandteil zur Verwaltung<br />
verfügbarer Signaturkarten, Kartenleser und zur Konfiguration des Produktes. Mehr<br />
Informationen finden sie im Kapitel <strong>OpenLimit</strong> SignCubes Security Environment Manager.<br />
<strong>OpenLimit</strong> SignCubes Viewer. Mehr Informationen finden Sie im Kapitel <strong>OpenLimit</strong> SignCubes<br />
Viewer.<br />
<strong>OpenLimit</strong> SignCubes Integrity Tool (Online). Mehr Informationen finden Sie im Kapitel <strong>OpenLimit</strong><br />
SignCubes Integrity Tool.<br />
die vorliegende <strong>Benutzerdokumentation</strong> Version 2.5.0.3.<br />
Im Kapitel Konfiguration der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 finden Sie<br />
Erläuterungen zur richtigen Konfiguration des Produktes. Die richtige Bedienung wird Ihnen im Kapitel<br />
Arbeiten mit den <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 erklärt. Der Umgang mit<br />
Fehlermeldungen wird Ihnen im Kapitel Erste Hilfe ausführlich erläutert.<br />
Hinweis: In Abhängigkeit von der Konfiguration der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5,<br />
Version 2.5.0.3 steht die Funktion zur Signaturerzeugung und -prüfung über IBM Lotus Formes Viewer<br />
zur Verfügung. Das <strong>OpenLimit</strong> SignCubes Integrity Tool zeigt Ihnen an, ob dieses zusätzliche Modul<br />
installiert ist.<br />
Weiterhin verfügen die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 über die Möglichkeit,<br />
XML-Signaturen zu erzeugen bzw. zu verifizieren. Die Funktionalitäten können nur durch die Integration in<br />
Drittanwendungen aktiviert werden. In dem Kapitel XML Signaturen finden Sie weitere Informationen zur<br />
Erzeugung und Verifikation von XML-Signaturen.<br />
2 Grundlagen der elektronischen Signatur<br />
Elektronische Daten können leicht manipuliert werden. Ob im Internet oder direkt auf dem Computer -<br />
Veränderungen von Daten können bislang kaum ausgeschlossen werden.<br />
Aus einem Dokument können Passagen einfach gestrichen oder eingefügt werden. Der Urheber eines<br />
Dokuments ist nicht festzustellen. Genauso können Daten, die per E-Mail verschickt werden oder auf der<br />
25
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Festplatte gespeichert sind, durch Hacker oder Trojaner ausgelesen werden. Zudem hat das Internet einen<br />
großen Nachteil: Niemand weiß, mit wem er es auf der anderen Seite zu tun hat.<br />
Deshalb war es auch lange Zeit undenkbar, dass elektronische Daten, die noch dazu im Internet verschickt<br />
werden, wo man den Kommunikationspartner nicht sehen kann, mit etwas ähnlichem wie einer<br />
Unterschrift versehen werden können.<br />
Durch die elektronische Signatur können zwei Probleme behoben werden:<br />
Eine unbemerkte Datenmanipulation ist nicht mehr möglich.<br />
Der Unterzeichner kann eindeutig identifiziert werden.<br />
Die Signatur macht jegliche absichtliche oder unabsichtliche Manipulation sofort ersichtlich. Über die<br />
Zertifikatsprüfung kann bewiesen werden, dass die Signatur nicht gefälscht wurde, der Zertifikatsinhaber<br />
also echt ist. Dabei werden keine persönlichen Daten des Inhabers preisgegeben - lediglich der Name.<br />
In diesem Abschnitt werden Ihnen die Grundlagen zur elektronischen Signatur auf Basis des RSA bzw.<br />
ECDSA Verfahrens dargestellt. Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3<br />
unterstützen die Erzeugung und Verifikation elektronischer Signaturen auf Basis einer Chipkarte und eines<br />
Kartenterminals. Die Hashwertberechnung für die qualifizierte elektronische Signatur wird nach den<br />
Verfahren SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 vorgenommen, welche als anerkannte<br />
Verfahren für die Berechnung kryptografischer Prüfsummen durch die Bundesnetzagentur für Elektrizität,<br />
Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) ausgewiesen sind. Das RSA bzw.<br />
ECDSA Verfahren ist ein asymmetrisches Verfahren, welches die Einbettung des Produktes in eine PKI<br />
(Public Key Infrastruktur) ermöglicht.<br />
Häufig wird im Zusammenhang mit der elektronischen Signatur auch von der elektronischen Unterschrift<br />
gesprochen. Das deutsche Signaturgesetz erläutert den Begriff der elektronischen Signatur, insbesondere<br />
der fortgeschrittenen und der qualifizierten elektronischen Signatur. In diesem Handbuch werden Sie<br />
häufig die Begriffe der Signatur und der elektronischen Unterschrift lesen - beide Begriffe sind richtig und<br />
bedeuten inhaltlich das Gleiche.<br />
Die rechtlichen Aspekte zur elektronischen Signatur sind ausführlich im Abschnitt Rechtliche Aspekte der<br />
elektronischen Signatur erläutert.<br />
26
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
2.1 Public Key Verfahren<br />
Die Signatur und die Verschlüsselung, die mit einer Signaturkarte und dieser Software durchgeführt<br />
werden, basieren auf einer Public Key Infrastruktur (PKI). Sowohl bei der Signatur als auch bei der<br />
Datenverschlüsselung kommt eine asymmetrische Verschlüsselung zum Einsatz. Asymmetrisch bedeutet:<br />
Es werden immer zwei verschiedene Schlüssel verwendet, der private Schlüssel (private key) und der<br />
öffentliche Schlüssel (public key), die sich gegenseitig ergänzen. Daten, die mit dem einen Schlüssel<br />
"zugeschlossen" wurden, können nur mit dem anderen wieder "aufgeschlossen" werden.<br />
Der private Schlüssel befindet sich bei Chipkarten auf dem Chip der Karte und lässt sich nicht auslesen.<br />
Die zu verarbeitenden Daten werden auf den Chip geladen, dort ver- oder entschlüsselt und wieder in den<br />
Computer übertragen. Um den privaten Schlüssel zu benutzen, wird die richtige PIN benötigt, die<br />
zusätzliche Sicherheit gewährleistet. Der öffentliche Schlüssel ist in ein Zertifikat integriert und steht<br />
jedermann in Verzeichnisdiensten im Internet zur Verfügung oder kann per E-Mail versendet werden. Um<br />
sicher zu gehen, dass dieses Zertifikat und somit der Schlüssel nicht gefälscht wurde, lässt sich die<br />
Signatur des Herausgebers prüfen.<br />
Beim Signieren wird der private Schlüssel auf der Karte verwendet. Somit ist zweifelsfrei belegt: die<br />
Signatur kann nur vom Karteninhaber sein - nur er hat die Karte und die PIN. Beim Prüfen der Signatur<br />
wird der öffentliche Schlüssel verwendet, denn jeder soll eine Signatur prüfen können. Die<br />
Verschlüsselung verwendet die beiden Schlüssel in umgekehrter Reihenfolge. Hier kommt der öffentliche<br />
Schlüssel des Empfängers zum Einsatz, so dass nur dieser die Daten mit seinem privaten Schlüssel wieder<br />
entschlüsseln kann.<br />
Da der Chip einer Chipkarte für die Verarbeitung großer Datenmengen sehr lange benötigen würde, wird<br />
bei der Verschlüsselung ein automatisch generierter Zufallsschlüssel verarbeitet. Bei der Signatur wird ein<br />
Hashwert verschlüsselt, der einem Dokument eindeutig zugeordnet werden kann.<br />
27
2.2 Signaturerzeugung<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die Signatur hat verschiedene Zwecke: Einerseits wird eine qualifizierte Signatur verwendet, um Briefe,<br />
Verträge etc. zu unterzeichnen. Andererseits gibt es auch fortgeschrittene Signaturen, die meistens dazu<br />
verwendet werden, Daten zu sichern, die man nicht unterschreiben möchte. Beispielsweise können auch<br />
Bild- oder Ton-Dateien signiert werden. Die Signatur schützt zwar nicht vor Veränderungen, macht diese<br />
aber eindeutig erkennbar. Ist eine Signatur intakt, bedeutet das, dass die Daten nicht geändert wurden.<br />
Beim Signieren einer Datei wird ein Hashwert gebildet, der mit einem Fingerabdruck vergleichbar ist. Zwei<br />
Dokumente können nie denselben Hashwert haben, es sei denn, sie sind identisch.<br />
Dieser Hashwert wird nach dem RSA bzw. ECDSA Verfahren unter Verwendung eines Schlüssels (mit einer<br />
Länge von mindestens 2048 Bit für qualifizierte Signaturen) verschlüsselt. Die Verschlüsselung des<br />
Hashwerts findet auf dem Chip der Karte statt. Dieser kleine Prozessor kann kleinere Datenmengen<br />
verarbeiten. Solch ein Vorgehen ist deshalb wichtig, weil der private Schlüssel die Karte so nie verlässt.<br />
Denn jegliche Daten, die in einem Computer sind, sind auch potentiell unsicher. Der Schlüssel bekommt<br />
also lediglich den Befehl, eine kleine Menge an Daten zu verschlüsseln. Die verschlüsselten Daten werden<br />
anschließend wieder in den Computer zurückgeschickt. Vorher muss der private Schlüssel durch die<br />
richtige PIN (Personal Identification Number) freigegeben werden, d.h., die Karte wird geöffnet.<br />
28
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hier ist der empfindlichste Punkt der gesamten Signatur. Nicht die Technik ist es, die den größten<br />
Unsicherheitsfaktor darstellt, sondern der Mensch. Folgende Punkte sollten Sie unbedingt beachten:<br />
Schreiben Sie die PIN niemals auf die Karte, den Kartenleser oder in die Nähe Ihres Computers.<br />
Lassen Sie sich nicht bei der PIN-Eingabe zusehen.<br />
Achten Sie darauf, dass auch aus der Ferne (Fenster gegenüber etc.) niemand Einblick auf Ihre<br />
Tastatur oder den Kartenleser hat.<br />
Geben Sie die PIN in keinem Fall an eine andere Person weiter.<br />
Benutzen Sie nach Möglichkeit (vor allem, wenn Sie wichtige Verträge o.ä. signieren) einen<br />
Kartenleser mit sicherer PIN-Eingabe.<br />
Nach dreimaliger falscher PIN-Eingabe ist der private Schlüssel unbrauchbar.<br />
Lassen Sie Ihre Karte nie liegen, wenn Sie den Raum verlassen oder Ihre Aufmerksamkeit<br />
abgelenkt ist.<br />
Diese hier kompliziert erscheinenden Vorgänge erledigt die Software natürlich automatisch. Der Nutzer<br />
muss nur auf Signieren klicken, die PIN eingeben und hat sofort eine signierte Datei. Diese besteht aus<br />
verschlüsseltem Hashwert, Originaldatei und öffentlichem Schlüssel.<br />
Grundsätzlich benötigen Sie für eine qualifizierte Signatur ein qualifiziertes Zertifikat. Die<br />
Signaturerzeugung als technischer Prozess sollte immer auf einer sicheren Signaturerzeugungseinheit,<br />
bestehend aus Kartenterminal, möglichst mit sicherer PIN-Eingabe, und einer Chipkarte vorgenommen<br />
werden. Weiterhin benötigen Sie eine Software, die Ihnen ein vertrauenswürdiges Umfeld für die<br />
Erzeugung einer elektronischen Signatur bietet. Grundsätzlich sollten Sie bei der Erzeugung einer<br />
qualifizierten elektronischen Signatur immer auf eine vorherige Visualisierung der Inhalte bestehen.<br />
29
2.3 Signaturverifikation<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Folgende Punkte sind bei der Prüfung wichtig:<br />
Ist das Dokument wirklich unverändert? Integrität der Daten.<br />
Ist der Signaturinhaber echt? Wurde sein Zertifikat nicht inzwischen gefälscht? Authentizität<br />
des Inhabers.<br />
Ist das Zertifikat nicht gesperrt? Zertifikatsstatus.<br />
1. Die Integrität des Dokuments lässt sich über den Hashwert beweisen:<br />
Das Dokument wird erneut gehasht. Der alte Hashwert wird entschlüsselt und mit dem neuen verglichen:<br />
Sind beide Hashwerte identisch, ist bewiesen, dass das Dokument nicht verändert wurde. Das erledigt die<br />
Software bei jeder Prüfung automatisch und in Echtzeit, d.h., die Software prüft den Hashwert ständig -<br />
nicht nur einmal. So werden auch Manipulationen am geöffneten Dokument sichtbar. Um den alten<br />
Hashwert zu entschlüsseln, benötigt der Prüfer den öffentlichen Schlüssel des Unterzeichners, denn die<br />
Signatur wurde ja mit der Karte, also mit dem privaten Schlüssel erstellt.<br />
Dieser öffentliche Schlüssel wird als Zertifikat an das signierte Dokument angehängt.<br />
30
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
2. Prüfung des Signaturzertifikates<br />
Die Echtheit und Unversehrtheit eines Zertifikates, also des mitgesendeten öffentlichen Schlüssels, wird<br />
über die Signatur des Herausgebers geprüft: Jedes persönliche Zertifikat ist von einem Trustcenter (CA)<br />
signiert. Ist diese Signatur gültig, wurde auch das Zertifikat nicht geändert. Natürlich kann auch die<br />
Echtheit des Herausgeberzertifikats geprüft werden, das oft wieder von einer anderen Instanz<br />
herausgegeben wurde. So ergibt sich ein Zertifizierungspfad, der sich bis zu einer vertrauenswürdigen<br />
Instanz (Root CA oder Wurzelzertifikat) zurückverfolgen lässt. Ist dieser Zertifizierungspfad korrekt und<br />
die Wurzel vertrauenswürdig, beweist dies die Authentizität des Signaturinhabers.<br />
In Deutschland ist bei qualifizierten Signaturen die Bundesnetzagentur für Elektrizität, Gas,<br />
Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) die oberste Instanz (Wurzel). Auch dieser<br />
Punkt wird von der Software überprüft. Logischerweise kann die Software aber nur überprüfen, ob der<br />
Zertifizierungspfad lückenlos ist. Um aber die verschiedenen Instanzen (CA's) des Pfades und das<br />
Wurzelzertifikat zu sehen, muss der Nutzer den Zertifizierungspfad überprüfen. Ob die Wurzel<br />
vertrauenswürdig ist (z.B. bei Signaturen aus anderen Ländern), obliegt der Entscheidung jedes Einzelnen.<br />
3. Prüfung des Zertifikatsstatus<br />
Der Zertifikatsstatus, d.h. die Information, ob ein Zertifikat zu dem Zeitpunkt der Signaturerstellung<br />
gesperrt war, kann beim Herausgeber überprüft werden: Die Trustcenter stellen Sperrlisten zum Download<br />
zur Verfügung oder haben eine Online-Zertifikatsabfrage bzw. bieten beides an. Wenn jemand seine<br />
Signaturkarte verliert, kann er diese über einen 24-Stunden Service sperren lassen und wird sofort<br />
gelistet.<br />
31
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die Prüfung des Zertifikatsstatus erfordert ein aktives Eingreifen des Benutzers. Wenn es sich um eine<br />
wichtige Unterschrift handelt (im Gegensatz zu einer Datensicherung), sollte vor der Signaturprüfung die<br />
aktuelle Sperrliste heruntergeladen werden. Handelt es sich um ein Trustcenter, das eine Online-Abfrage<br />
anbietet, kann der Zertifikatsstatus direkt über das Internet abgefragt werden.<br />
Wichtig ist dabei auch immer der Signaturzeitpunkt. Beispiel: Eine Signatur wurde am 1.7.2004 erstellt und<br />
wird dann ein Jahr später, am 1.7.2005 geprüft. Der Zertifikatsstatus sagt aus, dass das Zertifikat seit dem<br />
1.12.2004 gesperrt ist (z.B. Karte verloren). Das bedeutet, dass die Signatur wahrscheinlich dennoch gültig<br />
ist. Denn zum Zeitpunkt der Signaturerstellung war der Karteninhaber noch im Besitz seiner Karte. Der<br />
Zeitpunkt wird bei der Signaturerstellung in die Signatur mit einbezogen. Allerdings kann immer nur die<br />
Zeit benutzt werden, die das Betriebssystem des Computers zur Verfügung stellt. Bei bestehenden<br />
Zweifeln ist es am sichersten, sich das Dokument noch einmal signieren bzw. einen Zeitstempel hinzufügen<br />
zu lassen.<br />
Die Mechanismen der Signaturprüfung sind im Kapitel Arbeiten mit den <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3 - Signaturverifikation beschrieben. Als Benutzer des Produktes<br />
müssen Sie diesen Abschnitt gelesen haben, um das angezeigte Prüfergebnis des Produktes richtig<br />
interpretieren zu können.<br />
2.4 Rechtliche Aspekte der elektronischen Signatur<br />
Die Verwendun der elektronischen Signatur ist gesetzlich geregelt. Für die Europäische Union trat im<br />
Januar 2000 die Richtlinie über die Gemeinschaftlichen Rahmenbedingungen für elektronische Signaturen<br />
in Kraft. Diese Richtlinie enthält die Verpflichtung für jedes Mitgliedsland, die Regelungen in nationales<br />
Recht umzuwandeln. So werden elektronische Signaturen auch im internationalen Geschäftsverkehr<br />
möglich.<br />
In Deutschland sind die Rahmenbedingungen für rechtlich verbindliche elektronische Signaturen durch das<br />
Signaturgesetz (SigG), die Signaturverordnung (SigV) sowie das Erste Gesetz zur Änderung des<br />
Signaturgesetzes (1.SigÄndG) festgelegt.<br />
32
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die wesentlichsten Punkte der europäischen Richtlinie<br />
Die Gesetze kennen verschiedene Arten von Signaturen. Einfache Signaturen, fortgeschrittene Signaturen<br />
und qualifizierte Signaturen. Eine Signatur wird als qualifiziert bezeichnet, wenn sie:<br />
ausschließlich dem Unterzeichner zugeordnet ist,<br />
die Identifizierung des Unterzeichners ermöglicht,<br />
mit Mitteln erstellt wird, die nur der Unterzeichner kontrolliert,<br />
jede nachträgliche Änderung der signierten Daten erkennbar macht<br />
und auf einem qualifizierten Zertifikat beruht.<br />
Ein qualifiziertes Zertifikat wird nur von einem qualifizierten Zertifizierungsdiensteanbieter (Trustcenter)<br />
ausgestellt. Dabei gelten ganz besonders strenge Anforderungen hinsichtlich der Sicherheit der<br />
Schlüsselerstellung und der Organisation des Trustcenters. Die Einhaltung der gesetzlichen Vorschriften<br />
durch die Trustcenter wird von einer nationalen Behörde kontrolliert. In Deutschland ist das die<br />
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur),<br />
im Internet unter www.bundesnetzagentur.de. Dort finden Sie auch eine Liste der qualifizierten und<br />
akkreditierten Trustcenter, die aktuellen Signaturgesetze und weitere Informationen zur Signatur.<br />
Die Rechtswirkung elektronischer Signaturen<br />
Qualifizierte Signaturen ...<br />
erfüllen die Anforderungen in Bezug auf elektronische Daten genauso wie die handschriftliche<br />
Unterschrift Anforderungen in Bezug auf Daten erfüllt, die auf Papier vorliegen.<br />
sind vor Gericht als Beweismittel zugelassen.<br />
... heißt es in den europäischen Richtlinien. Inwiefern diese Vorgaben in nationales Gesetz umgewandelt<br />
wurden, ist in jedem Land etwas unterschiedlich.<br />
Aber es bedeutet, dass elektronische Signaturen der eigenhändigen Unterschrift weitgehend gleichgestellt<br />
sind. In Deutschland ist dies durch die Änderung des § 126 BGB über die Schriftform umgesetzt worden.<br />
Darin wird bestätigt, dass die Schriftform eines unterschriebenen Dokuments mit der qualifizierten<br />
Signatur und einem elektronischen Dokument ersetzt werden kann.<br />
Allerdings gibt es auch Ausnahmen. In besonders empfindlichen Bereichen ist die elektronische Signatur<br />
nicht erlaubt, z.B.:<br />
Kündigung von Arbeitsverhältnissen<br />
Zeugnisse<br />
33
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Bürgschaften<br />
Notarielle Beurkundungen<br />
Außerdem sind qualifizierte Signaturen vor Gericht als Beweis zugelassen, können aber eine Urkunde nicht<br />
ersetzen. Dies liegt in der Definition einer Urkunde begründet. Der Beweiswert ist aber so hoch<br />
einzustufen (Siehe § 126 BGB), dass sie einem Urkundenbeweis sehr nahe kommen dürfte.<br />
Anerkennung der verwendeten kryptografischen Algorithmen<br />
Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht jährlich eine Übesicht über die<br />
Algorithmen und zugehörigen Parameter, die zur erzeugung von Signaturschlüsseln, zum Hashen zu<br />
signierender Daten und zur erzeugung und Prüfung qualifizierte elektronischer Signaturen als geeignet<br />
anzusehen sind. Die aktuelle Fassung des Dokuments können Sie von den Webseiten des Bundesamtes für<br />
Sicherheit in der Informationstechnik<br />
www.bsi.de<br />
herunter laden.<br />
34
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die folgende Tabelle fasst die Eignung der Hashfunktionen zusammen:<br />
geeignet bis Ende Erzeugung<br />
2007<br />
qualifizierter<br />
(Übergangsfrist bis Zertifikate*:<br />
Ende Juni 2008) geeignet bis Ende<br />
2009<br />
Erzeugung<br />
qualifizierter<br />
Zertifikate**:<br />
geeignet bis Ende<br />
2010<br />
geeignet bis Ende<br />
2010<br />
geeignet bis Ende<br />
2014<br />
SHA-1 SHA-1 SHA-1 RIPEMD-160 SHA-224, SHA-256, SHA-<br />
384, SHA-512<br />
(SHA-1, RIPEMD-160)***<br />
*d.h. zur Erzeugung qualifizierter Zertifikate, nicht aber zur Erzeugung und Prüfung anderer qualifiziert<br />
signierter Daten.<br />
** d.h. zur Erzeugung qualifizierter Zertifikate ≥20 bei Bit Entropie der Seriennummer, nicht aber zur<br />
Erzeugung und Prüfung anderer qualifiziert signierter Daten.<br />
***ausschließlich zur Prüfung qualifizierter Zertifikate.<br />
Für den RSA Algorithmus und die zugehörigen Schlüssellängen hat das Bundesamt für Sicherheit in der<br />
Informationstechnik die folgenden Vorgaben herausgegeben:<br />
Zeitraum<br />
Parameter<br />
bis Ende 2007<br />
Übergangsfrist bis<br />
Ende März 2008)<br />
n 1024 (Mindestw.)<br />
2048 (Empf.)<br />
bis Ende 2008 bis Ende 2009 bis Ende 2010 bis Ende 2014<br />
1280 (Mindestw.)<br />
2048 (Empf.)<br />
1536 (Mindestw.)<br />
2048 (Empf.)<br />
1728 (Mindestw.)<br />
2048 (Empf.)<br />
1976 (Mindestw.)<br />
2048 (Empf.)<br />
Die folgende Tabelle fasst die Bitlängen für den DSA (Digital Signature Algorithm) basierend auf den<br />
elliptischen Kurven zusammen:<br />
Zeitraum<br />
Parameter<br />
p 1024 (Mindestwert)<br />
2048 (Empfehlung)<br />
bis Ende 2007 bis Ende 2008 bis Ende 2009 bis Ende 2014<br />
1280 (Mindestwert)<br />
2048 (Empfehlung)<br />
1536 (Mindestwert)<br />
2048 (Empfehlung)<br />
q 160 160 160 224<br />
2048<br />
35
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
3 Sicherheitskomponenten der <strong>OpenLimit</strong> SignCubes Basiskomponenten<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 ist ein Produkt zum Erzeugen und Verifizieren<br />
fortgeschrittener und qualifizierter elektronischer Signaturen sowie zum Ver- und Entschlüsseln von<br />
Dokumenten. Die folgenden Abschnitte beschreiben die Sicherheitsmerkmale, die Ihnen durch die<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 zur Verfügung gestellt werden. Der genaue<br />
Wortlaut kann dem durch das BSI veröffentlichten Zertifizierungsreport in englischer Sprache für das<br />
Produkt entnommen werden.<br />
Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit Zertifikaten unter<br />
Verwendung eines Kartenterminals und einer Smartcard<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten die Funktion zur Berechnung von<br />
kryptographischen Prüfsummen (Hashwerten) nach den Algorithmen SHA-1, SHA-224, SHA-256, SHA-384,<br />
SHA-512 und RIPE-MD 160. Der korrekte Algorithmus wird von der Anwendung automatisch festgelegt. Um<br />
bei Bedarf diese Einstellungen anwenderspezifisch vornehmen zu können, sind entsprechende<br />
Einstellungen in der Registrydatei notwendig. Die Algorithmen SHA-224, SHA-256, SHA-384, SHA-512 und<br />
RIPE-MD 160 werden von der Bundesnetzagentur bzw. dem Bundesamt für Sicherheit in der<br />
Informationstechnik als geeignete Algorithmen für die Hashwertberechnung bei qualifizierten<br />
elektronischen Signaturen eingestuft.<br />
Im nächsten Schritt wird der berechnete Hashwert von einer Chip-Karte verwendet, um nach dem RSA bzw.<br />
ECDSA Verfahren eine elektronische Signatur zu erzeugen. Bei der Signaturerzeugung können Sie auf den<br />
<strong>OpenLimit</strong> SignCubes Viewer zurückgreifen, um die Daten, die Sie signieren möchten, in einer<br />
rechtsverbindlichen Art und Weise anzuzeigen.<br />
Bei der Erstellung der Signaturdatei können automatisch eine OCSP-Antwort, ein Zeitstempel sowie<br />
Attributzertifikate aufgenommen werden, um diese bei der Signaturverifikation zu verwenden. Das<br />
verwendete Signaturzertifikat wird immer automatisch in die Signaturdatei aufgenommen, um eine<br />
eindeutige Identifikation des Signaturerzeugers sicherzustellen.<br />
Verwenden Sie stets einen Kartenleser mit sicherer PIN-Eingabe und qualifizierte Chipkarten. Sie<br />
benötigen eine gültige Lizenz ab Modus 2 für das Produkt, um diese Sicherheitsfunktion nutzen zu können.<br />
Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die<br />
Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten.<br />
36
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Signaturverifikation<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten die Funktion zur Prüfung von<br />
Signaturen an beliebigen Dateien, deren kryptographische Prüfsummen (Hashwerte) nach den Algorithmen<br />
SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 berechnet wurden. Dabei wird eindeutig<br />
erkennbar, auf welche Daten sich die elektronische Signatur bezieht. Das Produkt teilt Ihnen mit, ob der<br />
Originalhashwert und der Verifikationshashwert identisch sind oder nicht, d.h. ob die Daten verändert<br />
wurden oder nicht.<br />
Für qualifizierte Signaturen ist der Hashalgorithmus SHA-1 ab 2008 nicht mehr zulässig. Für die Erzeugung<br />
anderer z.B. fortgeschrittener Signaturen kann der Algorithmus SHA-1 weiterhin zum Einsatz kommen.<br />
Bei der Signaturprüfung wird aus dem Signaturzertifikat das Herausgeberzertifikat ermittelt und die<br />
dazugehörige Sperrliste vom lokalen Datenträger geladen. Innerhalb der Sperrliste wird überprüft, ob ein<br />
entsprechender Eintrag für das Zertifikat vorhanden ist. War das Zertifikat zum Zeitpunkt der<br />
Signaturerzeugung bereits gesperrt, wird Ihnen dies angezeigt.<br />
Sie haben die Möglichkeit, eine OCSP-Abfrage zum Signaturzertifikat durchzuführen. Das Ergebnis der<br />
OCSP-Abfrage wird Ihnen in einer Statusmeldung angezeigt.<br />
Wurden bei der Signaturerstellung die Optionen zur automatischen OCSP-Abfrage, Erstellung eines<br />
Zeitstempels sowie das Mitsignieren von Attributzertifikate eingestellt, so werden diese Informationen bei<br />
der Signaturprüfung automatisch angezeigt.<br />
Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die<br />
Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. Für eine korrekte<br />
Zetrifikatsprüfung anhand der Sperrlisten sollten Sie regelmäßig die aktuellen Sperrlisten laden.<br />
Erkennung von Manipulationen an Programm-Modulen<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten die Funktion zum Erkennen von<br />
Manipulationen an den ausgelieferten Bibliotheken und ausführbaren Dateien. Das Prüfmodul ermittelt die<br />
Hashwerte aller Bibliotheken und ausführbaren Dateien und vergleicht diese mit den Signaturen der<br />
einzelnen Dateien. Bei Abweichungen werden die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 deaktiviert und Sie werden durch eine Textmeldung informiert.<br />
Es wird automatisch sichergestellt, dass das Prüfmodul nur von einer berechtigten Anwendung geladen<br />
werden kann. Das bedeutet, dass diese Anwendung mit dem gleichen Schlüssel signiert sein muss wie das<br />
auf Ihrem Rechner installierte Produkt.<br />
37
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, werden die <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3 deaktiviert. Der sichere Zustand der Anwendung ist nicht mehr<br />
gewährleistet, da eine Manipulation vorgenommen wurde. Mit einer Textmeldung werden Sie auf diesen<br />
Zustand hingewiesen.<br />
Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die<br />
Anforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten.<br />
Anzeige der zu signierenden oder bereits signierten Daten<br />
Der in den <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 enthaltene <strong>OpenLimit</strong> SignCubes<br />
Viewer bietet die Funktion, Inhalte, die angezeigt werden sollen, eindeutig darzustellen. Der <strong>OpenLimit</strong><br />
SignCubes Viewer sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhalten ist.<br />
Weiterhin werden Sie informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind.<br />
Bei der sicheren Anzeige der Datei (PDF-, Text- oder TIFF Format) werden die folgenden Arbeitsschritte<br />
vorgenommen: Zunächst wird das Format geprüft. Handelt es sich um ein unbekanntes Format, wird eine<br />
entsprechende Fehlermeldung ausgegeben, die den Hinweis enthält, dass diese Datei nicht dargestellt<br />
werden kann. Werden aktive bzw. verdeckte Inhalte in der Datei erkannt, wird Ihnen eine Warnmeldung<br />
angezeigt.<br />
Der <strong>OpenLimit</strong> SignCubes Viewer kann Dokumente anzeigen, die der PDF Spezifikation 1.7 entsprechen<br />
(Abweichungen von der PDF Spezifikation werden weiter unten in diesem Kapitel aufgelistet). Die TIFF<br />
Erkennung richtet sich nach der Adobe TIFF Spezifikation 6.0. Für die Erkennung von Textdokumenten<br />
gelten die folgenden Regeln:<br />
Die folgenden Zeichen werden von dem <strong>OpenLimit</strong> SignCubes Viewer untersucht, um zu erkennen, dass es<br />
sich bei dem vorliegenden Dokument um ein Textdokument handelt.<br />
a) das NULL Byte (0x00)<br />
b) die Zeichen TAB (0x09), CR (Cariage Return, 0x0d) und LF (Line Feed, 0x0a)<br />
c) die Zeichen von 0x01 bis 0x1f mit Ausnahme der unter a) und b) angegebenen Zeichen<br />
d) die Zeichen von ' ' bis '~' (0x20 bis 0x7e)<br />
e) die deutschen ANSI-Umlaute (0xc4 (Ä), 0xd6 (Ö), 0xdc (Ü), 0xe4 (ä), 0xf6 (ö), 0xfc (ü))<br />
f) die deutschen DOS Umlaute (0x81 (ü), 0x84 (ä), 0x8e (Ä), 0x94 (ö), 0x99 (Ö), 0x9a (Ü))<br />
g) alle restlichen Zeichen<br />
Die folgenden Regeln für die Erkennung von Textdateien durch den <strong>OpenLimit</strong> SignCubes Viewer werden<br />
formuliert:<br />
38
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Eine Sequenz von Zeichen der Kategorie a) ist am Ende einer Datei zulässig. Ein Zeichen der<br />
Kategorie a) innerhalb der Datei ist zulässig, mit Ausnahme der Erläuterung aus dem<br />
vorhergehenden Satz. Das Vorkommen von Zeichen der Kategorie a) innerhalb der Datei und am<br />
Ende der Datei ist nicht zulässig.<br />
Tritt mehr als ein Zeichen der Kategorie c) auf, handelt es sich nicht um eine Textdatei. Wenn<br />
bereits 2 Zeichen der Kategorie a) gefunden wurden, sind Zeichen der Kategorie c) nicht erlaubt.<br />
Liegt die Gesamtanzahl der Zeichen innerhalb der Datei aus Kategorie b), d), e) und f) unter<br />
80%, handelt es sich nicht um eine Textdatei.<br />
Weiterhin werden Warnungen durch den <strong>OpenLimit</strong> SignCubes Viewer generiert, wenn eines der<br />
folgenden Szenarien zutrifft.<br />
Die Kategorie g) ist nicht leer. In diesem Falle wird die folgende Warnung angezeigt: "Die Datei<br />
enthält Zeichen, die nicht eindeutig darstellbar sind!"<br />
Die Kategorien e) und f) sind beide nicht leer. In diesem Falle wird die folgende Warnung<br />
angezeigt, wenn nicht bereits das vorhergehende Szenario zutrifft: "Die Datei enthält sowohl<br />
'DOS'- als auch 'Windows'-Umlaute. Eine eindeutige Identifikation der korrekten Darstellung ist<br />
nicht möglich."<br />
Wenn Zeichen der Kategorie a) und/oder c) in dem Dokument vorhanden sind, wird die folgende<br />
Warnmeldung angezeigt: "Die Datei enthält Zeichen, die nicht eindeutig darstellbar sind!"<br />
Hinweis: Das hexadezimale Zeichen 0x00 wird wie folgend dargestellt: . Das hexadezimale<br />
Zeichen 0x7F wird wie folgend dargestellt: . Das Zeichen 0x00 führt zwar zu einer<br />
Warnmeldung des Viewers, es wird jedoch im Analysedialog keine gesonderte Warnmeldung<br />
ausgegeben, da dieses Zeichen in jedem Zeichensatz eine eindeutige Darstellung hat.<br />
Der <strong>OpenLimit</strong> SignCubes Viewer verarbeitet in PDF Dateien keine aktiven Code-Elemente, wie etwa Java-<br />
Script oder Multimedia-Objekte. Da das PDF Format die Einbettung verschiedener Ansichten ein und<br />
desselben Objektes erlaubt, zeigt der <strong>OpenLimit</strong> SignCubes Viewer grundsätzlich nur die Standard-Ansicht<br />
für diese Objekte an. Das bedeutet, dass Sie bei vorhandenen alternativen Darstellungen von Objekten<br />
grundsätzlich die Analysefunktionen des <strong>OpenLimit</strong> SignCubes Viewers benutzen müssen, um<br />
festzustellen, ob die alternativen Darstellungen Elemente enthalten, die den Inhalt des Dokuments<br />
verfälschen und Sie evtl. nicht bereit wären, diese Dokumentinhalte zu signieren.<br />
Die PDF Anzeige des <strong>OpenLimit</strong> SignCubes Viewers unterstützt das Dokumentformat PDF 1.7. Wenn Sie ein<br />
PDF Dokument mit dem <strong>OpenLimit</strong> SignCubes Viewer untersuchen, sollten Sie sicher stellen, dass die<br />
Angaben der PDF-Versionsnummer in dem Dokument der Version 1.7 oder darunter entspricht. Versionen<br />
nach der PDF-Version 1.7 können in dem Viewer nicht zweifelsfrei dargestellt werden, da spätere Versionen<br />
Elemente enthalten können, die vom Viewer nicht erkannt und auch nicht dargestellt werden können.<br />
39
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Der Viewer enthält einige Abweichungen zu diesem Standard (Dokumentformat 1.7), die Sie kennen<br />
sollten:<br />
Der <strong>OpenLimit</strong> SignCubes Viewer unterstützt keine Transparenz.<br />
Der <strong>OpenLimit</strong> SignCubes Viewer zeigt grundsätzlich die Standardansicht von PDF Objekten an.<br />
Das PDF Format erlaubt die Angabe von alternativen Ansichten eines Objektes, die Ansicht kann<br />
z.B. von der Bildschirmauflösung abhängig sein. In diesem Falle werden Sie von dem Produkt<br />
gewarnt und haben die Möglichkeit, die Mittel des <strong>OpenLimit</strong> SignCubes Viewer zu verwenden,<br />
um die alternativen Darstellungen zu untersuchen.<br />
Der <strong>OpenLimit</strong> SignCubes Viewer unterstützt keine Multimedia-Elemente. Die Möglichkeit, z.B.<br />
animierte Flash-Filme anzuzeigen wird von dem Produkt nicht unterstützt. In diesem Falle wird<br />
Ihnen die Standard-Darstellung (z.B. das Flash-Icon) angezeigt.<br />
Die Funktion zur Anzeige von PDF Dateien hängt von der Lizenz ab, die Sie erworben haben. Wenn Ihre<br />
Lizenz nicht erlaubt, PDF Dateien anzuzeigen, steht Ihnen diese Funktion auch nicht zur Verfügung.<br />
Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel<br />
Mindestanforderungen dargelegten Anforderungen sicherstellen. Es werden keine aktiven Inhalte wie<br />
Scripte oder Programmcode interpretiert.<br />
Schutz vor Hashwertmanipulation<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten einen Schutz vor<br />
Hashwertverfälschung während des Signaturvorganges. Dazu wird vor dem Signaturvorgang der Hashwert<br />
über die zu signierenden Daten gebildet. Nach dem Signaturvorgang überprüft das Produkt die erzeugte<br />
Signatur, indem es die Signatur mit dem öffentlichen Schlüssel des verwendeten Signaturzertifikates<br />
verifiziert. Abschließend wird Ihnen eine Textmeldung angezeigt, dass die Daten signiert wurden.<br />
Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel<br />
Mindestanforderungen dargelegten Anforderungen sicherstellen.<br />
Sicherstellung der Unversehrtheit des Produktes<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten die Funktion zum Prüfen der<br />
Integrität der installierten Programm-Module. Diese Sicherheitsfunktion wird durch das <strong>OpenLimit</strong><br />
SignCubes Integrity Tool realisiert. Das <strong>OpenLimit</strong> SignCubes Integrity Tool ist ein Java-Applet, das die<br />
Hash-Werte an den ausgelieferten sicherheitsrelevanten Modulen überprüft und somit sicherstellt, dass<br />
sich die Module noch in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden.<br />
40
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Für die Nutzung des <strong>OpenLimit</strong> SignCubes Integrity Tool ist das Java Plugin notwendig, das über die<br />
Internetseite<br />
www.<strong>OpenLimit</strong>.com/integritytool<br />
geladen wird. Das Java Plugin sollte grundsätzlich erst nach positiver Prüfung der Signatur des Applets<br />
gestartet werden.<br />
Das Ergebnis der Prüfung durch das <strong>OpenLimit</strong> SignCubes Integrity Tool wird Ihnen in einer Textmeldung<br />
angezeigt. Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, ist der sichere Zustand der<br />
Anwendung nicht mehr gewährleistet und Sie sollten das Produkt auf Ihrem Rechner neu installieren.<br />
Die Überprüfung der Unversertheit der Programm-Module sollte regelmäßig, d.h. mindestens einmal im<br />
Monat, durchgeführt werden.<br />
Stellen Sie sicher, dass sie die im Kapitel Betriebssysteme aufgeführte Version der Java Virtual Machine<br />
installiert haben, um die korrekte Arbeitsweise dieser Funktion sicherzustellen.<br />
Import und Verarbeitung von OCSP Abfragen<br />
Das Produkt bietet Ihnen die Möglichkeit, über das OCSP (Online Certificate Status Protocol) Protokoll die<br />
Gültigkeit eines Zertifikates zu prüfen. Dazu können Sie zu einem Zertifikat eine OCSP Anfrage mit Hilfe<br />
des Produktes stellen und erhalten eine entsprechende Antwort von der CA, die das Zertifikat ausgestellt<br />
hat. Sie sollten diese Möglichkeit immer dann nutzen, wenn Sie sich über die Gültigkeit eines Zertifikates<br />
direkt beim Herausgeber versichern möchten.<br />
Sie haben ebenfalls die Möglichkeit, das Produkt so zu konfigurieren, dass eine OCSP Antwort vom<br />
Herausgeber automatisch zur elektronischen Signatur hinzugefügt wird. Damit geben Sie dem Empfänger<br />
einer von Ihnen signierten Datei die Gewissheit, dass Ihr Zertifikat zum Zeitpunkt der Signaturerstellung<br />
nicht gesperrt war. Es besteht die Möglichkeit, dass Sie sich die Einzelheiten der OCSP Antwort anzeigen<br />
lassen. In diesem Falle haben Sie außerdem die Möglichkeit, das Zertifikat zu begutachten, welches die<br />
OCSP Antwort unterschrieben hat.<br />
Während des Imports der OCSP Antwort prüft das Produkt immer die mathematische Gültigkeit der<br />
Antwort. Ist die mathematische Gültigkeit nicht erfolgreich geprüft worden, werden die OCSP Daten nicht<br />
importiert. Wenn Sie die Details zur OCSP Antwort begutachten, prüft das Produkt automatisch die<br />
gesamte Zertifikatskette bis hin zum Wurzelzertifikat auf der Basis von Sperrlisten. Stellen Sie in diesem<br />
Falle sicher, dass Sie über aktuelle Sperrlisten auf Ihrem Rechner verfügen.<br />
41
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen<br />
dargelegten Anforderungen erfüllen.<br />
Import und Anbringen von Zeitstempeln<br />
Das Produkt erlaubt Ihnen das automatische Anbringen eines Zeitstempels an Daten, die Sie signiert<br />
haben. Dabei wird der Zeitstempel auf mathematische Korrektheit der Signatur überprüft und in die<br />
Signaturdatei, die Sie erzeugt haben, mit aufgenommen. Kann die mathematische Korrektheit der Signatur<br />
nicht erfolgreich geprüft werden, wird der Zeitstempel nicht mit aufgenommen und Ihnen wird eine<br />
entsprechende Fehlermeldung angezeigt.<br />
Um einen Zeitstempel automatisch zu den signierten Daten aufzunehmen, müssen Sie entsprechende<br />
Konfigurationseinstellungen an dem Produkt vornehmen.<br />
Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen<br />
dargelegten Anforderungen erfüllen.<br />
Prüfung von Zeitstempeln<br />
Wenn Sie eine signierte Datei erhalten, die einen Zeitstempel beinhaltet, können Sie die Gültigkeit des<br />
Zeitstempels überprüfen. Zu diesem Zweck haben Sie einen Dialog zur Verfügung, der Ihnen die<br />
Einzelheiten des Zeitstempels anzeigt. In diesem Falle wird die Signatur des Zeitstempels basierend auf<br />
Sperrlisten bis hin zum Wurzelzertifikat überprüft. Sie erhalten neben den eigentlichen Informationen, die<br />
Ihnen der Zeitstempel bereitstellt Informationen darüber, ob die Signatur des Zeitstempels selber gültig<br />
ist. Stellen Sie vor der Verwendung dieser Funktion sicher, dass Sie über aktuelle Sperrlisten verfügen.<br />
Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen<br />
dargelegten Anforderungen erfüllen.<br />
Freischalten und Verwendung von lizenzierten Funktionen<br />
Gemeinsam mit dem Produkt und Ihrer Signaturkarte haben Sie einen Lizenzschlüssel erhalten, den Sie bei<br />
der ersten Benutzung des Produktes eingeben müssen. Wenn Sie über keinen Lizenzschlüssel verfügen,<br />
können sie das Produkt zum Prüfen von Signaturen verwenden, jedoch keine Signaturen erstellen. Der<br />
Lizenzierungsassistent wird Sie durch den Lizenzierungsvorgang führen. Dabei werden keine vertraulichen<br />
Daten verwendet oder mit dem Hersteller des Produktes ausgetauscht. Sie werden während der<br />
Lizenzierung des Produktes aufgefordert, die vom Produkt erzeugte Lizenzdatei zu signieren. Dieser<br />
Vorgang dient zu Ihrer Absicherung, damit Sie später sicher sein können, eine gültige Lizenz Ihres<br />
Produktes zu verwenden.<br />
42
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wenn Sie über keinen Lizenzcode verfügen, können Sie das Produkt zum Verifizieren von PKCS#7<br />
Signaturen an TIFF und Text Dokumenten verwenden. Eine Signaturerzeugung ist in diesem Falle nicht<br />
möglich.<br />
Weiterhin werden die folgenden Modi in Abhängigkeit von der installierten Lizenz unterschieden:<br />
Reader-Modus: Im Reader-Modus haben Sie die Möglichkeit, TIFF und Text Dokumente mit dem<br />
Viewer zu betrachten. Die Prüfung von PKCS#7 Signaturen an diesen Dokumenten ist möglich,<br />
allerdings können Sie mit einer solchen (kostenfreien) Lizenz keine Signaturen erzeugen.<br />
Modus 2: Sie haben die Möglichkeit, TIFF und Text Dokumente zu betrachten und an diesen<br />
Dokumenten PKCS#7 Signaturen zu erzeugen. Sie können PKCS#7 Signaturen an diesen<br />
Dokumenten prüfen.<br />
Modus 3: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente zu betrachten. Sie können<br />
aber nur TIFF und Text Dokumente mit PKCS#7 Signaturen versehen. Sie haben die Möglichkeit,<br />
PKCS#7 Signaturen an allen drei Dokumentformaten zu überprüfen. Darüber hinaus können Sie<br />
in PDF Dateien eingebettete Signaturen verifizieren.<br />
Modus 4: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7<br />
Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. PDF<br />
Signaturen können ebenfalls geprüft werden.<br />
Modus 5: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7<br />
Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. Sie können<br />
zusätzlich eingebettete PDF Signaturen erzeugen und verifizieren.<br />
Der in diesem Zusammenhang verwendete Begriff PKCS#7 Signatur bezieht sich ausschließlich auf<br />
abgesetzte bzw. verbundene Signaturen. Signaturen innerhalb von PDF Dokumenten werden als PDF<br />
Signaturen bezeichnet, auch wenn diese technisch auf dem PKCS#7 Format basieren.<br />
Ein Upgrade der bei der Installation mitgelieferten Readerlizenz ist jederzeit möglich, allerdings benötigen<br />
Sie für diesen Vorgang eine Signaturkarte. Das Einspielen einer Lizenz mit geringeren Rechten als die<br />
bereits freigeschalteten Funktionen wird von dem Produkt verhindert bzw. nicht akzeptiert.<br />
Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen<br />
dargelegten Anforderungen erfüllen.<br />
3.1 <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
Der <strong>OpenLimit</strong> SignCubes Security Environment Manager ist das Kernstück des Softwarepaketes <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten 2.5, Version 2.5.0.3. Er wird standardmäßig automatisch mit dem<br />
43
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Betriebssystem gestartet. Andernfalls kann der <strong>OpenLimit</strong> SignCubes Security Environment Manager über<br />
Start/Programme/<strong>OpenLimit</strong> SignCubes/<strong>OpenLimit</strong> SignCubes Manager gestartet werden. Er stellt die<br />
folgenden Funktionen zur Verfügung:<br />
Berechnung des Hashwertes unter Verwendung einer der Algorithmen SHA-1, SHA-224, SHA-256,<br />
SHA-384, SHA-512 und RIPE-MD 160.<br />
Erzeugung der Signatur unter Verwendung einer Chipkarte und eines Kartenlesers mit sicherer<br />
PIN-Eingabe<br />
Hinzufügen eines Zeitstempels zu einer erzeugten elektronischen Signatur<br />
Unterstützung von Attributzertifikaten bei der Erzeugung einer elektronischen Signatur<br />
Unterstützung der OCSP Abfrage bei der Erzeugung einer elektronischen Signatur<br />
Prüfung von Signaturzertifikaten über OCSP und Sperrlisten (CRL)<br />
Anzeige der OCSP Informationen zu einem Zertifikat<br />
Verarbeitung von Zeitstempelinformationen während der Signaturprüfung<br />
Anzeige von Zeitstempelinformationen<br />
Sicherstellung der Integrität und korrekten Installation der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
Bereitstellung eines Interfaces für die Signaturerzeugung, Prüfung und Produktkonfiguration<br />
Im Prozess der Verifikation einer Signatur zeigt der <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
die zur Verfügung stehenden Informationen des qualifizierten Attributzertifikates, das zu dem<br />
qualifizierten Zertifikat zugehört, an. Der <strong>OpenLimit</strong> SignCubes Security Environment Manager ist in der<br />
Lage zu erkennen, ob ein Attributzertifikat zu einem Zertifikat dazugehört und bringt es zur Anzeige,<br />
sofern dieses vorhanden ist.<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 arbeiten mit Daten im PKCS#7 Format oder<br />
bei XML Daten im XML Signaturformat. Das bedeutet, dass das Produkt <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3 mit allen Anwendungen, die diese Formate unterstützen, kompatibel<br />
ist.<br />
Das Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 steuert die Kartenleser über<br />
PC/SC oder CT-API Schnittstellen an. Einige Hersteller liefern separate Programmbibliotheken zur<br />
Ansteuerung der sicheren PIN-Eingabe am Kartenleser. Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5,<br />
Version 2.5.0.3 verwenden diese Module, sofern diese vorhanden sind. Die durch die Software <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten 2.5, Version 2.5.0.3 unterstützten Chipkarten finden Sie in dem Abschnitt<br />
Chipkarten. Die Liste der unterstützten Kartenleser finden Sie in dem Abschnitt Kartenleser.<br />
44
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Es ist möglich, mehrere Kartenterminals und Signaturkarten parallel zu nutzen. Für jedes Kartenterminal<br />
wird Ihnen ein entsprechendes Icon im System-Tray angezeigt.<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 dürfen für die Erzeugung qualifizierter<br />
(rechtskonformer) Signaturen nur mit SigG konformen Kartenlesern verwendet werden. Eine Liste dieser<br />
Geräte wird durch die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen<br />
(Bundesnetzagentur) unter www.bundesnetzagentur.de veröffentlicht.<br />
Die Signaturprüfung erfolgt nach dem Schalenmodell und zusätzlich nach dem Kettenmodell (für<br />
qualifizierte Zertifikate) von dem Zertifikat des Anwenders bis zu dem Wurzelzertifikat der CA unter<br />
Einbeziehung der Sperrlisten.<br />
Zusätzlich zu der Sperrlistenabfrage unterstützen die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 das Online Certificate Status Protocol (OCSP). Das OCSP Protokoll ermöglicht die Online-Abfrage der<br />
Gültigkeit eines Zertifikates. Diese Prüfung kann nur durchgeführt werden, wenn die Information zu dem<br />
OCSP Responder verfügbar ist. Das bedeutet, dass das Zertifikat eine Information enthalten muss, die es<br />
ermöglicht den OCSP Responder zu identifizieren.<br />
Eine weitere Funktion des <strong>OpenLimit</strong> SignCubes Security Environment Managers ist die Arbeit mit<br />
Zeitstempeln. Ein Zeitstempel kann eine Angabe im Zusammenhang mit der Signaturerstellung sein, aber<br />
auch eine Information bei der Signaturprüfung. Weitere Informationen zu Zeitstempeldiensten erhalten Sie<br />
in dem Abschnitt Zeitstempeldienste.<br />
Die Verfahrensweise der Beschaffung der Informationen des OCSP, der Sperrlisten und des Zeitstempels<br />
sind nicht Bestandteil der Evaluierung.<br />
Hinweis: Die Signaturerzeugung besteht immer aus zwei Teilschritten: der Erzeugung des Hashwertes<br />
und der Verschlüsselung des Hashwertes mit dem privaten Schlüssel des Zertifikates. Die<br />
Verschlüsselung des Hashwertes findet immer auf der Chipkarte statt, so dass der private Schlüssel<br />
Ihres Signaturzertifikates dem <strong>OpenLimit</strong> SignCubes Security Environment Manager zu keinem<br />
Zeitpunkt der Signaturerzeugung und auch zu allen anderen Zeitpunkten nicht bekannt ist. Dieses<br />
Verfahren stellt sicher, dass ein Missbrauch des privaten Schlüssels des Zertifikates ausgeschlossen<br />
ist.<br />
Die Verfahren zur Signaturerzeugung und Verifikation arbeiten mit dem RSA bzw. ECDS Verfahren für<br />
Public Key Kryptographie. Die Stärke der verwendeten Schlüssel beträgt bis zu 2048 Bit und ist von der<br />
eingesetzten Chip-Karte abhängig.<br />
45
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wird eine elektronische Signatur erzeugt, so legt der <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
bei der Codierung des PKCS#7 Datencontainers bzw. der XML Signatur die komplette Zertifikatsliste bis hin<br />
zum Wurzelzertifikat in dem Container ab. Das bedeutet, dass somit immer die komplette Zertifikatsliste<br />
für das prüfende Programm zur Verfügung steht und eine vollständige Signaturprüfung erfolgen kann.<br />
Es gibt für den Anwender keine direkte Möglichkeit, den <strong>OpenLimit</strong> SignCubes Security Environment<br />
Manager zur Signaturerzeugung, Signaturverifikation, Ver- und Entschlüsselung zu benutzen. Um diese<br />
Funktionalitäten zu nutzen, steht Ihnen der <strong>OpenLimit</strong> SignCubes Viewer zur Verfügung.<br />
Der <strong>OpenLimit</strong> SignCubes Security Environment Manager enthält Mechanismen, die sicherstellen, dass die<br />
ausgelieferten Module nicht manipuliert wurden. Dazu überprüft der <strong>OpenLimit</strong> SignCubes Security<br />
Environment Manager die Programmbibliotheken während des Ladevorganges auf die Korrektheit ihrer<br />
Signaturen. Wenn Sie eine Fehlermeldung erhalten, dass die Signatur einer Programmbibliothek<br />
beschädigt ist, deaktiviert der <strong>OpenLimit</strong> SignCubes Security Environment Manager den Zugang zu den<br />
angebotenen Sicherheitsfunktionen. Die genauen Meldungen sind im Kapitel Fehlermeldungen des<br />
<strong>OpenLimit</strong> SignCubes Security Environment Manager (siehe "Fehlermeldungen <strong>OpenLimit</strong> SignCubes<br />
Security Environment Manager") aufgeführt. Hilfeanleitungen in solchen Situationen finden Sie ebenfalls<br />
in diesem Kapitel.<br />
3.2 <strong>OpenLimit</strong> SignCubes Viewer<br />
Der <strong>OpenLimit</strong> SignCubes Viewer ist Bestandteil der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 und bietet dem Anwender die Möglichkeit, sich gemäß den Anforderungen des §17 Absatz 2 SigG die<br />
zu signierenden Daten bzw. bereits signierte Daten anzeigen zu lassen. Der <strong>OpenLimit</strong> SignCubes Viewer<br />
sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhalten ist. Weiterhin werden Sie<br />
informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind.<br />
Bei der Signaturprüfung zeigt der <strong>OpenLimit</strong> SignCubes Viewer die Daten an, auf die sich die zur Prüfung<br />
ausgewählte Signatur bezieht.<br />
Hinweis: Der <strong>OpenLimit</strong> SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen<br />
und den Inhalt dieser Dokumente zu untersuchen. Die PDF Dokumente entsprechen der PDF 1.7<br />
Spezifikation. Sie sollten sich in jedem Fall vergewissern, um welche Version es sich bei der<br />
verwendeten PDF Datei handelt. Das TIFF Dokument kann eine mehrseitige TIFF Datei (Multipage-TIFF)<br />
sein. Die dargestellten Dokumentformate hängen von der erworbenen Lizenz ab.<br />
Werden unbekannte Inhalte oder Spezifikationen in den Dokumenten entdeckt, werden Sie von dem<br />
<strong>OpenLimit</strong> SignCubes Viewer darüber informiert. Werden Inhalte gefunden, die als verdeckte oder aktive<br />
46
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Inhalte erkannt werden, sollten Sie das Dokument nicht signieren. Der <strong>OpenLimit</strong> SignCubes Viewer kann<br />
diese Inhalte nicht entfernen sondern die Dokumente nur untersuchen. Wenn Sie das Dokument dennoch<br />
signieren, unterschreiben Sie ein Dokument, welches Sie nicht in seiner richtigen Darstellungsform<br />
betrachten konnten.<br />
Wenn Sie ein farbiges TIFF Dokument signieren wollen, sollten Sie immer von der Möglichkeit der<br />
Graustufen und Schwarz/Weiß Betrachtung des Dokuments innerhalb des <strong>OpenLimit</strong> SignCubes Viewer<br />
Gebrauch machen. Der Abschnitt Arbeiten mit dem <strong>OpenLimit</strong> SignCubes Viewer zeigt Ihnen am Beispiel<br />
einer manipulierten TIFF Datei, wie Sie verdeckte Inhalte in einem solchen Dokument erkennen können. In<br />
diesem Kapitel erhalten Sie darüber hinaus eine Beschreibung der Darstellungsmöglichkeiten weiterer<br />
Dateiinhalte wie Bilder, Java Scripte und Texte, die in PDF Dateien enthalten sein können.<br />
Mit dem <strong>OpenLimit</strong> SignCubes Viewer können Dateien im Format PDF, TIFF und TEXT geöffnet werden,<br />
wobei diese Dokumente mit einer PKCS#7 Signatur versehen sein können. In diesem Falle haben Sie die<br />
Möglichkeit, die Gültigkeit der Signatur vom Viewer aus zu prüfen.<br />
Der <strong>OpenLimit</strong> SignCubes Viewer kann als separates Programm oder innerhalb des<br />
Signaturanforderungsdialoges gestartet werden. Innerhalb des Signaturanforderungsdialoges können Sie<br />
den <strong>OpenLimit</strong> SignCubes Viewer nur dann verwenden, wenn auch ein PDF, Text oder TIFF Dokument als<br />
das zu signierende Dokument erkannt wird. Der <strong>OpenLimit</strong> SignCubes Viewer wird als Programm<br />
‘siqView.exe‘ im Installationspfad der Anwendung installiert, weiterhin wird während der Installation eine<br />
Verknüpfung im Startmenü des Betriebssystems erzeugt.<br />
Der <strong>OpenLimit</strong> SignCubes Viewer kann die Dokumente zwar untersuchen und Warnungen zu den<br />
Dokumenten generieren sowie Prüfdetails anzeigen, jedoch muss die Entscheidung, ob eine Signatur an<br />
dem Dokument erzeugt werden soll, durch den Anwender selbst getroffen werden. Die inhaltliche<br />
Interpretation eines angezeigten Dokuments obliegt vollständig dem Benutzer und kann durch den<br />
<strong>OpenLimit</strong> SignCubes Viewer nicht geleistet werden.<br />
Hinweis zu den anzeigbaren Dokumentformaten<br />
Die anzeigbaren Dokumentformate hängen von der erworbenen Lizenz ab. Wenn Ihre Lizenz die Anzeige<br />
von PDF Dokumenten nicht erlaubt, können solche Dokumente auch nicht dargestellt werden. Wenn Sie<br />
über keinen Lizenzcode für das Produkt verfügen, können sie auch grundsätzlich keine elektronischen<br />
Signaturen mit dem Produkt erzeugen. Mehr Informationen finden Sie in der Beschreibung der<br />
Lizenzierungsvarianten unter Sicherheitskomponenten der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5,<br />
Version 2.5.0.3.<br />
47
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis für die Signaturerzeugung:<br />
Im folgenden Abschnitt wird erklärt, in welcher Situation der <strong>OpenLimit</strong> SignCubes Viewer ein<br />
Verbunddokument bzw. eine abgesetzte Signatur erzeugt. Für die Erzeugung von Signaturen benötigen Sie<br />
eine entsprechende Lizenz.<br />
Ausgangsdatei Erzeugtes Dateiformat<br />
TIFF-Datei ohne Signatur Signatur wird als abgesetzte Signaturdatei erzeugt.<br />
Text-Datei ohne Signatur Signatur wird als abgesetzte Signaturdatei erzeugt.<br />
TIFF-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei hinzugefügt.<br />
Text-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei hinzugefügt.<br />
TIFF-Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt.<br />
Text-Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt.<br />
PDF Datei ohne Signatur oder mit eingebetteter<br />
Signatur<br />
In Abhängigkeit von der Lizenz wird entweder<br />
eine eingebettete PDF Signatur oder eine abgesetzte<br />
PKCS#7 Signatur erzeugt.<br />
PDF Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signatur hinzugefügt.<br />
PDF Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt.<br />
3.3 <strong>OpenLimit</strong> SignCubes Integrity Tool<br />
Wenn Sie in die Situation geraten, dass Sie nicht mehr sicher sind, ob Ihr Rechner nicht manipuliert wurde,<br />
müssen Sie sicherstellen, dass das Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3<br />
noch wie vorgesehen arbeitet.<br />
Um die Integrität des Produktes auf Ihrem Rechner sicherzustellen, sollten Sie sich nicht nur auf die<br />
korrekte Arbeitsweise des <strong>OpenLimit</strong> SignCubes Security Environment Managers verlassen. Sie benötigen<br />
ein unabhängiges Werkzeug, welches im Zweifelsfall in der Lage ist, von einem vertrauenswürdigen<br />
Medium aus die Integrität des installierten Produktes auf Ihrem Rechner zu überprüfen.<br />
48
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Das <strong>OpenLimit</strong> SignCubes Integrity Tool überprüft die Hash-Werte an den installierten<br />
sicherheitsrelevanten Programmbibliotheken. Es wird festgestellt, ob sich die Programmbibliotheken noch<br />
in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden. Nach erfolgter Prüfung<br />
wird ein Prüfbericht erstellt.<br />
Dazu berechnet das Java-Applet die Hashwerte nach SHA-256 und vergleicht sie mit den <strong>OpenLimit</strong> -<br />
Originalen. Sie können das Applet über die folgende URL aufrufen:<br />
https://www.<strong>OpenLimit</strong>.com/integritytool<br />
Weiterhin zeigt Ihnen das <strong>OpenLimit</strong> SignCubes Integrity Tool an, welche Chipkartenterminals und<br />
Signaturkarten von Ihrer Installation unterstützt werden. Wenn Sie eine Signaturkarte verwenden<br />
möchten, die von der aktuellen Installation nicht unterstützt wird, können Sie diese Unterstützung durch<br />
ein Add-On Setup zu Ihrer derzeitigen Installation hinzufügen. Verwenden Sie in jedem Falle das <strong>OpenLimit</strong><br />
SignCubes Integrity Tool um zu überprüfen, ob die beabsichtigten Module Ihrer Installation hinzugefügt<br />
worden sind.<br />
Das <strong>OpenLimit</strong> SignCubes Integrity Tool bietet die Möglichkeit, Konfigurationen für Chipkarten zusätzlich<br />
zu der Standardinstallation einzuspielen. Diese Konfiguration sind Initialisierungsdateien, die festlegen,<br />
welcher Hash- und Signaturalgorithmus für die jeweilige Signaturkarte verwendet wird. Das <strong>OpenLimit</strong><br />
SignCubes Integrity Tool kennt alle möglichen Konfigurationen für die Signaturalgorithmen und prüft bei<br />
dem Integritätscheck auch die verwendeten Algorithmen.<br />
Weitere Informationen dazu finden Sie in dem Kapitel Arbeiten mit dem <strong>OpenLimit</strong> SignCubes Integrity<br />
Tool<br />
Das Applet <strong>OpenLimit</strong> SignCubes Integrity Tool ist signiert, die Signatur wird von der Java Virtual Machine<br />
(JVM) geprüft. Sie müssen dem Zertifikat explizit vertrauen, mit dem das Applet signiert wurde. Die<br />
Seriennummer des Zertifikates, mit dem das Applet signiert wurde, lautet<br />
[30927389024320750942604185761776278687] und wurde von VeriSign herausgegeben. Das Zertifikat ist<br />
vom 27.05.2009 bis zum 27.05.2012 gültig. Für den Fall, dass das Zertifikat erneuert wird, veröffentlicht<br />
<strong>OpenLimit</strong> die Seriennummer des aktuellen Zertifikats auf der Webseite.<br />
Neben den im Kapitel Betriebssysteme genannten Voraussetzungen ist für die Abarbeitung des Java-<br />
Applets die korrekte Browserkonfiguration zur Verwendung der JVM notwendig.<br />
Weitere Hinweise zur Arbeit mit dem Java-Applet erhalten Sie in dem Kapitel Arbeiten mit dem <strong>OpenLimit</strong><br />
SignCubes Integrity Tool.<br />
49
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Stellt das <strong>OpenLimit</strong> SignCubes Integrity Tool fest, dass sich die Programmbibliotheken nicht mehr in<br />
ihrem Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher<br />
sollten Sie jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen<br />
wurde oder ein anderes Programm Ihren Rechner manipuliert hat.<br />
Hinweis: Starten Sie das <strong>OpenLimit</strong> SignCubes Integrity Tool nur von der Webseite<br />
https://www.<strong>OpenLimit</strong>.com/integritytool<br />
und nach Prüfung des Server-Zertifikats.<br />
Sie müssen als Nutzer das Prüfprogramm regelmäßig ausführen, um die Integrität des Produktes<br />
sicherzustellen. Regelmäßig bedeutet in diesem Zusammenhang mindestens einmal im Monat. Weiterhin<br />
müssen Sie die Integrität des Produktes auf Ihrem Rechner sicherstellen, sobald Sie den Verdacht haben,<br />
dass die Programmdateien geändert wurden.<br />
Falls Sie das Produkt über einen Download bezogen haben, sollten Sie in jedem Fall, bevor Sie das Produkt<br />
zum ersten Mal anwenden, das <strong>OpenLimit</strong> SignCubes Integrity Tool ausführen, um die Korrektheit der<br />
Installation zu verifizieren.<br />
4 Konfiguration der <strong>OpenLimit</strong> SignCubes Basiskomponenten<br />
In diesem Abschnitt werden Ihnen die Konfigurationsoptionen des Produktes <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3 dargelegt und auf die sichere Konfiguration des Produktes<br />
eingegangen. Darüber hinaus werden Sie in jedem Abschnitt dieser <strong>Benutzerdokumentation</strong> Version 2.5.0.3<br />
auf die sicheren Parameter bei der Konfiguration hingewiesen. Abweichende Konfigurationen sollten Sie<br />
nach Möglichkeit nicht einsetzen, da unter Umständen der sichere Betrieb des Produktes nicht mehr<br />
gewährleistet werden kann. Vor der Arbeit mit dem Produkt müssen Sie die Konfiguration der<br />
Benutzereinstellungen des Produktes überprüfen, insbesondere, wenn Sie an einem Arbeitsplatz arbeiten,<br />
an dem auch andere Benutzer Zugriff auf das Produkt haben.<br />
Administration und Administratorrolle<br />
Das Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 erlaubt die individuelle<br />
Konfiguration der Benutzereinstellungen. Diese individuelle Konfiguration kann allerdings nur dann<br />
vorgenommen werden, wenn Sie als Benutzer über Administratorrechte verfügen oder Ihnen ein<br />
50
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Administrator des Betriebssystems Administrationsrechte einräumt. Dies gilt daher nur für die<br />
Betriebssysteme Windows NT 4.0, Windows 2000, Windows XP und Windows Vista, da die individuelle<br />
Konfiguration des Produktes an Hand der vorhandenen Nutzer vorgenommen wird.<br />
Die Administration des Produktes ist also an die Administratorrolle des Betriebssystems geknüpft. Es wird<br />
keine gesonderte Unterscheidung zwischen diesen beiden Rollen im Verlauf dieses Handbuches<br />
vorgenommen. Wenn in diesem Handbuch von der Rolle des Administrators gesprochen wird, ist damit ein<br />
Benutzer mit Administrationsrechten auf dem jeweiligen Rechner gemeint bzw. ein Benutzer, dem durch<br />
den jeweiligen Administrator des Betriebssystems das Recht eingeräumt wurde, das Produkt individuell zu<br />
konfigurieren.<br />
Einräumen von Konfigurationsrechten an andere Benutzer<br />
Sie können die Bindung an die Administratorrolle im Betriebssystem zur Konfiguration des Produktes<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 aufheben, indem Sie einen Wert in der<br />
Registry ändern. Diese Änderung hat dann zur Folge, dass jeder Benutzer des Rechners eine individuelle<br />
Konfiguration des Produktes vornehmen kann. Da das Produkt automatisch eine sichere Konfiguration<br />
nach der Installation einnimmt, sollten Sie von dieser Option nach Möglichkeit keinen Gebrauch machen.<br />
1. Öffnen Sie den Registry Editor des Betriebssystems.<br />
2. Öffnen Sie den Schlüssel HKLM/Software/SignCubes/Options<br />
3. Öffnen sie durch einen doppelten Klick auf den Eintrag Options den Wert User<br />
4. Tragen Sie statt der vorkonfigurierten 0 eine 1 ein.<br />
Mit diesem Eintrag haben Sie die Administratorrolle für das Produkt <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3, die durch das Betriebssystem vorgegeben ist, aufgehoben. Jetzt<br />
kann jeder Benutzer individuelle Einstellungen vornehmen, die auch für jeden Benutzer separat verwaltet<br />
werden. Durch diesen Mechanismus ist sichergestellt, dass keine separaten Administrationsrollen für das<br />
Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 definiert sind.<br />
4.1 Konfigurationsoptionen des <strong>OpenLimit</strong> SignCubes Security Environment Managers<br />
Der <strong>OpenLimit</strong> SignCubes Security Environment Manager bietet zwei Menüs zur Konfiguration. Das erste<br />
Kontextmenü des <strong>OpenLimit</strong> SignCubes Security Environment Managers wird beim Klicken auf das<br />
<strong>OpenLimit</strong> Icon geöffnet. Das zweite Kontextmenü enthält spezifische Konfigurationsoptionen für die<br />
jeweilige Chipkarte und wird im Kapitel Chipkarten Optionen behandelt.<br />
Wenn Sie auf das Icon <strong>OpenLimit</strong> klicken, wird ein Kontextmenü geöffnet.<br />
51
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hier sind Menüpunkte betreffend der Software gelistet:<br />
Sperrlistenaktualisierung: Während der Signaturprüfung werden immer die aktuell auf dem<br />
Rechner verfügbaren Sperrlisten verwendet. Daher sollten Sie in regelmäßigen Abständen (im<br />
Normalfall täglich) diese Option nutzen, um aktuelle Sperrlisten auf Ihren Rechner herunter<br />
zuladen. Zusätzlich zur Sperrlistenprüfung können Sie die Online - Prüfung nutzen, um den<br />
Status des Signaturzertifikates zu ermitteln. Für die Online - Prüfung benötigen Sie eine<br />
Internetverbindung. Diese wird durch den <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
nicht automatisch hergestellt.<br />
Eigenschaften: Hier werden Einzelheiten über die Software angegeben. Sie können sich die<br />
installierten Module sowie deren Versionsnummern anzeigen lassen. Weiterhin können Sie<br />
sehen, welche Funktionen Sie lizenziert haben. Für dieses Produkt tragen die Programm-Module<br />
die Versionskennung 2.5.0.3.<br />
Einstellungen: In diesem Menü können sie globale Einstellungen am <strong>OpenLimit</strong> SignCubes<br />
Security Environment Manager vornehmen. Um diese Einstellungen vornehmen zu können,<br />
benötigen Sie die Rechte eines Administrators.<br />
Hilfe: Mit diesem Befehl wird die <strong>Benutzerdokumentation</strong> zu den <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3 geöffnet.<br />
Info: Hier werden Copyright- und Versionsinformationen der Basiskomponenten angezeigt.<br />
Beenden: Mit diesem Befehl wird der <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
beendet. Dann kann keine Signaturerzeugung bzw. Signaturverifikation vorgenommen werden.<br />
52
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
4.1.1 Option: Lizenzeinstellungen und Lizenzupgrade<br />
Wenn Sie sich vergewissern wollen, welche Lizenz des Produktes Sie erworben haben, können Sie sich über<br />
den Menüpunkt Eigenschaften des <strong>OpenLimit</strong> SignCubes Security Environment Managers die mit Ihrem<br />
eingegebenen Lizenzcode verbundenen freigeschalteten Eigenschaften des Produktes anzeigen lassen. Ein<br />
grünes Häkchen bedeutet, dass Sie die jeweilige Eigenschaft des Produktes lizenziert haben und Ihnen<br />
diese damit zur Verfügung steht. Funktionen, die Ihnen nicht zur Verfügung stehen, werden Ihnen auch<br />
nicht angezeigt.<br />
Wenn Sie in dem Menüpunkt Eigenschaften des <strong>OpenLimit</strong> SignCubes Security Environment Managers auf<br />
den Knopf Lizenzinhaber klicken, wird Ihnen das Zertifikat desjenigen Benutzers angezeigt, der die Lizenz<br />
auf dem Rechner freigeschaltet hat. Wenn Sie selbst die Lizenz frei geschaltet haben, muss Ihr Zertifikat in<br />
diesem Dialog angezeigt werden.<br />
53
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wenn Sie mehr Funktionen des Produktes nutzen möchten als Sie mit dem Lizenzcode freigeschaltet<br />
haben, können Sie einen entsprechenden Lizenzcode von der <strong>OpenLimit</strong> SignCubes AG oder einem ihrer<br />
Vertriebspartner erwerben. Sie müssen in diesem Falle das Produkt nicht deinstallieren, sondern können<br />
auf den Button Lizenz-Upgrade klicken. In diesem Falle wird der Lizenzmanager erneut gestartet und Sie<br />
können über einen entsprechenden Lizenzcode die gewünschten Funktionen frei schalten.<br />
Hinweis: Geben Sie die Installationspfade der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 nicht im Netzwerk für andere Benutzer frei.<br />
Vor Verwendung der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 sollten Sie nochmals<br />
prüfen, ob die Lizenz korrekt ist, in dem Sie das <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 Icon, Eigenschaften anklicken und sich die verfügbaren Funktionen anzeigen lassen. Gleichfalls<br />
sollten Sie das Zertifikat des Lizenzinhabers prüfen.<br />
Wenn der Lizenzierungsassistent beim Start der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 erscheint, ist keine Lizenzdatei vorhanden. Wenn dies trotz erfolgreich durchgeführter<br />
Lizenzierung auftritt, wurde eventuell die Lizenzdatei gelöscht. In diesem Falle sollten Sie die Integrität<br />
des Betriebssystems mit einem geeigneten Programm (z.B. Virenscanner) überprüfen und sicherstellen,<br />
dass nicht unberechtigte Dritte auf Ihren Rechner zugreifen können.<br />
4.1.2 Option: Allgemeine Einstellungen<br />
Wenn Sie im Kontextmenü des <strong>OpenLimit</strong> SignCubes Security Environment Managers auf Einstellungen<br />
geklickt haben, erscheint ein Dialog mit Registerkarten, die in den folgenden Abschnitten beschrieben<br />
werden.<br />
Hinweis: Sie können die Einstellungen an den Registerkarten nur dann ändern, wenn Sie auch über<br />
Administrationsrechte verfügen. Für das Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 ist keine spezielle Administratorrolle definiert. Weitere Erläuterungen finden Sie im Abschnitt<br />
Konfiguration der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3.<br />
54
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die folgenden Optionen können Sie hier einstellen:<br />
Autostart des <strong>OpenLimit</strong> SignCubes Security Environment Managers: Setzen das Häkchen in<br />
der Checkbox, wenn Sie möchten, dass der <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
automatisch beim Start des Betriebssystems gestartet wird. Diese Option wird bei der<br />
Installation der Software aktiviert. Wenn Sie dieses Verhalten nicht möchten, können Sie das<br />
Häkchen entfernen.<br />
Sprache: Hier wird Ihnen die aktuell eingestellte Sprache angezeigt. Das Produkt unterstützt die<br />
Sprachen Deutsch und Englisch.<br />
Signaturformat: Hier haben Sie die Möglichkeit, das Dateiformat für zu signierende Dokumente<br />
einzustellen (Dokument und Signatur in einer Datei oder Dokument und Signatur in zwei<br />
verschiedenen Dateien). Diese Option hat keine Auswirkungen auf die sichere Anzeigeeinheit,<br />
d.h. der <strong>OpenLimit</strong> SignCubes Viewer erzeugt grundsätzlich PKCS#7 Signaturen (getrennte<br />
Dateien). Die erzeugten Dokumentformate der sicheren Anzeigeeinheit sind im Kapitel<br />
55
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Sicherheitskomponenten der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3<br />
erläutert. Die Einstellung für XML-Signaturen wird wirksam, wenn die Signaturerzeugung der XML<br />
Daten über eine Drittanwendung gestartet wird. Weitere Informationen dazu finden Sie in dem<br />
Abschnitt XML Signaturen.<br />
Attributzertifikate automatisch mitsignieren: Sofern dieser Haken gesetzt ist, werden bei der<br />
Signaturerzeugung alle unter dem Ordner 'Eigene Dateien\Attribute Certificates' vorhandenen<br />
Attributzertifikate dahingehend durchsucht, ob sie zu diesem Zertifikat dazu gehören. Falls dies<br />
der Fall ist, wird das Attributzertifikat mitsigniert und dem Signaturzertifikat hinzugefügt.<br />
Signaturen automatisch mit Zeitstempel versehen: Hier können Sie den Signaturdaten<br />
automatisch einen Zeitstempel hinzufügen. Der Zeitstempel wird jedoch nicht mitsigniert, d.h.,<br />
der Zeitstempel wird nicht durch die neu erstellte Signatur geschützt.<br />
Signaturen automatisch mit OCSP-Status versehen: Mit der Aktivierung dieser Funktion wird<br />
automatisch eine OCSP-Abfrage durchgeführt und das Abfrageergebnis wird den Signaturdaten<br />
hinzugefügt. Die OCSP-Antwort wird nicht durch die neu erstellte Signatur geschützt.<br />
Durch Anklicken des Buttons Ausgangskonfiguration werden die mit der Installation<br />
vorgenommenen Voreinstellungen wieder hergestellt. Durch die Anwendung dieses Befehls<br />
werden nur die Einstellungen für den aktiven Benutzer zurück gesetzt, nicht jedoch die<br />
Einstellungen, die für alle Benutzer gelten.<br />
Hinweis zur sicheren Konfiguration: Sie sollten den <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
automatisch beim Start des Betriebssystems starten lassen. Es wird nur dann das Deaktivieren dieser<br />
Option empfohlen, wenn das PC/SC Subsystem nach dem <strong>OpenLimit</strong> SignCubes Security Environment<br />
Manager gestartet wird und dieser dadurch beim Start des Betriebssystems keine Kartenleser erkennt.<br />
Das Speichern der Originaldaten und der Signatur in einer Datei oder die Erzeugung einer abgetrennten<br />
Signaturdatei haben keinen Einfluss auf die Sicherheit des Produktes <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3.<br />
Wenn Sie sich nicht sicher sind, ob sich Ihre Installation in der Originalkonfiguration befindet, verwenden<br />
Sie bitte den Befehl Ausgangskonfiguration, um die von Ihnen vorgenommenen Änderungen zu verwerfen.<br />
Hinweis für die Einstellungen des Signaturformats: Wenn Sie die Einstellungen so treffen, dass<br />
Verbunddokumente beim Signaturvorgang erzeugt werden und Sie ein Dokument über die <strong>OpenLimit</strong><br />
SignCubes Shell-Extension signieren, erhalten Sie ein Dokument mit der Endung '*.p7m'. Wenn Sie nun<br />
die Originaldaten ein weiteres Mal signieren möchten, werden Sie nach dem Namen der Ausgabedatei<br />
56
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
über einen 'Datei speichern unter...' Dialog gefragt, da die Signatur nicht dem '.p7m' Dokument<br />
hinzugefügt wird. Wenn Sie den Dateinamen beibehalten, wird das Originaldokument überschrieben. Sie<br />
können aber auch einen anderen Dateinamen angeben, unter dem dieses Dokument dann abgelegt wird.<br />
Die <strong>OpenLimit</strong> SignCubes Shell-Extension ist kein Bestandteil der <strong>OpenLimit</strong> SignCubes Basiskomponenten<br />
2.5, Version 2.5.0.3, greift aber über eine ebenfalls zertifizierte Schnittstelle auf die Funktionen des<br />
Produktes zurück.<br />
57
4.1.3 Option: Verzeichnisse<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Sie haben im Register Verzeichnisse die Möglichkeit, die Verzeichnisse für Sperrlisten und<br />
Stammzertifikate, die von der Software verwendet werden, umzukonfigurieren. Machen Sie von dieser<br />
Möglichkeit nur dann Gebrauch, wenn Sie sich sicher sind, dass Sie verstanden haben, wozu diese<br />
Verzeichnisse von der Software genutzt werden.<br />
Unter dem Register Verzeichnisse können die Speicherpfade für sicherheitsrelevante Dateien festgelegt<br />
werden. Standardmäßig steht der Pfad auf C:\Programme\<strong>OpenLimit</strong>\Data\ und dann der Name des<br />
jeweiligen Ordners.<br />
Was bedeutet sicherheitsrelevant? Beispiel Sperrlisten: Das Produkt <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3 verwendet bei der Prüfung von Signaturen Sperrlisten, um die<br />
58
4.1.4 Option: PIN-Abfrage<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Gültigkeit des Signaturzertifikates bei der Signaturerzeugung zu überprüfen. Die Sperrlisten, die Sie<br />
manuell vom Sperrlistenverteilungspunkt abrufen, werden im Verzeichnis für Sperrlisten gespeichert.<br />
Wenn Sie die Verzeichnisse für die Sperrlisten ändern, sollten Sie entweder die in diesem Verzeichnis bei<br />
der Softwareinstallation abgelegten Dateien ebenfalls in das geänderte Verzeichnis kopieren oder nach<br />
der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann die korrekte<br />
Signaturprüfung durch das Produkt nicht gewährleistet werden.<br />
Sperrlisten: Certificate Revocation Lists (CRLs) sind Listen mit gesperrten Zertifikaten, die von<br />
den Trustcentern herausgegeben werden. Anhand der Sperrlisten wird geprüft, ob das<br />
verwendete Signaturzertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt war.<br />
PKDs: (Public Key Directories) sind Verzeichnisse, in denen die öffentlichen Schlüssel, d.h., die<br />
Zertifikate von verschiedenen Herausgebern gelistet sind. Hier sind derzeit die von der<br />
Bundesnetzagentur herausgegebenen CA-Zertifikate enthalten.<br />
CTLs: (Certificate Trust Lists) sind Verzeichnisse, in denen vertrauenswürdige Wurzelzertifikate<br />
abgelegt werden können. Das Zertifikat der Bundesnetzagentur, dem wir generell vertrauen, ist<br />
in der Software integriert. Wenn Sie einer anderen Wurzel vertrauen möchten, speichern Sie das<br />
Zertifikat in diesem Ordner und legen Sie die CA-Zertifikate auch unter den PKDs ab.<br />
Wenn sie die Verzeichniseinstellungen falsch konfigurieren oder nicht alle notwendigen Schritte<br />
vornehmen, damit die Verzeichnisse von den <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3<br />
richtig genutzt werden können, ist ein scheinbares Fehlverhalten der Software möglich. Durch Ihre<br />
Einstellungen konfigurieren Sie selbst, welchen Zertifikaten Sie vertrauen und welchen nicht.<br />
Hinweis: Wenn Sie die Verzeichnisse ändern, dürfen die neuen Verzeichnisse nicht schreibgeschützt<br />
sein, da sonst das Ablegen von Sperrlisten in dem Verzeichnis fehlschlägt.<br />
Hinweis für die sichere Konfiguration: Sie sollten die Einstellungen der Verzeichnisse nicht ändern.<br />
Wenn Sie die Verzeichnisse ändern, beeinflussen Sie das Sicherheitsverhalten des Produktes. Sie<br />
sollten diese Einstellungen nur ändern, wenn Sie die obigen Ausführungen richtig verstanden haben.<br />
In diesem Register können Sie die Optionen für die PIN-Eingabe konfigurieren. Gehen Sie sensibel mit den<br />
einstellbaren Optionen um, da ein Missbrauch Ihrer Signaturkarte durch falsches oder unachtsames<br />
Vorgehen mit diesen Optionen erleichtert werden könnte.<br />
59
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
In diesem Dialog sind Optionen aufgeführt, welche die Eingabe oder Abfrage der PIN (personal<br />
identification number) betreffen:<br />
Sichere PIN-Eingabe automatisch verwenden: Diese Option garantiert, dass bei Kartenlesern,<br />
welche die sichere PIN-Eingabe unterstützen, diese auch automatisch verwendet wird. Diese<br />
Option kann in der ausgelieferten Konfiguration nicht abgewählt werden und sollte für eine<br />
sichere Konfiguration des Produktes immer aktiviert sein. Wenn Sie nicht die sichere PIN-<br />
Eingabe verwenden, steigt die Gefahr des Ausspähens der PIN durch entsprechende Programme.<br />
Karte für mehrere Arbeitsschritte öffnen: Wenn Sie größere Arbeitsaufgaben vor sich haben,<br />
die eine ständige Wiederholung der PIN-Eingabe erfordern, können Sie auch die Karte öffnen.<br />
Dann wird die PIN einmalig beim ersten Signaturvorgang abgefragt. Weitere Eingaben sind nicht<br />
mehr erforderlich in Abhängigkeit von Ihren weiteren Einstellungen. Dies ist beispielsweise sehr<br />
praktisch, wenn man eine Vielzahl von Dokumenten entschlüsseln muss. Auch die Signatur von<br />
zahlreichen Dateien kann so zeitsparend erledigt werden.<br />
60
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Diese Funktion ist für die in dem Kapitel Chipkarten genannten Karten nur für die fortgeschrittene<br />
Signatur verfügbar.<br />
PIN abfragen: Falls Sie die Karte für mehrere Arbeitsschritte öffnen wollen, haben Sie zusätzlich<br />
die Möglichkeit, diese Option einzuschränken.<br />
Für qualifizierte Signaturen, fortgeschrittene Signaturen und für Entschlüsselung stehen folgende<br />
Varianten zur Verfügung:<br />
bei jeder Verwendung: Jedes Mal wird die PIN abgefragt.<br />
automatisch mit Begrenzung: Je nach Begrenzung ist die Benutzung eingeschränkt.<br />
keine weitere Abfrage: Die PIN muss nicht mehr eingegeben werden.<br />
Beispiel: Wenn Sie nur Entschlüsseln möchten, dann stellen sie die Auswahl bei qualifizierten und<br />
sonstigen Signaturen auf bei jeder Verwendung und bei Entschlüsseln auf keine weitere Abfrage.<br />
Begrenzung: Haben Sie oben auf automatisch mit Begrenzung gestellt, können Sie unten eine<br />
Begrenzung nach Anzahl oder Zeit eingeben. Wenn Sie die Parameter gesetzt haben und<br />
während des Arbeitens mit der Karte die Parameter ändern, müssen Sie die Karte ziehen und<br />
neu in das Chipkarten-Terminal stecken, damit die geänderten Einstellungen wirksam werden.<br />
Sicherheitshinweis: Wenn Sie die Optionen so konfigurieren, dass Sie keine PIN mehr eingeben müssen,<br />
gehen Sie ein erhöhtes Risiko des Missbrauchs Ihrer Signaturkarte ein. Sie sollten diese Optionen nur<br />
dann verwenden, wenn Ihr Rechner sicher frei von bösartiger Software wie Viren und Backdoor<br />
Programmen ist. Weiterhin sollten Sie Ihre Signaturkarte immer aus dem Kartenleser entfernen, sobald<br />
Sie den Arbeitsplatz verlassen. Wenn Sie diese Mindestsicherheitsanforderungen nicht befolgen,<br />
können unberechtigte Dritte mit Ihrer Karte Signaturen erzeugen, die vor dem Gesetzgeber den Wert<br />
Ihrer persönlichen Unterschrift haben. Vor diesen Szenarien können Sie sich nur selbst durch den<br />
verantwortungsvollen Umgang mit Ihrer Signaturkarte schützen.<br />
Hinweis: Das 'Offen Halten' für mehrere Arbeitsschritte wird nur von Chip-Karten unterstützt, die durch<br />
das Trust-Center in dieser Konfiguration ausgeliefert werden.<br />
Hinweis zur sicheren Konfiguration: Die Option Sichere PIN-Eingabe automatisch verwenden muss<br />
aktiviert sein. Diese Option zwingt das Produkt, die sichere PIN-Eingabe automatisch zu verwenden.<br />
Die Option Karte für mehrere Arbeitsschritte öffnen sollte deaktiviert sein. Wenn Sie die Karte für mehrere<br />
Arbeitsschritte geöffnet halten, gehen Sie das Risiko eines Missbrauchs Ihrer Karte durch Dritte ein. Dieses<br />
Risiko kann durch die Software nur bedingt abgewehrt werden. In diesem Falle gelten die erhöhten<br />
61
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Sicherheitsauflagen der Chipkarten für diesen Betriebsmodus. Mehr Informationen finden Sie im Abschnitt<br />
Chipkarten.<br />
4.1.5 Option: Zertifikate<br />
Im Register Zertifikate können Sie Einstellungen für den Umgang mit den vorhandenen Zertifikaten<br />
vornehmen.<br />
Wenn Sie die Option bei Signatur nur verfügbare Zertifikate anzeigen wählen, werden automatisch nur<br />
die Zertifikate verwendet, die auf der eingelegten Chipkarte zur Verfügung stehen. Wenn Sie diese Option<br />
62
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
deaktivieren, werden ebenfalls auch Zertifikate anderer Personen berücksichtigt, die an diesem<br />
Arbeitsplatz arbeiten. Sie beeinflussen also den Umgang mit den Zertifikaten durch das Produkt.<br />
Hinweis: Grundsätzlich wird die Erzeugung einer elektronischen Signatur immer auf der eingelegten<br />
Chipkarte vorgenommen. Wenn Sie auch Zertifikate anderer Personen bei der Signaturerzeugung<br />
angezeigt bekommen, bedeutet dies nicht, dass Sie auch eine Signatur mit diesem Zertifikat erzeugen<br />
können. Das Produkt wird Ihnen lediglich mitteilen, dass Sie die entsprechende Chipkarte in das<br />
Kartenterminal einlegen müssen.<br />
Die Option SmartCard-Zertifikate automatisch registrieren bedeutet, dass die auf der Chipkarte<br />
vorhandenen Zertifikate automatisch im Microsoft Zertifikatsspeicher registriert werden.<br />
Die Option Automatisch registrierte Zertifikate ständig verfügbar halten bedeutet, dass die von der<br />
Chipkarte registrierten Zertifikate auch nach der Entnahme aus dem Chipkarten Terminal im Microsoft<br />
Zertifikatsspeicher verfügbar bleiben. Wenn Sie diese Option deaktivieren, werden die vorher registrierten<br />
Zertifikate automatisch wieder deregistriert.<br />
Hinweis zur sicheren Konfiguration: Die angebotene Option bei Signatur nur verfügbare Zertifikate<br />
anzeigen hat keinen Einfluss auf das Sicherheitsverhalten des Produktes.<br />
Die angebotene Option SmartCard-Zertifikate automatisch registrieren hat keinen Einfluss auf das<br />
Sicherheitsverhalten des Produktes.<br />
Die angebotene Option Automatisch registrierte Zertifikate ständig verfügbar halten hat keinen Einfluss<br />
auf das Sicherheitsverhalten des Produktes.<br />
63
4.1.6 Option: Algorithmen<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Im Register Algorithmen haben Sie die Möglichkeit, den bei der Signaturerzeugung zu verwendenden<br />
Hashalgorithmus einzustellen bzw. die für die Ver- und Entschlüsselung zum Einsatz kommenden<br />
Verschlüsselungsalgorithmen auszuwählen.<br />
Die für die Signaturerzeugung zur Verfügung gestellten Algorithmen entsprechen dem Signaturgesetz.<br />
Hinweis zur sicheren Konfiguration: Grundsätzlich sollten Sie die standardmäßig eingestellten und<br />
empfohlenen Algorithmen verwenden. Das ist für die Signaturerzeugung SHA-256 und für die Ver- und<br />
Entschlüsselung 3DES. Der Hash - Algorithmus SHA-1 steht zur Einstellung zur Verfügung, ist aber für<br />
den Einsatz qualifizierter Signaturen ab 2008 nicht mehr zulässig.<br />
64
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Für die Ver- bzw. Entschlüsselung sollten Sie nur dann andere Einstellungen vornehmen, wenn es aus<br />
Gründen der Kompatibilität mit anderen Programmen notwendig ist.<br />
4.2 Chipkarten Optionen<br />
Mit einem Klick auf das gelbe Chipsymbol (vorausgesetzt die Karte befindet sich im Kartenleser) wird das<br />
Kontextmenü geöffnet. Die Menüpunkte betreffen Funktionalitäten, die im Zusammenhang mit der Karte<br />
oder dem Kartenleser stehen.<br />
Die folgenden Punkte werden im Chipkarten Menü angeboten:<br />
Verschlüsselungszertifikat exportieren: Mit dieser Option können Sie das<br />
Verschlüsselungszertifikat von Ihrer Chipkarte in eine Datei speichern. Weitere Informationen<br />
erhalten Sie in dem Kapitel Zertifikate exportieren. Diese Funktion ist nur dann verfügbar, wenn<br />
Sie über ein Verschlüsselungszertifikat verfügen. Ob Sie über ein solches Zertifikat verfügen,<br />
können Sie im Menüpunkt Eigenschaften an Hand der aufgelisteten Zertifikate auf Ihrer<br />
Chipkarte überprüfen.<br />
Eigenschaften: Die Eigenschaften des installierten Kartenlesers werden hier angezeigt. Ist eine<br />
Karte im Kartenleser vorhanden, werden auch die Karteneigenschaften, wie die Kartennummer<br />
und das Zertifikat angezeigt. Weitere Informationen erhalten Sie in dem Kapitel Eigenschaften.<br />
Einstellungen: Dieser Menüpunkt wird in den Konfigurationsoptionen des <strong>OpenLimit</strong> SignCubes<br />
Security Environment Managers erläutert.<br />
Info: Hier werden Copyright- und Versionsinformationen angezeigt.<br />
Beenden: Mit diesem Menüpunkt wird der <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
geschlossen.<br />
65
4.3 Eigenschaften<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Durch Anklicken des gelben Chipsymbols in der Taskleiste (Karte befindet sich im Kartenleser) und<br />
Auswahl des Menüpunktes Eigenschaften erhalten Sie folgende Informationen:<br />
Unter dem Register Kartenleser werden die Bezeichnung des Kartenlesers und die Ansteuerung des<br />
Kartenlesers angezeigt. Bei Kartenlesern mit sicherer PIN Eingabe wird auf diese Funktion als Ergänzung<br />
zum Kartenleser hingewiesen.<br />
66
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Unter dem Register Karte sehen Sie die Bezeichnung der Karte (meist mit Herausgeber), die<br />
Kartennummer und das Betriebssystem der Karte.<br />
67
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Unter dem Register PIN's werden die zu den Zertifikaten der im Kartenleser steckenden Karte gültigen<br />
PIN's angezeigt. Nach Auswahl eines PIN's werden in dem unteren Fenster als Detailinformationen die<br />
minimale Länge und sofern vorhanden die maximale Länge angezeigt. Gleichzeitig werden die<br />
Schaltflächen für weitere Funktionen aktiv. In Abhängigkeit von der Zulässigkeit stehen die Funktionen<br />
Freischalten, Ändern und Entsperren zur Verfügung.<br />
68
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Unter dem Register Zertifikate werden die Zertifikate der Karte, die im Leser steckt, angezeigt. Nach<br />
Anklicken eines Zertifikats in der Liste werden in dem unteren Fenster die Einzelinformationen angezeigt.<br />
Im Abschnitt Zertifikate exportieren können Sie nachlesen, wie Sie die auf Ihrer Karte vorhandenen<br />
Zertifikate in eine Datei speichern können, um auch anderen Kommunikationspartnern Ihre Zertifikate zu<br />
schicken.<br />
In dem Abschnitt Attributzertifkate werden weitere Information zum Handling mit den<br />
Signaturzertifikaten zugehörigen Attributen gegeben.<br />
Hinweis zur sicheren Konfiguration: Es werden keine Optionen zur Verfügung gestellt, die einen<br />
Einfluss auf das Sicherheitsverhalten des Produktes haben.<br />
69
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
4.3.1 Zertifikate exportieren<br />
Damit Sie Ihren Kommunikationspartnern Ihr Verschlüsselungszertifikat schicken können, müssen Sie es<br />
zunächst aus der Karte extrahieren und in eine Datei exportieren. Diese Datei können Sie dann einfach per<br />
E-Mail verschicken.<br />
Stecken Sie die Karte in den Leser und achten Sie darauf, dass sie erkannt wird.<br />
Klicken Sie das gelbe Chip-Symbol in der Taskleiste an.<br />
Wählen Sie den Punkt Verschlüsselungszertifikat exportieren.<br />
Im Fenster Zertifikat exportieren wird der Dateiname angegeben und der Speicherort<br />
ausgewählt. Wahrscheinlich werden Sie den Namen des Zertifikatsinhabers, also Ihren eigenen,<br />
angeben wollen.<br />
Mit einem Klick auf Speichern, ist das Zertifikat als *.cer Datei gespeichert und kann für jede<br />
Standard-Verschlüsselungssoftware benutzt werden.<br />
70
4.3.2 PIN ändern<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis zur sicheren Konfiguration: Es werden keine Optionen angeboten, die einen Einfluss auf das<br />
Sicherheitsverhalten des Produktes haben können.<br />
Im <strong>OpenLimit</strong> SignCubes Security Environment Manager können Sie die PIN bzw. PIN's Ihrer Smartcard<br />
jederzeit ändern. Dies sollten Sie tun, wenn Sie das Gefühl haben, dass andere Personen Ihre PIN kennen.<br />
Wählen Sie nach Anklicken des gelben Chipsymbols in der Taskleiste Eigenschaften und anschließend das<br />
Register PINs.<br />
Wählen Sie die zu ändernde PIN und klicken Sie auf Ändern. Geben Sie dann die aktuelle PIN ein, um die<br />
Änderung überhaupt zu ermöglichen.<br />
71
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Danach wird nach der neuen PIN gefragt. Geben Sie diese ein und bestätigen Sie mit OK.<br />
Die neue PIN muss nochmals bestätigt werden. Geben Sie diese ein weiteres Mal ein.<br />
Sie haben die PIN jetzt geändert.<br />
72
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis zur sicheren Konfiguration: Verwenden Sie niemals eine triviale PIN, die den Missbrauch Ihrer<br />
Karte durch Dritte erleichtern könnte und notieren Sie die PIN niemals auf der Karte oder an Orten, wo<br />
Dritte in die Kenntnis Ihrer PIN gelangen könnten. Verwenden Sie nur Kartenleser mit sicherer PIN-<br />
Eingabe, um die PIN Ihrer Chip-Karte zu ändern. Stellen Sie sicher, dass die Eingabe der neuen PIN<br />
nicht durch Dritte beobachtet wird, da diese dadurch in Kenntnis Ihrer PIN gelangen könnten.<br />
5 Arbeiten mit den <strong>OpenLimit</strong> SignCubes Basiskomponenten<br />
Die folgenden Abschnitte beschreiben den Umgang mit den einzelnen Bestandteilen der <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten 2.5, Version 2.5.0.3. Dieses Kapitel soll Ihnen den Umgang mit dem Produkt<br />
erleichtern und Ihnen dabei helfen, schnell mit den einzelnen Programmfunktionen vertraut zu werden.<br />
5.1 Arbeiten mit dem <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
Der <strong>OpenLimit</strong> SignCubes Security Environment Manager ist als zentraler Bestandteil der Anwendung<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 für die Bereitstellung und Überwachung aller<br />
Sicherheitsaufgaben des Produktes verantwortlich. Für Sie als Benutzer sind vor allem die folgenden<br />
Punkte relevant:<br />
Der <strong>OpenLimit</strong> SignCubes Security Environment Manager verwaltet die angeschlossenen Kartenleser und<br />
überwacht die eingelegten Chipkarten.<br />
Der <strong>OpenLimit</strong> SignCubes Security Environment Manager bietet Ihnen Optionen zur Auswahl an, welche die<br />
Chipkarte und die erzeugten Dokumente betreffen. Zur Konfiguration dieser Optionen müssen Sie über<br />
Administrationsrechte auf Ihrem Rechner verfügen.<br />
73
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Als Standard wird der <strong>OpenLimit</strong> SignCubes Security Environment Manager automatisch beim Start des<br />
Betriebssystems gestartet. Sie haben allerdings die Möglichkeit, dieses Verhalten in den<br />
Konfigurationseinstellungen des <strong>OpenLimit</strong> SignCubes Security Environment Managers zu verändern und<br />
müssen diesen dann manuell starten.<br />
Während der Arbeit mit dem <strong>OpenLimit</strong> SignCubes Security Environment Manager werden Sie durch<br />
entsprechende Statusmeldungen über den jeweiligen Bearbeitungsstand informiert:<br />
Sie haben eine Chipkarte in den Kartenleser gesteckt, diese wird erkannt und identifiziert:<br />
Sie haben den Befehl Signatur erzeugen aktiviert, es läuft die Datenaufbereitung (Hashwertberechnung)<br />
bzw. die Signaturerzeugung.<br />
Nach dem Aufbereiten der Daten werden Sie zur PIN Eingabe über die sichere PIN-Eingabe aufgefordert.<br />
Sie haben den Befehl Signatur prüfen aktiviert, es läuft die Hashwertberechnung und der Abgleich mit den<br />
Sperrlisten.<br />
Falls Ihnen diese Informationen nicht mehr angezeigt werden sollen, haben Sie die Möglichkeit, durch<br />
Anklicken der Option ausblenden, die Anzeige zu unterdrücken.<br />
Hinweis: Wenn der <strong>OpenLimit</strong> SignCubes Security Environment Manager gestartet wurde, erscheint das<br />
<strong>OpenLimit</strong> Icon in der Taskleiste neben der Uhrzeit.<br />
74
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis für den manuellen Start: Unter dem folgenden Menüpunkt können Sie den <strong>OpenLimit</strong> SignCubes<br />
Security Environment Manager manuell starten. Das Programmverzeichnis kann je nach verwendeter<br />
Spracheinstellung variieren. Diese Hilfe beschreibt den Umgang mit einem deutschsprachigen<br />
Betriebssystem.<br />
Start – Programme – <strong>OpenLimit</strong> SignCubes - <strong>OpenLimit</strong> SignCubes Manager<br />
ACHTUNG: Um die Funktionen der Software nutzen zu können, muss der <strong>OpenLimit</strong> SignCubes Security<br />
Environment Manager gestartet sein. Andernfalls haben Sie keinen Zugang zu den Funktionen des<br />
Produktes. Wenn keine Gründe existieren, den <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
manuell zu starten, dann lassen Sie die Option auf „automatisch starten“ eingestellt.<br />
Der <strong>OpenLimit</strong> SignCubes Security Environment Manager kann mehrere Kartenleser und Chipkarten<br />
parallel verwalten. Welche Kartenleser und Chipkarten unterstützt werden, ist in dem Abschnitt<br />
Kartenleser bzw. Chipkarten im Detail ausgeführt.<br />
Für jeden erkannten Kartenleser erscheint ein graues Chip-Symbol in der Taskleiste, wenn keine Karte im<br />
Kartenleser vorhanden ist. Ist eine Chipkarte im Kartenleser vorhanden, erscheint für jede erkannte<br />
Chipkarte ein gelbes Chip-Symbol in der Taskleiste.<br />
Erkennung einer Chipkarte durch den <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
Steckt keine Karte im Kartenleser, wird für jeden erkannten Kartenleser ein graues Chip Symbol angezeigt.<br />
Wenn Sie die Karte in den Leser stecken, wird das Symbol gelb und bekommt ein grünes Fragezeichen<br />
(achten Sie darauf, dass die Karte im Leser einrastet).<br />
Hat der <strong>OpenLimit</strong> SignCubes Security Environment Manager die Karte richtig erkannt, verschwindet das<br />
Fragezeichen und der Chip ist gelb. Der erkannte Kartentyp wird automatisch angezeigt.<br />
75
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Jetzt können Sie mit der eingelegten Chipkarte arbeiten. Wenn bereits vor dem Start des <strong>OpenLimit</strong><br />
SignCubes Security Environment Managers eine Chipkarte in den Kartenleser eingelegt wurde, erkennt<br />
dieser die Karte automatisch.<br />
Ein gelber Chip mit rotem Kreuz bzw. rotem Fragezeichen erscheint, wenn die Karte verkehrt in den Leser<br />
gesteckt wurde oder eine Karte verwendet wurde, die nicht kompatibel ist.<br />
Die verwendbaren Karten sind in dem Abschnitt Chipkarten aufgeführt.<br />
Ist das Chip-Symbol in der Taskleiste rot, bedeutet dies, dass die Karte geöffnet ist oder Operationen, wie<br />
z.B. die Hashwertverschlüsselung auf der Chipkarte ausgeführt werden.<br />
Karte „geöffnet“ bedeutet, dass Sie mehrere Operationen hintereinander ausführen können, ohne erneut<br />
die PIN eingeben zu müssen. Das kann sinnvoll sein, wenn Sie mehrere Dokumente hintereinander<br />
signieren möchten. Aus Sicherheitsgründen sollten Sie diese Möglichkeit nur dann nutzen, wenn Sie sich<br />
absolut sicher sind, dass kein Missbrauch mit der Karte vorgenommen werden kann. Verlassen Sie nie<br />
Ihren Arbeitsplatz, ohne vorher die Karte aus dem Kartenleser zu entnehmen. Unberechtigte Personen<br />
könnten sonst diesen Umstand ausnutzen und Signaturen mit Ihrer Chipkarte erzeugen.<br />
Beim Klicken auf die Icons in der Taskleiste bekommen Sie verschiedene Menüs angeboten. Wenn sie auf<br />
das Icon des <strong>OpenLimit</strong> SignCubes Security Environment Manager klicken, wird Ihnen das<br />
Konfigurationsmenü für den <strong>OpenLimit</strong> SignCubes Security Environment Manager angeboten. Für diese<br />
Optionen benötigen Sie Administrationsrechte auf ihrem Arbeitsrechner. Wenn Sie auf das graue<br />
Chipsymbol klicken, bekommen Sie ein eingeschränktes Menü angeboten, in welchem Sie sich<br />
Informationen zum verwendeten Kartenleser anzeigen lassen können. Wenn Sie nach dem Einlegen der<br />
Chipkarte auf das gelbe Chipsymbol klicken, bekommen Sie ein Menü für die jeweilige Chipkarte<br />
angeboten. Die angebotenen Menüpunkte werden ebenso wie die Menüpunkte für den <strong>OpenLimit</strong> SignCubes<br />
Security Environment Manager im Kapitel Konfiguration der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5,<br />
Version 2.5.0.3 behandelt.<br />
Hinweis: Wenn der <strong>OpenLimit</strong> SignCubes Security Environment Manager Daten verarbeitet, rotiert das<br />
Icon des <strong>OpenLimit</strong> SignCubes Security Environment Managers in der Taskleiste im Uhrzeigersinn, um<br />
zu verdeutlichen, dass momentan eine Operation ausgeführt wird. Wenn Sie also große Datenmengen<br />
signieren wollen (z.B. ein Dokument mit einer Größe von 300 MB), haben Sie immer eine Information<br />
darüber, dass momentan Daten verarbeitet werden. Wenn Sie mit der Maus über das Icon in der<br />
76
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Taskleiste fahren, werden Sie sehen, dass auch der Tooltip-Text des <strong>OpenLimit</strong> SignCubes Security<br />
Environment Managers Ihnen mit der Meldung 'Daten werden bearbeitet' eine entsprechende<br />
Information gibt.<br />
Hinweis: Der <strong>OpenLimit</strong> SignCubes Security Environment Manager reagiert für die Kartenleser SPR 332<br />
und SPR 532 der Firma SCM Microsystems an der USB-Schnittstelle auf die Plug & Play Ereignisse des<br />
Betriebssystems. Wenn Sie also einen solchen Kartenleser verwenden, haben Sie die Möglichkeit, bei<br />
laufendem <strong>OpenLimit</strong> SignCubes Security Environment Manager einen solchen Kartenleser hinzu zu<br />
nehmen oder von der USB Schnittstelle zu entfernen. Für jeden angesteckten Kartenleser wird ein<br />
neues Chipsymbol angezeigt und der Tooltipp an diesem Icon teilt Ihnen mit, um welchen Kartenleser<br />
es sich handelt. Nachdem Ihnen das Chip-Symbol angezeigt wird, ist der Kartenleser voll einsatzbereit.<br />
Um diese Eigenschaften nutzen zu können, müssen Sie den korrekten Treiber des Herstellers für diesen<br />
Kartenleser installiert haben. Sind keine Treiber vorhanden, kann das Produkt auch nicht mit dem<br />
Kartenleser arbeiten bzw. diesen auch nicht erkennen.<br />
5.2 Signaturverifikation<br />
Der folgende Abschnitt beschreibt, wie Sie eine Signaturprüfung unter Verwendung des Produktes<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 vornehmen können. Grundsätzlich vertraut<br />
das Produkt dem Wurzelzertifikat der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post<br />
und Eisenbahnen (Bundesnetzagentur). Aber auch andere Wurzelzertifikate können im Betriebssystem als<br />
vertrauenswürdig bereitgestellt werden.<br />
Grundsätzlich gilt: Wenn Sie mit abgesetzten Signaturen arbeiten, muss die Signaturdatei den gleichen<br />
Namen wie das Originaldokument mit der zusätzlichen Endung '.p7s' tragen. Dies ist Voraussetzung, damit<br />
der <strong>OpenLimit</strong> SignCubes Security Environment Manager die zugehörigen Originaldaten erkennen und die<br />
Signatur verifizieren kann.<br />
Verfahren zur Signaturprüfung durch die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3<br />
Im ersten Schritt wird immer überprüft, ob die elektronische Signatur mathematisch korrekt ist. Dies<br />
bedeutet, dass bei der Signaturprüfung die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, v2.5.0.3 die<br />
Prüfsumme (den Hashwert) über die signierten Daten grundsätzlich erneut berechnen und die vorliegende<br />
Signatur gegen diesen neu berechneten Hashwert prüfen. Ist diese Prüfung erfolgreich, dann ist die<br />
77
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Signatur mathematisch korrekt. Es kann jedoch noch keine Aussage zur tatsächlichen Gültigkeit der<br />
elektronischen Signatur getroffen werden. Dafür wird in einem weiteren Schritt die Gültigkeit der<br />
Zertifikate, angefangen beim verwendeten Signaturzertifikat bis hin zur Wurzel der Zertifikatskette<br />
geprüft.<br />
Zur Ermittlung der Zertifikatskette werden die in den Signaturdaten enthaltenen Zertifikate herangezogen.<br />
Kann die Zertifikatskette aus den verfügbaren Signaturdaten nicht ermittelt werden, können die <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten auf alternative Zertifikatsspeicher, wie den Microsoft Zertifikatsspeicher<br />
oder die Festplatte zurück greifen. Kann die Zertifikatskette nicht gebildet werden, dann treffen die<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten keine Aussage zur Gültigkeit der geprüften elektronischen<br />
Signatur. Es wird angezeigt, dass die Signatur mathematisch korrekt ist. Es wird jedoch weiterhin<br />
angezeigt, dass benötigte Zertifikate in der Zertifikatskette fehlen und somit keine abschließende Aussage<br />
zur Gültigkeit der elektronischen Signatur getroffen werden kann.<br />
War die Ermittlung des Zertifikatspfades erfolgreich, wird dieser einer Prüfung nach dem Schalenmodell<br />
unterworfen. Das Schalenmodell besagt, dass alle Zertifikate im Zertifikatspfad zum Signaturzeitpunkt<br />
gültig und nicht zurückgezogen sein müssen, damit die Signatur als gültig verifiziert werden kann. Ist<br />
diese Prüfung erfolgreich und die Zertifikatskette vollständig, wird dem Benutzer angezeigt, dass die<br />
Signatur gültig ist.<br />
Allgemeine Anforderungen bei der Prüfung elektronischer Signaturen<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 prüfen die Zertifikate einer Kette in jedem<br />
Falle gegen die zur Verfügung stehenden Sperrlisten. Wird ein entsprechender Sperreintrag für eines der<br />
geprüften Zertifikate gefunden, so wird Ihnen dieser Sperrstatus auch zur Kenntnis gebracht.<br />
Hinweis: Achten Sie bitte darauf, dass stets aktuelle Sperrlisten bei der Signaturprüfung zur Verfügung<br />
stehen.<br />
Da die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 die lokale Systemzeit zur Codierung<br />
des Signaturzeitpunktes verwendet, ist die korrekte Einstellung der Systemzeit notwendig. Sie sind als<br />
Nutzer der <strong>OpenLimit</strong> SignCubes Basiskomponenten für die Korrektheit der Systemzeit verantwortlich. In<br />
allen anderen Fällen kann die Prüfung, insbesondere nach dem Kettenmodell, durch das Produkt nicht<br />
zuverlässig vorgenommen werden. Durch die Prüfung nach dem Schalen- und dem Kettenmodell<br />
verwendet das Produkt zwei voneinander unabhängig arbeitende Prüfmechanismen, die jedoch beide auf<br />
Sperrlisten angewiesen sind, welche die oben genannten Bedingungen an den Herausgabezeitpunkt<br />
erfüllen.<br />
78
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Ist in der Signaturdatei ein Zeitstempel vorhanden, wird auch eine Aussage zur Gültigkeit der Signatur an<br />
dem Zeitpunkt geliefert, den der Zeitstempel ausweist. Um die vollständige Gültigkeit des Zeitstempels zu<br />
prüfen, müssen Sie den Detaildialog für Zeitstempel verwenden. Nähere Informationen hierzu finden Sie im<br />
Kapitel Zeitstempeldienste.<br />
Hinweis: Ist in dem Signaturabschnitt kein Zeitpunkt der Signaturerzeugung enthalten, wird die<br />
aktuelle Systemzeit als Prüfzeitpunkt verwendet und angezeigt.<br />
Hinweis: Bei der Signaturprüfung müssen Sie immer den Zertifikatspfad des geprüften<br />
Signaturzertifikats überprüfen. Das Produkt verwendet auch vertrauenswürdige Stammzertifikate aus<br />
dem Microsoft Zertifikatsspeicher, d.h., es kann zu der Aussage kommen, dass die geprüfte Signatur<br />
gültig ist, obwohl Sie dem Wurzelzertifikat nicht vertrauen. Die Gültigkeit der elektronischen Signatur<br />
ist im technischen Sinne zwar korrekt, aber evtl. wollen Sie als Benutzer dem Stammzertifikat nicht<br />
vertrauen. Daher ist die Prüfung des Zertifikatspfades unerlässlich. Diese Prüfung können Sie<br />
vornehmen, in dem Sie sich das Signaturzertifikat über Details anzeigen lassen und im Zertifikatsdialog<br />
das Register Zertifizierungspfad auswählen.<br />
Wenn ein Wurzelzertifikat bei der Signaturprüfung gefunden wurde, geben die <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten den Ablageort an.<br />
Die Zertifikate der Bundesnetzagentur sind den <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 durch signierte Vertrauenslisten bekannt. In diesem Fall benennt das Produkt das verwendete<br />
Wurzelzertifikat als 'Vertrauenswürdiges Zertifikat'.<br />
Wurde das Zertifikat aus dem Microsoft Stammspeicher für vertrauenswürdige<br />
Stammzertifizierungsstellen bezogen, zeigt das Produkt im Zertifizierungspfad ,Zertifikat aus dem<br />
Microsoft Stammspeicher für vertrauenswürdige Zertifikate' an.<br />
Wurde das Zertifikat aus dem CTL Verzeichnis des Produktes bezogen, zeigt das Produkt ,Zertifikat aus<br />
dem CTL Verzeichnis' an.<br />
Diese Information wird nur angezeigt, wenn ein Wurzelzertifikat im Zertifizierungspfad gefunden wurde.<br />
Hinweis: Wenn Sie ein PDF-Dokument prüfen, welches mehrere eingebettete Signaturen enthält,<br />
müssen Sie im Prüfdialog den Befehl 'Daten anzeigen' verwenden, um diejenige Dokumentversion zu<br />
sehen, auf die sich die jeweilige Unterschrift bezieht.<br />
Das PDF Format erlaubt nach einer Signatur, das Dokument weiter zu ändern. Die elektronische<br />
Unterschrift bezieht sich jedoch immer auf die konkrete Version des Dokuments, die Sie nur aus dem<br />
79
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Prüfdialog heraus eindeutig anzeigen lassen können. Das bedeutet auch, dass die Signatur nicht für das<br />
geänderte Dokument gilt, sondern exakt für die Dokumentversion, die Ihnen im Prüfdialog über den<br />
<strong>OpenLimit</strong> SignCubes Viewer angezeigt wird.<br />
Prüfung qualifizierter elektronischer Signaturen<br />
Grundsätzlich wird bei jeder vorliegenden Signatur geprüft, ob dies eine qualifizierte elektronische<br />
Signatur ist. Die <strong>OpenLimit</strong> SignCubes Basiskomponenten ermitteln dies an mehreren Kriterien: Das<br />
verwendete Signaturzertifikat muss das Attribut QC-Statement mit dem Wert EU-QC-konform oder SigGkonform<br />
aufweisen. Des Weiteren muss das verwendete Signaturzertifikat von einem angezeigten oder<br />
akkreditierten Zertifizierungsdiensteanbieter herausgegeben worden sein. Die <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, v2.5.0.3 verfügen über eigene Verwaltungsmechanismen für diese Einstufung. Die<br />
Zertifikate der ZDA's und der Bundesnetzagentur müssen in einer signierten Vertrauensliste vorliegen, die<br />
ausschließlich durch <strong>OpenLimit</strong> gepflegt wird.<br />
Treffen die genannten Kriterien zu, so erfolgt die Prüfung der Zertifikatskette nach dem Kettenmodell.<br />
Dieses Gültigkeitsmodell für Zertifikatsketten erlaubt, dass elektronische Signaturen mit Zertifikaten<br />
erzeugt werden können, deren Herausgeberzertifikate zum Zeitpunkt der Signaturerstellung bereits<br />
abgelaufen sind. Dies erlaubt eine kürzere Laufzeit einzelner Zertifikat in der Zertifikatskette und erhöht<br />
somit die Sicherheit der in Deutschland verwendeten Zertifikatsinfrastruktur. In allen anderen Fällen<br />
erfolgt die Prüfung nach dem so genannten Schalenmodell.<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten zeigen in eindeutiger Art und Weise an, ob das<br />
Herausgeberzertifikat als angezeigter oder akkreditierter Zertifizierungsdiensteanbieter in der aktuell<br />
verwendeten Vertrauensliste enthalten ist. Ist dies der Fall, wurde die Signatur nach dem Kettenmodell<br />
geprüft. Alle anderen Signaturen, die mit den <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, v2.5.0.3 geprüft<br />
werden, werden unter Verwendung des Schalenmodells geprüft. Detaillierte Informationen zu den<br />
verschiedenen Prüfmodellen finden Sie auf der Webseite der Bundesnetzagentur<br />
http://www.bundesnetzagentur.de .<br />
Für beide Gültigkeitsmodelle gilt, dass das verwendete Signaturzertifikat zum<br />
Signaturerzeugungszeitpunkt gültig sein muss. Das Herausgeberzertifikat kann beim Kettenmodell bereits<br />
abgelaufen sein, beim Schalenmodell ist dies nicht zulässig. In keinem von beiden Gültigkeitsmodellen darf<br />
eines der Zertifikate in der Kette zurückgezogen sein, z.B. wegen Bruch des Signaturschlüssels.<br />
80
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Besonderheiten im Zusammenhang mit dem Katalog zulässiger Algorithmen<br />
Die Bundesnetzagentur veröffentlicht jedes Jahr einen so genannten Algorithmenkatalog, der die<br />
Verwendung der zulässigen Algorithmen für die qualifizierte elektronische Signatur regelt. Dieser<br />
Algorithmenkatalog wird durch die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 abgebildet.<br />
Dies bedeutet, dass die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 überprüfen, ob der<br />
verwendete Algorithmus und der verwendete Signaturschlüssel den Anforderungen an diesen Katalog<br />
genügen. Ist dies nicht der Fall, wird die geprüfte Signatur auch nicht als gültig geprüft und es wird ein<br />
Hinweistext angezeigt, dass Algorithmen verwendet werden, die keine Aussage über die tatsächliche<br />
Gültigkeit der Signatur zulassen.<br />
Wird Ihnen eine entsprechende Meldung durch die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 angezeigt, sollten Sie die Webseiten der Bundesnetzagentur sowie den Bundesanzeiger<br />
heranziehen, um die Korrektheit der eingesetzten Algorithmen unabhängig zu prüfen.<br />
Signaturprüfung vornehmen<br />
Nachdem Sie auf eine signierte Datei geklickt haben, erscheint der Dialog Details zur Signaturprüfung:<br />
81
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oder<br />
zumindest mathematisch korrekt ist.<br />
Ist eine Signatur ungültig, dann wurden die Daten verändert oder die Zertifizierungskette konnte nicht<br />
aufgelöst werden. Dieser Signatur können Sie nicht vertrauen.<br />
Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde.<br />
Außerdem wurde auch die Signatur an sich nicht manipuliert. In der Regel müssen Sie aber noch den<br />
Onlinestatus des verwendeten Signaturzertifikates prüfen, um wirklich sicher zu sein, dass das<br />
verwendete Signaturzertifikat in Ordnung ist.<br />
Dies wird unter den Details, also unter dem Tab mit dem Namen des Signaturinhabers genauer untersucht.<br />
Hinweis: Falls in Ihrer Programmversion <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3<br />
das Modul zum Erstellen eines Prüfprotokolls mit installiert wurde, haben Sie die Möglichkeit, durch<br />
Anklicken des Buttons Speichern ein Prüfprotokoll zu erzeugen und zu speichern. Andernfalls wird der<br />
Button nicht angezeigt.<br />
82
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die Bedeutung der einzelnen Punkte<br />
Hashwertüberprüfung: Integrität der Daten<br />
positiv: Die Daten wurden seit der Signatur nicht verändert.<br />
Wird als Zusatzinformation ein Hinweis angezeigt, dass die Signatur als ungeeignet eingestuft wird, dann<br />
bedeutet das, dass für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1) verwendet wurde,<br />
der für die Erzeugung qualifizierter Signaturen nicht zulässig ist.<br />
negativ: Die Hashwerte stimmen nicht überein, die Daten wurden möglicherweise verändert.<br />
Prüfung von Signatur und Zertifizierungspfad: Beschädigung der Signatur und Vollständigkeit<br />
des Zertifizierungspfades<br />
Wird als Zusatzinformation ein Hinweis angezeigt, dass die verwendeten Signaturparameter als<br />
ungeeignet eingestuft werden, dann bedeutet das, dass entweder für die Berechnung des Hashwertes ein<br />
Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung qualifizierter Signaturen nicht<br />
zulässig ist oder die verwendeten Schlüssel nicht die erfolderlich Länge größer als 1024 Bit besaßen.<br />
Zeitpunkt der Signaturerzeugung: Hier wird die Zeit angegeben, die auf dem Rechner zur<br />
Signaturerzeugung eingestellt war.<br />
Vertrauensbasis: Zeigt die Quelle für das Wurzel- bzw. Rootzertifikat an, auf der die Prüfung des<br />
Zertifikats beruht. Weiterhin wird der für die Signaturprüfung verwendete Algorithmenkatalog<br />
angezeigt.<br />
Zertifikatsstatus: Sperrung der Signatur. Anhand von Sperrlisten wird geprüft, ob das Zertifikat<br />
gesperrt wurde. Wenn hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von<br />
aktuellen Sperrlisten oder eine Online-Prüfung über den Button Onlinestatus...<br />
Über den Button Details, Auswahl des Zertifikats und wiederum Anklicken des Buttons Details können Sie<br />
sich die Zertifikatseigenschaften anzeigen lassen.<br />
Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt werden.<br />
Nach einem Klick auf Onlinestatus... wird die OCSP-Abfrage geöffnet. Für die Prüfung muss eine<br />
Verbindung mit dem Internet bestehen.<br />
83
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt oder<br />
unbekannt.<br />
Wenn Sie auf den Button Details klicken, können Sie sich die Details zur OCSP-Abfrage anzeigen lassen.<br />
84
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wenn Sie unter dem Register Zusammenfassung auf den Button Signatur-Zertifikat anzeigen klicken,<br />
können Sie die Details des Zertifikatspfades nachvollziehen.<br />
Um die Quelle der OCSP Antwort zu prüfen, sollten Sie immer das Zertifikat, welches die OCSP Antwort<br />
unterzeichnet hat, anzeigen lassen. Sie müssen selbst entscheiden, ob Sie dem Zertifikat vertrauen.<br />
Unter dem Register OCSP Details werden Ihnen weitere Detailinformationen zu der OCSP Antwort<br />
angezeigt.<br />
85
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis: Auch wenn Sie in regelmäßigen Abständen die aktuellen Sperrlisten der<br />
Zertifikatsherausgeber beziehen, sollten Sie auf jeden Fall immer eine OCSP Abfrage durchführen.<br />
Lassen Sie sich das Zertifikat der OCSP Antwort anzeigen und entscheiden Sie selbst, ob Sie diesem<br />
vertrauen.<br />
86
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
5.3 Arbeiten mit dem <strong>OpenLimit</strong> SignCubes Integrity Tool<br />
Das <strong>OpenLimit</strong> SignCubes Integrity Tool ist ein Programm zur Überprüfung der Hash-Werte an den<br />
ausgelieferten sicherheitsrelevanten Modulen und stellt somit sicher, dass sich die Module noch in dem<br />
Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden.<br />
Das <strong>OpenLimit</strong> SignCubes Integrity Tool sollte grundsätzlich über die Internetseite<br />
gestartet werden.<br />
https://www.<strong>OpenLimit</strong>.com/integritytool<br />
In dem Fall, dass Sie das Produkt über einen Download erhalten und installiert haben, sollten Sie, bevor Sie<br />
das Produkt zum ersten Mal einsetzen, das <strong>OpenLimit</strong> SignCubes Integrity Tool ausführen, um die<br />
Korrektheit der Installation zu verifizieren.<br />
Stellt das <strong>OpenLimit</strong> SignCubes Integrity Tool fest, dass die Module sich nicht mehr in ihrem<br />
Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher sollten Sie<br />
jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen wurde oder<br />
ein anderes Programm Ihren Rechner manipuliert hat.<br />
Starten Sie das Integritätstool über die Internetseite https://www.<strong>OpenLimit</strong>.com/integritytool. Die Java<br />
Virtual Machine (JVM) überprüft daraufhin die Signatur des Applets und öffnet einen Dialog mit<br />
Sicherheitshinweisen.<br />
87
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die Seriennummer des Signaturzertifikates für das <strong>OpenLimit</strong> SignCubes Integrity Tool finden Sie in dieser<br />
<strong>Benutzerdokumentation</strong> unter <strong>OpenLimit</strong> SignCubes Integrity Tool.<br />
Zur Sicherheit sollten Sie immer die Signatur des Applets über den Befehl Weitere Informationen prüfen<br />
und erst dann den Start des Applets selbst freigeben.<br />
Nach Anklicken des Button Zertifikatsdetails werden die Informationen zu dem Zertifikat einschließlich der<br />
Seriennummer angezeigt.<br />
88
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
In dem folgenden Fenster wird Ihnen der Pfad für die <strong>OpenLimit</strong> Programminstallation angezeigt.<br />
Standardmäßig ermittelt das Java-Applet beim Start das Installationsverzeichnis. Falls dieser nicht<br />
automatisch gefunden wurde bzw. nicht korrekt angezeigt wird, stellen Sie bitte den Pfad über den Button<br />
'Installationspfad' entsprechend ein.<br />
Gleichzeitig haben Sie die Möglichkeit, über den Button Sprachauswahl die Sprache einzustellen. Das<br />
<strong>OpenLimit</strong> SignCubes Integrity Tool wird in deutsch und englisch bereitgestellt.<br />
89
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis: Geben Sie die Installationspfade der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version<br />
2.5.0.3 nicht im Netzwerk für andere Benutzer frei.<br />
90
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nach Anklicken des Button Prüfung starten wird das <strong>OpenLimit</strong> SignCubes Integrity Tool gestartet.<br />
91
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Ist der Dateistatus für alle Dateien OK, so ist die Integrität der Software erfolgreich nachgewiesen.<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 können optional Module enthalten wie<br />
die siq0*.dll, siq1*.dll und siq2*.dll. Diese Module beinhalten die Ansteuerung konkreter Kartenterminals.<br />
Ist ein Modul vorhanden, dann wird auch jeweils eine Liste der dadurch unterstützten Kartenterminals<br />
angezeigt:<br />
siq0ccid.dll<br />
siq0rsct.dll<br />
Cherry G83-6744 LQ<br />
Cherry ST-2000<br />
SCM SPR 532 (Firmware 5.10)<br />
Reiner SCT cyberJack e-com v2.0<br />
Reiner SCT cyberJack e-com v3.0<br />
Reiner SCT cyberJack e-com plus v3.0<br />
Reiner SCT cyberJack pinpad v2.0<br />
Reiner SCT cyberJack pinpad v3.0<br />
Reiner SCT cyberJack secoder<br />
Omnikey Cardman 3621<br />
Omnikey Cardman 3821<br />
Fujitsu Siemens S26381-K329-V2xx HOS:01<br />
Reiner SCT cyberJack e-com v2.0<br />
Reiner SCT cyberJack e-com v3.0<br />
Reiner SCT cyberJack e-com plus v3.0<br />
Reiner SCT cyberJack pinpad v2.0<br />
Reiner SCT cyberJack pinpad v3.0<br />
Reiner SCT cyberJack secoder<br />
92
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
siq0scmm.dll<br />
siq0ok.dll<br />
SCM Microsystems SPRx32/Chipdrive PinPad<br />
Omnikey Cardman 3621<br />
Omnikey Cardman 3821<br />
siq0kby.dll (PC/SC) oder siq0kbyct.dll (CT-API)<br />
siq0chy.dll<br />
siq0cthyc32.dll<br />
Kobil Systems B1 Pro<br />
Kobil KAAN Advanced<br />
Kobil KAAN TriB@nk<br />
Kobil EMV-TriCAP Reader<br />
Kobil SecOVID Reader III<br />
Cherry G83-6700 LQ<br />
Cherry G83-6744 LU<br />
Cherry ST-2000<br />
medCompact eHealth Card Terminal BCS Version 02.00<br />
Chipkartenbetriebssysteme und Chipkarten<br />
siq1seccos.dll unterstützt das SECCOS Chipkartenbetriebssystem<br />
siq1cm43.dll unterstützt das Siemens CardOS M4.3B<br />
siq1spk3.dll unterstützt STARCOS 3.0 Chipkartenbetriebssystem<br />
siq1spk32.dll unterstützt STARCOS 3.2 Chipkartenbetriebssystem<br />
siq1tcos3x.dll unterstützt TCOS 3.0<br />
siq1dba.dll und siq2dba.dll unterstützt das Siemens CardOS M4.3B Chipkartensystem in<br />
Verbindung mit der Siemens API<br />
93
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
siq1dhba.dll und siq2dhba.dll unterstützt STARCOS 3.2 QES Version 1.1 Chipkartensystem<br />
(Heilberufsausweis)<br />
siq1acos.dll unterstützt ACOS Karten-Betriebssystem<br />
Chipkartenname im Produkt Chipkarten-OS Chipkartenprofil<br />
Alle Karten des Sparkassenverlags siq1seccos.dll siq2ds2.dll<br />
D-TRUST Karte<br />
TC-Trustcenter<br />
Generische PKCS#15-Ansteuerung der<br />
Siemens Karten<br />
siq1cm43.dll siq2cm43.dll<br />
dgnserviceCard siq1spk3.dll siq2dgn2.dll<br />
Signtrust Card (Deutsche Post Com<br />
siq2dp2.dll<br />
GmbH)<br />
Signaturkarte (DATEV eG)<br />
Signaturkarte (BNotK)<br />
Signtrust Card 3.2 (Deutsche Post Com<br />
GmbH)<br />
siq1spk32.dll siq2dp3.dll<br />
NetKey 3.0 und NetKey 3.0M siq1tcos3x.dll siq2nks43.dll<br />
BA User Card mit Siemens Card API siq0dba.dll, siq1dba.dll siq2dba.dll<br />
Heilberufsausweis siq1dhba.dll, siq2dhba.dll<br />
siq2dhba.dll<br />
A-Trust Signaturkarte siq1acos.dll Siq2aa1.dll<br />
Das Fehlen eines oder mehrerer dieser Module wird durch den Status Nicht installiert ausgewiesen. Die<br />
Integrität der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 ist trotzdem sichergestellt.<br />
Ab Version 2.5.0.3 bietet das <strong>OpenLimit</strong> SignCubes Integrity Tool dem Anwender die Möglichkeit,<br />
Konfigurationen für Chipkarten zusätzlich einzuspielen. Diese Konfiguration sind Initialisierungsdateien,<br />
die festlegen, welcher Hash- und Signaturalgorithmus für die jeweilige Signaturkarte verwendet wird.<br />
Das <strong>OpenLimit</strong> SignCubes Integrity Tool kennt alle möglichen Konfigurationen für die Signaturalgorithmen<br />
und prüft bei der Integritätsprüfung auch die verwendeten Algorithmen. Wird eine Kartenkonfiguration<br />
gefunden, die nicht den Vorgaben der Bundesnetzagentur entspricht, wird eine Warnung an den Benutzer<br />
generiert und angezeigt. Wird eine Konfigurationsdatei gefunden, die unbekannt ist, wird dieser Zustand<br />
dem Benutzer angezeigt.<br />
Beispiel 1:<br />
Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool bildet<br />
den Hashwert über die Initialisierungsdatei und stellt dabei fest, dass diese Datei festlegt, dass einige<br />
94
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
SECCOS Karten mit SHA-1 als Hashwert signieren sollen. In diesem Falle wird durch das Integrity Tool im<br />
Anschluss an die Übersicht der unterstützten SECCOS-Karten der folgende Text generiert: „Das Modul ist<br />
so konfiguriert, dass SHA-1 für einige Karten gemäß obiger Übersicht als Signaturalgorithmus zugelassen<br />
ist. Bitte prüfen Sie auf der Webseite der Bundesnetzagentur<br />
http://www.bundesnetzagentur.de<br />
ob mit dieser Konfiguration die Anforderungen an die qualifizierte Signatur erfüllt werden."<br />
Beispiel 2:<br />
Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool bildet<br />
den Hashwert über die Initialisierungsdatei und stellt dabei fest, welcher Signaturalgorithmus für die<br />
verschiedenen SECCOS Karten verwendet werden sollen. Die Übersicht der unterstützten SECCOS Karten<br />
enthält für die einzelnen Karten die Angabe des jeweils unterstützten Signaturalgorithmus. Im Anschluss<br />
an die Übersicht der unterstützten SECCOS Karten wird der folgende Text generiert: "Informationen zu den<br />
jeweils verwendeten Signaturalgorithmen entnehmen Sie bitte obiger Übersicht."<br />
Hinweis: Die Sprachressourcen der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 sind in<br />
der deuSEMk.dll bzw. der engSEMk.dll gespeichert. Mindestens eine der beiden Dateien muss vorhanden<br />
sein, ansonsten wird die Integrität der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3<br />
nicht bestätigt. Für die jeweilige Sprachressource müssen auch die dazugehörige Hilfe und der Viewer<br />
vorhanden sein, ansonsten wird die Integrität ebenfalls nicht bestätigt.<br />
Nach Bestätigung des Informationsfensters mit OK erhalten Sie die Liste der Dateien, die geprüft wurden<br />
und den Dateistatus angezeigt.<br />
Folgende Dateizustände werden unterschieden:<br />
OK: Die Prüfung des Hashwertes ist positiv, d.h. die Datei entspricht der Originalinstallation.<br />
Unbekannt: Das ist der Ausgangsstatus für alle Dateien vor der Prüfung. Dieser Status wird auch<br />
angezeigt, wenn keine Prüfung möglich ist.<br />
Datei verändert: Die Datei wurde nach der Installation verändert.<br />
Datei nicht gefunden: Die Datei wurde nicht gefunden.<br />
Datei nicht lesbar: Die Datei ist nicht lesbar und der Hashwert konnte nicht berechnet werden.<br />
Nicht installiert: Dieser Status trifft nur für die optionalen Module zu, falls diese nicht installiert<br />
sind.<br />
95
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nach Anklicken des Buttons Speichern haben Sie die Möglichkeit, das Ergebnis der Prüfung zu speichern.<br />
Schließen Sie das Browserfenster, um den Prüfprozess zu beenden.<br />
96
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wurden Dateien bzw. Signaturen manipuliert, sind nicht vorhanden bzw. konnten nicht gelesen werden,<br />
teilt Ihnen das Programm dies mit einer entsprechenden Meldung mit. Die Integrität ist damit nicht<br />
bestätigt.<br />
Hinweis: Im Falle von Abweichungen vom Originalzustand der Installation müssen Sie den Rechner auf<br />
sicherheitstechnische Veränderungen und Eingriffe prüfen.<br />
Es wird empfohlen, dass Sie in diesem Falle die Software mit Hilfe des Installationsprogrammes<br />
deinstallieren und erneut installieren. Falls die Verifikation des Zertifikates durch die JVM fehlschlägt oder<br />
andere Dialoge als die abgebildeten angezeigt werden, insbesondere wenn eine andere Seriennummer für<br />
das Signaturzertifikat angezeigt wird, wird nicht das korrekte Prüfprogramm ausgeführt. In diesem Falle<br />
dürfen Sie sich nicht auf die Statusaussagen des Tools verlassen und müssen Ihre Installation der JVM<br />
sowie die URL, von der Sie das <strong>OpenLimit</strong> SignCubes Integrity Tool bezogen haben, mit den Angaben im<br />
Handbuch vergleichen.<br />
5.4 Sperrlistenaktualisierung<br />
Die Sperrlistenaktualisierung ist ein Zusatzmodul zu den bestätigten Basiskomponenten und kann aus dem<br />
Menü des Security Environment Managers gestartet werden. Im weiteren Verlauf wird dieses<br />
Zusatzprogramm als <strong>OpenLimit</strong> SignCubes Sperrlistenaktualisierungsassistent bezeichnet.<br />
Der folgende Abschnitt beschreibt die Benutzung des <strong>OpenLimit</strong> SignCubes<br />
Sperrlistenaktualisierungsassistenten im Detail. Etwaige Fehlermeldungen des <strong>OpenLimit</strong> SignCubes<br />
Sperrlistenaktualisierungsassistenten sind im Kapitel Fehlermeldungen <strong>OpenLimit</strong> SignCubes Security<br />
Environment Manager enthalten.<br />
Um eine sichere Signaturprüfung zu gewährleisten, sollten Sie vor der Signaturprüfung die aktuellsten<br />
Sicherheitsdateien herunterladen. Diese Sicherheitsdateien bestehen hauptsächlich aus Sperrlisten, aber<br />
97
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
auch die Public Key Directories der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und<br />
Eisenbahnen (Bundesnetzagentur) sollten in regelmäßigen Abständen aktualisiert werden. Sie haben als<br />
Benutzer die Möglichkeit, auszuwählen, welche Sperrlisten heruntergeladen werden sollen. Sie können am<br />
Wurzelzertifikat der geprüften Signatur erkennen, welche Sperrliste Sie verwenden müssen, um die<br />
Signatur korrekt zu prüfen. Als Arbeitsschritt empfiehlt es sich aber immer, vor der eigentlichen<br />
Signaturprüfung stets alle Sperrlisten herunter zu laden, da Sie im Regelfall nicht wissen, von welchem<br />
Zertifikat die zu prüfende Signatur erzeugt wurde und wie das zugehörige Herausgeberzertifikat lautet.<br />
So laden Sie eine aktuelle Sperrliste herunter:<br />
Klicken Sie auf das <strong>OpenLimit</strong> Icon in der Taskleiste.<br />
Wählen Sie den Menüpunkt Sperrlistenaktualisierung.<br />
Daraufhin öffnet sich der <strong>OpenLimit</strong> SignCubes Sperrlistenaktualisierungsassistent mit einer Startseite,<br />
die Sie mit Weiter bestätigen können.<br />
Wählen Sie aus der Liste mit einem Klick in die Checkboxen die gewünschten Sicherheitsdateien aus.<br />
98
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie jetzt auf Weiter, es werden die aufgelisteten Dateien aktualisiert. Mit einem Klick auf Zurück<br />
können Sie die Auswahl noch einmal ändern.<br />
99
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Der Dateistatus gibt an, wie weit der Download der jeweiligen Datei fortgeschritten ist. Am Ende wird eine<br />
Liste mit Ergebnissen erstellt.<br />
Klicken Sie auf Fertig stellen<br />
Hinweis: Um diese Dateien zu aktualisieren, benötigen Sie eine Internetverbindung. Konnte die<br />
Verbindung nicht hergestellt werden, wird als Statusmeldung 'Fehler beim Download' angezeigt.<br />
Aktuelle Sperrlisten sind notwendig um eine erfolgreiche Signaturprüfung vornehmen zu können. Wenn<br />
sie die Sperrlisten nicht aktualisieren, können Sie auch keine Signaturen bzw. das verwendete<br />
Signaturzertifikat und die Zertifikatskette als gültig verifizieren.<br />
Hinweis: Die Sperrlistenaktualisierung kann über Proxy - Server erfolgen. Voraussetzung dafür ist, dass<br />
die entsprechenden Einstellungen über den Internetexplorer/Extras/<br />
Internetoptionen/Internetverbindungen vorgenommen wurden. (Eine automatische Konfiguration ist<br />
nicht vorgesehen.)<br />
Falls eine Anmeldung über User und Passwort erforderlich ist, sind die folgenden Einstellungen notwendig:<br />
Öffnen Sie die Datei siqSOL.ini in dem Ordner C:\Programme\<strong>OpenLimit</strong>\Data mit einem beliebigen Editor.<br />
100
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Entfernen Sie vor der Bezeichnung User= und Pass= jeweils das Semikolon und tragen Ihre Zugangsdaten<br />
für den Proxy - Server ein.<br />
5.5 Arbeiten mit dem <strong>OpenLimit</strong> SignCubes Viewer<br />
Der <strong>OpenLimit</strong> SignCubes Viewer kann aus dem Signaturanforderungsdialog und bei der Signaturprüfung<br />
(PKCS#7 Dateien) jeweils über den Button Daten anzeigen gestartet werden, vorausgesetzt es handelt sich<br />
um Daten im PDF, TIFF oder TXT Format und die Anzeige dieser Dateiformate wurde durch einen<br />
entsprechenden Lizenzcode freigeschaltet. In diesem Fall werden Ihnen die Daten, die Sie signieren bzw.<br />
deren Signatur Sie prüfen wollen, angezeigt. Die Schaltflächen zur Signaturerzeugung und<br />
Signaturverifikation sind nicht aktiv.<br />
Darüber hinaus kann der <strong>OpenLimit</strong> SignCubes Viewer als separates Programm über Start - Programme -<br />
<strong>OpenLimit</strong> SignCubes - <strong>OpenLimit</strong> SignCubes Viewer gestartet werden. Beim Start über den<br />
Programmordner wird das Programm ohne Datei geöffnet.<br />
101
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nachdem eine Datei geöffnet wurde, sehen Sie im linken Bereich der Anzeige unter dem <strong>OpenLimit</strong> Logo<br />
eine Dateivorschau, welche Ihnen die einzelnen Seiten des Dokuments mit der Seitennummer anzeigt. Mit<br />
einem Klick auf die jeweilige Vorschauseite springt die Seitenansicht im rechten Bereich der Anwendung<br />
auf die angewählte Seite. Im dargestellten Beispiel umfasst die TIFF Datei nur eine Seite.<br />
102
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nach Anklicken des Registers Unterschriften erhalten Sie Detailinformationen zu der bzw. den Signaturen<br />
der Datei. Ist die Datei nicht signiert, wird der Hinweis "Das Dokumment ist nicht digital signiert"<br />
angezeigt.<br />
103
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Der <strong>OpenLimit</strong> SignCubes Viewer stellt Ihnen die folgenden Toolbars zur Verfügung.<br />
Die Toolbar Standard<br />
Die folgenden Funktionen können über diese Toolbar angesprochen werden:<br />
Datei öffnen: Hier können Sie eine TIFF oder Textdatei in die Ansicht laden.<br />
Datei speichern unter: Hier können Sie die Datei unter einem beliebigen Namen speichern.<br />
Seitenansicht: Es wird eine Druckvorschau generiert.<br />
Drucken: Hier können Sie die Datei ausdrucken.<br />
Dateiinhalt: Es werden in Abhängigkeit von dem geöffneten Dateiformat weitere Dateiinhalte<br />
angezeigt.<br />
Die Toolbar Ansicht<br />
Info: Es werden die Versionsinformation und die Copyright Informationen angezeigt.<br />
Hilfe: Es wird die <strong>Benutzerdokumentation</strong> (dieses Handbuch) geöffnet<br />
Diese Toolbar ist nur bei TIFF Dateien aktiv. Textdateien werden immer im Verhältnis 1:1 dargestellt.<br />
Breite anpassen: Das dargestellte Bild wird an die Breite des Fensters angepasst.<br />
Alles darstellen: Das dargestellte Bild wird so in das Fenster eingepasst, dass die gesamte Seite<br />
in dem Fenster dargestellt wird.<br />
Pixelgenau darstellen: Das Bild wird 1:1 pixelgenau dargestellt.<br />
Benutzerdefiniert darstellen: Es erscheint ein Dialog, der Ihnen die Auswahl eines<br />
Zoomverhältnisses zwischen 10% und 300% ermöglicht.<br />
Schwarz/Weiß Darstellung: Sie haben hier die Möglichkeit, ein TIFF-Dokument, welches als Farb-<br />
oder Graustufendarstellung vorliegt, in eine Schwarz/Weiß Darstellung zu transformieren.<br />
Graustufendarstellung: Das aktuelle TIFF-Dokument wird in Graustufen dargestellt.<br />
Originaldarstellung: Wenn Sie von der Option zur Schwarz/Weiß Darstellung oder der<br />
Graustufendarstellung Gebrauch gemacht haben, kommen Sie hier wieder zur Originalansicht.<br />
104
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die Toolbar Signatur<br />
Diese Toolbar ist nur dann aktiv, wenn das Programm nicht aus dem Signaturanforderungsdialog gestartet<br />
wurde.<br />
Signatur erzeugen: Hier können Sie über den <strong>OpenLimit</strong> SignCubes Security Environment<br />
Manager die angezeigte Datei elektronisch signieren.<br />
Signatur prüfen: Hier können Sie über den <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
eine Prüfung der elektronischen Signatur vornehmen.<br />
In Abhängigkeit von den zur Verfügung stehenden Funktionalitäten können Buttons für weitere<br />
Anwendungen angezeigt werden wie z.B. dem Mailversand.<br />
Hinweise für den Umgang mit Meldungen während der Dokumentanalyse: Wenn ein Dokument durch den<br />
<strong>OpenLimit</strong> SignCubes Viewer geöffnet werden soll, untersucht der <strong>OpenLimit</strong> SignCubes Viewer dieses<br />
Dokument nach versteckten Inhalten. Der folgende Abschnitt zeigt Ihnen, wie Sie mit einer solchen<br />
Meldung umgehen können.<br />
Wenn Sie eine TIFF - Datei in den <strong>OpenLimit</strong> SignCubes Viewer laden, kann die folgende Meldung<br />
erscheinen.<br />
Diese Meldung bedeutet, dass die TIFF Datei zwar inhaltlich korrekt ist, aber Datenfelder enthält, die in der<br />
Darstellung nicht angezeigt werden. Der <strong>OpenLimit</strong> SignCubes Viewer gibt Ihnen die Möglichkeit, diese<br />
Datenbereiche ebenfalls zu untersuchen. Um diese Bereiche zu untersuchen, klicken Sie auf:<br />
das Symbol für weitere Dateiinhalte in der Toolbar<br />
oder den Menüpunkt Ansicht - weitere Dateiinhalte...<br />
105
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Ihnen wird dann ein Dialog angezeigt, der Ihnen sämtliche Informationen zu den angezeigten Dateiinhalten<br />
liefert.<br />
106
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Sie können sich z.B. in einer TIFF-Datei alle Tags, nur Text Tags oder auch nur die unbekannten Tags<br />
anzeigen lassen. In dem unteren Fenster wird dieser Bereich dann Hexadezimal kodiert dargestellt bzw.<br />
Sie können die Darstellung auch auf Dezimalzahlen umschalten. Wenn Sie den Scrollbalken des Fensters<br />
nach unten bewegen, sehen Sie einen Bereich, in dem versucht wird, die enthaltenen Informationen als<br />
Text darzustellen. Dies gibt Ihnen die Möglichkeit, verborgene Inhalte zu erkennen und z.B. zu entscheiden,<br />
ob Sie die Datei trotz dieser Inhalte signieren möchten. Häufig enthalten TIFF-Dateien noch<br />
Zusatzinformationen, wie einen Autor. Diese Informationen werden in der Bildverarbeitung oft nicht mit<br />
dargestellt. Mit der Analyse durch den <strong>OpenLimit</strong> SignCubes Viewer haben Sie trotz allem noch die<br />
Möglichkeit, auch diese verborgenen Inhalte zu betrachten.<br />
Hinweis: Die Untersuchung der verwendeten TIFF-Dateien richtet sich an der Adobe TIFF-Spezifikation<br />
6.0 aus. Wenn TIFF-Dateien verwendet werden, die nicht dieser Spezifikation entsprechen, kann das<br />
gelieferte Produkt diese Dateien nicht analysieren und korrekt als TIFF Datei erkennen.<br />
Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 beschrieben.<br />
107
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Untersuchung von TIFF-Dokumenten in der Schwarz-Weiß Darstellung<br />
Das folgende Beispiel erklärt Ihnen, wie Sie versteckte Inhalte in TIFF-Dokumenten erkennen können, die<br />
auf Grund unzureichender Kontrastierung in der Ansicht nicht erscheinen. Sie laden eine Grafik mit dem<br />
<strong>OpenLimit</strong> SignCubes Viewer, die im ersten Schritt wie folgt dargestellt wird.<br />
Im nächsten Schritt sollten Sie grundsätzlich eine Untersuchung der dargestellten Grafik vornehmen, da<br />
auf Grund zu geringer Farbkontraste enthaltene Informationen bei der Darstellung am Monitor verloren<br />
gehen können. Sie klicken auf den Knopf zur Schwarz/Weiß Darstellung und sehen den folgenden Dialog.<br />
108
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Sie können nahtlos die Einstellung festlegen, ab welchem Punkt die Farbwerte der Farbe Schwarz<br />
zugeordnet werden. Sie bewegen den Schieberegler bis auf eine volle Schwarz-Weiß Darstellung und<br />
können somit den Inhalt der Datei nun genauer untersuchen. Damit haben Sie grundsätzlich die<br />
Möglichkeit, jede farbige Grafik auf verdeckte Inhalte hin zu untersuchen. Nachdem Sie die Einstellungen<br />
vorgenommen haben, klicken Sie auf OK. In der folgenden Darstellung erkennen Sie nun den Inhalt, der auf<br />
Grund der unzureichenden Farbkontraste des Monitors sonst nicht sichtbar gewesen wäre.<br />
Sie haben mit Hilfe des <strong>OpenLimit</strong> SignCubes Viewers den versteckten Inhalt entdeckt und sollten von der<br />
Erzeugung einer elektronischen Signatur absehen.<br />
Grundsätzlicher Hinweis: Der <strong>OpenLimit</strong> SignCubes Viewer kann Sie nicht von der Interpretation der<br />
angezeigten Daten befreien. Das TIFF Format ist kein Dateiformat, welches eine Interpretation des<br />
dargestellten Inhaltes durch ein Programm wie den <strong>OpenLimit</strong> SignCubes Viewer zulässt. Die<br />
Untersuchung der Daten auf versteckte Inhalte wird Ihnen durch diesen Produktbestandteil ermöglicht,<br />
allerdings müssen Sie selbst solche Untersuchungen mit Hilfe der vorhandenen Mechanismen<br />
109
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
vornehmen. Das TIFF-Format sieht die Verwendung bestimmter Kompressionsformate innerhalb einer<br />
TIFF-Datei vor. Die sichere Anzeigeeinheit erkennt nicht alle Kompressionsformate und kann daher<br />
auch nicht alle Kompressionsformate anzeigen. In diesem Falle wird die Textmeldung angezeigt: 'Das<br />
Format der Datei ist nicht geeignet'.<br />
Um Inhalte, wie Sie in dem obigen Szenario erläutert wurden, sicher zu erkennen, müssen Sie bei farbigen<br />
TIFF-Dokumenten immer eine Analyse in der Schwarz/Weiß Darstellung vornehmen. Sie könnten sonst ein<br />
Dokument signieren, welches Sie in seinem Inhalt nicht bereit wären, zu signieren.<br />
Hinweis bei der Analyse von Text-Dateien: Bei der Analyse von Textdokumenten kann der <strong>OpenLimit</strong><br />
SignCubes Viewer melden, dass Zeichen erkannt wurden, für die keine eindeutige Darstellung definiert<br />
ist. Das bedeutet, dass Zeichen erkannt wurden, die sowohl im OEM Schriftsatz als auch im ANSI<br />
Schriftsatz eine unterschiedliche Bedeutung haben.<br />
110
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wenn Sie sich nicht sicher sind, ob dadurch der Inhalt eines Textdokuments verfälscht wird, können Sie<br />
sich ebenfalls unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar Klarheit<br />
verschaffen. Die folgende Grafik zeigt, wie die Analyse solcher mehrfach belegten Zeichen im Detail<br />
dargestellt wird.<br />
111
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Ihnen wird angezeigt, welche Zeichen wie oft erkannt wurden. Wenn Sie auf ein Zeichen in der Liste<br />
klicken, wird Ihnen zu jedem Vorkommen des Zeichens angezeigt, in welcher Zeile und Spalte des<br />
Dokuments dieses Zeichen gefunden wurde. So können Sie sich Klarheit verschaffen, ob das Dokument<br />
immer noch den Inhalt hat, den Sie auch bereit sind, zu signieren.<br />
Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 beschrieben.<br />
Bei dem Öffnen einer PDF Datei mit dem <strong>OpenLimit</strong> SignCubes Viewer kann der folgende Hinweis auftreten:<br />
112
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Damit werden Sie darauf hingewiesen, dass in der PDF Datei Java Scripte enthalten sind. Diese werden in<br />
dem <strong>OpenLimit</strong> SignCubes Viewer nicht ausgeführt. In dem darauf folgenden Fenster erhalten Sie den<br />
Hinweis auf "Weitere Dateiinhalte", die Sie sich über Ansicht Weitere Dateiinhalte ansehen können.<br />
113
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar haben Sie die Möglichkeit, sich<br />
weitere Dateiinhalte zu dem geöffneten PDF Dokument anzeigen zu lassen:<br />
Allgemein: Es werden Ihnen in zusammengefasster Form die wichtigsten Dateiinhalte<br />
aufgelistet.<br />
Bilder: Zeigt an, welche Bilder auf welcher Seite zu finden sind.<br />
Java Script: Gibt Ihnen eine Auflistung der in dem PDF enthaltenen Java Scripte und dazu<br />
weitere Detailinformationen.<br />
Kommentare: Es werden die Kommentare des PDF mit ihrer Position aufgelistet.<br />
Alle Texte: Unter diesem Register werden alle in dem PDF enthaltenen Texte getrennt nach den<br />
einzelnen Seiten dargestellt.<br />
Viewer Meldungen: In diesem Register werden Ihnen weitere Prüfdetails als Hinweis angezeigt.<br />
Schriften: Es werden die in dem PDF verwendeten Schriftarten aufgezeigt.<br />
Annotationen: Es werden Zusatzinformationen zu in dem PDF enthaltenen Formularfeldern<br />
angezeigt.<br />
Wählen Sie das Register Allgemein erhalten Sie solche Informationen zu dem PDF wie Dateiname,<br />
enthaltene Java Scripte sowie Bilder und die Kopfdaten des PDF angezeigt.<br />
114
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wählen Sie in dem Register Bilder ein Bild aus und klicken die Schaltfläche Zeigen an, erhalten Sie eine<br />
Liste aller in dem PDF enthaltenen Bilder, die Sie sich fortlaufend anzeigen lassen können.<br />
115
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die in der PDF Datei enthaltenen Java Scripte werden Ihnen unter dem Register Java Script angezeigt:<br />
116
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Über das Register Alle Texte werden die in der PDF Datei enthaltenen Texte getrennt nach den einzelnen<br />
Seiten zusammengefasst.<br />
117
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nach Klicken auf die Schaltfläche Zeigen erhalten Sie die Textinformation in dem Textextraktionsdialog<br />
übersichtlich angezeigt:<br />
Unter dem Register Viewer Meldungen werden Ihnen weitere Detailinformationen angezeigt, die sich aus<br />
der Prüfung der Daten bei der Erstellung der Ansicht im Viewer ergeben haben.<br />
Hinweis: Achten Sie darauf, welche Fonts vom Viewer zur Darstellung der Texte verwendet werden. Es<br />
ist möglich, dass bei der Erzeugung des PDF Dokuments Fonts verwendet wurden, die auf Ihrem<br />
Betriebssystem nicht installiert sind. In diesem Falle muss der Viewer diese Fonts durch andere,<br />
ähnliche Fonts ersetzen. Verwenden Sie zur Prüfung von Texten immer den Text-Extraktionsdialog<br />
(Registerkarte: Alle Texte, Button: Anzeigen) um sich über den dargestellten Text zu vergewissern.<br />
118
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Unter dem Register Schriften werden Ihnen die in der PDF Datei verwendeten Schriftarten angezeigt mit<br />
der Information, ob diese Schriftart in der Datei eingebettet ist oder vom Betriebssystem zugeladen wird.<br />
119
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Unter dem Register Annotationen werden Ihnen weitere Zusatzinformationen angezeigt, die in der PDF<br />
Datei Formularfeldern hinzugefügt sind.<br />
Hinweis: Verschiedene Grafik-Programme bieten die Möglichkeit, Vektor Grafiken zu erstellen und<br />
diese in ein PDF Dokument einzubetten. Der Viewer bietet nicht die Möglichkeit, solche Vektor Grafiken<br />
(oder auch so genannte Splines) zu extrahieren und separat darzustellen oder zu untersuchen. Wenn<br />
Sie ein PDF Dokument mit Text signieren wollen, vergewissern Sie sich vorab immer über den Text-<br />
Extraktionsdialog über den vorhandenen Text. Wenn in diesem Dialog nicht der gesamte Text erscheint,<br />
der vermeintlich in dem PDF Dokument vorhanden ist, ist dieser fehlende Text eine Vektorgrafik.<br />
Solche Dokumente sollten Sie auf keinen Fall signieren!<br />
Hinweis: Der <strong>OpenLimit</strong> SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen.<br />
Die PDF Dokumente entsprechen der PDF 1.7 Spezifikation. Die Abweichungen von dieser Spezifikation<br />
wurden bereits im Kapitel Sicherheitskomponenten der <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5,<br />
Version 2.5.0.3 aufgeführt. Das TIFF Dokument kann eine mehrseitige TIFF Datei (Multipage-TIFF) sein.<br />
TXT Dokumente müssen den Regeln für Textdokumente entsprechen. Diese Syntaxprüfung ist auch bei<br />
Dokumenten im Rich Text Format (RTF) oder bei HTML-Quellcode erfolgreich. Die generierte Ansicht<br />
entspricht dabei immer dem Dokumentquellcode, d.h., eine Interpretation der Dateiinhalte, wie sie z.B.<br />
bei HTML Dokumenten von einem Browser vorgenommen wird, kann nicht geleistet werden.<br />
Hinweis: Wenn Sie sich nach der Anzeige durch den <strong>OpenLimit</strong> SignCubes Viewer hinsichtlich der zu<br />
signierenden Daten nicht sicher sind, dann sollten Sie diese Daten nicht signieren.<br />
120
5.6 Signaturerzeugung<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Das Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bietet Ihnen die Möglichkeit, eine<br />
qualifizierte Signatur nach dem deutschen Signaturgesetz zu erstellen. Es können aber auch<br />
fortgeschrittene und andere Signaturen erzeugt werden. Im Signaturgesetz werden verschiedene<br />
Anforderungen an eine qualifizierte Signatur gestellt. So muss der Benutzer z.B. die Möglichkeit haben, die<br />
zu signierenden Daten in einer geeigneten Darstellungsform zu betrachten. Diese Möglichkeit wird Ihnen<br />
in dem Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 über den <strong>OpenLimit</strong> SignCubes<br />
Viewer eingeräumt.<br />
Das Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 ist für den Umgang mit den im<br />
Kapitel Chipkarten aufgelisteten Smartcards bestimmt. Sie müssen bei der Signaturerzeugung immer<br />
darauf achten, dass Sie das richtige Zertifikat für die Signaturerzeugung verwenden.<br />
Es ist technisch ohne weiteres möglich, Signaturen mit beliebigen Zertifikaten zu erzeugen. Um eine<br />
qualifizierte Signatur zu erzeugen, müssen Sie immer ein Zertifikat verwenden, dessen Eigenschaften<br />
ausdrücklich darauf verweisen, dass es für die Erzeugung unabweisbarer elektronischer Signaturen<br />
vorgesehen ist. Diese Eigenschaften werden Ihnen beim Zertifikatsauswahldialog unter<br />
Verwendungszweck (Zulässige allgemeine Zwecke) angezeigt.<br />
Weiterhin können Sie sich mit einem Klick auf den Button Details ... die Eigenschaften des Zertifikates im<br />
Zertifikatseigenschaftendialog anzeigen lassen.<br />
Die angezeigten Zertifikatseigenschaften sind in der folgenden Abbildung enthalten:<br />
121
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf OK, um diesen Dialog wieder zu schließen. Um eine Signatur zu erzeugen, haben Sie mit den<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 mehrere Möglichkeiten.<br />
122
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wenn Sie z.B. eine Signatur über den <strong>OpenLimit</strong> SignCubes Viewer erzeugen, klicken Sie auf das Symbol<br />
'Signatur erzeugen' oder wählen den entsprechenden Menüpunkt.<br />
Anschließend erscheint das folgende Fenster:<br />
Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt.<br />
123
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitere<br />
Detailinformationen, wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche PIN,<br />
angezeigt werden.<br />
Es erfolgt sofort die Aufforderung zur PIN Eingabe.<br />
Klicken Sie auf den Button Details, so erscheint das Signaturanforderungsfenster, in dem Ihnen<br />
weitere Detailinformationen angezeigt werden. Nach dem Sie in diesem Fenster auf Signatur<br />
erzeugen geklickt haben, erscheint die Aufforderung zur PIN Eingabe.<br />
Die folgenden Informationen sind in dem Signaturanforderungsdialog enthalten:<br />
Anwendung: Enthält den Namen der Anwendung sowie den Pfad der Anwendung. Hier können Sie<br />
jederzeit erkennen, mit welcher Anwendung eine elektronische Signatur erzeugt werden soll.<br />
Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. Mit dem Knopf<br />
Zertifikat anzeigen können Sie sich das Zertifikat jederzeit anzeigen lassen.<br />
Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der eingelegten Karte<br />
angezeigt.<br />
Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese Kategorie<br />
sorgfältig, damit Sie bei Karten mit mehreren PINs nicht die falsche PIN eingeben.<br />
Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an.<br />
Daten: Zeigt an, welche Datei signiert werden soll. Mit einem Klick auf den Knopf Daten anzeigen<br />
können Sie wiederum den <strong>OpenLimit</strong> SignCubes Viewer starten, um die Daten zu betrachten.<br />
124
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Mit einem Klick auf den Knopf Signatur erzeugen können Sie jetzt die elektronische Signatur erzeugen.<br />
Beachten Sie bitte, dass automatisch die sichere PIN-Eingabe gestartet wird. Wenn die Daten signiert<br />
wurden, erscheint ein Informationsfenster, welches Ihnen mitteilt, dass die Daten signiert wurden.<br />
Hinweis: Wenn Sie automatisch eine OCSP-Antwort und/oder einen Zeitstempel während der<br />
Signaturerzeugung einbinden, sollten Sie nach der Signaturerstellung die Signatur prüfen und sich die<br />
Einzelheiten der OCSP-Antwort und des eingeholten Zeitstempels anzeigen lassen. Die Gültigkeit der<br />
OCSP-Antwort und des Zeitstempels werden erst dann auf Sperrlistenbasis vollständig geprüft, wenn<br />
Sie sich die Eigenschaften der eingebundenen Daten anzeigen zu lassen.<br />
Hinweis: Die <strong>OpenLimit</strong> SignCubes Basiskomponenten bieten die Möglichkeit, mehrere Dateien in einem<br />
Durchgang zu signieren. Damit Sie diesen Modus verwenden können, benötigen Sie jedoch eine<br />
zusätzliche <strong>OpenLimit</strong> Anwendung. Wenn dieser Modus aktiviert wird, erscheint der folgende<br />
Signaturanforderungsdialog.<br />
In diesem Falle wird der Button Daten anzeigen in Abhängigkeit von der ausgewählten Datei aktiviert.<br />
125
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis: Die Aktivierung des Mehrfachsignaturmodus erkennen Sie an der Dateiauswahlliste. Wenn Sie<br />
diesen Dialog sehen, können Sie mit einem Klick auf den Pfeil die Dateiauswahlliste aufklappen und<br />
erkennen, welche Dateien signiert werden sollen.<br />
Wenn der Signaturvorgang gestartet wird, erscheint ein Fortschrittsdialog, der Sie über die aktuell zu<br />
signierende Datei informiert. Wenn Sie den Button Abbrechen drücken, werden alle bis zu diesem<br />
Zeitpunkt erzeugten Signaturdateien wieder verworfen.<br />
Hinweis: Da Sie in diesem Modus mehrere Dateien in einem Durchgang signieren können, sollten Sie<br />
sich stets über Inhalt aller zu signierenden Daten vergewissern.<br />
5.7 Attributzertifikate<br />
Die <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bieten dem Anwender die Möglichkeit, der<br />
elektronischen Signatur mit dem Signaturzertifikat zusätzliche Attributzertifikate hinzuzufügen.<br />
Dazu wird in dem <strong>OpenLimit</strong> SignCubes Security Environment Manager die Option Attributzertifikate<br />
automatisch mitsignieren eingestellt. Im Ergebnis dessen wird bei jeder Signaturerstellung das zu dem<br />
Signaturzertifikat zugehörige Attributzertifikat bzw. die Attributzertifikate (es sind auch mehrere möglich)<br />
hinzugefügt.<br />
Klicken Sie in der Task-Leiste auf das <strong>OpenLimit</strong> Symbol, wählen Sie den Menüpunkt Einstellungen und<br />
setzen für Attributzertifikate automatisch mitsignieren den Haken.<br />
126
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Bei der Signaturerstellung mit dieser eingestellten Option erfolgt die Integration des Attributzertifikats<br />
automatisch. Voraussetzung dafür ist, dass die Datei des Attributzertifikats in dem Verzeichnis Eigene<br />
Dateien\AttributeCertificates abgelegt ist und zum Signaturzertifikat gehört.<br />
Die Informationen des Attributzertifikats werden bei der Signaturprüfung zusätzlich zu den Daten des<br />
Signaturzertifikats angezeigt. Starten Sie dazu die Signaturprüfung<br />
127
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf das Register mit dem Namen (Unterzeichner).<br />
128
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf den Button Details und wählen anschließend in dem Fenster das Register Details aus:<br />
Nach Auswahl des Feldes Beschränkung wird Ihnen in der unteren Hälfte des Fensters der Inhalt des<br />
Attributzertifikats angezeigt.<br />
129
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis: Das Verzeichnis Eigene Dateien/AttributeCertificates wird durch den <strong>OpenLimit</strong> SignCubes<br />
Security Environment Manager automatisch beim ersten Einlesen einer Smartcard angelegt. Die<br />
Attributzertifikate müssen in diesem Verzeichnis abgelegt sein.<br />
In dem Fall, dass Sie als Anwender ein anderes Verzeichnis für die Attributzertifikate definieren wollen,<br />
können Sie dies über die Verzeichniseinstellungen des <strong>OpenLimit</strong> SignCubes Security Environment<br />
Managers vornehmen. Weitere Informationen dazu finden Sie in dem Abschnitt Option: Verzeichnisse.<br />
130
5.8 Zeitstempeldienste<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Mit dem in den <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 bereitgestellten<br />
Zeitstempeldienst haben Sie die Möglichkeit, sich die Zeitstempelinformationen, die Daten hinzugefügt<br />
wurden, anzeigen zu lassen und dessen Signatur zu prüfen. Starten Sie dazu die Signaturprüfung:<br />
Klicken Sie auf die Schaltfläche Details.<br />
In dem folgenden Fenster wird unter dem Register Zusammenfassung das Ergebnis der Signaturprüfung zu<br />
der angeführten Prüfzeit dargestellt. Unter dem Register TSP-Details erhalten Sie weitere<br />
Einzelinformationen.<br />
131
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wenn Sie auf den Registerkartenreiter TSP-Details klicken, werden Ihnen detaillierte Informationen zum<br />
Zeitstempel angezeigt.<br />
132
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wenn Sie auf den Knopf 'Signatur-Zertifikat anzeigen' klicken, wird Ihnen das Zertifikat angezeigt, welches<br />
den Zeitstempel unterzeichnet hat. Zudem wird Ihnen die komplette Zertifikatskette zu diesem Zertifikat<br />
angezeigt. Sie sollten immer die Gültigkeit des Zertifikats, mit dem der Zeitstempel signiert ist, prüfen.<br />
Wenn Sie mit dem Produkt einen Zeitstempel abholen, sollten Sie immer das unterzeichnende Zertifikat<br />
des Zeitstempels überprüfen um sicherzustellen, dass Sie vom beabsichtigten Zeitstempeldienst eine<br />
Antwort erhalten haben. Das Produkt kann die Quelle des Zeitstempels nicht garantieren, die Prüfung mit<br />
Hilfe des Zertifikates muss von Ihnen durchgeführt werden. Sie müssen in jedem Fall selbst entscheiden,<br />
ob Sie dem Zeitstempel vertrauen.<br />
Hinweis: Wenn in der PKCS#7 Signaturdatei bzw. in der XML-Signatur ein Zeitstempel vorhanden ist,<br />
wird Ihnen automatisch auch das Ergebnis der Gültigkeitsprüfung der Signatur zu dem Zeitpunkt<br />
mitgeteilt, der durch den Zeitstempel angegeben wird.<br />
Hinweis: Die Funktion des Zeitstempeldienstes kann nur dann genutzt werden, wenn am PC eine<br />
Internetverbindung zu dem Zeitstempeldiensteanbieter besteht.<br />
133
5.9 XML Signaturen<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die Erzeugung von XML-Signaturen bzw. die Verifikation von XML-Signaturen kann grundsätzlich nur über<br />
Drittanwendungen aktiviert werden, die wiederum auf die Funktionen der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3 zugreifen. Damit stehen dem Anwender für die Signaturerzeugung<br />
von XML-Signaturen auch die Zeitstempeldienste, das Einbinden der OCSP - Anfrage und vorhandener<br />
Attributzertifikate zur Verfügung.<br />
Signaturerzeugung für XML Daten<br />
Wird über die Drittanwendung die Signaturerzeugung gestartet, erscheint der folgende<br />
Signaturanforderungsdialog:<br />
Nach Anklicken des Button Daten anzeigen werden die folgenden Informationen angezeigt:<br />
134
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nach Anklicken des Button Details wird der <strong>OpenLimit</strong> SignCubes Viewer gestartet und die ausgewählten<br />
Daten werden angezeigt. Es sind nicht die referenzierten Daten sondern der XML-Datenstrom:<br />
135
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Verifizieren von XML-Signaturen<br />
Wird über die Drittanwendung die Signaturverifikation gestartet, erscheint das folgende<br />
Informationsfenster:<br />
Nach Anklicken des Button Details werden die folgenden Informationen angezeigt:<br />
136
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nach Anklicken des Button Details wird der <strong>OpenLimit</strong> SignCubes Viewer geöffnet und die ausgewählten<br />
Daten werden angezeigt:<br />
137
6 Arbeitsabläufe<br />
6.1 Dateiformate<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die Arbeitsabläufe unter den verschiedenen Modulen der <strong>OpenLimit</strong> SignCubes Software sind immer<br />
wieder dieselben. Deshalb beschreiben wir in diesem separaten Kapitel nur die immer wiederkehrenden<br />
Abläufe. Wie diese gestartet oder angesteuert werden, können Sie in dem Abschnitt unter Arbeiten mit den<br />
<strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5.0.3 nachlesen.<br />
Die <strong>OpenLimit</strong> SignCubes 2.5 Software speichert Daten in verschiedenen Dateiformaten ab. Das Format<br />
können Sie über den <strong>OpenLimit</strong> SignCubes Security Environment Manager einstellen. Standardmäßig wird<br />
bei der Installation der Software das Format so eingestellt, dass die Signaturdatei und die Originaldaten in<br />
einer Datei gespeichert werden.<br />
p7s - Format<br />
*.p7s Dateien sind PKCS#7-Daten: Es handelt sich dabei um eine abgesetzte Signatur (detached signature).<br />
Das heißt, die signierten Daten und die Signatur sind in zwei getrennten Dateien gespeichert. Diese<br />
Vorgehensweise hat den Vorteil, dass man sich die Originaldaten mit dem dazugehörigen Programm<br />
ansehen kann. Solange diese nicht geändert werden, bleibt auch die Signatur gültig. Die Signatur ist mit<br />
der Originaldatei durch denselben Dateinamen verbunden. Wenn Sie eine p7s Datei mit einem Doppelklick<br />
öffnen, wird automatisch die Signaturprüfung gestartet.<br />
p7m - Format<br />
*.p7m Dateien sind PKCS#7-Daten: Dahinter können sich signierte, verschlüsselte oder signierte und<br />
verschlüsselte Daten verbergen.<br />
Signierte bzw. signierte und verschlüsselte p7m-Dateien liegen als Verbund-Dateien vor. Das heißt, die<br />
Datei beinhaltet sowohl eine oder mehrere Signaturen im p7s-Format als auch die Originaldaten, welche<br />
signiert oder signiert und verschlüsselt wurden. Wenn Sie eine p7m-Datei doppelklicken, wird die Datei<br />
entschlüsselt, sofern sie verschlüsselt war. Anschließend wird die Signaturprüfung gestartet, sofern eine<br />
Signatur vorhanden ist.<br />
138
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis: Verschlüsselte Daten werden immer als *.p7m Datei gespeichert. Bei Signaturen mit der<br />
<strong>OpenLimit</strong> SignCubes Shell Extension können Sie zwischen p7s (Daten und Signatur getrennt) oder p7m<br />
(Daten und Signatur in einer Datei) wählen, indem Sie die Einstellungen ändern.<br />
ors - Format<br />
*.ors Dateien sind Online-Statusabfragen zu Zertifikaten. Der Status eines Zertifikats kann bei der<br />
Signaturerstellung oder -prüfung vom Trustcenter abgefragt werden und gibt eine Aussage über die<br />
Gültigkeit des Zertifikats.<br />
tsr - Format<br />
*.tsr Dateien sind Zeitstempelinformationen. Zur Erzeugung von Zeitstempeln benötigt der User einen<br />
speziell freigeschalteten Zugriff auf einen Zeitstempel-Dienst. Ein Zeitstempel gibt eine Aussage darüber,<br />
dass gewisse Daten zu einem bestimmten Zeitpunkt existiert haben. Dies wird durch eine digital signierte<br />
Bescheinigung einer Zertifizierungsstelle bestätigt.<br />
139
6.2 Signieren<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
crl - Format<br />
*.crl - Dateien sind Sperrlisten: Durch Anklicken mit der rechten Maustaste wird die Sperrliste geöffnet und<br />
Sie können sich weitere Details zu einzelnen Zertifikaten anzeigen lassen.<br />
cer - Format<br />
*.cer - Dateien sind Zertifikatsdateien: Mit einem Doppelklick haben Sie die Möglichkeit, sich dieses<br />
Zertifikat anzeigen zu lassen.<br />
Die <strong>OpenLimit</strong> SignCubes Software bietet Ihnen verschiedene Möglichkeiten, qualifizierte Signaturen nach<br />
deutschem Signaturgesetz zu erstellen. Es können aber auch fortgeschrittene oder andere Signaturen<br />
erstellt werden.<br />
Unabhängig davon, aus welchem Modul heraus Sie den Vorgang der Signaturerzeugung starten, ist der<br />
nachfolgend beschriebene Ablauf immer gleich:<br />
Datei signieren<br />
Nach dem Start der Signaturerzeugung öffnet sich das folgende Fenster:<br />
Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt.<br />
Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitere<br />
Detailinformationen, wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche PIN,<br />
angezeigt werden. Es erfolgt sofort die Aufforderung zur PIN Eingabe.<br />
140
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf den Button Details, so erscheint das nachfolgende Signaturanforderungsfenster, in dem<br />
Ihnen weitere Detailinformationen angezeigt werden.<br />
Hier sehen Sie das Zertifikat, welches zur Signaturerzeugung verwendet wird, die Karte, die erforderliche<br />
PIN, den Kartenleser und die zu signierenden Daten.<br />
Vor der Signaturerzeugung sollten Sie sich im Fall von Daten im TXT, TIFF oder PDF Format über Daten<br />
anzeigen die zu signierenden Daten im <strong>OpenLimit</strong> SignCubes Viewer anzeigen lassen, um sicher zu sein,<br />
welche Daten Sie tatsächlich signieren. Klicken Sie dazu auf den Button Daten anzeigen.<br />
Nach dem Sie in diesem Fenster auf Signatur erzeugen geklickt haben, erscheint die Aufforderung zur PIN<br />
Eingabe.<br />
Je nach Kartenleser erscheint nun eine unterschiedliche Meldung.<br />
Geben Sie die PIN auf der Tastatur des Kartenlesers ein, eventuell müssen Sie diese mit OK bestätigen.<br />
Anschließend erscheint ein Fenster mit der Meldung, dass die Daten signiert wurden.<br />
141
6.3 Signatur prüfen<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Sollte hier ein Fenster mit der Meldung erscheinen, dass die eingegebene Signatur-PIN zurückgewiesen<br />
wurde, dann bedeutet das, dass Sie eine falsche PIN eingegeben haben.<br />
Die Prüfung einer Signatur erfordert Sorgfalt und Umsicht. Folgende Punkte sollten geprüft werden:<br />
Ist das Dokument wirklich unverändert?<br />
Ist der Signaturinhaber echt?<br />
Ist das Zertifikat nicht gesperrt?<br />
Einige Teile der Prüfung werden automatisch von der Software vorgenommen. Ob aber einem Zertifikat<br />
vertraut werden kann, liegt in der Entscheidung des Benutzers. Qualifizierte Signaturen nach dem<br />
deutschen Signaturgesetz lassen sich lückenlos zurückverfolgen bis zur Bundesnetzagentur. Das<br />
Herausgeberzertifikat der Bundesnetzagentur ist in die Software integriert. Dieser Zertifizierungspfad<br />
muss mathematisch korrekt und lückenlos sein. Aber auch andere Wurzelzertifikate können im<br />
Betriebssystem als vertrauenswürdig definiert werden.<br />
Deshalb bleibt es grundsätzlich dem Benutzer überlassen, welchen Zertifikaten er vertraut und welchen<br />
nicht.<br />
Weitere Information zu den Abläufen der Signaturprüfung und der Public Key Infrastruktur finden Sie<br />
unter Grundlagen der elektronischen Signatur.<br />
142
6.3.1 Zusammenfassung<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nachdem Sie auf Signatur Prüfen geklickt haben, erscheint der Dialog Details zur Signaturprüfung:<br />
In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oder<br />
mathematisch korrekt ist.<br />
Ist eine Signatur ungültig, dann wurden die Daten verändert. Dieser Signatur können Sie nicht vertrauen.<br />
Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde.<br />
Außerdem wurde auch die Signatur an sich nicht manipuliert. Empfehlenswert ist es in diesem Fall, eine<br />
OCSP Abfrage durchzuführen und sich auf diesem Weg die Gültigkeit der Signatur bestätigen zu lassen.<br />
Dazu wählen Sie das Register mit dem Namen des Signaturinhabers.<br />
143
6.3.2 Details<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nach Anklicken des Registers mit dem Namen des Signaturinhabers wird Ihnen folgendes Fenster<br />
angezeigt.<br />
Im Einzelnen erhalten Sie folgende Informationen:<br />
Hashwertprüfung: Hier wird die Integrität der Daten überprüft. Ist die Hashwertprüfung positiv,<br />
bedeutet dies, dass die Daten seit dem Signieren nicht verändert wurden. Negativ bedeutet, dass<br />
die Daten verändert wurden - in diesem Fall ist die Signatur ungültig. Wird als Zusatzinformation<br />
ein Hinweis angezeigt, dass die Signatur als ungeeignet eingestuft wird, dann bedeutet das, dass<br />
für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für<br />
die Erzeugung qualifizierter Signaturen nicht zulässig ist.<br />
Prüfung von Signatur und Zertifizierungspfad: Hier wird angegeben, ob eine Beschädigung der<br />
Signatur vorliegt und ob der Zertifizierungspfad vollständig ist.<br />
Zeitpunkt der Signaturerzeugung (Systemzeit): Hier wird die Zeit angegeben, die auf dem<br />
Rechner zum Zeitpunkt der Signaturerzeugung eingestellt war.<br />
144
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
6.3.3 Online Prüfung von Zertifikaten<br />
Vertrauensbasis: Hier wird die Vertrauenswürdigkeit des Zertifikats angegeben. Weiterhin wird<br />
der für die Signaturprüfung verwendete Algorithmenkatalog angezeigt.<br />
Zertifikatsstatus: Anhand von Sperrlisten wird geprüft, ob das Zertifikat gesperrt wurde. Wenn<br />
hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von aktuellen Sperrlisten oder<br />
eine Online-Prüfung über den Button Onlinestatus...<br />
Aktuelle Zeit als Prüfzeit (Sperrlistenprüfung): Anhand von Sperrlisten wird geprüft, ob das<br />
Zertifikat zum Zeitpunkt der Prüfung gültig war.<br />
Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch Online abgefragt werden.<br />
Nach einem Klick auf Onlinestatus... in dem Fenster <strong>OpenLimit</strong> SignCubes - Details zur<br />
Unterschriftsprüfung wird das Fenster Online Status-Prüfung (OCSP) geöffnet. Für die Prüfung muss eine<br />
Verbindung mit dem Internet bestehen.<br />
145
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt<br />
oder unbekannt. Das Ergebnis der Online Status-Prüfung wird im normalen Prüfdialog nicht angezeigt. Der<br />
Prüfdialog bezieht sich lediglich auf die Sperrlisten.<br />
146
6.3.4 Online Status<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wurde bei der Signaturerstellung der Signatur ein Online Status zugefügt, dann können Sie sich diesen bei<br />
der Signaturprüfung ansehen.<br />
Klicken Sie auf den Button Details, um die Einzelheiten der Signaturprüfung anzuzeigen.<br />
Wählen Sie dann Online Status aus und klicken Sie auf Details, um die Einzelheiten der Online Status<br />
Prüfung zum Zeitpunkt der Signaturerzeugung zu sehen.<br />
147
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf Details.<br />
148
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Mit Zertifikat anzeigen wird das Zertifikat der Person angezeigt, die die Signatur erzeugt hat.<br />
Mit Signatur-Zertifikat anzeigen wird das Zertifikat der Zertifizierungsstelle angezeigt, die die Online<br />
Status Antwort signiert hat.<br />
Mit Online Status exportieren können Sie die Datei als *.ors speichern. Um sich das Ergebnis der<br />
OnlinePrüfung vollständig ansehen zu können, müssen Sie das dazugehörige Zertifikat in dem gleichen<br />
Ordner ablegen.<br />
149
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
6.3.5 Erstellen Prüfprotokoll<br />
Falls in Ihrer Programmversion der <strong>OpenLimit</strong> SignCubes 2.5 das Modul zum Erstellen eines Prüfprotokolls<br />
mit installiert wurde, haben Sie die Möglichkeit, durch Anklicken des Button Speichern ein Prüfprotokoll zu<br />
erzeugen und zu speichern. Andernfalls wird der Button nicht angezeigt.<br />
Wählen Sie das Verzeichnis und den Dateinamen für das Prüfprotokoll aus. Standardmäßig wird das<br />
Protokoll in dem Ordner Eigene Dateien\VerificationProtocols abgespeichert.<br />
150
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Das Prüfprotokoll enthält folgende Angaben:<br />
Dokumentbeschreibung: Die Dokumentbeschreibung zeigt den Dateinamen und das temporäre<br />
Verzeichnis an, in dem das Prüfprotokoll als Datei zwischengespeichert wird, bevor es entweder<br />
abschließend in dem Verzeichnis Eigene Dateien\VerificationsProtocolls oder in einem durch den<br />
Anwender definierten Verzeichnis abgelegt wird.<br />
Prüfumgebung: Die Prüfumgebung weist aus, wann (Datum und Uhrzeit) die Prüfung<br />
durchgeführt wurde und durch welchen Nutzer.<br />
Zusammenfassung der Prüfergebnisse: Hier wird das Ergebnis der Hashwertprüfung und die<br />
Überprüfung der Zertifizierungskette zusammengefasst dargestellt.<br />
Informationen zur Signatur: An dieser Stelle erhalten Sie weitere Detailinformationen zur<br />
Signatur wie den Namen des Unterzeichners, die Signaturzeit, die Vertrauensbasis des<br />
Herausgeberzertifikats, den Hashwert, das Ergebnis der Hashwertprüfung und welcher<br />
Signaturalgorithmus verwendet wurde.<br />
Informationen zum verwendeten Signatur-Zertifikat: Hier werden die Angaben zum<br />
Herausgeberzertifikat, d.h. wer ist der Herausgeber, die Seriennummer des<br />
Herausgeberzertifikats und die Gültigkeit ausgewiesen.<br />
151
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Durch die Symbolik im Hintergrund des Prüfprotokolls (grüner Haken, gelbes Ausrufezeichen, roter<br />
Warnkreis) wird das Ergebnis der Prüfung optisch zusätzlich verdeutlicht. Dabei haben die Symbole<br />
folgende Bedeutung:<br />
Grüner Haken: Die Signatur wurde gültig geprüft.<br />
152
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Gelbes Ausrufezeichen: Es gibt Hinweise darauf, dass die Signatur nicht vollständig geprüft<br />
werden konnte, weil z.B. Sperrlisten oder Herausgeberzertifikate fehlten bzw. nicht aktuell<br />
waren. In diesem Fall sollten Sie die Aktualisierung der Sperrlisten einschließlich der<br />
Vertrauenslisten durchführen und die Signaturverifikation nochmals starten. Weitere<br />
Informationen dazu finden Sie in dem Kapitel Sperrlistenaktualisierung.<br />
153
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Roter Warnkreis: Dieses Symbol weist daraufhin, dass die Datei eine ungültige Signatur besitzt.<br />
In diesem Fall sollten Sie im Detail prüfen, ob die Daten manipuliert wurden, das Zertifikat<br />
abgelaufen oder gesperrt ist.<br />
Hinweis: In Abhängigkeit von dem installierten Programm-Modul zum Erstellen des Prüfprotokolls kann<br />
die o.g. Beschreibung abweichen. Das kann sowohl das Dateiformat des Prüfprotokolls als auch die<br />
Informationen, die im Ergebnis der Prüfung dargestellt und gespeichert werden, betreffen.<br />
154
6.4 Verschlüsselung<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die Verschlüsselung schützt vor den Augen Dritter. Sie können jegliche Daten verschlüsseln, egal ob diese<br />
auf dem Rechner gespeichert oder ob sie per e-Mail über das Internet gesendet werden. Da die<br />
Verschlüsselung aber nicht vor Viren schützt, ist es ratsam, verschlüsselte Daten, die archiviert werden<br />
sollen, zusätzlich auf externen Datenträgern zu sichern bzw. nach dem Entschlüsseln auf jeden Fall nach<br />
Viren zu prüfen.<br />
Zunächst wird das Dokument mit einem Zufallsschlüssel im Triple DES-Verfahren verschlüsselt. Das heißt,<br />
das Dokument wird dreimal hintereinander mit 192 Bit verschlüsselt. Der Zufallsschlüssel wird dann mit<br />
dem öffentlichen Schlüssel des Empfängers verschlüsselt. Hier kommt die 1024 Bit RSA-Verschlüsselung<br />
zum Einsatz.<br />
Man benötigt zum Verschlüsseln also immer den öffentlichen Schlüssel des Empfängers (das können auch<br />
mehrere sein). Dieser ist in ein Verschlüsselungszertifikat integriert und kann im Verzeichnisdienst des<br />
Trustcenters abgerufen und auf dem Computer installiert werden. Sie können sich auch die<br />
Verschlüsselungszertifikate Ihrer Kommunikationspartner per e-Mail schicken lassen. Ihr eigenes<br />
Zertifikat können Sie aus der Karte exportieren. Alle installierten Zertifikate werden von der Software<br />
automatisch angezeigt. Das verschlüsselte Dokument und der verschlüsselte Zufallsschlüssel werden dann<br />
zusammen archiviert oder per e-Mail an die Kommunikationspartner versandt.<br />
155
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
In der Praxis ist es empfehlenswert, Daten durch eine Kombination von elektronischer Signatur und<br />
Verschlüsselung zu sichern.<br />
6.4.1 Daten verschlüsseln<br />
Die Verschlüsselung von Daten ist nicht gesetzlich geregelt. Dennoch ist es ratsam, Daten zusätzlich zur<br />
Signatur zu verschlüsseln, weil dadurch gewährleistet wird, dass nur bestimmte Personen Einblick in die<br />
Daten haben.<br />
Wenn Sie Daten verschlüsseln, sollten Sie mindestens zwei Zertifikate verwenden (Ihres und das einer<br />
vertrauenswürdigen Person). Wenn Sie Ihre Karte verlieren sollten oder sie auf andere Art unbrauchbar<br />
wird, sind die verschlüsselten Daten ansonsten unwiederbringlich verloren. Es gibt keine Kopien Ihres<br />
privaten Schlüssels und eine Wiederherstellung ist unmöglich.<br />
Verschlüsselungszertifikate auswählen<br />
Nachdem Sie auf Verschlüsseln geklickt haben, erscheint der Dialog zur Auswahl von<br />
Verschlüsselungszertifikaten.<br />
Hier werden alle öffentlichen Schlüssel angezeigt, die auf dem Rechner installiert sind. Sollten Sie auf der<br />
linken Seite keine Zertifikate außer Ihr eigenes sehen, müssen Sie sich die öffentlichen Schlüssel der<br />
Empfänger beschaffen. Sie haben dazu mehrere Möglichkeiten:<br />
Download oder Installation über den Verzeichnisdienst, dazu erhalten Sie weitere Informationen<br />
in dem Abschnitt Verzeichnisdienst.<br />
durch Installation des Schlüssels, den Sie als cer - Datei erhalten haben, falls Sie mit diesem<br />
Kommunikationspartner mehrfach verschlüsselt kommunizieren wollen; Weitere Informationen<br />
finden Sie in dem Abschnitt Zertifikate installieren<br />
oder durch Einfügen der *.cer-Datei, in dem Sie auf den Button aus Datei klicken<br />
156
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nur die Zertifikatsinhaber der ausgewählten Zertifikate können die Datei entschlüsseln. Es ist also ratsam,<br />
auch das eigene Zertifikat hinzuzufügen.<br />
Wenn ein Zertifikat selektiert ist, können im unteren Fenster die Informationen dazu angesehen werden.<br />
Nach einem Klick auf Hinzufügen oder einem Doppelklick auf den Zertifikatsnamen wird das Zertifikat in<br />
die rechte Liste kopiert.<br />
Klicken Sie dann auf Übernehmen, um die Daten für die ausgewählten Zertifikate zu verschlüsseln.<br />
Selektierte Zertifikate können mit Hinzufügen und Entfernen von einem Fenster ins andere verschoben<br />
werden. Unter Details... wird das ausgewählte Zertifikat angezeigt. Um sicher zu gehen, dass das Zertifikat<br />
nicht gesperrt ist, kann nach einem Klick auf Details... der Onlinestatus geprüft werden, wenn die CA das<br />
unterstützt. Ansonsten funktioniert meist auch eine Suche im Verzeichnisdienst (Button weitere...).<br />
157
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Einstellung des Verschlüsselungsalgorithmus<br />
Für den Verschlüsselungsalgorithmus sollten Sie nur dann andere Einstellungen vornehmen, wenn es aus<br />
Gründen der Kompatibilität mit anderen Programmen unbedingt notwendig ist.<br />
6.4.2 Verschlüsselungszertifikat exportieren<br />
Der <strong>OpenLimit</strong> SignCubes Security Environment Manager bietet Ihnen die Möglichkeit, Ihr<br />
Verschlüsselungszertifikat zu exportieren. Das Zertifikat können Sie dann z.B. per e-Mail an eine andere<br />
Person senden, damit diese wiederum Dokumente für Sie verschlüsseln kann.<br />
Weitere Informationen dazu finden Sie in dem Kapitel Chipkarten Optionen/Zertifikate exportieren.<br />
6.4.3 Zertifikate installieren<br />
Ein Zertifikat aus dem Verzeichnisdienst installieren Sie einfach, indem Sie auf den Button Installieren im<br />
Ergebnisdialog klicken. Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im<br />
Zertifikatsauswahldialog.<br />
Die Zertifikate auf der Karte, die in Ihrem Kartenleser stecken, werden automatisch installiert.<br />
158
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wenn Sie ein Zertifikat auf anderem Weg erhalten, z.B. per E-Mail, liegt es als Datei vor. Sie müssen es über<br />
den Zertifikatsdialog von Windows installieren.<br />
Zertifikate unter Windows installieren<br />
Doppelklicken Sie das Zertifikat im Windows Explorer.<br />
Im Zertifikatsdialog von Windows auf Zertifikat installieren klicken.<br />
Die Gültigkeitsangaben des Windows Zertifikatsdialoges sollten Sie nicht interessieren, da Windows nicht<br />
immer mit Signatur-Zertifikaten umgehen kann. Negative Aussagen haben keine Relevanz. Gründe dafür<br />
können neben Inkompatibilität mit den Signaturstandards auch fehlende Algorithmen sein.<br />
Nach dem Startdialog folgt mit einem Klick auf Weiter der Zertifikatsspeicherdialog.<br />
Wählen Sie: Alle Zertifikate in folgendem Speicher speichern.<br />
Klicken Sie auf Durchsuchen...<br />
Wählen Sie den Ordner Andere Personen und bestätigen Sie mit OK.<br />
Klicken Sie im Assistenten auf Weiter<br />
und anschließend auf Fertig stellen.<br />
Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im Zertifikatsauswahl Dialog.<br />
159
6.4.4 Verzeichnisdienst<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nach einem Klick auf weitere... wird der Verzeichnis Client geöffnet.<br />
Für die Suche können Sie Wildcards (*) benutzen. Das sind Platzhalter, die man für unbekannte Buchstaben<br />
platzieren kann. Wenn Sie dies nicht tun, müssen Sie die exakte Schreibweise des gesuchten Namens<br />
kennen. Geben Sie am besten den Nachnamen zwischen Wildcards ein: z.B. *Daneller*. Wenn es sich um<br />
einen sehr häufigen Namen handelt, ist als Suchbegriffe die E-Mail-Adresse empfehlenswert.<br />
Zertifikat suchen<br />
Tragen Sie den oder die Suchbegriffe in die Felder ein.<br />
Wählen Sie den Verzeichnisdienst der CA, die das Zertifikat herausgegeben hat.<br />
Klicken Sie auf Starten.<br />
Zum Suchen nicht auf Weiter sondern auf Starten klicken. Die Weiter und Zurück Button ermöglichen eine<br />
erneute Suche und ein einfaches Hin- und Herschalten zwischen Ergebnis- und Suchdialog.<br />
Wenn Sie eine Fehlermeldung erhalten, dass die zulässige Größe überschritten ist, dann haben Sie zu viele<br />
Suchergebnisse erhalten. Diese Funktion dient dem Datenschutz, so dass nicht einfach mit einer * * -Suche<br />
alle Zertifikate gefunden werden können. Geben Sie weitere Buchstaben in den Suchbegriff ein.<br />
160
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Ergebnis<br />
Im Ergebnisdialog werden alle gefundenen Zertifikate angezeigt.<br />
Zertifikate übernehmen<br />
Mit einem Klick auf den Namen wird rechts die Zertifikatsinformation angezeigt.<br />
Über den Button Details kommt man zur Zertifikatsanzeige, wo man sich noch einmal die<br />
Einzelheiten ansehen kann. Die meisten CAs nehmen gesperrte und ungültige Zertifikate aus<br />
dem Verzeichnisdienst, so dass sich eine Statusprüfung erübrigt, wenn man hier ein Zertifikat<br />
gefunden hat.<br />
Damit das Zertifikat auf dem Rechner bei jeder Verschlüsselung automatisch angezeigt wird,<br />
kann es installiert werden. Dies sollten Sie für Zertifikate tun, die Sie oft benutzen.<br />
Haken Sie die Checkbox vor dem Namen der Zertifikate an, die für die Verschlüsselung<br />
übernommen werden sollen.<br />
Klicken Sie auf Übernehmen.<br />
Die Zertifikate erscheinen dann im Zertifikatsauswahl Dialog (Verschlüsseln) auf der rechten<br />
Seite.<br />
161
6.5 Entschlüsselung<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Um das Dokument wieder entschlüsseln zu können, wird der Zufallsschlüssel im Klartext benötigt. Er kann<br />
nur mit dem privaten Schlüssel entschlüsselt werden. Dazu braucht der Benutzer die Karte mit dem, zu<br />
dem öffentlichen Schlüssel zugehörigen privaten Schlüssel und der PIN.<br />
Ist der Zufallsschlüssel entschlüsselt, kann auch das gesamte Dokument entschlüsselt werden. Auch diese<br />
Abläufe übernimmt die Software automatisch.<br />
Durch dieses Verfahren ist gesichert, dass nur der Karteninhaber mit seiner PIN das Dokument<br />
entschlüsseln und lesen kann. Die Daten können auch für mehrere Zertifikate verschlüsselt werden. Wir<br />
empfehlen grundsätzlich, alle Daten, mindesten mit zwei öffentlichen Schlüsseln, für eine andere<br />
vertrauenswürdige Person und sich selbst, zu verschlüsseln. Bei Daten, die versendet werden, empfiehlt es<br />
sich das eigene Zertifikat und das des Empfängers. Wenn die eigene Karte verloren geht, oder<br />
möglicherweise aus anderen Gründen nicht mehr verwendbar ist, können die Daten immer noch mit der<br />
zweiten Karte (der des Empfängers oder der vertrauenswürdigen Person) entschlüsselt werden.<br />
162
6.5.1 Daten entschlüsseln<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Dateien entschlüsseln<br />
Zum Entschlüsseln wir der zu dem öffentlichen Schlüssel zugehörige private Schlüssel benötigt. Aus<br />
diesem Grund muss zum Entschlüsseln die globale PIN eingegeben werden.<br />
Es erscheint ein Fenster mit der Meldung, dass die Datei entschlüsselt wurde.<br />
Klicken Sie auf OK.<br />
Danach sollten die Daten wieder im Klartext vorliegen. Um viele Dateien hintereinander ohne ständige PIN-<br />
Eingabe zu entschlüsseln, können Sie die Karte auch "öffnen". Weitere Informationen dazu finden Sie in<br />
dem Abschnitt PIN-Abfrage.<br />
163
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
7 <strong>OpenLimit</strong> SignCubes Shell Extension<br />
Die <strong>OpenLimit</strong> SignCubes Shell Extension ermöglicht die Signatur und Verschlüsselung direkt im Windows<br />
Explorer. Darüber hinaus sind das Prüfen von Signaturen und die Entschlüsselung integriert. Wenn Sie eine<br />
Datei mit der rechten Maustaste anklicken, finden Sie im Kontextmenü den Punkt <strong>OpenLimit</strong> SignCubes.<br />
Wählen Sie diesen aus, erhalten Sie in Abhängigkeit von der ausgewählten Dateistruktur verschiedene<br />
Funktionen angeboten. Weitere Informationen erhalten Sie in den nachfolgenden Abschnitten.<br />
7.1 Die erste Signatur mit <strong>OpenLimit</strong> SignCubes<br />
Die erste Signatur haben Sie bereits mit der Lizenzierung der Software erstellt. In den nachfolgenden<br />
Abschritten wird beschrieben, wie Sie eine weitere Signatur erzeugen. Wählen Sie eine beliebige Datei (im<br />
Beispiel eine *.tif Datei) im Explorer aus.<br />
Klicken Sie im Explorer die Datei mit der rechten Maustaste an.<br />
Wählen Sie <strong>OpenLimit</strong> SignCubes - Datei signieren<br />
Weitere Informationen zur Signaturerzeugung finden Sie in dem Abschnitt Signieren.<br />
Im Ergebnis der Signaturerstellung wird eine p7m-Datei mit demselben Namen der Ursprungsdatei erzeugt.<br />
Darüber hinaus bleibt die Original-Datei erhalten. Die p7m-Datei enthält sowohl die Original-Daten als auch<br />
164
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
die Signatur. Durch Anklicken dieser p7m-Datei mit der rechten Maustaste können Sie die Signaturen<br />
prüfen und bei Bedarf die Datei getrennt als txt-Datei und p7s-Datei abspeichern.<br />
7.2 Shell Extension Menü<br />
Wenn Sie eine Datei im Windows Explorer mit der rechten Maustaste anklicken, öffnet sich das<br />
Kontextmenü mit dem Menüpunkt <strong>OpenLimit</strong> SignCubes. Unter diesem finden Sie in der Regel die Punkte:<br />
Datei signieren<br />
Datei verschlüsseln<br />
Datei signieren und verschlüsseln<br />
Weitere Punkte, wie z.B.<br />
Signatur(en) prüfen<br />
Datei entschlüsseln<br />
Datei und Signatur(en) trennen<br />
Datei und Signaturen verbinden<br />
Zertifikat anzeigen<br />
Online Status anzeigen<br />
Zeitstempel erzeugen<br />
Sperrlisten anzeigen<br />
erscheinen, wenn es sich um bereits signierte oder verschlüsselte Dateien bzw. einen Zeitstempel oder<br />
eine Online Status-Datei handelt. Die Funktionen, die durch diese Befehle angestoßen werden, sind unter<br />
Arbeitsabläufe im Einzelnen erklärt.<br />
165
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
7.3 Dateien und Icons im Explorer<br />
Mit <strong>OpenLimit</strong> SignCubes lassen sich verschiedene Dateiformate erzeugen. Diese erkennt man im Explorer<br />
auch an Ihren Icons (bei Windows 2000 oder höher). Zeitstempel können in der <strong>OpenLimit</strong> SignCubes<br />
Software nicht erzeugt werden.<br />
p7m Dateien: Verschlüsselte Dateien oder Dateien, die eine Signatur beinhalten, bekommen ein<br />
blaues Tresor-Icon mit der Aufschrift p7m.<br />
p7s Dateien: Abgesetzte Signaturen, die durch ihren Dateinamen mit der Ausgangsdatei logisch<br />
verknüpft sind, bekommen ein blaues Tresor-Icon mit der Aufschrift p7s.<br />
ors-Dateien: Online Status Response Dateien, die durch das Exportieren von OCSP Antworten<br />
entstehen, bekommen ein Zertifikats-Icon mit einem roten Siegel.<br />
tsr-Dateien: Zeitstempel Dateien, die durch ihren Dateinamen mit der Ausgangsdatei logisch<br />
verknüpft sind, bekommen ein Uhr-Icon mit einem roten Siegel.<br />
Allerdings werden diese Dateien in den neueren Betriebssystemen als verborgene Dateien oft nicht<br />
angezeigt. Um sie sichtbar zu machen, muss man unter den Ordneroptionen des Windows Explorers (Menü<br />
Extras - Ordneroptionen - Reiter Ansicht) unter versteckte Dateien und Ordner die Option alle Dateien und<br />
Ordner anzeigen aktivieren und Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren.<br />
166
8 Adobe Plugin<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Weitere Informationen zu den Dateien finden Sie auch unter Dateiformate.<br />
Das Adobe Plugin ermöglicht die Signatur direkt unter Adobe Acrobat Reader ab Version 7.0.8 und Adobe<br />
Acrobat 7.0. Wurden PDF Formulare vom Herausgeber mit zusätzlichen Rechten versehen (Adobe Formular<br />
Server Lösungen), lassen sich diese Formulare auch im Adobe Reader ab Version 7.0.8 signieren. Zudem<br />
können digitale Signaturen in einem PDF Formular geprüft werden.<br />
Das Adobe Plugin wird automatisch installiert, soweit Adobe Reader oder Adobe Acrobat auf Ihrem<br />
Computer installiert ist.<br />
Falls Sie das Adobeprogamm erst nach der <strong>OpenLimit</strong> SignCubes Software installieren, müssen Sie das<br />
Plugin nachträglich installieren. Falls Sie dazu das Installationsprogramm benötigen, wenden Sie sich bitte<br />
an <strong>OpenLimit</strong>.<br />
167
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
8.1 Adobe Plugin Grundeinstellungen<br />
Grundeinstellungen festlegen<br />
Der hier beschriebene Ablauf bezieht sich auf das Produkt Adobe Reader Version 9.0.0. Die Beschreibung<br />
erfolgt beispielhaft. Weitere Informationen zu aktuellen Versionen der Adobe Produkte finden Sie unter<br />
auf der OPENLiMiT FAQ Seite unter<br />
https://www.<strong>OpenLimit</strong>.com/faq/<br />
in der Rubrik Adobe.<br />
Öffnen Sie den Adobe Reader.<br />
Über das Bearbeiten-Menü kommen Sie zu dem Menüpunkt Voreinstellungen...<br />
Wählen Sie im linken Bereich Sicherheit aus.<br />
Setzen Sie ein Häkchen für „Beim Öffnen des Dokuments Unterschriften prüfen“.<br />
Klicken Sie dann auf Erweiterte Voreinstellungen.<br />
168
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Unter dem Reiter Überprüfung sollten Sie folgende Einstellungen vornehmen:<br />
Wählen Sie Immer Standardmethode verwenden (Überschreibt die im Dokument angegebene Methode).<br />
Wählen Sie dann als Standardmethode zum Überprüfen von Unterschriften: "<strong>OpenLimit</strong> SignCubes PDF<br />
Plugin, Version 2.5 ".<br />
Unter dem Reiter Erstellung sollten Sie die Einstellungen wie folgt vornehmen:<br />
Wählen Sie als Standardmethode beim Unterschreiben und Verschlüsseln von Dokumenten: "<strong>OpenLimit</strong><br />
SignCubes PDF Plugin, Version 2.5 ".<br />
169
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Mit OK werden die Einstellungen gespeichert.<br />
8.1.1 PDF Dokument signieren<br />
Für die Erzeugung einer Signatur in PDF Dokumenten ist in der <strong>OpenLimit</strong> SignCubes Software ein Adobe<br />
Plugin integriert. Dieses bietet Ihnen unter bestimmten Voraussetzungen die Möglichkeit, das PDF<br />
Dokument im Adobe Reader oder Adobe Acrobat zu signieren.<br />
Wenn ein PDF Dokument oder PDF Formular ein oder mehrere Felder für digitale Signaturen enthält, so<br />
können Sie mit dem Adobe Plugin eine qualifizierte digitale Signatur direkt in diesem PDF erstellen und<br />
dieses anschließend speichern.<br />
Um ein solches PDF mit dem Adobe Reader zu signieren, muss dieses mit zusätzlichen Rechten versehen<br />
worden sein (Adobe Formular Server Lösungen). Um ein PDF mit Adobe Acrobat zu signieren, reicht es aus,<br />
170
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
wenn das Signaturfeld mit Adobe Acrobat erstellt wurde. Um ein Signaturfeld mit Adobe Acrobat selbst zu<br />
erstellen, lesen Sie bitte in der Adobe Acrobat Hilfe nach.<br />
So signieren Sie ein PDF Dokument<br />
Öffnen Sie das Dokument.<br />
Das PDF Dokument enthält ein oder mehrere Signatur-Felder. Ein Signaturfeld erkennen Sie am roten Pfeil<br />
links oben im Feld.<br />
Stecken Sie Ihre Smartcard in den Kartenleser und warten Sie, bis diese erkannt ist (bis das<br />
Chip-Symbol in der Taskleiste gelb ist).<br />
Klicken Sie das entsprechende Signaturfeld an.<br />
Anschließend öffnet sich das Signaturanforderungsfenster. Weitere Informationen finden Sie in dem<br />
Abschnitt Signatur erzeugen.<br />
8.1.2 Signatur im PDF prüfen<br />
PDF Dokumente können Signaturen enthalten, die in einem extra dafür vorgesehenen Signaturfeld<br />
integriert sind, oder Signaturen, die in das PDF Dokument eingebettet sind, jedoch nicht in einem<br />
Signaturfeld vorliegen. In diesem Fall handelt es sich um sogenannte "eingebettete" Signaturen.<br />
Signaturen in Unterschriftsfeldern prüfen<br />
Enthält ein PDF Dokument bereits eine digitale Signatur in einem dafür vorgesehenen Signaturfeld, so<br />
können Sie mit dem Adobe Reader oder Adobe Acrobat diese Signatur prüfen. Die Signaturprüfung wird<br />
mit den Einstellungen vorgenommen, die Sie unter Adobe Acrobat oder Adobe Reader festgelegt haben.<br />
Weitere Informationen dazu finden Sie in dem Abschnitt Adobe Plugin Grundeinstellungen.<br />
171
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Öffnen Sie das PDF Dokument und klicken Sie auf ein Unterschriftsfeld, das bereits eine Signatur enthält.<br />
Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "<strong>OpenLimit</strong> SignCubes PDF Plugin"<br />
ausgewählt haben, so erscheint folgender Dialog:<br />
In der Zusammenfassung steht das Ergebnis der Signaturprüfung. Ein Beispiel für ein Prüfergebnis wäre<br />
z.B.:<br />
Die Datei ist gültig signiert. oder<br />
Die Signatur ist mathematisch korrekt.<br />
Für genauere Informationen lesen Sie bitte in den Abschnitten Signaturverifikation bzw. Signaturen prüfen<br />
nach.<br />
172
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Unsichtbare Signaturen prüfen<br />
Enthält ein PDF Dokument eine unsichtbare digitale Signatur, so können Sie mit Adobe Reader oder Adobe<br />
Acrobat diese Signatur prüfen. Die Signaturprüfung wird mit den Einstellungen vorgenommen, die Sie<br />
unter Adobe Acrobat oder Adobe Reader festgelegt haben.<br />
Öffnen Sie das PDF Dokument und klicken Sie dann links auf den Reiter Unterschriften, um alle<br />
Unterschriften des Dokuments anzusehen.<br />
Wählen Sie jetzt eine Unterschrift aus, klicken Sie dann auf Optionen und wählen Sie Unterschrift<br />
prüfen.<br />
Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "<strong>OpenLimit</strong> SignCubes PDF Plugin,<br />
Version 2.5.0.3" ausgewählt haben, so erscheint folgender Dialog:<br />
173
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Detaillierte Informationen zu den Ergebnissen der Signaturprüfung finden Sie in dem Abschnitt Signaturen<br />
prüfen.<br />
9 Der <strong>OpenLimit</strong> TIFF/PDF (PDF/A) Drucker<br />
Die <strong>OpenLimit</strong> SignCubes Software bietet Ihnen mit dem <strong>OpenLimit</strong> TIFF/PDF Drucker die Möglichkeit, aus<br />
anderen Programmen heraus wie z.B. Microsoft Word Daten an die sichere Anzeigeeinheit, den <strong>OpenLimit</strong><br />
SignCubes Viewer auszugeben. Die übertragenen Daten werden über den <strong>OpenLimit</strong> TIFF/PDF Drucker in<br />
eine sicher darstellbare Bilddatei (TIFF) oder in eine PDF Datei konvertiert. Die Ausgabe über den<br />
<strong>OpenLimit</strong> TIFF/PDF Drucker ist mit jedem auf Ihrem System druckbaren Dokument möglich.<br />
174
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis: Der <strong>OpenLimit</strong> TIFF/PDF Drucker steht für das Betriebssystem Windows NT nicht zur<br />
Verfügung. Unter Windows NT wird der <strong>OpenLimit</strong> SignCubes Drucker installiert. Dieser kann Dateien<br />
nur in das TIFF Format konvertieren.<br />
Visualisieren<br />
Drucken Sie die Datei in dem Programm aus, in dem sie erstellt wurde. Normalerweise geht das über den<br />
Befehl Datei - Drucken.<br />
Wählen Sie den <strong>OpenLimit</strong> TIFF Producer für die Ausgabe der Datei im TIFF Format oder den <strong>OpenLimit</strong><br />
PDF Producer für die Konvertierung als PDF Datei und bestätigen Sie mit OK.<br />
Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\TIFFOutput abgespeichert.<br />
Unter dem Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner Dokumente\TIFFOutput.<br />
Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (tif).<br />
175
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Für die Konvertierung in ein PDF Format wählen Sie den <strong>OpenLimit</strong> PDF Producer.<br />
Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\PDFOutput abgespeichert. Unter<br />
dem Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner Dokumente\PDFOutput.<br />
Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (pdf).<br />
Unter Windows NT wählen Sie den <strong>OpenLimit</strong> SignCubes Drucker aus und bestätigen mit OK.<br />
176
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Daraufhin öffnet sich die Darstellung im <strong>OpenLimit</strong> SignCubes Viewer. Sollte es lange dauern, bis Ihre Datei<br />
im <strong>OpenLimit</strong> SignCubes Viewer dargestellt wird, liegt es möglicherweise daran, dass die gewählten<br />
Eigenschaften des Druckers mit einer zu hohen Auflösung eingestellt sind.<br />
177
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
9.1 Eigenschaften des <strong>OpenLimit</strong> PDF Producer<br />
Nach Auswahl des <strong>OpenLimit</strong> PDF Producer und Anklicken des Buttons Eigenschaften haben Sie Möglichkeit<br />
die Standardeinstellungen des Druckers zu verändern.<br />
Über das Menü PDF Compliance Level haben Sie die Möglichkeit die PDF - Version<br />
PDF 1.4<br />
auszuwählen.<br />
PDF 1.5 oder<br />
PDF/A-1b<br />
178
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
9.2 Eigenschaften des <strong>OpenLimit</strong> TIFF Producers<br />
Nach Auswahl des <strong>OpenLimit</strong> TIFF Producer und Anklicken des Buttons Eigenschaften haben Sie<br />
Möglichkeit die Standardeinstellungen des Druckers zu verändern.<br />
179
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
9.3 Eigenschaften des <strong>OpenLimit</strong> SignCubes Druckers (nur Windows NT)<br />
Diese Drucker wird nur unter dem Betriebssystem NT installiert, da der <strong>OpenLimit</strong> PDF Producer und der<br />
<strong>OpenLimit</strong> TIFF Producer nicht für Windows NT verfügbar sind.<br />
Ändern der Druckereigenschaften<br />
In dem Programm, in dem Sie gerade arbeiten, wählen Sie Datei - Drucken...<br />
Unter "Name" wählen Sie den <strong>OpenLimit</strong> SignCubes Drucker<br />
Klicken Sie auf Eigenschaften...<br />
Daraufhin sind mehrere Reiter zu sehen.<br />
Reiter Beschreibung<br />
Einstellungen Generelle Einstellungen des Druckers<br />
Dateiformate Ausgabeformat der Datei<br />
Dateiname erstellen Ausgabename der Datei<br />
Programm-Start Programm, das nach dem Drucken startet<br />
Wasserzeichen Wasserzeichen in Datei generieren<br />
Kommentar einbeziehen Bemerkung Einfügen<br />
180
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
9.3.1 Drucker Eigenschaften – Einstellungen<br />
Papier Größe<br />
Papier<br />
Paper Breite; Papier Höhe<br />
Hier wählen Sie die Papiergröße aus. Sollte die gewählte Papiergröße<br />
kleiner sein als das zu druckende Dokument, dann werden Teile des<br />
Dokuments in der SignCubes Visualisierung nicht angezeigt. Wenn dies<br />
der Fall ist sollten Sie einen Warnhinweis erhalten, sobald Sie auf OK<br />
gedrückt haben.<br />
Hier werden die Breite und Höhe des gewählten Papiers angezeigt. Unter<br />
Einheiten können Sie die Einheit festlegen in der die Breite und Höhe des<br />
Papiers angezeigt werden.<br />
FAX header beigelegt Hat unter <strong>OpenLimit</strong> SignCubes keine Funktion.<br />
Erweiterte Papiergröße Hat unter <strong>OpenLimit</strong> SignCubes keine Funktion.<br />
Fax Auflösung Erstelle faxfähiges Abbild<br />
Ausrichtung<br />
Graphik-Auflösung<br />
Hochformat / Querformat<br />
Die Auflösung des Ausgabeformats wird für Fax optimiert. Da die<br />
Auflösung sehr gering ist, wird die Visualisierung des Dokuments eine<br />
niedrige Qualität haben. Wir empfehlen diese Funktion nicht anzuwenden.<br />
Hier kann Hochformat (Portrait) oder Querformat (Landscape) ausgewählt<br />
werden.<br />
Querformat, 90 Grad gedreht Es wird ein Querformat ausgegeben, aber nochmals um 90° gedreht.<br />
Auflösung<br />
Die graphische Auflösung der Visualisierung wird hier festgelegt. Wichtig:<br />
Mit den Einstellungen in diesem Abschnitt können Sie Qualität und Größe<br />
der Ausgabedatei entscheidend verändern. Bei zu hoher Einstellung<br />
werden die Dateien unnötig groß und die Visualisierung kann länger<br />
dauern. Darüber hinaus könnten auf Grund der Größe der Datei Probleme<br />
auftreten, falls Sie die signierte Datei anschließend per e-Mail versenden<br />
wollen.<br />
High Resolution - Hohe Auflösung. Die Ausgabe sieht sehr gut aus, es<br />
dauert länger bis die Visualisierung erstellt ist, die Datei wird sehr groß.<br />
Medium Resolution - Mittlere Auflösung (Standard Einstellung). Schnellere<br />
Visualisierung, Druckstandard. Gut für Textdokumente und Tabellen.<br />
Draft Resolution - Vorschau Auflösung. Sehr schnelle Ausgabe, niedrige<br />
Qualität.<br />
CUSTOM Resolution - Benutzerdefinierte Auflösung. Hier können Sie selbst<br />
festlegen, mit welcher Auflösung Sie arbeiten wollen. Benutzen Sie zur<br />
Eingabe die beiden Felder unterhalb.<br />
horizontale Auflösung Hier wird die horizontale Auflösung angezeigt.<br />
vertikale Auflösung Anzeige der vertikalen Auflösung.<br />
erzwinge Druckerauflösung Keine Funktion unter <strong>OpenLimit</strong> SignCubes.<br />
Bildgröße<br />
Größe der Datei, die der <strong>OpenLimit</strong> SignCubes Drucker zur Visualisierung<br />
erstellt. Generell gilt: Je größer die Datei, desto besser die Qualität der<br />
Visualisierung und umso länger dauert die Ausgabe und umgekehrt.<br />
181
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
182
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
9.3.2 Drucker Eigenschaften - Dateiformate<br />
Unter diesem Reiter finden Sie Optionen für das Ausgabeformat.<br />
Dateiformat<br />
Farbtiefe<br />
1bit, 8 bit, 8 bit<br />
Graustufen, 24 bit<br />
In diesem Menü finden sich verschiedene Dateiformate für die Visualisierung.<br />
Wichtig: Behalten Sie das Standard Format bei (TIFF Packed), bei manchen<br />
anderen Einstellungen wird die Datei nicht gedruckt.<br />
Hier kann die Anzahl der Farben festgelegt werden. 1bit (schwarz-weiß), 8 bit<br />
(256 Farben), 8 bit Graustufen (256 Grautöne), 24 bit (16,7 Mio. Farben). Wie bei<br />
der grafischen Auflösung gilt auch hier, je besser die Qualität der<br />
Visualisierung, desto größer das erzeugte Dokument und desto länger dauert<br />
mehrseitiges Bild<br />
die Ausgabe.<br />
Hier ist per Default ein Häkchen gesetzt, da sonst nur eine Seite des<br />
erzeugen<br />
Originaldokuments in der Ausgabe erscheint.<br />
Optionen<br />
Keine Imagedatei<br />
erstellen<br />
Hat unter <strong>OpenLimit</strong> SignCubes keine Funktion.<br />
Osteuropäischer<br />
Zeichensatz<br />
Unterstützt das Drucken von Osteuropäischen Schriftzeichen.<br />
Textdatei erstellen Der Drucker erstellt zusätzlich eine *.txt Datei mit dem Inhalt des Dokuments.<br />
Hat unter <strong>OpenLimit</strong> SignCubes keine Funktion.<br />
TIFF Optionen<br />
Das Ändern der Standardeinstellungen kann dazu führen dass keine<br />
Visualisierung erfolgt.<br />
Fotoqualität Hat unter <strong>OpenLimit</strong> SignCubes keine Funktion.<br />
183
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
184
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
9.3.3 Drucker Eigenschaften - Dateiname erstellen<br />
Methode zur<br />
Erstellung des<br />
Namen<br />
Dateiname<br />
Ausgabepfad<br />
Gruppendatei-<br />
Optionen<br />
Use the document name<br />
Diese Einstellungen legen fest, wie der Dateiname (prefix) und Dateianhang<br />
(extension) erstellt werden.<br />
Nehmen Sie in diesem Bereich keine Änderungen vor, da sonst eventuell<br />
keine Visualisierung möglich ist.<br />
Standard Einstellung: Dateiname und Dateianhang werden automatisch<br />
erstellt.<br />
Wichtig: Nehmen Sie in diesem Bereich keine Änderungen vor, da sonst<br />
eventuell keine Visualisierung möglich ist.<br />
Wenn unter Methode zur Erstellung des Namens die Standard Einstellung<br />
gewählt ist, ist keine Eingabe nötig.<br />
Dateinamen Prefix Bei Standard Einstellung ist keine Eingabe nötig.<br />
Datei Erweiterung Bei Standard Einstellung ist keine Eingabe nötig.<br />
Hier wird der Ordner angezeigt, in dem der Drucker die temporären<br />
Dateien für die Visualisierung speichert.<br />
Wichtig: Nehmen Sie in diesem Bereich keine Änderungen vor, da sonst<br />
eventuell keine Visualisierung möglich ist.<br />
Unter <strong>OpenLimit</strong> SignCubes keine Funktion.<br />
185
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
186
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
9.3.4 Drucker Eigenschaften - Programm - Start<br />
Anwendung<br />
automatisch<br />
starten<br />
Anwendung<br />
Darstellung<br />
der<br />
Anwendung<br />
Nachrichten-<br />
Schnittstelle<br />
deaktivieren<br />
vor Druckausführung<br />
starten<br />
Hier sollte ein Häkchen gesetzt sein. Falls dem nicht so ist, wird der <strong>OpenLimit</strong><br />
SignCubes Viewer nicht gestartet (es erfolgt keine Visualisierung). Die<br />
Standardeinstellung wird wieder hergestellt, sobald sich ein Benutzer am<br />
Betriebssystem neu anmeldet oder der Computer neu gestartet wird.<br />
Das für die Visualisierung zu startende Programm wird hier angezeigt. Auch hier<br />
wird die Standardeinstellung wieder hergestellt, sobald sich ein Benutzer am<br />
Betriebssystem neu anmeldet, oder ein Neustart erfolgt.<br />
Diese Option sollten Sie nicht wählen, da der <strong>OpenLimit</strong> SignCubes Viewer nicht<br />
starten wird.<br />
nach Druckausf. starten Standardeinstellung. Auch hier gilt, die Einstellung wird nach neuer Anmeldung<br />
am Betriebssystem oder Neustart wieder hergestellt.<br />
Parameter übergeben Hier sollte ein Häkchen gesetzt sein, da sonst keine Visualisierung erfolgt. Nach<br />
Neustart des Computers oder neuer Anmeldung am Betriebssystem wird auch<br />
diese Einstellung wieder hergestellt.<br />
Bestimmt die Größe des Fensters, in dem die Anwendung startet<br />
Diese Funktion steht nicht zur Verfügung.<br />
187
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
188
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
9.3.5 Drucker Eigenschaften - Wasserzeichen<br />
Wasserzeichen<br />
drucken<br />
Wasserzeichen-<br />
Optionen<br />
Wasserzeichen nur zur<br />
ersten Seite hizufügen<br />
Seiten im Hochformat<br />
Seiten im Querformat<br />
Wasserzeichen Datei:<br />
Position:<br />
Aktivieren Sie diese Option, um Ihr Dokument mit einem Wasserzeichen<br />
zu versehen.<br />
Aktivieren Sie diese Option, um das Wasserzeichen nur auf der ersten<br />
Seite des Dokuments anzubringen.<br />
Wählen Sie in diesem Bereich eine Datei aus, die als Wasserzeichen auf<br />
alle Seiten im Hochformat ausgegeben werden soll.<br />
Wählen Sie in diesem Bereich eine Datei aus, die als Wasserzeichen auf<br />
alle Seiten im Querformat ausgegeben werden soll.<br />
Hier wählen Sie die Datei aus, die als Wasserzeichen ausgegeben werden<br />
soll.<br />
Center = Mittig<br />
Streched to Fit = über die ganze Seite gestreckt<br />
Streched to Width = über die Seitenbreite gestreckt<br />
Tile = gekachelt<br />
Helligkeit: Legen Sie hier die Helligkeit des jeweiligen Wasserzeichens fest.<br />
189
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
190
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
9.3.6 Drucker Eigenschaften - Embed Annotation<br />
Alle unter diesem Reiter gewählten Optionen werden bei neuer Anmeldung an das Betriebssystem oder<br />
Neustart des Computers zurückgesetzt.<br />
Kommentare<br />
einbeziehen<br />
Wenn Sie hier ein Häkchen setzen, können Sie Bemerkungen in die zu<br />
signierende Datei einfügen. Der hier geschriebene Text wird in die TIFF Datei<br />
Zeichenfolge<br />
Schriftart<br />
eingebettet.<br />
Geben Sie Text hier ein.<br />
Schriftarten können hier definiert werden.<br />
Datum<br />
Format des Datums<br />
Das aktuelle Datum wird eingefügt, wenn Sie hier ein Häkchen setzen.<br />
Hier legen Sie ein Datumsformat fest.<br />
Mit einem Häkchen hier fügt man die Uhrzeit ein.<br />
Zeit<br />
Zeit-Format<br />
Hier legen Sie das Format für die Uhrzeit fest und wählen, ob Sie Minuten,<br />
Sekunden und Zeitzone mit einbeziehen wollen.<br />
Kommentar<br />
Position<br />
Hier wählen Sie, wie der Text platziert wird.<br />
Farbe Die Farbe des Textes kann hier gewählt werden.<br />
191
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
192
10 E-Mail Clients<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Die Software <strong>OpenLimit</strong> SignCubes 2.5 unterstützt das Signieren und Verschlüsseln von E-Mails in<br />
verschiedenen E-Mail Programmen. In diesem Kapitel werden die vorzunehmenden Einstellungen und die<br />
grundlegenden Arbeitsschritte der unterstützen E-Mail Clients anhand eines Beispiels kurz beschrieben.<br />
Weitere Informationen zu aktuellen Versionen der E-Mail Clients finden Sie auf der <strong>OpenLimit</strong> FAQ Seite<br />
unter<br />
unter E-Mail Clients.<br />
https://www.<strong>OpenLimit</strong>.com/faq/<br />
Die folgenden Erklärungen betreffen hauptsächlich Funktionen und Einstellungen ausgewählter E-Mail<br />
Clients und erheben keinen Anspruch auf Vollständigkeit. Sollte hier etwas fehlen, empfehlen wir<br />
grundsätzlich, in der Hilfe oder im Handbuch des jeweiligen Programms nachzusehen.<br />
Voraussetzung für das Arbeiten mit den verschiedenen E-Mail Programmen ist, dass das Programm richtig<br />
installiert ist und das E-Mail Konto, das der E-Mail Adresse Ihres Zertifikats entspricht, richtig eingerichtet<br />
wurde. Um zu erfahren wie Sie ein E-Mail Konto einrichten, lesen Sie bitte die Hilfe des jeweiligen E-Mail<br />
Programms.<br />
10.1 Microsoft Outlook und Microsoft Outlook Express<br />
Microsoft Outlook und Microsoft Outlook Express sind zwei oft verwendete E-Mail Programme. Mit dem<br />
<strong>OpenLimit</strong> SignCubes Cryptographic Service Provider (CSP) können Sie E-Mails in Microsoft Outlook oder<br />
Microsoft Outlook Express signieren und verschlüsseln.<br />
Der <strong>OpenLimit</strong> SignCubes Cryptographic Service Provider kommt nur dann zum Einsatz, wenn<br />
Informationen der Karte benötigt werden, d.h. bei der Signaturerzeugung und beim Entschlüsseln. Das<br />
Verschlüsseln und die Signaturprüfung erfolgt durch Microsoft Outlook bzw. Microsoft Outlook Express<br />
selbst.<br />
193
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
10.1.1 Microsoft Outlook Einstellungen<br />
Um mit Microsoft Outlook bzw. Microsoft Outlook Express alle Sicherheitsfunktionen ausführen zu können,<br />
benötigen Sie ein e-Mail Konto mit der e-Mail Adresse, die in Ihrem Zertifikat steht. Diese haben Sie beim<br />
Ausfüllen des Karten-Antrages angegeben. Beim Signieren oder Entschlüsseln wird dann automatisch Ihr<br />
Zertifikat genommen, wenn die Karte im Kartenleser steckt.<br />
Einstellungen für Outlook Express<br />
Die folgenden Sicherheitseinstellungen sind unbedingt einzurichten, damit Sie Ihre Mails signieren und/<br />
oder verschlüsseln können.<br />
Stecken Sie Ihre Chipkarte in den Kartenleser und warten Sie, bis das Chipsymbol gelb ist.<br />
Klicken Sie im Hauptmenü auf Extras / Konten.<br />
Wählen Sie nun das Mailkonto aus, bei dem die Mailadresse mit der in Ihrem Zertifikat<br />
enthaltenen Mailadresse übereinstimmt.<br />
Klicken Sie auf Eigenschaften und wählen Sie das Register „Sicherheit“ aus.<br />
Für die E-Mail-Signatur wählen Sie über den ersten Button „Auswählen…“ Ihr Zertifikat für den<br />
Zweck „Sichere E-Mail“ aus.<br />
Nehmen Sie diese Einstellungen auch für das Verschlüsselungszertifikat über den 2.Button<br />
„Auswählen…“ vor.<br />
Der Algorithmus bleibt auf 3DES eingestellt.<br />
194
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Bestätigen Sie die Einstellungen mit OK<br />
Wenn Sie automatisch signieren und verschlüsseln möchten, dann können Sie dies unter Extras -<br />
Optionen - Sicherheit einstellen.<br />
195
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis: Die nachfolgend beschriebenen Einstellungen sind nicht zwingend notwendig. Sie sollten diese<br />
Einstellungen nur in dem Fall nochmal prüfen, falls der Empfänger Ihre Mail nicht lesen kann.<br />
Unter Extras - Optionen - Lesen klicken Sie auf Schriftarten. Dort stellen Sie einen 7 Bit Code ein. Zum<br />
Beispiel wählen Sie oben aus der Liste Unicode und unten bei der Codierung UTF-7.<br />
Dann klicken Sie auf den Button Als Standard, um diese Codierung als Standard einzustellen.<br />
Sie können aber auch jede Nachricht einzeln signieren und/oder verschlüsseln.<br />
196
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Microsoft Outlook<br />
Bei Microsoft Outlook müssen Sie erst das Signaturzertifikat und das Verschlüsselungszertifikat<br />
auswählen.<br />
Unter Extras - Optionen - Sicherheit gibt es den Bereich e-Mail sichern.<br />
Klicken Sie hier auf Einstellungen...<br />
Wählen Sie unter Bevorzugte Sicherheitseinstellungen:<br />
o das Sicherheitsformat für Nachrichten: S/MIME.<br />
Wählen Sie unter Zertifikate und Algorithmen folgende Einstellungen:<br />
o Signaturzertifikat: Ihr e-Mail Signaturzertifikat<br />
o Hashalgorithmus: SHA1<br />
o Verschlüsselungszertifikat: Ihr e-Mail Verschlüsselungszertifikat<br />
o Verschlüsselungsalgorithmus: 3DES<br />
o "Signierten Nachrichten diese Zertifikate hinzufügen" aktivieren.<br />
Klicken Sie auf OK.<br />
197
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Unter dem Tab Sicherheit können Sie die automatische Signatur und Verschlüsselung von Nachrichten<br />
einstellen. Dies ist aber für jede e-Mail auch einzeln möglich.<br />
10.1.2 Signieren und Verschlüsseln<br />
In Outlook oder Outlook Express haben Sie unter Extras - Optionen - Sicherheit die Möglichkeit, die<br />
Sicherheitseinstellungen für alle e-Mails einzustellen. Wenn Sie bei jeder e-Mail selbst entscheiden<br />
möchten, ob diese verschlüsselt und/oder signiert werden soll, wird dies im E-Mail Fenster eingestellt.<br />
198
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wenn Sie mehrere E-Mail Konten eingerichtet haben, müssen Sie über das Konto mit der E-Mailadresse<br />
senden, die in Ihrem Zertifikat enthalten ist. Outlook überprüft die Angaben und falls diese nicht<br />
übereinstimmen, kann keine Signatur erzeugt werden.<br />
Outlook Express/Outlook 2003<br />
Bei Outlook Express können Sie direkt im E-Mail Fenster auf den Button Signieren oder Verschlüsseln<br />
klicken und anschließend auf Senden. Nach Eingabe der PIN ist die e-Mail signiert.<br />
Outlook 2000<br />
Unter Outlook 2000 müssen Sie zum Signieren und Verschlüsseln im E-Mail Fenster auf Optionen klicken<br />
und dort die entsprechenden Kästchen anhaken.<br />
Outlook XP<br />
Klicken Sie im E-Mail Fenster auf Optionen, oben rechts auf Sicherheitseinstellungen und dann die<br />
Kästchen Signieren und Verschlüsseln anhaken.<br />
Signatur und Klartext senden<br />
Wenn Sie die Signatur und den Klartext separat senden (detached signature), können auch die Empfänger<br />
Ihre E-Mail lesen, deren Client signierte Nachrichten nicht unterstützen (z.B. AOL). Einige können auch die<br />
Signatur prüfen (z.B. T-Online).<br />
In Outlook Express finden Sie die Einstellung unter Extras/Optionen/Sicherheit/Button Erweitert. Dort<br />
sollte kein Häkchen unter "Nachricht vor dem Signieren verschlüsseln (PKCS#7)" gesetzt sein. Um jedoch<br />
eine E-Mail ohne Klartext zu senden, muss dieses Häkchen wieder gesetzt werden.<br />
In Outlook finden Sie die Einstellung unter Extras/Optionen/Sicherheit. Dort sollte ein Häkchen für<br />
"Signierte Nachrichten als Klartext senden" gesetzt sein.<br />
Um E-Mails verschlüsseln zu können, müssen die Zertifikate der Empfänger in die dazugehörigen Kontakte<br />
integriert sein.<br />
199
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
10.1.3 Verschlüsselungszertifikate in Kontakt integrieren<br />
Um für eine bestimmte Person zu verschlüsseln, muss das Zertifikat (digitale ID) der Kontaktperson in<br />
Ihrem System installiert sein. Dazu lassen Sie sich eine signierte E-Mail von Ihrem Kommunikationspartner<br />
schicken.<br />
So integrieren Sie ein Verschlüsselungszertifikat (digitale ID) in einem Kontakt<br />
Outlook<br />
Öffnen Sie die signierte E-Mail<br />
Klicken Sie mit der rechten Maustaste auf den Namen des Absenders Von: Mailadresse<br />
Wählen Sie Zu den Kontakten hinzufügen aus.<br />
200
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Im Register Zertifikate können Sie sich das Zertifikat ansehen<br />
Klicken Sie auf den Button Speichern und Schliessen, damit das Zertifikat dem Kontakt<br />
hinzugefügt wird.<br />
Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem<br />
neuen Kontakt wird dieser automatisch angelegt. Ab diesem Zeitpunkt können E-Mails für den Empfänger<br />
verschlüsselt werden.<br />
Outlook Express<br />
Öffnen Sie die signierte e-Mail<br />
Klicken Sie mit der rechten Maustaste auf den Namen des Absenders.<br />
201
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wählen Sie Zum Adressbuch hinzufügen aus.<br />
Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem<br />
neuen Kontakt wird dieser angelegt. Ab diesem Zeitpunkt können E-Mails für den Empfänger verschlüsselt<br />
werden.<br />
10.2 Mozilla / Netscape Mail<br />
Mozilla Mail ist ein Programm der Mozilla Foundation und wird gebündelt mit dem Mozilla Browser<br />
angeboten.<br />
Netscape ist eine Mozilla Distribution, die sich grundsätzlich nur in der Oberfläche von Mozilla<br />
unterscheidet. Da sich mit der deutschen Version von Mozilla einige wichtige Funktionen nicht richtig<br />
darstellen lassen, wurde für diese Dokumentation Netscape 7.1 verwendet.<br />
202
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Falls Sie eine deutsche Version von Mozilla verwenden, besteht die Möglichkeit, dass einige Texte oder<br />
Button nicht oder nur unvollständig dargestellt werden.<br />
Zudem kommt es vor, dass sich Mozilla und Netscape in der Benennung von Button und Kapitel zum Teil<br />
unterscheiden.<br />
In diesem Kapitel wird der Umgang mit Mozilla 1.6 bzw. Netscape 7.1 erklärt.<br />
Weitere Informationen zu aktuellen Versionen der E-Mail Clients finden Sie auf der <strong>OpenLimit</strong> FAQ Seite<br />
unter<br />
unter E-Mail Clients.<br />
https://www.<strong>OpenLimit</strong>.com/faq/<br />
10.2.1 Mozilla / Netscape Mail Client Sicherheitseinstellungen<br />
Starten Sie zunächst Netscape Mail: Start - Programme - Netscape 7.1 - EMail & Diskussionsforen<br />
Sollten Sie Netscape Mail zum ersten Mal starten, so wird das Programm Ihnen mit einem Assistenten beim<br />
Einrichten eines E-Mail Kontos behilflich sein. Um E-Mails signieren /verschlüsseln zu können, muss<br />
unbedingt ein Mailkonto für die Mailadresse eingerichtet sein, die auch in Ihrem Zertifikat enthalten ist<br />
(siehe gelbes Chipsymbol/Eigenschaften/Zertifikate).<br />
Hinweis: Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser ordnungsgemäß<br />
installiert ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate<br />
auf Ihrer Karte befinden.<br />
Klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen, um das folgende Fenster zu öffnen.<br />
203
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Kryptographie Modul installieren<br />
Wählen Sie aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate<br />
204
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...<br />
Jetzt öffnet sich das Fenster des Geräte-Managers, in dem alle geladenen Sicherheitsmodule zu sehen<br />
sind.<br />
205
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11-Modul zu installieren.<br />
Geben Sie dem Modul zunächst einen Namen, z.B. <strong>OpenLimit</strong> SignCubes PKCS#11-Modul, und<br />
klicken Sie dann auf Durchsuchen...<br />
Navigieren Sie nun zum SignCubes Programm-Verzeichnis (Standard: C:\Programme\<strong>OpenLimit</strong>),<br />
wählen Sie dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen.<br />
206
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie nun auf OK, um das Modul zu laden.<br />
Bestätigen Sie die Frage, ob Sie dieses Modul installieren wollen, nochmals mit OK.<br />
Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK.<br />
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der <strong>OpenLimit</strong> SignCubes<br />
2.5 Software.<br />
207
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Schließen Sie den Geräte-Manager mit einem Klick auf OK, um weitere Einstellungen vornehmen<br />
zu können.<br />
Das Mozilla/Netscape Einstellungsfenster sollte noch geöffnet und die Kategorie Zertifikate zu<br />
sehen sein.<br />
Klicken Sie auf den Button Zertifikate verwalten, um den Zertifikat-Manager zu öffnen und die<br />
Vertrauenswürdigkeit für die Zertifikate einzustellen.<br />
Der Zertifikat-Manager übernimmt die Verwaltung von Zertifikaten. Unter dem Register Ihre<br />
Zertifikate werden die Zertifikate angezeigt, welche auf Ihrer Karte gespeichert sind.<br />
208
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller<br />
nicht vertrauenswürdig" oder "Aussteller unbekannt" beinhaltet und klicken Sie auf Anzeigen.<br />
209
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Mozilla/Netscape bringt die Meldung "Zertifikat konnte aus unbekannten Gründen nicht zugelassen<br />
werden." Der Inhalt dieser Meldung ist abhängig von dem jeweiligen Zertifikat.<br />
Unter Ausgestellt von finden Sie den Herausgeber Ihres Zertifikats, für den Sie die Vertrauenswürdigkeit<br />
einstellen müssen. Vermerken Sie sich diese Information und schließen Sie das Fenster.<br />
Klicken Sie auf den Reiter Aussteller und markieren Sie Ihren Zertifikatsaussteller.<br />
Klicken Sie nun den Aussteller Ihres Zertifikats an.<br />
210
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Über den Button Bearbeiten in dem Fenster Vertrauenseinstellungen für.. sollten Sie mindestens für den 2.<br />
Punkt ein Häkchen setzen.<br />
Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen importieren.<br />
211
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie dazu auf den Button Importieren, wählen Sie unter<br />
C:\Programme\<strong>OpenLimit</strong>\Data\CRLs den entsprechenden Aussteller aus, z.B. für die <strong>OpenLimit</strong><br />
CA wählen Sie "<strong>OpenLimit</strong>", markieren Sie die Datei <strong>OpenLimit</strong>_CA.cer und klicken Sie auf<br />
Öffnen.<br />
Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordner des Programmverzeichnisses finden,<br />
müssen Sie sich das Zertifikat des Zertifikatsherausgebers direkt downloaden und installieren. In den<br />
meisten Fällen finden Sie diese Daten auf den jeweiligen Internetseiten.<br />
Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.<br />
Jetzt vertrauen Sie dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr<br />
Zertifikat "Unterzeichnen, Unterschrift oder Verschlüsseln" angezeigt.<br />
212
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Nach dem Sie diese Einstellungen vorgenommen haben, erscheint in dem folgenden Fenster die Meldung,<br />
für welchen Verwendungszweck das Zertifikat verifiziert wurde.<br />
Schließen Sie den Zertifikats-Manager und das Einstellungsfenster.<br />
Zertifikate für die Signatur und Verschlüsselung auswählen<br />
Klicken Sie in der Menüleiste nun auf Bearbeiten - eMail und Diskussionsforen-Konto-<br />
Einstellungen...<br />
213
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wählen Sie jetzt im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse<br />
enthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu der folgenden Ansicht zu<br />
gelangen.<br />
An dieser Stelle legen Sie fest, welche Zertifikate zur Signatur und Verschlüsselung verwendet werden<br />
sollen.<br />
Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen.<br />
214
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Mozilla / Netscape schlägt Ihnen an dieser Stelle für die Signatur von E-Mails automatisch ein Zertifikat<br />
vor.<br />
Klicken Sie auf OK.<br />
Nun öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum Ver-<br />
und Entschlüsseln verwenden wollen.<br />
Bestätigen Sie mit OK.<br />
Anschließend sollten Sie überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist.<br />
Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen an. Für den Zweck<br />
sollte mindestens "Verschlüsseln" angezeigt werden.<br />
Klicken Sie nun auf OK. Damit wird Ihnen erneut das Fenster mit der Rubrik "Sicherheit"<br />
angezeigt.<br />
Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre E-<br />
Mails generell signieren wollen.<br />
215
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wählen Sie, ob Sie Ihre E-Mails verschlüsselt oder unverschlüsselt versenden wollen.<br />
Sie können diese Einstellung beim Erstellen einer E-Mail immer noch ändern.<br />
Sie haben alle Sicherheitseinstellungen für Mozilla/Netscape vorgenommen und können das Fenster mit<br />
OK schließen.<br />
216
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
10.2.2 Arbeiten mit Mozilla / Netscape Mail<br />
E-Mails signieren und verschlüsseln<br />
Starten Sie zunächst Mozilla/Netscape Mail und verfassen Sie eine neue E-Mail.<br />
Klicken Sie jetzt auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-<br />
Mail nochmals zu prüfen und gegebenenfalls zu ändern.<br />
Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine<br />
E-Mail verschlüsseln zu können.<br />
Empfangen von signierten und verschlüsselten E-Mails<br />
Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.<br />
217
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf das Stift-Symbol, um die Details der Signatur zu prüfen.<br />
Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevor Sie<br />
die Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol gekennzeichnet.<br />
218
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.<br />
219
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Personen in den Zertifikat-Manager<br />
Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, brauchen Sie den öffentlichen<br />
Schlüssel dieser Person.<br />
Variante 1:<br />
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail. Wenn Sie die E-Mail öffnen,<br />
integriert Mozilla /Netscape Mail das mitgesendete Zertifikat automatisch in den Zertifikat-Manager unter<br />
Andere Personen.<br />
Variante 2:<br />
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem Verschlüsselungszertifikat<br />
als Anhang. Informationen zum Export eines Verschlüsselungszertifikats finden Sie in dem Abschnitt<br />
Verschlüsselungszertifikat exportieren.<br />
Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,<br />
Importieren Sie diese dann in dem Zertifikat-Manager unter Zertifikate anderer Personen.<br />
Wählen Sie dazu: Bearbeiten - Einstellungen - Privatsphäre & Sicherheit - Zertifikate<br />
Klicken Sie auf Zertifikate verwalten.<br />
Wählen Sie im Zertifikat-Manager den Register Andere Personen aus.<br />
Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei (*.cer Datei) aus, die<br />
Sie auf Ihrem Computer abgespeichert haben.<br />
220
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Das Zertifikat ist im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für diese Person verschlüsseln.<br />
Beachten Sie, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer bestimmten<br />
E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail Adresse der<br />
gleichen Person senden.<br />
10.3 Mozilla Thunderbird<br />
Mozilla Thunderbird ist ein E-Mail Programm der Mozilla Foundation. Es bietet alle Funktionen eines<br />
modernen E-Mail Programms und kann mit PKCS#11 Modulen umgehen. Benutzern von Microsoft Outlook<br />
wird die Bedienung von Thunderbird leichtfallen, da viele der gängigsten Funktionen ähnlich sind.<br />
In diesem Kapitel wird der Umgang mit Thunderbird 1.0.2 beschrieben. Sollten Sie eine andere Version von<br />
Thunderbird verwenden, so kann es zu Abweichungen mit den hier aufgeführten Abläufen kommen.<br />
221
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
10.3.1 Thunderbird Sicherheitseinstellungen<br />
Starten Sie zunächst Thunderbird. Sollten Sie Thunderbird zum ersten Mal starten, so wird Ihnen das<br />
Programm mit einem Assistenten beim Einrichten eines E-Mail Kontos behilflich sein.<br />
Um E-Mails signieren /verschlüsseln zu können, muss unbedingt ein Mailkonto für die Mailadresse<br />
eingerichtet sein, die auch in Ihrem Zertifikat enthalten ist (siehe gelbes<br />
Chipsymbol/Eigenschaften/Zertifikate).<br />
Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser ordnungsgemäß installiert ist,<br />
Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte<br />
befinden.<br />
Klicken Sie in der Menüleiste Extras - Einstellungen an, um das folgende Fenster zu öffnen.<br />
Wählen Sie Erweitert aus und scrollen Sie den Balken rechts im Fenster zum Abschnitt<br />
Zertifikate.<br />
222
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Kryptographie-Modul installieren<br />
Klicken Sie auf den Button Kryptographie-Module.<br />
Jetzt öffnet sich Thunderbirds Kryptographie-Modul-Manager mit einer Ansicht aller bereits geladenen<br />
Komponenten.<br />
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu installieren.<br />
223
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Geben Sie dem Modul zunächst einen Namen, z.B. <strong>OpenLimit</strong> SignCubes PKCS#11 Modul, und<br />
klicken Sie dann auf Durchsuchen...<br />
Navigieren Sie nun zum SignCubes Installations-Verzeichnis (Standard:<br />
C:\Programme\<strong>OpenLimit</strong>), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen.<br />
224
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie nun auf OK, um das Modul zu laden.<br />
Bestätigen Sie die Frage, ob Sie dieses Modul installieren wollen, nochmals mit OK.<br />
Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK.<br />
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der <strong>OpenLimit</strong> SignCubes<br />
2.5 Software.<br />
225
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Schließen Sie nun den Kryptographie-Modul-Manager mit einem Klick auf OK, um weitere<br />
Einstellungen vorzunehmen.<br />
Das Thunderbird Einstellungsfenster sollte noch geöffnet und der Abschnitt Zertifikate zu sehen sein.<br />
Klicken Sie auf den Button Zertifikate, um den Thunderbird-Zertifikat-Manager zu öffnen.<br />
Der Zertifikat-Manager übernimmt die Verwaltung der Zertifikate. Unter dem Register Ihre Zertifikate sind<br />
die Zertifikate zu sehen, die sich auf Ihrer Karte befinden.<br />
226
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller<br />
nicht vertrauenswürdig" oder "Herausgeber unbekannt" anzeigt.<br />
Klicken Sie auf Ansicht.<br />
227
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Thunderbird bringt standardmäßig die Ausschrift "Dieses Zertifikat konnte aus unbekannten Gründen nicht<br />
verifiziert werden." Diese Meldung ist zertifikatsabhängig und kann im Einzelfall abweichen.<br />
Unter Herausgegeben für finden Sie den Herausgeber Ihres Zertifikats. Vermerken Sie sich bitte diese<br />
Information und schließen Sie das Fenster.<br />
Klicken Sie das Register "Zertifizierungsstellen" an und markieren Sie Ihren<br />
Zertifikatsaussteller.<br />
228
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Über den Button Bearbeiten sollten Sie in dem Fenster "Vertrauenseinstellungen" mindestens für den 2.<br />
Punkt ein Häkchen setzen.<br />
Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen importieren.<br />
Klicken Sie dazu auf den Button Importieren.<br />
Wählen Sie unter C:\Programme\<strong>OpenLimit</strong>\Data\CRLs den entsprechenden Aussteller aus, z.B.<br />
für die <strong>OpenLimit</strong> CA wählen Sie den Ordner "<strong>OpenLimit</strong>".<br />
229
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Markieren Sie die Datei "<strong>OpenLimit</strong> _CA.cer" .<br />
Klicken Sie auf Öffnen.<br />
Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordern des Programmverzeichnisses finden,<br />
müssen Sie sich das Zertifikat direkt von dem Zertifikatsaussteller (im Regelfall per die Web-Seite)<br />
downloaden.<br />
Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.<br />
Sie sollten mindestens für den 2. Punkt ein Häkchen setzen. Jetzt vertrauen Sie dem Aussteller Ihres<br />
Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr Zertifikat "Unterzeichnen, Unterschrift oder<br />
Verschlüsseln" angezeigt.<br />
Wählen Sie erneut das Register Ihre Zertifikate aus.<br />
230
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf Ansicht, um weitere Detailinformationen zu erhalten.<br />
Wenn alle Einstellungen korrekt ausgeführt wurden, sehen Sie folgendes Fenster, in dem Ihnen mitgeteilt<br />
wird, für welchen Verwendungszweck das Zertifikat verifiziert wurde.<br />
231
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf Schließen.<br />
Anschließend können Sie auch den Zertifikat-Manager und das Einstellungs-Fenster schließen.<br />
232
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Zertifikate für die Signatur und Verschlüsselung auswählen<br />
Klicken Sie in der Menüleiste auf Extras - Konten.<br />
Wählen Sie im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse<br />
enthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu folgender Ansicht zu<br />
gelangen.<br />
Legen Sie fest, welche Zertifikate für die Signatur und Verschlüsselung verwendet werden<br />
sollen.<br />
Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen.<br />
233
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Thunderbird schlägt Ihnen an dieser Stelle automatisch ein Zertifikat für die Signatur von E-Mails vor.<br />
Klicken Sie nun auf OK.<br />
Es öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum Ver-<br />
und Entschlüsseln verwenden wollen.<br />
Klicken Sie hier auf OK.<br />
Sie sollten überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist.<br />
Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen an. Für den Zweck<br />
sollte mindestens "Verschlüsseln" angezeigt werden.<br />
234
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf OK. Anschließend erscheint wieder das Fenster mit der Rubrik "Sicherheit"<br />
Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre E-<br />
Mails generell signieren wollen.<br />
Wählen Sie, ob Sie Ihre E-Mails standardmäßig verschlüsselt oder unverschlüsselt versenden<br />
wollen.<br />
Sie können diese Einstellungen beim Erstellen einer E-Mail immer noch ändern.<br />
235
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Sie haben alle Sicherheitseinstellungen für Thunderbird vorgenommen und können das Fenster mit OK<br />
schließen.<br />
10.3.2 Arbeiten mit Thunderbird<br />
Bevor Sie die hier beschriebenen Abläufe ausführen können, müssen Sie das E-Mail Programm<br />
konfigurieren. Lesen Sie dazu das Kapitel Thunderbird Sicherheitseinstellungen.<br />
E-Mails signieren und verschlüsseln<br />
Starten Sie Thunderbird und verfassen Sie eine neue E-Mail.<br />
Klicken Sie auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-Mail<br />
nochmals zu prüfen und gegebenenfalls zu ändern.<br />
236
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine E-<br />
Mail verschlüsseln zu können.<br />
Empfangen von signierten und verschlüsselten E-Mails<br />
Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.<br />
237
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf das Stift-Symbol, um die Signatur der E-Mail zu prüfen.<br />
Mit einem Klick auf Unterschriftszertifikat ansehen, können Sie sich die Details zum Zertifikat anzeigen<br />
lassen.<br />
238
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevor Sie<br />
die Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol gekennzeichnet.<br />
Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.<br />
239
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Person in den Zertifikat-Manager<br />
Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, benötigen Sie den öffentlichen<br />
Schlüssel des Empfängers.<br />
Variante 1:<br />
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail.<br />
Wenn Sie die E-Mail öffnen, integriert Thunderbird das mitgesendete Zertifikat automatisch in den<br />
Zertifikat-Manager unter Zertifikate anderer Personen.<br />
Variante 2:<br />
Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem Verschlüsselungszertifikat<br />
als Anhang. Weitere Informationen zu dem Export von Verschlüsselungszertifikaten finden Sie in dem<br />
Abschnitt Verschlüsselungszertifikat exportieren.<br />
Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,<br />
Importieren Sie diese dann in den Zertifikat-Manager unter Zertifikate anderer Personen.<br />
Wählen Sie dazu: Extras - Einstellungen - Erweitert - Zertifikate<br />
Wählen Sie dann im Zertifikat-Manager das Register Zertifikate anderer Personen aus.<br />
Klicken Sie jetzt auf Importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie auf Ihrem<br />
Computer abgespeichert haben.<br />
240
10.4 Lotus Notes<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Das Zertifikat ist jetzt im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für die Person, der dieses<br />
Zertifikat gehört, verschlüsseln.<br />
Beachten Sie bitte, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer<br />
bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail<br />
Adresse der gleichen Person senden.<br />
Lotus Notes ist ein E-Mail Programm, welches sehr umfassende Funktionen bietet. Hier werden nur die<br />
Funktionen beschrieben, welche in direkter Verbindung mit dem Empfangen und Versenden von signierten<br />
und verschlüsselten E-Mails stehen.<br />
Die hier beschriebenen Abläufe beziehen sich auf die Software Lotus Notes 6.5, Version 6.5.4 Deutsch.<br />
Bitte beachten Sie, dass frühere Versionen (z.B. Lotus Notes 6.5.3 Deutsch) nicht ausreichend lokalisiert<br />
241
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
sind und daher manche Funktionen (z.B. Internet-Zertifikate von Smartcard importieren) nicht möglich<br />
sind. Dies hat zur Folge, dass die Vorgängerversionen nicht ohne weiteres für die hier beschriebenen<br />
Abläufe zu verwenden sind.<br />
Sollten Sie eine ältere Version von Lotus Notes 6.5 oder Lotus Notes 6 verwenden, so kann es hilfreich<br />
sein, erst ein Update auf die oben genannte Version zu installieren, bevor Sie versuchen, die hier<br />
beschriebenen Abläufe nachzuvollziehen.<br />
10.4.1 Lotus Notes 6.5.4 Sicherheitseinstellungen<br />
Voraussetzung für die Sicherheitseinstellungen in Lotus Notes<br />
Bevor Sie die hier beschriebenen Einstellungen vornehmen können, müssen folgende Voraussetzungen<br />
erfüllt sein:<br />
Ihr E-Mail Konto muss ordnungsgemäß eingerichtet sein,<br />
die <strong>OpenLimit</strong> SignCubes 2.5 Software und der Kartenleser müssen installiert sein,<br />
<strong>OpenLimit</strong> SignCubes 2.5 ist gestartet,<br />
die Karte befindet sich im Kartenleser und wurde erkannt.<br />
Installieren des PKCS#11 Treibers<br />
Damit Lotus Notes mit den Zertifikaten auf Ihrer Smartcard arbeiten kann, muss zunächst der PKCS#11<br />
Treiber in Lotus Notes installiert werden.<br />
Wählen Sie zunächst Datei - Sicherheit - Benutzersicherheit...<br />
242
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf Ihre Identität im linken Bereich des Fensters.<br />
Wählen Sie anschließend Ihre Smartcard.<br />
243
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Jetzt öffnet sich ein Fenster zur Smartcard Konfiguration.<br />
Klicken Sie nun auf das Ordner-Symbol, um eine Smartcard-Treiberdatei zu installieren.<br />
Daraufhin öffnet sich ein Fenster zum Auswählen des Smartcard Treibers.<br />
Navigieren Sie nun zu dem SignCubes Programmverzeichnis (Standard: C:\Programme\<br />
<strong>OpenLimit</strong>) und wählen die Datei siqp11.dll aus.<br />
Klicken Sie auf Öffnen, um den Treiber zu installieren.<br />
244
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Daraufhin wird das Fenster zur Smartcard Konfiguration dargestellt, in welchem Sie jetzt den installierten<br />
Treiber sehen.<br />
Klicken Sie auf Fortfahren..., um die Installation abzuschließen.<br />
Installation Ihres Signatur-Zertifikats<br />
Damit Sie das auf Ihrer Smartcard gespeicherte Signaturzertifikat zum Signieren von E-Mails in Lotus<br />
Notes nutzen können, müssen Sie dieses zunächst installieren.<br />
Wählen Sie Ihre Zertifikate in dem linken Bereich des Fensters aus.<br />
Klicken Sie dann auf den Button Zertifikate abrufen... und wählen Sie aus dem Menü den Punkt<br />
Internet-Zertifikat von einer Smartcard importieren.<br />
245
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Hinweis: Wenn Sie eine ältere deutsche Version von Lotus Notes 6.5 oder 6 (z.B. Lotus Notes 6.5.3<br />
Deutsch) verwenden, ist diese Schaltfläche gegraut und Sie können somit keine Smartcard Zertifikate<br />
importieren. Installieren Sie in diesem Fall ein Update auf Lotus Notes 6.5.4.<br />
Wenn die Zertifikate erfolgreich importiert wurden, erscheint folgende Meldung.<br />
Wählen Sie nun Ihre Internet-Zertifikate aus dem Menü.<br />
Jetzt werden die von der Smartcard importierten Zertifikate angezeigt werden.<br />
Wenn Ihr Zertifikat nicht angezeigt wird, sollten Sie Lotus Notes beenden, neu starten und dann zu diesem<br />
Dialog zurückkehren (Datei - Sicherheit - Benutzersicherheit- Ihre Identität - Ihre Zertifikate - Menü: Ihre<br />
Internet-Zertifikate).<br />
246
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
10.4.2 Arbeiten mit Lotus Notes 6.5.4<br />
Bevor Sie damit beginnen können, mit Lotus Notes 6.5.4 signierte oder verschlüsselte E-Mails zu<br />
versenden oder zu empfangen, stellen Sie sicher, dass das Programm ordnungsgemäß konfiguriert ist.<br />
Lesen Sie dazu das Kapitel Lotus Notes 6.5.4 Sicherheitseinstellungen.<br />
Versenden einer signierten E-Mail<br />
Erstellen Sie zunächst ein neues Memo.<br />
Klicken Sie dann auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für Signieren.<br />
Klicken Sie auf OK, um die Einstellungen zu speichern.<br />
247
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Jetzt können Sie die E-Mail senden.<br />
Sie werden dazu aufgefordert, eine Signatur zu erzeugen. Weitere Informationen dazu finden Sie in dem<br />
Abschnitt Signieren.<br />
So integrieren Sie den öffentlichen Schlüssel des Zertifikats einer anderen Person in Lotus Notes<br />
Die Person, für die Sie verschlüsseln wollen muss Ihnen dazu eine signierte E-Mail senden.<br />
Öffnen Sie die E-Mail, klicken Sie dann auf den Button Werkzeuge und wählen Sie im Menü<br />
Absender in Adressbuch aufnehmen aus.<br />
248
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Es öffnet sich ein Fenster, zur Aufnahme der Daten in das Adressbuch.<br />
Wählen Sie jetzt das Register Erweitert aus, und aktivieren Sie die Option Gegebenenfalls x.509-<br />
Zertifikate aufnehmen.<br />
Klicken Sie OK, um die Daten zu speichern.<br />
249
10.4.3 Lotus Notes 5<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Versenden einer verschlüsselten E-Mail<br />
Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen<br />
verschlüsseln zu können.<br />
Erstellen Sie zunächst ein neues Memo.<br />
Klicken Sie auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für Verschlüsseln.<br />
Klicken Sie dann auf OK, um die Einstellungen zu speichern.<br />
Jetzt können Sie Ihre verschlüsselte E-Mail versenden.<br />
Zur Verwendung Ihrer Smartcard unter Lotus Notes 5 wird ein PKCS#11 Treiber benötigt.<br />
Dieser wird unter Lotus Notes 5 über Trusted Mime eingebunden. Dazu muss Trusted Mime auf dem<br />
Rechner installiert sein. Um genaue Informationen zu erhalten, wie Sie den PKCS#11 Treiber in Trusted<br />
Mime richtig einbinden, informieren Sie sich bitte in der Trusted Mime Dokumentation.<br />
250
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Der PKCS#11 Treiber befindet sich im Installationsverzeichnis der <strong>OpenLimit</strong> SignCubes 2.5 Software<br />
(Standard: C:\Programme\ <strong>OpenLimit</strong>\siqp11.dll)<br />
Weitere Informationen finden Sie in dem Abschnitt Arbeiten mit Lotus Notes 6.5.4.<br />
11 SSL Authentisierung<br />
Mit den Modulen der <strong>OpenLimit</strong> SignCubes Software sind Sie in der Lage, sich an einer Webseite welche SSL<br />
Authentisierung verwendet, anzumelden. Diese Aufgabe wird je nach Verwendung des Web-Browsers vom<br />
CSP oder vom PKCS#11 Treiber übernommen.<br />
Über SSL<br />
Secure Sockets Layer (SSL) ist ein Verschlüsselungsprotokoll für Datenübertragung im Internet. Wenn eine<br />
Verbindung zu einer Webseite über SSL hergestellt wird, geschieht dies in etwa so:<br />
Zunächst sendet der Client (Web-Browser mit dem Sie arbeiten) eine Verbindungsanfrage an den Server<br />
(dort ist die Webseite, die Sie besuchen wollen). Daraufhin antwortet der Server und sendet ein Zertifikat.<br />
Indem Sie bestätigen, dass Sie dem Zertifikat des Servers vertrauen, ermöglichen Sie Ihren Web-Browser<br />
die Verbindung zum Server herzustellen. (Dieser Schritt wird unter Umständen automatisch durchgeführt,<br />
z.B. dann, wenn das Server-Zertifikat von Ihrem Web-Browser bereits als vertrauenswürdig eingestuft<br />
wird.) Eventuell will der Server aber auch wissen ob, Sie die Person sind, für die Sie sich ausgeben und<br />
sendet eine entsprechende Anfrage an Ihren Web-Browser (Bidirektionale SSL-Authentifizierung).Jetzt<br />
müssen Sie sich dem Server gegenüber identifizieren, indem Sie die Anfrage des Servers signieren. Dabei<br />
kommen die Module der Software zum Einsatz. Nun ist eine sichere Verbindung über SSL hergestellt.<br />
Wenn Sie mehr über SSL wissen wollen, lesen Sie unter<br />
nach.<br />
http://de.wikipedia.org/wiki/Secure_Sockets_Layer<br />
Die folgenden Web-Browser werden für die SSL Authentisierung von <strong>OpenLimit</strong> SignCubes 2.5 unterstützt:<br />
251
11.1 Internet Explorer<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Internet Explorer ab Version 6<br />
Mozilla ab Version 1.6 (entspricht Netscape ab Version 7.1)<br />
Firefox ab Version 1.0.4<br />
Der Internet Explorer nutzt dazu den Cryptographic Service Provider (CSP). Firefox und Mozilla / Netscape<br />
hingegen verwenden den PKCS#11 Treiber. Firefox und Mozilla / Netscape müssen daher richtig<br />
konfiguriert werden, bevor die SSL Authentisierung gestartet werden kann. Wenn Sie mit Firefox oder<br />
Mozilla / Netscape arbeiten, lesen Sie deshalb bitte die Kapitel Firefox Browser Sicherheitseinstellungen<br />
bzw. Mozilla / Netscape Browser Sicherheitseinstellungen.<br />
Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie Ihre Karte<br />
in den Leser stecken und warten bis diese erkannt wurde (Chipsymbol ist gelb).<br />
Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSL<br />
Verschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Server gegenüber<br />
nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird zwar eine<br />
sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie übermitteln nicht an die<br />
Stelle senden, an die Sie diese zu senden glauben.<br />
Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden.<br />
Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung<br />
Wenn Sie mit Internet Explorer eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird<br />
eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen.<br />
Bestätigen Sie den Dialog mit Ja, um fortzufahren.<br />
Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite angezeigt. Lesen Sie<br />
diese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen.<br />
Um den Vorgang fortzusetzen, müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen.<br />
Warten Sie nun einen Moment, bis sich der Signaturanforderungsdialog der <strong>OpenLimit</strong> SignCubes 2.5<br />
Software öffnet.<br />
252
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie jetzt auf Signatur erzeugen und geben Sie Ihre globale PIN ein. Damit identifizieren<br />
Sie sich gegenüber dem Server.<br />
Die Verbindung zur Webseite wird hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite<br />
ausgetauscht werden, werden über eine sichere Verbindung geschickt.<br />
11.2 Mozilla Firefox Browser Sicherheitseinstellungen<br />
Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren, dass<br />
dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann.<br />
Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser richtig installiert ist, Ihre Karte<br />
sich in diesem befindet, erkannt wurde und die notwendigen Zertifikate sich auf Ihrer Karte befinden.<br />
Öffnen Sie den Web-Browser und klicken Sie dann in der Menüleiste auf Extras - Einstellungen.<br />
Kryptographie Modul installieren<br />
Wählen Sie nun aus der Spalte links im Fenster Erweitert und scrollen Sie dann im rechten Teil<br />
des Fensters bis zum Abschnitt Zertifikate.<br />
253
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie jetzt auf Kryptographie-Module verwalten...<br />
Es öffnet sich der Kryptographie-Modul-Manager mit einer Ansicht der bereits aktiven Komponenten.<br />
254
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum<br />
Umgang mit Ihrer Karte notwendig ist, zu installieren.<br />
Geben Sie dem Modul zunächst einen Namen, z.B. <strong>OpenLimit</strong> SignCubes PKCS#11 Modul, und<br />
klicken Sie dann auf Durchsuchen...<br />
Navigieren Sie zum SignCubes Installations-Verzeichnis (Standard: C:\Programme\ <strong>OpenLimit</strong>),<br />
wählen Sie dort die Datei siqp11.dll aus,<br />
klicken Sie auf Öffnen.<br />
255
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie nun auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul<br />
installieren wollen, bestätigen Sie dies mit OK.<br />
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul.<br />
Klicken Sie nun auf OK.<br />
Jetzt ist Firefox richtig konfiguriert.<br />
256
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
11.3 Mozilla Firefox SSL Authentisierung<br />
Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie Ihre Karte<br />
in den Leser stecken und warten, bis diese erkannt wurde (gelbes Chipsymbol).<br />
Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSL<br />
Verschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Server gegenüber<br />
nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird zwar eine<br />
sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie übermitteln nicht an die<br />
Stelle senden, an die Sie diese zu senden glauben.<br />
Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden.<br />
Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung<br />
Wenn Sie mit Firefox eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird eventuell eine<br />
Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen.<br />
Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite angezeigt. Lesen Sie<br />
diese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. Um den Vorgang fortzusetzen,<br />
müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen.<br />
Sie können das Zertifikat temporär oder für immer akzeptieren. Wenn Sie das Zertifikat für immer<br />
akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht mehr<br />
angezeigt.<br />
Es wird der Signaturanforderungsdialog der <strong>OpenLimit</strong> SignCubes 2.5 Software geöffnet.<br />
Klicken Sie jetzt auf Signatur erzeugen.<br />
Geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit identifizieren Sie sich gegenüber dem<br />
Server.<br />
257
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Es wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite<br />
ausgetauscht werden, werden über eine sichere Verbindung geschickt.<br />
11.4 Mozilla / Netscape Browser Sicherheitseinstellungen<br />
Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren, dass<br />
dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann.<br />
Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser richtig installiert ist, Ihre Karte<br />
sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte befinden.<br />
Öffnen Sie den Web-Browser und klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen.<br />
Kryptographie Modul installieren<br />
Wählen Sie nun aus der Spalte links im Fenster Privatsphäre & Sicherheit – Zertifikate.<br />
258
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...<br />
Jetzt öffnet sich ein Fenster in dem bereits geladene Sicherheitsmodule angezeigt werden.<br />
259
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum<br />
Umgang mit Ihrer Karte notwendig ist, zu installieren.<br />
Geben Sie dem Modul zunächst einen Namen, z.B. "<strong>OpenLimit</strong> SignCubes PKCS#11 Modul" und<br />
klicken Sie auf Durchsuchen...<br />
Navigieren Sie zum <strong>OpenLimit</strong> SignCubes Installations-Verzeichnis (Standard:<br />
C:\Programme\<strong>OpenLimit</strong>), wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen.<br />
260
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul<br />
installieren wollen, bestätigen Sie dies mit OK.<br />
Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul.<br />
261
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Klicken Sie nun auf OK.<br />
Jetzt ist Mozilla /Netscape richtig konfiguriert.<br />
11.5 Mozilla / Netscape SSL Authentisierung<br />
Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie Ihre Karte<br />
in den Leser stecken und warten, bis sie erkannt wurde (gelbes Chipsymbol).<br />
Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSL<br />
Verschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Server gegenüber<br />
nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird zwar eine<br />
sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie übermitteln nicht an die<br />
Stelle senden, an die Sie diese zu senden glauben.<br />
Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden.<br />
Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung<br />
Wenn Sie mit Mozilla / Netscape eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird<br />
eventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen.<br />
Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite angezeigt. Lesen Sie<br />
diese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. Um den Vorgang fortzusetzen,<br />
müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen.<br />
Sie können das Zertifikat temporär oder dauerhaft akzeptieren. Wenn Sie das Zertifikat dauerhaft<br />
akzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht mehr<br />
angezeigt.<br />
Es öffnet sich der Signaturanforderungsdialog der <strong>OpenLimit</strong> SignCubes 2.5 Software.<br />
Klicken Sie auf Signatur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit<br />
identifizieren Sie sich gegenüber dem Server.<br />
262
12 Erste Hilfe<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Jetzt wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite<br />
ausgetauscht werden, werden über eine sichere Verbindung geschickt.<br />
In diesem Kapitel wird der Umgang mit Fehlermeldungen des Produktes beschrieben. In den folgenden<br />
Auflistungen finden Sie mögliche Fehler, deren Ursache und wie Sie als Benutzer auf diese Fehler<br />
reagieren können oder müssen.<br />
12.1 Wie gehe ich mit Fehlermeldungen um?<br />
Im Idealfall läuft das Produkt auf Ihrem Rechner so, dass Sie nie eine Fehlermeldung sehen. Da aber das<br />
Produkt Sicherheitskomponenten (siehe „Sicherheitskomponenten der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten“) enthält, die Sie vor manipulierten Inhalten bei der Darstellung und bei der<br />
Signaturerzeugung schützen sollen, werden Sie im Laufe der Arbeit mit dem Produkt auch mit solchen<br />
vermeintlichen Fehlermeldungen konfrontiert, die Sie auf ein Sicherheitsrisiko oder auf einen tatsächlich<br />
erfolgten Angriff auf ein durch das Produkt zu schützendes Objekt hinweisen.<br />
Der folgende Abschnitt gibt Ihnen eine Übersicht, wie das Produkt auf versuchte Manipulationen oder<br />
Änderungen reagiert und wie Sie als Benutzer in diesem Falle verfahren sollten. Dieser Abschnitt soll Sie<br />
263
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
als Benutzer des Produktes so sensibilisieren, dass Sie in der Lage sind, den sicheren Zustand des<br />
Produktes zu erkennen und Abweichungen richtig zu interpretieren.<br />
Der <strong>OpenLimit</strong> SignCubes Viewer meldet, dass die Fontdatei cour.ttf nicht vorhanden oder manipuliert<br />
ist:<br />
Hintergrund: Der <strong>OpenLimit</strong> SignCubes Viewer verwendet den Font Courier New zur Darstellung von<br />
Textinhalten. Diese Schriftart ist eine symmetrische Schriftart und die Verwendung soll dazu beitragen,<br />
dass Sie den angezeigten Text eindeutig lesen können. Die Interpretation des angezeigten Textes aus<br />
inhaltlicher Sicht kann die gesicherte Anzeigeeinheit allerdings nicht leisten, Sie müssen als Benutzer<br />
selbst entscheiden, ob Sie den angezeigten Text signieren wollen oder nicht.<br />
Ursache: In diesem Falle kommen zwei Ursachen in Frage. Die Datei kann wissentlich oder unwissentlich<br />
aus dem System entfernt worden sein. Da diese Font-Datei integraler Bestandteil des Betriebssystems ist,<br />
kommt eine wissentliche oder unwissentliche Manipulation des Betriebssystems in Betracht. Als zweite<br />
Ursache kann der Austausch oder die Manipulation dieser Datei in Betracht gezogen werden. Wenn Sie z.B.<br />
ein Grafikbearbeitungsprogramm auf Ihrem Rechner installieren, welches die vorhandene Datei des<br />
Betriebssystems austauscht, kann diese Fehlermeldung auftreten. Sie sollten aber in Betracht ziehen, dass<br />
ein Angreifer versucht hat, die Datei so zu manipulieren, dass z.B. das Euro Zeichen gegen das Zeichen für<br />
britische Pfund ausgetauscht wurde.<br />
Benutzerinteraktion: Wenn die Fehlermeldung angezeigt wird, müssen Sie als Benutzer selbst<br />
entscheiden, ob Sie der Darstellung durch den <strong>OpenLimit</strong> SignCubes Viewer vertrauen. Der <strong>OpenLimit</strong><br />
SignCubes Viewer kann in diesem Fall keine Garantie geben, dass der angezeigte Text dem entspricht, wie<br />
er mit der korrekten Version der Font Datei angezeigt werden würde. Vertrauen Sie im Zweifelsfall der<br />
Darstellung nicht und erzeugen Sie keine elektronische Signatur an dem angezeigten Dokument.<br />
Der Rechner stürzt während der Signaturerzeugung ab oder der Kartenlesertreiber bleibt 'hängen':<br />
Hintergrund: Wenn Inkompatibilitäten zwischen dem Betriebssystem und dem verwendeten<br />
Kartenlesertreiber existieren, kann möglicherweise der Rechner während der Signaturerzeugung<br />
abstürzen oder das System reagiert nicht mehr auf Benutzerinteraktion. Das ist kein Fehler, der durch das<br />
Produkt <strong>OpenLimit</strong> SignCubes Basiskomponenten 2.5, Version 2.5.0.3 verursacht wird.<br />
Benutzerinteraktion: Wenn der Rechner abstürzt oder hängen bleibt, sollten Sie auf jeden Fall den<br />
Rechner abschalten und neu starten. Nur dieses Vorgehen gibt Ihnen als Benutzer die Sicherheit, dass der<br />
Arbeitsspeicher des Rechners neu initialisiert wird und keine Speicherbereiche im RAM des Rechners<br />
verbleiben, die evtl. noch die erzeugte elektronische Signatur beinhalten. Wenn das Problem häufiger<br />
264
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
auftritt, sollten Sie sich an den Hersteller des verwendeten Kartenlesers wenden und Informationen<br />
einholen, welcher Treiber für Ihren Kartenleser geeignet ist.<br />
Bei der Arbeit mit dem Produkt können Sie mit der Anwendung keine Signaturen mehr erzeugen oder<br />
prüfen. Der Tooltip im Systemtray zeigt an: 'Deaktiviert wegen Manipulationsverdacht':<br />
Hintergrund: Eine Sicherheitsfunktion des Produktes bietet einen Selbstschutz des Programmes gegen<br />
Manipulationsversuche durch andere Programme oder durch unbefugte Dritte. Wenn ein Bestandteil des<br />
Produktes erkennt, dass z.B. eine Programmbibliothek ausgetauscht wurde, wird dies dem <strong>OpenLimit</strong><br />
SignCubes Security Environment Manager gemeldet, welcher daraufhin die Funktionen zur<br />
Signaturerzeugung und Verifikation deaktiviert.<br />
Ursache: Möglicherweise hat jemand versucht, den Zustand des Produktes auf Ihrem Rechner zu<br />
manipulieren oder so zu verändern, dass daraus ein Schaden für Sie als Anwender entstehen könnte. Wenn<br />
Sie versucht haben, Bibliotheken aus älteren Versionen mit dem Produkt zu verwenden, gilt dies ebenfalls<br />
als Manipulationsversuch und das Programm wird deaktiviert.<br />
Benutzerinteraktion: Sie sollten jetzt mit dem <strong>OpenLimit</strong> SignCubes Integrity Tool den Zustand Ihrer<br />
lokalen Installation überprüfen. Dieses Programm teilt Ihnen detailliert mit, welche Programmbibliothek<br />
von dem Manipulationsversuch betroffen ist. Sie sollten keine weiteren Interaktionen mit dem Produkt<br />
ausführen, insbesondere sollten Sie nicht versuchen, eine elektronische Signatur zu erzeugen. Wenn Sie<br />
ein nicht vom Hersteller autorisiertes Update eingespielt haben, müssen Sie das Produkt deinstallieren<br />
und erneut installieren. Wenn Sie sich nicht sicher sind, wie Sie weiter mit dem Produkt verfahren sollen,<br />
wenden Sie sich an den Hersteller, der Ihnen in diesem Fall Tipps für ein weiteres Vorgehen geben kann.<br />
265
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
12.2 Fehlermeldungen vor oder während der Installation<br />
Die folgenden Fehlermeldungen können vor oder während der Installation angezeigt werden.<br />
Fehlermeldung Ursache Benutzeraktion<br />
Ihr Betriebssystem wird nicht<br />
unterstützt. Bitte verwenden Sie für<br />
diese Anwendung ein anderes<br />
Betriebssystem. Das Setup wird<br />
beendet.<br />
Ihre gegenwärtige Windows-<br />
Anmeldung ist nicht mit<br />
Administratoren-Rechten<br />
ausgestattet. Um das Setup ausführen<br />
zu können, müssen Sie sich als<br />
Administrator anmelden. Das Setup<br />
wird beendet.<br />
Ihr Internet Explorer ist älter als<br />
Version 5.01 SP2. Bitte installieren Sie<br />
zunächst einen neueren Internet<br />
Explorer. Das Setup wird beendet.<br />
Sie haben für die Registry keine<br />
Rechte zum Schreiben. Die Installation<br />
kann nur mit Schreibrechten<br />
fortgesetzt werden<br />
Diese Fehlermeldung kann nach dem<br />
Sprachauswahldialog und vor dem<br />
Anzeigen der ersten Dialogseite für<br />
das Setup der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
generiert werden.<br />
Die Betriebssystemversion, auf der<br />
das Produkt installiert werden soll,<br />
entspricht nicht den<br />
Mindestvoraussetzungen.<br />
Diese Fehlermeldung kann nach dem<br />
Sprachauswahldialog und vor dem<br />
Anzeigen der ersten Dialogseite für<br />
das Setup der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version<br />
2.5.0.3 generiert werden.<br />
Sie sind nicht mit<br />
Administrationsrechten angemeldet.<br />
Diese Fehlermeldung kann nach dem<br />
Sprachauswahldialog und vor dem<br />
Anzeigen der ersten Dialogseite für<br />
das Setup der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version<br />
2.5.6.2 generiert werden.<br />
Ihr Betriebssystem genügt nicht den<br />
Mindestanforderungen.<br />
Ihr Benutzerprofil erlaubt keinen<br />
schreibenden Zugriff auf die Registry<br />
des Betriebssystems.<br />
Konnte Verzeichnis nicht erstellen. Diese Fehlermeldung kann während<br />
des eigentlichen Installationsvorgangs<br />
des Setups der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version<br />
2.5.6.2 generiert werden.<br />
Das Verzeichnis zum Installieren der<br />
Anwendung konnte nicht erstellt<br />
werden.<br />
Sie müssen ein Betriebssystem<br />
verwenden, welches den<br />
Mindestanforderungen genügt.<br />
Sie müssen sich mit<br />
Administrationsrechten an dem<br />
Rechner anmelden.<br />
Sie müssen eine Version des Microsoft<br />
Internet Explorers installieren, die den<br />
Anforderungen des Produktes genügt.<br />
Sie müssen sich mit einem Konto<br />
anmelden, das über Schreibrechte auf<br />
die Registry verfügt. Wenn Sie<br />
Programme verwenden, die den<br />
schreibenden Zugriff auf die Registry<br />
verhindern, sollten Sie diese<br />
deaktivieren.<br />
Sie sollten prüfen, ob Sie über<br />
Schreibrechte für das ausgewählte<br />
Installationsverzeichnis verfügt.<br />
266
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung Ursache Benutzeraktion<br />
Die installierte Programm-Version ist<br />
neuer als dieses Setup-Programm.<br />
Bitte verwenden Sie die aktuellste<br />
Version. Das Setup wird abgebrochen.<br />
Der Inhalt dieses Setups ist älter als<br />
Ihre installierte Version. Bitte<br />
installieren Sie nur die neueste<br />
Version.<br />
Es ist nicht genügend Speicherplatz<br />
für die Installation dieser Anwendung<br />
vorhanden. Der minimal erforderliche<br />
Speicherplatz beträgt 200 MB.<br />
Sie benötigen für diese Anwendung<br />
eine Java(TM) Runtime in einer<br />
Version mindestens 1.4.2_08. Bitte<br />
installieren Sie vorher eine<br />
entsprechende Java (TM) Runtime. Das<br />
Setup wird jetzt abgebrochen.<br />
Diese Produktversion ist mit der<br />
installierten Version nicht vereinbar.<br />
Bitte deinstallieren Sie vorher die alte<br />
Version.<br />
Diese Fehlermeldung kann nach dem<br />
Sprachauswahldialog und vor dem<br />
Anzeigen der ersten Dialogseite für<br />
das Setup der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
generiert werden.<br />
Es ist bereits eine neuere Version der<br />
<strong>OpenLimit</strong> Basiskomponenten<br />
installiert.<br />
Diese Fehlermeldung kann nach dem<br />
Sprachauswahldialog und vor dem<br />
Anzeigen der ersten Dialogseite für<br />
das Setup der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
generiert werden.<br />
Es ist bereits eine neuere Version der<br />
<strong>OpenLimit</strong> Basiskomponenten<br />
installiert.<br />
Diese Fehlermeldung kann nach dem<br />
Sprachauswahldialog und vor dem<br />
Anzeigen der ersten Dialogseite für<br />
das Setup der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
generiert werden.<br />
Für die Installation steht kein<br />
ausreichender Speicherplatz zur<br />
Verfügung.<br />
Diese Fehlermeldung kann nach dem<br />
Sprachauswahldialog und vor dem<br />
Anzeigen der ersten Dialogseite für<br />
das Setup der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
generiert werden.<br />
Diese Fehlermeldung weist darauf hin,<br />
dass entweder die Java(TM) Runtime<br />
Version fehlt oder eine ältere Version<br />
installiert ist.<br />
Diese Fehlermeldung kann nach dem<br />
Sprachauswahldialog und vor dem<br />
Anzeigen der ersten Dialogseite für<br />
das Setup der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
generiert werden.<br />
Diese Fehlermeldung weist darauf hin,<br />
dass das Produkt nicht kompatibel zu<br />
den installierten Basiskomponenten<br />
ist.<br />
Falls eine Neuinstallation notwendig<br />
ist, installieren Sie die aktuellste<br />
Version.<br />
Falls eine Neuinstallation notwendig<br />
ist, installieren Sie die aktuellste<br />
Version.<br />
Stellen Sie sicher, dass ca. 200 MB<br />
Speicherplatz für die Installation zur<br />
Verfügung stehen und starten Sie die<br />
Installation erneut.<br />
Installieren Sie zunächst eine aktuelle<br />
Java(TM) Runtime Version und starten<br />
sie die Installation erneut.<br />
Installieren Sie zunächst eine aktuelle<br />
Version der <strong>OpenLimit</strong><br />
Basiskomponenten, für die dieses<br />
Produkt freigegeben ist.<br />
267
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung Ursache Benutzeraktion<br />
Diese Produktversion ist mit der<br />
installierten Version nicht vereinbar.<br />
Diese Produktversion lässt sich auf<br />
Ihrem Rechner nur installieren, wenn<br />
Sie vorher die alte Version<br />
deinstalliert haben.<br />
Diese Fehlermeldung kann nach dem<br />
Sprachauswahldialog und vor dem<br />
Anzeigen der ersten Dialogseite für<br />
das Setup der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
generiert werden.<br />
Diese Fehlermeldung weist darauf hin,<br />
dass das Produkt nicht kompatibel zu<br />
den installierten Basiskomponenten<br />
ist.<br />
Diese Fehlermeldung kann nach dem<br />
Sprachauswahldialog und vor dem<br />
Anzeigen der ersten Dialogseite für<br />
das Setup der <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
generiert werden.<br />
Es ist bereits eine ältere Version des<br />
Produktes installiert.<br />
12.3 Fehlermeldungen <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
Prüfen Sie zunächst, ob das zu<br />
installierende Produkt für die bereits<br />
vorhandenen Basiskomponenten<br />
freigegeben ist.<br />
Bitte deinstallieren Sie zunächst die<br />
ältere Produktversion und starten<br />
anschließend die Installation neu.<br />
Die folgenden Abschnitte erklären, welche Fehlermeldungen auftreten können und wie Sie diese<br />
Fehlermeldungen bewerten müssen.<br />
Grundsätzlich werden alle Fehlermeldungen vom <strong>OpenLimit</strong> SignCubes Security Environment Manager<br />
generiert, es sei denn, die Fehlermeldung betrifft den <strong>OpenLimit</strong> SignCubes Viewer. Der <strong>OpenLimit</strong><br />
SignCubes Viewer realisiert selbständig Prüfroutinen, welche die Erkennung von Dokumentformaten<br />
betreffen. In der folgenden Tabelle werden die Fehlermeldungen für den <strong>OpenLimit</strong> SignCubes Security<br />
Environment Manager aufgelistet und die mögliche Fehlerursache benannt.<br />
268
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong> Mögliche Ursache Auswirkungen auf den sicheren<br />
SignCubes Security Environment<br />
Zustand des Produktes/<br />
Managers<br />
Benutzerreaktion<br />
Der eingegebene Lizenzcode ist Diese Fehlermeldung kommt nach Sie sollten den Lizenzmanager erneut<br />
ungültig.<br />
Überprüfung des eingegebenen starten und den Lizenzcode exakt<br />
Lizenzcodes.<br />
eingeben. Der sichere Zustand des<br />
Produktes wird nicht beeinflusst.<br />
Bei der Freischaltung der Lizenz ist ein Diese Fehlermeldung kann während Sie sollten sollte den Lizenzmanager<br />
Fehler aufgetreten.<br />
des Lizenzierungsvorganges generiert erneut starten und auf die exakte<br />
werden.<br />
Eingabe des Lizenzcodes achten. Der<br />
sichere Zustand des Produktes wird<br />
nicht beeinflusst.<br />
unerwarteter Fehler Dieser Fehler kann in der Signaturprüfung: Detailanzeige: Zustand<br />
Zertifikatsdetailanzeige auftreten. Die der Hashwertprüfung: ist undefiniert.<br />
Fehlermeldung wird angezeigt, wenn die Der sichere Zustand des Produktes ist<br />
Prüfung des Zertifikates oder des nicht betroffen. Der Hashwert konnte<br />
Pfades zum Herausgeber fehlschlägt. nicht geprüft werden.<br />
Es ist ein Fehler aufgetreten, der nicht<br />
im Rahmen der vorhandenen<br />
Fehlerbehandlung abgefangen werden<br />
konnte.<br />
Versuchen Sie es zu einem späteren Wenn Sie eine OCSP-Anfrage starten Diese Fehlermeldung besagt, dass das<br />
Zeitpunkt erneut.<br />
und diese von der Gegenstelle nicht Produkt Ihnen keine Aussage zum<br />
bearbeitet werden kann, kann diese Zertifikatsstatus liefern kann. Sie<br />
Statusmeldung erscheinen.<br />
müssen selbst entscheiden, ob Sie dem<br />
Die OCSP-Anfrage kann durch die Signaturzertifikat vertrauen. Der<br />
Gegenstelle zum gegenwärtigen sichere Zustand des Produktes ist in<br />
Zeitpunkt nicht bearbeitet werden. diesem Fall nicht betroffen.<br />
Prüfen Sie bitte, ob Sie mit dem Diese Statusmeldung erscheint, wenn Der sichere Zustand ist in diesem Falle<br />
Internet verbunden sind.<br />
für eine Operation eine nicht betroffen.<br />
Internetverbindung notwendig ist,<br />
diese aber nicht besteht.<br />
Wenn Sie aktuelle Sperrlisten abrufen<br />
oder eine OCSP Abfrage durchführen<br />
wollen, wird eine Internet Verbindung<br />
benötigt. Wenn die Verbindung nicht<br />
hergestellt werden kann, werden Sie<br />
mit dieser Meldung aufgefordert, die<br />
Internet Verbindung zu überprüfen.<br />
Die Signaturkomponente konnte nicht Bei folgenden Aktionen kann diese In diesem Falle ist das Produkt<br />
initialisiert werden!<br />
Fehlermeldung erscheinen:<br />
entweder nicht korrekt installiert oder<br />
Signaturerzeugung aus dem <strong>OpenLimit</strong> beschädigt. Der sichere Zustand des<br />
SignCubes Viewer .<br />
Produktes kann nicht gewährleistet<br />
Signaturverifikation aus dem werden. Sie sollten das Programm<br />
<strong>OpenLimit</strong> SignCubes Viewer.<br />
erneut installieren.<br />
Alle Operationen, bei denen ein<br />
Subsystem auf das <strong>OpenLimit</strong><br />
SignCubes Job Interface zurückgreift.<br />
Der <strong>OpenLimit</strong> SignCubes Security<br />
Die Daten wurden nicht signiert!<br />
Environment Manager konnte nicht<br />
gestartet werden bzw. das <strong>OpenLimit</strong><br />
SignCubes Job Interface konnte nicht<br />
geladen werden.<br />
Die Daten konnten nicht signiert Die Chipkarte sendete eine<br />
werden. Diese Fehlermeldung ist ein Statusmeldung, die besagt, dass die<br />
Hinweis auf eine fehlerhafte Daten von der Chipkarte nicht<br />
Kommunikation zwischen dem verarbeitet wurden. Der sichere<br />
<strong>OpenLimit</strong> SignCubes Security Zustand des Produktes ist nicht<br />
269
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Security Environment<br />
Managers<br />
Mögliche Ursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Environment Manager und der<br />
verwendeten Chipkarte, außer Sie<br />
brechen den Signaturvorgang ab.<br />
Die Datei ist nicht signiert! Diese Fehlermeldung kann bei der<br />
Signaturprüfung über den <strong>OpenLimit</strong><br />
SignCubes Viewer auftreten.<br />
Sie haben versucht, die Signatur an<br />
einer nicht signierten Datei zu<br />
überprüfen. Es ist beispielsweise eine<br />
Signaturdatei vorhanden, jedoch<br />
enthält die Signaturdatei keine<br />
Die Datei besitzt eine ungültige<br />
Signatur!<br />
Der Zertifikatsstatus konnte nicht<br />
vollständig geprüft werden!<br />
Der Dateityp konnte nicht ermittelt<br />
werden!<br />
Es liegen keine Informationen über<br />
Signaturen vor!<br />
Signatur.<br />
Diese Statusmeldung kann im Dialog<br />
zur Signaturprüfung angezeigt<br />
werden. Die Signaturprüfung ist im<br />
Abschnitt Arbeiten mit den <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten 2.5,<br />
Version 2.5.0.3 Signaturverifikation<br />
beschrieben.<br />
Die Signatur passt nicht zu den<br />
Originaldaten. Ursache können die<br />
Manipulation der Originaldaten, z.B.<br />
durch Übertragungsfehler als auch<br />
gezielte Manipulationen der<br />
Originaldaten oder der Signatur sein.<br />
Diese Statusmeldung kann im Dialog<br />
zur Signaturprüfung angezeigt<br />
werden. Die Signaturprüfung ist im<br />
Abschnitt Arbeiten mit den <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten 2.5,<br />
Version 2.5.0.3 Signaturverifikation<br />
beschrieben.<br />
Diese Statusmeldung erscheint bei der<br />
Signaturverifikation. Diese Meldung<br />
erscheint immer dann, wenn die<br />
Gültigkeit des Zertifikats nicht über<br />
eine Sperrliste, die nach dem<br />
Signaturzeitpunkt herausgegeben<br />
wurde, geprüft werden kann.<br />
Die Statusmeldung kann angezeigt<br />
werden, wenn eine Datei über<br />
<strong>OpenLimit</strong> SignCubes Viewer signiert<br />
oder verifiziert werden soll.<br />
Das Modul zur Dokumentenerkennung<br />
konnte nicht ermitteln, um welchen<br />
Dateityp es sich handelt. Es war dem<br />
Modul zur Dokumenterkennung nicht<br />
möglich, die Datei lesend zu öffnen.<br />
Die Statusmeldung kann angezeigt<br />
werden, wenn eine Signatur über<br />
<strong>OpenLimit</strong> SignCubes Viewer verifiziert<br />
werden soll.<br />
Der Detaildialog für die<br />
Signaturprüfung wurde aufgerufen,<br />
ohne dass Signaturinformationen<br />
Benutzerreaktion<br />
gefährdet, Sie sollten die Operation<br />
wiederholen.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen. Entweder wurde die<br />
Signaturdatei nicht korrekt erzeugt<br />
oder es hat eine Manipulation der<br />
Signaturdatei stattgefunden, die zur<br />
Folge hat, dass die Signaturdatei leer<br />
ist.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen. Es wurde erkannt,<br />
dass die Signatur ungültig ist. Sie<br />
sollten dem empfangenen Dokument<br />
bzw. der Signatur nicht vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen. Sie sollten eine OCSP<br />
Abfrage vornehmen.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet.<br />
270
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Security Environment<br />
Managers<br />
Die Statusabfrage konnte nicht<br />
erzeugt werden.<br />
Die Antwort des<br />
Zertifikatsherausgebers konnte nicht<br />
verarbeitet werden.<br />
Die Antwort des<br />
Zertifikatsherausgebers enthält einen<br />
unbekannten Statuswert.<br />
Die Anfrage an den<br />
Zertifikatsherausgeber konnte von<br />
diesem nicht verarbeitet werden.<br />
Die Anfrage führte beim<br />
Zertifikatsherausgeber zu einem<br />
internen Fehler.<br />
Die Anfrage kann durch den<br />
Zertifikatsherausgeber zurzeit nicht<br />
bearbeitet werden.<br />
Die Anfrage wurde durch den<br />
Zertifikatsherausgeber mit einem<br />
nicht benutzten Statuscode<br />
beantwortet.<br />
Mögliche Ursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Benutzerreaktion<br />
übergeben wurden.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Es ist ein interner Fehler bei der<br />
Erzeugung der OCSP Abfrage<br />
aufgetreten.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Die OCSP Antwort des<br />
Zertifikatsherausgebers enthält<br />
Fehler, die eine weitergehende<br />
Verarbeitung der OCSP Antwort<br />
unmöglich machen. Die OCSP Antwort<br />
konnte nicht nach dem ASN.1 Standard<br />
dekodiert werden.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Der vom Herausgeber übermittelte<br />
Zertifikatsstatus entspricht nicht der<br />
Spezifikation nach RFC 2560.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Der Zertifikatsherausgeber konnte die<br />
OCSP Anfrage des Produkts <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten 2.5,<br />
Version 2.5.0.3 nicht verarbeiten.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Der Zertifikatsherausgeber konnte die<br />
OCSP Anfrage des Produkts <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten 2.5,<br />
Version 2.5.0.3 nicht verarbeiten. Es<br />
ist ein interner Fehler beim<br />
Zertifikatsherausgeber aufgetreten.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Der Zertifikatsherausgeber kann die<br />
OCSP Anfrage momentan nicht<br />
verarbeiten. Sie sollten den Vorgang<br />
zu einem späteren Zeitpunkt noch<br />
einmal wiederholen.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Der vom Herausgeber übermittelte<br />
Zertifikatsstatus entspricht nicht der<br />
Spezifikation nach RFC 2560.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Die OCSP Antwort<br />
konnte jedoch nicht korrekt<br />
verarbeitet werden. Sie müssen selbst<br />
entscheiden, ob Sie dem<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Alternativ können Sie die OCSP<br />
Abfrage zu einem späteren Zeitpunkt<br />
noch einmal durchführen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Die OCSP Antwort<br />
konnte jedoch nicht korrekt<br />
verarbeitet werden. Sie müssen selbst<br />
entscheiden, ob Sie dem<br />
Signaturzertifikat vertrauen.<br />
271
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong> Mögliche Ursache Auswirkungen auf den sicheren<br />
SignCubes Security Environment<br />
Zustand des Produktes/<br />
Managers<br />
Benutzerreaktion<br />
Der Zertifikatsherausgeber fordert, Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
dass die Anfrage signiert wird. wenn im Zertifikatsdetaildialog auf nicht gefährdet. Allerdings kann keine<br />
Signierte Anfragen werden zurzeit den Knopf Onlinestatus geklickt wird. gültige OCSP Anfrage an den<br />
nicht unterstützt.<br />
Es existieren Formate für OCSP Zertifikatsherausgeber gestellt<br />
Anfragen, bei denen die Anfrage vom werden. Sie müssen selbst<br />
Anfragenden signiert sein muss. Das entscheiden, ob Sie dem<br />
ist z.B. bei kostenpflichtigen OCSP<br />
Respondern der Fall. Dieses Format<br />
Signaturzertifikat vertrauen.<br />
wird vom Produkt <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten 2.5,<br />
Sie haben beim Zertifikatsherausgeber<br />
Version 2.5.0.3 nicht unterstützt.<br />
Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
nicht die erforderliche Berechtigung, wenn im Zertifikatsdetaildialog auf nicht gefährdet. Allerdings kann keine<br />
um den Status abzufragen.<br />
den Knopf Onlinestatus geklickt wird. gültige OCSP Anfrage an den<br />
Der Zertifikatsherausgeber kann durch Zertifikatsherausgeber gestellt<br />
eine eigene Richtlinie festlegen, wer werden. Sie müssen selbst<br />
berechtigt ist, eine OCSP Anfrage an entscheiden, ob Sie dem<br />
diesen zu senden. Wenn Sie keine Signaturzertifikat vertrauen.<br />
entsprechende Berechtigung haben,<br />
wird Ihnen diese Fehlermeldung<br />
Die Anfrage wurde durch den<br />
angezeigt.<br />
Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
Zertifikatsherausgeber mit einem wenn im Zertifikatsdetaildialog auf nicht gefährdet. Sie müssen selbst<br />
unbekannten Statuscode beantwortet. den Knopf Onlinestatus geklickt wird. entscheiden, ob Sie dem<br />
Der vom Herausgeber übermittelte<br />
Zertifikatsstatus entspricht nicht der<br />
Spezifikation nach RFC 2560.<br />
Signaturzertifikat vertrauen.<br />
Die Statusabfrage konnte nicht Diese Fehlermeldung kann auftreten, Der sichere Zustand des Produktes ist<br />
durchgeführt werden.<br />
wenn im Zertifikatsdetaildialog auf nicht gefährdet. Allerdings sollten Sie<br />
den Knopf Onlinestatus geklickt wird. überprüfen, ob eine<br />
Möglicherweise ist keine Internetverbindung vorhanden ist.<br />
Internetverbindung verfügbar.<br />
Sie haben noch zwei Versuche, die Diese Meldung kann bei der Der sichere Zustand des Produktes ist<br />
gültige einzugeben.<br />
Signaturerzeugung auftreten. nicht gefährdet. Sie sollten beim<br />
Sie haben insgesamt drei Versuche, nächsten Versuch die korrekte PIN<br />
die jeweilig abgefragte PIN korrekt eingeben.<br />
einzugeben. steht z.B. für die<br />
globale PIN. Wenn diese Meldung<br />
erscheint, haben Sie bereits einmal die<br />
falsche PIN eingegeben.<br />
Sie haben noch einen Versuch, die Diese Meldung kann bei der Der sichere Zustand des Produktes ist<br />
gültige einzugeben. Wird erneut Signaturerzeugung auftreten. nicht gefährdet. Sie sollten beim<br />
die falsche eingegeben, wird die Sie haben insgesamt drei Versuche, nächsten Versuch die korrekte PIN<br />
Karte unbrauchbar!<br />
die jeweilig abgefragte PIN korrekt eingeben.<br />
einzugeben. steht z.B. für die<br />
globale PIN. Wenn diese Meldung<br />
erscheint, haben Sie bereits zweimal<br />
die falsche PIN eingegeben.<br />
Die Karte wurde durch mehrfache Diese Meldung kann bei der Der sichere Zustand des Produktes ist<br />
Fehleingabe unbrauchbar gemacht. Signaturerzeugung auftreten. nicht gefährdet. Allerdings können Sie<br />
Sie haben durch dreimaliges Eingeben die Chipkarte mit dem Produkt nicht<br />
der falschen PIN die Karte für die mehr verwenden.<br />
weitere<br />
gemacht.<br />
Benutzung unbrauchbar<br />
272
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong> Mögliche Ursache Auswirkungen auf den sicheren<br />
SignCubes Security Environment<br />
Zustand des Produktes/<br />
Managers<br />
Benutzerreaktion<br />
Der Fehlbedienungszähler ist Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist<br />
abgelaufen.<br />
Signaturerzeugung auftreten. nicht gefährdet. Allerdings können Sie<br />
Der Fehlbedienungszähler der Karte die Chipkarte mit dem Produkt nicht<br />
zeigt an, dass die PIN insgesamt<br />
dreimal falsch eingegeben wurde.<br />
mehr verwenden.<br />
Die eingegebene PIN entspricht nicht Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist<br />
den Anforderungen der Karte! Ändern der PIN der Chipkarte nicht gefährdet. Sie sollten allerdings<br />
auftreten.<br />
beim Festlegen der PIN über den<br />
Die Chipkarte stellt bestimmte Menüpunkt PIN ändern eine PIN<br />
Anforderungen an die Qualität der PIN. wählen, die den Anforderungen der<br />
Bei einer TeleSec E4NetKey Karte<br />
muss die Pin mindestens 6-stellig<br />
höchstens jedoch 16-stellig sein.<br />
verwendeten Karte genügt.<br />
Bei der Übertragung des Kommandos Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist<br />
an die Karte trat ein unerwarteter Signaturerzeugung auftreten. nicht gefährdet. Sie sollten den<br />
Fehler auf!<br />
Beim Senden des Kommandos an die Vorgang wiederholen. Wenn der Fehler<br />
Chipkarte ist ein Fehler aufgetreten. permanent auftritt, sollten Sie mit<br />
Die Chipkarte hat mit einem dem zur Verfügung stehenden Modul<br />
Kartenstatus geantwortet, der nicht zur Integritätsprüfung die korrekte<br />
dem erwarteten Status entsprach. Installation des Produktes auf dem<br />
Rechner prüfen.<br />
Die eingegebenen PINs sind nicht Diese Fehlermeldung kann beim Der sichere Zustand des Produktes ist<br />
identisch!<br />
Ändern der PIN der Chipkarte nicht gefährdet. Sie sollten den<br />
auftreten.<br />
Dieser Fehler kann beim Ändern der<br />
PIN auftreten, wenn die erste und die<br />
Bestätigungspin nicht identisch sind.<br />
Vorgang wiederholen.<br />
Die eingegebene PIN wurde Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist<br />
zurückgewiesen!<br />
Signaturerzeugung auftreten. nicht gefährdet. Sie sollten den<br />
Die Verifikation der PIN durch die Vorgang wiederholen.<br />
Chipkarte ist fehlgeschlagen. Sie<br />
haben die falsche PIN eingegeben.<br />
Die PIN wurde nicht in der erwarteten Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist<br />
Zeit eingegeben!<br />
Signaturerzeugung auftreten. nicht gefährdet. Sie sollten den<br />
Sie haben zu lange gewartet, um die Vorgang wiederholen.<br />
PIN einzugeben. die meisten<br />
Kartenleser mit sicherer PIN Eingabe<br />
unterstützen die Verwendung von<br />
Sie müssen die Karte zuerst<br />
Timeouts während der PIN Eingabe.<br />
Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes<br />
freischalten!<br />
Signaturerzeugung auftreten. ist nicht gefährdet. Sie müssen eine<br />
Vor der Verwendung muss die Karte freigeschaltete Karte verwenden.<br />
freigeschaltet werden.<br />
Ggf. können Sie mit dem Menüpunkt<br />
Karte freischalten Ihre Karte für die<br />
weitere Verwendung freischalten.<br />
Sie müssen die Karte zuerst Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist<br />
entsperren.<br />
Signaturerzeugung auftreten. nicht gefährdet. Sie müssen vor einer<br />
Sie haben durch mehrfaches Eingeben weiteren Verwendung der Karte diese<br />
der falschen Pin die Karte gesperrt. durch die Eingabe der PUK wieder<br />
Sie müssen vor einer weiteren entsperren.<br />
Zur Zeit stehen keine geeigneten<br />
Verwendung der Karte diese durch die<br />
Eingabe des PUK wieder entsperren.<br />
Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist<br />
Zertifikate zur Verfügung!<br />
Signaturerzeugung auftreten. nicht gefährdet. Sie müssen<br />
Möglicherweise wollen Sie eine Datei sicherstellen, dass Sie einen<br />
273
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Security Environment<br />
Managers<br />
Die Antwort ist nicht vom erwarteten<br />
Typ BASIC.<br />
Die Antwort hat nicht die erwartete<br />
Version.<br />
Beim Prüfen der Antwort ist ein<br />
unerwarteter interner Fehler<br />
aufgetreten.<br />
Die Antwort enthält mindestens eine<br />
unbekannte kritische Erweiterung.<br />
Die Antwort ist nicht Signaturgesetz<br />
konform (positive Kenntnisaussage<br />
fehlt).<br />
Die Antwort enthält eine unleserliche<br />
Zeitangabe der letzten Überprüfung.<br />
Der in der OCSP Antwort angegebene<br />
Zeitpunkt weicht von Ihrer lokalen<br />
Systemzeit ab. Der angegebene<br />
Zeitpunkt liegt in der Zukunft.<br />
Mögliche Ursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
signieren und haben keinen<br />
Kartenleser angeschlossen oder keine<br />
Chipkarte eingelegt.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Das Format BASIC ist bisher das<br />
standardisierte Format für OCSP -<br />
Antworten. Möglicherweise werden zu<br />
einem späteren Zeitpunkt neue<br />
Formate definiert, die vom Produkt<br />
dann nicht unterstützt werden.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Die OCSP - Antwort hat nicht die<br />
erwartete Version.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Die empfangene OCSP Antwort konnte<br />
nicht korrekt überprüft werden.<br />
Möglicherweise sind syntaktische<br />
Fehler in der OCSP-Antwort<br />
vorhanden.<br />
Diese Statusmeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Kritische Erweiterungen sind<br />
Antwortzusätze, die Ihnen bei der<br />
Auswertung der OCSP - Antwort zur<br />
Kenntnis gelangen sollten. Das<br />
Produkt <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
ist nicht in der Lage, diese kritische<br />
Erweiterung korrekt zu interpretieren.<br />
Diese Statusmeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
In der Antwort ist nicht die Aussage<br />
enthalten, dass der Herausgeber das<br />
Zertifikat kennt.<br />
Diese Statusmeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Der Zeitpunkt der letzten Überprüfung<br />
gibt an, wann der OCSP-Antwortende<br />
die Gültigkeit des Zertifikats das letzte<br />
Mal geprüft hat. Das Zeitformat in der<br />
OCSP-Antwort für diese Überprüfung<br />
konnte nicht dekodiert werden.<br />
Diese Statusmeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Der Zeitpunkt der letzten<br />
Benutzerreaktion<br />
Kartenleser installiert und eine<br />
Chipkarte eingelegt haben, die vom<br />
Produkt verwendet werden kann.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen. Sie<br />
274
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Security Environment<br />
Managers<br />
Die Antwort enthält eine unleserliche<br />
Zeitangabe der nächsten Überprüfung.<br />
Die Antwort ist wegen der<br />
aufgeführten Gründe nicht oder nur<br />
bedingt vertrauenswürdig.<br />
Die Antwort gilt nicht für das<br />
angefragte Zertifikat!!<br />
Interner Fehler beim Lesen eines<br />
Zertifikates.<br />
Die Signatur der Antwort konnte nicht<br />
geprüft werden.<br />
Das Zertifikat der Gegenstelle konnte<br />
nicht gefunden werden:<br />
Das Zertifikat der Gegenstelle konnte<br />
nicht positiv geprüft werden.<br />
Mögliche Ursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Zertifikatsprüfung durch den OCSP-<br />
Antwortenden liegt gegenüber der<br />
lokalen Systemzeit in der Zukunft.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Der Zeitpunkt der nächsten<br />
Überprüfung gibt an, wann der OCSP-<br />
Antwortende die Gültigkeit des<br />
Zertifikats das Nächste mal prüfen<br />
wird. Das Zeitformat in der OCSP-<br />
Antwort für diese Überprüfung konnte<br />
nicht dekodiert werden.<br />
Diese Statusmeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Diese Meldung erscheint, sobald<br />
Gründe vorliegen, der empfangenen<br />
OCSP-Antwort nur bedingt oder nicht<br />
zu vertrauen.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Die empfangene Antwort bezieht sich<br />
nicht auf das angefragte Zertifikat.<br />
Eine solche Meldung kann ein<br />
Indikator für die Manipulation der<br />
Antwort durch Dritte sein (Man in the<br />
Middle).<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Ein Zertifikat, welches vom Produkt<br />
benötigt wird, konnte nicht gelesen<br />
oder dekodiert werden.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Die Signatur der OCSP Antwort konnte<br />
nicht verifiziert werden.<br />
Möglicherweise ist der Hashwert der<br />
Signatur manipuliert worden oder es<br />
konnte kein Zertifikat zu der Signatur<br />
ermittelt werden.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Nach dem ISIS-MTT Standard sollte das<br />
Zertifikat des OCSP Antwortenden in<br />
der OCSP Antwort enthalten sein. Das<br />
Zertifikat ist in der Antwort aber nicht<br />
enthalten.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Benutzerreaktion<br />
sollten die lokale Systemzeit<br />
überprüfen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten dem<br />
Zertifikat nicht vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten dem<br />
Zertifikat nicht vertrauen und die<br />
Integrität des Betriebssystems<br />
überprüfen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten<br />
Zertifikaten, die nicht korrekt durch<br />
das Produkt dekodiert werden können,<br />
nicht vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen<br />
entscheiden, ob Sie dem Zertifikat<br />
vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Allerdings kann die<br />
OCSP Antwort auf Grund veralteter<br />
275
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Security Environment<br />
Managers<br />
Das Zertifikat der Gegenstelle<br />
berechtigt nicht zur OCSP-Signatur.<br />
Die positive Kenntnisaussage ist<br />
fehlerhaft.<br />
Es fehlt ein expliziter Hinweis auf die<br />
Gültigkeit der Antwort trotz<br />
abgelaufenem Zertifikat.<br />
Mögliche Ursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Möglicherweise existiert keine<br />
Sperrliste für die OCSP Signatur oder<br />
die Sperrliste ist veraltet. Eine<br />
Sperrliste gilt als veraltet, wenn der in<br />
der Sperrliste angegebene Zeitpunkt<br />
für die Erneuerung der Sperrliste auf<br />
dem lokalen Rechner überschritten<br />
wurde.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Das Zertifikat, mit welchem die OCSP<br />
Antwort signiert wurde, berechtigt den<br />
Signierenden nicht zu einer OCSP<br />
Signatur.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Die positive Kenntnisaussage ist<br />
entweder nicht vorhanden oder ist<br />
fehlerhaft.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Das angefragte Zertifikat ist sowohl<br />
abgelaufen und die Antwort enthält<br />
keinerlei Hinweis darauf, ob die<br />
Gegenstelle Kenntnis vom Status<br />
dieses Zertifikates hat.<br />
OCSP Response Interner Fehler Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Es ist ein interner Fehler bei der<br />
Prüfung der OCSP Antwort<br />
aufgetreten.<br />
Die Gültigkeit der Antwort wird nicht<br />
mehr garantiert.<br />
Zu dem Zertifikat fehlt das<br />
Herausgeberzertifikat.<br />
Zu einem der Herausgeber wurde<br />
keine Sperrliste gefunden.<br />
Diese Fehlermeldung kann auftreten,<br />
wenn im Zertifikatsdetaildialog auf<br />
den Knopf Onlinestatus geklickt wird.<br />
Das Zertifikat ist der Gegenstelle zwar<br />
bekannt, die Zeit für die<br />
Informationsaufbewahrung zu dem<br />
angefragten Zertifikat ist allerdings<br />
abgelaufen.<br />
Diese Fehlermeldung kann durch den<br />
Zertifikatsdetaildialog ausgelöst<br />
werden.<br />
In der internen Zertifikatsverwaltung<br />
wurde das Herausgeberzertifikat nicht<br />
gefunden.<br />
Diese Statusmeldung kann im<br />
Signaturprüfdialog erscheinen.<br />
Für einen Herausgeber existiert keine<br />
Sperrliste auf dem lokalen Rechner.<br />
Benutzerreaktion<br />
Sperrlisten nicht korrekt verarbeitet<br />
werden. Sie sollten die lokalen<br />
Sperrlisten aktualisieren.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Die OCSP Antwort<br />
konnte vom Produkt nicht korrekt<br />
verarbeitet werden. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen. Sie<br />
sollten die aktuellen Sperrlisten<br />
276
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Security Environment<br />
Managers<br />
Fehler beim Erzeugen eines<br />
Zeitstempels.<br />
Mögliche Ursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Benutzerreaktion<br />
abrufen.<br />
Diese Statusmeldung kann beim Holen<br />
eines Zeitstempels erscheinen.<br />
Während des Empfangs des<br />
Zeitstempels ist ein Fehler<br />
aufgetreten, so dass der Zeitstempel<br />
von dem Produkt nicht eingeholt<br />
werden konnte.<br />
Fehler beim Holen einer OCSP Antwort. Diese Fehlermeldung kann beim Holen<br />
einer OCSP Antwort auftreten.<br />
Möglicherweise besteht keine<br />
Verbindung zum Internet oder der<br />
Zu einem der Herausgeberzertifikate<br />
wurde keine aktuelle Sperrliste<br />
gefunden.<br />
Von einem der Herausgeber wurde das<br />
Zertifikat zurückgezogen<br />
Die Sperrliste einer der Herausgeber<br />
hat unbekannte Fehler.<br />
Von diesem Inhaber ist keine<br />
Sperrliste vorhanden.<br />
Die Sperrliste dieses Inhabers ist<br />
abgelaufen.<br />
Das Prüfzertifikat ist nach der<br />
Sperrliste dieses Inhabers<br />
zurückgezogen.<br />
Die Sperrliste dieses Inhabers hat<br />
unbekannte Fehler.<br />
OCSP Responder ist nicht erreichbar.<br />
Diese Statusmeldung kann im<br />
Signaturprüfdialog erscheinen.<br />
Es ist zwar eine Sperrliste vorhanden,<br />
jedoch ist diese Sperrliste abgelaufen.<br />
Sie sollten die Sperrlisten über den<br />
<strong>OpenLimit</strong> SignCubes<br />
Sperrlistenaktualisierungsassistent<br />
aktualisieren.<br />
Diese Statusmeldung kann im<br />
Signaturprüfdialog erscheinen.<br />
Das Zertifikat wurde durch den<br />
Herausgeber zurückgezogen (das<br />
Zertifikat ist in der Sperrliste als<br />
zurückgezogen markiert).<br />
Diese Statusmeldung kann im<br />
Signaturprüfdialog erscheinen.<br />
Die verwendete hat entweder<br />
syntaktische Fehler oder enthält<br />
Zusätze, die vom Produkt nicht<br />
verarbeitet werden können.<br />
Diese Statusmeldung kann im<br />
Signaturprüfdialog erscheinen.<br />
Zu einem konkreten Herausgeber<br />
wurde kein Sperrliste gefunden.<br />
Diese Statusmeldung kann im<br />
Signaturprüfdialog erscheinen.<br />
Die Sperrliste des konkreten<br />
Herausgebers ist abgelaufen. Sie<br />
sollten die Sperrlisten über den<br />
<strong>OpenLimit</strong> SignCubes<br />
Sperrlistenaktualisierungsassistent<br />
aktualisieren.<br />
Diese Statusmeldung kann im<br />
Signaturprüfdialog erscheinen.<br />
Der konkrete Herausgeber hat dieses<br />
Zertifikat zurückgezogen.<br />
Diese Statusmeldung kann im<br />
Signaturprüfdialog erscheinen.<br />
Die Sperrliste dieses konkreten<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie können<br />
versuchen, den Zeitstempel erneut<br />
einzuholen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie können<br />
versuchen, eine erneute OCSP Abfrage<br />
durchzuführen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen. Sie<br />
sollten die aktuellen Sperrlisten<br />
abrufen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten dem<br />
Zertifikat nicht vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten die<br />
aktuellen Sperrlisten abrufen und den<br />
Vorgang wiederholen. Zusätzlich<br />
sollten Sie eine OCSP Abfrage zu dem<br />
Zertifikat durchführen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten die<br />
aktuellen Sperrlisten abrufen und den<br />
Vorgang wiederholen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten die<br />
aktuellen Sperrlisten abrufen und den<br />
Vorgang wiederholen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten dem<br />
Zertifikat nicht vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten die<br />
aktuellen Sperrlisten abrufen und den<br />
277
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Security Environment<br />
Managers<br />
Sie vertrauen keinem der<br />
Wurzelzertifikate!<br />
Das Modul besitzt eine ungültige<br />
Signatur. Das Programm wird beendet.<br />
Mögliche Ursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Benutzerreaktion<br />
Herausgebers weist Fehler auf. Vorgang wiederholen.<br />
Diese Statusmeldung kann im<br />
Signaturprüfdialog erscheinen.<br />
Diese Meldung sagt aus, dass keinem<br />
der Wurzelzertifikate vertraut wird.<br />
Diese Fehlermeldung kann beim Start<br />
des <strong>OpenLimit</strong> SignCubes Security<br />
Environment Managers generiert<br />
werden.<br />
Diese Meldung sagt aus, dass die<br />
Signatur des angegebenen Programm-<br />
Moduls beschädigt ist oder die<br />
Originaldaten (das Modul) und die<br />
Signaturdatei nicht zueinander<br />
passen. Aus Sicherheitsgründen wird<br />
die Anwendung <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
in diesem Falle beendet.<br />
Das Zertifikat wurde nicht geprüft. Diese Statusmeldung kann im<br />
Signaturprüfdialog erscheinen.<br />
Diese Statusmeldung sagt aus, dass<br />
die Zertifikate nicht geprüft wurden.<br />
Die zu signierenden Daten wurden vor<br />
der Signaturerzeugung verändert!<br />
Der eingesetzte Hashalgorithmus wird<br />
als ungeeignet eingestuft.<br />
Diese Statusmeldung kann immer<br />
dann auftreten, wenn Sie eine digitale<br />
Signatur über einen der<br />
Produktbestandteile erzeugen wollen.<br />
Diese Meldung sagt aus, dass die<br />
Originaldaten, die vom<br />
Produktbestandteil zur Signatur an<br />
den <strong>OpenLimit</strong> SignCubes Security<br />
Environment Manager übergeben<br />
wurden, zwischenzeitlich verändert<br />
wurden.<br />
Diese Fehlermeldung kann bei der<br />
Signaturverifikation auftreten.<br />
Diese Meldung sagt aus, dass für die<br />
Signaturerzeugung ein<br />
Hashalgorithmus verwendet wurde,<br />
der für die Erzeugung qualifizierter<br />
Signaturen nicht zulässig ist.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gewährleistet. Sie müssen mit<br />
Hilfe des zur Verfügung stehenden<br />
Integritätschecks die gesamte<br />
Installation überprüfen. Sie müssen<br />
das Produkt deinstallieren und erneut<br />
installieren.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen selbst<br />
entscheiden, ob Sie dem verwendeten<br />
Signaturzertifikat vertrauen.<br />
Alternativ sollten Sie eine OCSP<br />
Abfrage zu dem Zertifikat<br />
durchführen.<br />
Der sichere Zustand des Produktes<br />
kann gefährdet sein. Der sichere<br />
Zustand ist nur dann nicht gefährdet,<br />
wenn Sie nicht selbst aus Versehen die<br />
Daten zwischenzeitlich geändert<br />
haben. In jedem anderen Fall sollten<br />
Sie die Arbeit mit dem Produkt<br />
einstellen und eine Integritätsprüfung<br />
des Produktes vornehmen. Wird bei<br />
der Integritätsprüfung keine<br />
Veränderung des Produktes entdeckt,<br />
sollte mit Hilfe eines Virenscanners<br />
der Rechner auf böswillige Programme<br />
hin untersucht werden.<br />
Das Produkt nimmt in diesem Falle<br />
einen sicheren Zustand ein, da die<br />
Funktionen zur Signaturerzeugung<br />
und Signaturverifikation durch den<br />
<strong>OpenLimit</strong> SignCubes Security<br />
Environment Manager in diesem Falle<br />
deaktiviert werden.<br />
Sie sollten sich über die<br />
Veröffentlichungen der<br />
Bundesnetzagentur unter<br />
www.bundesnetzagentur.de<br />
informieren, welcher Hashalgorithmus<br />
zulässig ist.<br />
278
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong> Mögliche Ursache Auswirkungen auf den sicheren<br />
SignCubes Security Environment<br />
Zustand des Produktes/<br />
Managers<br />
Benutzerreaktion<br />
Die verwendeten Signaturparameter Diese Fehlermeldung kann bei der Sie sollten sich über die<br />
werden als ungeeignet eingestuft. Signaturverifikation auftreten. Veröffentlichungen der<br />
Diese Meldung sagt aus, dass für die Bundesnetzagentur unter<br />
Signaturerzeugung entweder ein www.bundesnetzagentur.de<br />
Hashalgorithmus verwendet wurde, informieren, welcher Hashalgorithmus<br />
der für die Erzeugung qualifizierter und welche Schlüssellängen zulässig<br />
Signaturen oder die verwendete sind.<br />
Die verwendeten Algorithmen<br />
Schlüssellänge nicht zulässig ist.<br />
Diese Fehlermeldung kann bei der Sie sollten sich über die<br />
entsprechen nicht den Prüfvorgaben. Signaturprüfung auftreten.<br />
Veröffentlichungen der<br />
Diese Meldung weist darauf hin, dass Bundesnetzagentur unter<br />
ein Hashalgorithmus verwendet www.bundesnetzagentur.de<br />
wurde, der nicht den Vorgaben der informieren, welcher<br />
Bundesnetzagentur entspricht. Dieser Hashalgorithmus und welche<br />
Hinweis erscheint in der Schlüssellängen zulässig sind.<br />
Zusammenfassung des Prüfdialogs.<br />
Die von der Karte erzeugte Signatur Diese Fehlermeldung kann bei der Der sichere Zustand des Produktes ist<br />
entspricht nicht den zu signierenden Signaturerzeugung auftreten. gefährdet. Sie sollten den <strong>OpenLimit</strong><br />
Daten!<br />
Diese Meldung sagt aus, dass nicht der SignCubes Security Environment<br />
Hashwert signiert wurde, der Manager beenden und den Rechner<br />
beabsichtigt wurde.<br />
herunterfahren, um sicherzugehen,<br />
dass sich keine digitalen Signaturen<br />
mehr im Speicher befinden.<br />
Ein Fehler ist bei der Initialisierung Diese Fehlermeldung kann beim Start Der sichere Zustand des Produktes<br />
aufgetreten. Das Programm kann nicht des Assistenten zur kann gefährdet sein. Sie sollten mit<br />
weiter ausgeführt werden. Wenden Sie Sperrlistenaktualisierung generiert dem zur Verfügung stehenden<br />
sich bitte an die Online-Hilfe und werden.<br />
Prüfprogramm die Integrität der<br />
prüfen Sie Ihre Installation.<br />
Bei der Sperrlistenaktualisierung ist Installation überprüfen.<br />
ein Fehler bei der Initialisierung des<br />
<strong>OpenLimit</strong> SignCubes<br />
Sperrlistenaktualisierungsassistenten<br />
aufgetreten, der eine weitere<br />
Benutzung des Sperrlisten<br />
Aktualisierungsassistenten unmöglich<br />
macht.<br />
279
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
12.4 Fehlermeldungen des <strong>OpenLimit</strong> SignCubes Viewer<br />
Der <strong>OpenLimit</strong> SignCubes Viewer kann ebenfalls Fehlermeldungen generieren, die in der folgenden Tabelle<br />
aufgelistet sind.<br />
Grundsätzlich gilt: Wenn eine Fehlermeldung generiert wird, über deren Bedeutung Sie sich nicht sicher<br />
sind, sollten Sie das Dokument nicht signieren.<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Viewer<br />
Das Format der Datei ist nicht<br />
geeignet!<br />
Sie verfügen nicht über die benötigte<br />
Lizenz, um Dateien dieses Formates<br />
anzuzeigen!<br />
Es steht keine gültige Lizenz zur<br />
Verfügung. Das Programm wird<br />
beendet.<br />
Fehlerursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Sie haben versucht, eine Datei mit<br />
dem <strong>OpenLimit</strong> SignCubes Viewer zu<br />
öffnen, die weder als PDF, TIFF noch<br />
als Text Datei erkannt wurde. Diese<br />
Fehlermeldung wird Ihnen auch dann<br />
angezeigt, wenn aktive Inhalte in dem<br />
Dokument vorhanden sind.<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer generiert werden.<br />
Sie haben versucht, eine Datei mit<br />
dem <strong>OpenLimit</strong> SignCubes Viewer zu<br />
öffnen, die entsprechend dem<br />
Funktionsumfang der installierten<br />
Lizenz nicht geöffnet werden kann.<br />
Diese Fehlermeldung wird generiert,<br />
wenn der Viewer auf einem PC<br />
gestartet wird, auf dem keine Lizenz<br />
für die <strong>OpenLimit</strong> SignCubes<br />
Basiskomponenten 2.5, Version 2.5.0.3<br />
installiert ist.<br />
Sie haben versucht, den <strong>OpenLimit</strong><br />
SignCubes Viewer zu starten, obwohl<br />
keine Lizenz für die <strong>OpenLimit</strong><br />
SignCubes Basiskomponenten 2.5,<br />
Version 2.5.0.3 installiert ist.<br />
Benutzerreaktion<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten die Datei<br />
nicht signieren, wenn Sie für die Daten<br />
über kein sicheres Anzeigemodul<br />
verfügen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet.<br />
Diese Fehlermeldung wird Ihnen nur<br />
angezeigt, falls Sie eine Datei mit dem<br />
Viewer öffnen wollen und über keine<br />
Lizenz verfügen (auch nicht über eine<br />
Reader-Lizenz).<br />
Wenn diese Fehlermeldung erscheint,<br />
ist die Lizenzdatei von Ihrem Rechner<br />
entfernt worden. Der sichere Zustand<br />
des Produktes ist nicht betroffen,<br />
jedoch sollten Sie mit einem<br />
geeigneten Programm (Virenscanner<br />
etc.) die Integrität Ihres<br />
Betriebssystems überprüfen. Eventuell<br />
haben unberechtigte Dritte Zugriff auf<br />
Ihren Rechner erlangt.<br />
280
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Viewer<br />
Die Schriftart 'Courier New', die für die<br />
Darstellung von Text verwendet wird,<br />
wurde auf diesem Computer nicht<br />
gefunden oder stimmt nicht mit der<br />
Originalinstallation überein.<br />
Fehlerursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Diese Fehlermeldung tritt auf, wenn<br />
die Datei cour.ttf auf dem Computer<br />
nicht vorhanden ist oder von der<br />
Dateiversion abweicht, die der<br />
Originalinstallation entspricht. Diese<br />
Fehlermeldung wird beim Start des<br />
<strong>OpenLimit</strong> SignCubes Viewers<br />
gemeldet bzw. beim Öffnen eines<br />
Textdokuments.<br />
Fehler beim Zugriff auf die Datei! Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Beim Zugriff auf die zu öffnende Datei<br />
(Kommandozeile oder Menübefehl) ist<br />
ein Fehler aufgetreten. Die Datei<br />
existiert nicht oder kann nicht gelesen<br />
Die Datei enthält sowohl 'DOS' als auch<br />
'Windows' Umlaute. Eine korrekte<br />
Darstellung ist u.U. nicht möglich.<br />
Die Datei enthält Zeichen, für die keine<br />
eindeutige Darstellung definiert ist.<br />
werden.<br />
Diese Fehlermeldung kann während<br />
der Untersuchung von<br />
Textdokumenten auftreten.<br />
Das Textdokument enthält Zeichen, die<br />
als Umlaute in der Windows<br />
Darstellung erkannt werden. Darüber<br />
hinaus sind aber auch Zeichen in dem<br />
Dokument vorhanden, die als Umlaute<br />
in der DOS Codierung interpretiert<br />
werden.<br />
Diese Fehlermeldung kann während<br />
der Untersuchung von<br />
Textdokumenten auftreten.<br />
Das Dokument enthält Zeichen, für die<br />
in verschiedenen Schriftsätzen<br />
verschiedene Darstellungen definiert<br />
sind.<br />
Benutzerreaktion<br />
Der sichere Zustand des Produktes ist<br />
betroffen. Sie sollten überprüfen, ob<br />
die Datei cour.ttf auf dem Rechner<br />
vorhanden ist. Sie sollten keine<br />
Signaturen an Text-Dokumenten<br />
vornehmen, da die korrekte<br />
Darstellung nicht mehr gewährleistet<br />
werden kann.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten den<br />
Vorgang wiederholen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten eine<br />
Untersuchung des Textdokuments wie<br />
im Kapitel Arbeiten mit dem SignCubes<br />
Viewer beschrieben, vornehmen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten eine<br />
Untersuchung des Textdokuments wie<br />
im Kapitel Arbeiten mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer beschrieben,<br />
vornehmen.<br />
281
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Viewer<br />
Die TIFF Datei hat eine Größe von .<br />
Sie enthält freie (scheinbar<br />
ungenutzte) Bereiche mit einer<br />
Gesamtgröße von .<br />
Fehler in TIFF-Struktur: Tag<br />
'StripOffset' Zeiger ohne<br />
Größenangabe!<br />
Fehler in TIFF-Struktur: Tag<br />
'TileOffsets' ohne 'TileByteCount'<br />
gefunden!<br />
Fehlerursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Eine TIFF-Datei wurde geöffnet, deren<br />
Inhalt nicht vollständig durch die<br />
enthaltenen Tags belegt wird. Die<br />
durch angegebene Anzahl von<br />
Bytes der Datei wird durch den<br />
‚offiziellen’ Dateiinhalt nicht<br />
verwendet und kann verborgene<br />
Inhalte enthalten. Die Meldung wird<br />
ausgegeben, wenn die Zahl der nicht<br />
adressierten Bytes mehr als 50<br />
beträgt. In jedem Fall können diese<br />
Bytes unter ‚Ansicht / Weitere<br />
Dateiinhalte’ betrachtet werden.<br />
(Einzelne nicht belegte Bytes bzw.<br />
kleinere ungenutzte Dateibereiche<br />
sind in TIFF-Dateien normal. Sie<br />
entstehen durch Füllbytes, die bei der<br />
Anordnung von Tabellen auf WORD-<br />
oder DWORD-Grenzen erforderlich<br />
werden, aber auch durch die<br />
Bearbeitung der TIFF-Datei.)<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Interner Fehler in der TIFF-Struktur.<br />
Der Inhalt kann u.U. nicht korrekt<br />
angezeigt werden. Weitere<br />
Fehlermeldungen sind möglich. Diese<br />
Meldung kann nur im Fall einer<br />
beschädigten TIFF-Datei auftreten.<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Interner Fehler in der TIFF-Struktur.<br />
Der Inhalt kann u.U. nicht korrekt<br />
angezeigt werden. Weitere<br />
Fehlermeldungen sind möglich. Diese<br />
Meldung kann nur im Fall einer<br />
beschädigten TIFF-Datei auftreten.<br />
Benutzerreaktion<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen die<br />
enthaltenen Daten in dem Dokument<br />
genauer untersuchen. Sie müssen<br />
selbst entscheiden, ob Sie das<br />
Dokument signieren wollen oder nicht.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen die<br />
enthaltenen Daten in dem Dokument<br />
genauer untersuchen. Sie müssen<br />
selbst entscheiden, ob Sie das<br />
Dokument signieren wollen oder nicht.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen die<br />
enthaltenen Daten in dem Dokument<br />
genauer untersuchen. Sie müssen<br />
selbst entscheiden, ob Sie das<br />
Dokument signieren wollen oder nicht.<br />
282
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Viewer<br />
Fehlendes Tag! Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Es wurde ein Tag nicht gefunden. Es<br />
ist ein Fehler im Programm<br />
Fehlerursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
aufgetreten.<br />
Fehlerhafter TagType! Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Fehler in der TIFF-Struktur. Der Typ<br />
eines Tag’s entspricht nicht der<br />
Spezifikation. Weitere<br />
Fehlermeldungen sind möglich. (Tritt<br />
beim Markieren eines Tag’s auf, wenn<br />
dieses Tag nicht der Spezifikation<br />
Fehler in DataLength (erwartet 'X'<br />
gefunden 'Y')<br />
entspricht.)<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Fehler in der TIFF-Struktur. Der<br />
Datenumfang eines Tag’s entspricht<br />
nicht der Spezifikation. Tritt nur auf,<br />
wenn die Spezifikation den<br />
Datenumfang des Tag’s explizit<br />
festlegt und das Tag dieser Festlegung<br />
nicht entspricht. Weitere<br />
Fehlermeldungen sind möglich. (Tritt<br />
beim Markieren eines Tag’s auf, wenn<br />
dieses Tag nicht der Spezifikation<br />
entspricht.)<br />
Benutzerreaktion<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen die<br />
enthaltenen Daten in dem Dokument<br />
genauer untersuchen. Sie müssen<br />
selbst entscheiden, ob Sie das<br />
Dokument signieren wollen oder nicht.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Der Benutzer muss<br />
die enthaltenen Daten in dem<br />
Dokument genauer untersuchen. Der<br />
Benutzer muss selbst entscheiden, ob<br />
er das Dokument signieren will oder<br />
nicht.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen die<br />
enthaltenen Daten in dem Dokument<br />
genauer untersuchen. Sie müssen<br />
selbst entscheiden, ob Sie das<br />
Dokument signieren wollen oder nicht.<br />
283
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Viewer<br />
Fehler in DataLength (erwartet 'X1'<br />
oder 'X2' gefunden 'Y')<br />
Fehler in DataType (erwartet '2' (ASCII)<br />
gefunden '')<br />
Fehler in Datei! Zeiger außerhalb des<br />
Bereichs!<br />
Fehlerursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Fehler in der TIFF-Struktur. Der<br />
Datenumfang eines Tag’s entspricht<br />
nicht der Spezifikation. Tritt nur auf,<br />
wenn die Spezifikation den<br />
Datenumfang des Tag’s explizit<br />
festlegt und das Tag dieser Festlegung<br />
nicht entspricht. Weitere<br />
Fehlermeldungen sind möglich. (Tritt<br />
beim Markieren eines Tag’s auf, wenn<br />
dieses Tag nicht der Spezifikation<br />
entspricht.)<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Fehler in der TIFF-Struktur. Der<br />
Datentyp eines Tag's entspricht nicht<br />
der Spezifikation. Tritt nur auf, wenn<br />
die Spezifikation den Datentyp des<br />
Tag's explizit festlegt und das Tag<br />
dieser Festlegung nicht entspricht.<br />
Weitere Fehlermeldungen sind<br />
möglich.<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Es ist ein Fehler in der TIFF-Datei<br />
aufgetreten. Eine Adresse in der<br />
Struktur der TIFF-Datei verweist auf<br />
Daten, die hinter dem Ende der Datei<br />
liegen. Tritt auf, wenn die TIFF-Datei<br />
unvollständig ist (abgeschnitten) oder<br />
die Adressdaten in der Datei<br />
beschädigt wurden. Weitere<br />
Fehlermeldungen sind zu erwarten.<br />
Benutzerreaktion<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen die<br />
enthaltenen Daten in dem Dokument<br />
genauer untersuchen. Sie müssen<br />
selbst entscheiden, ob Sie das<br />
Dokument signieren wollen oder nicht.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen die<br />
enthaltenen Daten in dem Dokument<br />
genauer untersuchen. Sie müssen<br />
selbst entscheiden, ob Sie das<br />
Dokument signieren wollen oder nicht.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen die<br />
enthaltenen Daten in dem Dokument<br />
genauer untersuchen. Sie müssen<br />
selbst entscheiden, ob Sie das<br />
Dokument signieren wollen oder nicht.<br />
284
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Viewer<br />
Fehler in Datei! Überschneidung! Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Fehler in der TIFF-Datei. Eine Adresse<br />
in der Struktur der TIFF-Datei verweist<br />
auf Daten, die in einem Bereich der<br />
Datei liegen, in dem bereits andere<br />
Daten identifiziert wurden. Tritt auf,<br />
wenn die Adressdaten in der Datei<br />
beschädigt wurden. Weitere<br />
Die Signaturkomponente konnte nicht<br />
initialisiert werden!<br />
Auf die Datei '' kann nicht<br />
zugegriffen werden:<br />
Beim Laden des TIFF-Bildes ist ein<br />
Fehler aufgetreten:<br />
Fehlerursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Fehlermeldungen sind zu erwarten.<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Das SignCubes Job Interface steht<br />
nicht zur Verfügung. Dies ist ein<br />
kritischer Fehler. Sie sollten mit dem<br />
<strong>OpenLimit</strong> SignCubes Integrity Tool die<br />
korrekte Installation des Produktes<br />
auf dem Arbeitsplatz überprüfen.<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Die Datei wurde ursprünglich<br />
geöffnet und gelesen, steht bei einem<br />
späteren Zugriff jedoch nicht mehr zur<br />
Verfügung. Die Fehlermeldung des<br />
Betriebssystems steht in einer zweiten<br />
Zeile.<br />
Diese Fehlermeldung kann beim<br />
Öffnen einer Datei mit dem <strong>OpenLimit</strong><br />
SignCubes Viewer direkt durch diese<br />
oder beim Öffnen einer Datei über den<br />
Signaturanforderungsdialog generiert<br />
werden.<br />
Es wurde ein Fehler festgestellt, der<br />
sich auf die Struktur der TIFF-Datei<br />
bzw. die Auswertung des Inhalts<br />
bezieht. Beispiel: Nicht unterstützte<br />
Kompressionsverfahren oder Fehler in<br />
der Dateistruktur. Eine genaue<br />
Bezeichnung des Fehlers - in<br />
englischer Sprache - steht in der<br />
zweiten Zeile.<br />
Benutzerreaktion<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie müssen die<br />
enthaltenen Daten in dem Dokument<br />
genauer untersuchen. Sie müssen<br />
selbst entscheiden, ob Sie das<br />
Dokument signieren wollen oder nicht.<br />
Der sichere Zustand des Produktes<br />
kann nicht gewährleistet werden. Sie<br />
sollten mit dem zur Verfügung<br />
stehenden Modul zur<br />
Integritätsprüfung die Integrität der<br />
Installation auf dem Rechner<br />
überprüfen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten den<br />
Vorgang wiederholen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Allerdings kann das<br />
Dokument nicht angezeigt werden. Sie<br />
müssen entscheiden, ob Sie das<br />
Dokument trotzdem signieren<br />
möchten, obwohl kein sicheres<br />
Anzeigemodul zur Verfügung steht.<br />
285
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Viewer<br />
Es sind Java Script Elemente<br />
im Dokument enthalten.<br />
Fehlerursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Diese Fehlermeldung wird generiert,<br />
wenn der <strong>OpenLimit</strong> SignCubes Viewer<br />
Java Script Elemente identifiziert hat.<br />
Sie sollten sich über den Menüpunkt<br />
'Weitere Dateiinhalte' über den Inhalt<br />
der Java Scripte informieren.<br />
Fehler in der Datenlänge Diese Fehlermeldung kann beim<br />
Öffnen eines PDF Dokuments<br />
angezeigt werden.<br />
Fehler im Zugriff auf die Datei! Diese Fehlermeldung kann beim<br />
Öffnen eines Dokuments angezeigt<br />
werden.<br />
Das Modul besitzt<br />
eine ungültige Signatur! Das<br />
Programm wird beendet.<br />
Das Modul konnte<br />
nicht geladen werden! Das Programm<br />
wird beendet.<br />
Das Dokument ist beschädigt und<br />
muss repariert werden.<br />
Diese Fehlermeldung kann Ihnen beim<br />
Start des Viewers angezeigt werden.<br />
Diese Fehlermeldung kann Ihnen beim<br />
Start des Viewers angezeigt werden.<br />
Diese Fehlermeldung kann beim<br />
Öffnen eines PDF Dokuments<br />
angezeigt werden.<br />
Benutzerreaktion<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie sollten sich<br />
jedoch über den Inhalt der Java Script<br />
Elemente über den Menüpunkt<br />
'Weitere Dateiinhalte' informieren.<br />
Im Zweifelsfall sollten Sie die<br />
Unterzeichnung des Dokuments nicht<br />
fortsetzen.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet, jedoch sollten Sie die<br />
Datei nicht weiter verarbeiten, da ein<br />
Fehler in der internen<br />
Dokumentstruktur vorliegt.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet. Sie haben jedoch eine<br />
Datei ausgewählt, die nicht geöffnet<br />
werden kann. Beispielsweise kann die<br />
Datei exklusiv durch eine dritte<br />
Der sichere Zustand des Produktes ist<br />
nicht mehr gewährleistet. Das<br />
Programm wird beendet. Sie sollten<br />
mit dem zur Verfügung stehenden<br />
Modul zur Integritätsprüfung die<br />
Integrität der Installation auf dem<br />
Rechner überprüfen und sicherstellen,<br />
dass nicht unberechtigte Dritte Zugriff<br />
auf Ihren Rechner haben.<br />
Der sichere Zustand des Produktes ist<br />
nicht mehr gewährleistet. Das<br />
Programm wird beendet. Sie sollten<br />
mit dem zur Verfügung stehenden<br />
Modul zur Integritätsprüfung die<br />
Integrität der Installation auf dem<br />
Rechner überprüfen und sicherstellen,<br />
dass nicht unberechtigte Dritte Zugriff<br />
auf Ihren Rechner haben.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen. Der Viewer hat jedoch<br />
erkannt, dass das vorliegende<br />
Dokument nicht verarbeitet oder<br />
angezeigt werden kann.<br />
Eine solches Dokument sollten Sie<br />
nicht signieren.<br />
286
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Viewer<br />
Die Datei-Ende Markierung (EOF)<br />
wurde nicht gefunden.<br />
Die Datei konnte nicht geöffnet<br />
werden.<br />
Ein unerwarteter Fehler ist<br />
aufgetreten!<br />
- es sind alternative Abbildungen<br />
enthalten<br />
- es sind Anweisungen zur Ausführung<br />
externer Programme enthalten<br />
- es sind Verweise auf externe Dateien<br />
enthalten<br />
- es sind Verzweigungen auf<br />
externe Dokumente enthalten<br />
- es sind Anweisungen zum Verbergen<br />
von Inhalten enthalten<br />
Fehlerursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Diese Fehlermeldung kann beim<br />
Öffnen eines PDF Dokuments<br />
angezeigt werden.<br />
Diese Fehlermeldung kann beim<br />
Öffnen eines PDF Dokuments<br />
angezeigt werden.<br />
Diese Fehlermeldung wird angezeigt,<br />
wenn ein Fehler aufgetreten ist, der<br />
eine weitere Verarbeitung der Daten<br />
unmöglich macht.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Benutzerreaktion<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen. Der Viewer hat jedoch<br />
erkannt, dass das vorliegende<br />
Dokument einen syntaktischen Fehler<br />
enthält.<br />
Ein solches Dokument sollten Sie nicht<br />
signieren.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet, die Datei konnte<br />
jedoch nicht geöffnet werden.<br />
Der sichere Zustand des Produktes ist<br />
nicht gefährdet.<br />
Sie sollten die laufende Operation<br />
jedoch abbrechen bzw. den Viewer<br />
schließen.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
signieren.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
signieren.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
signieren.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Si llt i l h D t i i ht<br />
287
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Viewer<br />
- es sind Anweisungen zum Zugriff auf<br />
das Internet enthalten<br />
- es sind Anweisungen zum Abspielen<br />
von Media-Clips enthalten<br />
- es sind Anweisungen zur Ausführung<br />
benannter Aktionen enthalten<br />
Fehlerursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
- es sind optionale Inhalte enthalten Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
- es sind Anweisungen zur Steuerung<br />
von Media-Clips enthalten<br />
- es sind Anweisungen zur<br />
Übermittlung von Formulardaten<br />
enthalten<br />
- es sind Anweisungen zum Abspielen<br />
von Sound enthalten<br />
- es sind Anweisungen zur Steuerung<br />
besonderer Lesereihenfolgen<br />
enthalten<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Benutzerreaktion<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Si llt i l h D t i i ht<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
i i<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
signieren.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
i i<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
signieren<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
signieren.<br />
288
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Fehlermeldung des <strong>OpenLimit</strong><br />
SignCubes Viewer<br />
- es wird Transparenz verwendet Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
- es wurden Inhalte entdeckt, die nicht<br />
zum Dokument gehören<br />
- es sind Anweisungen zum Abspielen<br />
von Filmen enthalten<br />
Das Dokument hat eine neuere Version<br />
als 1.6 und kann aus diesem Grund u.U.<br />
nicht eindeutig und fehlerfrei<br />
dargestellt werden.<br />
Es steht der Anwendung nicht<br />
genügend Speicher zur Verfügung!<br />
Bitte beenden Sie die Anwendung und<br />
starten Sie diese neu.<br />
Fehlerursache Auswirkungen auf den sicheren<br />
Zustand des Produktes/<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen beim Öffnen<br />
eines PDF Dokuments angezeigt<br />
werden.<br />
Diese Meldung kann Ihnen bei der<br />
Verwendung des Text-<br />
Extraktionsdialogs des Viewers<br />
angezeigt werden.<br />
Benutzerreaktion<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
signieren.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
signieren.<br />
Der sichere Zustand des Produktes ist<br />
nicht betroffen, jedoch hat der Viewer<br />
erkannt, dass Anweisungen in dem PDF<br />
Dokument vorhanden sind, die nicht<br />
ausgeführt werden können.<br />
Sie sollten eine solche Datei nicht<br />
signieren.<br />
Der sichere Zustand ist nicht<br />
betroffen. sie haben jedoch ein<br />
Dokument geöffnet, welches eine PDF-<br />
Version spezifiziert, die größer als die<br />
erwartete Version 1.6 ist.<br />
Das bedeutet, dass die Datei unter<br />
Umständen nicht korrekt angezeigt<br />
wird. Sie sollten eine solche Datei<br />
nicht signieren, da der Viewer die<br />
zweifelsfreie Darstellung des<br />
Dokuments nicht gewährleisten kann.<br />
Der sichere Zustand ist nicht<br />
betroffen. Sie sollten jedoch den<br />
Viewer schließen und das Dokument<br />
erneut öffnen.<br />
Unter bestimmten Umständen stellt<br />
das Betriebssystem nicht genügend<br />
Speicher für die Anwendung zur<br />
Verfügung. Um eine Missinterpretation<br />
der Daten auszuschließen, sollten Sie<br />
das Dokument jedoch schließen und<br />
erneut öffnen. Sie sollten das<br />
Dokument jedoch nicht signieren,<br />
bevor Sie den Inhalt des Dokuments<br />
nicht zweifelsfrei erkennen konnten.<br />
289
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
12.5 Technischer Support<br />
13 Index<br />
Bei Fragen in der Arbeit mit dem Produkt <strong>OpenLimit</strong> SignCubes 2.5 sollten Sie zunächst die Beschreibung<br />
in dem entsprechenden Kapitel des elektronischen Handbuches bzw. in der <strong>Benutzerdokumentation</strong> der<br />
<strong>OpenLimit</strong> SignCubes 2.5 nachlesen.<br />
Fehlermeldungen und Erklärungen finden Sie im Kapitel Erste Hilfe.<br />
Darüber hinaus steht Ihnen zur Unterstützung für die Software <strong>OpenLimit</strong> SignCubes 2.5 ein telefonischer<br />
Support zur Verfügung. Weitere Informationen zum technischen Support und zu häufig gestellten Fragen<br />
(FAQ) finden Sie im Internet unter: www.<strong>OpenLimit</strong>.com.<br />
Vorab sollten Sie sich darüber informieren, welche Softwareversion Sie installiert haben. Diese Meldung<br />
finden Sie unter Start - Programme - <strong>OpenLimit</strong> - Show Version.<br />
A<br />
Adobe Plugin • 167<br />
Adobe Plugin Grundeinstellungen • 168<br />
Arbeiten mit dem OPENLiMiT SignCubes Integrity Tool • 87<br />
Arbeiten mit dem OPENLiMiT SignCubes Security Environment Manager • 73<br />
Arbeiten mit dem OPENLiMiT SignCubes Viewer • 101<br />
Arbeiten mit den OPENLiMiT SignCubes Basiskomponenten 2.5, Version 2.5.0.2 • 73<br />
Arbeiten mit Lotus Notes 6.5.4 • 247<br />
290
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Arbeiten mit Mozilla / Netscape Mail • 217<br />
Arbeiten mit Thunderbird • 236<br />
Arbeitsabläufe • 138<br />
Attributzertifikate • 126<br />
B<br />
Betriebssysteme • 20<br />
Bevor Sie beginnen • 10<br />
Chipkarten • 23<br />
C<br />
Chipkarten Optionen • 65<br />
D<br />
Dateien und Icons im Explorer • 166<br />
Dateiformate • 138<br />
Daten entschlüsseln • 163<br />
Daten verschlüsseln • 156<br />
Der OPENLiMiT SignCubes Drucker • 174<br />
Details • 144<br />
Die erste Signatur mit OPENLiMiT SignCubes • 164<br />
Drucker Eigenschaften - Dateiformate • 183<br />
Drucker Eigenschaften - Dateiname erstellen • 185<br />
291
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Drucker Eigenschaften - Einstellungen • 181<br />
Drucker Eigenschaften - Embed Annotation • 191<br />
Drucker Eigenschaften - Programm - Start • 187<br />
Drucker Eigenschaften - Wasserzeichen • 189<br />
E<br />
Eigenschaften • 66<br />
Eigenschaften des Druckers • 180<br />
Einleitung • 9<br />
E-Mail Clients • 193<br />
Entschlüsselung • 162<br />
Erste Hilfe • 263<br />
Erstellen Prüfprotokoll • 150<br />
F<br />
Fehlermeldungen des OPENLiMiT SignCubes Viewer • 280<br />
Fehlermeldungen OPENLiMiT SignCubes Security Environment Manager • 46, 268<br />
Fehlermeldungen vor oder während der Installation • 266<br />
Freischalten der Lizenz • 17<br />
G<br />
Grundlagen der elektronischen Signatur • 25<br />
292
Installation • 14<br />
Internet Explorer • 252<br />
Kartenleser • 21<br />
I<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
K<br />
Konfiguration der OPENLiMiT SignCubes Basiskomponenten 2.5, Version 2.5.0.2 • 10, 50, 55<br />
Konfigurationsoptionen des OPENLiMiT SignCubes Security Environment Managers • 51<br />
L<br />
Lotus Notes • 241<br />
Lotus Notes 5 • 250<br />
Lotus Notes 6.5.4 Sicherheitseinstellungen • 242<br />
M<br />
Microsoft Outlook Einstellungen • 194<br />
Microsoft Outlook und Microsoft Outlook Express • 193<br />
Mindestanforderungen und Sicherheitsmaßnahmen • 12<br />
Mozilla / Netscape Browser Sicherheitseinstellungen • 258<br />
Mozilla / Netscape Mail • 202<br />
Mozilla / Netscape Mail Client Sicherheitseinstellungen • 203<br />
Mozilla / Netscape SSL Authentisierung • 262<br />
Mozilla Firefox Browser Sicherheitseinstellungen • 253<br />
293
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Mozilla Firefox SSL Authentisierung • 257<br />
Mozilla Thunderbird • 221<br />
O<br />
Online Prüfung von Zertifikaten • 145<br />
Online Status • 147<br />
OPENLiMiT SignCubes Integrity Tool • 48<br />
OPENLiMiT SignCubes Security Environment Manager • 43<br />
OPENLiMiT SignCubes Shell Extension • 164<br />
OPENLiMiT SignCubes Viewer • 46<br />
Option<br />
Algorithmen • 64<br />
Allgemeine Einstellungen • 54<br />
Lizenzeinstellungen und Lizenzupgrade • 53<br />
PIN-Abfrage • 59<br />
Verzeichnisse • 58<br />
Zertifikate • 62<br />
P<br />
PDF Dokument signieren • 170<br />
PIN ändern • 71<br />
Produktbestandteile • 11, 24<br />
294
Public Key Verfahren • 27<br />
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
R<br />
Rechtliche Aspekte der elektronischen Signatur • 32<br />
S<br />
Shell Extension Menü • 165<br />
Sicherheitskomponenten der OPENLiMiT SignCubes Basiskomponenten 2.5, Version 2.5.0.2 • 36, 107<br />
Signatur im PDF prüfen • 171<br />
Signatur prüfen • 142<br />
Signaturerzeugung • 28, 121<br />
Signaturverifikation • 30, 77<br />
Signieren • 140, 248<br />
Signieren und Verschlüsseln • 198<br />
Sperrlistenaktualisierung • 97<br />
SSL Authentisierung • 251<br />
T<br />
Technischer Support • 290<br />
Thunderbird Sicherheitseinstellungen • 222<br />
Typografische Konventionen • 10<br />
V<br />
Verschlüsselung • 155<br />
295
Handbuch <strong>OpenLimit</strong> SignCubes 2.5.0.3<br />
Verschlüsselungszertifikat exportieren • 158<br />
Verschlüsselungszertifikate in Kontakt integrieren • 200<br />
Verzeichnisdienst • 160<br />
W<br />
Wie gehe ich mit Fehlermeldungen um? • 263<br />
Z<br />
Zeitstempeldienste • 131<br />
Zertifikate exportieren • 69, 70<br />
Zertifikate installieren • 158<br />
Zusammenfassung • 143<br />
296