S-TRUST Sign-it Hilfe

S-TRUST Sign-it 2.5.1.3 

Elektronisches Handbuch

S-TRUST Sign-it Handbuch 2 

Copyright ® OPENLiMiT SignCubes AG 2010 

Diese Dokumentation ist geistiges Eigentum der OPENLiMiT SignCubes AG. 

Sie darf ohne vorherige schriftliche Einwilligung der OPENLiMiT SignCubes AG nicht (auch nicht in Auszügen) 

vervielfältigt oder veröffentlicht werden, unabhängig von der Art und Weise oder mit welchen Mitteln, elektronisch 

oder mechanisch, dieses geschieht. Die in dieser Dokumentation verwendeten Soft- oder Hardwarebezeichnungen 

sind genauso wie Firmen- oder Markennamen in den meisten Fällen eingetragene Warenzeichen oder Marken und 

Eigentum der jeweiligen Hersteller. Sie werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Wir richten 

uns im Wesentlichen nach den Schreibweisen der Hersteller. Die Wiedergabe von Waren- und Handelsnamen etc. in 

dieser Dokumentation - auch ohne besondere Kennzeichnung - berechtigt nicht zu der Annahme, dass solche Namen 

im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten sind. 

Alle in dieser Dokumentation enthaltenen Informationen wurden mit größter Sorgfalt zusammengestellt. Dennoch 

können fehlerhafte Angaben nicht völlig ausgeschlossen werden. Die OPENLiMiT SignCubes AG, die Autoren und die 

Übersetzer haften nicht für eventuelle Fehler oder deren Folgen. In dieser Dokumentation werden insbesondere 

Informationen über Signaturgesetze und entsprechende Verordnungen gegeben. Diese Informationen sollen zum 

Verständnis beitragen und haben nicht den Anspruch auf Vollständigkeit. Es obliegt jedem Nutzer selbst, sich über 

die gesetzlichen Grundlagen, auf denen die beschriebene Technologie beruht, zu informieren und die 

entsprechenden Maßnahmen zu ergreifen. 

Diese Dokumentation bietet dem Erwerber eine Anleitung zu den S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.3. In Einzelfällen kann es zu Abweichungen zwischen den beschriebenen Abläufen, der Dokumentation und der 

tatsächlichen Anwendung kommen. Die OPENLiMiT SignCubes AG übernimmt keine Haftung für etwaige 

Abweichungen und deren Folgen. 

Da die Software ständig weiter entwickelt wird, behält sich die OPENLiMiT SignCubes AG Änderungen am Inhalt der 

Dokumentation ohne Ankündigung vor. 

Dieses Handbuch beschreibt sowohl die Sicherheitsfunktionalität als auch die korrekte Konfiguration und den 

richtigen Umgang mit den Produkten S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3. Die S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3 haben eine Sicherheitsbestätigung gemäß deutschem Signaturgesetz (SigG) 

und Signaturverordnung (SigV) durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. 

Dieses Handbuch gehört zum Lieferumfang des bestätigten Produktes. 

Die Verfahrens-ID für das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 lautet T- 

Systems.02245.TU. Die Bestätigungsurkunde wird auf der Seite der Bundesnetzagentur veröffentlicht. 

Hinweise und Kommentare richten Sie bitte an documentation@openlimit.com. 

OPENLiMiT SignCubes AG 

Zugerstraße 76 B 

CH - 6341 Baar 

Switzerland 

Tel: +49 (0) 30 86 87 66 20 

e-Mail: info@openlimit.com 

Web: www.openlimit.com


Inhalt 

Einleitung 7 

Typografische Konventionen ......................................................................................................................................8 

Bevor Sie beginnen.....................................................................................................................................................9 

Mindestanforderungen und Sicherheitsmaßnahmen ................................................................................................. 10 

Installation ............................................................................................................................................................... 12 

Freischalten der Lizenz ............................................................................................................................................ 18 

Betriebssysteme.......................................................................................................................................................22 

Kartenleser...............................................................................................................................................................23 

Chipkarten................................................................................................................................................................24 

Produktbestandteile .................................................................................................................................................25 

Grundlagen der elektronischen Signatur 26 

Public Key Verfahren ................................................................................................................................................28 

Signaturerzeugung ...................................................................................................................................................29 

Signaturverifikation.................................................................................................................................................. 31 

Rechtliche Aspekte der elektronischen Signatur ......................................................................................................33 

Sicherheitskomponenten der S-TRUST Sign-it Basiskomponenten 2.5 35 

S-TRUST Sign-it Security Environment Manager........................................................................................................42 

S-TRUST Sign-it Viewer.............................................................................................................................................44 

S-TRUST Sign-it Integrity Tool...................................................................................................................................46 

Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 47 

Konfigurationsoptionen des S-TRUST Sign-it Security Environment Managers..........................................................48 

Option: Lizenzeinstellungen und Lizenzupgrade ...........................................................................................49 

Option: Allgemeine Einstellungen ................................................................................................................. 51 

Option: Verzeichnisse ...................................................................................................................................53 

Option: PIN-Abfrage......................................................................................................................................55 

Option: Zertifikate ........................................................................................................................................57 

Option: Algorithmen......................................................................................................................................59 

Chipkarten Optionen.................................................................................................................................................60 

Eigenschaften............................................................................................................................................... 61 

Zertifikate exportieren.................................................................................................................................65 

PIN ändern....................................................................................................................................................66


Arbeiten mit den S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 67 

Arbeiten mit dem S-TRUST Sign-it Security Environment Manager ...........................................................................69 

Signaturverifikation..................................................................................................................................................72 

Arbeiten mit dem S-TRUST Sign-it Integrity Tool ..................................................................................................... 80 

Sperrlistenaktualisierung .........................................................................................................................................88 

Arbeiten mit dem S-TRUST Sign-it Viewer................................................................................................................. 91 

Signaturerzeugung ................................................................................................................................................. 106 

Attributzertifikate .................................................................................................................................................... 111 

XML Signaturen........................................................................................................................................................ 114 

Zeitstempeldienste.................................................................................................................................................. 117 

Arbeitsabläufe 120 

Dateiformate ........................................................................................................................................................... 121 

Signieren ................................................................................................................................................................ 123 

Signatur prüfen....................................................................................................................................................... 125 

Zusammenfassung...................................................................................................................................... 126 

Details .........................................................................................................................................................127 

Online Prüfung von Zertifikaten.................................................................................................................. 128 

Online Status .............................................................................................................................................. 129 

Erstellen Prüfprotokoll ............................................................................................................................... 132 

Verschlüsselung.......................................................................................................................................................137 

Daten verschlüsseln ................................................................................................................................... 138 

Verschlüsselungszertifikat exportieren...................................................................................................... 140 

Zertifikate installieren................................................................................................................................. 141 

Verzeichnisdienst ....................................................................................................................................... 142 

Entschlüsselung...................................................................................................................................................... 144 

Daten Entschlüsseln ................................................................................................................................... 145 

S-TRUST Sign-it Shellextension 146 

Die erste Signatur mit S-TRUST Sign-it ....................................................................................................................147 

Shell Extension Menü.............................................................................................................................................. 148 

Dateien und Icons im Explorer ................................................................................................................................ 149 

Adobe Plug-In 150 

Adobe Plug-In Voreinstellungen............................................................................................................................... 151 

PDF Dokument signieren............................................................................................................................. 154 

Signatur im PDF prüfen............................................................................................................................... 156 

Signieren mit dem S-TRUST TIFF Producer 158 

Eigenschaften des S-TRUST TIFF Producers............................................................................................................ 159 

Eigenschaften des S-Trust Sign-it Druckers (nur Windows NT)................................................................................ 160 

Drucker Eigenschaften - Einstellungen .................................................................................................................... 161 

Drucker Eigenschaften - Dateiformate.................................................................................................................... 163 

Drucker Eigenschaften - Dateiname erstellen......................................................................................................... 165 

Drucker Eigenschaften - Programm - Start..............................................................................................................167 

Drucker Eigenschaften - Wasserzeichen ................................................................................................................. 169 

Drucker Eigenschaften - Embed Annotation............................................................................................................. 171 

E-Mail Clients 173 

Microsoft Outlook und Microsoft Outlook Express ...................................................................................................174 

Microsoft Outlook Einstellungen..................................................................................................................175 

Signieren und Verschlüsseln....................................................................................................................... 180


Verschlüsselungszertifikate in Kontakt integrieren..................................................................................... 181 

Mozilla / Netscape Mail........................................................................................................................................... 183 

Mozilla / Netscape Mail Client Sicherheitseinstellungen............................................................................. 184 

Arbeiten mit Mozilla / Netscape Mail .......................................................................................................... 195 

Mozilla Thunderbird ................................................................................................................................................ 199 

Thunderbird Sicherheitseinstellungen ....................................................................................................... 200 

Arbeiten mit Thunderbird ........................................................................................................................... 212 

Lotus Notes .............................................................................................................................................................217 

Lotus Notes 6.5.4 Sicherheitseinstellungen ............................................................................................... 218 

Arbeiten mit Lotus Notes 6.5.4...................................................................................................................223 

Lotus Notes 5 .............................................................................................................................................226 

SSL Authentisierung 227 

Internet Explorer....................................................................................................................................................228 

Firefox Browser Sicherheitseinstellungen ..............................................................................................................229 

Firefox SSL Authentisierung ...................................................................................................................................232 

Mozilla / Netscape Browser Sicherheitseinstellungen ............................................................................................233 

Mozilla / Netscape SSL Authentisierung .................................................................................................................236 

Erste Hilfe 237 

Wie gehe ich mit Fehlermeldungen um?..................................................................................................................238 

Fehlermeldungen vor oder während der Installation ............................................................................................. 240 

Fehlermeldungen S-TRUST Sign-it Security Environment Manager .........................................................................243 

Fehlermeldungen des S-TRUST Sign-it Viewer.........................................................................................................258 

Technischer Support...............................................................................................................................................270 

Index 271


Glossar 

CC Die Common Criteria ist ein internationales Normen- und Regelwerk, welches Vorgaben zur 

sicherheitstechnischen Untersuchung von IT Produkten definiert. 

CRL Eine Certificate List ist eine Liste, die von einem Zertifikatsanbieter herausgegeben wird und eine 

Liste aller Zertifikate enthält, die zum Zeitpunkt des Abrufs der Sperrliste durch den Inhaber des 

Zertifikats gesperrt worden ist. 

OCSP Online Certificate Status Protocol ist ein Protokoll, welches über eine Online Abfrage die 

Möglichkeit bietet, bei dem Herausgeber zu erfragen, ob ein Zertifikat bekannt bzw. gesperrt ist. 

Dieses verfahren wird als so genannte Positiv Auskunft bezeichnet. 

RSA Kryptographische Mechanismen, benannt nach den Erfindern Ronald L. Rivest, Adi Shamir und 

Leonard Adleman 

ECDSA Elliptic Curve Digital Signature Algorithm, kryptographische Mechanismen basierend auf elliptischen 

Kurven 

CMS Cryptographic Message Syntax – beschreibt das Standardformat für kryptographische Nachrichten


Einleitung 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 sind eine evaluierte und bestätigte 

Signaturanwendungskomponente gemäß deutschem Signaturgesetz (SigG) und der Signaturverordnung (SigV). 

Die bestätigten Komponenten bestehen aus dem S-TRUST Sign-it Security Environment Manager, dem S-TRUST Signit 

Viewer sowie dem S-TRUST Sign-it Integrity Tool, die auch Gegenstand der vorliegenden Benutzerdokumentation 

Version 2.5.1.3 sind. 

Die vorliegende Dokumentation Version 2.5.1.3 beschreibt die genannten Produktbestandteile und gibt Hinweise zur 

korrekten und sicheren Konfiguration des Produktes. Weiterhin werden alle Fehlermeldungen aufgelistet und 

Hinweise zum korrekten Umgang mit Fehlermeldungen gegeben. 

Bevor Sie anfangen, mit dem Produkt zu arbeiten, lesen Sie bitte die folgenden Kapitel der Hilfe aufmerksam durch: 

� Bevor Sie beginnen 

� Mindestanforderungen und Sicherheitsmaßnahmen 

� Sicherheitskomponenten der S-TRUST Sign-it Basiskomponenten 2.5 

� Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

Eine Anleitung zum Umgang mit dem Produkt sowie der Nutzung einzelner Funktionen im Detail, finden Sie im 

Kapitel Arbeiten mit den S-TRUST Sign-it Basiskomponenten 2.5.


Typografische Konventionen 

Diese Hilfe verwendet einige typografische Konventionen, die Ihnen die Arbeit mit dem elektronischen Handbuch 

erleichtern. 

Formatierung Beschreibung 

Fetter Text Mit dieser Formatierung werden besonders wichtige 

Passagen markiert. 

kursiv Mit dieser Formatierung werden z.B. Menübefehle und 

Arbeitsabfolgen gekennzeichnet. 

Normaler Text Dies ist die normale Textformatierung für dieses 

Handbuch.


Bevor Sie beginnen 

Die vorliegende Benutzerdokumentation Version 2.5.1.3 ist Bestandteil der erfolgten Sicherheitsevaluierung und 

Sicherheitsbestätigung und bezieht sich ausschließlich auf die S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.3. 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 sind Bestandteil des Produktes, das Sie auf CD-ROM von 

der Deutschen Sparkasse oder Online über den Web-Shop des Deutschen Sparkassenverlages erworben haben. Das 

vorliegende Handbuch Version 2.5.1.3 beschreibt ausschließlich den korrekten Umgang mit den Basiskomponenten, 

für die weiteren Produktbestandteile steht Ihnen eine separate Hilfe zur Verfügung. 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 sind eine Sicherheitssoftware, die Ihnen die Erstellung 

und Verifikation elektronischer Signaturen konform zum deutschen Signaturgesetz (SigG) und zur 

Signaturverordnung (SigV) bietet. Für die sichere Benutzung der S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.3 benötigen Sie neben der Software eine Chipkarte und einen Kartenleser mit sicherer PIN-Eingabe. 

Dieses Handbuch Version 2.5.1.3 erläutert die Grundlagen zur elektronischen Signatur, die Sicherheitskomponenten 

und Sicherheitsfunktionen des Produktes, zur korrekten Konfiguration sowie den Umgang mit dem Produkt. In einem 

separaten Kapitel werden die Fehlermeldungen und mögliche Ursachen für diese Fehlermeldungen aufgeführt. 

Dieses Kapitel enthält Hinweise und Handlungsempfehlungen, für den Fall, dass eine Fehlermeldung von dem 

Produkt angezeigt wird. 

Sie sollten die folgenden Kapitel lesen, um sicher zu stellen, dass Ihr Rechner die Voraussetzung für den Einsatz des 

Produktes erfüllt: 

� Mindestanforderungen und Sicherheitsmaßnahmen 

� Betriebssysteme 

� Chipkarten 

� Kartenleser 

� Produktbestandteile 

Sie sollten vor der ersten Verwendung des Produktes das Kapitel Freischalten der Lizenz lesen, um die richtige 

Freischaltung der Lizenz vorzunehmen. Wir empfehlen außerdem, dass Sie vor der ersten Verwendung der S-TRUST 

Sign-it Basiskomponenten 2.5, Version 2.5.1.3 das Kapitel Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.3 vollständig lesen. 

Hinweis: Sofern Ihr Betriebssystem Benutzerrechte unterstützt, benötigen Sie Administrationsrechte, um die S- 

TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 zu installieren. 

Falls Sie das Produkt Online über den Web-Shop des Deutschen Sparkassenverlages erworben haben, sollten Sie 

unbedingt nach der Installation und vor der ersten Anwendung des Produktes das S-TRUST Sign-it Integrity Tool 

ausführen, um die Korrektheit der Installation zu verifizieren. Weitere Informationen dazu finden Sie in dem Kapitel 

Arbeiten mit dem S-TRUST Sign-it Integrity Tool.


Mindestanforderungen und 

Sicherheitsmaßnahmen 

Bitte stellen Sie sicher, dass Ihr Rechner und Ihre Einsatzumgebung den Anforderungen aus den Kapiteln 

� Betriebssysteme 

� Chipkarten 

� Kartenleser 

entsprechen. 

Die folgenden Sicherheitsmaßnahmen müssen für den korrekten Einsatz des Produktes eingehalten werden: 

� Benutzer sowie evtl. Administrations- und Wartungspersonal müssen den Anweisungen der 

Benutzerdokumentation Folge leisten. 

� Wenn Sie das Produkt auf CD-ROM oder einem anderen Speichermedium bezogen haben, müssen Sie dieses 

geschützt vor dem Zugriff durch unberechtigte dritte Personen aufbewahren. Bevor Sie das Produkt 

installieren, stellen Sie bitte sicher, dass alle Sicherheitsmerkmale (wie z.B. Siegel und Laminierungen) der 

Verpackung unbeschädigt sind. Sollten Sie Zweifel an der Authentizität des Installationsmediums haben, 

wenden Sie sich an den Lieferanten. 

� Falls Sie das Produkt Online über den Web-Shop des Deutschen Sparkassenverlages erworben haben, sollten Sie 

unbedingt nach der Installation und vor der ersten Anwendung das S-TRUST Sign-it Integrity Tool ausführen, um 

die Korrektheit der Installation zu verifizieren. 

� Für den Einsatz der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 in der Windows Terminal Umgebung 

ist der Server in einer zutrittsgeschützten Einsatzumgebung und innerhalb eines verschließbaren und 

versiegelten Elektroschrankes unterzubringen. 

� Sie müssen als Benutzer regelmäßig, wenigstens jedoch einmal im Monat, die Integrität der Produktinstallation 

auf Ihrem Rechner prüfen. Verwenden Sie dazu entweder die Online-Komponente, die Ihnen über die Webseite 

https://www.s-trust.de/sign-it/sicherheit zu diesem Zwecke zur Verfügung gestellt wird oder das auf der CD 

mitgelieferte S-TRUST Sign-it Integrity Tool. 

� Verwenden Sie stets einen Virenscanner und stellen Sie sicher, dass die aktuellen Virendefinitionen des 

Herstellers installiert sind. Wenn der Virenscanner keine Backdoor-Programme erkennen kann, sollten Sie ein 

entsprechendes zusätzliches Programm installieren. 

� Für den Fall, dass Sie über einen Internet-Anschluss verfügen, müssen Sie eine Firewall einsetzen, um das 

Betriebssystem Ihres Computers vor Angriffen aus dem Internet zu schützen. 

� Stellen Sie sicher, dass Sie über die volle Kontrolle über eingelegte Speichermedien und Netzwerkfreigaben 

verfügen. Konfigurieren Sie Ihren Rechner niemals so, dass auf den Installationspfad des Produktes über 

Netzwerkfreigaben durch Dritte zugegriffen werden kann. 

� Der Zugriff und die Verwendung des Produktes durch den Anwender muss durch die Konfiguration des Rechners 

ermöglicht werden. Das bedeutet, dass der Rechner so konfiguriert sein muss, dass der Anwender durch den 

Computer-Administrator die Rechte eingeräumt bekommt, die er zur Benutzung des Produktes benötigt.


Hinweis: Für den Einsatz der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 auf Windows Terminalserver 

2003 hat die Remoteverbindung zwischen dem Terminalserver und dem bzw. den Terminalclients grundsätzlich 

verschlüsselt mit 128 Bit zu erfolgen. 

� Bei Windows Terminal Server 2003 in Verbindung mit den Betriebsystemen Windows XP und Windows Vista 

clientseitig ist die Verschlüsselung mit 128 Bit bereits Standard für die Verbindung und unbedingt zu 

verwenden. 

Wenn Sie diese Regeln nicht einhalten, verlassen Sie die Umgebung, für die das Produkt bestätigt ist. Die folgenden 

Anforderungen kann das Produkt nicht leisten: 

� Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrtheit und der Geheimhaltung 

der privaten Schlüssel obliegt der Chipkarte. 

� Sicherstellung der korrekten Uhrzeit auf dem Rechner des Anwenders. Das Produkt S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3 kann keine Aussagen über die Plausibilität der eingestellten Uhrzeit auf 

dem Rechner des Anwenders treffen. 

� Sicherstellung der Integrität des Betriebssystems. Das Produkt enthält keine Mechanismen, um die Integrität 

seiner Umgebung zu prüfen. Sie müssen geeignete Vorkehrungen treffen, um eine Kompromittierung des 

Betriebssystems zu vermeiden. 

� Sicherheit der kryptografischen Operationen. Das Produkt verwendet Bibliotheken zur Erzeugung und 

Verifikation elektronischer Signaturen über das RSA Public Key Verfahren. Zur Signaturerzeugung ist der 

Einsatz einer Chipkarte unabdingbar. Das Produkt kann die Stärke der kryptografischen Mechanismen nicht 

garantieren und keine Aussagen über die Stärke der kryptografischen Funktionen treffen. 

Die Leistungsmerkmale des Produktes sind auf diejenigen Funktionen beschränkt, die in diesem Handbuch Version 

2.5.1.3 wiedergegeben werden. Als Anwender des Produktes sind Sie verpflichtet, die technischen und 

organisatorischen Maßnahmen einzuhalten, die von der vorliegenden Benutzerdokumentation Version 2.5.1.3 

vorgegeben werden.


Installation 

Um mit den S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 arbeiten zu können, benötigen Sie eine Chipkarte 

mit einem Zertifikat für die qualifizierte elektronische Signatur gemäß deutschem Signaturgesetz und einen 

Kartenleser. Die für die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 zulässigen Chipkarten sind in dem 

Kapitel Chipkarten aufgelistet. 

Die zulässigen Kartenleser sind in dem Kapitel Kartenleser aufgeführt. 

Stellen Sie sicher, dass Sie eine entsprechende Chipkarte zur Verfügung haben und der Kartenleser ordnungsgemäß 

installiert ist, bevor Sie anfangen, mit der Software zu arbeiten. 

Bevor Sie das Produkt installieren, lesen Sie den Abschnitt Mindestanforderungen und Sicherheitsmaßnahmen und 

Betriebssysteme gründlich, um zu gewährleisten, dass Ihr System einem der angegebenen Betriebssysteme 

entspricht. 

Sie können das Produkt wahlweise per Download über den Web-Shop des Deutschen Sparkassenverlages oder auf 

einem Installationsmedium, wie z.B. einer CD-ROM, bezogen haben. Der im Folgenden dargestellte Ablauf ist für 

beide Varianten identisch. Das Installationsprogramm kopiert die S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.3 auf Ihren Rechner. Stellen Sie bitte nach der Installation sicher, dass das korrekte Produkt installiert wurde, 

in dem Sie das S-TRUST Sign-it Integrity Tool ausführen. Mehr Informationen dazu finden Sie im Kapitel Arbeiten mit 

dem S-TRUST Sign-it Integrity Tool. 

Falls Sie das Setup auf einer CD-ROM erhalten haben und diese in das Laufwerk einlegen, wird bei aktiviertem 

Autostart das Setup automatisch gestartet. Wenn Sie das Setup über einen Download bezogen haben, müssen Sie 

das Programm 'setup.exe' ausführen. Sie sehen dann das Fenster zur Sprachauswahl. Die S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3 werden in deutscher Sprache ausgeliefert: 

Wenn Sie jetzt auf OK klicken, überprüft das Setup Programm die Installationsumgebung unter folgenden 

Gesichtspunkten: 

� Entspricht das Betriebsystem den aufgeführten Mindestanforderungen? 

� Sind die Mindestanforderungen an den Internet Explorer erfüllt? 

� Verfügt der Benutzer über Administrationsrechte? 

� Ist der schreibende Zugriff auf die Registry möglich?


Wenn diese Voraussetzungen nicht erfüllt sind, wird eine Fehlermeldung angezeigt und das Setup Programm 

beendet. Wenn die Prüfung erfolgreich verlaufen ist, erscheint das folgende Dialogfeld. 

Wenn Sie jetzt auf Weiter klicken, werden Sie in dem folgenden Fenster aufgefordert, den Installationsvorgang mit 

Weiter nochmals zu bestätigen. 

In dem folgenden Fenster haben Sie die Möglichkeit, den Zielordner für die Programmdaten zu ändern.


Wenn Sie jetzt auf Weiter klicken, wird eine Seite angezeigt, auf der Sie die Lizenzvereinbarungen akzeptieren 

müssen. 

In dem folgenden Fenster werden Sie aufgefordert, entweder einen Lizenzschlüssel einzugeben oder die Installation 

ohne Lizenzschlüssel fortzusetzen. In dem Fall, dass Sie die „Installation ohne Lizenznummer fortsetzen“ 

auswählen, können Sie vor Beendigung des Installationsvorgangs entscheiden, ob Sie einen kostenlosen Reader oder


eine 30 Tage Testlizenz installieren wollen. 

Falls ein Lizenzschlüssel eingegeben wurde, wird nach dem Beenden des Installationsvorganges der S-TRUST Sign.it 

Security Environment Manager automatisch gestartet und die, mit dem Lizenzschlüssel freigeschalteten Funktionen 

stehen sofort zur Anwendung zur Verfügung. 

Wurde die Option „Installation ohne Lizenznummer fortsetzen“ angeklickt, haben Sie nach dem Installationsvorgang 

die Möglichkeit, die S-TRUST Sign-it Basiskomponenten, Version 2.5.1.3 entweder als kostenlosen Reader zu nutzen 

oder mit einer 30 Tage Lizenz frei zuschalten. 

Nachdem Sie eine er beiden Optionen ausgewählt haben, beginnt der eigentliche Installationsvorgang.


Nach Beendigung der Installation erscheint die folgende Information. 

Nach Bestätigung des Befehls Fertig stellen wird der S-TRUST Sign-it Security Environment Manager automatisch 

gestartet und das Modul zum Freischalten der Lizenz geöffnet, sofern Sie nicht bereits zu Beginn der Installation 

einen Lizenzschlüssel eingegeben haben. 

Hinweis zur Installation für Windows Terminalserver: Zur Arbeit mit den S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.3 über Windows Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame müssen


die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 als Terminaldienste im Anwendungsmodus (nicht im 

Remoteverwaltungsmodus) installiert werden. Es ist ausreichend, die S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.3 serverseitig zu installieren. 

Bei der Installation der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 in der Windows Terminal Server 2000 

mit Citrix Frame oder 2003 mit oder ohne Citrix Frame Umgebung ist eine zuverlässige Administration des Servers 

durch das Vier-Augen-Prinzip zu gewährleisten. 

Die Kartenlesertreiber müssen in identischer Version sowohl auf dem Windows Terminal Server als auch auf dem 

bzw. den Clientrechnern installiert sein. 

Darüber hinaus gibt es für die Installation der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 in der Windows 

Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame Umgebung eine zusätzliche 

Dokumentation. Diese wird gesondert durch die OPENLiMiT SignCubes AG zur Verfügung gestellt. 

Hinweis zur sicheren Konfiguration: Bei der Installation der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

wird automatisch eine sichere Konfiguration des Produktes eingestellt. Sie sollten Änderungen in den 

Konfigurationseinstellungen mit Hilfe der in diesem Handbuch Version 2.5.1.3 beschriebenen Konfigurationsoptionen 

für die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 erst dann vornehmen, wenn Sie im Umgang mit den 

Funktionalitäten vertraut sind. Grundsätzlich sollte das Produkt immer mit den empfohlenen Einstellungen betrieben 

werden. Über den Button Ausgangskonfiguration haben Sie die Möglichkeit, die bei der Installation eingerichteten 

Optionen wieder herzustellen.


Freischalten der Lizenz 

Wenn Sie das Produkt zum ersten Mal starten, werden Sie aufgefordert, Lizenzierungsinformationen einzugeben. Sie 

haben die Lizenzinformationen entweder direkt von dem Deutschen Sparkassenverlag oder die Deutsche Sparkasse 

erhalten. Wenn der Lizenzmanager gestartet wird, sehen Sie den folgenden Dialog. Lesen Sie die Informationen 

gründlich und vergewissern Sie sich, dass Sie die Informationen verstanden haben. 

Klicken Sie so lange auf Weiter, bis Sie aufgefordert werden, den Lizenzcode einzugeben.


Geben Sie den Lizenzcode ein oder klicken Sie auf den Button Reader.


Nachdem Sie den Lizenzcode eingegeben haben, werden Sie aufgefordert, eine Signatur zu erzeugen. Sie können die 

Daten im S-TRUST Sign-it Viewer betrachten, um sich zu vergewissern, dass keine persönlichen oder vertraulichen 

Daten in den Lizenzinformationen enthalten sind. 

Nach Abschluss der Lizenzfreischaltung steht die Lizenz allen Anwendern des Computers zur Verfügung. 

Wenn Sie später eine andere Lizenz erwerben, können Sie ein Upgrade der Lizenz vornehmen. Gehen Sie dazu auf 

den Menüpunkt Eigenschaften des S-TRUST Sign-it Security Environment Managers und wählen Sie das Register 

Lizenz aus. Klicken Sie auf Lizenz-Upgrade, um eine Änderung der Lizenzinformationen vorzunehmen.


Hinweis: Beachten Sie unbedingt, dass eine Weitergabe der Lizenzinformationen an Dritte nicht erlaubt ist und 

strafrechtlich durch die OPENLiMiT SignCubes AG und/oder den Deutschen Sparkassenverlag verfolgt wird. Die zur 

Verfügung stehende Funktionalität des Produktes Version 2.5.1.3 hängt von dem Lizenzcode ab, den Sie erhalten 

haben. Sie können sich auf der Eigenschaftsseite des Produktes anzeigen lassen, welche Funktionen Sie lizenziert 

haben. Der grüne Haken bedeutet dabei, dass die Funktion zur Verfügung steht. Nicht verfügbare Funktionalität wird 

auch nicht angezeigt. 

Wenn Sie eine zeitlich befristete Testlizenz installiert haben, wird nach Ablauf der Frist die Lizenzdatei durch 

externe Programme gelöscht. In diesem Fall wird Ihnen der Lizenzassistent angezeigt und Sie müssen einen 

Lizenzcode für eine korrekte Lizenzierung des Produktes eingeben. Alternativ können Sie den Button Reader 

wählen, der keine weitere Eingabe eines Lizenzcodes erfordert. 

Für die Freischaltung der Lizenz ist keine Online-Aktivierung des Produktes notwendig. Sie schützen die Lizenz 

jedoch durch die Erzeugung einer Signatur vor dem Missbrauch durch unberechtigte Dritte. Durch die 

Unterzeichnung der Lizenz mit Ihrem Signaturzertifikat beweisen Sie, dass Sie die Lizenz erworben haben und 

können dies auch in der Anzeige der Lizenzinformationen überprüfen. Mehr Informationen finden Sie im Kapitel 

Option: Lizenzeinstellungen und Lizenzupgrade.


Betriebssysteme 

Für die Arbeit mit dem Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 benötigen Sie einen Intel 586 

kompatiblen Prozessor, mindestens 120 MB freien Festplattenplatz und mindestens 128 MB RAM. Auf dem Rechner 

muss mindestens der Internet Explorer ab Version 5.01 installiert sein. Wenn Sie nicht über diese Mindestversion des 

Internet Explorers verfügen, laden Sie sich bitte die neueste Version des Internet Explorers von der Webseite der 

Firma Microsoft herunter. Darüber hinaus muss die Java Virtual Machine (JVM) ab Version 1.4.2.08 mit dem 

zugehörigen JRE (Java Runtime Environment) auf dem Computer installiert sein. Wenn Sie nicht über die Java 

Virtual Machine verfügen, können Sie diese unter http://java.sun.com herunterladen. 

Die folgenden Betriebssysteme werden von diesem Produkt unterstützt: 

� Windows NT 4.0 ab Service Pack 6.0 

� Windows 2000 ab Service Pack 2.0 

� Windows 2003 

� Windows 2003 64 Bit Edition 

� Windows XP Home und Professional 

� Windows XP 64 Bit Edition 

� Windows XP Tablet PC Edition 

� Windows Vista 32 Bit und 64 Bit 

� Windows 2008 

� Windows 2008 64 Bit Edition 

� Windows 2000 Terminal Server mit Citrix Meta-Frame 

� Windows 2003 Terminal Server mit und ohne Citrix Meta-Frame 

� Windows 2008 Terminal Server 

� Windows 7 32 Bit und 64 Bit 

Abhängig vom Zustand Ihres Betriebssystems nimmt das Setup Programm Aktualisierungen des Betriebssystems 

vor. Dafür kann ein mehrmaliger Neustart des Rechners notwendig sein, was nicht auf die Installation der Software 

S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 sondern auf die notwendigen Betriebssystemupdates 

zurückzuführen ist. 

Das Setup für die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 nimmt ggf. notwendige Updates des 

Betriebssystems vor. Diese Updates stellen sicher, dass die Shell32.dll in der Mindestversion 4.0 sowie die Microsoft 

SmartCard Base Components in der Minimalversion 1.0 vorhanden sind. 

Hinweis: Um den Rechner optimal vor Sicherheitslücken zu schützen und die korrekte Arbeit des Produktes zu 

gewährleisten, sollten stets die aktuellen Sicherheits-Updates der Firma Microsoft installiert werden. Schützen Sie 

Ihren Rechner durch einen aktuellen Virenscanner und, sofern Sie über eine Internetanbindung verfügen, mit einer 

Firewall.


Kartenleser 

Der Einsatz der folgenden Kartenleser wird durch die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

unterstützt: 

� Cherry ST-2000 

� Fujitsu Siemens S26381-K329-V2xx HOS:01 

� Kobil KAAN Advanced 

� Kobil Systems B1 Pro USB 

� Kobil KAAN TriB@nk 

� Kobil EMV-TriCAP Reader 

� Kobil SecOVID Reader III 

� Omnikey Cardman 3621 


� Reiner SCT cyberJack e-com v2.0 


� Reiner SCT cyberJack e-com plus v3.0 

� Reiner SCT cyberJack secoder v3.0 

� Reiner SCT cyberJack pinpad v2.0 


� SCM Microsystems SPRx32/ChipDrive PinPad 

Für die Erzeugung gesetzeskonformer (qualifizierter) Signaturen dürfen nur diejenigen SigG-konformen Kartenleser 

eingesetzt werden, die in diesem Handbuch Version 2.5.1.3 angegeben werden. Zum Zeitpunkt der Bestätigung des 

Produktes waren die aufgelisteten Kartenleser nach dem deutschen Signaturgesetz bestätigt und dürfen zur 

Erzeugung qualifizierter elektronischer Signaturen eingesetzt warden. 

Hinweis: Das Produkt unterstützt die Verwendung von Kartenlesern, die keine sichere PIN-Eingabe erlauben. Wenn 

Sie einen solchen Kartenleser verwenden, bewegen Sie sich außerhalb der bestätigten Konfiguration. Für die SigGkonforme 

Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 ist nur die Verwendung der 

aufgeführten, bestätigten Kartenleser zulässig. 

Hinweis: Die folgenden Kartenleser sind auf Grund von Abweichungen in der Kompatibilität mit den genannten 

Signaturkarten nicht für die Erzeugung qualifizierter Signaturen verwendbar. 

Weitere Informationen bezüglich Inkompatibilitäten bei Kartenlesern und Karten entnehmen Sie bitte der 

Bestätigungsurkunde. 

Hinweis: Für die Arbeit mit dem Terminal Server Windows 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix 

Frame müssen die Kartenlesertreiber nur auf den Clientrechnern installiert sein.


Chipkarten 

Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 ist für den Einsatz folgender Chipkarten 

vorgesehen: 

� ZKA Banking signature card, v6.2b NP and 6.2f NP, Type 3 from Giesecke & Devrient 

� ZKA Banking signature card, v6.2 NP, Type 3 from Giesecke & Devrient 

� ZKA Banking signature card v6.31 NP, Type 3 from Giesecke & Devrient 

� ZKA Banking signature card v6.32, Type 3 from Giesecke & Devrient 

� ZKA Banking Signature Card, Version 6.4 from Giesecke & Devrient 

� ZKA Banking Signature Card, Version 6.51 from Giesecke & Devrient 

� ZKA Banking Signature Card, v6.6 from Giesecke & Devrient 

� ZKA signature card, version 5.02 from Gemplus-mids GmbH 

� ZKA signature card, ZKA 680 V5A, version 5.10 from Gemplus-mids GmbH 

� ZKA signature card, version 5.11 from Gemplus-mids GmbH 

� ZKA signature card, version 5.11 M from Gemplus GmbH (Gemalto) 

� ZKA SECCOS Sig v1.5.3 from Sagem Orga GmbH 

� ZKA Banking Signature Card, version 7.1.2 von Giesicke & Devrient GmbH 


� ZKA-Signaturkarte, version 6.01 von Gemalto GmbH 


� ZKA-Signaturkarte, Version 6.20 von Gemalto GmbH 





Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 unterstützen auch PKCS#15 kompatible Karten, die nicht 

in dieser Liste aufgeführt sind. Die vorliegende Sicherheitsbestätigung erstreckt sich nicht auf die Verwendung 

dieser Karten! OPENLiMiT übernimmt keine Garantie, dass jede PKCS#15 kompatible Karte mit dem Produkt 

zusammen arbeitet. Die Verwendung von Chipkarten, die nicht in diesem Handbuch aufgeführt sind, liegt außerhalb 

der Bestätigung und ist daher nicht für die Erzeugung qualifizierter Signaturen geeignet. 

Die aufgelisteten Karten beziehen sich auf bestätigte Signaturkarten, die auf der Webseite der Bundesnetzagentur 

für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) veröffentlicht wurden. 

Hinweis: Wenn Sie eine Signaturkarte verwenden, die die Erzeugung mehrerer Signaturen in einem Durchgang 

erlaubt, müssen Sie die speziellen Sicherheitsauflagen, welche für diesen Betriebsmodus verlang werden, einhalten. 

Diese Sicherheitsauflagen finden Sie in den Bestätigungsurkunden für diese Karten unter 

www.bundesnetzagentur.de.


Produktbestandteile 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 beinhalten die folgenden Bestandteile: 

� S-TRUST Sign-it Security Environment Manager als zentralen Bestandteil zur Verwaltung verfügbarer 

Signaturkarten, Kartenleser und zur Konfiguration des Produktes. Mehr Informationen finden sie im Kapitel S- 

TRUST Sign-it Security Environment Manager. 

� S-TRUST Sign-it Viewer. Mehr Informationen finden Sie im Kapitel S-TRUST Sign-it Viewer. 

� S-TRUST Sign-it Integrity Tool (Online). Mehr Informationen finden Sie im Kapitel S-TRUST Sign-it Integrity Tool. 

� die vorliegende Benutzerdokumentation Version 2.5.1.3.


Im Kapitel Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 finden Sie Erläuterungen zur 

richtigen Konfiguration des Produktes. Die richtige Bedienung wird Ihnen im Kapitel Arbeiten mit den S-TRUST Sign- 

it Basiskomponenten 2.5 erklärt. Der Umgang mit Fehlermeldungen wird Ihnen im Kapitel Erste Hilfe ausführlich 

erläutert. 

Hinweis: 

In Abhängigkeit von der Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 steht die Funktion 

zur Signaturerzeugung und -prüfung über IBM Lotus Formes Viewer zur Verfügung. Das S-TRUST Sign-it Integrity 

Tool zeigt Ihnen an, ob dieses zusätzliche Modul installiert ist. 

Weiterhin verfügen die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 über die Möglichkeit, XML-Signaturen 

zu erzeugen bzw. zu verifizieren. Die Funktionalitäten können nur durch die Integration in Drittanwendungen 

aktiviert werden. In dem Kapitel XML Signaturen finden Sie weitere Informationen zur Erzeugung und Verifikation 

von XML-Signaturen. 

Grundlagen der elektronischen Signatur 

Elektronische Daten können leicht manipuliert werden. Ob im Internet oder direkt auf dem Computer - 

Veränderungen von Daten können bislang kaum ausgeschlossen werden. 

Aus einem Dokument können Passagen einfach gestrichen oder eingefügt werden. Der Urheber eines Dokuments ist 

nicht festzustellen. Genauso können Daten, die per E-Mail verschickt werden oder auf der Festplatte gespeichert 

sind, durch Hacker oder Trojaner ausgelesen werden. Zudem hat das Internet einen großen Nachteil: Niemand weiß, 

mit wem er es auf der anderen Seite zu tun hat. 

Deshalb war es auch lange Zeit undenkbar, dass elektronische Daten, die noch dazu im Internet verschickt werden, 

wo man den Kommunikationspartner nicht sehen kann, mit etwas ähnlichem wie einer Unterschrift versehen werden 

können. 

Durch die elektronische Signatur können zwei Probleme behoben werden: 

� Eine unbemerkte Datenmanipulation ist nicht mehr möglich. 

� Der Unterzeichner kann eindeutig identifiziert werden. 

Die Signatur macht jegliche absichtliche oder unabsichtliche Manipulation sofort ersichtlich. Über die 

Zertifikatsprüfung kann bewiesen werden, dass die Signatur nicht gefälscht wurde, der Zertifikatsinhaber also echt 

ist. Dabei werden keine persönlichen Daten des Inhabers preisgegeben - lediglich der Name. 

In diesem Abschnitt werden Ihnen die Grundlagen zur elektronischen Signatur auf Basis des RSA bzw. ECDSA 

Verfahrens dargestellt. Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 unterstützen die Erzeugung und 

Verifikation elektronischer Signaturen auf Basis einer Chipkarte und eines Kartenterminals. Die 

Hashwertberechnung für die elektronische Signatur wird nach den Verfahren SHA-1,SHA-224, SHA-256, SHA-384, 

SHA-512 und RIPE-MD 160 vorgenommen, welche als anerkannte Verfahren für die Berechnung kryptografischer


Prüfsummen durch die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 

(Bundesnetzagentur) ausgewiesen sind. Das RSA bzw. ECDSA Verfahren ist ein asymmetrisches Verfahren, welches 

die Einbettung des Produktes in eine PKI (Public Key Infrastruktur) ermöglicht. 

Häufig wird im Zusammenhang mit der elektronischen Signatur auch von der elektronischen Unterschrift 

gesprochen. Das deutsche Signaturgesetz erläutert den Begriff der elektronischen Signatur, insbesondere der 

fortgeschrittenen und der qualifizierten elektronischen Signatur. In diesem Handbuch werden Sie häufig die Begriffe 

der Signatur und der elektronischen Unterschrift lesen - beide Begriffe sind richtig und bedeuten inhaltlich das 

Gleiche. 

Die rechtlichen Aspekte zur elektronischen Signatur sind ausführlich im Abschnitt Rechtliche Aspekte der 

elektronischen Signatur erläutert.


Public Key Verfahren 

Die Signatur und die Verschlüsselung, die mit einer Signaturkarte und dieser Software durchgeführt werden, 

basieren auf einer Public Key Infrastruktur (PKI). Sowohl bei der Signatur als auch bei der Datenverschlüsselung 

kommt eine asymmetrische Verschlüsselung zum Einsatz. Asymmetrisch bedeutet: Es werden immer zwei 

verschiedene Schlüssel verwendet, der private Schlüssel (private key) und der öffentliche Schlüssel (public key), die 

sich gegenseitig ergänzen. Daten, die mit dem einen Schlüssel "zugeschlossen" wurden, können nur mit dem 

anderen wieder "aufgeschlossen" werden. 

Der private Schlüssel befindet sich bei Chipkarten auf dem Chip der Karte und lässt sich nicht auslesen. Die zu 

verarbeitenden Daten werden auf den Chip geladen, dort ver- oder entschlüsselt und wieder in den Computer 

übertragen. Um den privaten Schlüssel zu benutzen, wird die richtige PIN benötigt, die zusätzliche Sicherheit 

gewährleistet. Der öffentliche Schlüssel ist in ein Zertifikat integriert und steht jedermann in Verzeichnisdiensten 

im Internet zur Verfügung oder kann per E-Mail versendet werden. Um sicher zu gehen, dass dieses Zertifikat und 

somit der Schlüssel nicht gefälscht wurde, lässt sich die Signatur des Herausgebers prüfen. 

Beim Signieren wird der private Schlüssel auf der Karte verwendet. Somit ist zweifelsfrei belegt: die Signatur kann 

nur vom Karteninhaber sein - nur er hat die Karte und die PIN. Beim Prüfen der Signatur wird der öffentliche 

Schlüssel verwendet, denn jeder soll eine Signatur prüfen können. Die Verschlüsselung verwendet die beiden 

Schlüssel in umgekehrter Reihenfolge. Hier kommt der öffentliche Schlüssel des Empfängers zum Einsatz, so dass 

nur dieser die Daten mit seinem privaten Schlüssel wieder entschlüsseln kann. 

Da der Chip einer Chipkarte für die Verarbeitung großer Datenmengen sehr lange benötigen würde, wird bei der 

Verschlüsselung ein automatisch generierter Zufallsschlüssel verarbeitet. Bei der Signatur wird ein Hashwert 

verschlüsselt, der einem Dokument eindeutig zugeordnet werden kann.


Signaturerzeugung 

Die Signatur hat verschiedene Zwecke: Einerseits wird eine qualifizierte Signatur verwendet, um Briefe, Verträge 

etc. zu unterzeichnen. Andererseits gibt es auch fortgeschrittene Signaturen, die meistens dazu verwendet werden, 

Daten zu sichern, die man nicht unterschreiben möchte. Beispielsweise können auch Bild- oder Ton-Dateien signiert 

werden. Die Signatur schützt zwar nicht vor Veränderungen, macht diese aber eindeutig erkennbar. Ist eine Signatur 

intakt, bedeutet das, dass die Daten nicht geändert wurden. 

Beim Signieren einer Datei wird ein Hashwert gebildet, der mit einem Fingerabdruck vergleichbar ist. Zwei 

Dokumente können nie denselben Hashwert haben, es sei denn, sie sind identisch. 

Dieser Hashwert wird nach dem RSA bzw. ECDSA Verfahren unter Verwendung eines Schlüssels mit einer Länge von 

mindestens 1024 Bit (abhängig von der verwendeten Karte) verschlüsselt. Die Verschlüsselung des Hashwerts findet 

auf dem Chip der Karte statt. Dieser kleine Prozessor kann kleinere Datenmengen verarbeiten. Solch ein Vorgehen 

ist deshalb wichtig, weil der private Schlüssel die Karte so nie verlässt. Denn jegliche Daten, die in einem Computer 

sind, sind auch potentiell unsicher. Der Schlüssel bekommt also lediglich den Befehl, eine kleine Menge an Daten zu 

verschlüsseln. Die verschlüsselten Daten werden anschließend wieder in den Computer zurückgeschickt. Vorher 

muss der private Schlüssel durch die richtige PIN (Personal Identification Number) freigegeben werden, d.h., die 

Karte wird geöffnet. 

Hier ist der empfindlichste Punkt der gesamten Signatur. Nicht die Technik ist es, die den größten 

Unsicherheitsfaktor darstellt, sondern der Mensch. Folgende Punkte sollten Sie unbedingt beachten: 

� Schreiben Sie die PIN niemals auf die Karte, den Kartenleser oder in die Nähe Ihres Computers. 

� Lassen Sie sich nicht bei der PIN-Eingabe zusehen. 

� Achten Sie darauf, dass auch aus der Ferne (Fenster gegenüber etc.) niemand Einblick auf Ihre Tastatur oder 

den Kartenleser hat. 

� Geben Sie die PIN in keinem Fall an eine andere Person weiter.


� Benutzen Sie nach Möglichkeit (vor allem, wenn Sie wichtige Verträge o.ä. signieren) einen Kartenleser mit 

sicherer PIN-Eingabe. 

� Nach dreimaliger falscher PIN-Eingabe ist der private Schlüssel unbrauchbar. 

� Lassen Sie Ihre Karte nie liegen, wenn Sie den Raum verlassen oder Ihre Aufmerksamkeit abgelenkt ist. 

Diese hier kompliziert erscheinenden Vorgänge erledigt die Software natürlich automatisch. Der Nutzer muss nur 

auf Signieren klicken, die PIN eingeben und hat sofort eine signierte Datei. Diese besteht aus verschlüsseltem 

Hashwert, Originaldatei und öffentlichem Schlüssel. 

Grundsätzlich benötigen Sie für eine qualifizierte Signatur ein qualifiziertes Zertifikat. Die Signaturerzeugung als 

technischer Prozess sollte immer auf einer sicheren Signaturerzeugungseinheit, bestehend aus Kartenterminal, 

möglichst mit sicherer PIN-Eingabe, und einer Chipkarte vorgenommen werden. Weiterhin benötigen Sie eine 

Software, die Ihnen ein vertrauenswürdiges Umfeld für die Erzeugung einer elektronischen Signatur bietet. 

Grundsätzlich sollten Sie bei der Erzeugung einer qualifizierten elektronischen Signatur immer auf eine vorherige 

Visualisierung der Inhalte bestehen.


Signaturverifikation 

Folgende Punkte sind bei der Prüfung wichtig: 

� Ist das Dokument wirklich unverändert? Integrität der Daten. 

� Ist der Signaturinhaber echt? Wurde sein Zertifikat nicht inzwischen gefälscht? Authentizität des Inhabers. 

� Ist das Zertifikat nicht gesperrt? Zertifikatsstatus. 

1. Die Integrität des Dokuments lässt sich über den Hashwert beweisen: 

Das Dokument wird erneut gehasht. Der alte Hashwert wird entschlüsselt und mit dem neuen verglichen: Sind beide 

Hashwerte identisch, ist bewiesen, dass das Dokument nicht verändert wurde. Das erledigt die Software bei jeder 

Prüfung automatisch und in Echtzeit, d.h., die Software prüft den Hashwert ständig - nicht nur einmal. So werden 

auch Manipulationen am geöffneten Dokument sichtbar. Um den alten Hashwert zu entschlüsseln, benötigt der 

Prüfer den öffentlichen Schlüssel des Unterzeichners, denn die Signatur wurde ja mit der Karte, also mit dem 

privaten Schlüssel erstellt. 

Dieser öffentliche Schlüssel wird als Zertifikat an das signierte Dokument angehängt. 

2. Prüfung des Signaturzertifikates 

Die Echtheit und Unversehrtheit eines Zertifikates, also des mit gesendeten öffentlichen Schlüssels, wird über die


Signatur des Herausgebers geprüft: Jedes persönliche Zertifikat ist von einem Trustcenter (CA) signiert. Ist diese 

Signatur gültig, wurde auch das Zertifikat nicht geändert (siehe Punkt 1). Natürlich kann auch die Echtheit des 

Herausgeberzertifikats geprüft werden, das oft wieder von einer anderen Instanz herausgegeben wurde. So ergibt 

sich ein Zertifizierungspfad, der sich bis zu einer vertrauenswürdigen Instanz (Root CA oder Wurzelzertifikat) 

zurückverfolgen lässt. Ist dieser Zertifizierungspfad korrekt und die Wurzel vertrauenswürdig, beweist dies die 

Authentizität des Signaturinhabers. 

In Deutschland ist bei qualifizierten Signaturen die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, 

Post und Eisenbahnen (Bundesnetzagentur) die oberste Instanz (Wurzel). Auch dieser Punkt wird von der Software 

überprüft. Logischerweise kann die Software aber nur überprüfen, ob der Zertifizierungspfad lückenlos ist. Um aber 

die verschiedenen Instanzen (CA's) des Pfades und das Wurzelzertifikat zu sehen, muss der Nutzer den 

Zertifizierungspfad überprüfen. Ob die Wurzel vertrauenswürdig ist (z.B. bei Signaturen aus anderen Ländern), 

obliegt der Entscheidung jedes Einzelnen. 

3. Prüfung des Zertifikatsstatus 

Der Zertifikatsstatus, d.h. die Information, ob ein Zertifikat zu dem Zeitpunkt der Signaturerstellung gesperrt war, 

kann beim Herausgeber überprüft werden: Die Trustcenter stellen Sperrlisten zum Download zur Verfügung oder 

haben eine Online-Zertifikatsabfrage bzw. bieten beides an. Wenn jemand seine Signaturkarte verliert, kann er diese 

über einen 24-Stunden Service sperren lassen und wird sofort gelistet. 

Die Prüfung des Zertifikatsstatus erfordert ein aktives Eingreifen des Benutzers. Wenn es sich um eine wichtige 

Unterschrift handelt (im Gegensatz zu einer Datensicherung), sollte vor der Signaturprüfung die aktuelle Sperrliste 

herunter geladen werden. Handelt es sich um ein Trustcenter, das eine Online-Abfrage anbietet, kann der 

Zertifikatsstatus direkt über das Internet abgefragt werden. 

Wichtig ist dabei auch immer der Signaturzeitpunkt. Beispiel: Eine Signatur wurde am 1.7.2004 erstellt und wird dann 

ein Jahr später, am 1.7.2005 geprüft. Der Zertifikatsstatus sagt aus, dass das Zertifikat seit dem 1.12.2004 gesperrt 

ist (z.B. Karte verloren). Das bedeutet, dass die Signatur wahrscheinlich dennoch gültig ist. Denn zum Zeitpunkt der 

Signaturerstellung war der Karteninhaber noch im Besitz seiner Karte. Der Zeitpunkt wird bei der Signaturerstellung 

in die Signatur mit einbezogen. Allerdings kann immer nur die Zeit benutzt werden, die das Betriebssystem des 

Computers zur Verfügung stellt. Bei bestehenden Zweifeln ist es am sichersten, sich das Dokument noch einmal 

signieren bzw. einen Zeitstempel hinzufügen zu lassen. 

Die Mechanismen der Signaturprüfung sind im Kapitel Arbeiten mit den S-TRUST Sign-it Basiskomponenten 2.5 - 

Signaturverifikation beschrieben. Als Benutzer des Produktes müssen Sie diesen Abschnitt gelesen haben, um das 

angezeigte Prüfergebnis des Produktes richtig interpretieren zu können.


Rechtliche Aspekte der elektronischen Signatur 

Die Verwendung der elektronischen Signatur ist gesetzlich geregelt. Für die Europäische Union trat im Januar 2000 

die Richtlinie über die Gemeinschaftlichen Rahmenbedingungen für elektronische Signaturen in Kraft. Diese 

Richtlinie enthält die Verpflichtung für jedes Mitgliedsland, die Regelungen in nationales Recht umzuwandeln. So 

werden elektronische Signaturen auch im internationalen Geschäftsverkehr möglich. 

In Deutschland sind die Rahmenbedingungen für rechtlich verbindliche elektronische Signaturen durch das 

Signaturgesetz (SigG), die Signaturverordnung (SigV) sowie das Erste Gesetz zur Änderung des Signaturgesetzes 

(1.SigÄndG) festgelegt. 

Die wesentlichsten Punkte der europäischen Richtlinie: 

Die Gesetze kennen verschiedene Arten von Signaturen. Einfache Signaturen, fortgeschrittene Signaturen und 

qualifizierte Signaturen. Eine Signatur wird als qualifiziert bezeichnet, wenn sie: 

� ausschließlich dem Unterzeichner zugeordnet ist, 

� die Identifizierung des Unterzeichners ermöglicht, 

� mit Mitteln erstellt wird, die nur der Unterzeichner kontrolliert, 

� jede nachträgliche Änderung der signierten Daten erkennbar macht 

� und auf einem qualifizierten Zertifikat beruht. 

Ein qualifiziertes Zertifikat wird nur von einem qualifizierten Zertifizierungsdiensteanbieter (Trustcenter) 

ausgestellt. Dabei gelten ganz besonders strenge Anforderungen hinsichtlich der Sicherheit der Schlüsselerstellung 

und der Organisation des Trustcenters. Die Einhaltung der gesetzlichen Vorschriften durch die Trustcenter wird von 

einer nationalen Behörde kontrolliert. In Deutschland ist das die Bundesnetzagentur für Elektrizität, Gas, 

Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur), im Internet unter www.bundesnetzagentur.de. 

Dort finden Sie auch eine Liste der qualifizierten und akkreditierten Trustcenter, die aktuellen Signaturgesetze und 

weitere Informationen zur Signatur. 

Die Rechtswirkung elektronischer Signaturen 

Qualifizierte Signaturen ... 

� erfüllen die Anforderungen in Bezug auf elektronische Daten genauso wie die handschriftliche Unterschrift 

Anforderungen in Bezug auf Daten erfüllt, die auf Papier vorliegen. 

� sind vor Gericht als Beweismittel zugelassen.


... heißt es in den europäischen Richtlinien. Inwiefern diese Vorgaben in nationales Gesetz umgewandelt wurden, ist 

in jedem Land etwas unterschiedlich. 

Aber es bedeutet, dass elektronische Signaturen der eigenhändigen Unterschrift weitgehend gleichgestellt sind. In 

Deutschland ist dies durch die Änderung des § 126 BGB über die Schriftform umgesetzt worden. Darin wird bestätigt, 

dass die Schriftform eines unterschriebenen Dokuments mit der qualifizierten Signatur und einem elektronischen 

Dokument ersetzt werden kann. 

Allerdings gibt es auch Ausnahmen. In besonders empfindlichen Bereichen ist die elektronische Signatur nicht 

erlaubt, z.B.: 

� Kündigung von Arbeitsverhältnissen 

� Zeugnisse 

� Bürgschaften 

� Notarielle Beurkundungen 

Außerdem sind qualifizierte Signaturen vor Gericht als Beweis zugelassen, können aber eine Urkunde nicht ersetzen. 

Dies liegt in der Definition einer Urkunde begründet. Der Beweiswert ist aber so hoch einzustufen (siehe § 126 BGB), 

dass sie einem Urkundenbeweis sehr nahe kommen dürfte. 

Anerkennung der verwendeten kryptografischen Algorithmen 

Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 

(Bundesnetzagentur) veröffentlicht in regelmäßigen Abständen ein Dokument, welches die 

Gültigkeit und Anerkennung der verwendeten Algorithmen regelt. Sie können die aktuelle 

Fassung des Dokuments „Geeignete Algorithmen“ von den Webseiten der Bundesnetzagentur 

herunterladen. 

Für den RSA Algorithmus und die zugehörigen Schlüssellängen hat die Bundesnetzagentur die folgenden Vorgaben 

herausgegeben: 

geeignet bis Ende 

2007 

(Übergangsfrist bis 

Ende Juni 2008) 

Erzeugung 

qualifizierter 

Zertifikate*: 


2009 

Erzeugung 

qualifizierter 

Zertifikate**: 


2010 

geeignet bis Ende 2010 geeignet bis Ende 2014 

SHA-1 SHA-1 SHA-1 RIPEMD-160 SHA-224, SHA-256, SHA- 

384, SHA-512 

(SHA-1, RIPEMD-160)*** 

*d.h. zur Erzeugung qualifizierter Zertifikate, nicht aber zur Erzeugung und Prüfung anderer qualifiziert signierter 

Daten. 

** d.h. zur Erzeugung qualifizierter Zertifikate bei ≥20 Bit Entropie der Seriennummer, nicht aber zur Erzeugung 

und Prüfung anderer qualifiziert signierter Daten. 

***ausschließlich zur Prüfung qualifizierter Zertifikate. 

Für den RSA Algorithmus und die zugehörigen Schlüssellängen hat das Bundesamt für Sicherheit in der


Informationstechnik die folgenden Vorgaben herausgegeben: 

Zeitraum bis Ende 2007 bis Ende 2008 bis Ende 2009 bis Ende 2010 bis Ende 2014 

Parameter (Übergangsfrist bis 

Ende Marz 2008) 

n 1024 (Mindestw.) 

2048 (Empf.) 

1280 (Mindestw.) 

2048 (Empf.) 


2048 (Empf.) 


2048 (Empf.) 


2048 (Empf.) 

Die folgende Tabelle fasst die Bitlängen für den DSA (Digital Signature Algorithm) basierend auf den elliptischen 

Kurven zusammen: 

Zeitraum 

Parameter 

bis Ende 2007 bis Ende 2008 bis Ende 2009 bis Ende 2014 

p 1024 (Mindestwert) 1280 (Mindestwert) 1536 (Mindestwert) 

2048 

2048 (Empfehlungen) 2048 (Empfehlungen) 2048 (Empfehlungen) 

q 160 160 160 224 

Sicherheitskomponenten der S-TRUST Sign-it 

Basiskomponenten 2.5 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 sind ein Produkt zum Erzeugen und Verifizieren 

fortgeschrittener und qualifizierter elektronischer Signaturen sowie zum Ver- und Entschlüsseln von Dokumenten. 

Die folgenden Abschnitte beschreiben die Sicherheitsmerkmale, die Ihnen durch die S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3 zur Verfügung gestellt werden. 

Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit Zertifikaten unter Verwendung eines 

Kartenterminals und einer Smartcard 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 bieten die Funktion zur Berechnung von 

kryptographischen Prüfsummen (Hashwerten) nach den Algorithmen SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 

und RIPE-MD 160. Der korrekte Algorithmus wird von der Anwendung automatisch festgelegt. Um bei Bedarf diese 

Einstellungen anwenderspezifisch vornehmen zu können, sind entsprechende Einstellungen in der Registrydatei 

notwendig. 

Im nächsten Schritt wird der berechnete Hashwert von einer Chip-Karte verwendet, um nach dem RSA bzw. ECDSA 

Verfahren eine elektronische Signatur zu erzeugen. Bei der Signaturerzeugung können Sie auf den S-TRUST Sign-it 

Viewer zurückgreifen, um die Daten, die Sie signieren möchten, in einer rechtsverbindlichen Art und Weise 

anzuzeigen. 

Bei der Erstellung der Signaturdatei können automatisch eine OCSP-Antwort, ein Zeitstempel sowie


Attributzertifikate aufgenommen werden, um diese bei der Signaturverifikation zu verwenden. Das verwendete 

Signaturzertifikat wird immer automatisch in die Signaturdatei aufgenommen, um eine eindeutige Identifikation des 

Signaturerzeugers sicherzustellen. 

Verwenden Sie stets einen Kartenleser mit sicherer PIN-Eingabe und qualifizierte Chipkarten. Sie benötigen eine 

gültige Lizenz ab Modus 2 für das Produkt, um diese Sicherheitsfunktion nutzen zu können. 

Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die Anforderungen, die 

im Kapitel Mindestanforderungen dargelegt sind, einhalten. 


Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 bieten die Funktion zur Prüfung von Signaturen an 

beliebigen Dateien, deren kryptographische Prüfsummen (Hashwerte) nach den Algorithmen SHA-1, SHA-224, SHA- 

256, SHA-384, SHA-512 und RIPE-MD 160 berechnet wurden. Dabei wird eindeutig erkennbar, auf welche Daten sich 

die elektronische Signatur bezieht. Das Produkt teilt Ihnen mit, ob der Originalhashwert und der 

Verifikationshashwert identisch sind oder nicht, d.h. ob die Daten verändert wurden oder nicht. 

Für qualifizierte Signaturen ist der Hashalgorithmus SHA-1 ab 2008 nicht mehr zulässig. Für die Erzeugung anderer 

z.B. fortgeschrittener Signaturen kann der Algorithmus SHA-1 weiterhin zum Einsatz kommen. Bei der 

Signaturprüfung wird aus dem Signaturzertifikat das Herausgeberzertifikat ermittelt und die dazugehörige 

Sperrliste vom lokalen Datenträger geladen. Innerhalb der Sperrliste wird überprüft, ob ein entsprechender Eintrag 

für das Zertifikat vorhanden ist. War das Zertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt, wird 

Ihnen dies angezeigt. 

Sie haben die Möglichkeit, eine OCSP-Abfrage zum Signaturzertifikat durchzuführen. Das Ergebnis der OCSP-Abfrage 

wird Ihnen in einer Statusmeldung angezeigt. 

Wurden bei der Signaturerstellung die Optionen zur automatischen OCSP-Abfrage, Erstellung eines Zeitstempels 

sowie das Mitsignieren von Attributzertifikate eingestellt, so werden diese Informationen bei der Signaturprüfung 

automatisch angezeigt. 


im Kapitel Mindestanforderungen dargelegt sind, einhalten. Für eine korrekte Zetrifikatsprüfung anhand der 

Sperrlisten sollten Sie regelmäßig die aktuellen Sperrlisten laden. 

Erkennung von Manipulationen an Programm-Modulen 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 bieten die Funktion zum Erkennen von Manipulationen an 

den ausgelieferten Bibliotheken und ausführbaren Dateien. Das Prüfmodul ermittelt die Hashwerte aller 

Bibliotheken und ausführbaren Dateien und vergleicht diese mit den Signaturen der einzelnen Dateien. Bei 

Abweichungen werden die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 deaktiviert und Sie werden durch 

eine Textmeldung informiert. 

Es wird automatisch sichergestellt, dass das Prüfmodul nur von einer berechtigten Anwendung geladen werden 

kann. Das bedeutet, dass diese Anwendung mit dem gleichen Schlüssel signiert sein muss wie das auf Ihrem Rechner 

installierte Produkt. 

Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, werden die S-TRUST Sign-it Basiskomponenten 

2.5, Version 2.5.1.3 deaktiviert. Der sichere Zustand der Anwendung ist nicht mehr gewährleistet, da eine 

Manipulation vorgenommen wurde. Mit einer Textmeldung werden Sie auf diesen Zustand hingewiesen. 


im Kapitel Mindestanforderungen dargelegt sind, einhalten.


Anzeige der zu signierenden oder bereits signierten Daten 

Der in den S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 enthaltene S-TRUST Sign-it Viewer bietet die 

Funktion, Inhalte, die angezeigt werden sollen, eindeutig darzustellen. Der S-TRUST Sign-it Viewer sichert, dass die 

angezeigte Datei frei von verdeckten oder aktiven Inhalten ist. Weiterhin werden Sie informiert, falls aktive oder 

nicht darstellbare Inhalte in der Datei enthalten sind. 

Bei der sicheren Anzeige der Datei (PDF-, Text- oder TIFF Format) werden die folgenden Arbeitsschritte 

vorgenommen: Zunächst wird das Format geprüft. Handelt es sich um ein unbekanntes Format, wird eine 

entsprechende Fehlermeldung ausgegeben, die den Hinweis enthält, dass diese Datei nicht dargestellt werden kann. 

Werden aktive bzw. verdeckte Inhalte in der Datei erkannt, wird Ihnen eine Warnmeldung angezeigt. 

Der S-TRUST Sign-it Viewer kann Dokumente anzeigen, die der PDF Spezifikation 1.7 entsprechen (Abweichungen von 

der PDF Spezifikation werden weiter unten in diesem Kapitel aufgelistet). Die TIFF Erkennung richtet sich nach der 

Adobe TIFF Spezifikation 6.0. Für die Erkennung von Textdokumenten gelten die folgenden Regeln: 

Die folgenden Zeichen werden von dem S-TRUST Sign-it Viewer untersucht, um zu erkennen, dass es sich bei dem 

vorliegenden Dokument um ein Textdokument handelt. 

� a) das NULL Byte (0x00) 

� b) die Zeichen TAB (0x09), CR (Cariage Return, 0x0d) und LF (Line Feed, 0x0a) 

� c) die Zeichen von 0x01 bis 0x1f mit Ausnahme der unter a) und b) angegebenen Zeichen 

� d) die Zeichen von ' ' bis '~' (0x20 bis 0x7e) 

� e) die deutschen ANSI-Umlaute (0xc4 (Ä), 0xd6 (Ö), 0xdc (Ü), 0xe4 (ä), 0xf6 (ö), 0xfc (ü)) 

� f) die deutschen DOS Umlaute (0x81 (ü), 0x84 (ä), 0x8e (Ä), 0x94 (ö), 0x99 (Ö), 0x9a (Ü)) 

� g) alle restlichen Zeichen 

Die folgenden Regeln für die Erkennung von Textdateien durch den S-TRUST Sign-it Viewer werden formuliert: 

� Eine Sequenz von Zeichen der Kategorie a) ist am Ende einer Datei zulässig. Ein Zeichen der Kategorie a) 

innerhalb der Datei ist zulässig, mit Ausnahme der Erläuterung aus dem vorhergehenden Satz. Das Vorkommen 

von Zeichen der Kategorie a) innerhalb der Datei und am Ende der Datei ist nicht zulässig. 

� Tritt mehr als ein Zeichen der Kategorie c) auf, handelt es sich nicht um eine Textdatei. Wenn bereits 2 Zeichen 

der Kategorie a) gefunden wurden, sind Zeichen der Kategorie c) nicht erlaubt. 

� Liegt die Gesamtanzahl der Zeichen innerhalb der Datei aus Kategorie b), d), e) und f) unter 80%, handelt es 

sich nicht um eine Textdatei. 

Weiterhin werden Warnungen durch den S-TRUST Sign-it Viewer generiert, wenn eines der folgenden Szenarien 

zutrifft. 

� Die Kategorie g) ist nicht leer. In diesem Falle wird die folgende Warnung angezeigt: "Die Datei enthält Zeichen, 

die nicht eindeutig darstellbar sind!" 

� Die Kategorien e) und f) sind beide nicht leer. In diesem Falle wird die folgende Warnung angezeigt, wenn nicht 

bereits das vorhergehende Szenario zutrifft: "Die Datei enthält sowohl 'DOS'- als auch 'Windows'-Umlaute. Eine 

eindeutige Identifikation der korrekten Darstellung ist nicht möglich." 

� Wenn Zeichen der Kategorie a) und/oder c) in dem Dokument vorhanden sind, wird die folgende Warnmeldung 

angezeigt: "Die Datei enthält Zeichen, die nicht eindeutig darstellbar sind!"


Hinweis: Das hexadezimale Zeichen 0x00 wird wie folgend dargestellt: . Das hexadezimale Zeichen 0x7F wird 

wie folgend dargestellt: . Das Zeichen 0x00 führt zwar zu einer Warnmeldung des Viewers, es wird jedoch 

im Analysedialog keine gesonderte Warnmeldung ausgegeben, da dieses Zeichen in jedem Zeichensatz eine 

eindeutige Darstellung hat. 

Der S-TRUST Sign-it Viewer verarbeitet in PDF Dateien keine aktiven Code-Elemente, wie etwa Java-Script oder 

Multimedia-Objekte. Da das PDF Format die Einbettung verschiedener Ansichten ein und desselben Objektes erlaubt, 

zeigt der S-TRUST Sign-it Viewer grundsätzlich nur die Standard-Ansicht für diese Objekte an. Das bedeutet, dass Sie 

bei vorhandenen alternativen Darstellungen von Objekten grundsätzlich die Analysefunktionen des S-TRUST Sign-it 

Viewers benutzen müssen, um festzustellen, ob die alternativen Darstellungen Elemente enthalten, die den Inhalt 

des Dokuments verfälschen und Sie evtl. nicht bereit wären, diese Dokumentinhalte zu signieren. 

Die PDF Anzeige des S-TRUST Sign-it Viewers unterstützt das Dokumentformat PDF 1.7. Wenn Sie ein PDF Dokument 

mit dem S-TRUST Sign-it Viewer untersuchen, sollten Sie sicher stellen, dass die Angaben der PDF-Versionsnummer 

in dem Dokument der Version 1.7 oder darunter entspricht. Versionen nach der PDF-Version 1.7 können in dem 

Viewer nicht zweifelsfrei dargestellt werden, da spätere Versionen Elemente enthalten können, die vom Viewer 

nicht erkannt und auch nicht dargestellt werden können. 

Der Viewer enthält einige Abweichungen zu diesem Standard (Dokumentformat 1.7), die Sie kennen sollten: 

� Der S-TRUST Sign-it Viewer unterstützt keine Transparenz. 

� Der S-TRUST Sign-it Viewer zeigt grundsätzlich die Standardansicht von PDF Objekten an. Das PDF Format 

erlaubt die Angabe von alternativen Ansichten eines Objektes, die Ansicht kann z.B. von der 

Bildschirmauflösung abhängig sein. In diesem Falle werden Sie von dem Produkt gewarnt und haben die 

Möglichkeit, die Mittel des S-TRUST Sign-it Viewer zu verwenden, um die alternativen Darstellungen zu 

untersuchen. 

� Der S-TRUST Sign-it Viewer unterstützt keine Multimedia-Elemente. Die Möglichkeit, z.B. animierte Flash-Filme 

anzuzeigen wird von dem Produkt nicht unterstützt. In diesem Falle wird Ihnen die Standard-Darstellung (z.B. 

das Flash-Icon) angezeigt. 

Die Funktion zur Anzeige von PDF Dateien hängt von der Lizenz ab, die Sie erworben haben. Wenn Ihre Lizenz nicht 

erlaubt, PDF Dateien anzuzeigen, steht Ihnen diese Funktion auch nicht zur Verfügung. 

Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel 

Mindestanforderungen dargelegten Anforderungen sicherstellen. Es werden keine aktiven Inhalte wie Scripte oder 

Programmcode interpretiert. 

Schutz vor Hashwertmanipulation 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 bieten einen Schutz vor Hashwertverfälschung während 

des Signaturvorganges. Dazu wird vor dem Signaturvorgang der Hashwert über die zu signierenden Daten gebildet. 

Nach dem Signaturvorgang überprüft das Produkt die erzeugte Signatur, indem es die Signatur mit dem öffentlichen 

Schlüssel des verwendeten Signaturzertifikates verifiziert. Abschließend wird Ihnen eine Textmeldung angezeigt, 

dass die Daten signiert wurden. 

Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im Kapitel 

Mindestanforderungen dargelegten Anforderungen sicherstellen. 

Sicherstellung der Unversehrtheit des Produktes 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 bieten die Funktion zum Prüfen der Integrität der 

installierten Programm-Module. Diese Sicherheitsfunktion wird durch das S-TRUST Sign-it Integrity Tool realisiert.


Das S-TRUST Sign-it Integrity Tool ist ein Java-Applet, das die Hash-Werte an den ausgelieferten 

sicherheitsrelevanten Modulen überprüft und somit sicherstellt, dass sich die Module noch in dem Zustand befinden, 

wie sie ursprünglich ausgeliefert und installiert wurden. 

Für die Nutzung des S-TRUST Sign-it Integrity Tool ist das Java Plugin notwendig, das über die Internetseite 

www.openlimit.com/integritytool geladen oder von der Original CD gestartet wird. Das Java Plugin sollte 

grundsätzlich erst nach positiver Prüfung der Signatur des Applets gestartet werden. 

Das Ergebnis der Prüfung durch das S-TRUST Sign-it Integrity Tool wird Ihnen in einer Textmeldung angezeigt. Stellt 

das Prüfmodul eine Beschädigung der Modulsignaturen fest, ist der sichere Zustand der Anwendung nicht mehr 

gewährleistet und Sie sollten das Produkt auf Ihrem Rechner neu installieren. 

Die Überprüfung der Unversertheit der Programm-Module sollte regelmäßig, d.h. mindestens einmal im Monat, 

durchgeführt werden. 

Stellen Sie sicher, dass sie die im Kapitel Betriebssysteme aufgeführte Version der Java Virtual Machine installiert 

haben, um die korrekte Arbeitsweise dieser Funktion sicherzustellen. 

Import und Verarbeitung von OCSP Abfragen 

Das Produkt bietet Ihnen die Möglichkeit, über das OCSP (Online Certificate Status Protocol) Protokoll die Gültigkeit 

eines Zertifikates zu prüfen. Dazu können Sie zu einem Zertifikat eine OCSP Anfrage mit Hilfe des Produktes stellen 

und erhalten eine entsprechende Antwort von der CA, die das Zertifikat ausgestellt hat. Sie sollten diese Möglichkeit 

immer dann nutzen, wenn Sie sich sich über die Gültigkeit eines Zertifikates direkt beim Herausgeber versichern 

möchten. 

Sie haben ebenfalls die Möglichkeit, das Produkt so zu konfigurieren, dass eine OCSP Antwort vom Herausgeber 

automatisch zur elektronischen Signatur hinzugefügt wird. Damit geben Sie dem Empfänger einer von Ihnen 

signierten Datei die Gewissheit, dass Ihr Zertifikat zum Zeitpunkt der Signaturerstellung nicht gesperrt war. Es 

besteht die Möglichkeit, dass Sie sich die Einzelheiten der OCSP Antwort anzeigen lassen. In diesem Falle haben Sie 

außerdem die Möglichkeit, das Zertifikat zu begutachten, welches die OCSP Antwort unterschrieben hat. 

Während des Imports der OCSP Antwort prüft das Produkt immer die mathematische Gültigkeit der Antwort. Ist die 

mathematische Gültigkeit nicht erfolgreich geprüft worden, werden die OCSP Daten nicht importiert. Wenn Sie die 

Details zur OCSP Antwort begutachten, prüft das Produkt automatisch die gesamte Zertifikatskette bis hin zum 

Wurzelzertifikat auf der Basis von Sperrlisten. Stellen Sie in diesem Falle sicher, dass Sie über aktuelle Sperrlisten 

auf Ihrem Rechner verfügen. 

Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungen dargelegten 

Anforderungen erfüllen. 

Import und Anbringen von Zeitstempeln 

Das Produkt erlaubt Ihnen das automatische Anbringen eines Zeitstempels an Daten, die Sie signiert haben. Dabei 

wird der Zeitstempel auf mathematische Korrektheit der Signatur überprüft und in die Signaturdatei, die Sie erzeugt 

haben, mit aufgenommen. Kann die mathematische Korrektheit der Signatur nicht erfolgreich geprüft werden, wird 

der Zeitstempel nicht mit aufgenommen und Ihnen wird eine entsprechende Fehlermeldung angezeigt. 

Um einen Zeitstempel automatisch zu den signierten Daten aufzunehmen, müssen Sie entsprechende 

Konfigurationseinstellungen an dem Produkt vornehmen. 



Prüfung von Zeitstempeln


Wenn Sie eine signierte Datei erhalten, die einen Zeitstempel beinhaltet, können Sie die Gültigkeit des Zeitstempels 

überprüfen. Zu diesem Zweck haben Sie einen Dialog zur Verfügung, der Ihnen die Einzelheiten des Zeitstempels 

anzeigt. In diesem Falle wird die Signatur des Zeitstempels basierend auf Sperrlisten bis hin zum Wurzelzertifikat 

überprüft. Sie erhalten neben den eigentlichen Informationen, die Ihnen der Zeitstempel bereitstellt Informationen 

darüber, ob die Signatur des Zeitstempels selber gültig ist. Stellen Sie vor der Verwendung dieser Funktion sicher, 

dass Sie über aktuelle Sperrlisten verfügen. 



Freischalten und Verwendung von lizenzierten Funktionen 

Gemeinsam mit dem Produkt und Ihrer Signaturkarte haben Sie einen Lizenzschlüssel erhalten, den Sie bei der 

ersten Benutzung des Produktes eingeben müssen. Wenn Sie über keinen Lizenzschlüssel verfügen, können sie das 

Produkt zum Prüfen von Signaturen verwenden, jedoch keine Signaturen erstellen. Der Lizenzierungsassistent wird 

Sie durch den Lizenzierungsvorgang führen. Dabei werden keine vertraulichen Daten verwendet oder mit dem 

Hersteller des Produktes ausgetauscht. Sie werden während der Lizenzierung des Produktes aufgefordert, die vom 

Produkt erzeugte Lizenzdatei zu signieren. Dieser Vorgang dient zu Ihrer Absicherung, damit Sie später sicher sein 

können, eine gültige Lizenz Ihres Produktes zu verwenden. 

Wenn Sie über keinen Lizenzcode verfügen, können Sie das Produkt zum Verifizieren von PKCS#7 Signaturen an TIFF 

und Text Dokumenten verwenden. Eine Signaturerzeugung ist in diesem Falle nicht möglich. 

Weiterhin werden die folgenden Modi in Abhängigkeit von der installierten Lizenz unterschieden: 

� Reader-Modus: Im Reader-Modus haben Sie die Möglichkeit, TIFF und Text Dokumente mit dem Viewer zu 

betrachten. Die Prüfung von PKCS#7 Signaturen an diesen Dokumenten ist möglich, allerdings können Sie mit 

einer solchen (kostenfreien) Lizenz keine Signaturen erzeugen. 

� Modus 2: Sie haben die Möglichkeit, TIFF und Text Dokumente zu betrachten und an diesen Dokumenten 

PKCS#7 Signaturen zu erzeugen. Sie können PKCS#7 Signaturen an diesen Dokumenten prüfen. 

� Modus 3: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente zu betrachten. Sie können aber nur TIFF und 

Text Dokumente mit PKCS#7 Signaturen versehen. Sie haben die Möglichkeit, PKCS#7 Signaturen an allen drei 

Dokumentformaten zu überprüfen. Darüber hinaus können Sie in PDF Dateien eingebettete Signaturen 

verifizieren. 

� Modus 4: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7 Signaturen zu 

versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. PDF Signaturen können ebenfalls geprüft 

werden. 

� Modus 5: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7 Signaturen zu 

versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. Sie können zusätzlich eingebettete PDF 

Signaturen erzeugen und verifizieren.


Der in diesem Zusammenhang verwendete Begriff PKCS#7 Signatur bezieht sich ausschließlich auf abgesetzte bzw. 

verbundene Signaturen. Signaturen innerhalb von PDF Dokumenten werden als PDF Signaturen bezeichnet, auch 

wenn diese technisch auf dem PKCS#7 Format basieren. 

Ein Upgrade der bei der Installation mitgelieferten Readerlizenz ist jederzeit möglich, allerdings benötigen Sie für 

diesen Vorgang eine Signaturkarte. Das Einspielen einer Lizenz mit geringeren Rechten als die bereits 

freigeschalteten Funktionen wird von dem Produkt verhindert bzw. nicht akzeptiert. 


Anforderungen erfüllen.


S-TRUST Sign-it Security Environment Manager 

Der S-TRUST Sign-it Security Environment Manager ist das Kernstück des Softwarepaketes S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3. Er wird standardmäßig automatisch mit dem Betriebssystem gestartet. 

Andernfalls kann der S-TRUST Sign-it Security Environment Manager über Start/Programme/S-TRUST Sign-it/S- 

TRUST Sign-it gestartet werden. Er stellt die folgenden Funktionen zur Verfügung: 

� Berechnung des Hashwertes unter Verwendung einer der Algorithmen SHA-1, SHA-224, SHA-256, SHA-384, SHA- 

512 und RIPE-MD 160. 

� Erzeugung der Signatur unter Verwendung einer Chipkarte und eines Kartenlesers mit sicherer PIN-Eingabe 

� Hinzufügen eines Zeitstempels zu einer erzeugten elektronischen Signatur 

� Unterstützung von Attributzertifikaten bei der Erzeugung einer elektronischen Signatur 

� Unterstützung der OCSP Abfrage bei der Erzeugung einer elektronischen Signatur 

� Prüfung von Signaturzertifikaten über OCSP und CRL 

� Anzeige der OCSP Informationen zu einem Zertifikat 

� Verarbeitung von Zeitstempelinformationen während der Signaturprüfung 

� Anzeige von Zeitstempelinformationen 

� Sicherstellung der Integrität und korrekten Installation der S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.3 

� Bereitstellung eines Interfaces für die Signaturerzeugung, Prüfung und Produktkonfiguration 

Im Prozess der Verifikation einer Signatur zeigt der S-TRUST Sign-it Security Environment Manager die zur 

Verfügung stehenden Informationen des qualifizierten Attributzertifikates, das zu dem qualifizierten Zertifikat 

zugehört, an. Der S-TRUST Sign-it Security Environment Manager ist in der Lage zu erkennen, ob ein 

Attributzertifikat zu einem Zertifikat dazugehört und bringt es zur Anzeige, sofern dieses vorhanden ist. 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 arbeiten mit Daten im PKCS#7 Format. Das bedeutet, 

dass das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 mit allen Anwendungen, die dieses Format 

unterstützen, kompatibel ist. 

Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 steuert die Kartenleser über PC/SC oder CT-API 

Schnittstellen an. Einige Hersteller liefern separate Programmbibliotheken zur Ansteuerung der sicheren PIN- 

Eingabe am Kartenleser. Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 verwenden diese Module, sofern 

diese vorhanden sind. Die durch die Software S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 unterstützten 

Chipkarten finden Sie in dem Abschnitt Chipkarten. Die Liste der unterstützten Kartenleser finden Sie in dem 

Abschnitt Kartenleser. 

Es ist möglich, mehrere Kartenterminals und Signaturkarten parallel zu nutzen. Für jedes Kartenterminal wird Ihnen 

ein entsprechendes Icon im System-Tray angezeigt. 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 dürfen für die Erzeugung qualifizierter (rechtskonformer) 

Signaturen nur mit SigG konformen Kartenlesern verwendet werden. Eine Liste dieser Geräte wird durch die 

Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) unter


www.bundesnetzagentur.de veröffentlicht. 

Die Signaturprüfung erfolgt nach dem Schalenmodell und zusätzlich nach dem Kettenmodell (für qualifizierte 

Zertifikate) von dem Zertifikat des Anwenders bis zu dem Wurzelzertifikat der CA unter Einbeziehung der 

Sperrlisten. 

Zusätzlich zu der Sperrlistenabfrage unterstützen die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 das 

Online Certificate Status Protocol (OCSP). Das OCSP Protokoll ermöglicht die Online-Abfrage der Gültigkeit eines 

Zertifikates. Diese Prüfung kann nur durchgeführt werden, wenn die Information zu dem OCSP Responder verfügbar 

ist. Das bedeutet, dass das Zertifikat eine Information enthalten muss, die es ermöglicht den OCSP Responder zu 

identifizieren. 

Eine weitere Funktion des S-TRUST Sign-it Security Environment Managers ist die Arbeit mit Zeitstempeln. Ein 

Zeitstempel kann eine Angabe im Zusammenhang mit der Signaturerstellung sein, aber auch eine Information bei 

der Signaturprüfung. Weitere Informationen zu Zeitstempeldiensten erhalten Sie in dem Abschnitt 

Zeitstempeldienste. 

Die Verfahrensweise der Beschaffung der Informationen des OCSP, der Sperrlisten und des Zeitstempels sind nicht 

Bestandteil der Evaluierung. 

Hinweis: Die Signaturerzeugung besteht immer aus zwei Teilschritten: der Erzeugung des Hashwertes und der 

Verschlüsselung des Hashwertes mit dem privaten Schlüssel des Zertifikates. Die Verschlüsselung des Hashwertes 

findet immer auf der Chipkarte statt, so dass der private Schlüssel Ihres Signaturzertifikates dem S-TRUST Sign-it 

Security Environment Manager zu keinem Zeitpunkt der Signaturerzeugung und auch zu allen anderen Zeitpunkten 

nicht bekannt ist. Dieses Verfahren stellt sicher, dass ein Missbrauch des privaten Schlüssels des Zertifikates 

ausgeschlossen ist. 

Die Verfahren zur Signaturerzeugung und Verifikation arbeiten mit dem RSA bzw. ECDSA Verfahren für Public Key 

Kryptographie. Die Stärke der verwendeten Schlüssel beträgt bis zu 2048 Bit und ist von der eingesetzten Chip- 

Karte abhängig. 

Wird eine elektronische Signatur erzeugt, so legt der S-TRUST Sign-it Security Environment Manager bei der 

Codierung des PKCS#7 Datencontainers die komplette Zertifikatsliste bis hin zum Wurzelzertifikat in dem Container 

ab. Das bedeutet, dass somit immer die komplette Zertifikatsliste für das prüfende Programm zur Verfügung steht 

und eine vollständige Signaturprüfung erfolgen kann. 

Es gibt für den Anwender keine direkte Möglichkeit, den S-TRUST Sign-it Security Environment Manager zur 

Signaturerzeugung, Signaturverifikation, Ver- und Entschlüsselung zu benutzen. Um diese Funktionalitäten zu 

nutzen, steht Ihnen der S-TRUST Sign-it Viewer zur Verfügung. 

Der S-TRUST Sign-it Security Environment Manager enthält Mechanismen, die sicherstellen, dass die ausgelieferten 

Module nicht manipuliert wurden. Dazu überprüft der S-TRUST Sign-it Security Environment Manager die 

Programmbibliotheken während des Ladevorganges auf die Korrektheit ihrer Signaturen. Wenn Sie eine 

Fehlermeldung erhalten, dass die Signatur einer Programmbibliothek beschädigt ist, deaktiviert der S-TRUST Sign-it 

Security Environment Manager den Zugang zu den angebotenen Sicherheitsfunktionen. Die genauen Meldungen sind 

im Kapitel Fehlermeldungen S-TRUST Sign-it Security Environment Manager aufgeführt. Hilfeanleitungen in solchen 

Situationen finden Sie ebenfalls in diesem Kapitel.


S-TRUST Sign-it Viewer 

Der S-TRUST Sign-it Viewer ist Bestandteil der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 und bietet 

dem Anwender die Möglichkeit, sich gemäß den Anforderungen des §17 Absatz 2 SigG die zu signierenden Daten 

bzw. bereits signierte Daten anzeigen zu lassen. Der S-TRUST Sign-it Viewer sichert, dass die angezeigte Datei frei 

von verdeckten oder aktiven Inhalten ist. Weiterhin werden Sie informiert, falls aktive oder nicht darstellbare 

Inhalte in der Datei enthalten sind. 

Bei der Signaturprüfung zeigt der S-TRUST Sign-it Viewer die Daten an, auf die sich die zur Prüfung ausgewählte 

Signatur bezieht. 

Hinweis: Der S-TRUST Sign-it Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen und den Inhalt dieser 

Dokumente zu untersuchen. Die PDF Dokumente entsprechen der PDF 1.7 Spezifikation. Sie sollten sich in jedem Fall 

vergewissern, um welche Version es sich bei der verwendeten PDF Datei handelt. Das TIFF Dokument kann eine 

mehrseitige TIFF Datei (Multipage-TIFF) sein. Die dargestellten Dokumentformate hängen von der erworbenen 

Lizenz ab. 

Werden unbekannte Inhalte oder Spezifikationen in den Dokumenten entdeckt, werden Sie von dem S-TRUST Sign-it 

Viewer darüber informiert. Werden Inhalte gefunden, die als verdeckte oder aktive Inhalte erkannt werden, sollten 

Sie das Dokument nicht signieren. Der S-TRUST Sign-it Viewer kann diese Inhalte nicht entfernen sondern die 

Dokumente nur untersuchen. Wenn Sie das Dokument dennoch signieren, unterschreiben Sie ein Dokument, welches 

Sie nicht in seiner richtigen Darstellungsform betrachten konnten. 

Wenn Sie ein farbiges TIFF Dokument signieren wollen, sollten Sie immer von der Möglichkeit der Graustufen und 

Schwarz/Weiß Betrachtung des Dokuments innerhalb des S-TRUST Sign-it Viewer Gebrauch machen. Der Abschnitt 

Arbeiten mit dem S-TRUST Sign-it Viewer zeigt Ihnen am Beispiel einer manipulierten TIFF Datei, wie Sie verdeckte 

Inhalte in einem solchen Dokument erkennen können. In diesem Kapitel erhalten Sie darüber hinaus eine 

Beschreibung der Darstellungsmöglichkeiten weiterer Dateiinalte wie Bilder, Java Scripte und Texte, die in PDF 

Dateien enthalten sein können. 

Mit dem S-TRUST Sign-it Viewer können Dateien im Format PDF, TIFF und TEXT geöffnet werden, wobei diese 

Dokumente mit einer PKCS#7 Signatur versehen sein können. In diesem Falle haben Sie die Möglichkeit, die 

Gültigkeit der Signatur vom Viewer aus zu prüfen. 

Der S-TRUST Sign-it Viewer kann als separates Programm oder innerhalb des Signaturanforderungsdialoges 

gestartet werden. Innerhalb des Signaturanforderungsdialoges können Sie den S-TRUST Sign-it Viewer nur dann 

verwenden, wenn auch ein PDF, Text oder TIFF Dokument als das zu signierende Dokument erkannt wird. Der S- 

TRUST Sign-it Viewer wird als Programm siqView.exe im Installationspfad der Anwendung installiert, weiterhin wird 

während der Installation eine Verknüpfung im Startmenü des Betriebssystems erzeugt. 

Der S-TRUST Sign-it Viewer kann die Dokumente zwar untersuchen und Warnungen zu den Dokumenten generieren 

sowie Prüfdetails anzeigen, jedoch muss die Entscheidung, ob eine Signatur an dem Dokument erzeugt werden soll, 

durch den Anwender selbst getroffen werden. Die inhaltliche Interpretation eines angezeigten Dokuments obliegt 

vollständig dem Benutzer und kann durch den S-TRUST Sign-it Viewer nicht geleistet werden. 

Hinweis zu den anzeigbaren Dokumentformaten 

Die anzeigbaren Dokumentformate hängen von der erworbenen Lizenz ab. Wenn Ihre Lizenz die Anzeige von PDF 

Dokumenten nicht erlaubt, können solche Dokumente auch nicht dargestellt werden. Wenn Sie über keinen


Lizenzcode für das Produkt verfügen, können sie auch grundsätzlich keine elektronischen Signaturen mit dem 

Produkt erzeugen. Mehr Informationen finden Sie in der Beschreibung der Lizenzierungsvarianten unter 

Sicherheitskomponenten der S-TRUST Sign-it Basiskomponenten 2.5. 

Hinweis für die Signaturerzeugung: 

Im folgenden Abschnitt wird erklärt, in welcher Situation der S-TRUST Sign-it Viewer ein Verbunddokument bzw. eine 

abgesetzte Signatur erzeugt. Für die Erzeugung von Signaturen benötigen Sie eine entsprechende Lizenz. 

Ausgangsdatei Erzeugtes Dateiformat 

TIFF-Datei ohne Signatur Signatur wird als abgesetzte Signaturdatei erzeugt. 

Text-Datei ohne Signatur Signatur wird als abgesetzte Signaturdatei erzeugt. 

TIFF-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei hinzugefügt. 

Text-Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signaturdatei hinzugefügt. 

TIFF-Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt. 

Text-Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt. 

PDF Datei ohne Signatur oder mit eingebetteter In Abhängigkeit von der Lizenz wird entweder eine eingebettte 

Signatur 

PDF Signatur oder eine abgesetzte PKCS#7 Signatur erzeugt. 

PDF Datei mit abgesetzter Signatur Signatur wird der abgesetzten Signatur hinzugefügt. 

PDF Datei mit verbundener Signatur Signatur wird dem Verbunddokument hinzugefügt.


S-TRUST Sign-it Integrity Tool 

Wenn Sie in die Situation geraten, dass Sie nicht mehr sicher sind, ob Ihr Rechner nicht manipuliert wurde, müssen 

Sie sicherstellen, dass das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 noch wie vorgesehen 

arbeitet. 

Um die Integrität des Produktes auf Ihrem Rechner sicherzustellen, sollten Sie sich nicht nur auf die korrekte 

Arbeitsweise des S-TRUST Sign-it Security Environment Managers verlassen. Sie benötigen ein unabhängiges 

Werkzeug, welches im Zweifelsfall in der Lage ist, von einem vertrauenswürdigen Medium aus die Integrität des 

installierten Produktes auf Ihrem Rechner zu überprüfen. 

Der S-TRUST Sign-it Integrity Tool überprüft die Hash-Werte an den installierten sicherheitsrelevanten 

Programmbibliotheken. Es wird festgestellt, ob sich die Programmbibliotheken noch in dem Zustand befinden, wie 

sie ursprünglich ausgeliefert und installiert wurden. 

Dazu berechnet das Java-Applet die Hashwerte nach SHA-1 und vergleicht sie mit den Originalen der S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3. Sie können das Applet über die folgende URL aufrufen: https://www.strust.de/sign-it/sicherheit 

oder von der Original CD-ROM starten. 

Wenn Sie das Produkt auf CD-ROM erhalten haben, können Sie die Datei 'index.htm' von der CD-ROM direkt im 

Browser aufrufen, um das Tool zu starten. In diesem Falle benötigen Sie keine Internetverbindung. 

Das Applet ist signiert, die Signatur wird von der Java Virtual Machine (JVM) geprüft. Sie müssen dem Zertifikat 

explizit vertrauen, mit dem das Applet signiert wurde. Der SHA-1 Fingerprint des Zertifikates, mit dem das Applet 

signiert wurde, lautet: 

[30927389024320750942604185761776278687] 

Das Zertifikat ist vom 27.05.2009 bis zum 27.05.2012 gültig. Für den Fall, dass das Zertifikat erneuert wird, 

veröffentlicht OPENLiMiT den Fingerprint des aktuellen Zertifikats auf der Webseite. 

Neben den im Kapitel Betriebssysteme genannten Voraussetzungen ist für die Abarbeitung des Java-Applets die 

korrekte Browserkonfiguration zur Verwendung der JVM notwendig. 

Weitere Hinweise zur Arbeit mit dem Java-Applet erhalten Sie in dem Kapitel Arbeiten mit dem S-TRUST Sign-it 

Integrity Tool. 

Stellt das S-TRUST Sign-it Integrity Tool fest, dass sich die Programmbibliotheken nicht mehr in ihrem 

Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher sollten Sie jedoch 

mit einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen wurde oder ein anderes 

Programm Ihren Rechner manipuliert hat. 

Hinweis: Starten Sie das S-TRUST Sign-it Integrity Tool nur von der Webseite https://www.s-trust.de/signit/sicherheit 

bzw. von der Original CD-ROM und nach Prüfung des Server-Zertifikats. 

Sie müssen als Nutzer das Prüfprogramm regelmäßig ausführen, um die Integrität des Produktes sicherzustellen. 

Regelmäßig bedeutet in diesem Zusammenhang mindestens einmal im Monat. Weiterhin müssen Sie die Integrität 

des Produktes auf Ihrem Rechner sicherstellen, sobald Sie den Verdacht haben, dass die Programmdateien geändert 

wurden. 

Falls Sie das Produkt über einen Download bezogen haben, sollten Sie in jedem Fall, bevor Sie das Produkt zum 

ersten Mal anwenden, das S-TRUST Sign-it Integrity Tool ausführen, um die Korrektheit der Installation zu 

verifizieren.


Konfiguration der S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3 

In diesem Abschnitt werden Ihnen die Konfigurationsoptionen des Produktes S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.3 dargelegt und auf die sichere Konfiguration des Produktes eingegangen. Darüber hinaus werden Sie 

in jedem Abschnitt dieser Benutzerdokumentation Version 2.5.1.3 auf die sicheren Parameter bei der Konfiguration 

hingewiesen. Abweichende Konfigurationen sollten Sie nach Möglichkeit nicht einsetzen, da unter Umständen der 

sichere Betrieb des Produktes nicht mehr gewährleistet werden kann. Vor der Arbeit mit dem Produkt müssen Sie 

die Konfiguration der Benutzereinstellungen des Produktes überprüfen, insbesondere, wenn Sie an einem 

Arbeitsplatz arbeiten, an dem auch andere Benutzer Zugriff auf das Produkt haben. 

Administration und Administratorrolle: 

Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 erlaubt die individuelle Konfiguration der 

Benutzereinstellungen. Diese individuelle Konfiguration kann allerdings nur dann vorgenommen werden, wenn Sie 

als Benutzer über Administratorrechte verfügen oder Ihnen ein Administrator des Betriebssystems 

Administrationsrechte einräumt. Dies gilt daher nur für die Betriebssysteme Windows NT 4.0, Windows 2000 und 

Windows XP, da die individuelle Konfiguration des Produktes an Hand der vorhandenen Nutzer vorgenommen wird. 

Die Administration des Produktes ist also an die Administratorrolle des Betriebssytems geknüpft. Es wird keine 

gesonderte Unterscheidung zwischen diesen beiden Rollen im Verlauf dieses Handbuches vorgenommen. Wenn in 

diesem Handbuch von der Rolle des Administrators gesprochen wird, ist damit ein Benutzer mit 

Administrationsrechten auf dem jeweiligen Rechner gemeint bzw. ein Benutzer, dem durch den jeweiligen 

Administrator des Betriebssystems das Recht eingeräumt wurde, das Produkt individuell zu konfigurieren. 

Einräumen von Konfigurationsrechten an andere Benutzer: 

Sie können die Bindung an die Administratorrolle im Betriebssystem zur Konfiguration des Produktes S-TRUST Signit 

Basiskomponenten 2.5, Version 2.5.1.3 aufheben, indem Sie einen Wert in der Registry ändern. Diese Änderung hat 

dann zur Folge, dass jeder Benutzer des Rechners eine individuelle Konfiguration des Produktes vornehmen kann. 

Da das Produkt automatisch eine sichere Konfiguration nach der Installation einnimmt, sollten Sie von dieser Option 

nach Möglichkeit keinen Gebrauch machen. 

� Öffnen Sie den Registry Editor des Betriebssystems. 

� Öffnen Sie den Schlüssel HKLM/Software/SignCubes/Options 

� Öffnen sie durch einen doppelten Klick auf den Eintrag Options den Wert User 

� Tragen Sie statt der vorkonfigurierten 0 eine 1 ein. 

Mit diesem Eintrag haben Sie die Administratorrolle für das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.3, die durch das Betriebssystem vorgegeben ist, aufgehoben. Jetzt kann jeder Benutzer individuelle 

Einstellungen vornehmen, die auch für jeden Benutzer separat verwaltet werden. Durch diesen Mechanismus ist 

sichergestellt, dass keine separaten Administrationsrollen für das Produkt S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.3 definiert sind.


Konfigurationsoptionen des S-TRUST Sign-it 

Security Environment Managers 

Der S-TRUST Sign-it Security Environment Manager bietet zwei Menüs zur Konfiguration. Das erste Kontextmenü des 

S-TRUST Sign-it Security Environment Managers wird beim Klicken auf das S-TRUST Sign-it Icon geöffnet. Das zweite 

Kontextmenü enthält spezifische Konfigurationsoptionen für die jeweilige Chipkarte und wird im Kapitel Chipkarten 

Optionen behandelt. 

Wenn Sie auf das Icon S-TRUST Sign-it klicken, wird ein Kontextmenü geöffnet. 

Hier sind Menüpunkte betreffend der Basiskomponenten gelistet: 

� Sperrlistenaktualisierung: Während der Signaturprüfung werden immer die aktuell auf dem Rechner 

verfügbaren Sperrlisten verwendet. Daher sollten Sie in regelmäßigen Abständen (im Normalfall täglich) diese 

Option nutzen, um aktuelle Sperrlisten auf Ihren Rechner herunterzuladen. Zusätzlich zur Sperrlistenprüfung 

können Sie die Online - Prüfung nutzen, um den Status des Signaturzertifikates zu ermitteln. Für die Online - 

Prüfung benötigen Sie eine Internetverbindung. Diese wird durch den S-TRUST Sign-it Security Environment 

Manager nicht automatisch hergestellt. 

� Eigenschaften: Hier werden Einzelheiten über die Basiskomponenten angegeben. Sie können sich die 

installierten Module sowie deren Versionsnummern anzeigen lassen. Weiterhin können Sie sehen, welche 

Funktionen Sie lizenziert haben. 

� Einstellungen: In diesem Menü können sie globale Einstellungen am S-TRUST Sign-it Security Environment 

Manager vornehmen. Um diese Einstellungen vornehmen zu können, benötigen Sie die Rechte eines 

Administrators. 

� Hilfe: Mit diesem Befehl wird die Benutzerdokumentation zu den S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.3 geöffnet. 

� Info: Hier werden Copyright- und Versionsinformationen der Software angezeigt. 

� Beenden: Mit diesem Befehl wird der S-TRUST Sign-it Security Environment Manager beendet. Dann kann keine 

Signaturerzeugung bzw. Signaturverifikation vorgenommen werden.


Option: Lizenzeinstellungen und Lizenzupgrade 

Wenn Sie sich vergewissern wollen, welche Lizenz des Produktes Sie erworben haben, können Sie sich über den 

Menüpunkt Eigenschaften des S-TRUST Sign-it Security Environment Managers die mit Ihrem eingegebenen 

Lizenzcode verbundenen freigeschalteten Eigenschaften des Produktes anzeigen lassen. Ein grünes Häkchen 

bedeutet, dass Sie die jeweilige Eigenschaft des Produktes lizenziert haben und Ihnen diese damit zur Verfügung 

steht. Funktionen, die Ihnen nicht zur Verfügung stehen, werden Ihnen auch nicht angezeigt. 

Wenn Sie in dem Menüpunkt Eigenschaften des S-TRUST Sign-it Security Environment Managers auf den Knopf 

Lizenzinhaber klicken, wird Ihnen das Zertifikat desjenigen Benutzers angezeigt, der die Lizenz auf dem Rechner 

freigeschaltet hat. Wenn Sie selbst die Lizenz freigeschaltet haben, muss Ihr Zertifikat in diesem Dialog angezeigt 

werden. 

Wenn Sie mehr Funktionen des Produktes nutzen möchten als Sie mit dem Lizenzcode freigeschaltet haben, können 

Sie einen entsprechenden Lizenzcode von dem Deutschen Sparkassenverlag oder einem seiner Vertriebspartner 

erwerben. Sie müssen in diesem Falle das Produkt nicht deinstallieren, sondern können auf den Button Lizenz- 

Upgrade klicken. In diesem Falle wird der Lizenzmanager erneut gestartet und Sie können über einen 

entsprechenden Lizenzcode die gewünschten Funktionen freischalten. 

Hinweis: 

� Geben Sie die Installationspfade der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 nicht im Netzwerk 

für andere Benutzer frei. 

� Vor Verwendung der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 sollten Sie nochmals prüfen, ob die 

Lizenz korrekt ist, in dem Sie das S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 Icon, Eigenschaften


anklicken und sich die verfügbaren Funktionen anzeigen lassen. Gleichfalls sollten Sie das Zertifikat des 

Lizenzinhabers prüfen. 

� Wenn der Lizenzierungsassistent beim Start der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

erscheint, ist keine Lizenzdatei vorhanden. Wenn dies trotz erfolgreich durchgeführter Lizenzierung auftritt, 

wurde eventuell die Lizenzdatei gelöscht. In diesem Falle sollten Sie die Integrität des Betriebssystem mit 

einem geeigneten Programm (z.B. Virenscanner) überprüfen und sicherstellen, dass nicht unberechtigte Dritte 

auf Ihren Rechner zugreifen können.


Option: Allgemeine Einstellungen 

Wenn Sie im Kontextmenü des S-TRUST Sign-it Security Environment Managers auf Einstellungen geklickt haben, 

erscheint ein Dialog mit Registerkarten, die in den folgenden Abschnitten beschrieben werden. 

Hinweis: Sie können die Einstellungen an den Registerkarten nur dann ändern, wenn Sie auch über 

Administrationsrechte verfügen. Für das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 ist keine 

spezielle Administratorrolle definiert. Weitere Erläuterungen finden Sie im Abschnitt Konfiguration der S-TRUST 

Sign-it Basiskomponenten 2.5, Version 2.5.1.3. 

Die folgenden Optionen können Sie hier einstellen: 

� Autostart des S-TRUST Sign-it Security Environment Managers: Setzen das Häkchen in der Checkbox, wenn Sie 

möchten, dass der S-TRUST Sign-it Security Environment Manager automatisch beim Start des Betriebssystems 

gestartet wird. Diese Option wird bei der Installation der Software aktiviert. Wenn Sie dieses Verhalten nicht 

möchten, können Sie das Häkchen entfernen. 

� Sprache: Hier wird Ihnen als verwendete Sprache Deutsch angezeigt. 

� Signaturformat: Hier haben Sie die Möglichkeit, das Dateiformat für zu signierende Dokumente einzustellen 

(Dokument und Signatur in einer Datei oder Dokument und Signatur in zwei verschiedenen Dateien). Diese 

Option hat keine Auswirkungen auf die sichere Anzeigeeinheit. Die erzeugten Dokumentformate der sicheren 

Anzeigeeinheit sind im Kapitel Sicherheitskomponenten der S-TRUST Sign-it Basiskomponenten 2.5 erläutert. 

Die Einstellung für XML-Signaturen wird wirksam, wenn die Signaturerzeugung der XML Daten über eine 

Drittanwendung gestartet wird. Weitere Informationen dazu finden Sie in dem Abschnitt XML Signaturen.


� Attributzertifikate automatisch mitsignieren: Sofern dieser Haken gesetzt ist, werden bei der 

Signaturerzeugung alle unter dem Ordner 'Eigene Dateien\Attribute Certificates' vorhandenen 

Attributzertifikate dahingehend durchsucht, ob sie zu diesem Zertifikat dazu gehören. Falls dies der Fall ist, 

wird das Attributzertifikat mitsigniert und dem Signaturzertifikat hinzugefügt. 

� Signaturen automatisch mit Zeitstempel versehen: Hier können Sie der Signatur automatisch einen Zeitstempel 

hinzufügen. Die Standardkonfiguration Ihres Produktes erlaubt das Abholen von Zeitstempeln nicht. 

� Signaturen automatisch mit OCSP-Status versehen: Mit der Aktivierung dieser Funktion wird automatisch eine 

OCSP-Abfrage durchgeführt und das Abfrageergebnis wird der Signatur hinzugefügt. 

� Durch Anklicken des Buttons Ausgangskonfiguration werden die mit der Installation vorgenommenen 

Voreinstellungen wieder hergestellt. Durch die Anwendung dieses Befehls werden nur die Einstellungen für den 

aktiven Benutzer zurück gesetzt, nicht jedoch die Einstellungen, die für alle Benutzer gelten. 

Hinweis zur sicheren Konfiguration: 

� Sie sollten den S-TRUST Sign-it Security Environment Manager automatisch beim Start des Betriebssystems 

starten lassen. Es wird nur dann das Deaktivieren dieser Option empfohlen, wenn das PC/SC Subsystem nach 

dem S-TRUST Sign-it Security Environment Manager gestartet wird und dieser dadurch beim Start des 

Betriebssystems keine Kartenleser erkennt. 

� Das Speichern der Originaldaten und der Signatur in einer Datei oder die Erzeugung einer abgetrennten 

Signaturdatei haben keinen Einfluss auf die Sicherheit des Produktes S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.3. 

� Wenn Sie sich nicht sicher sind, ob sich Ihre Installation in der Originalkonfiguration befindet, verwenden Sie 

bitte den Befehl Ausgangskonfiguration, um die von Ihnen vorgenommenen Änderungen zu verwerfen. 

Hinweis für die Einstellungen des Signaturformats wenn Sie über die S-TRUST Sign-it Shell Extension verfügen: Wenn 

Sie die Einstellungen so treffen, dass Verbunddokumente beim Signaturvorgang erzeugt werden und Sie ein 

Dokument über die S-TRUST Sign-it Shell-Extension signieren, erhalten Sie ein Dokument mit der Endung '*.p7m'. 

Wenn Sie nun die Originaldaten ein weiteres Mal signieren möchten, werden Sie nach dem Namen der Ausgabedatei 

über einen 'Datei speichern unter...' Dialog gefragt, da die Signatur nicht dem '.p7m' Dokument hinzugefügt wird. 

Wenn Sie den Dateinamen beibehalten, wird das Originaldokument überschrieben. Sie können aber auch einen 

anderen Dateinamen angeben, unter dem dieses Dokument dann abgelegt wird. 

Die S-TRUST Sign-it Shell-Extension ist kein Bestandteil der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3, 

greift aber über eine zertifizierte Schnittstelle auf die Funktionen des Produktes zurück.


Option: Verzeichnisse 

Sie haben im Register Verzeichnisse die Möglichkeit, die Verzeichnisse für Sperrlisten und Stammzertifikate, die von 

der Software verwendet werden, umzukonfigurieren. Machen Sie von dieser Möglichkeit nur dann Gebrauch, wenn 

Sie sich sicher sind, dass Sie verstanden haben, wozu diese Verzeichnisse von der Software genutzt werden. 

Unter dem Register Verzeichnisse können die Speicherpfade für sicherheitsrelevante Dateien, die Zertifikate und 

Prüfprotokolle festgelegt werden. Standardmäßig steht der Pfad für die Sperrlisten sowie die öffentlichen und die 

vertrauenswürdigen Zertiifkate auf C:\Programme\S-TRUST Sign-it\Data\ und dann der Name des jeweiligen 

Ordners. 

Das Verzeichnis für die Smartcard Zertifikate und die Attributzertifikate wird, sofern kein anderes Verzeichnis über 

diese Einstellungen festgelegt wird, standardmäßig in dem Ordner C:\Eigene Dateien\ und dann der Name des 

jeweiligen Ordners angelegt. Wird ein Ordner über die Einstellungen des S-TRUST Sign-it Security Environment 

Managers definiert wie z.B. C:\Daten\, dann werden die Speicherpfade Smartcards und AttributCertificates als 

Unterordner automatisch generiert und die Zertifikate in diesen Ordnern abgelegt. 

Als Verzeichnis für das Speichern der Prüfprotokolle kann der Speicherort als vollständiger Verzeichnispfad z.B. 

C:\Daten\Prüfprotokolle angegeben werden. Wird kein Verzeichnis definiert, erfolgt die Ablage automatisch in dem 

Ordner C:\Eigene Dateien\VerificationProtocols.


Was bedeutet sicherheitsrelevant? Beispiel Sperrlisten: Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.3 verwendet bei der Prüfung von Signaturen Sperrlisten, um die Gültigkeit des Signaturzertifikates bei der 

Signaturerzeugung zu verifizieren. Die Sperrlisten, die Sie manuell vom Sperrlistenverteilungspunkt abrufen, werden 

im Verzeichnis für Sperrlisten gespeichert. Wenn Sie die Verzeichnisse für die Sperrlisten ändern, sollten Sie 

entweder die in diesem Verzeichnis bei der Softwareinstallation abgelegten Dateien ebenfalls in das geänderte 

Verzeichnis kopieren oder nach der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann die 

korrekte Signaturprüfung durch das Produkt nicht gewährleistet werden. 

Was bedeutet sicherheitsrelevant? Beispiel Sperrlisten: Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.3 verwendet bei der Prüfung von Signaturen Sperrlisten, um die Gültigkeit des Signaturzertifikates bei der 

Signaturerzeugung zu überprüfen. Die Sperrlisten, die Sie manuell vom Sperrlistenverteilungspunkt abrufen, werden 

im Verzeichnis für Sperrlisten gespeichert. Wenn Sie die Verzeichnisse für die Sperrlisten ändern, sollten Sie 

entweder die in diesem Verzeichnis bei der Softwareinstallation abgelegten Dateien ebenfalls in das geänderte 

Verzeichnis kopieren oder nach der Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann die 

korrekte Signaturprüfung durch das Produkt nicht gewährleistet werden. 

Sperrlisten: Certificate Revocation Lists (CRLs) sind Listen mit gesperrten Zertifikaten, die von den Trustcentern 

herausgegeben werden. Anhand der Sperrlisten wird geprüft, ob das verwendete Signaturzertifikat zum Zeitpunkt 

der Signaturerzeugung bereits gesperrt war. 

PKDs (Public Key Directories) sind Verzeichnisse, in denen die öffentlichen Schlüssel, d.h., die Zertifikate von 

verschiedenen Herausgebern gelistet sind. Hier sind derzeit die von der Bundesnetzagentur herausgegebenen CA- 

Zertifikate enthalten. 

CTLs (Certificate Trust Lists) sind Verzeichnisse, in denen vertrauenswürdige Wurzelzertifikate abgelegt werden 

können. Das Zertifikat der Bundesnetzagentur, dem wir generell vertrauen, ist in der Software integriert. Wenn Sie 

einer anderen Wurzel vertrauen möchten, speichern Sie das Zertifikat in diesem Ordner und legen Sie die CA- 

Zertifikate auch unter den PKDs ab. 

Wenn sie die Verzeichniseinstellungen falsch konfigurieren oder nicht alle notwendigen Schritte vornehmen, damit 

die Verzeichnisse von den S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 richtig genutzt werden können, ist 

ein scheinbares Fehlverhalten der Software möglich. Durch Ihre Einstellungen konfigurieren Sie selbst, welchen 

Zertifikaten Sie vertrauen und welchen nicht. 

Hinweis: Wenn Sie die Verzeichnisse ändern, dürfen die neuen Verzeichnisse nicht schreibgeschützt sein, da sonst 

das Ablegen von Sperrlisten in dem Verzeichnis fehlschlägt. 

Hinweis für die sichere Konfiguration: 

� Sie sollten die Einstellungen der Verzeichnisse nicht ändern. Wenn Sie die Verzeichnisse ändern, beeinflussen 

Sie das Sicherheitsverhalten des Produktes. Sie sollten diese Einstellungen nur ändern, wenn Sie die obigen 

Ausführungen richtig verstanden haben.


Option: PIN-Abfrage 

In diesem Register können Sie die Optionen für die PIN-Eingabe konfigurieren. Gehen Sie sensibel mit den 

einstellbaren Optionen um, da ein Missbrauch Ihrer Signaturkarte durch falsches oder unachtsames Vorgehen mit 

diesen Optionen erleichtert werden könnte. 

In diesem Dialog sind Optionen aufgeführt, welche die Eingabe oder Abfrage der PIN (personal identification 

number) betreffen: 

Sichere PIN-Eingabe automatisch verwenden 

Diese Option garantiert, dass bei Kartenlesern, welche die sichere PIN-Eingabe unterstützen, diese auch 

automatisch verwendet wird. Diese Option kann in der ausgelieferten Konfiguration nicht abgewählt werden und 

sollte für eine sichere Konfiguration des Produktes immer aktiviert sein. Wenn Sie nicht die sichere PIN-Eingabe 

verwenden, steigt die Gefahr des Ausspähens der PIN durch entsprechende Programme.


Karte für mehrere Arbeitsschritte öffnen 

Wenn Sie größere Arbeitsaufgaben vor sich haben, die eine ständige Wiederholung der PIN-Eingabe erfordern, 

können Sie auch die Karte öffnen. Dann wird die PIN einmalig beim ersten Signaturvorgang abgefragt. Weitere 

Eingaben sind nicht mehr erforderlich in Abhängigkeit von Ihren weiteren Einstellungen. Dies ist beispielsweise sehr 

praktisch, wenn man eine Vielzahl von Dokumenten entschlüsseln muss. Auch die Signatur von zahlreichen Dateien 

kann so zeitsparend erledigt werden. 

Diese Funktion ist für die in dem Kapitel Chipkarten genannten Karten nur für die fortgeschrittene Signatur 

verfügbar. 

PIN abfragen 

Falls Sie die Karte für mehrere Arbeitsschritte öffnen wollen, haben Sie zusätzlich die Möglichkeit, diese Option 

einzuschränken: für qualifizierte Signaturen, fortgeschrittene Signaturen und für Entschlüsselung stehen folgende 

Varianten zur Verfügung: 

� bei jeder Verwendung: Jedes Mal wird die PIN abgefragt. 

� automatisch mit Begrenzung: Je nach Begrenzung ist die Benutzung eingeschränkt. 

� keine weitere Abfrage: Die PIN muss nicht mehr eingegeben werden. 

Beispiel: Wenn Sie nur Entschlüsseln möchten, dann stellen sie die Auswahl bei qualifizierten und sonstigen 

Signaturen auf bei jeder Verwendung und bei Entschlüsseln auf keine weitere Abfrage. 

Begrenzung: 

Haben Sie oben auf automatisch mit Begrenzung gestellt, können Sie unten eine Begrenzung nach Anzahl oder Zeit 

eingeben. Wenn Sie die Parameter gesetzt haben und während des Arbeitens mit der Karte die Parameter ändern, 

müssen Sie die Karte ziehen und neu in das Chipkarten-Terminal stecken, damit die geänderten Einstellungen 

wirksam werden. 

Sicherheitshinweis: Wenn Sie die Optionen so konfigurieren, dass Sie keine PIN mehr eingeben müssen, gehen Sie 

ein erhöhtes Risiko des Missbrauchs Ihrer Signaturkarte ein. Sie sollten diese Optionen nur dann verwenden, wenn 

Ihr Rechner sicher frei von bösartiger Software wie Viren und Backdoor Programmen ist. Weiterhin sollten Sie Ihre 

Signaturkarte immer aus dem Kartenleser entfernen, sobald Sie den Arbeitsplatz verlassen. Wenn Sie diese 

Mindestsicherheitsanforderungen nicht befolgen, können unberechtigte Dritte mit Ihrer Karte Signaturen erzeugen, 

die vor dem Gesetzgeber den Wert Ihrer persönlichen Unterschrift haben. Vor diesen Szenarien können Sie sich nur 

selbst durch den verantwortungsvollen Umgang mit Ihrer Signaturkarte schützen. 

Hinweis: 

Das 'Offen Halten' für mehrere Arbeitsschritte wird nur von Chip-Karten unterstützt, die durch das Trust-Center in 

dieser Konfiguration ausgeliefert werden. Die in dem Kapitel Chipkarten aufgelisten qualifizierten S-Trust Karten 

unterstützen diese Funktion nicht, so dass in dem Fall von Mehrfachsignaturen die PIN bei jeder Signaturerzeugung 

neu eingegeben werden muss. 


� Die Option Sichere PIN-Eingabe automatisch verwenden muss aktiviert sein. Diese Option zwingt das Produkt, 

die sichere PIN-Eingabe automatisch zu verwenden. 

� Die Option Karte für mehrere Arbeitsschritte öffnen muss deaktiviert sein. Wenn Sie die Karte für mehrere 

Arbeitsschritte geöffnet halten, gehen Sie das Risiko eines Missbrauchs Ihrer Karte durch Dritte ein. Dieses 

Risiko kann durch die Software nur bedingt abgewehrt werden.


Option: Zertifikate 

Im Register Zertifikate können Sie Einstellungen für den Umgang mit den vorhandenen Zertifikaten vornehmen. 

Wenn Sie die Option bei Signatur nur verfügbare Zertifikate anzeigen wählen, werden automatisch nur die 

Zertifikate verwendet, die auf der eingelegten Chipkarte zur Verfügung stehen. Wenn Sie diese Option deaktivieren, 

werden ebenfalls auch Zertifikate anderer Personen berücksichtigt, die an diesem Arbeitsplatz arbeiten. Sie 

beeinflussen also den Umgang mit den Zertifikaten durch das Produkt. 

Wichtiger Hinweis: Grundsätzlich wird die Erzeugung einer elektronischen Signatur immer auf der eingelegten 

Chipkarte vorgenommen. Wenn Sie auch Zertifikate anderer Personen bei der Signaturerzeugung angezeigt 

bekommen, bedeutet dies nicht, dass Sie auch eine Signatur mit diesem Zertifikat erzeugen können. Das Produkt 

wird Ihnen lediglich mitteilen, dass Sie die entsprechende Chipkarte in das Kartenterminal einlegen müssen. 

Die Option SmartCard-Zertifikate automatisch registrieren bedeutet, dass die auf der Chipkarte vorhandenen 

Zertifikate automatisch im Microsoft Zertifikatsspeicher registriert werden. 

Die Option Automatisch registrierte Zertifikate ständig verfügbar halten bedeutet, dass die von der Chipkarte 

registrierten Zertifikate auch nach der Entnahme aus dem Chipkarten Terminal im Microsoft Zertifikatsspeicher 

verfügbar bleiben. Wenn Sie diese Option deaktivieren, werden die vorher registrierten Zertifikate automatisch 

wieder deregistriert. 


� Die angebotene Option bei Signatur nur verfügbare Zertifikate anzeigen hat keinen Einfluss auf das 

Sicherheitsverhalten des Produktes.


� Die angebotene Option SmartCard-Zertifikate automatisch registrieren hat keinen Einfluss auf das 

Sicherheitsverhalten des Produktes. 

� Die angebotene Option Automatisch registrierte Zertifikate ständig verfügbar halten hat keinen Einfluss auf das 

Sicherheitsverhalten des Produktes.


Option: Algorithmen 

Im Register Algorithmen haben Sie die Möglichkeit, den bei der Signaturerzeugung zu verwendenden 

Hashalgorithmus einzustellen bzw. die für die Ver- und Entschlüsselung zum Einsatz kommenden 

Verschlüsselungsalgorithmen auszuwählen. 

Die für die Signaturerzeugung zur Verfügung gestellten Algorithmen entsprechen dem Signaturgesetz. 


� Grundsätzlich sollten Sie die standardmäßig eingestellten und empfohlenen Algorithmen verwenden. Das ist für 

die Signaturerzeugung SHA-256 und für die Ver- und Entschlüsselung 3DES. Ab 2008 ist der Hashalgorithmus 

SHA-1 für die Erzeugung qualifizierter Signaturen nicht mehr zulässig. 

Hinweis: Nutzen Sie die Möglichkeit, sich über das S-TRUST Sign-it Integritätstool die eingestellte Konfiguration für 

die Chipkarte anzeigen zu lassen. 

� Für die Ver- bzw. Entschlüsselung sollten Sie nur dann andere Einstellungen vornehmen, wenn es aus Gründen 

der Kompatibilität mit anderen Programmen notwendig ist.


Chipkarten Optionen 

Mit einem Klick auf das gelbe Chipsymbol (vorausgesetzt die Karte befindet sich im Kartenleser) wird das 

Kontextmenü geöffnet. Die Menüpunkte betreffen Funktionalitäten, die im Zusammenhang mit der Karte oder dem 

Kartenleser stehen. 

Die folgenden Punkte werden im Chipkarten Menü angeboten: 

� Verschlüsselungszertifikat exportieren: Mit dieser Option können Sie das Verschlüsselungszertifikat von Ihrer 

Chipkarte in eine Datei speichern. Weitere Informationen erhalten Sie in dem Kapitel Zertifikate exportieren. 

Diese Funktion ist nur dann verfügbar, wenn Sie über ein Verschlüsselungszertifikat verfügen. Ob Sie über ein 

solches Zertifikat verfügen, können Sie im Menüpunkt Eigenschaften an Hand der aufgelisteten Zertifikate auf 

Ihrer Chipkarte überprüfen. 

� Eigenschaften: Die Eigenschaften des installierten Kartenlesers werden hier angezeigt. Ist eine Karte im 

Kartenleser vorhanden, werden auch die Karteneigenschaften, wie die Kartennummer und das Zertifikat 

angezeigt. Weitere Informationen erhalten Sie in dem Kapitel Eigenschaften. 

� Einstellungen: Dieser Menüpunkt wird in den Konfigurationsoptionen des S-TRUST Sign-it Security Environment 

Managers erläutert. 

� Info: Hier werden Copyright- und Versionsinformationen angezeigt. 

� Beenden: Mit diesem Menüpunkt wird der S-TRUST Sign-it Security Environment Manager geschlossen.


Eigenschaften 

Durch Anklicken des gelben Chipsymbols in der Taskleiste (Karte befindet sich im Kartenleser) und Auswahl des 

Menüpunktes Eigenschaften erhalten Sie folgende Informationen: 

� Unter dem Register Kartenleser wird die Bezeichnung des Kartenlesers und die Ansteuerung des Kartenlesers 

angezeigt. Bei Kartenlesern mit sicherer PIN Eingabe wird auf diese Funktion als Ergänzung zum Kartenleser 

hingewiesen. 

� Unter dem Register Karte sehen Sie die Bezeichnung der Karte (meist mit Herausgeber), die Kartennummer 

und das Betriebssystem der Karte.


� Unter dem Register PIN's werden die zu den Zertifikaten der im Kartenleser steckenden Karte gültigen PIN's 

angezeigt. Nach Auswahl eines PIN's werden in dem unteren Fenster als Detailinformationen die minimale 

Länge und sofern vorhanden die maximale Länge angezeigt. Gleichzeitig werden die Schaltflächen für weitere 

Funktionen aktiv. In Abhängigkeit von der Zulässigkeit stehen die Funktionen Freischalten, Ändern und 

Entsperren zur Verfügung.


� Unter dem Register Zertifikate werden die Zertifikate der Karte, die im Leser steckt, angezeigt. Nach Anklicken 

eines Zertifikats in der Liste werden in dem unteren Fenster die Einzelinformationen angezeigt.


Im Abschnitt Zertifikate exportieren können Sie nachlesen, wie Sie die auf Ihrer Karte vorhandenen Zertifikate in 

eine Datei speichern können, um auch anderen Kommunikationspartnern Ihre Zertifikate zu schicken. 

In dem Abschnitt Attributzertifkate werden weitere Information zum Handling mit den Signaturzertifikaten 

zugehörigen Attributen gegeben. 


� Es werden keine Optionen zur Verfügung gestellt, die einen Einfluss auf das Sicherheitsverhalten des Produktes 

haben.


Zertifikate exportieren 

Damit Sie Ihren Kommunikationspartnern Ihr Verschlüsselungszertifikat schicken können, müssen Sie es zunächst 

aus der Karte extrahieren und in eine Datei exportieren. Diese Datei können Sie dann einfach per E-Mail 

verschicken. 

1 Stecken Sie die Karte in den Leser und achten Sie darauf, dass sie erkannt wird. 

2 Klicken Sie das gelbe Chip-Symbol in der Taskleiste an. 

Wählen Sie den Punkt Verschlüsselungszertifikat exportieren. 

1 Im Fenster Zertifikat exportieren wird der Dateiname angegeben und der Speicherort ausgewählt. 

Wahrscheinlich werden Sie den Namen des Zertifikatsinhabers, also Ihren eigenen, angeben wollen. 

2 Mit einem Klick auf Speichern, ist das Zertifikat als *.cer Datei gespeichert und kann für jede Standard- 

Verschlüsselungssoftware benutzt werden. 


� Es werden keine Optionen angeboten, die einen Einfluss auf das Sicherheitsverhalten des Produktes haben 

können.


PIN ändern 

Im S-TRUST Sign-it Security Environment Manager können Sie die PIN bzw. PIN's Ihrer Smartcard jederzeit ändern. 

Dies sollten Sie tun, wenn Sie das Gefühl haben, dass andere Personen Ihre PIN kennen. 

� Wählen Sie nach Anklicken des gelben Chipsymbols in der Taskleiste Eigenschaften und anschließend das 

Register PINs. 

� Wählen Sie die zu ändernde PIN und klicken Sie auf Ändern. Geben Sie dann die aktuelle PIN ein, um die 

Änderung überhaupt zu ermöglichen. 

� Danach wird nach der neuen PIN gefragt. Geben Sie diese ein und bestätigen Sie mit OK.


� Die neue PIN muss nochmals bestätigt werden. Geben Sie diese ein weiteres Mal ein. 

� Sie haben die PIN jetzt geändert. 


Verwenden Sie niemals eine triviale PIN, die den Missbrauch Ihrer Karte durch Dritte erleichtern könnte und 

notieren Sie die PIN niemals auf der Karte oder an Orten, wo Dritte in die Kenntnis Ihrer PIN gelangen könnten. 

Verwenden Sie nur Kartenleser mit sicherer PIN-Eingabe, um die PIN Ihrer Chip-Karte zu ändern. Stellen Sie sicher, 

dass die Eingabe der neuen PIN nicht durch Dritte beobachtet wird, da diese dadurch in Kenntnis Ihrer PIN gelangen 

könnten. 

Arbeiten mit den S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3 

Die folgenden Abschnitte beschreiben den Umgang mit den einzelnen Bestandteilen der S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3. Dieses Kapitel soll Ihnen den Umgang mit dem Produkt erleichtern und Ihnen


dabei helfen, schnell mit den einzelnen Programmfunktionen vertraut zu werden.


Arbeiten mit dem S-TRUST Sign-it Security 

Environment Manager 

Der S-TRUST Sign-it Security Environment Manager ist als zentraler Bestandteil der Anwendung S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3 für die Bereitstellung und Überwachung aller Sicherheitsaufgaben des 

Produktes verantwortlich. Für Sie als Benutzer sind vor allem die folgenden Punkte relevant: 

� Der S-TRUST Sign-it Security Environment Manager verwaltet die angeschlossenen Kartenleser und überwacht 

die eingelegten Chipkarten. 

� Der S-TRUST Sign-it Security Environment Manager bietet Ihnen Optionen zur Auswahl an, welche die Chipkarte 

und die erzeugten Dokumente betreffen. Zur Konfiguration dieser Optionen müssen Sie über 

Administrationsrechte auf Ihrem Rechner verfügen. 

Als Standard wird der S-TRUST Sign-it Security Environment Manager automatisch beim Start des Betriebssystems 

gestartet. Sie haben allerdings die Möglichkeit, dieses Verhalten in den Konfigurationseinstellungen des S-TRUST 

Sign-it Security Environment Managers zu verändern und müssen diesen dann manuell starten. 

Während der Arbeit mit dem S-TRUST Sign-it Security Environment Manager werden Sie durch entsprechende 

Statusmeldungen über den jeweiligen Bearbeitungsstand informiert: 

� Sie haben eine Chipkarte in den Kartenleser gesteckt, diese wird erkannt und identifiziert: 

� Sie haben den Befehl Signatur erzeugen aktiviert, es läuft die Datenaufbereitung (Hashwertberechnung) bzw. 

die Signaturerzeugung. 

� Nach dem Aufbereiten der Daten werden Sie zur PIN Eingabe über die sichere PIN-Eingabe aufgefordert. 

� Sie haben den Befehl Signatur prüfen aktiviert, es läuft die Hashwertberechnung und der Abgleich mit den 

Sperrlisten.


Falls Ihnen diese Informationen nicht mehr angezeigt werden sollen, haben Sie die Möglichkeit, durch Anklicken der 

Option ausblenden, die Anzeige zu unterdrücken. 

Hinweis: Wenn der S-TRUST Sign-it Security Environment Manager gestartet wurde, erscheint das S-TRUST Sign-it 

Icon in der Taskleiste neben der Uhrzeit. 

Hinweis für den manuellen Start: 

Unter dem folgenden Menüpunkt können Sie den S-TRUST Sign-it Security Environment Manager manuell starten. 

Das Programmverzeichnis kann je nach verwendeter Spracheinstellung variieren. Diese Hilfe beschreibt den Umgang 

mit einem deutschsprachigen Betriebssystem. 

Start – Programme – S-TRUST Sign-it - S-TRUST Sign-it 

ACHTUNG: Um die Funktionen der Software nutzen zu können, muss der S-TRUST Sign-it Security Environment 

Manager gestartet sein. Andernfalls haben Sie keinen Zugang zu den Funktionen des Produktes. Wenn keine Gründe 

existieren, den S-TRUST Sign-it Security Environment Manager manuell zu starten, dann lassen Sie die Option auf 

„automatisch starten“ eingestellt. 

Der S-TRUST Sign-it Security Environment Manager kann mehrere Kartenleser und Chipkarten parallel verwalten. 

Welche Kartenleser und Chipkarten unterstützt werden, ist in dem Abschnitt Kartenleser bzw. Chipkarten im Detail 

ausgeführt. 

Für jeden erkannten Kartenleser erscheint ein graues Chip-Symbol in der Taskleiste, wenn keine Karte im 

Kartenleser vorhanden ist. Ist eine Chipkarte im Kartenleser vorhanden, erscheint für jede erkannte Chipkarte ein 

gelbes Chip-Symbol in der Taskleiste. 

Erkennung einer Chipkarte durch den S-TRUST Sign-it Security Environment Manager 

Steckt keine Karte im Kartenleser, wird für jeden erkannten Kartenleser ein graues Chip Symbol angezeigt. 

Wenn Sie die Karte in den Leser stecken, wird das Symbol gelb und bekommt ein grünes Fragezeichen (achten Sie 

darauf, dass die Karte im Leser einrastet). 

Hat der S-TRUST Sign-it Security Environment Manager die Karte richtig erkannt, verschwindet das Fragezeichen 

und der Chip ist gelb. Der erkannte Kartentyp wird automatisch angezeigt. 

Jetzt können Sie mit der eingelegten Chipkarte arbeiten. Wenn bereits vor dem Start des S-TRUST Sign-it Security 

Environment Managers eine Chipkarte in den Kartenleser eingelegt wurde, erkennt dieser die Karte automatisch. 

Hinweis: 

Ein gelber Chip mit rotem Kreuz bzw. rotem Fragezeichen erscheint, wenn die Karte verkehrt in den Leser gesteckt 

wurde oder eine Karte verwendet wurde, die nicht kompatibel ist. 

Die verwendbaren Karten sind in dem Abschnitt Chipkarten aufgeführt. 

Ist das Chip-Symbol in der Taskleiste rot, bedeutet dies, dass die Karte geöffnet ist oder Operationen, wie z.B. die


Hashwertverschlüsselung auf der Chipkarte ausgeführt werden. 

Karte „geöffnet“ bedeutet, dass Sie mehrere Operationen hintereinander ausführen können, ohne erneut die PIN 

eingeben zu müssen. Das kann sinnvoll sein, wenn Sie mehrere Dokumente hintereinander signieren möchten. Aus 

Sicherheitsgründen sollten Sie diese Möglichkeit nur dann nutzen, wenn Sie sich absolut sicher sind, dass kein 

Missbrauch mit der Karte vorgenommen werden kann. Verlassen Sie nie Ihren Arbeitsplatz, ohne vorher die Karte 

aus dem Kartenleser zu entnehmen. Unberechtigte Personen könnten sonst diesen Umstand ausnutzen und 

Signaturen mit Ihrer Chipkarte erzeugen. 

Hinweis: 

Beim Klicken auf die Icons in der Taskleiste bekommen Sie verschiedene Menüs angeboten. Wenn sie auf das Icon 

des S-TRUST Sign-it Security Environment Manager klicken, wird Ihnen das Konfigurationsmenü für den S-TRUST 

Sign-it Security Environment Manager angeboten. Für diese Optionen benötigen Sie Administrationsrechte auf ihrem 

Arbeitsrechner. Wenn Sie auf das graue Chipsymbol klicken, bekommen Sie ein eingeschränktes Menü angeboten, in 

welchem Sie sich Informationen zum verwendeten Kartenleser anzeigen lassen können. Wenn Sie nach dem Einlegen 

der Chipkarte auf das gelbe Chipsymbol klicken, bekommen Sie ein Menü für die jeweilige Chipkarte angeboten. Die 

angebotenen Menüpunkte werden ebenso wie die Menüpunkte für den S-TRUST Sign-it Security Environment 

Manager im Kapitel Konfiguration der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 behandelt. 

Hinweis: 

Wenn der S-TRUST Sign-it Security Environment Manager Daten verarbeitet, rotiert das Icon des S-TRUST Sign-it 

Security Environment Managers in der Taskleiste im Uhrzeigersinn, um zu verdeutlichen, dass momentan eine 

Operation ausgeführt wird. Wenn Sie also große Datenmengen signieren wollen (z.B. ein Dokument mit einer Größe 

von 300 MB), haben Sie immer eine Information darüber, dass momentan Daten verarbeitet werden. Wenn Sie mit 

der Maus über das Icon in der Taskleiste fahren, werden Sie sehen, dass auch der Tooltip-Text des S-TRUST Sign-it 

Security Environment Managers Ihnen mit der Meldung 'Daten werden bearbeitet' eine entsprechende Information 

gibt. 

Hinweis: 

Der S-TRUST Sign-it Security Environment Manager reagiert für die Kartenleser SPR 332 und SPR 532 der Firma SCM 

Microsystems an der USB-Schnittstelle auf die Plug & Play Ereignisse des Betriebssystems. Wenn Sie also einen 

solchen Kartenleser verwenden, haben Sie die Möglichkeit, bei laufendem S-TRUST Sign-it Security Environment 

Manager einen solchen Kartenleser hinzu zu nehmen oder von der USB Schnittstelle zu entfernen. Für jeden 

angesteckten Kartenleser wird ein neues Chipsymbol angezeigt und der Tooltipp an diesem Icon teilt Ihnen mit, um 

welchen Kartenleser es sich handelt. Nachdem Ihnen das Chip-Symbol angezeigt wird, ist der Kartenleser voll 

einsatzbereit. Um diese Eigenschaften nutzen zu können, müssen Sie den korrekten Treiber des Herstellers für 

diesen Kartenleser installiert haben. Sind keine Treiber vorhanden, kann das Produkt auch nicht mit dem Kartenleser 

arbeiten bzw. diesen auch nicht erkennen.



Der folgende Abschnitt beschreibt, wie Sie eine Signaturprüfung unter Verwendung des Produktes S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3 vornehmen können. Grundsätzlich vertraut das Produkt dem Wurzelzertifikat 

der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur). Aber 

auch andere Wurzelzertifikate können im Betriebssystem als vertrauenswürdig bereitgestellt werden. 

Grundsätzlich gilt: Wenn Sie mit abgesetzten Signaturen arbeiten, muss die Signaturdatei den gleichen Namen wie 

das Originaldokument mit der zusätzlichen Endung '.p7s' tragen. Dies ist Voraussetzung, damit der S-TRUST Sign-it 

Security Environment Manager die zugehörigen Originaldaten erkennen und die Signatur verifizieren kann. 

Verfahren zur Signaturprüfung durch die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

Im ersten Schritt wird immer überprüft, ob die elektronische Signatur mathematisch korrekt ist. Dies bedeutet, dass 

bei der Signaturprüfung die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 die Prüfsumme (den Hashwert) 

über die signierten Daten grundsätzlich erneut berechnen und die vorliegende Signatur gegen diesen neu 

berechneten Hashwert prüfen. Ist diese Prüfung erfolgreich, dann ist die Signatur mathematisch korrekt. Es kann 

jedoch noch keine Aussage zur tatsächlichen Gültigkeit der elektronischen Signatur getroffen werden. Dafür wird in 

einem weiteren Schritt die Gültigkeit der Zertifikate, angefangen beim verwendeten Signaturzertifikat bis hin zur 

Wurzel der Zertifikatskette geprüft. 

Zur Ermittlung der Zertifikatskette werden die in den Signaturdaten enthaltenen Zertifikate herangezogen. Kann die 

Zertifikatskette aus den verfügbaren Signaturdaten nicht ermittelt werden, können die S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3 auf alternative Zertifikatsspeicher, wie den Microsoft Zertifikatsspeicher 

oder die Festplatte zurück greifen. Kann die Zertifikatskette nicht gebildet werden, dann treffen die S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3 keine Aussage zur Gültigkeit der geprüften elektronischen Signatur. Es wird 

angezeigt, dass die Signatur mathematisch korrekt ist. Es wird jedoch weiterhin angezeigt, dass benötigte 

Zertifikate in der Zertifikatskette fehlen und somit keine abschließende Aussage zur Gültigkeit der elektronischen 

Signatur getroffen werden kann. 

War die Ermittlung des Zertifikatspfades erfolgreich, wird dieser einer Prüfung nach dem Schalenmodell 

unterworfen. Das Schalenmodell besagt, dass alle Zertifikate im Zertifikatspfad zum Signaturzeitpunkt gültig und 

nicht zurückgezogen sein müssen, damit die Signatur als gültig verifiziert werden kann. Ist diese Prüfung erfolgreich 

und die Zertifikatskette vollständig, wird dem Benutzer angezeigt, dass die Signatur gültig ist. 

Allgemeine Anforderungen bei der Prüfung elektronischer Signaturen 

Die S-TRUST Sign-it Basiskomponenten prüfen die Zertifikate einer Kette in jedem Falle gegen die zur Verfügung 

stehenden Sperrlisten. Wird ein entsprechender Sperreintrag für eines der geprüften Zertifikate gefunden, so wird 

Ihnen dieser Sperrstatus auch zur Kenntnis gebracht. 

Hinweis: Achten Sie bitte darauf, dass stets aktuelle Sperrlisten bei der Signaturprüfung zur Verfügung stehen. 

Da die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 die lokale Systemzeit zur Codierung des 

Signaturzeitpunktes verwendet, ist die korrekte Einstellung der Systemzeit notwendig. Sie sind als Nutzer der S- 

TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 für die Korrektheit der Systemzeit verantwortlich. In allen 

anderen Fällen kann die Prüfung, insbesondere nach dem Kettenmodell, durch das Produkt nicht zuverlässig 

vorgenommen werden. Durch die Prüfung nach dem Schalen- und dem Kettenmodell verwendet das Produkt zwei


voneinander unabhängig arbeitende Prüfmechanismen, die jedoch beide auf Sperrlisten angewiesen sind, welche die 

oben genannten Bedingungen an den Herausgabezeitpunkt erfüllen. 

Ist in der Signaturdatei ein Zeitstempel vorhanden, wird auch eine Aussage zur Gültigkeit der Signatur an dem 

Zeitpunkt geliefert, den der Zeitstempel ausweist. Um die vollständige Gültigkeit des Zeitstempels zu prüfen, 

müssen Sie den Detaildialog für Zeitstempel verwenden. Nähere Informationen hierzu finden Sie im Kapitel 

Zeitstempeldienste (siehe Seite 114). 

Hinweis: Ist in dem Signaturabschnitt kein Zeitpunkt der Signaturerzeugung enthalten, wird die aktuelle Systemzeit 

als Prüfzeitpunkt verwendet und angezeigt. 

Hinweis: Bei der Signaturprüfung müssen Sie immer den Zertifikatspfad des geprüften Signaturzertifikats 

überprüfen. Das Produkt verwendet auch vertrauenswürdige Stammzertifikate aus dem Microsoft 

Zertifikatsspeicher, d.h., es kann zu der Aussage kommen, dass die geprüfte Signatur gültig ist, obwohl Sie dem 

Wurzelzertifikat nicht vertrauen. Die Gültigkeit der elektronischen Signatur ist im technischen Sinne zwar korrekt, 

aber evtl. wollen Sie als Benutzer dem Stammzertifikat nicht vertrauen. Daher ist die Prüfung des Zertifikatspfades 

unerlässlich. Diese Prüfung können Sie vornehmen, in dem Sie sich das Signaturzertifikat über Details anzeigen 

lassen und im Zertifikatsdialog das Register Zertifizierungspfad auswählen. 

Wenn ein Wurzelzertifikat bei der Signaturprüfung gefunden wurde, geben die S-TRUST Sign-it Basiskomponenten 

den Ablageort an. 

Die Zertifikate der Bundesnetzagentur sind den S-TRUST Sign-it Basiskomponenten durch signierte Vertrauenslisten 

bekannt. In diesem Fall benennt das Produkt das verwendete Wurzelzertifikat als 'Vertrauenswürdiges Zertifikat'. 

Wurde das Zertifikat aus dem Microsoft Stammspeicher für vertrauenswürdige Stammzertifizierungsstellen 

bezogen, zeigt das Produkt im Zertifizierungspfad ,Zertifikat aus dem Microsoft Stammspeicher für 

vertrauenswürdige Zertifikate' an. 

Wurde das Zertifikat aus dem CTL Verzeichnis des Produktes bezogen, zeigt das Produkt ,Zertifikat aus dem CTL 

Verzeichnis' an. 

Diese Information wird nur angezeigt, wenn ein Wurzelzertifikat im Zertifizierungspfad gefunden wurde. 

Hinweis: Wenn Sie ein PDF-Dokument prüfen, welches mehrere eingebettete Signaturen enthält, müssen Sie im 

Prüfdialog den Befehl 'Daten anzeigen' verwenden, um diejenige Dokumentversion zu sehen, auf die sich die 

jeweilige Unterschrift bezieht. 

Das PDF Format erlaubt nach einer Signatur, das Dokument weiter zu ändern. Die elektronische Unterschrift bezieht 

sich jedoch immer auf die konkrete Version des Dokuments, die Sie nur aus dem Prüfdialog heraus eindeutig 

anzeigen lassen können. Das bedeutet auch, dass die Signatur nicht für das geänderte Dokument gilt, sondern exakt 

für die Dokumentversion, die Ihnen im Prüfdialog über den S-TRUST Sign-it Viewer angezeigt wird. 

Prüfung qualifizierter elektronischer Signaturen 

Grundsätzlich wird bei jeder vorliegenden Signatur geprüft, ob dies eine qualifizierte elektronische Signatur ist. Die 

S-TRUST Sign-it Basiskomponenten ermitteln dies an mehreren Kriterien: Das verwendete Signaturzertifikat das 

Attribut QC-Statement mit dem Wert EU-QC-konform oder SigG-konform aufweisen. Des weiteren muss das 

verwendete Signaturzertifikat von einem angezeigten oder akkreditierten Zertifizierungsdiensteanbieter 

herausgegeben worden sein. Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 verfügen über eigene 

Verwaltungsmechanismen für diese Einstufung. Die Zertifikate der ZDA's und der Bundesnetzagentur müssen in 

einer signierten Vertrauensliste vorliegen, die ausschließlich durch OPENLiMiT gepflegt wird. 

Treffen die genannten Kriterien zu, so erfolgt die Prüfung der Zertifikatskette nach dem Kettenmodell. Dieses


Gültigkeitsmodell für Zertifikatsketten erlaubt, dass elektronische Signaturen mit Zertifikaten erzeugt werden 

können, deren Herausgeberzertifikate zum Zeitpunkt der Signaturerstellung bereits abgelaufen sind. Dies erlaubt 

eine kürzere Laufzeit einzelner Zertifikate in der Zertifikatskette und erhöht somit die Sicherheit der in Deutschland 

verwendeten Zertifikatsinfrastruktur. In allen anderen Fällen erfolgt die Prüfung nach dem so genannten 

Schalenmodell. 

Die S-TRUST Sign-it Basiskomponenten zeigen in eindeutiger Art und Weise an, ob das Herausgeberzertifikat als 

angezeigter oder akkreditierter Zertifizierungsdiensteanbieter in der aktuell verwendeten Vertrauensliste enthalten 

ist. Ist dies der Fall, wurde die Signatur nach dem Kettenmodell geprüft. Alle anderen Signaturen, die mit den S- 

TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 geprüft werden, werden unter Verwendung des Schalenmodells 

geprüft. Detaillierte Informationen zu den verschiedenen Prüfmodellen finden Sie auf der Webseite der 

Bundesnetzagentur (http://www.bundesnetzagentur.de). 

Für beide Gültigkeitsmodelle gilt, dass das verwendete Signaturzertifikat zum Signaturerzeugungszeitpunkt gültig 

sein muss. Das Herausgeberzertifikat kann beim Kettenmodell bereits abgelaufen sein, beim Schalenmodell ist dies 

nicht zulässig. In keinem von beiden Gültigkeitsmodellen darf eines der Zertifikate in der Kette zurückgezogen sein, 

z.B. wegen Bruch des Signaturschlüssels. 

Besonderheiten im Zusammenhang mit dem Katalog zulässiger Algorithmen 

Die Bundesnetzagentur veröffentlicht jedes Jahr einen so genannten Algorithmenkatalog, der die Verwendung der 

zulässigen Algorithmen für die qualifizierte elektronische Signatur regelt. Dieser Algorithmenkatalog wird durch die 

S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 abgebildet. Dies bedeutet, dass die S-TRUST Sign-it 

Basiskomponenten 2.5, Version 2.5.1.3 überprüfen, ob der verwendete Algorithmus und der verwendete 

Signaturschlüssel den Anforderungen an diesen Katalog genügen. Ist dies nicht der Fall, wird die geprüfte Signatur 

auch nicht als gültig geprüft und es wird ein Hinweistext angezeigt, dass Algorithmen verwendet werden, die keine 

Aussage über die tatsächliche Gültigkeit der Signatur zulassen. 

Wird Ihnen eine entsprechende Meldung durch die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 angezeigt, 

sollten Sie die Webseiten der Bundesnetzagentur sowie den Bundesanzeiger heranziehen, um die Korrektheit der 

eingesetzten Algorithmen unabhängig zu prüfen. Da im Jahr 2008 der Hashalgorithmus SHA-1 für die qualifizierte 

elektronische Signatur nicht mehr zulässig sein wird und eine definitive Festlegung eines Übergangszeitraums noch 

nicht getroffen wurde, müssen Sie bei der Prüfung elektronischer Signaturen im Zweifelsfall die aktuell von der 

Bundesnetzagentur veröffentlichten Dokumente zu Rate ziehen. 

Signaturprüfung vornehmen 

Nachdem Sie auf eine signierte Datei geklickt haben, erscheint der Dialog Details zur Signaturprüfung:


Hinweis: Falls zu der Installation der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 der Button "Speichern" 

angezeigt wird, haben Sie hier die Möglichkeit, ein Prüfprotokoll zur Signaturverifikation abzulegen. 

In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oder zumindest 

mathematisch korrekt ist. 

Ist eine Signatur ungültig, dann wurden die Daten verändert oder die Zertifizierungskette konnte nicht aufgelöst 

werden. Dieser Signatur können Sie nicht vertrauen. 

Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde. Außerdem wurde 

auch die Signatur an sich nicht manipuliert. In der Regel müssen Sie aber noch den Onlinestatus des verwendeten 

Signaturzertifikates prüfen, um wirklich sicher zu sein, dass das verwendete Signaturzertifikat in Ordnung ist. 

Dies wird unter den Details, also unter dem Tab mit dem Namen des Signaturinhabers genauer untersucht.


Die Bedeutung der einzelnen Punkte 

� Hashwertüberprüfung: Integrität der Daten 

positiv: Die Daten wurden seit der Signatur nicht verändert. 

Wird als Zusatzinformation ein Hinweis angezeigt, dass die Signtur als ungeeignet eingestuft wird, dann bedeutet 

das, dass für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1) verwendet wurde, der für die 

Erzeugung qualifizierter Signaturen nicht zulässig ist. 

negativ: Die Hashwerte stimmen nicht überein, die Daten wurden möglicherweise verändert. 

� Prüfung von Signatur und Zertifizierungspfad: Beschädigung der Signatur und Vollständigkeit des 

Zertifizierungspfades 

Wird als Zusatzinformation ein Hinweis angezeigt, dass die verwendeten Signaturparameter als ungeeignet 

eingestuft werden, dann bedeutet das, dass entweder für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. 

SHA-1) verwendet wurde, der für die Erzeugung qualifizierter Signaturen nicht zulässig ist oder die verwendeten 

Schlüssel nicht die erfolderlich Länge größer als 1024 Bit besaßen. 

� Zeitpunkt der Signaturerzeugung: Hier wird die Zeit angegeben, die auf dem Rechner zur Signaturerzeugung 

eingestellt war. 

� Vertrauensbasis: Zeigt die Quelle für das Wurzel- bzw. Rootzertifikat an, auf der die Prüfung des Zertifikats 

beruht. Weiterhin wird der für die Signaturprüfung verwendete Algorithmenkatalog angezeigt. 

� Zertifikatsstatus: Sperrung der Signatur. Anhand von Sperrlisten wird geprüft, ob das Zertifikat gesperrt wurde. 

Wenn hier nicht geprüft werden kann, empfiehlt sich das Herunterladen von aktuellen Sperrlisten oder eine 

Online-Prüfung über den Button Onlinestatus... 

Über den Button Button Details, Auswahl des Zertifikats und wiederum Anklicken des Buttons Details können Sie 

sich die Zertifikatseigenschaften anzeigen lassen.


Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt werden. 

Nach einem Klick auf Onlinestatus... wird die OCSP-Abfrage geöffnet. Für die Prüfung muss eine Verbindung mit dem 

Internet bestehen. 

Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt oder 

unbekannt. 

Wenn Sie auf den Button Details klicken, können Sie sich die Details zur OCSP-Abfrage anzeigen lassen.


Wenn Sie unter dem Register Zusammenfassung auf den Button Signatur-Zertifikat anzeigen klicken, können Sie die 

Details des Zertifikatspfades nachvollziehen. 

Um die Quelle der OCSP Antwort zu prüfen, sollten Sie immer das Zertifikat, welches die OCSP Antwort 

unterzeichnet hat, anzeigen lassen. Sie müssen selbst entscheiden, ob Sie dem Zertifikat vertrauen. 

Unter dem Register OCSP Details werden Ihnen weitere Detailinformationen zu der OCSP Antwort angezeigt.


Hinweis: Auch wenn Sie in regelmäßigen Abständen die aktuellen Sperrlisten der Zertifikatsherausgeber beziehen, 

sollten Sie auf jeden Fall immer eine OCSP Abfrage durchführen. Lassen Sie sich das Zertifikat der OCSP Antwort 

anzeigen und entscheiden Sie selbst, ob Sie diesem vertrauen.


Arbeiten mit dem S-TRUST Sign-it Integrity Tool 

Das S-TRUST Sign-it Integrity Tool ist ein Programm zur Überprüfung der Hash-Werte an den ausgelieferten 

sicherheitsrelevanten Modulen und stellt somit sicher, dass sich die Module noch in dem Zustand befinden, wie sie 

ursprünglich ausgeliefert und installiert wurden. 

Das S-TRUST Sign-it Integrity Tool sollte grundsätzlich über die Internetseite 

www.openlimit.com/integritytool/index.htm oder https://www.s-trust.de/sign-it/sicherheit oder die Original CD 

gestartet werden. 

In dem Fall, dass Sie das Produkt über einen Download erhalten und installiert haben, sollten Sie, bevor Sie das 

Produkt zum ersten Mal einsetzen, das S-TRUST Sign-it Integrity Tool ausführen, um die Korrektheit der Installation 

zu verifizieren. 

Stellt das S-TRUST Sign-it Integrity Tool fest, dass die Module sich nicht mehr in ihrem Originalzustand befinden, 

sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher sollten Sie jedoch mit einem aktuellen 

Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen wurde oder ein anderes Programm Ihren Rechner 

manipuliert hat. 

� Starten Sie die HTML-Seite index.htm von der Original CD oder über die Internetseite https://www.strust.de/sign-it/sicherheit. 

Die Java Virtual Machine (JVM) überprüft daraufhin die Signatur des Applets und 

öffnet einen Dialog mit Sicherheitshinweisen. 

Den Fingerabdruck des Signaturzertifikates für das S-TRUST Sign-it Integrity Tool finden Sie in dieser 

Benutzerdokumentation unter S-TRUST Sign-it Integrity Tool. 

Zur Sicherheit sollten Sie immer die Signatur des Applets über den Befehl "Mehr Details" prüfen und erst dann den 

Start des Applets selbst freigeben.


Nach Anklicken des Button Zertifikatsdetails werden die Informationen zu dem Zertifikat einschließlich der 

Seriennummer angezeigt. 

� In dem folgenden Fenster finden Sie im Feld 'Installationsverzeichnis' den Pfad für die S-TRUST Sign-it 

Programminstallation. Falls dieser nicht automatisch gefunden wurde bzw. nicht korrekt angezeigt wird, stellen 

Sie bitte den Pfad über den Button 'Suchen' oder 'manuell eingeben' entsprechend ein.


� Gleichzeitig haben Sie die Möglichkeit, über den Button Sprachauswahl die Sprache einzustellen. Das S-TRUST 

Sign-it Integrity Tool wird in deutsch und englisch bereitgestellt. 

� Standardmäßig ermittelt das Java-Applet beim Start das Installationsverzeichnis. Wird kein Installationspfad 

angezeigt, dann müssen Sie den Installationspfad manuell auswählen.


Hinweis: Geben Sie die Installationspfade der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 nicht im 

Netzwerk für andere Benutzer frei. 

Nach Anklicken des Button Prüfung starten wird das S-TRUST Sign-it Integrity Tool gestartet. 

Sind die Dateien und deren Hash-Werte in Ordnung, wird Ihnen das folgende Ergebnisfenster angezeigt: 

Ist der Dateistatus für alle Dateien OK, so ist die Integrität der Software erfolgreich nachgewiesen. 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 können optional Module enthalten wie die siq0*.dll, 

siq1*.dll und siq2*.dll. Diese Module beinhalten die Ansteuerung konkreter Kartenterminals. Ist ein Modul vorhanden,


dann wird auch jeweils eine Liste der dadurch unterstützten Kartenterminals angezeigt: 

siq0ccid.dll 


� SCM SPR 532 (Firmware 5.10) 






� Reiner SCT cyberJack secoder 



� Fujitsu Siemens S26381-K329-V2xx HOS:01 

siq0rsct.dll 






� Reiner SCT cyberJack secoder 

siq0scmm.dll 

� SCM Microsystems SPRx32/Chipdrive PinPad 

siq0ok.dll 



siq0kby.dll (PC/SC) oder siq0kbyct.dll (CT-API) 

� Kobil Systems B1 Pro 

� Kobil KAAN Advanced 

� Kobil KAAN TriB@nk 

� Kobil EMV-TriCAP Reader 

� Kobil SecOVID Reader III 

siq0chy.dll 


Chipkartenbetriebssysteme und Chipkarten 

� sq1seccos.dll unterstützt das SECCOS Chipkartenbetriebssystem 

Chipkarten-OS Chipkartenprofil Chipkartenname im Produkt 

siq1seccos.dll siq2ds2.dll, siq2ds3.dll Alle Karten des Sparkassenverlags 

Die Datei OpenLimitSigningCeremony.ifx steuert die Zusammenarbeit zwischen den S-TRUST Sign-it


Basiskomponenten 2.5, Version 2.5.1.3 und dem IBM Lotus Forms Viewer. Der erfolgreiche Integritätscheck dieses 

Moduls wird durch die Meldung „Das Plugin für IBM Lotus Forms Viewer ist installiert“ bestätigt. 

Das Fehlen eines oder mehrerer dieser Module wird durch den Status Nicht installiert ausgewiesen. Die Integrität 

der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 ist trotzdem sichergestellt. 

Ab Version 2.5.1.3 bietet das S-TRUST Sign-it Integrity Tool dem Anwender die Möglichkeit, Konfigurationen für 

Chipkarten zusätzlich einzuspielen. Diese Konfiguration sind Initialisierungsdateien, die festlegen, welcher Hash- 

und Signaturalgorithmus für die jeweilige Signaturkarte verwendet wird. 

Das S-TRUST Sign-it Integrity Tool kennt alle möglichen Konfigurationen für die Signaturalgorithmen und prüft bei 

der Integritätsprüfung auch die verwendeten Algorithmen. Wird eine Kartenkonfiguration gefunden, die nicht den 

Vorgaben der Bundesnetzagentur entspricht, wird eine Warnung an den Benutzer generiert und angezeigt. Wird eine 

Konfigurationsdatei gefunden, die unbekannt ist, wird dieser Zustand dem Benutzer angezeigt. 

Beispiel 1: 

Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool bildet den 

Hashwert über die Initialisierungsdatei und stellt dabei fest, dass diese Datei festlegt, dass einige SECCOS Karten 

mit SHA-1 als Hashwert signieren sollen. In diesem Falle wird durch das Integrity Tool im Anschluss an die Übersicht 

der unterstützten SECCOS-Karten der folgende Text generiert: „Das Modul ist so konfiguriert, dass SHA-1 für einige 

Karten gemäß obiger Übersicht als Signaturagorithmus zugelassen ist. Bitte prüfen Sie auf der Webseite der 

Bundesnetzagentur (http://www.bundesnetzagentur.de), ob mit dieser Konfiguration die Anforderungen an die 

qualifizierte Signatur erfüllt werden." 

Beispiel 2: 

Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Tool bildet den 

Hashwert über die Initialisierungsdatei und stellt dabei fest, welcher Signaturalgorithmus für die verschiedenen 

SECCOS Karten verwendet werden sollen. Die Übersicht der unterstützten SECCOS Karten enthält für die einzelnen 

Karten die Angabe des jeweils unterstützten Signaturalgorithmus. Im Anschluss an die Übersicht der unterstützten 

SECCOS Karten wird der folgende Text generiert: "Informationen zu den jeweils verwendeten Signaturalgorithmen 

entnehmen Sie bitte obiger Übersicht." 

Hinweis: Die Sprachressourcen der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 sind in der deuSEMk.dll 

bzw. der engSEMk.dll gespeichert. Mindestens eine der beiden Dateien muss vorhanden sein, ansonsten wird die 

Integrität der S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 nicht bestätigt. Für die jeweilige 

Sprachressource müssen auch die dazugehörige Hilfe und der Viewer vorhanden sein, ansonsten wird die Integrität 

ebenfalls nicht bestätigt. 

Nach Bestätigung des Informationsfensters mit OK erhalten Sie die Liste der Dateien, die geprüft wurden und den 

Dateistatus angezeigt. 

Folgende Dateizustände werden unterschieden: 

� OK: Die Prüfung des Hashwertes ist positiv, d.h. die Datei entspricht der Originalinstallation. 

� Unbekannt: Das ist der Ausgangsstatus für alle Dateien vor der Prüfung. Dieser Status wird auch angezeigt, 

wenn keine Prüfung möglich ist.


� Datei verändert: Die Datei wurde nach der Installation verändert. 

� Datei nicht gefunden: Die Datei wurde nicht gefunden. 

� Datei nicht lesbar: Die Datei ist nicht lesbar und der Hashwert konnte nicht berechnet werden. 

� Nicht installiert: Dieser Status trifft nur für die optionalen Module zu, falls diese nicht installiert sind. 

Nach Anklicken des Button Speichern haben Sie die Möglichkeit, das Ergebnis der Prüfung zu speichern. 

� Schließen Sie das Browserfenster, um den Prüfprozess zu beenden. 

Wurden Dateien bzw. Signaturen manipuliert, sind nicht vorhanden bzw. konnten nicht gelesen werden, teilt Ihnen 

das Programm dies mit einer entsprechenden Meldung mit. Die Integrität ist damit nicht bestätigt.


Hinweis: Im Falle von Abweichungen vom Originalzustand der Installation müssen Sie den Rechner auf 

sicherheitstechnische Veränderungen und Eingriffe prüfen. 

Es wird empfohlen, dass Sie in diesem Falle die Software mit Hilfe des Installationsprogrammes deinstallieren und 

erneut installieren. Falls die Verifikation des Zertifikates durch die JVM fehlschlägt oder andere Dialoge als die 

abgebildeten angezeigt werden, insbesondere wenn eine andere Seriennummer für das Signaturzertifikat angezeigt 

wird, wird nicht das korrekte Prüfprogramm ausgeführt. In diesem Falle dürfen Sie sich nicht auf die Statusaussagen 

des Tools verlassen und müssen Ihre Installation der JVM sowie die URL, von der Sie das S-TRUST Sign-it Integrity 

Tool bezogen haben, mit den Angaben im Handbuch vergleichen.


Sperrlistenaktualisierung 

Die Sperrlistenaktualisierung ist ein Zusatzmodul zu den bestätigten Basiskomponenten und kann aus dem Menü des 

Security Environment Managers gestartet werden. Im weiteren Verlauf wird dieses Zusatzprogramm als S-TRUST 

Sign-it Sperrlistenaktualisierungsassistent bezeichnet. 

Der folgende Abschnitt beschreibt die Benutzung des S-TRUST Sign-it Sperrlistenaktualisierungsassistenten im 

Detail. Etwaige Fehlermeldungen des S-TRUST Sign-it Sperrlistenaktualisierungsassistenten sind im Kapitel 

Fehlermeldungen S-TRUST Sign-it Security Environment Manager enthalten. 

Um eine sichere Signaturprüfung zu gewährleisten, sollten Sie vor der Signaturprüfung die aktuellsten 

Sicherheitsdateien herunterladen. Diese Sicherheitsdateien bestehen hauptsächlich aus Sperrlisten, aber auch die 

Public Key Directories der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 

(Bundesnetzagentur) sollten in regelmäßigen Abständen aktualisiert werden. Sie haben als Benutzer die 

Möglichkeit, auszuwählen, welche Sperrlisten heruntergeladen werden sollen. Sie können am Wurzelzertifikat der 

geprüften Signatur erkennen, welche Sperrliste Sie verwenden müssen, um die Signatur korrekt zu prüfen. Als 

Arbeitsschritt empfiehlt es sich aber immer, vor der eigentlichen Signaturprüfung stets alle Sperrlisten 

herunterzuladen, da Sie im Regelfall nicht wissen, von welchem Zertifikat die zu prüfende Signatur erzeugt wurde 

und wie das zugehörige Herausgeberzertifikat lautet. 

So laden Sie eine aktuelle Sperrliste herunter: 

� Klicken Sie auf das S-TRUST Sign-it Icon in der Taskleiste. 

� Wählen Sie den Menüpunkt Sperrlistenaktualisierung. 

� Daraufhin öffnet sich der S-TRUST Sign-it Sperrlistenaktualisierungsassistent mit einer Startseite, die Sie mit 

Weiter bestätigen können. 

� Wählen Sie aus der Liste mit einem Klick in die Checkboxen die gewünschten Sicherheitsdateien aus.


� Durch Aktivieren der Checkbox Aktuelle Vertrauenslisten laden werden weitere aktuelle Vertrauenslisten 

geladen. Dies bedeutet, dass mit Aktivierung dieser Option auch neue CA's in die Vertrauenslisten 

aufgenommen werden können. Vertrauenslisten für akkreditierte Zertifizierungsdiensteanbieter werden nicht 

aktualisiert. Der Download der neuen Vertrauenslisten erfolgt von den Servern der OPENLiMiT oder des DSV. 

� Klicken Sie jetzt auf Weiter 

� Wenn Sie jetzt auf Starten klicken, werden die aufgelisteten Dateien aktualisiert. Mit einem Klick auf Zurück 

können Sie die Auswahl noch einmal ändern.


Der Dateistatus gibt an, wie weit der Download der jeweiligen Datei fortgeschritten ist. Am Ende wird eine Liste mit 

Ergebnissen erstellt. 

� Klicken Sie auf Fertig stellen. 

Hinweis: Um diese Dateien zu aktualisieren, benötigen Sie eine Internetverbindung. Konnte die Verbindung nicht 

hergestellt werden, wird als Statusmeldung 'Fehler beim Download' angezeigt. Aktuelle Sperrlisten sind notwendig 

um eine erfolgreiche Signaturprüfung vornehmen zu können. Wenn sie die Sperrlisten nicht aktualisieren, können Sie 

auch keine Signaturen bzw. das verwendete Signaturzertifikat und die Zertifikatskette als gültig verifizieren.


Arbeiten mit dem S-TRUST Sign-it Viewer 

Der S-TRUST Sign-it Viewer kann aus dem Signaturanforderungsdialog und bei der Signaturprüfung (PKCS#7 

Dateien) jeweils über den Button Daten anzeigen gestartet werden, vorausgesetzt es handelt sich um Daten im PDF, 

TIFF oder TXT Format und die Anzeige dieser Dateiformate wurde durch einen entsprechenden Lizenzcode 

freigeschaltet. In diesem Fall werden Ihnen die Daten, die Sie signieren bzw. deren Signatur Sie prüfen wollen, 

angezeigt. Die Schaltflächen zur Signaturerzeugung und Signaturverifikation sind nicht aktiv. 

Darüber hinaus kann der S-TRUST Sign-it Viewer als separates Programm über Start - Programme - S-TRUST Sign-it - 

S-TRUST Sign-it Viewer gestartet werden. Beim Start über den Programmordner wird das Programm ohne Datei 

geöffnet. 

Nachdem eine Datei geöffnet wurde, sehen Sie im linken Bereich der Anzeige unter dem S-TRUST Sign-it Logo eine 

Dateivorschau, welche Ihnen die einzelnen Seiten des Dokuments mit der Seitennummer anzeigt. Mit einem Klick auf 

die jeweilige Vorschauseite springt die Seitenansicht im rechten Bereich der Anwendung auf die angewählte Seite. 

Im dargestellten Beispiel umfasst die TIFF Datei nur eine Seite.


Nach Anklicken des Registers Unterschriften erhalten Sie Detailinformationen zu der bzw. den Signaturen der Datei. 

Ist die Datei nicht signiert, wird der Hinweis „Das Dokument ist nicht digital signiert“ angezeigt. 

Die Erläuterung zu den Detailinformationen finden Sie in dem Abschnitt Signaturverifikation.


Der S-TRUST Sign-it Viewer stellt Ihnen die folgenden Toolbars zur Verfügung. 

Die Toolbar Standard: 

Die folgenden Funktionen können über diese Toolbar angesprochen werden: 

� Datei öffnen: Hier können Sie eine TIFF oder Textdatei in die Ansicht laden. 

� Datei speichern unter: Hier können Sie die Datei unter einem beliebigen Namen speichern. 

� Seitenansicht: Es wird eine Druckvorschau generiert. 

� Drucken: Hier können Sie die Datei ausdrucken. 

� Dateiinhalt: Es werden in Abhängigkeit von dem geöffneten Dateiformat weitere Dateiinhalte angezeigt. 

� Info: Es werden die Versionsinformation und die Copyright Informationen angezeigt. 

� Hilfe: Es wird die Benutzerdokumentation (dieses Handbuch) geöffnet 

Die Toolbar Ansicht: 

Diese Toolbar ist nur bei TIFF Dateien aktiv. Textdateien werden immer im Verhältnis 1:1 dargestellt. 

� Breite anpassen: Das dargestellte Bild wird an die Breite des Fensters angepasst. 

� Alles darstellen: Das dargestellte Bild wird so in das Fenster eingepasst, dass die gesamte Seite in dem Fenster 

dargestellt wird. 

� Pixelgenau darstellen: Das Bild wird 1:1 pixelgenau dargestellt. 

� Benutzerdefiniert darstellen: Es erscheint ein Dialog, der Ihnen die Auswahl eines Zoomverhältnisses zwischen 

10% und 300% ermöglicht. 

� Schwarz/Weiß Darstellung: Sie haben hier die Möglichkeit, ein TIFF-Dokument, welches als Farb- oder 

Graustufendarstellung vorliegt, in eine Schwarz/Weiß Darstellung zu transformieren. 

� Graustufendarstellung: Das aktuelle TIFF-Dokument wird in Graustufen dargestellt. 

� Originaldarstellung: Wenn Sie von der Option zur Schwarz/Weiß Darstellung oder der Graustufendarstellung 

Gebrauch gemacht haben, kommen Sie hier wieder zur Originalansicht. 

Die Toolbar Signatur: 

Diese Toolbar ist nur dann aktiv, wenn das Programm nicht aus dem Signaturanforderungsdialog gestartet wurde. 

� Signatur erzeugen: Hier können Sie über den S-TRUST Sign-it Security Environment Manager die angezeigte 

Datei elektronisch signieren. 

� Signatur prüfen: Hier können Sie über den S-TRUST Sign-it Security Environment Manager eine Prüfung der 

elektronischen Signatur vornehmen.


In Abhängigkeit von den zur Verfügung stehenden Funktionalitäten können Buttons für weitere Anwendungen 

angezeigt werden wie z.B. dem Mailversand. 

Hinweise für den Umgang mit Meldungen während der Dokumentanalyse 

Wenn ein Dokument durch den S-TRUST Sign-it Viewer geöffnet werden soll, untersucht der S-TRUST Sign-it Viewer 

dieses Dokument nach versteckten Inhalten. Der folgende Abschnitt zeigt Ihnen, wie Sie mit einer solchen Meldung 

umgehen können. 

Wenn Sie eine TIFF - Datei in den S-TRUST Sign-it Viewer laden, kann die folgende Meldung erscheinen. 

Diese Meldung bedeutet, dass die TIFF Datei zwar inhaltlich korrekt ist, aber Datenfelder enthält, die in der 

Darstellung nicht angezeigt werden. Der S-TRUST Sign-it Viewer gibt Ihnen die Möglichkeit, diese Datenbereiche 

ebenfalls zu untersuchen. Um diese Bereiche zu untersuchen, klicken Sie auf: 

� das Symbol für weitere Dateiinhalte in der Toolbar 

� oder den Menüpunkt Ansicht - weitere Dateiinhalte... 

Ihnen wird dann ein Dialog angezeigt, der Ihnen sämtliche Informationen zu den angezeigten Dateiinhalten liefert.


Sie können sich z.B. in einer TIFF-Datei alle Tags, nur Text Tags oder auch nur die unbekannten Tags anzeigen 

lassen. In dem unteren Fenster wird dieser Bereich dann Hexadezimal kodiert dargestellt bzw. Sie können die 

Darstellung auch auf Dezimalzahlen umschalten. Wenn Sie den Scrollbalken des Fensters nach unten bewegen, sehen 

Sie einen Bereich, in dem versucht wird, die enthaltenen Informationen als Text darzustellen. Dies gibt Ihnen die 

Möglichkeit, verborgene Inhalte zu erkennen und z.B. zu entscheiden, ob Sie die Datei trotz dieser Inhalte signieren 

möchten. Häufig enthalten TIFF-Dateien noch Zusatzinformationen, wie einen Autor. Diese Informationen werden in 

der Bildverarbeitung oft nicht mit dargestellt. Mit der Analyse durch den S-TRUST Sign-it Viewer haben Sie trotz 

allem noch die Möglichkeit, auch diese verborgenen Inhalte zu betrachten. 

Hinweis: Die Untersuchung der verwendeten TIFF-Dateien richtet sich an der Adobe TIFF-Spezifikation 6.0 aus. Wenn 

TIFF-Dateien verwendet werden, die nicht dieser Spezifikation entsprechen, kann das gelieferte Produkt diese 

Dateien nicht analysieren und korrekt als TIFF Datei erkennen. 

Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der S-TRUST Sign-it 

Basiskomponenten 2.5 beschrieben. 

Untersuchung von TIFF-Dokumenten in der Schwarz-Weiß Darstellung 

Das folgende Beispiel erklärt Ihnen, wie Sie versteckte Inhalte in TIFF-Dokumenten erkennen können, die auf Grund 

unzureichender Kontrastierung in der Ansicht nicht erscheinen. Sie laden eine Grafik mit dem S-TRUST Sign-it 

Viewer, die im ersten Schritt wie folgt dargestellt wird.


Im nächsten Schritt sollten Sie grundsätzlich eine Untersuchung der dargestellten Grafik vornehmen, da auf Grund 

zu geringer Farbkontraste enthaltene Informationen bei der Darstellung am Monitor verloren gehen können. Sie 

klicken auf den Knopf zur Schwarz/Weiß Darstellung und sehen den folgenden Dialog. 

Sie können nahtlos die Einstellung festlegen, ab welchem Punkt die Farbwerte der Farbe Schwarz zugeordnet 

werden. Sie bewegen den Schieberegler bis auf eine volle Schwarz-Weiß Darstellung und können somit den Inhalt 

der Datei nun genauer untersuchen. Damit haben Sie grundsätzlich die Möglichkeit, jede farbige Grafik auf verdeckte 

Inhalte hin zu untersuchen. Nachdem Sie die Einstellungen vorgenommen haben, klicken Sie auf OK. In der folgenden 

Darstellung erkennen Sie nun den Inhalt, der auf Grund der unzureichenden Farbkontraste des Monitors sonst nicht 

sichtbar gewesen wäre.


Sie haben mit Hilfe des S-TRUST Sign-it Viewers den versteckten Inhalt entdeckt und sollten von der Erzeugung 

einer elektronischen Signatur absehen. 

Grundsätzlicher Hinweis: Der S-TRUST Sign-it Viewer kann Sie nicht von der Interpretation der angezeigten Daten 

befreien. Das TIFF Format ist kein Dateiformat, welches eine Interpretation des dargestellten Inhaltes durch ein 

Programm wie den S-TRUST Sign-it Viewer zulässt. Die Untersuchung der Daten auf versteckte Inhalte wird Ihnen 

durch diesen Produktbestandteil ermöglicht, allerdings müssen Sie selbst solche Untersuchungen mit Hilfe der 

vorhandenen Mechanismen vornehmen. Das TIFF-Format sieht die Verwendung bestimmter Kompressionsformate 

innerhalb einer TIFF-Datei vor. Die sichere Anzeigeeinheit erkennt nicht alle Kompressionsformate und kann daher 

auch nicht alle Kompressionsformate anzeigen. In diesem Falle wird die Textmeldung angezeigt: 'Das Format der 

Datei ist nicht geeignet'. 

Um Inhalte, wie Sie in dem obigen Szenario erläutert wurden, sicher zu erkennen, müssen Sie bei farbigen TIFF- 

Dokumenten immer eine Analyse in der Schwarz/Weiß Darstellung vornehmen. Sie könnten sonst ein Dokument 

signieren, welches Sie in seinem Inhalt nicht bereit wären, zu signieren. 

Hinweis bei der Analyse von Text-Dateien: Bei der Analyse von Textdokumenten kann der S-TRUST Sign-it Viewer 

melden, dass Zeichen erkannt wurden, für die keine eindeutige Darstellung definiert ist. Das bedeutet, dass Zeichen 

erkannt wurden, die sowohl im OEM Schriftsatz als auch im ANSI Schriftsatz eine unterschiedliche Bedeutung haben.


Wenn Sie sich nicht sicher sind, ob dadurch der Inhalt eines Textdokuments verfälscht wird, können Sie sich 

ebenfalls unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar Klarheit verschaffen. Die 

folgende Grafik zeigt, wie die Analyse solcher mehrfach belegten Zeichen im Detail dargestellt wird.


Ihnen wird angezeigt, welche Zeichen wie oft erkannt wurden. Wenn Sie auf ein Zeichen in der Liste klicken, wird 

Ihnen zu jedem Vorkommen des Zeichens angezeigt, in welcher Zeile und Spalte des Dokuments dieses Zeichen 

gefunden wurde. So können Sie sich Klarheit verschaffen, ob das Dokument immer noch den Inhalt hat, den Sie auch 

bereit sind, zu signieren. 

Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten der S-TRUST Sign-it 

Basiskomponenten 2.5 beschrieben. 

Bei dem Öffnen einer PDF Datei mit dem S-TRUST Sign-it Viewer kann der folgende Hinweis auftreten: 

Damit werden Sie darauf hingewiesen, dass in der PDF Datei Java Scripte enthalten sind. Diese werden in dem S- 

TRUST Sign-it Viewer nicht ausgeführt. In dem darauf folgenden Fenster erhalten Sie den Hinweis auf "Weitere 

Dateiinhalte", die Sie sich über Ansicht Weitere Dateiinhalte ansehen können. 

Unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar haben Sie die Möglichkeit, sich weitere 

Dateiinhalte zu dem geöffneten PDF Dokument anzeigen zu lassen:


Allgemein: Es werden Ihnen in zusammengefasster Form die wichtigsten Dateiinhalte aufgelistet. 

Bilder: Zeigt an, welche Bilder auf welcher Seite zu finden sind. 

Java Script: Gibt Ihnen eine Auflistung der in dem PDF enthaltenen Java Scripte und dazu weitere 

Detailinformationen. 

Kommentare: Es werden die Kommentare des PDF mit ihrer Position aufgelistet. 

Alle Texte: Unter diesem Register werden alle in dem PDF enthaltenen Texte getrennt nach den einzelnen Seiten 

dargestellt. 

Viewer Meldungen: In diesem Register werden Ihnen weitere Prüfdetails als Hinweis angezeigt. 

Schriften: Es werden die in dem PDF verwendeten Schriftarten aufgezeigt. 

Annotationen: Es werden Zusatzinformationen zu in dem PDF enthaltenen Formularfeldern angezeigt. 

Wählen Sie das Register Allgemein erhalten Sie solche Informationen zu dem PDF wie Dateiname, enthaltene Java 

Scripte sowie Bilder und die Kopfdaten des PDF angezeigt.


Wählen Sie in dem Register Bilder ein Bild aus und klicken die Schaltfläche Zeigen an, erhalten Sie eine Liste aller in 

dem PDF enthaltenen Bilder, die Sie sich fortlaufend anzeigen lassen können.


Die in der PDF Datei enthaltenen Java Scripte werden Ihnen unter dem Register Java Script angezeigt: 

Über das Register Alle Texte werden die in der PDF Datei enthaltenen Texte getrennt nach den einzelnen Seiten 

zusammengefasst.


Nach Klicken auf die Schaltfläche Zeigen erhalten Sie die Textinformation in dem Textextraktionsdialog übersichtlich 

angezeigt: 

Unter dem Register Viewer Meldungen werden Ihnen weitere Detailinformationen angezeigt, die sich aus der 

Prüfung der Daten.bei der Erstellung der Ansicht im Viewer ergeben haben. 

Hinweis: Achten Sie darauf, welche Fonts vom Viewer zur Darstellung der Texte verwendet werden. Es ist möglich,


dass bei der Erzeugung des PDF Dokuments Fonts verwendet wurden, die auf Ihrem Betriebssystem nicht installiert 

sind. In diesem Falle muss der Viewer diese Fonts durch andere, ähnliche Fonts ersetzen. Verwenden Sie zur 

Prüfung von Texten immer den Text-Extraktionsdialog (Registerkarte: Alle Texte, Button: Anzeigen) um sich über 

den dargestellten Text zu vergewissern. 

Unter dem Register Schriften werden Ihnen die in der PDF Datei verwendeten Schriftarten angezeigt mit der 

Information, ob diese Schriftart in der Datei eingebettet ist oder vom Betriebssystem zugeladen wird. 

Unter dem Register 'Annotationen' werden Ihnen weitere Zusatzinformationen angezeigt, die in der PDF Datei


Formularfeldern hinzugefügt sind. 

Hinweis: Verschiedene Grafik-Programme bieten die Möglichkeit, Vektor Grafiken zu erstellen und diese in ein PDF 

Dokument einzubetten. Der Viewer bietet nicht die Möglichkeit, solche Vektor Grafiken (oder auch sogenannte 

Splines) zu extrahieren und separat darzustellen oder zu untersuchen. Wenn Sie ein PDF Dokument mit Text 

signieren wollen, vergewissern Sie sich vorab immer über den Text-Extraktionsdialog über den vorhandenen Text. 

Wenn in diesem Dialog nicht der gesamte Text erscheint, der vermeintlich in dem PDF Dokument vorhanden ist, ist 

dieser fehlende Text eine Vektorgrafik. Solche Dokumente sollten Sie auf keinen Fall signieren! 

Hinweis: Der S-TRUST Sign-it Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen. Die PDF Dokumente 

entsprechen der PDF 1.7 Spezifikation. Die Abweichungen von dieser Spezifikation wurden bereits im Kapitel 

Sicherheitskomponenten der S-TRUST Sign-it Basiskomponenten 2.5 aufgeführt. Das TIFF Dokument kann eine 

mehrseitige TIFF Datei (Multipage-TIFF) sein. TXT Dokumente müssen den Regeln für Textdokumente entsprechen. 

Diese Syntaxprüfung ist auch bei Dokumenten im Rich Text Format (RTF) oder bei HTML-Quellcode erfolgreich. Die 

generierte Ansicht entspricht dabei immer dem Dokumentquellcode, d.h., eine Interpretation der Dateiinhalte, wie 

sie z.B. bei HTML Dokumenten von einem Browser vorgenommen wird, kann nicht geleistet werden. 

Hinweis: Wenn Sie sich nach der Anzeige durch den S-TRUST Sign-it Viewer hinsichtlich der zu signierenden Daten 

nicht sicher sind, dann sollten Sie diese Daten nicht signieren.


Signaturerzeugung 

Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 bietet Ihnen die Möglichkeit, eine qualifizierte 

Signatur nach dem deutschen Signaturgesetz zu erstellen. Es können aber auch fortgeschrittene und andere 

Signaturen erzeugt werden. Im Signaturgesetz werden verschiedene Anforderungen an eine qualifizierte Signatur 

gestellt. So muss der Benutzer z.B. die Möglichkeit haben, die zu signierenden Daten in einer geeigneten 

Darstellungsform zu betrachten. Diese Möglichkeit wird Ihnen in dem Produkt S-TRUST Sign-it Basiskomponenten 

2.5, Version 2.5.1.3 über den S-TRUST Sign-it Viewer eingeräumt. 

Das Produkt S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 ist für den Umgang mit den im Kapitel 

Chipkarten aufgelisteten Smartcards bestimmt. Sie müssen bei der Signaturerzeugung immer darauf achten, dass 

Sie das richtige Zertifikat für die Signaturerzeugung verwenden. 

Es ist technisch ohne weiteres möglich, Signaturen mit beliebigen Zertifikaten zu erzeugen. Um eine qualifizierte 

Signatur zu erzeugen, müssen Sie immer ein Zertifikat verwenden, dessen Eigenschaften ausdrücklich darauf 

verweisen, dass es für die Erzeugung unabweisbarer elektronischer Signaturen vorgesehen ist. Diese Eigenschaften 

werden Ihnen beim Zertifikatsauswahldialog unter Verwendungszweck (Zulässige allgemeine Zwecke) angezeigt. 

Weiterhin können Sie sich mit einem Klick auf den Button Details ... die Eigenschaften des Zertifikates im 

Zertifikatseigenschaftendialog anzeigen lassen. 

Die angezeigten Zertifikatseigenschaften sind in der folgenden Abbildung enthalten:


Klicken Sie auf OK, um diesen Dialog wieder zu schließen. Um eine Signatur zu erzeugen, haben Sie mit den S-TRUST 

Sign-it Basiskomponenten 2.5, Version 2.5.1.3 mehrere Möglichkeiten. Wenn Sie z.B. eine Signatur über den S-TRUST 

Sign-it Viewer erzeugen, klicken Sie auf das Symbol 'Signatur erzeugen' oder wählen den entsprechenden 

Menüpunkt. 

Anschließend erscheint der Signaturanforderungsdialog: 

� Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt. 

� Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt ohne dass Ihnen weitere Detailinformationen wie 

z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche PIN angezeigt werden. Es erfolgt sofort 

die Aufforderung zur PIN Eingabe. 

� Klicken Sie auf den Button Details, so erscheint das nachfolgende Signaturanforderungsfenster, in dem Ihnen 

weitere Detailinformationen angezeigt werden. Nach dem Sie in diesem Fenster auf Signatur erzeugen geklickt 

haben, erscheint die Aufforderung zur PIN Eingabe.


Die folgenden Informationen sind in dem Signaturanforderungsdialog enthalten: 

� Anwendung: Enthält den Namen der Anwendung sowie den Pfad der Anwendung. Hier können Sie jederzeit 

erkennen, mit welcher Anwendung eine elektronische Signatur erzeugt werden soll. 

� Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. Mit dem Knopf Zertifikat anzeigen 

können Sie sich das Zertifikat jederzeit anzeigen lassen. 

� Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der eingelegten Karte angezeigt. 

� Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese Kategorie sorgfältig, damit Sie 

bei Karten mit mehreren PIN's nicht die falsche PIN eingeben. 

� Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an. 

� Daten: Zeigt an, welche Datei signiert werden soll. Mit einem Klick auf den Knopf Daten anzeigen können Sie 

wiederum den S-TRUST Sign-it Viewer starten, um die Daten zu betrachten.


Mit einem Klick auf den Knopf Signatur erzeugen können Sie jetzt die elektronische Signatur erzeugen. Beachten Sie 

bitte, dass automatisch die sichere PIN-Eingabe gestartet wird. 

In Abhängigkeit von dem Modul, von dem aus Sie die Signaturerzeugung gestartet haben, kann auch das folgende 

Signaturanforderungsfenster angezeigt werden: 

Die folgenden Informationen werden in dem Signaturanforderungsdialog angezeigt: 

� In diesem Fenster werden Ihnen die zu signierenden Daten als Voransicht angezeigt. Für die sichere Anzeige 

über den S-TRUST Sign-it Viewer klicken Sie auf den Button Daten anzeigen. 

� Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. Mit dem Knopf Zertifikat anzeigen 

können Sie sich das Zertifikat jederzeit anzeigen lassen. 

� Verwendete Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der eingelegten Karte 

angezeigt. 

� Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese Kategorie sorgfältig, damit Sie 

bei Karten mit mehreren PIN's nicht die falsche PIN eingeben. 

� Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an. 

Wenn die Daten signiert wurden, erscheint ein Informationsfenster, welches Ihnen mitteilt, dass die Daten signiert 

wurden. 

Hinweis: Wenn Sie automatisch eine OCSP-Antwort während der Signaturerzeugung einbinden, sollten Sie nach der


Signaturerstellung die Signatur prüfen und sich die Einzelheiten der OCSP-Antwort anzeigen lassen. Die Gültigkeit 

der OCSP-Antwort wird erst dann auf Sperrlistenbasis vollständig geprüft, wenn Sie sich die Eigenschaften der 

eingebundenen Daten anzeigen lassen. 

Hinweis: Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 bieten die Möglichkeit, mehrere Dateien in 

einem Durchgang zu signieren. Damit Sie diesen Modus verwenden können, benötigen Sie jedoch eine zusätziche 

OPENLiMiT Anwendung. Wenn dieser Modus aktiviert wird, erscheint der folgende Signaturanforderungsdialog. 

In diesem Falle wird der Button 'Daten anzeigen' in Abhängigkeit von der ausgewählten Datei aktiviert. 

Hinweis: Die Aktivierung des Mehrfachsignaturmodus erkennen Sie an der Dateiauswahlliste. Wenn Sie diesen Dialog 

sehen, können Sie mit einem Klick auf den Pfeil die Dateiauswahlliste aufklappen und erkennen, welche Dateien 

signiert werden sollen. 

Wenn der Signaturvorgang gestartet wird, erscheint ein Fortschrittsdialog, der Sie über die aktuell zu signierende 

Datei informiert. Wenn Sie den Button 'Abbrechen' drücken, werden alle bis zu diesem Zeitpunkt erzeugten 

Signaturdateien wieder verworfen. 

Hinweis: Da Sie in diesem Modus mehrere Dateien in einem Durchgang signieren können, sollten Sie sich stets über 

Inhalt aller zu signierenden Daten vergewissern.


Attributzertifikate 

Die S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 bieten dem Anwender die Möglichkeit, der elektronischen 

Signatur mit dem Signaturzertifikat zusätzliche Attributzertifikate hinzuzufügen. 

Dazu wird in dem S-TRUST Sign-it Security Environment Manager die Option Attributzertifikate automatisch 

mitsignieren eingestellt. Im Ergebnis dessen wird bei jeder Signaturerstellung das zu dem Signaturzertifikat 

zugehörige Attributzertifikat bzw. die Attributzertifikate (es sind auch mehrere möglich) hinzugefügt. 

� Klicken Sie in der Task-Leiste auf das S-TRUST Sign-it Symbol, wählen Sie den Menüpunkt Einstellungen und 

setzen für Attributzertifikate automatisch mitsignieren den Haken. 

� Bei der Signaturerstellung mit dieser eingestellten Option erfolgt die Integration des Attributzertifikats 

automatisch.Voraussetzung dafür ist, dass die Datei des Attributzertifikats in dem Verzeichnis Eigene 

Dateien/AttributeCertificates abgelegt ist und zum Signaturzertifikat gehört. 

� Die Informationen des Attributzertifikats werden bei der Signaturprüfung zusätzlich zu den Daten des 

Signaturzertifikats angezeigt. Starten Sie dazu die Signaturprüfung


� Klicken Sie auf Details und wählen anschließend in dem Fenster Attributzertifikat, dann erhalten Sie in der 

unteren Hälfte des Fensters den Inhalt des Attributzertifikats und weitere Informationen angezeigt.


Wenn Sie das Attributzertifikat markiert haben und auf den Knopf Details klicken, wird Ihnen das Attributzertifikat in 

einem entsprechenden Dialog angezeigt. 

Hinweis: Das Verzeichnis Eigene Dateien/AttributeCertificates wird durch den S-TRUST Sign-it Security Environment 

Manager automatisch beim ersten Einlesen einer Smartcard angelegt. Die Attributzertifikate müssen in diesem 

Verzeichnis abgelegt sein.


XML Signaturen 

Die Erzeugung von XML-Signaturen bzw. die Verifikation von XML-Signaturen kann grundsätzlich nur über 

Drittanwendungen aktiviert werden, die wiederum auf die Funktionen der S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.3 zugreifen. Damit stehen dem Anwender für die Signaturerzeugung von XML-Signaturen auch die 

Zeitstempeldienste, das Einbinden der OCSP - Anfrage und vorhandener Attributzertifikate zur Verfügung. 

Signaturerzeugung für XML Daten 

Wird über die Drittanwendung die Signaturerzeugung gestartet, erscheint der folgende Signaturanforderungsdialog: 

Nach Anklicken des Button Daten anzeigen werden die folgenden Informationen angezeigt:


Nach Anklicken des Button Details wird der S-TRUST Sign-it Viewer gestartet und die ausgewählten Daten werden 

angezeigt. Es sind nicht die referenzierten Daten sondern der XML-Datenstrom: 

Verifizieren von XML-Signaturen 

Wird über die Drittanwendung die Signaturverifikation gestartet, erscheint der folgende 

Signaturanforderungsdialog:


Nach Anklicken des Button Details wird der S-TRUST Sign-it Viewer geöffnet und die ausgewählten Daten werden 

angezeigt:


Zeitstempeldienste 

Mit dem in den S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 bereitgestellten Zeitstempeldienst haben Sie 

die Möglichkeit, sich die Zeitstempelinformationen, die Daten hinzugefügt wurden, anzeigen zu lassen und dessen 

Signatur zu prüfen. 

Für den Fall, dass Sie einen Zeitstempel abholen wollen, muss unter Umständen die Zeitstempelanfrage signiert 

werden. In diesem Fall können die Daten von der Anwendung nicht angezeigt werden. 

Starten Sie dazu die Signaturprüfung: 

� Klicken Sie auf die Schaltfläche Details.


� Starten Sie den Befehl Details. In dem folgenden Fenster wird unter dem Register Zusammenfassung das 

Ergebnis der Signaturprüfung zu der angeführten Prüfzeit dargestellt. Unter dem Register TSP-Details erhalten 

Sie weitere Einzelinformationen. 

Wenn Sie auf den Registerkartenreiter TSP-Details klicken, werden Ihnen detaillierte Informationen zum Zeitstempel


angezeigt. 

Wenn Sie auf den Knopf 'Signatur-Zertifikat anzeigen' klicken, wird Ihnen das Zertifikat angezeigt, welches den 

Zeitstempel unterzeichnet hat. Zudem wird Ihnen die komplette Zertifikatskette zu diesem Zertifikat angezeigt. Sie 

sollten immer die Gültigkeit des Zertifikats, mit dem der Zeitstempel signiert ist, prüfen. 

Wenn Sie mit dem Produkt einen Zeitstempel abholen, sollten Sie immer das unterzeichnende Zertifikat des 

Zeitstempels überprüfen um sicherzustellen, dass Sie vom beabsichtigten Zeitstempeldienst eine Antwort erhalten 

haben. Das Produkt kann die Quelle des Zeitstempels nicht garantieren, die Prüfung mit Hilfe des Zertifikates muss 

von Ihnen durchgeführt werden. Sie müssen in jedem Fall selbst entscheiden, ob Sie dem Zeitstempel vertrauen. 

Hinweis: Wenn in der PKCS#7 Signaturdatei bzw. in der XML-Signatur ein Zeitstempel vorhanden ist, wird Ihnen 

automatisch auch das Ergebnis der Gültigkeitsprüfung der Signatur zu dem Zeitpunkt mitgeteilt, der durch den 

Zeitstempel angegeben wird. Weitere Informationen zur XML-Signatur finden Sie in dem Abschnitt XML Signaturen 

Hinweis: Die Funktion des Zeitstempeldienstes kann nur dann genutzt werden, wenn am PC eine Internetverbindung 

zu dem Zeitstempeldiensteanbieter besteht.


Arbeitsabläufe 

Die Arbeitsabläufe unter den verschiedenen Modulen der S-TRUST Sign-it Software sind immer wieder die selben. 

Deshalb beschreiben wir in diesem separaten Kapitel nur die immer wiederkehrenden Abläufe. Wie diese gestartet 

oder angesteuert werden, können Sie in den Abschnitten unter Die S-TRUST Sign-it Module nachlesen.


Dateiformate 

Die S-TRUST Sign-it 2.5 Software speichert Daten in verschiedenen Dateiformaten ab. Das Format können Sie über 

den S-TRUST Sign-it Security Environment Manager einstellen. Standardmäßig wird bei der Installation der Software 

das Format so eingestellt, dass die Signaturdatei und die Originaldaten in einer Datei gespeichert werden. 

p7s - Fomat 

*.p7s Dateien sind PKCS#7-Daten: Es handelt sich dabei um eine abgesetzte Signatur (detached signature). Das 

heißt, die signierten Daten und die Signatur sind in zwei getrennten Dateien gespeichert. Das hat den Vorteil, dass 

man sich die Originaldaten mit dem dazugehörigen Programm ansehen kann. Solange diese nicht geändert werden, 

bleibt auch die Signatur gültig. Die Signatur ist mit der Originaldatei durch den selben Dateinamen verbunden. Wenn 

Sie eine p7s Datei mit einem Doppelklick öffnen, wird automatisch die Signaturprüfung gestartet. 

p7m - Format 

*.p7m Dateien sind PKCS#7-Daten: Dahinter können sich signierte, verschlüsselte oder signierte und verschlüsselte 

Daten verbergen. 

Signierte bzw. signierte und verschlüsselte p7m-Dateien liegen als Verbund-Dateien vor. Das heißt, die Datei 

beinhaltet sowohl eine oder mehrere Signaturen im p7s-Format, als auch die Originaldaten, welche signiert oder 

signiert und verschlüsselt wurden. Wenn Sie eine p7m-Datei doppelklicken, wird die Datei entschlüsselt, sofern sie 

verschlüsselt war. Anschließend wird die Signaturprüfung gestartet, sofern eine Signatur vorhanden ist. 

Hinweis: Verschlüsselte Daten werden immer als *.p7m Datei gespeichert. Bei Signaturen mit der S-TRUST Sign-it 

Shell-Extension können Sie zwischen p7s (Daten und Signatur getrennt) oder p7m (Daten und Signatur in einer 

Datei) wählen, indem Sie die Einstellungen ändern. 

ors - Format 

*.ors Dateien sind Online-Statusabfragen. Dieser Status des Zertifikats kann bei der Signaturerstellung oder -


prüfung vom Trustcenter abgefragt werden und gibt eine Aussage über die Gültigkeit des Zertifikats. 

tsr - Format 

*.tsr Dateien sind Zeitstempelinformationen. Zur Erzeugung von Zeitstempeln benötigt der User einen speziell 

freigeschalteten Zugriff auf einen Zeitstempel-Dienst. Ein Zeitstempel gibt eine Aussage darüber, dass gewisse 

Daten zu einem bestimmten Zeitpunkt existiert haben. Dies wird durch eine digital signierte Bescheinigung einer 

Zertifizierungsstelle bestätigt. Die S-TRUST Sign-it 2.5 Software verfügt nicht über die Funktion der Erstellung von 

Zeitstempel, kann aber diese Informationen prüfen. 

crl - Format 

*.crl - Dateien sind Sperrlisten: Durch Anklicken mit der rechten Maustaste wird die Sperrliste geöffnet und Sie 

können sich weitere Details zu einzelnen Zertifikaten anzeigen lassen. 

cer - Format 

*.cer - Dateien sind Zertifikatsdateien: Mit einem Doppelklick haben Sie die Möglichkeit, sich dieses Zertifikat 

anzeigen zu lassen.


Signieren 

Die S-TRUST Sign-it Software bietet Ihnen verschiedene Möglichkeiten, qualifizierte Signaturen nach deutschem 

Signaturgesetz zu erstellen. Es können aber auch fortgeschrittene oder andere Signaturen erstellt werden. 

Unabhängig davon, aus welchem Modul heraus Sie den Vorgang der Signaturerzeugung starten, ist der nachfolgend 

beschriebene Ablauf immer gleich: 

Datei signieren 

Nach dem Start der Signaturerzeugung öffnet sich das folgende Fenster: 

� Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur 

erzeugt. 

� Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitere 

Detailinformationen, wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche 

PIN, angezeigt werden. Es erfolgt sofort die Aufforderung zur PIN Eingabe. 

� Klicken Sie auf den Button Details, so erscheint das nachfolgende 

Signaturanforderungsfenster, in dem Ihnen weitere Detailinformationen angezeigt werden. 

Nach dem Sie in diesem Fenster auf Signatur erzeugen geklickt haben, erscheint die 

Aufforderung zur PIN Eingabe. 

Vor der Signaturerzeugung sollten Sie sich im Fall von Daten im TXT, TIFF oder PDF Format über Daten anzeigen die 

zu signierenden Daten im S-TRUST Sign-it Viewer anzeigen lassen, um sicher zu sein, welche Daten Sie tatsächlich 

signieren.


� Klicken Sie auf Signatur erzeugen. 

Je nach Kartenleser erscheint nun eine Meldung mit der Aufforderung zur PIN Eingabe. 

� Geben Sie die PIN auf der Tastatur des Kartenlesers ein, eventuell müssen Sie diese mit OK bestätigen. 

Anschließend erscheint ein Fenster mit der Meldung, dass die Daten signiert wurden. 

Sollte hier ein Fenster mit der Meldung erscheinen, dass die eingegebene Signatur-PIN zurückgewiesen wurde, dann 

bedeutet das, dass Sie eine falsche PIN eingegeben haben.


Signatur prüfen 

Die Prüfung einer Signatur erfordert Sorgfalt und Umsicht. Folgende Punkte sollten geprüft werden: 

� Ist das Dokument wirklich unverändert? 

� Authentizität des Zertifikatsinhabers? 

� Ist das Zertifikat nicht gesperrt? 

Einige Teile der Prüfung werden automatisch von der Software vorgenommen. Ob aber einem Zertifikat vertraut 

werden kann, liegt in der Entscheidung des Benutzers. Qualifizierte Signaturen nach dem deutschen Signaturgesetz 

lassen sich lückenlos zurückverfolgen bis zur Bundesnetzagentur. Das Herausgeberzertifikat der 

Bundesnetzagentur ist in die Software integriert. Dieser Zertifizierungspfad muss mathematisch korrekt und 

lückenlos sein. Aber auch andere Wurzelzertifikate können im Betriebssystem als vertrauenswürdig definiert 

werden. 

Deshalb bleibt es grundsätzlich dem Benutzer überlassen, welchen Zertifikaten er vertraut und welchen nicht. 

Weitere Information zu den Abläufen der Signaturprüfung und der Public Key Infrastruktur finden Sie unter 

Grundlagen der elektronischen Signatur.


Zusammenfassung 

Nachdem Sie auf Signatur Prüfen geklickt haben, erscheint der Dialog Details zur Signaturprüfung: 

In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oder mathematisch 

korrekt ist. Weiterhin wird angezeigt, ob ein Attributzertifikat mitsigniert wurde. 

Ist eine Signatur ungültig dann wurden die Daten verändert. Dieser Signatur können Sie nicht vertrauen. 

Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde. Außerdem wurde 

auch die Signatur an sich nicht manipuliert. Empfehlenswert ist es in diesem Fall, eine OCSP Abfrage durchzuführen 

und sich auf diesem Weg die Gültigkeit der Signatur bestätigen zu lassen. Dazu wählen Sie den Register mit dem 

Namen des Signaturinhabers.


Details 

Nach Anklicken des Registers mit dem Namen des Signaturinhabers wird Ihnen folgendes Fenster angezeigt. 

Im Einzelnen erhalten Sie folgende Informationen: 

� Hashwertprüfung: Hier wird die Integrität der Daten überprüft. Ist die Hashwertprüfung positiv, bedeutet dies, 

dass die Daten seit dem Signieren nicht verändert wurden. Negativ bedeutet, dass die Daten verändert wurden 

- in diesem Fall ist die Signatur ungültig. 

� Prüfung von Signatur und Zertifizierungspfad: Hier wird angegegeben ob, eine Beschädigung der Signatur 

vorliegt und ob der Zertifizierungspfad vollständig ist. 

� Zeitpunkt der Signaturerzeugung (Systemzeit): Hier wird die Zeit angegeben, die auf dem Rechner zum 

Zeitpunkt der Signaturerzeugung eingestellt war. 

� Vertrauensbasis: Hier wird die Vertrauenswürdigkeit des Zertifikats angegeben. 

� Zertifikatsstatus: Anhand von Sperrlisten wird geprüft, ob das Zertifikat gesperrt wurde. Wenn hier nicht 

geprüft werden kann, empfiehlt sich das Herunterladen von aktuellen Sperrlisten oder eine Online-Prüfung über 

den Button Onlinestatus... 

� Aktuelle Zeit als Prüfzeit (Sperrlistenprüfung): Anhand von Sperrlisten wird geprüft, ob das Zertifikat zum 

Zeitpunkt der Prüfung gültig war.


Online Prüfung von Zertifikaten 

Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt werden. 

Nach einem Klick auf Onlinestatus... in dem Fenster S-TRUST Sign-it - Details zur Unterschriftsprüfung wird das 

Fenster Online Status-Prüfung (OCSP) geöffnet. Für die Prüfung muss eine Verbindung mit dem Internet bestehen. 

Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrt oder 

unbekannt. Das Ergebnis der Online Status-Prüfung wird im normalen Prüf-Dialog nicht angezeigt. Der Prüf-Dialog 

bezieht sich lediglich auf die Sperrlisten.


Online Status 

Wurde bei der Signaturerstellung der Signatur ein Online Status zugefügt, dann können Sie sich diesen bei der 

Signaturprüfung ansehen. 

Klicken Sie auf Details, um die Einzelheiten der Signaturprüfung anzuzeigen.


Wählen Sie dann Online Status aus und klicken Sie auf Details, um die Einzelheiten der Online Status Prüfung zum 

Zeitpunkt der Signaturerzeugung zu sehen. 

� Klicken Sie auf Details.


Mit Zertifikat anzeigen wird das Zertifikat der Person angezeigt, die die Signatur erzeugt hat. 

Mit Signatur-Zertifikat anzeigen wird das Zertifikat der Zertifizierungsstelle angezeigt, die die Online Status 

Antwort signiert hat. 

Mit Online Status exportieren können Sie die Datei als *.ors speichern. Um sich das Ergebnis der OnlinePrüfung 

vollständig ansehen zu können, müssen Sie das dazugehörige Zertifikat (Beispiel: Monika Burmester.cer) in dem 

gleichen Ordner ablegen.


Erstellen Prüfprotokoll 

Falls in Ihrer Programmversion der S-TRUST Sign-it 2.5 das Modul zum Erstellen eines Prüfprotokolls mit installiert 

wurde, haben Sie die Möglichkeit, durch Anklicken des Button Speichern ein Prüfprotokoll zu erzeugen und zu 

speichern. Andernfalls wird der Button nicht angezeigt. 

Wählen Sie das Verzeichnis und den Dateinamen für das Prüfprotokoll aus. Standardmäßig wird das Protokoll in dem 

Ordner Eigene Dateien\VerificationProtocols abgespeichert. 

Das Prüfprotokoll enthält folgende Angaben: 

� Dokumentbeschreibung: Die Dokumentbeschreibung zeigt den Dateinamen und das temporäre Verzeichnis an, 

in dem das Prüfprotokoll als Datei zwischengespeichert wird, bevor es entweder abschließend in dem 

Verzeichnis Eigene Dateien\VerificationsProtocolls oder in einem durch den Anwender definierten Verzeichnis 

abgelegt wird.


� Prüfumgebung: Die Prüfumgebung weist aus, wann (Datum und Uhrzeit) die Prüfung durchgeführt wurde und 

durch welchen Nutzer. 

� Zusammenfassung der Prüfergebnisse: Hier wird das Ergebnis der Hashwertprüfung und die Überprüfung der 

Zertifizierungskette zusammengefasst dargestellt. 

� Informationen zur Signatur: An dieser Stelle erhalten Sie weitere Detailinformationen zur Signatur wie den 

Namen des Unterzeichners, die Signaturzeit, die Vertrauensbasis des Herausgeberzertifikats, den Hashwert, 

das Ergebnis der Hashwertprüfung und welcher Signaturalgorithmus verwendet wurde. 

� Informationen zum verwendeten Signatur-Zertifikat: Hier werden die Angaben zum Herausgeberzertifikat, d.h. 

wer ist der Herausgeber, die Seriennummer des Herausgeberzertifikats und die Gültigkeit ausgewiesen.


Durch die Symbolik im Hintergrund des Prüfprotokolls (grüner Haken, gelbes Ausrufezeichen, roter Warnkreis) wird 

das Ergebnis der Prüfung optisch zusätzlich verdeutlicht. Dabei haben die Symbole folgende Bedeutung: 

Grüner Haken: Die Signatur wurde gültig geprüft. 

Gelbes Ausrufezeichen: Es gibt Hinweise darauf, dass die Signatur nicht vollständig geprüft werden konnte, weil z.B. 

Sperrlisten oder Herausgeberzertifikate fehlten bzw. nicht aktuell waren. In diesem Fall sollten Sie die 

Aktualisierung der Sperrlisten einschließlich der Vertrauenslisten durchführen und die Signaturverifikation nochmals 

starten. Weitere Informationen dazu finden Sie in dem Kapitel Sperrlistenaktuslierung.


Roter Warnkreis: Dieses Symbol weist daraufhin, dass die Datei eine ungültige Signatur besitzt. in diesem Fall sollten 

Sie im Detail prüfen, ob die Daten manipuliert wurden, das Zertifikat abgelaufen oder gesperrt ist.


Hinweis: In Abhängigkeit von dem installierten Programm-Modul zum Erstellen des Prüfprotokolls kann die o.g. 

Beschreibung abweichen. Das kann sowohl das Dateiformat des Prüfprotokolls als auch die Informationen, die im 

Ergebnis der Prüfung dargestellt und gespeichert werden, betreffen.


Verschlüsselung 

Die Verschlüsselung schützt vor den Augen Dritter. Sie können jegliche Daten verschlüsseln, egal ob diese auf dem 

Rechner gespeichert oder ob sie per e-Mail über das Internet gesendet werden. Da die Verschlüsselung aber nicht 

vor Viren schützt, ist es ratsam, verschlüsselte Daten, die archiviert werden sollen, zusätzlich auf externen 

Datenträgern zu sichern bzw. nach dem Entschlüsseln auf jeden Fall nach Viren zu prüfen. 

Zunächst wird das Dokument mit einem Zufallsschlüssel im Triple DES Verfahren verschlüsselt. Das heisst, das 

Dokument wird dreimal hintereinander mit 192 bit verschlüsselt. Der Zufallsschlüssel wird dann mit dem öffentlichen 

Schlüssel des Empfängers verschlüsselt. Hier kommt die 2048bit RSA-Verschlüsselung zum Einsatz. 

Man benötigt zum Verschlüsseln also immer den öffentlichen Schlüssel des Empfängers (das können auch mehrere 

sein). Dieser ist in ein Verschlüsselungszertifikat integriert und kann im Verzeichnisdienst des Trustcenters 

abgerufen und auf dem Computer installiert werden. Sie können sich auch die Verschlüsselungszertifikate Ihrer 

Kommuniktionspartner per e-Mail schicken lassen. Ihr eigenes Zertifikat können Sie aus der Karte exportieren. Alle 

installierten Zertifikate werden von der Software automatisch angezeigt. Das verschlüsselte Dokument und der 

verschlüsselte Zufallsschlüssel werden dann zusammen archiviert oder per e-Mail an die Kommunikationspartner 

versandt. 

In der Praxis ist es empfehlenswert, Daten durch eine Kombination von elektronischer Signatur und Verschlüsselung 

zu sichern. 

Weitere Detailinformationen zur Verschlüsselung fnden Sie in den folgenden Abschnitten.


Daten verschlüsseln 

Verschlüsselungszertifikate auswählen 

� Nachdem Sie auf Verschlüsseln geklickt haben, erscheint der Dialog zur Auswahl von 

Verschlüsselungszertifikaten. 

Hier werden alle öffentlichen Schlüssel angezeigt, die auf dem Rechner installiert sind. Sollten Sie auf der linken 

Seite keine Zertifikate außer Ihr eigenes sehen, müssen Sie sich die öffentlichen Schlüssel der Empfänger 

beschaffen. Sie haben dazu mehrere Möglichkeiten: 

� Download oder Installation über den Verzeichnisdienst, dazu erhalten Sie weitere Informationen in dem 

Abschnitt Verzeichnisdienst 

� durch Installation des Schlüssels, den Sie als cer - Datei erhalten haben, falls Sie mit diesem 

Kommunikationspartner mehrfach verschlüsselt kommunizieren wollen, weitere Informationen finden Sie in 

dem Abschnitt Zertifikate installieren 

� oder durch Einfügen der *.cer - Datei, in dem Sie auf den Button aus Datei klicken 

Nur die Zertifikatsinhaber der ausgewählten Zertifikate können die Datei entschlüsseln. Es ist also ratsam, auch das 

eigene Zertifikat hinzuzufügen. 

� Wenn ein Zertifikat selektiert ist, können im unteren Fenster die Informationen dazu angesehen werden.


� Nach einem Klick auf Hinzufügen oder einem Doppelklick auf den Zertifikatsnamen wird das Zertifikat in die 

rechte Liste kopiert. 

� Klicken Sie dann auf Übernehmen, um die Daten für die ausgewählten Zertifikate zu verschlüsseln. 

Selektierte Zertifikate können mit Hinzufügen und Entfernen von einem Fenster ins andere verschoben werden. 

Unter Details... wird das Zertifikat angezeigt. Um sicher zu gehen, dass das Zertifikat nicht gesperrt ist, kann nach 

einem Klick auf Details... der Onlinestatus nachgeprüft werden, wenn die CA das unterstützt. Ansonsten funktioniert 

meist auch eine Suche im Verzeichnisdienst (Button weitere...). 

Einstellung des Verschlüsselungsalgorithmus: 

Für den Verschlüsselungsalgorithmus sollten Sie nur dann andere Einstellungen vornehmen, wenn es aus Gründen 

der Kompatibilität mit anderen Programmen unbedingt notwendig ist.


Verschlüsselungszertifikat exportieren 

Der S-TRUST Sign-it Security Environment Manager bietet Ihnen die Möglichkeit, Ihr Verschlüsselungszertifikat zu 

exportieren. Das Zertifikat können Sie dann z.B. per e-Mail an eine andere Person senden, damit diese wiederum 

Dokumente für Sie verschlüsseln kann. 

So exportieren Sie Ihr Zertifikat: 

� Stecken Sie Ihre Sparkassen Card in den Kartenleser. 

� Das Chip Symbol in der Taskleiste wird gelb. 

� Klicken Sie das Chip-Icon an und wählen Sie aus dem Menü Verschlüsselungszertifikat exportieren. 

� Speichern Sie nun Ihr Zertifikat in einem von Ihnen gewählten Ordner ab. 

� Geben Sie einen Dateinamen ein und beenden Sie durch Anklicken des Button Speichern.


Zertifikate installieren 

Ein Zertifikat aus dem Verzeichnisdienst installieren Sie einfach, indem Sie auf den Button Installieren im 

Ergebnisdialog klicken. Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im 

Zertifikatsauswahldialog. 

Die Zertifikate auf der Karte, die in Ihrem Kartenleser stecken, werden automatisch installiert. 

Wenn Sie ein Zertifikat auf anderem Weg erhalten, z.B. per e-Mail, liegt es als Datei vor. Sie müssen es über den 

Zertifikatsdialog von Windows installieren. 

Zertifikate unter Windows installieren 

� Doppelklicken Sie das Zertifikat im Windows Explorer. 

� Im Zertifikatsdialog von Windows auf Zertifikat installieren klicken. 

Die Gültigkeitsangaben des Windows Zertifikatsdialoges sollten Sie nicht interessieren, da Windows nicht immer mit 

Signatur-Zertifikaten umgehen kann. Negative Aussagen haben keine Relevanz. Gründe dafür können neben 

Inkompatibilität mit den Signaturstandards auch fehlende Algorithmen sein. 

Daraufhin öffnet sich der Assistent für die Installation: 

� Nach dem Startdialog folgt mit einem Klick auf Weiter der Zertifikatsspeicherdialog. 

� Wählen Sie: Alle Zertifikate in folgendem Speicher speichern. 

� Klicken Sie auf Durchsuchen... 

� Wählen Sie den Ordner Andere Personen und bestätigen Sie mit OK. 

� Klicken Sie im Assistenten auf Weiter 

� und anschließend auf Fertig stellen. 

Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im Zertifikatsauswahl Dialog.


Verzeichnisdienst 

Nach einem Klick auf weitere... wird der Verzeichnis Client geöffnet. 

Suche 

Für die Suche können Sie Wildcards (*) benutzen. Das sind Platzhalter, die man für unbekannte Buchstaben plazieren 

kann. Wenn Sie dies nicht tun, müssen Sie die exakte Schreibweise des gesuchten Namens kennen. Geben Sie am 

besten den Nachnamen zwischen Wildcards ein: z.B. *Daneller*. Wenn es sich um einen sehr häufigen Namen 

handelt, sind vielleicht andere Suchbegriffe (wie e-Mail oder Vorname) empfehlenswert. 

Zertifikat suchen 

� Tragen Sie den oder die Suchbegriffe in die Felder ein. 

� Wählen Sie den Verzeichnisdienst der CA, die das Zertifikat herausgegeben hat. 

� Klicken Sie auf Starten.


Zum Suchen nicht auf Weiter sondern auf Starten klicken. Die Weiter und Zurück Button ermöglichen eine erneute 

Suche und ein einfaches Hin- und Herschalten zwischen Ergebnis- und Suchdialog. 

Wenn Sie eine Fehlermeldung erhalten, dass die zulässige Größe überschritten ist, dann haben Sie zu viele 

Suchergebnisse erhalten. Diese Funktion dient dem Datenschutz, so dass nicht einfach mit einer * * -Suche alle 

Zertifikate gefunden werden können. Geben Sie weitere Buchstaben in den Suchbegriff ein. 

Ergebnis 

Im Ergebnisdialog werden alle gefundenen Zertifikate angezeigt. 

Zertifikate übernehmen 

� Mit einem Klick auf den Namen wird rechts die Zertifikatsinformation angezeigt. 

� Über den Button Details kommt man zur Zertifikatsanzeige, wo man sich noch einmal die Einzelheiten ansehen 

kann. Die meisten CAs nehmen gesperrte und ungültige Zertifikate aus dem Verzeichnisdienst, so dass sich eine 

Statusprüfung erübrigt, wenn man hier ein Zertifikat gefunden hat. 

Damit das Zertifikat auf dem Rechner bei jeder Verschlüsselung automatisch angezeigt wird, kann es installiert 

werden. Dies sollten Sie für Zertifikate tun, die Sie oft benutzen. 

� Haken Sie die Checkbox vor dem Namen der Zertifikate an, die für die Verschlüsselung übernommen werden 

sollen. 

� Klicken Sie auf Übernehmen. 

Die Zertifikate erscheinen dann im Zertifikatsauswahl Dialog (Verschlüsseln) auf der rechten Seite.


Entschlüsselung 

Um das Dokument wieder entschlüsseln zu können, wird der Zufallsschlüssel im Klartext benötigt. Er kann nur mit 

dem privaten Schlüssel entschlüsselt werden. Dazu braucht der Benutzer die Karte mit dem, zu dem öffentlichen 

Schlüssel zugehörigen privaten Schlüssel und der PIN. 

Ist der Zufallsschlüssel entschlüsselt, kann auch das gesamte Dokument entschlüsselt werden. Auch diese Abläufe 

übernimmt die Software automatisch. 

Durch dieses Verfahren ist gesichert, dass nur der Karteninhaber mit seiner PIN das Dokument entschlüsseln und 

lesen kann. Die Daten können auch für mehrere Zertifikate verschlüsselt werden. Wir empfehlen grundsätzlich, alle 

Daten, mindestens mit zwei öffentlichen Schlüsseln, für eine andere vertrauenswürdige Person und sich selbst, zu 

verschlüsseln. Bei Daten, die versendet werden, empfiehlt sich das eigene Zertifikat und das des Empfängers. Wenn 

die eigene Karte verloren geht, oder möglicherweise aus anderen Gründen nicht mehr verwendbar ist, können die 

Daten immer noch mit der zweiten Karte (der des Empfängers oder der vertrauenswürdigen Person) entschlüsselt 

werden.


Daten Entschlüsseln 

Dateien entschlüsseln 

Zum Entschlüsseln wir der zu dem öffentlichen Schlüssel zugehörige private Schlüssel benötigt. Aus diesem Grund 

muss zum Entschlüsseln die PIN (CSA-Passwort) eingegeben werden. 

Es erscheint ein Fenster mit der Meldung, dass die Datei entschlüsselt wurde. 

� Klicken Sie auf OK. 

Danach sollten die Daten wieder im Klartext vorliegen. Um viele Dateien hintereinander ohne ständige PIN-Eingabe 

zu entschlüsseln, können Sie die Karte auch "öffnen". Weitere Informationen dazu finden Sie in dem Abschnitt PIN- 

Abfrage.


S-TRUST Sign-it Shellextension 

Die S-TRUST Sign-it Shell-Extension ermöglicht die Signatur und Verschlüsselung direkt im Windows Explorer. 

Darüber hinaus sind das Prüfen von Signaturen und die Entschlüsselung integriert. Wenn Sie eine Datei mit der 

rechten Maustaste anklicken, finden Sie im Kontextmenü den Punkt S-TRUST Sign-it. 

Wählen Sie diesen aus, erhalten Sie in Abhängigkeit von der ausgewählten Dateistruktur verschiedene Funktionen 

angeboten. Weitere Informationen erhalten Sie in den nachfolgenden Abschnitten.


Die erste Signatur mit S-TRUST Sign-it 

Die erste Signatur haben Sie bereits mit der Lizenzierung der Software erstellt. Nachfolgend wird beschrieben, wie 

Sie eine weitere Signatur erzeugen. Legen Sie dazu eine Textdatei (*.txt) an bzw. wählen Sie eine beliebige Datei im 

*.txt Format aus. 

� Klicken Sie im Explorer die Datei mit der rechten Maustaste an. 

� Wählen Sie S-TRUST Sign-it - Datei signieren 

Weitere Informationen zur Signaturerzeugung finden Sie in dem Abschnitt Signieren. 

Im Ergebnis der Signaturerstellung wird eine p7m-Datei mit dem selben Namen der Ursprungsdatei erzeugt. Darüber 

hinaus bleibt die Original-Datei erhalten. Die p7m-Datei enthält sowohl die Original-Daten als auch die Signatur. 

Durch Anklicken dieser p7m-Datei mit der rechten Maustaste können Sie die Signaturen prüfen und bei Bedarf die 

Datei getrennt als txt-Datei und p7s-Datei abspeichern.


Shell Extension Menü 

Wenn Sie eine Datei im Windows Explorer mit der rechten Maustaste anklicken, öffnet sich das Kontexmenü mit dem 

Menüpunkt S-TRUST Sign-it. Unter diesem finden Sie in der Regel die Punkte: 

� Datei signieren 

� Datei verschlüsseln 

� Datei signieren und verschlüsseln 

Weitere Punkte, wie z.B. 

� Signatur(en) prüfen 

� Datei und Signatur(en) trennen 

� Datei und Signatur(en) verbinden 

� Datei entschlüsseln 

� Zeitstempel anzeigen 

� Online Status anzeigen 

� Sperrliste anzeigen 

� Zertifikat anzeigen 

erscheinen, wenn es sich um bereits signierte oder verschlüsselte Dateien bzw. einen Zeitstempel oder eine Online 

Status-Datei handelt. Die Funktionen, die durch diese Befehle angestoßen werden, sind unter Arbeitsabläufe im 

Einzelnen erklärt.


Dateien und Icons im Explorer 

Mit S-TRUST Sign-it lassen sich verschiedene Dateiformate erzeugen. Diese erkennt man im Explorer auch an Ihren 

Icons (bei Windows 2000 oder höher). Zeitstempel können in der S-TRUST Sign-it Software nicht erzeugt werden. 

� p7m Dateien: Verschlüsselte Dateien oder Dateien, die eine Signatur beinhalten, bekommen ein blaues Tresor- 

Icon mit der Aufschrift p7m. 

� p7s Dateien: Abgesetze Signaturen, die durch ihren Dateinamen mit der Ausgangsdatei logisch verknüpft sind, 

bekommen ein blaues Tresor-Icon mit der Aufschrift p7s. 

� ors-Dateien: Online Status Response Dateien, die durch das Exportieren von OCSP Antworten entstehen, 

bekommen ein Zertifikats-Icon mit einem roten Siegel. 

� tsr-Dateien: Zeitstempel Dateien, die durch ihren Dateinamen mit der Ausgangsdatei logisch verknüpft sind, 

bekommen ein Uhr-Icon mit einem roten Siegel. 

Allerdings werden diese Dateien in den neueren Betriebssystemen als verborgene Dateien oft nicht angezeigt. Um 

sie sichtbar zu machen, muss man unter den Ordneroptionen des Windows Explorers (Menü Extras - Ordneroptionen 

- Reiter Ansicht) unter versteckte Dateien und Ordner die Option alle Dateien und Ordner anzeigen aktivieren und 

Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren. 

Weitere Informationen zu den Dateien finden Sie auch unter Dateiformate.


Adobe Plug-In 

Das Adobe Plug-In ermöglicht die Signatur direkt unter dem Adobe Acrobat Reader ab Version 7.0.8 und Adobe 

Professional ab Version 7.0. Wurden PDF Formulare vom Herausgeber mit zusätzlichen Rechten versehen (Adobe 

Formular Server Lösungen), lassen sich diese Formulare auch im Adobe Reader ab Version 7.0.8 signieren. Zudem 

können digitale Signaturen in einem PDF Formular geprüft werden. 

Das Adobe Plug-In wird automatisch installiert, soweit der Adobe Reader oder Adobe Acrobat auf Ihrem Computer zu 

dem Zeitpunkt der Installation von S-TRUST Sign-it 2.5 bereits vorhanden ist. Andernfalls müssen Sie das Adobe 

Plug-In nachinstallieren.


Adobe Plug-In Voreinstellungen 

Voreinstellungen festlegen 

Der hier beschriebene Ablauf bezieht sich auf das Produkt Adobe Reader 9.0.0. 

� Öffnen Sie den Adobe Reader. 

� Über das Bearbeiten-Menü kommen Sie zu dem Menüpunkt Voreinstellungen... 

� Wählen Sie im linken Bereich Sicherheit aus. 

� Setzen Sie ein Häkchen für Beim Öffnen des Dokuments Unterschriften prüfen, und klicken Sie dann auf 

Erweiterte Voreinstellungen.


� Unter dem Reiter Überprüfung sollten Sie folgende Einstellungen vornehmen: 

� Wählen Sie Immer Standardmethode verwenden (Überschreibt die im Dokument angegebene Methode). 

� Wählen Sie dann als Standardmethode zum Überprüfen von Unterschriften: "OPENLiMiT SignCubes PDF Plugin, 

Version 2.5".


Unter dem Reiter Erstellung sollten Sie die Einstellungen wie folgt vornehmen: 

Wählen Sie als Standardmethode beim Unterschreiben und Verschlüsseln von Dokumenten: "OPENLiMiT SignCubes 

PDF Plugin, Version 2.5". 

� Mit OK werden die Einstellungen gespeichert.


PDF Dokument signieren 

Für die Erzeugung einer Signatur in PDF Dokumenten ist in der S-TRUST Sign-it Software ein Adobe Plug-In 

integriert. Dieses bietet Ihnen unter bestimmten Voraussetzungen die Möglichkeit, das PDF Dokument im Adobe 

Reader ab Version 7.0.8 oder Adobe Acrobat ab 7.0.8 zu signieren. 

Wenn ein PDF Dokument oder PDF Formular ein oder mehrere Felder für digitale Signaturen enthält, so können Sie 

mit dem Adobe Plug-In eine qualifizierte digitale Signatur direkt in diesem PDF erstellen und dieses anschließend 

speichern. 

Um ein solches PDF mit dem Adobe Reader zu signieren, muss dieses mit zusätzlichen Rechten versehen worden 

sein (Adobe Formular Server Lösungen). Um ein PDF mit Adobe Acrobat zu signieren, reicht es aus, wenn das 

Signaturfeld mit Adobe Acrobat erstellt wurde. Um ein Signaturfeld mit Adobe Acrobat selbst zu erstellen, lesen Sie 

bitte in der Adobe Acrobat Hilfe nach. 

So signieren Sie ein PDF Dokument 

� Öffnen Sie das Dokument. 

Das PDF Dokument enthält ein oder mehrere Signatur-Felder. Ein Signaturfeld erkennen Sie am roten Pfeil links oben 

im Feld. 

� Stecken Sie Ihre Smartcard in den Kartenleser und warten Sie, bis diese erkannt ist (bis das Chip-Symbol in der 

Taskleiste gelb ist). 

� Klicken Sie das entsprechende Signaturfeld an. 

Anschließend wird das folgende Fenster angezeigt: 

Nach dem Anklicken des Button Signatur erzeugen folgt sofort die Aufforderung zur PIN Eingabe. Klicken Sie auf den 

Button Details wird das nachfolgende Signaturanforderungsfenster angezeigt:


� Durch Anklicken des Button Daten anzeigen wird der S-TRUST Sign-it Viewer gestartet und Sie können sich die 

Daten im Viewer darstellen lassen. Diese Prüfung der Daten sollten Sie in jedem Fall immer vornehmen, um sich 

versteckte Inhalte bzw. andere Informationen anzeigen zu lassen und um sicher zu sein, welche Informationen 

Sie signieren. 

� Klicken Sie nach Schließen des Viewers auf Signatur erzeugen.


Signatur im PDF prüfen 

PDF Dokumente können Signaturen enthalten, die in einem extra dafür vorgesehenen Signaturfeld integriert sind, 

oder Signaturen, die in das PDF Dokument eingebettet sind, jedoch nicht in einem Signaturfeld vorliegen. In diesem 

Fall handelt es sich um sogenannte "unsichtbare" Signaturen. 

Signaturen in Unterschriftsfeldern prüfen 

� Enthält ein PDF Dokument bereits eine digitale Signatur in einem dafür vorgesehenen Signaturfeld, so können 

Sie mit Adobe Reader oder Adobe Acrobat diese Signatur prüfen. Die Signaturprüfung wird mit den 

Einstellungen vorgenommen, die Sie unter Adobe Acrobat oder Adobe Reader festgelegt haben. Weitere 

Informationen dazu finden Sie in dem Abschnitt Adobe Plug-In Grundeinstellungen. 

� Öffnen Sie das PDF Dokument und klicken Sie auf ein Unterschriftsfeld, das bereits eine Signatur enthält. 

Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OPENLiMiT SignCubes PDF Plugin, Version 

2.5" ausgewählt haben, so erscheint folgender Dialog: 

In der Zusammenfassung steht das Ergebnis der Signaturprüfung. Ein Beispiel für ein Prüfergebnis wäre z.B.: 

� Die Datei ist gültig signiert. oder 

� Die Signatur ist mathematisch korrekt. 

Für genauere Informationen lesen Sie bitte im Abschnitt Signaturen Prüfen nach. 

Unsichtbare Signaturen prüfen 

Enthält ein PDF Dokument eine unsichtbare digitale Signatur, so können Sie mit Adobe Reader oder Adobe Acrobat 

diese Signatur prüfen. Die Signaturprüfung wird mit den Einstellungen vorgenommen, die Sie unter Adobe Acrobat 

oder Adobe Reader festgelegt haben. 

� Öffnen Sie das PDF Dokument und klicken Sie dann links auf den Reiter Unterschriften, um alle Unterschriften 

des Dokuments anzusehen.


� Wählen Sie jetzt eine Unterschrift aus, klicken Sie dann auf Optionen und wählen Sie Unterschrift prüfen. 

Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OPENLiMiT SignCubes PDF Plugin, Version 

2.0.1.3" ausgewählt haben, so erscheint folgender Dialog:


Signieren mit dem S-TRUST TIFF Producer 

Die S-TRUST Sign-it Software bietet Ihnen mit dem S-TRUST TIFF Producer die Möglichkeit, aus anderen Programmen 

heraus wie z.B. Microsoft Word Daten an die sichere Anzeigeeinheit, den S-TRUST Sign-it Viewer auszugeben. Die 

übertragenen Daten werden über den S-TRUST TIFF Producer in eine sicher darstellbare Bilddatei (TIFF) konvertiert. 

Die Ausgabe über den S-TRUST TIFF Producer ist mit jedem auf Ihrem System druckbaren Dokument möglich. 

Visualisieren 

� Drucken Sie die Datei in dem Programm aus, in dem sie erstellt wurde. Normalerweise geht das über den Befehl 

Datei - Drucken. 

Wählen Sie den S-TRUST – TIFF Producer und bestätigen Sie mit OK. 

� Daraufhin öffnet sich die Darstellung im S-TRUST Sign-it Viewer. Sollte es lange dauern, bis Ihre Datei im S- 

TRUST Sign-it Viewer dargestellt wird, liegt es möglicherweise daran, dass die gewählten Eigenschaften des S- 

TRUST TIFF Producer nicht optimal sind, d.h. eine zu hohe Auflösung eingestellt ist. 

Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\TIFFOutput abgespeichert. Unter dem 

Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner Dokumente\TIFFOutput. 

Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (tif). 

• Unter Windows NT wählen Sie den S-TRUST Sign-it Drucker aus und bestätigen mit OK.


Eigenschaften des S-TRUST TIFF Producers 

Nach Auswahl des S-TRUST TIFF Producers und Anklicken des Buttons Eigenschaften haben Sie Möglichkeit die 

Standardeinstellungen des Druckers zu verändern.


Eigenschaften des S-Trust Sign-it Druckers (nur 

Windows NT) 

Diese Drucker wird nur unter dem Betriebssystem NT installiert, da der S-TRUST TIFF Producer nicht für Windows NT 

verfügbar sind. 

Ändern der Druckereigenschaften 

• In dem Programm, in dem Sie gerade arbeiten, wählen Sie Datei - Drucken... 

• Unter "Name" wählen Sie den S-TRUST Sign-it Drucker 

• Klicken Sie auf Eigenschaften... 

Daraufhin sind mehrere Reiter zu sehen. 

Reiter Beschreibung 

Einstellungen Generelle Einstellungen des Druckers 

Dateiformate Ausgabeformat der Datei 

Dateiname erstellen Ausgabename der Datei 

Programm-Start Programm, das nach dem Drucken startet 

Wasserzeichen Wasserzeichen in Datei generieren 

Kommentar einbeziehen Bemerkung Einfügen


Drucker Eigenschaften - Einstellungen 

Bezeichnung Detail Beschreibung 

Papier Größe Papier 

Fax Auflösung 

Ausrichtung 

Hier wählen Sie die Papiergröße aus. Sollte die gewählte Papiergröße 

kleiner sein als das zu druckende Dokument, dann werden Teile des 

Dokuments in der SignCubes Visualisierung nicht angezeigt. Wenn dies der 

Fall ist sollten Sie einen Warnhinweis erhalten, sobald Sie auf OK gedrückt 

Paper Breite; Papier 

Höhe 

haben. 

Hier werden die Breite und Höhe des gewählten Papiers angezeigt. Unter 

Einheiten können Sie die Einheit festlegen in der die Breite und Höhe des 

Papiers angezeigt werden. 

FAX header beigelegt Hat unter S-TRUST Sign-it keine Funktion. 

Erweiterte Papiergröße Hat unter S-TRUST Sign-it keine Funktion. 

Erstelle faxfähiges 

Abbild 

Graphik-Auflösung Auflösung 

Hochformat / 

Querformat 

Querformat, 90 Grad 

gedreht 

Die Auflösung des Ausgabeformats wird für Fax optimiert. Da die 

Auflösung sehr gering ist, wird die Visualisierung des Dokuments eine 

niedrige Qualität haben. Wir empfehlen diese Funktion nicht 

anzuwenden. 

Hier kann Hochformat (Portrait) oder Querformat (Landscape) 

ausgewählt werden. 

Es wird ein Querformat ausgegeben, aber nochmals um 90° gedreht. 

Die graphische Auflösung der Visualisierung wird hier festgelegt. 

Wichtig: Mit den Einstellungen in diesem Abschnitt können Sie Qualität 

und Größe der Ausgabedatei entscheidend verändern. Bei zu hoher 

Einstellung werden die Dateien unnötig gross und die Visualisierung 

kann länger dauern. Darüber hinaus könnten auf Grund der Größe der 

Datei Probleme auftreten, falls Sie die signierte Datei anschließend 

per e-Mail versenden wollen. 

High Resolution - Hohe Auflösung. Die Ausgabe sieht sehr gut aus, es 

dauert länger bis die Visualisierung erstellt ist, die Datei wird sehr 

groß. 

Medium Resolution - Mittlere Auflösung (Standard Einstellung). 

Schnellere Visualisierung, Druckstandard. Gut für Textdokumente und 

Tabellen. 

Draft Resolution - Vorschau Auflösung. Sehr schnelle Ausgabe, 

niedrige Qualität.


CUSTOM Resolution - Benutzerdefinierte Auflösung. Hier können Sie 

selbst festlegen, mit welcher Auflösung Sie arbeiten wollen. Benutzen 

Sie zur Eingabe die beiden Felder unterhalb. 

horizontale Auflösung Hier wird die horizontale Auflösung angezeigt. 

vertikale Auflösung Anzeige der vertikalen Auflösung. 

erzwinge 

Druckerauflösung 

Bildgröße 

Keine Funktion unter S-TRUST Sign-it. 

Größe der Datei, die der S-TRUST Sign-it Drucker zur Visualisierung 

erstellt. Generell gilt: Je größer die Datei, desto besser die Qualität 

der Visualisierung und umso länger dauert die Ausgabe und 

umgekehrt.


Drucker Eigenschaften - Dateiformate 

Unter diesem Reiter finden Sie Optionen für das Ausgabeformat. 

Dateiformat 

In diesem Menü finden sich verschiedene Dateiformate für die 

Visualisierung. 

Wichtig: Behalten Sie das Standard Format bei (TIFF Packed), bei manchen 

anderen Einstellungen wird die Datei nicht gedruckt. 


Hier kann die Anzahl der Farben festgelegt werden. 1bit (schwarz-weiss), 

Farbtiefe 

1bit, 8 bit, 8 bit 

Graustufen, 24 bit 

8 bit (256 Farben), 8 bit Graustufen (256 Grautöne), 24 bit (16,7 Mio. 

Farben). Wie bei der grafischen Auflösung gilt auch hier, je besser die 

Qualität der Visualisierung, desto größer das erzeugte Dokument und 

desto länger dauert die Ausgabe. 

Optionen 

mehrseitiges Bild 

erzeugen 

Hier ist per Default ein Häkchen gesetzt, da sonst nur eine Seite des 

Originaldokuments in der Ausgabe erscheint. 

Keine Imagedatei 

erstellen 

Hat unter S-TRUST Sign-it keine Funktion. 

TIFF Optionen 

Osteuropäi-scher 

Zeichensatz 

Textdatei erstellen 

Unterstützt das Drucken von Osteuropäischen Schriftzeichen. 

Der Drucker erstellt zusätzlich eine *.txt Datei mit dem Inhalt des 

Dokuments. 

Hat unter S-TRUST Sign-it keine Funktion. 

Das Ändern der Standardeinstellungen kann dazu führen dass keine 

Visualisierung erfolgt. 

Fotoqualität Hat unter S-TRUST Sign-it keine Funktion.

S-TRUST Sign-it Handbuch 164


Drucker Eigenschaften - Dateiname erstellen 


Methode zur Erstellung des 

Namen 

Diese Einstellungen legen fest, wie der Dateiname (Prefix) und 

Dateianhang (Extension) erstellt werden. 

Nehmen Sie in diesem Bereich keine Änderungen vor, da sonst 

eventuell keine Visualisierung möglich ist. 

Standard Einstellung: Dateiname und Dateianhang werden 

Use the document automatisch erstellt. 

name 

Wichtig: Nehmen Sie in diesem Bereich keine Änderungen vor, da 

sonst eventuell keine Visualisierung möglich ist. 

Dateiname 

Wenn unter Methode zur Erstellung des Namen die Standard 

Einstellung gewählt ist, ist keine Eingabe nötig. 

Dateinamen Prefix Bei Standard Einstellung ist keine Eingabe nötig. 

Datei Erweiterung Bei Standard Einstellung ist keine Eingabe nötig. 

Hier wird der Ordner angezeigt, in dem der Drucker die temporären 

Ausgabepfad 

Dateien für die Visualisierung speichert. 

Wichtig: Nehmen Sie in diesem Bereich keine Änderungen vor, da 

sonst eventuell keine Visualisierung möglich ist. 

Gruppendatei-Optionen Unter S-TRUST Sign-it keine Funktion.



Drucker Eigenschaften - Programm - Start 


Hier sollte ein Häkchen gesetzt sein. Falls dem nicht so ist, 

Anwendung automatisch 

starten 

wird der S-TRUST Sign-it Viewer nicht gestartet (es erfolgt 

keine Visualisierung). Die Standardeinstellung wird wieder 

hergestellt, sobald sich ein Benutzer am Betriebssystem neu 

anmeldet oder der Computer neu gestartet wird. 

Das für die Visualisierung zu startende Programm wird hier 

Anwendung 

angezeigt. Auch hier wird die Standardeinstellung wieder 

hergestellt, sobald sich ein Benutzer am Betriebssystem neu 

anmeldet, oder ein Neustart erfolgt. 

vor Druckausfüh- Diese Option sollten Sie nicht wählen, da der S-TRUST Sign-it 

rung starten Viewer nicht starten wird. 

nach Druckausf. 

starten 

Standardeinstellung. Auch hier gilt, die Einstellung wird nach 

neuer Anmeldung am Betriebssystem oder Neustart wieder 

hergestellt. 

Hier sollte ein Häkchen gesetzt sein, da sonst keine 

Parameter Visualisierung erfolgt. Nach Neustart des Computers oder 

übergeben neuer Anmeldung am Betriebssystem wird auch diese 

Einstellung wieder hergestellt. 

Darstellung der Bestimmt die Größe des Fensters, in dem die Anwendung 

Anwendung 

Nachrichtenstartet 

Schnittstelle 

deaktivieren 

Diese Funktion steht nicht zur Verfügung.



Drucker Eigenschaften - Wasserzeichen 


Wasserzeichen drucken 

Wasserzeichen-Optionen 

Wasserzeichen nur zur 

ersten Seite hinzufügen 

Seiten im Hochformat 

Seiten im Querformat 

Wasserzeichen Datei: 

Position: 

Helligkeit: 

Aktivieren Sie diese Option, um Ihr Dokument mit einem 

Wasserzeichen zu versehen. 

Aktivieren Sie diese Option, um das Wasserzeichen nur auf 

der ersten Seite des Dokuments anzubringen. 

Wählen Sie in diesem Bereich eine Datei aus, die als 

Wasserzeichen auf alle Seiten im Hochformat ausgegeben 

werden soll. 

Wählen Sie in diesem Bereich eine Datei aus, die als 

Wasserzeichen auf alle Seiten im Querformat ausgegeben 

werden soll. 

Hier wählen Sie die Datei aus, die als Wasserzeichen 

ausgegeben werden soll. 

Center = Mittig 

Streched to Fit = über die ganze Seite gestreckt 

Streched to Width = über die Seitenbreite gestreckt 

Tile = gekachelt 

Legen Sie hier die Helligkeit des jeweiligen Wasserzeichens 

fest.



Drucker Eigenschaften - Embed Annotation 

Alle unter diesem Reiter gewählten Optionen werden bei neuer Anmeldung an das Betriebssystem oder Neustart des 

Computers zurückgesetzt. 


Kommentare einbeziehen 

Wenn Sie hier ein Häkchen setzen, können Sie Bemerkungen in 

die zu signierende Datei einfügen. Der hier geschriebene Text 

wird in die TIFF Datei eingebettet. 

Zeichenfolge Geben Sie hier den Text ein. 

Datum 

Schriftart Schriftarten können hier definiert werden. 

Das aktuelle Datum wird eingefügt, wenn Sie hier ein Häkchen 

setzen. 

Format des Datums Hier legen Sie ein Datumsformat fest. 

Zeit Mit einem Häkchen hier fügt man die Uhrzeit ein. 

Zeit-Format 

Hier legen Sie das Format für die Uhrzeit fest und wählen, ob 

Sie Minuten, Sekunden und Zeitzone mit einbeziehen wollen. 

Kommentar Position Hier wählen Sie, wie der Text platziert wird. 

Farbe Die Farbe des Textes kann hier gewählt werden.



E-Mail Clients 

Die S-TRUST Sign-it Software unterstützt das Signieren und Verschlüsseln von E-Mails in verschiedenen E-Mail 

Programmen. In diesem Kapitel werden die vorzunehmenden Einstellungen und die grundlegenden Arbeitsschritte 

der unterstützen E-Mail Clients kurz beschrieben. 

Die folgenden Erklärungen betreffen hauptsächlich Funktionen und Einstellungen der unterstützen E-Mail Clients und 

erheben keinen Anspruch auf Vollständigkeit. Sollte hier etwas fehlen, empfehlen wir grundsätzlich, in der Hilfe oder 

im Handbuch des jeweiligen Programms nachzusehen. 

Voraussetzung für das Arbeiten mit den verschiedenen E-Mail Programmen ist, dass das Programm richtig installiert 

ist und das E-Mail Konto, das der E-Mail Adresse Ihres Zertifikats entspricht, eingerichtet wurde. Um zu erfahren wie 

Sie ein E-Mail Konto einrichten, lesen Sie bitte die Hilfe des jeweiligen E-Mail Programms.


Microsoft Outlook und Microsoft Outlook Express 

Microsoft Outlook und Microsoft Outlook Express sind zwei oft verwendete E-Mail Programme. Mit dem S-TRUST 

Sign-it Cryptographic Service Provider (CSP) können Sie E-Mails in Microsoft Outlook oder Microsoft Outlook Express 

signieren und verschlüsseln. 

Der S-TRUST Sign-it Cryptographic Service Provider kommt immer dann zum Einsatz, wenn Informationen der Karte 

benötigt werden, d.h. bei der Signaturerzeugung und beim Entschlüsseln. Das Verschlüsseln und die Signaturprüfung 

erfolgt durch Microsoft Outlook bzw. Microsoft Outlook Express selbst.


Microsoft Outlook Einstellungen 

Um mit Microsoft Oulook bzw. Microsoft Outlook Express alle Sicherheitsfunktionen ausführen zu können, benötigen 

Sie ein E-Mail Konto mit der E-Mail Adresse, die in Ihrem Zertifikat steht. Diese haben Sie beim Ausfüllen des Karten- 

Antrages angegeben. Beim Signieren oder Entschlüsseln wird dann automatisch Ihr Zertifikat genommen, wenn die 

Karte im Kartenleser steckt. 

Outlook Express 

Die folgenden Sicherheitseinstellungen sind unbedingt einzurichten, damit Sie Ihre Mails signieren und/ oder 

verschlüsseln können. 

� Stecken Sie Ihre Chipkarte in den Kartenleser und warten Sie, bis das Chipsymbol gelb ist. 

� Klicken Sie im Hauptmenü auf Extras / Konten. 

� Wählen Sie nun das Mailkonto aus, bei dem die Mailadresse mit der in Ihrem Zertifikat enthaltenen Mailadresse 

übereinstimmt. 

� Klicken Sie auf Eigenschaften und wählen Sie das Register „Sicherheit“ aus. 

� Für die E-Mail-Signatur wählen Sie über den ersten Button „Auswählen…“ Ihr Zertifikat für den Zweck „Sichere 

E-Mail“ aus. 

� Nehmen Sie diese Einstellungen auch für das Verschlüsselungszertifikat über den 2.Button „Auswählen…“ vor. 

� Der Algorithmus bleibt auf 3DES eingestellt. 

� Bestätigen Sie die Einstellungen mit OK


Wenn Sie automatisch signieren und verschlüsseln möchten, dann können Sie dies unter Extras - Optionen - 

Sicherheit einstellen. 

Hinweis: Die nachfolgend beschriebenen Einstellungen sind nicht zwingend notwendig. Sie sollten diese 

Einstellungen nur in dem Fall nochmal prüfen, falls der Empfänger Ihre Mail nicht lesen kann. 

� Unter Extras - Optionen - Lesen klicken Sie auf Schriftarten. 

� Dort stellen Sie einen 7 Bit Code ein. Zum Beispiel wählen Sie oben aus der Liste Unicode und unten bei der 

Codierung UTF-7. 

� Dann klicken Sie auf den Button Als Standard, um diese Codierung als Standard einzustellen.


Sie können aber auch jede Nachricht einzeln signieren und/oder verschlüsseln. 

Microsoft Outlook 

Bei Microsoft Outlook müssen Sie erst das Signaturzertifikat und das Verschlüsselungszertifikat auswählen. 

� Unter Extras - Optionen - Sicherheit gibt es den Bereich E-Mail sichern. 

� Klicken Sie hier auf Einstellungen... 

� Wählen Sie unter Bevorzugte Sicherheitseinstellungen: das Sicherheitsformat für Nachrichten: S/MIME. 

� Wählen Sie unter Zertifikate und Algorithmen folgende Einstellungen: 

� Signaturzertifikat: Ihr E-Mail Signaturzertifikat 

� Hashalgorithmus: SHA1 

� Verschlüsselungszertifikat: Ihr E-Mail Verschlüsselungszertifikat 

� Verschlüsselungsalgorithmus: 3DES 

� "Signierten Nachrichten diese Zertifikate hinzufügen" aktivieren. 

� Klicken Sie auf OK.


Unter dem Tab Sicherheit können Sie die automatische Signatur und Verschlüsselung von Nachrichten einstellen. 

Dies ist aber für jede E-Mail auch einzeln möglich.


Unter Extras - Optionen - E-Mail Format wählen Sie nach einem Klick auf Internationale Einstellungen eine 7 Bit 

Codierung für ausgehende und eingehende E-Mails.


Signieren und Verschlüsseln 

In Outlook oder Outlook Express haben Sie unter Extras - Optionen - Sicherheit die Möglichkeit, die 

Sicherheitseinstellungen für alle E-Mails einzustellen. Wenn Sie bei jeder E-Mail selbst entscheiden möchten, ob 

diese verschlüsselt und/oder signiert werden soll, wird dies im E-Mail Fenster eingestellt. 

Wenn Sie mehrere E-Mail Konten eingerichtet haben, müssen Sie über das Konto mit der E-Mailadresse senden, die 

in Ihrem Zertifikat enthalten ist. Outlook überprüft die Angaben und falls diese nicht übereinstimmen, kann keine 

Signatur erzeugt werden. 

Outlook Express/Outlook 2003 

Bei Outlook Express können Sie direkt im E-Mail Fenster auf den Button Signieren oder Verschlüsseln klicken und 

anschließend auf Senden. Nach Eingabe der PIN ist die E-Mail signiert. 

Outlook 2000 

Unter Outlook 2000 müssen Sie zum Signieren und Verschlüsseln im E-Mail Fenster auf Optionen klicken und dort die 

entsprechenden Kästchen anhaken. 

Outlook XP 

Klicken Sie im E-Mail Fenster auf Optionen, oben rechts auf Sicherheitseinstellungen und dann die Kästchen 

Signieren und Verschlüsseln anhaken. 

Signatur und Klartext senden 

Wenn Sie die Signatur und den Klartext separat senden (detached signature), können auch die Empfänger Ihre E-Mail 

lesen, deren Client signierte Nachrichten nicht unterstützen (z.B. AOL). Einige können auch die Signatur prüfen (z.B. 

T-Online). 

� In Outlook Express finden Sie die Einstellung unter Extras/Optionen/Sicherheit/Button "Erweitert". Dort sollte 

kein Häkchen unter "Nachricht vor dem Signieren verschlüsseln (PKCS#7)" gesetzt sein. Um jedoch eine E-Mail 

ohne Klartext zu senden, muss dieses Häkchen wieder gesetzt werden. 

� In Outlook finden Sie die Einstellung unter Extras/Optionen/Sicherheit. Dort sollte ein Häkchen für "Signierte 

Nachrichten als Klartext senden" gesetzt sein. 

Um E-Mails verschlüsseln zu können, müssen die Zertifikate der Empfänger in die dazugehörigen Kontakte integriert 

sein.


Verschlüsselungszertifikate in Kontakt integrieren 

Um für eine bestimmte Person zu verschlüsseln, muss das Zertifikat (digitale ID) der Kontaktperson in Ihrem System 

installiert sein. Dazu lassen Sie sich eine signierte E-Mail von Ihrem Kommunikationspartner schicken. 

So integrieren Sie ein Verschlüsselungszertifikat (digitale ID) in einem Kontakt 

Outlook 

� Öffnen Sie die signierte E-Mail 

� Klicken Sie mit der rechten Maustaste auf den Namen des Absenders Von: Mailadresse 

� Wählen Sie Zu den Kontakten hinzufügen aus. 

� im Register Zertifikate können Sie sich das Zertifikat ansehen 

� klicken Sie auf den Button Speichern und Schliessen, damit das Zertifikat dem Kontakt hinzugefügt wird. 

Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem neuen 

Kontakt wird dieser automatisch angelegt. Ab diesem Zeitpunkt können E-Mails für den Empfänger verschlüsselt 

werden. 

Outlook Express 

� Öffnen Sie die signierte E-Mail 

� Klicken Sie mit der rechten Maustaste auf den Namen des Absenders.


� Wählen Sie Zum Adressbuch hinzufügen aus. 

Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einem neuen 

Kontakt wird dieser angelegt. Ab diesem Zeitpunkt können E-Mails für den Empfänger verschlüsselt werden.


Mozilla / Netscape Mail 

Mozilla Mail ist ein Programm der Mozilla Foundation und wird gebündelt mit dem Mozilla Browser angeboten. 

Netscape ist eine Mozilla Distribution, die sich grundsätzlich nur in der Oberfläche von Mozilla unterscheidet. Da sich 

mit der deutsche Version von Mozilla einige wichtige Funktionen nicht richtig darstellen lassen, wurde für diese 

Dokumentation Netscape 7.1 verwendet. 

Falls Sie eine deutsche Version von Mozilla verwenden, besteht die Möglichkeit, dass einige Texte oder Button nicht 

oder nur unvollständig dargestellt werden. 

Zudem kommt es vor, dass sich Mozilla und Netscape in der Benennung von Button und Kapitel zum Teil 

unterscheiden. 

In diesem Kapitel wird der Umgang mit Mozilla 1.6 bzw. Netscape 7.1 erklärt.


Mozilla / Netscape Mail Client Sicherheitseinstellungen 

� Starten Sie zunächst Netscape Mail: Start - Programme - Netscape 7.1 - eMail & Diskussionsforen 

Sollten Sie Netscape Mail zum ersten Mal starten, so wird das Programm Ihnen mit einem Assistenten beim 

Einrichten eines E-Mail Kontos behilflich sein. Um E-Mails signieren /verschlüsseln zu können, muss unbedingt ein 

Mailkonto für die Mailadresse eingerichtet sein, die auch in Ihrem Zertifikat enthalten ist (siehe gelbes 

Chipsymbol/Eigenschaften/Zertifikate). 

Hinweis: Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser ordnungsgemäss installiert ist, 

Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte befinden. 

� Klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen, um das folgende Fenster zu öffnen. 

Kryptographie Modul installieren 

� Wählen Sie aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate


� Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten... 

Jetzt öffnet sich das Fenster des Geräte-Managers, in dem alle geladenen Sicherheitsmodule zu sehen sind. 

� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu installieren.


� Geben Sie dem Modul zunächst einen Namen, z.B. S-TRUST PKCS#11 Modul, und klicken Sie dann auf 

Durchsuchen... 

� Navigieren Sie nun zum S-Trust Sign-it Programm-Verzeichnis (Standard: C:\Programme\S-TRUST Sign-it), 

wählen Sie dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen. 

� Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses Modul installieren 

wollen, nochmals mit OK. 

� Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK.


Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der S-TRUST Sign-it Software. 

� Schließen Sie den Geräte-Manager mit einem Klick auf OK, um weitere Einstellungen vornehmen zu können. 

Das Mozilla/Netscape Einstellungsfenster sollte noch geöffnet und die Kategorie Zertifikate zu sehen sein. 

� Klicken Sie auf den Button Zertifikate verwalten, um den Zertifikat-Manager zu öffnen und die 

Vertrauenswürdigkeit für die Zertifikate einzustellen.


Der Zertifikat-Manager übernimmt die Verwaltung von Zertifikaten. Unter dem Register Ihre Zertifikate werden die 

Zertifikate angezeigt, welche auf Ihrer Karte gespeichert sind. 

� Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller nicht 

vertrauenswürdig" beinhaltet und klicken Sie auf Anzeigen.


Mozilla/Netscape bringt die Meldung "Zertifikat konnte aus unbekannten Gründen nicht zugelassen werden." 

� Unter Ausgestellt von finden Sie den Herausgeber Ihres Zertifikats, für den Sie die Vertrauenswürdigkeit 

einstellen müssen. Vermerken Sie sich diese Information und schliessen Sie das Fenster. 

� Klicken Sie jetzt das Register Zertifizierungsstellen an. 

� Klicken Sie auf den Reiter Aussteller und markieren Sie Ihren Zertifikatsaussteller.


Über den Button Bearbeiten sollten Sie mindestens für den 2. Punkt ein Häkchen setzen. Jetzt vertrauen Sie dem 

Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr Zertifikat "Unterzeichnen, 

Verschlüsseln" angezeigt.


Nach dem Sie diese Einstellungen vorgenommen haben, erscheint in dem folgenden Fenster die Meldung, für 

welchen Verwendungszweck das Zertifikat verifiziert wurde.


� Schließen Sie den Zertifikats-Manager und das Einstellungsfenster. 

Zertifikate für die Signatur und Verschlüsselung auswählen 

� Klicken Sie in der Menüleiste nun auf Bearbeiten – e-Mail und Diskussionsforen-Konto-Einstellungen... 

� Wählen Sie jetzt im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse enthalten, die mit 

Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu der folgenden Ansicht zu gelangen.


An dieser Stelle legen Sie fest, welche Zertifikate zur Signatur und Verschlüsselung verwendet werden sollen. 

� Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen. 

Mozilla / Netscape schlägt Ihnen an dieser Stelle für die Signatur von E-Mails automatisch ein Zertifikat vor. 

� Klicken Sie auf OK. 

Nun öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum Ver- und 

Entschlüsseln verwenden wollen. 

� Klicken Sie nun auf OK. 

� Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre E-Mails generell


signieren wollen. 

� Wählen Sie, ob Sie Ihre E-Mails verschlüsselt oder unverschlüsselt versenden wollen. 

Sie können diese Einstellung beim Erstellen einer E-Mail immer noch ändern. 

Sie haben alle Sicherheitseinstellungen für Mozilla/Netscape vorgenommen und können das Fenster mit OK 

schließen.


Arbeiten mit Mozilla / Netscape Mail 

E-Mails signieren und verschlüsseln 

� Starten Sie zunächst Mozilla/Netscape Mail und verfassen Sie eine neue E-Mail. 

� Klicken Sie jetzt auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-Mail nochmals zu 

prüfen und gegebenenfalls zu ändern. 

Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine E-Mail 

verschlüsseln zu können.


Empfangen von signierten und verschlüsselten E-Mails 

Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet. 

� Klicken Sie auf das Stift-Symbol, um die Details der Signatur zu prüfen. 

Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevor Sie die 

Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol gekennzeichnet.


� Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen. 

So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Personen in den Zertifikat-Manager: 

Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, brauchen Sie den öffentlichen Schlüssel 

dieser Person. 

Variante 1: 

� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail. 

� Wenn Sie die E-Mail öffnen, integriert Mozilla /Netscape Mail das mitgesendete Zertifikat automatisch in den 

Zertifikat-Manager unter Andere Personen. 

Variante 2: 

� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem Verschlüsselungszertifikat als 

Anhang. Informationen zum Export eines Verschlüsselungszertifikats finden Sie in dem Abschnitt


Verschlüsselungszertifikat exportieren. 

� Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab, 

� Importieren Sie diese dann in dem Zertifikat-Manager unter Zertifikate anderer Personen. 

� Wählen Sie dazu: Bearbeiten - Einstellungen - Privatsphäre & Sicherheit - Zertifikate 

� Klicken Sie auf Zertifikate verwalten. 

� Wählen Sie im Zertifikat-Manager den Register Andere Personen aus. 

� Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie auf Ihrem Computer 

abgespeichert haben. 

Das Zertifikat ist im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für diese Person verschlüsseln. 

Beachten Sie, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer bestimmten E-Mail 

Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail Adresse der gleichen Person 

senden.


Mozilla Thunderbird 

Mozilla Thunderbird ist ein E-Mail Programm der Mozilla Foundation. Es bietet alle Funktionen eines modernen E-Mail 

Programms und kann mit PKCS#11 Modulen umgehen. Benutzern von Microsoft Outlook wird die Bedienung von 

Thunderbird leicht fallen, da viele der gängigsten Funktionen ähnlich sind. 

In diesem Kapitel wird der Umgang mit Thunderbird 1.0.2 beschrieben. Sollten Sie eine andere Version von 

Thunderbird verwenden, so kann es zu Abweichungen mit den hier aufgeführten Abläufen kommen.


Thunderbird Sicherheitseinstellungen 

� Starten Sie zunächst Thunderbird. Sollten Sie Thunderbird zum ersten Mal starten, so wird Ihnen das Programm 

mit einem Assistenten beim Einrichten eines E-Mail Kontos behilflich sein. 

Um E-Mails signieren /verschlüsseln zu können, muss unbedingt ein Mailkonto für die Mailadresse eingerichtet sein, 

die auch in Ihrem Zertifikat enthalten ist (siehe gelbes Chipsymbol/Eigenschaften/Zertifikate). 

Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser ordnungsgemäß installiert ist, Ihre Karte 

sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte befinden. 

� Klicken Sie in der Menüleiste Extras - Einstellungen an, um das folgende Fenster zu öffnen. 

� Wählen Sie Erweitert aus und scrollen Sie den Balken rechts im Fenster zum Abschnitt Zertifikate.


Kryptographie-Modul installieren 

� Klicken Sie auf den Button Kryptographie-Module. 

Jetzt öffnet sich Thunderbird's Kryptographie-Modul-Manager mit einer Ansicht aller bereits geladener 

Komponenten. 

� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu installieren.




� Navigieren Sie nun zum S-Trust Sign-it Installations-Verzeichnis (Standard: C:\Programme\S-TRUST Sign-it), 

wählen Sie dort die Datei siqp11.dll aus und klicken Sie auf Öffnen.


� Klicken Sie nun auf OK, um das Modul zu laden. Bestätigen Sie die Frage, ob Sie dieses Modul installieren 

wollen, nochmals mit OK. 

� Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK. 

Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der S-TRUST Sign-it Software. 

� Schließen Sie nun den Kryptographie-Modul-Manager mit einem Klick auf OK, um weitere Einstellungen


vorzunehmen. 

Das Thunderbird Einstellungsfenster sollte noch geöffnet und der Abschnitt Zertifikate zu sehen sein. 

� Klicken Sie auf den Button Zertifikate, um den Thunderbird Zertifikat-Manager zu öffnen.


Der Zertifikat-Manager übernimmt die Verwaltung der Zertifikate. Unter dem Register Ihre Zertifikate sind die 

Zertifikate zu sehen, die sich auf Ihrer Karte befinden. 

� Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Aussteller nicht 

vertrauenswürdig" anzeigt. 

� Klicken Sie auf Ansicht.


Thunderbird bringt standardmäßig die Ausschrift "Dieses Zertifikat konnte aus unbekannten Gründen nicht 

verifiziert werden." 

� Unter Herausgegeben von finden Sie den Herausgeber Ihres Zertifikats. Vermerken Sie sich bitte diese 

Information und schließen Sie das Fenster. 

� Klicken Sie das Register "Zertifizierungsstellen" an und markieren Sie Ihren Zertifikatsaussteller.


� Über den Button Bearbeiten sollten Sie mindestens für den 2. Punkt ein Häkchen setzen. Damit vertrauen Sie 

dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für Ihr Zertifikat als Zweck 

"Unterzeichnen/Verschlüsseln" angezeigt. 

� Wählen Sie erneut das Register Ihre Zertifikate aus.


� Klicken Sie auf Ansicht, um weitere Detailinformationen zu erhalten.


Wenn alle Einstellungen korrekt ausgeführt wurden, sehen Sie folgendes Fenster, in dem Ihnen mitgeteilt wird, für 

welchen Verwendungszweck das Zertifikat verifiziert wurde. 

� Klicken Sie auf Schließen. Anschließend können Sie auch den Zertifikat-Manager und das Einstellungs-Fenster 

schließen. 

Zertifikate für die Signatur und Verschlüsselung auswählen 

� Klicken Sie in der Menüleiste auf Extras - Konten. 

� Wählen Sie im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresse enthalten, die mit 

Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu folgender Ansicht zu gelangen.


� Legen Sie fest, welche Zertifikate für die Signatur und Verschlüsselung verwendet werden sollen. 

� Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen. 

Thunderbird schlägt Ihnen an dieser Stelle automatisch ein Zertifikat für die Signatur von E-Mails vor. 

� Klicken Sie nun auf OK.


Es öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum Ver- und 

Entschlüsseln verwenden wollen. 

� Klicken Sie hier auf OK. 

� Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre E-Mails generell 

signieren wollen. 

� Wählen Sie, ob Sie Ihre E-Mails standardmäßig verschlüsselt oder unverschlüsselt versenden wollen. 

Sie können diese Einstellungen beim Erstellen einer E-Mail immer noch ändern. 

Sie haben alle Sicherheitseinstellungen für Thunderbird vorgenommen und können das Fenster mit OK schließen.


Arbeiten mit Thunderbird 

Bevor Sie die hier beschriebenen Abläufe ausführen können, müssen Sie das E-Mail Programm konfigurieren. Lesen 

Sie dazu das Kapitel Thunderbird Sicherheitseinstellungen. 

E-Mails signieren und verschlüsseln 

� Starten Sie Thunderbird und verfassen Sie eine neue E-Mail. 

� Klicken Sie auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-Mail nochmals zu 

prüfen und gegebenenfalls zu ändern.


Beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine E-Mail 

verschlüsseln zu können. 

Empfangen von signierten und verschlüsselten E-Mails 

Signierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.


� Klicken Sie auf das Stift-Symbol, um die Signatur der E-Mail zu prüfen. 

� Mit einem Klick auf Unterschriftszertifikat ansehen, können Sie sich die Details zum Zertifikat anzeigen lassen.


Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevor Sie die 

Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbol gekennzeichnet. 

� Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen. 

So integrieren Sie den öffentlichen Schlüssel von Zetrifikaten anderer Person in den Zertifikat-Manager: 

Wenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, benötigen Sie den öffentlichen Schlüssel 

des Empfängers. 

Variante 1: 

� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail. 

� Wenn Sie die E-Mail öffnen, integriert Thunderbird das mitgesendete Zertifikat automatisch in den Zertifikat- 

Manager unter Zertifikate anderer Personen. 

Variante 2: 

� Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit dem Verschlüsselungszertifikat als


Anhang. Weitere Informationen zu dem Export von Verschlüsselungszertifikaten finden Sie in dem Abschnitt 

Verschlüsselungszertifikat exportieren. 

� Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab, 

� Importieren Sie diese dann in den Zertifikat-Manager unter Zertifikate anderer Personen. 

� Wählen Sie dazu: Extras - Einstellungen - Erweitert - Zertifikate 

� Wählen Sie dann im Zertifikat-Manager den Register Zertifikate anderer Personen aus. 

� Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie auf Ihrem Computer 

abgespeichert haben. 

Das Zertifikat ist jetzt im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für die Person, der dieses 

Zertifikat gehört, verschlüsseln. 

Beachten Sie bitte, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer bestimmten E-Mail 

Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail Adresse der gleichen Person 

senden.


Lotus Notes 

Lotus Notes ist ein E-Mail Programm, welches sehr umfassende Funktionen bietet. Hier werden nur die Funktionen 

beschrieben, welche in direkter Verbindung mit dem Empfangen und Versenden von signierten und verschlüsselten 

E-Mails stehen. 

Die hier beschriebenen Abläufe beziehen sich auf die Software Lotus Notes 6.5, Version 6.5.4 Deutsch. Bitte 

beachten Sie, dass frühere Versionen (z.B. Lotus Notes 6.5.3 Deutsch) nicht ausreichend lokalisiert sind und daher 

manche Funktionen (z.B. Internet-Zertifikate von Smartcard importieren) nicht möglich sind. Dies hat zur Folge, 

dass die Vorgängerversionen nicht ohne weiteres für die hier beschriebenen Abläufe zu verwenden sind. 

Sollten Sie eine ältere Version von Lotus Notes 6.5 oder Lotus Notes 6 verwenden, so kann es hilfreich sein, erst ein 

Update auf die oben genannte Version zu installieren, bevor Sie versuchen, die hier beschriebenen Abläufe 

nachzuvollziehen.


Lotus Notes 6.5.4 Sicherheitseinstellungen 

Voraussetzung für die Sicherheitseinstellungen in Lotus Notes 

Bevor Sie die hier beschriebenen Einstellungen vornehmen können, müssen folgende Voraussetzungen erfüllt sein: 

� Ihr E-Mail Konto muss ordnungsgemäß eingerichtet sein, 

� die S-Trust Sign-it Software und der Kartenleser müssen installiert sein, 

� S-Trust Sign-it ist gestartet, 

� die Karte befindet sich im Kartenleser und wurde erkannt. 

Installieren des PKCS#11 Treibers 

Damit Lotus Notes mit den Zertifikaten auf Ihrer Smartcard arbeiten kann, muss zunächst der PKCS#11 Treiber in 

Lotus Notes installiert werden. 

� Wählen Sie zunächst Datei - Sicherheit - Benutzersicherheit... 

� Klicken Sie auf Ihre Identität im linken Bereich des Fensters. 

� Wählen Sie anschließend Ihre Smartcard.


Jetzt öffnet sich ein Fenster zur Smartcard Konfiguration. 

� Klicken Sie nun auf das Ordner-Symbol, um eine Smartcard-Treiberdatei zu installieren. 

Daraufhin öffnet sich ein Fenster zum Auswählen des Smartcard Treibers. 

� Wählen Sie nun die Datei siqp11.dll aus dem Installationsverzeichnis (Standard: C:\Programme\S-TRUST Sign-it). 

� Klicken Sie auf Öffnen, um den Treiber zu installieren.


Daraufhin wird das Fenster zur Smartcard Konfiguration dargestellt, in welchem Sie jetzt den installierten Treiber 

sehen. 

� Klicken Sie auf Fortfahren..., um die Installation abzuschließen. 

Installation Ihres Signatur-Zertifikats 

Damit Sie das auf Ihrer Smartcard gespeicherte Signaturzertifikat zum Signieren von E-Mails in Lotus Notes nutzen 

können, müssen Sie dieses zunächst installieren. 

� Wählen Sie Ihre Zertifikate in dem linken Bereich des Fensters aus. 

� Klicken Sie dann auf den Button Zertifikate abrufen... und wählen Sie Internet-Zertifikat von einer Smartcard 

importieren aus dem Menü.


Hinweis: Wenn Sie eine ältere deutsche Version von Lotus Notes 6.5 oder 6 (z.B. Lotus Notes 6.5.3 Deutsch) 

verwenden ist diese Schaltfläche gegraut und Sie können somit keine Smartcard Zertifikate importieren. Installieren 

Sie in diesem Fall ein Update auf Lotus Notes 6.5.4. 

Wenn die Zertifikate erfolgreich importiert wurden, erscheint folgende Meldung. 

� Wählen Sie nun Ihre Internet-Zertifikate aus dem Menü.


Jetzt werden die von der Smartcard importierten Zertifikate angezeigt werden. 

Wenn Ihr Zertifikat nicht angezeigt wird, sollten Sie Lotus Notes beenden, neu starten und dann zu diesem Dialog 

zurückkehren (Datei - Sicherheit - Benutzersicherheit- Ihre Identität - Ihre Zertifikate - Menü: Ihre Internet- 

Zertifikate).


Arbeiten mit Lotus Notes 6.5.4 

Bevor Sie damit beginnen können, mit Lotus Notes 6.5.4 signierte oder verschlüsselte E-Mails zu versenden oder zu 

empfangen, stellen Sie sicher, dass das Programm ordnungsgemäß konfiguriert ist. Lesen Sie dazu das Kapitel Lotus 

Notes 6.5.4 Sicherheitseinstellungen. 

Versenden einer signierten E-Mail 

� Erstellen Sie zunächst ein neues Memo. 

� Klicken Sie dann auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für Signieren. 

� Klicken Sie auf OK, um die Einstellungen zu speichern. 

� Jetzt können Sie die E-Mail senden. 

Sie werden dazu aufgefordert, eine Signatur zu erzeugen. Weitere Informationen dazu finden Sie in dem Abschnitt 

Signieren. 

So integrieren Sie den öffentlichen Schlüssel des Zertifikats einer anderen Person in Lotus Notes: 

� Die Person, für die Sie verschlüsseln wollen muss Ihnen dazu eine signierte E-Mail senden. 

� Öffnen Sie die E-Mail, klicken Sie dann auf den Button Werkzeuge und wählen Sie im Menü Absender in 

Adressbuch aufnehmen aus.


Es öffnet sich ein Fenster, zur Aufnahme der Daten in das Adressbuch. 

� Wählen Sie jetzt das Register Erweitert aus, und aktivieren Sie die Option Gegebenenfalls x.509-Zertifikate 

aufnehmen. 

� Klicken Sie OK, um die Daten zu speichern.


Versenden einer verschlüsselten E-Mail 

Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen verschlüsseln 

zu können. 

� Erstellen Sie zunächst ein neues Memo. 

� Klicken Sie auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen für Verschlüsseln. 

� Klicken Sie dann auf OK, um die Einstellungen zu speichern. 

� Jetzt können Sie Ihre verschlüsselte E-Mail versenden.


Lotus Notes 5 

Zur Verwendung Ihrer S-TRUST Smartcard unter Lotus Notes 5 wird ein PKCS#11 Treiber benötigt. 

Dieser wird unter Lotus Notes 5 über Trusted Mime eingebunden. Dazu muss Trusted Mime auf dem Rechner 

installiert sein. Um genaue Informationen zu erhalten, wie Sie den PKCS#11 Treiber in Trusted Mime richtig 

einbinden, informieren Sie sich bitte in der Trusted Mime Dokumentation. 

Der PKCS#11 Treiber befindet sich im Installationsverzeichnis der S-TRUST Sign-it Software ( Standard: 

C:\Programme\S-TRUST Sign-it\siqp11.dll ) 

Weitere Informationen finden Sie in dem Abschnitt Arbeiten mit Lotus Notes 6.5.4.


SSL Authentisierung 

Mit den Modulen der S-TRUST Sign-it Software sind Sie in der Lage, sich an einer Webseite welche SSL 

Authentisierung verwendet, anzumelden. Diese Aufgabe wird je nach Verwendung des Web-Browsers vom CSP oder 

vom PKCS#11 Treiber übernommen. 

Über SSL: 

Secure Sockets Layer (SSL) ist ein Verschlüsselungsprotokoll für Datenübertragung im Internet. Wenn eine 

Verbindung zu einer Webseite über SSL hergestellt wird, geschieht dies in etwa so: 

� Zunächst sendet der Client (Web-Browser mit dem Sie arbeiten) eine Verbindungsanfrage an den Server (dort 

ist die Webseite, die Sie besuchen wollen). 

� Daraufhin antwortet der Server und sendet ein Zertifikat. 

� Indem Sie bestätigen, dass Sie dem Zertifikat des Servers vertrauen, ermöglichen Sie Ihren Web-Browser die 

Verbindung zum Server herzustellen. (Dieser Schritt wird unter Umständen automatisch durchgeführ, z.B. dann, 

wenn das Server-Zertifikat von Ihrem Web-Browser bereits als vertrauenswürdig eingestuft wird.) 

� Eventuell will der Server aber auch wissen ob Sie die Person sind, für die Sie sich ausgeben und sendet eine 

entsprechende Anfrage an Ihren Web-Browser (Bidiretionelle SSL Authentifizierung). 

� Jetzt müssen Sie sich dem Server gegenüber identifizieren, indem Sie die Anfrage des Servers signieren. Dabei 

kommen die Module der Software zum Einsatz. 

� Nun ist eine sichere Verbindung über SSL hergestellt. 

Wenn Sie mehr über SSL wissen wollen, lesen Sie unter http://de.wikipedia.org/wiki/Secure_Sockets_Layer nach. 

Die folgenden Web-Browser werden für die SSL Authentisierung von S-TRUST Sign-it unterstützt: 

� Internet Explorer ab Version 6 

� Mozilla ab Version 1.6 (entspricht Netscape ab Version 7.1) 

� Firefox ab Version 1.0.4 

Der Internet Explorer nutzt dazu den Cryptographic Service Provider (CSP). Firefox und Mozilla / Netscape hingegen 

verwenden den PKCS#11 Treiber. Firefox und Mozilla / Netscape müssen daher richtig konfiguriert werden, bevor die 

SSL Authentisierung gestartet werden kann. Wenn Sie mit Firefox oder Mozilla / Netscape arbeiten, lesen Sie 

deshalb bitte die Kapitel Firefox Browser Sicherheitseinstellungen bzw. Mozilla / Netscape Browser 

Sicherheitseinstellungen.


Internet Explorer 

Bevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie Ihre Karte in den 

Leser stecken und warten bis diese erkannt wurde (Chipsymbol ist gelb). 

Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSL 

Verschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Server gegenüber nicht 

identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wird zwar eine sichere Verbindung 

hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie übermitteln nicht an die Stelle senden, an die Sie diese 

zu senden glauben. 

Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden. 

Herstellen einer Verbindung zu einer Webseite mit SSL Authentisierung 

Wenn Sie mit Internet Explorer eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird eventuell eine 

Meldung angezeigt, in der Sie gefragt werden ob Sie die sichere Webseite anzeigen wollen. 

� Bestätigen Sie den Dialog mit Ja, um fortzufahren. 

� Jetzt wird das Zertifikat der Webseite angezeigt, das der Server an Sie sendet. Um den Vorgang fortzusetzen 

müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen. 

� Warten Sie nun einen Moment, bis sich der Signaturanforderungsdialog der S-TRUST Sign-it Software öffnet. 

� Klicken Sie jetzt auf Signatur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit identifizieren 

Sie sich gegenüber dem Server. 

Die Verbindung zur Webseite wird hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite ausgetauscht 

werden, werden über eine sichere Verbindung geschickt.


Firefox Browser Sicherheitseinstellungen 

Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren, dass dieser 

mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann. 

Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser richtig installiert ist, Ihre Karte sich in 

diesem befindet, erkannt wurde und die notwendigen Zertifikate sich auf Ihrer Karte befinden. 

� Öffnen Sie den Web-Browser und klicken Sie dann in der Menüleiste auf Extras - Einstellungen. 


� Wählen Sie nun aus der Spalte links im Fenster Erweitert und scrollen sie dann im rechten Teil des Fensters bis 

zum Abschnitt Zertifikate. 

� Klicken Sie jetzt auf Kryptographie-Module verwalten...


Es öffnet sich der Kryptographie-Modul-Manager mit einer Ansicht der bereits aktiven Komponenten. 

� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum Umgang mit ihrer 

Karte notwendig ist, zu installieren. 



Navigieren Sie zum S-Trust Sign-it Installations-Verzeichnis (Standard: C:\Programme\S-TRUST Sign-it), wählen Sie 

dort die Datei siqp11.dll aus, und klicken Sie auf Öffnen.


� Klicken Sie nun auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul installieren 

wollen, bestätigen Sie dies mit OK. 

Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul. 


Jetzt ist Firefox richtig konfiguriert.


Firefox SSL Authentisierung 


Leser stecken und warten, bis diese erkannt wurde (gelbes Chipsymbol). 








Wenn Sie mit Firefox eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird eventuell eine Meldung 

angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen. 


� Jetzt wird das Zertifikat der Webseite angezeigt, das der Server an Sie sendet. Um den Vorgang fortzusetzen, 

müssen Sie diesem Zertifikat vertrauen und mit OK bestätigen. 

Sie können das Zertifikat temporär oder für immer akzeptieren. Wenn Sie das Zertifikat für immer akzeptieren, wird 

es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht mehr angezeigt. 

Es wird der Signaturanforderungsdialog der S-TRUST Sign-it Software geöffnet. 

� Klicken Sie jetzt auf Signatur erzeugen 

� Geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit identifizieren Sie sich gegenüber dem Server. 

Es wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite ausgetauscht 

werden, werden über eine sichere Verbindung geschickt.


Mozilla / Netscape Browser 

Sicherheitseinstellungen 

Bevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren, dass dieser 

mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann. 

Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser richtig installiert ist, Ihre Karte sich in 

diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte befinden. 

� Öffnen Sie den Web-Browser und klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen. 


� Wählen Sie nun aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate 

� Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...


Jetzt öffnet sich ein Fenster in dem bereits vorhandene Sicherheitsmodule zu sehen sind. 

� Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zum Umgang mit ihrer 

Karte notwendig ist, zu installieren. 

� Geben Sie dem Modul zunächst einen Namen, z.B. "S-TRUST PKCS#11 Modul" und klicken Sie auf Durchsuchen... 

Navigieren Sie zum S-TRUST Sign-it Installations-Verzeichnis (Standard: C:\Programme\S-TRUST Sign-it), wählen Sie 

dort die Datei siqp11.dll aus und klicken Sie auf Öffnen.


� Klicken Sie auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modul installieren wollen, 

bestätigen Sie dies mit OK. 

Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul. 


Jetzt ist Mozilla /Netscape richtig konfiguriert.


Mozilla / Netscape SSL Authentisierung 


Leser stecken und warten, bis sie erkannt wurde (gelbes Chipsymbol). 








Wenn Sie mit Mozilla / Netscape eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird eventuell eine 

Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen. 


� Jetzt wird das Zertifikat der Webseite angezeigt, das der Servers an Sie sendet. Um den Vorgang fortzusetzen, 

müssen Sie diesem Zertifikat vertrauen und mit OK bestätigen. 

Sie können das Zertifikat temporär oder dauerhaft akzeptieren. Wenn Sie das Zertifikat dauerhaft akzeptieren, wird 

es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nicht mehr angezeigt. 

Es öffnet sich der Signaturanforderungsdialog der S-TRUST Sign-it Software. 

� Klicken Sie auf Signatur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit identifizieren Sie 

sich gegenüber dem Server.


Jetzt wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseite 

Erste Hilfe 

ausgetauscht werden, werden über eine sichere Verbindung geschickt. 

In diesem Kapitel wird der Umgang mit Fehlermeldungen des Produktes beschrieben. In den folgenden Auflistungen 

finden Sie mögliche Fehler, deren Ursache und wie Sie als Benutzer auf diese Fehler reagieren können oder müssen.


Wie gehe ich mit Fehlermeldungen um? 

Im Idealfall läuft das Produkt auf Ihrem Rechner so, dass Sie nie eine Fehlermeldung sehen. Da aber das Produkt 

Sicherheitskomponenten (siehe "Sicherheitskomponenten der S-TRUST Sign-it Basiskomponenten 2.5")enthält, die 

Sie vor manipulierten Inhalten bei der Darstellung und bei der Signaturerzeugung schützen sollen, werden Sie im 

Laufe der Arbeit mit dem Produkt auch mit solchen vermeintlichen Fehlermeldungen konfrontiert, die Sie auf ein 

Sicherheitsrisiko oder auf einen tatsächlich erfolgten Angriff auf ein durch das Produkt zu schützendes Objekt 

hinweisen. 

Der folgende Abschnitt gibt Ihnen eine Übersicht, wie das Produkt auf versuchte Manipulationen oder Änderungen 

reagiert und wie Sie als Benutzer in diesem Falle verfahren sollten. Dieser Abschnitt soll Sie als Benutzer des 

Produktes so sensibilisieren, dass Sie in der Lage sind, den sicheren Zustand des Produktes zu erkennen und 

Abweichungen richtig zu interpretieren. 

Der S-TRUST Sign-it Viewer meldet, dass die Fontdatei cour.ttf nicht vorhanden oder manipuliert ist: 

Hintergrund: Der S-TRUST Sign-it Viewer verwendet den Font Courier New zur Darstellung von Textinhalten. Diese 

Schriftart ist eine symmetrische Schriftart und die Verwendung soll dazu beitragen, dass Sie den angezeigten Text 

eindeutig lesen können. Die Interpretation des angezeigten Textes aus inhaltlicher Sicht kann die gesicherte 

Anzeigeeinheit allerdings nicht leisten, Sie müssen als Benutzer selbst entscheiden, ob Sie den angezeigten Text 

signieren wollen oder nicht. 

Ursache: In diesem Falle kommen zwei Ursachen in Frage. Die Datei kann wissentlich oder unwissentlich aus dem 

System entfernt worden sein. Da diese Font-Datei integraler Bestandteil des Betriebssystems ist, kommt eine 

wissentliche oder unwissentliche Manipulation des Betriebssystems in Betracht. Als zweite Ursache kann der 

Austausch oder die Manipulation dieser Datei in Betracht gezogen werden. Wenn Sie z.B. ein 

Grafikbearbeitungsprogramm auf Ihrem Rechner installieren, welches die vorhandene Datei des Betriebssystems 

austauscht, kann diese Fehlermeldung auftreten. Sie sollten aber in Betracht ziehen, dass ein Angreifer versucht 

hat, die Datei so zu manipulieren, dass z.B. das Euro Zeichen gegen das Zeichen für britische Pfund ausgetauscht 

wurde. 

Benutzerinteraktion: Wenn die Fehlermeldung angezeigt wird, müssen Sie als Benutzer selbst entscheiden, ob Sie 

der Darstellung durch den S-TRUST Sign-it Viewer vertrauen. Der S-TRUST Sign-it Viewer kann in diesem Fall keine 

Garantie geben, dass der angezeigte Text dem entspricht, wie er mit der korrekten Version der Font Datei angezeigt 

werden würde. Vertrauen Sie im Zweifelsfall der Darstellung nicht und erzeugen Sie keine elektronische Signatur an 

dem angezeigten Dokument. 

Der Rechner stürzt während der Signaturerzeugung ab oder der Kartenlesertreiber bleibt 'hängen': 

Hintergrund: Wenn Inkompatibiltäten zwischen dem Betriebssystem und dem verwendeten Kartenlesertreiber 

existieren, kann möglicherweise der Rechner während der Signaturerzeugung abstürzen oder das System reagiert 

nicht mehr auf Benutzerinteraktion. Das ist kein Fehler, der durch das Produkt S-TRUST Sign-it Basiskomponenten 

2.5, Version 2.5.1.3 verursacht wird. 

Benutzerinteraktion: Wenn der Rechner abstürzt oder hängen bleibt, sollten Sie auf jeden Fall den Rechner 

abschalten und neu starten. Nur dieses Vorgehen gibt Ihnen als Benutzer die Sicherheit, dass der Arbeitsspeicher 

des Rechners neu initialisiert wird und keine Speicherbereiche im RAM des Rechners verbleiben, die evtl. noch die 

erzeugte elektronische Signatur beinhalten. Wenn das Problem häufiger auftritt, sollten Sie sich an den Hersteller


des verwendeten Kartenlesers wenden und Informationen einholen, welcher Treiber für Ihren Kartenleser geeignet 

ist. 

Bei der Arbeit mit dem Produkt können Sie mit der Anwendung keine Signaturen mehr erzeugen oder prüfen. Der 

Tooltip im Systemtray zeigt an: 'Deaktiviert wegen Manipulationsverdacht': 

Hintergrund: Eine Sicherheitsfunktion des Produktes bietet einen Selbstschutz des Programmes gegen 

Manipulationsversuche durch andere Programme oder durch unbefugte Dritte. Wenn ein Bestandteil des Produktes 

erkennt, dass z.B. eine Programmbibliothek ausgetauscht wurde, wird dies dem S-TRUST Sign-it Security 

Environment Manager gemeldet, welcher daraufhin die Funktionen zur Signaturerzeugung und Verifikation 

deaktiviert. Das Programm S-TRUST Sign-it Basiskomponenten 2.5, Version 2.5.1.3 wird beendet. 

Ursache: Möglicherweise hat jemand versucht, den Zustand des Produktes auf Ihrem Rechner zu manipulieren oder 

so zu verändern, dass daraus ein Schaden für Sie als Anwender entstehen könnte. Wenn Sie versucht haben, 

Bibliotheken aus älteren Versionen mit dem Produkt zu verwenden, gilt dies ebenfalls als Manipulationsversuch und 

das Programm wird beendet. 

Benutzerinteraktion: Sie sollten jetzt mit dem S-TRUST Sign-it Integrity Tool den Zustand Ihrer lokalen Installation 

überprüfen. Dieses Programm teilt Ihnen detailliert mit, welche Programmbibliothek von dem Manipulationsversuch 

betroffen ist. Sie sollten keine weiteren Interaktionen mit dem Produkt ausführen, insbesondere sollten Sie nicht 

versuchen, eine elektronische Signatur zu erzeugen. Wenn Sie ein nicht vom Hersteller authorisiertes Update 

eingespielt haben, müssen Sie das Produkt deinstallieren und erneut installieren. Wenn Sie sich nicht sicher sind, 

wie Sie weiter mit dem Produkt verfahren sollen, wenden Sie sich an den Hersteller, der Ihnen in diesem Fall Tipps 

für ein weiteres Vorgehen geben kann.


Fehlermeldungen vor oder während der 

Installation 

Die folgenden Fehlermeldungen können vor oder während der Installation angezeigt werden. 

Fehlermeldung Ursache Benutzeraktion 

Ihr Betriebssystem wird Diese Fehlermeldung kann nach dem 

Sie müssen ein Betriebssystem 

nicht unterstützt. Bitte Sprachauswahldialog und vor dem Anzeigen der verwenden, welches den 

verwenden Sie für diese ersten Dialogseite für das Setup der S-TRUST Mindestanforderungen genügt. 

Anwendung ein anderes Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

Betriebssystem. Das Setup generiert werden. 

wird beendet. 

Die Betriebssystemversion, auf der das Produkt 

installiert werden soll, entspricht nicht den 

Mindestvoraussetzungen. 

Ihre gegenwärtige Diese Fehlermeldung kann nach dem 

Sie müssen sich mit 

Windows-Anmeldung ist Sprachauswahldialog und vor dem Anzeigen der Administrationsrechten an dem Rechner 

nicht mit Administratoren- ersten Dialogseite für das Setup der S-TRUST anmelden. 

Rechten ausgestattet. Um Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

das Setup ausführen zu generiert werden. 

können, müssen Sie sich Sie sind nicht mit Administrationsrechten 

als Administrator 

anmelden. Das Setup wird 

beendet. 

angemeldet. 

Ihr Internet Explorer ist Diese Fehlermeldung kann nach dem 

Sie müssen eine Version des Microsoft 

älter als Version 5.01 SP2. Sprachauswahldialog und vor dem Anzeigen der Internet Explorers installieren, die den 

Bitte installieren Sie ersten Dialogseite für das Setup der S-TRUST Anforderungen des Produktes genügt. 

zunächst einen neueren Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

Internet Explorer. Das generiert werden. 

Setup wird beendet. Ihr Betriebssystem genügt nicht den 

Mindestanforderungen. 

Sie haben für die Registry Ihr Benutzerprofil erlaubt keinen schreibenden Sie müssen sich mit einem Konto 

keine Rechte zum Zugriff auf die Registry des Betriebssystems. anmelden, das über Schreibrechte auf die 

Schreiben. Die Installation 

Registry verfügt. Wenn Sie Programme 

kann nur mit 

verwenden, die den schreibenden Zugriff 

Schreibrechten fortgesetzt 

auf die Registry verhindern, sollten Sie 

werden 

diese deaktivieren.



Konnte Verzeichnis nicht Diese Fehlermeldung kann während des Sie sollten prüfen, ob Sie über 

erstellen. 

eigentlichen Installationsvorganges des Setups Schreibrechte für das ausgewählte 

der S-TRUST Sign-it Basiskomponenten 2.5, 

Version 2.5.1.3 generiert werden. 

Das Verzeichnis zum Installieren der Anwendung 

konnte nicht erstellt werden. 

Installationsverzeichnis verfügt. 

Die installierte Programm- Diese Fehlermeldung kann nach dem Falls eine Neuinstallation notwendig ist, 

Version ist neuer als dieses Sprachauswahldialog und vor dem Anzeigen der installieren Sie die aktuellste Version. 

Setup-Programm. Bitte ersten Dialogseite für das Setup der S-TRUST 

verwenden Sie die Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

aktuellste Version. Das 

Setup wird abgebrochen. 

generiert werden. 

Es ist bereits eine neuere Version der S-TRUST 

Sign-it Basiskomponenten installiert. 

Der Inhalt dieses Setups ist Diese Fehlermeldung kann nach dem Falls eine Neuinstallation notwendig ist, 

älter als Ihre installierte Sprachauswahldialog und vor dem Anzeigen der installieren Sie die aktuellste Version. 

Version. Bitte installieren ersten Dialogseite für das Setup der S-TRUST 

Sie nur die neueste Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

Version. 


Es ist bereits eine neuere Version der S-TRUST 

Sign-it Basiskomponenten installiert. 

Es ist nicht genügend Diese Fehlermeldung kann nach dem Stellen Sie sicher, dass ca. 200 MB 

Speicherplatz für die Sprachauswahldialog und vor dem Anzeigen der Speicherplatz für die Installation zur 

Installation dieser ersten Dialogseite für das Setup der S-TRUST Verfügung stehen und starten Sie die 

Anwendung vorhanden. Der Sign-it Basiskomponenten 2.5, Version 2.5.1.3 Installation erneut. 

minimal erforderliche generiert werden. 

Speicherplatz beträgt 200 Für die Installation steht kein ausreichender 

MB. 

Speicherplatz zur Verfügung.



Sie benötigen für Diese Fehlermeldung kann nach dem Installieren Sie zunächst eine aktuelle 

diese Anwendung eine Sprachauswahldialog und vor dem Anzeigen der Java(TM) Runtime Version und starten sie 

Java(TM) Runtime in ersten Dialogseite für das Setup der S-TRUST die Installation erneut. 

einer Version 

Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

mindestens 1.4.2_08. generiert werden. 

Bitte installieren Sie Diese Fehlermeldung weist darauf hin, dass 

vorher eine 

entweder die Java(TM) Runtime Version fehlt 

entsprechende Java 

(TM) Runtime. Das 

Setup wird jetzt 

abgebrochen. 

oder eine ältere Version installiert ist. 

Diese Produktversion ist 

mit der installierten 

Version nicht vereinbar. 

Bitte deinstallieren Sie 

vorher die alte Version. 

Diese Produktversion ist 

mit der installierten 

Version nicht vereinbar. 

Diese Fehlermeldung kann nach dem Installieren Sie zunächst eine aktuelle 

Sprachauswahldialog und vor dem Anzeigen der Version der S-TRUST Sign-it 

ersten Dialogseite für das Setup der S-TRUST Basiskomponenten, für die dieses Produkt 

Sign-it Basiskomponenten 2.5, Version 2.5.1.3 freigegeben ist. 


Diese Fehlermeldung weist darauf hin, dass das 

Produkt nicht kompatibel zu den installierten 

Basiskomponenten ist. 

Diese Fehlermeldung kann nach dem Prüfen Sie zunächst, ob das zu 

Sprachauswahldialog und vor dem Anzeigen der installierende Produkt für die bereits 

ersten Dialogseite für das Setup der S-TRUST vorhandenen 

Sign-it Basiskomponenten 2.5, Version 2.5.1.3 freigegeben ist. 


Basiskomponenten 

Diese Fehlermeldung weist darauf hin, dass das 

Produkt nicht kompatibel zu den installierten 

Basiskomponenten ist. 

Diese Produktversion läßt Diese Fehlermeldung kann nach dem Bitte deinstallieren Sie zunächst die 

sich auf Ihrem Rechner nur Sprachauswahldialog und vor dem Anzeigen der ältere Produktversion und starten 

installieren, wenn Sie ersten Dialogseite für das Setup der S-TRUST anschließend die Installation neu. 

vorher die alte Version Sign-it Basiskomponenten 2.5, Version 2.5.1.3 

deinstalliert haben. generiert werden. 

Es ist bereits eine ältere Version des Produktes 

installiert.


Fehlermeldungen S-TRUST Sign-it Security 

Environment Manager 

Die folgenden Abschnitte erklären, welche Fehlermeldungen auftreten können und wie Sie diese Fehlermeldungen 

bewerten müssen. 

Grundsätzlich werden alle Fehlermeldungen vom S-TRUST Sign-it Security Environment Manager generiert, es sei 

denn, die Fehlermeldung betrifft den S-TRUST Sign-it Viewer. Der S-TRUST Sign-it Viewer realisiert selbständig 

Prüfroutinen, welche die Erkennung von Dokumentformaten betreffen. In der folgenden Tabelle werden die 

Fehlermeldungen für den S-TRUST Sign-it Security Environment Manager aufgelistet und die mögliche Fehlerursache 

benannt. 

Fehlermeldung des S-TRUST Sign- Mögliche Ursache Auswirkungen auf den sicheren Zustand 

it Security Environment 

Managers 

des Produktes/ Benutzerreaktion 

Der eingegebene Lizenzcode ist Diese Fehlermeldung kommt nach Überprüfung Sie sollten den Lizenzmanager erneut 

ungültig. 

des eingegebenen Lizenzcodes. 

starten und den Lizenzcode exakt 

eingeben. Der sichere Zustand des 

Bei der Freischaltung der Lizenz 

Produktes wird nicht beeinflusst. 

Diese Fehlermeldung kann während des Sie sollten sollte den Lizenzmanager 

ist ein Fehler aufgetreten. Lizenzierungsvorganges generiert werden. erneut starten und auf die exakte Eingabe 

des Lizenzcodes achten. Der sichere 

Zustand des Produktes wird nicht 

unerwarteter Fehler Dieser Fehler kann in 

beeinflusst. 

der Signaturprüfung::Detailanzeige::Zustand 

Zertifikatsdetailanzeige auftreten. Die der Hashwertprüfung: ist undefiniert. Der 

Fehlermeldung wird angezeigt, wenn die sichere Zustand des Produktes ist nicht 

Prüfung des Zertifikates oder des Pfades zum betroffen. Der Hashwert konnte nicht 

Herausgeber fehlschlägt. 

geprüft werden. 

Es ist ein Fehler aufgetreten, der nicht im Signaturprüfung::Detailanzeige::Zustand 

Rahmen der vorhandenen Fehlerbehandlung der Signaturprüfung: ist undefiniert. Der 

abgefangen werden konnte. 

sichere Zustand des Produktes ist nicht 

betroffen. Die Signatur konnte nicht 

Versuchen Sie es zu einem 

geprüft werden. 

Wenn Sie eine OCSP-Anfrage starten und diese Diese Fehlermeldung besagt, dass das 

späteren Zeitpunkt erneut. von der Gegenstelle nicht bearbeitet werden Produkt Ihnen keine Aussage zum 

kann, kann diese Statusmeldung erscheinen. Zertifikatsstatus liefern kann. Sie müssen 

Die OCSP-Anfrage kann durch die Gegenstelle selbst entscheiden, ob Sie dem 

zum gegenwärtigen Zeitpunkt nicht bearbeitet Signaturzertifikat vertrauen. Der sichere 

werden. 

Zustand des Produktes ist in diesem Fall 

nicht betroffen.




Managers 


Prüfen Sie bitte, ob Sie mit dem Diese Statusmeldung erscheint, wenn für eine Der sichere Zustand ist in diesem Falle 

Internet verbunden sind. Operation eine Internetverbindung notwendig nicht betroffen. 

ist, diese aber nicht besteht. 

Wenn Sie aktuelle Sperrlisten abrufen oder 

eine OCSP Abfrage durchführen wollen, wird 

eine Internet Verbindung benötigt. Wenn die 

Verbindung nicht hergestellt werden kann, 

werden Sie mit dieser Meldung aufgefordert, 

die Internet Verbindung zu überprüfen. 

Die Signaturkomponente konnte Bei folgenden Aktionen kann diese In diesem Falle ist das Produkt entweder 

nicht initialisiert werden! Fehlermeldung erscheinen: 

nicht korrekt installiert oder beschädigt. 

� Signaturerzeugung aus dem S-TRUST Der sichere Zustand des Produktes kann 

Sign-it Viewer . 

nicht gewährleistet werden. Sie sollten 

� 

das Programm erneut installieren. 

Signaturverifikation aus dem S-TRUST 

Sign-it Viewer. 

� Alle Operationen, bei denen ein 

Subsystem auf das S-TRUST Sign-it Job 

Interface zurückgreift. 

Der S-TRUST Sign-it Security Environment 

Manager konnte nicht gestartet werden bzw. 

das S-TRUST Sign-it Job Interface konnte nicht 

geladen werden. 

Die Daten wurden nicht signiert! Die Daten konnten nicht signiert werden. Diese Die Chipkarte sendete eine 

Fehlermeldung ist ein Hinweis auf eine Statusmeldung, die besagt, dass die 

fehlerhafte Kommunikation zwischen dem S- Daten von der Chipkarte nicht verarbeitet 

TRUST Sign-it Security Environment Manager wurden. Der sichere Zustand des 

und der verwendeten Chipkarte, außer Sie Produktes ist nicht gefährdet, Sie sollten 

brechen den Signaturvorgang ab. 

die Operation wiederholen. 

Die Datei ist nicht signiert! Diese Fehlermeldung kann bei der Der sichere Zustand des Produktes ist 

Signaturprüfung über den S-TRUST Sign-it nicht betroffen. Entweder wurde die 

Viewer auftreten. 

Signaturdatei nicht korrekt erzeugt oder 

Sie haben versucht, die Signatur an einer nicht es hat eine Manipulation der 

signierten Datei zu überprüfen. Es ist Signaturdatei stattgefunden, die zur 

beispielsweise eine Signaturdatei vorhanden, Folge hat, dass die Signaturdatei leer ist. 

jedoch enthält die Signaturdatei keine 

Signatur.




Managers 


Die Datei besitzt eine ungültige Diese Statusmeldung kann im Dialog zur Der sichere Zustand des Produktes ist 

Signatur! 

Signaturprüfung angezeigt werden. Die nicht betroffen. Es wurde erkannt, dass 

Signaturprüfung ist im Abschnitt Arbeiten mit die Signatur ungültig ist. Sie sollten dem 

den S-TRUST Sign-it Basiskomponenten 2.5 - empfangenen Dokument bzw. der 

Signaturprüfung beschrieben. 

Die Signatur passt nicht zu den Originaldaten. 

Signatur nicht vertrauen. 

Ursache können die Manipulation der 

Originaldaten, z.B. durch Übertragungsfehler 

als auch gezielte Manipulationen der 

Der Zertifikatsstatus konnte 

Originaldaten oder der Signatur sein. 

Diese Statusmeldung kann im Dialog zur Der sichere Zustand des Produktes ist 

nicht vollständig geprüft Signaturprüfung angezeigt werden. Die nicht betroffen. Sie sollten eine OCSP 

werden! 

Signaturprüfung ist im Abschnitt Arbeiten mit Abfrage vornehmen. 

den S-TRUST Sign-it Basiskomponenten 2.5 - 

Signaturprüfung beschrieben. 

Diese Statusmeldung erscheint bei der 

Signaturverifikation. Diese Meldung erscheint 

immer dann, wenn die Gültigkeit des 

Der Dateityp konnte nicht 

Zertifikats nicht über eine Sperrliste, die nach 

dem Signaturzeitpunkt herausgegeben wurde, 

geprüft werden kann. 

Die Statusmeldung kann angezeigt werden, Der sichere Zustand des Produktes ist 

ermittelt werden! 

wenn eine Datei über S-TRUST Sign-it Viewer nicht betroffen. 

signiert oder verifiziert werden soll. 

Das Modul zur Dokumentenerkennung konnte 

nicht ermitteln, um welchen Dateityp es sich 

handelt. Es war dem Modul zur 

Es liegen keine Informationen 

Dokumenterkennung nicht möglich, die Datei 

lesend zu öffnen. 

Die Statusmeldung kann angezeigt werden, Der sichere Zustand des Produktes ist 

über Signaturen vor! 

wenn eine Signatur über S-TRUST Sign-it nicht gefährdet. 

Viewer verifiziert werden soll. 

Der Detaildialog für die Signaturprüfung wurde 

aufgerufen, ohne dass Signaturinformationen 

übergeben wurden.




Managers 


Die Statusabfrage konnte nicht Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

erzeugt werden. 

Zertifikatsdetaildialog auf den Knopf nicht gefährdet. 

Die Antwort des 

Onlinestatus geklickt wird. 

Es ist ein interner Fehler bei der Erzeugung 

der OCSP Abfrage aufgetreten. 

Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

Zertifikatsherausgebers konnte Zertifikatsdetaildialog auf den Knopf nicht gefährdet. 

nicht verarbeitet werden. Onlinestatus geklickt wird. 

Die OCSP Antwort des Zertifikatsherausgebers 

enthält Fehler, die eine weitergehende 

Die Antwort des 

Verarbeitung der OCSP Antwort unmöglich 

machen. Die OCSP Antwort konnte nicht nach 

dem ASN.1 Standard dekodiert werden. 


Zertifikatsherausgebers enthält Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Die OCSP Antwort konnte 

einen unbekannten Statuswert. Onlinestatus geklickt wird. 

jedoch nicht korrekt verarbeitet werden. 

Der vom Herausgeber übermittelte Sie müssen selbst entscheiden, ob Sie 

Zertifikatsstatus entspricht nicht der dem Signaturzertifikat vertrauen. 

Die Anfrage an den 

Spezifikation nach RFC 2560. 


Zertifikatsherausgeber konnte Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

von diesem nicht verarbeitet Onlinestatus geklickt wird. 

entscheiden, ob Sie dem 

werden. 

Der Zertifikatsherausgeber konnte die OCSP Signaturzertifikat vertrauen. 

Anfrage des Produkts S-TRUST Sign-it 

Die Anfrage führte beim 

Basiskomponenten 2.5, Version 2.5.1.3 nicht 

verarbeiten. 


Zertifikatsherausgeber zu Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

einem internen Fehler. Onlinestatus geklickt wird. 


Der Zertifikatsherausgeber konnte die OCSP Signaturzertifikat vertrauen. 

Anfrage des Produkts S-TRUST Sign-it 


verarbeiten. Es ist ein interner Fehler beim 

Zertifikatsherausgeber aufgetreten.




Managers 


Die Anfrage kann durch den Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

Zertifikatsherausgeber zur Zeit Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

nicht bearbeitet werden. Onlinestatus geklickt wird. 

entscheiden, ob Sie dem verwendeten 

Der Zertifikatsherausgeber kann die OCSP Signaturzertifikat vertrauen. Alternativ 

Anfrage momentan nicht verarbeiten. Sie können Sie die OCSP Abfrage zu einem 

sollten den Vorgang zu einem späteren späteren Zeitpunkt noch einmal 

Zeitpunkt noch einmal wiederholen. 

durchführen. 

Die Anfrage wurde durch den Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

Zertifikatsherausgeber mit Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Die OCSP Antwort konnte 

einem nicht benutzten Onlinestatus geklickt wird. 

jedoch nicht korrekt verarbeitet werden. 

Statuscode beantwortet. Der vom Herausgeber übermittelte Sie müssen selbst entscheiden, ob Sie 

Zertifikatsstatus entspricht nicht der dem Signaturzertifikat vertrauen. 

Der Zertifikatsherausgeber 

Spezifikation nach RFC 2560. 


fordert, daß die Anfrage signiert Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Allerdings kann keine 

wird. Signierte Anfragen werden Onlinestatus geklickt wird. 

gültige OCSP Anfrage an den 

zur Zeit nicht unterstützt. Es existieren Formate für OCSP Anfragen, bei Zertifikatsherausgeber gestellt werden. 

denen die Anfrage vom Anfragenden signiert Sie müssen selbst entscheiden, ob Sie 

sein muss. Das ist z.B. bei kostenpflichtigen dem Signaturzertifikat vertrauen. 

OCSP Respondern der Fall. Dieses Format wird 

vom Produkt S-TRUST Sign-it 

Sie haben beim 


unterstützt. 


Zertifikatsherausgeber nicht die Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Allerdings kann keine 

erforderliche Berechtigung, um Onlinestatus geklickt wird. 

gültige OCSP Anfrage an den 

den Status abzufragen. Der Zertifikatsherausgeber kann durch eine Zertifikatsherausgeber gestellt werden. 

eigene Richtlinie festlegen, wer berechtigt ist, Sie müssen selbst entscheiden, ob Sie 

eine OCSP Anfrage an diesen zu senden. Wenn dem Signaturzertifikat vertrauen. 

Sie keine entsprechende Berechtigung haben, 

wird Ihnen diese Fehlermeldung angezeigt. 

Die Anfrage wurde durch den Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

Zertifikatsherausgeber mit Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

einem unbekannten Statuscode Onlinestatus geklickt wird. 


beantwortet. 

Der vom Herausgeber übermittelte Signaturzertifikat vertrauen. 

Zertifikatsstatus entspricht nicht der 

Spezifikation nach RFC 2560.




Managers 


Die Statusabfrage konnte nicht Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

durchgeführt werden. 

Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Allerdings sollten Sie 


überprüfen, ob eine Internetverbindung 

Sie haben noch zwei Versuche, 

Möglicherweise ist keine Internetverbindung vorhanden ist. 

verfügbar. 

Diese Meldung kann bei der Signaturerzeugung Der sichere Zustand des Produktes ist 

die gültige einzugeben. auftreten. 

nicht gefährdet. Sie sollten beim nächsten 

Sie haben noch einen Versuch, 

Sie haben insgesamt drei Versuche, die Versuch die korrekte PIN eingeben. 

jeweilig abgefragte PIN korrekt einzugeben. 

steht z.B. für die globale PIN. Wenn 

diese Meldung erscheint, haben Sie bereits 

einmal die falsche PIN eingegeben. 

Diese Meldung kann bei der Signaturerzeugung Der sichere Zustand des Produktes ist 

die gültige einzugeben. auftreten. 

nicht gefährdet. Sie sollten beim nächsten 

Wird erneut die falsche Sie haben insgesamt drei Versuche, die Versuch die korrekte PIN eingeben. 

eingegeben, wird die Karte jeweilig abgefragte PIN korrekt einzugeben. 

unbrauchbar! 

steht z.B. für die globale PIN. Wenn diese 

Meldung erscheint, haben Sie bereits zweimal 

die falsche PIN eingegeben. 

Die Karte wurde durch Diese Meldung kann bei der Signaturerzeugung Der sichere Zustand des Produktes ist 

mehrfache Fehleingabe auftreten. 

nicht gefährdet. Allerdings können Sie die 

unbrauchbar gemacht. Sie haben durch dreimaliges Eingeben der Chipkarte mit dem Produkt nicht mehr 

falschen PIN die Karte für die weitere verwenden. 

Benutzung unbrauchbar gemacht. 

Der Fehlbedienungszähler ist Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

abgelaufen. 

Signaturerzeugung auftreten. 

nicht gefährdet. Allerdings können Sie die 

Der Fehlbedienungszähler der Karte zeigt an, Chipkarte mit dem Produkt nicht mehr 

dass die PIN insgesamt dreimal falsch verwenden. 

Die eingegebene PIN entspricht 

eingegeben wurde. 

Diese Fehlermeldung kann beim Ändern der Der sichere Zustand des Produktes ist 

nicht den Anforderungen der PIN der Chipkarte auftreten. 

nicht gefährdet. Sie sollten allerdings 

Karte! 

Die Chipkarte stellt bestimmte Anforderungen beim Festlegen der PIN über den 

an die Qualität der PIN. 

Menüpunkt PIN ändern eine PIN wählen, 

die den Anforderungen der verwendeten 

Karte genügt.




Managers 


Bei der Übertragung des Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

Kommandos an die Karte trat Signaturerzeugung auftreten. 

nicht gefährdet. Sie sollten den Vorgang 

ein unerwarteter Fehler auf! Beim Senden des Kommandos an die Chipkarte wiederholen. Wenn der Fehler permanent 

ist ein Fehler aufgetreten. Die Chipkarte hat auftritt, sollten Sie mit dem zur 

mit einem Kartenstatus geantwortet, der nicht Verfügung stehenden Modul zur 

dem erwarteten Status entsprach. 

Integritätsprüfung die korrekte 

Installation des Produktes auf dem 

Die eingegebenen PINs sind 

Rechner prüfen. 

Diese Fehlermeldung kann beim Ändern der Der sichere Zustand des Produktes ist 

nicht identisch! 

PIN der Chipkarte auftreten. 


Dieser Fehler kann beim Ändern der PIN wiederholen. 

auftreten, wenn die erste und die 

Die eingegebene PIN wurde 

Bestätigungspin nicht identisch sind. 

Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

zurückgewiesen! 



Die PIN wurde nicht in der 

Die Verifikation der PIN durch die Chipkarte ist wiederholen. 

fehlgeschlagen. Sie haben die falsche PIN 

eingegeben. 


erwarteten Zeit eingegeben! Signaturerzeugung auftreten. 


Sie haben zu lange gewartet, um die PIN wiederholen. 

einzugeben. die meisten Kartenleser mit 

sicherer PIN Eingabe unterstützen die 

Sie müssen die Karte zuerst 

Verwendung von Timeouts während der PIN 

Eingabe. 


freischalten! 


nicht gefährdet. Sie müssen eine 

Vor der Verwendung muss die Karte freigeschaltete Karte verwenden. Ggf. 

freigeschaltet werden. 

können Sie mit dem Menüpunkt Karte 

freischalten Ihre Karte für die weitere 

Verwendung freischalten. 

Sie müssen die Karte zuerst Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

entsperren. 


nicht gefährdet. Sie müssen vor einer 

Sie haben durch mehrfaches Eingeben der weiteren Verwendung der Karte diese 

falschen Pin die Karte gesperrt. Sie müssen durch die Eingabe der PUK wieder 

vor einer weiteren Verwendung der Karte entsperren. 

diese durch die Eingabe des PUK wieder 

entsperren.




Managers 


Zur Zeit stehen keine geeigneten Diese Meldung kann beim Versuch der Der sichere Zustand des Produktes ist 

Zertifikate zur Verfügung! Signaturerzeugung auftreten. 

nicht gefährdet. Sie müssen sicherstellen, 

Möglicherweise wollen Sie eine Datei dass Sie einen Kartenleser installiert und 

signieren und haben keinen Kartenleser eine Chipkarte eingelegt haben, die vom 

angeschlossen 

eingelegt. 

oder keine Chipkarte Produkt verwendet werden kann. 

Die Antwort ist nicht vom Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

erwarteten Typ BASIC. 

Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 



Das Format BASIC ist bisher das Signaturzertifikat vertrauen. 

Die Antwort hat nicht die 

standardisierte Format für OCSP - Antworten. 

Möglicherweise werden zu einem späteren 

Zeitpunkt neue Formate definiert, die vom 

Produkt dann nicht unterstützt werden. 


erwartete Version. 




Beim Prüfen der Antwort ist ein 

Die OCSP - Antwort hat nicht die erwartete Signaturzertifikat vertrauen. 

Version. 


unerwarteter interner Fehler Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

aufgetreten. 



Die Anwort enthält mindestens 

Die empfangene OCSP Antwort konnte nicht Signaturzertifikat vertrauen. 

korrekt überprüft werden. Möglicherweise 

sind syntaktische Fehler in der OCSP-Antwort 

vorhanden. 

Diese Statusmeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

eine unbekannte kritische Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

Erweiterung. 



Kritische Erweiterungen sind Antwortzusätze, Signaturzertifikat vertrauen. 

die Ihnen bei der Auswertung der OCSP - 

Antwort zur Kenntnis gelangen sollten. Das 

Produkt S-TRUST Sign-it Basiskomponenten 

2.5, Version 2.5.1.3 ist nicht in der Lage, diese 

kritische Erweiterung korrekt zu 

interpretieren.




Managers 


Die Antwort ist nicht 


Signaturgesetz konform (positive Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

Kenntnisaussage fehlt). Onlinestatus geklickt wird. 


In der Antwort ist nicht die Aussage Signaturzertifikat vertrauen. 

enthalten, dass der Herausgeber das 

Die Antwort enthält eine 

Zertifikat kennt. 


unleserliche Zeitangabe der Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

letzten Überprüfung. 



Der Zeitpunkt der letzten Überprüfung gibt Signaturzertifikat vertrauen. 

an, wann der OCSP-Antwortende die 

Der in der OCSP Antwort 

Gültigkeit des Zertifikats das letzte Mal 

geprüft hat. Das Zeitformat in der OCSP- 

Antwort für diese Überprüfung konnte nicht 

dekodiert werden. 


angegebene Zeitpunkt weicht von Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

Ihrer lokalen Systemzeit ab. Der Onlinestatus geklickt wird. 


angegebene Zeitpunkt liegt in der Der Zeitpunkt der letzten Zertifikatsprüfung Signaturzertifikat vertrauen. Sie sollten 

Zukunft. 

durch den OCSP-Antwortenden liegt die lokale Systemzeit überprüfen. 

Die Antwort enthält eine 

gegenüber der lokalen Systemzeit in der 

Zukunft. 


unleserliche Zeitangabe der Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

nächsten Überprüfung. 



Der Zeitpunkt der nächsten Überprüfung gibt Signaturzertifikat vertrauen. 

an, wann der OCSP-Antwortende die 

Die Antwort ist wegen der 

Gültigkeit des Zertifikats das Nächste mal 

prüfen wird. Das Zeitformat in der OCSP- 

Antwort für diese Überprüfung konnte nicht 

dekodiert werden. 


aufgeführten Gründe nicht oder Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie sollten dem Zertifikat 

nur bedingt vertrauenswürdig. Onlinestatus geklickt wird. 

Diese Meldung erscheint, sobald Gründe 

nicht vetrauen. 

vorliegen, der empfangenen OCSP-Antwort 

nur bedingt oder nicht zu vertrauen.




Managers 


Die Antwort gilt nicht für das Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

angefragte Zertifikat!! 

Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie sollten dem Zertifikat 


nicht vetrauen und die Integrität des 

Die empfangene Antwort bezieht sich nicht Betriebssystems überprüfen. 

auf das angefragte Zertifikat. Eine solche 

Meldung kann ein Indikator für die 

Interner Fehler beim Lesen eines 

Manipulation der Antwort durch Dritte sein 

(Man in the Middle). 


Zertifikates. 

Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie sollten Zertifikaten, 


die nicht korrekt durch das Produkt 

Ein Zertifikat, welches vom Produkt benötigt dekodiert 

wird, konnte nicht gelesen oder dekodiert vertrauen. 

werden. 

werden können, nicht 

Die Signatur der Antwort konnte Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

nicht geprüft werden. 

Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen entscheiden, 


Die Signatur der OCSP Antwort konnte nicht 

ob Sie dem Zertifikat vertrauen. 

Das Zertifikat der Gegenstelle 

verifiziert werden. Möglicherweise ist der 

Hashwert der Signatur manipuliert worden 

oder es konnte kein Zertifikat zu der Signatur 

ermittelt werden. 


konnte nicht gefunden werden: Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 



Nach dem ISIS-MTT Standard sollte das Signaturzertifikat vertrauen. 

Zertifikat des OCSP Antwortenden in der 

OCSP Antwort enthalten sein. Das Zertifikat 

ist in der Antwort aber nicht enthalten.




Managers 


Das Zertifikat der Gegenstelle Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

konnte nicht positiv geprüft Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Allerdings kann die OCSP 

werden. 


Antwort auf Grund veralteter Sperrlisten 

Möglicherweise existiert kein Sperrliste für nicht korrekt verarbeitet werden. Sie 

die OCSP Signatur oder die Sperrliste ist sollten die lokalen Sperrlisten 

veraltet. Eine Sperrliste gilt als veraltet, aktualisieren. 

wenn der in der Sperrliste angegbene 

Zeitpunkt für die Erneuerung der Sperrliste 

auf dem lokalen Rechner 

wurde. 

überschritten 

Das Zertifikat der Gegenstelle Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

berechtigt nicht zur OCSP- Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

Signatur. 



Die positive Kenntnisaussage ist 

Das Zertifikat, mit welchem die OCSP Antwort Signaturzertifikat vertrauen. 

signiert wurde, berechtigt den Signierenden 

nicht zu einer OCSP Signatur. 


fehlerhaft. 




Es fehlt ein expliziter Hinweis auf 

Die positive Kenntnisaussage ist entweder Signaturzertifikat vertrauen. 

nicht vorhanden oder ist fehlerhaft. 


die Gültigkeit der Antwort trotz Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Sie müssen selbst 

abgelaufenem Zertifikat. Onlinestatus geklickt wird. 


Das angefragte Zertifikat ist sowohl Signaturzertifikat vertrauen. 

OCSP Response Interner Fehler 

abgelaufen und die Antwort enthält keinerlei 

Hinweis darauf, ob die Gegenstelle Kenntnis 

vom Status dieses Zertifikates hat. 


Zertifikatsdetaildialog auf den Knopf nicht gefährdet. Die OCSP Antwort konnte 


vom Produkt nicht korrekt verarbeitet 

Es ist ein interner Fehler bei der Prüfung der werden. Sie müssen selbst entscheiden, 

OCSP Antwort aufgetreten. 

ob Sie dem verwendeten 

Signaturzertifikat vertrauen.




Managers 


Die Gültigkeit der Antwort wird Diese Fehlermeldung kann auftreten, wenn im Der sichere Zustand des Produktes ist 

nicht mehr garantiert. 




Das Zertifikat ist der Gegenstelle zwar Signaturzertifikat vertrauen. 

bekannt, die Zeit für die 

Informationsaufbewahrung zu dem 

angefragten 

abgelaufen. 

Zertifikat ist allerdings 

Zu dem Zertifikat fehlt das Diese Fehlermeldung kann durch den Der sichere Zustand des Produktes ist 

Herausgeberzertifikat. 

Zertifikatsdetaildialog ausgelöst werden. nicht gefährdet. Sie müssen selbst 

In der internen Zertifikatsverwaltung wurde entscheiden, ob Sie dem verwendeten 

das Herausgeberzertifikat nicht gefunden. Signaturzertifikat vertrauen. 

Zu einem der Herausgeber wurde Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

keine Sperrliste gefunden. Signaturprüfdialog erscheinen. 

nicht gefährdet. Sie müssen selbst 

Für einen Herausgeber existiert keine entscheiden, ob Sie dem verwendeten 

Sperrliste auf dem lokalen Rechner. Signaturzertifikat vertrauen. Sie sollten 

die aktuellen Sperrlisten abrufen. 

Fehler beim Erzeugen eines Diese Statusmeldung kann beim Holen eines Der sichere Zustand des Produktes ist 

Zeitstempels. 

Zeitstempels erscheinen. 

nicht gefährdet. Sie können versuchen, 

Während des Empfangs des Zeitstempels ist den Zeitstempel erneut einzuholen. 

ein Fehler aufgetreten, so dass der 

Fehler beim Holen einer OCSP 

Zeitstempel von dem Produkt nicht eingeholt 

werden konnte. 

Diese Fehlermeldung kann beim Holen einer Der sichere Zustand des Produktes ist 

Antwort. 

OCSP Antwort auftreten. 

nicht gefährdet. Sie können versuchen, 

Möglicherweise besteht keine Verbindung eine erneute OCSP Abfrage durchzuführe. 

zum Internet oder der OCSP Responder ist 

nicht erreichbar. 

Zu einem der 

Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

Herausgeberzertifikate wurde Signaturprüfdialog erscheinen. 


keine aktuelle Sperrliste Es ist zwar eine Sperrliste vorhanden, jedoch entscheiden, ob Sie dem verwendeten 

gefunden. 

ist diese Sperrliste abgelaufen. Sie sollten die Signaturzertifikat vertrauen. Sie sollten 

Sperrlisten über den S-TRUST Sign-it die aktuellen Sperrlisten abrufen. 

Sperrlistenaktualisierungsassistent 

aktualisieren.




Managers 


Von einem der Herausgeber Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

wurde das Zertifikat 

Signaturprüfdialog erscheinen. 

nicht gefährdet. Sie sollten dem Zertifikat 

zurückgezogen 

Das Zertifikat wurde durch den Herausgeber nicht vertrauen. 

zurückgezogen (das Zertifikat ist in der 

Sperrliste als zurückgezogen markiert). 

Die Sperrliste einer der 

Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

Herausgeber hat unbekannte Signaturprüfdialog erscheinen. 

nicht gefährdet. Sie sollten die aktuellen 

Fehler. 

Die verwendete hat entweder syntaktische Sperrlisten abrufen und den Vorgang 

Fehler oder enthält Zusätze, die vom Produkt wiederholen. Zusätzlich sollten Sie eine 

nicht verarbeitet werden können. 

OCSP Abfrage zu dem Zertifikat 

Von diesem Inhaber ist keine Diese Statusmeldung kann 

durchführen. 

im Der sichere Zustand des Produktes ist 

Sperrliste vorhanden. 



Zu einem konkreten Herausgeber wurde kein Sperrlisten abrufen und den Vorgang 

Sperrliste gefunden. 

wiederholen. 

Die Sperrliste dieses Inhabers ist Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

abgelaufen. 



Die Sperrliste des konkreten Herausgebers Sperrlisten abrufen und den Vorgang 

ist abgelaufen. Sie sollten die Sperrlisten wiederholen. 

über den S-TRUST Sign-it 

Sperrlistenaktualisierungsassistent 

aktualisieren. 

Das Prüfzertifikat ist nach der Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

Sperrliste dieses Inhabers Signaturprüfdialog erscheinen. 

nicht gefährdet. Sie sollten dem Zertifikat 

zurückgezogen. 

Der konkrete Herausgeber hat dieses nicht vertrauen. 

Zertifikat zurückgezogen. 

Die Sperrliste dieses Inhabers hat Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

unbekannte Fehler. 



Die Sperrliste dieses konkreten Herausgebers Sperrlisten abrufen und den Vorgang 

weist Fehler auf. 

wiederholen. 

Sie vertrauen keinem der Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

Wurzelzertifikate! 



Diese Meldung sagt aus, dass keinem der entscheiden, ob Sie dem verwendeten 

Wurzelzertifikate vertraut wird. 

Signaturzertifikat vertrauen.




Managers 


Das Modul besitzt eine Diese Fehlermeldung kann beim Start des S- Der sichere Zustand des Produktes ist 

ungültige Signatur. Das 

TRUST Sign-it Security Environment Managers nicht gewährleistet. Sie müssen mit Hilfe 

Programm wird beendet. generiert werden. 

des zur Verfügung stehenden 

Diese Meldung sagt aus, dass die Signatur des Integritätschecks die gesamte Installation 

angegebenen Programm-Moduls beschädigt überprüfen. Sie müssen das Produkt 

ist oder die Originaldaten (das Modul) und die deinstallieren und erneut installieren. 

Signaturdatei nicht zueinander passen. Aus 

Sicherheitsgründen wird die Anwendung S- 

TRUST Sign-it Basiskomponenten 2.5, Version 

2.5.1.3 in diesem Falle beendet. 

Das Zertifikat wurde nicht Diese Statusmeldung kann im Der sichere Zustand des Produktes ist 

geprüft. 



Diese Statusmeldung sagt aus, dass die entscheiden, ob Sie dem verwendeten 

Zertifikate nicht geprüft wurden. 

Signaturzertifikat vertrauen. Alternativ 

sollten Sie eine OCSP Abfrage zu dem 

Zertifikat durchführen. 

Die zu signierenden Daten Diese Statusmeldung kann immer dann Der sichere Zustand des Produktes kann 

wurden vor der 

auftreten, wenn Sie eine digitale Signatur gefährdet sein. Der sichere Zustand ist 

Signaturerzeugung verändert! über einen der Produktbestandteile erzeugen nur dann nicht gefährdet, wenn Sie nicht 

wollen. 

selbst aus Versehen die Daten 

Diese Meldung sagt aus, dass die zwischenzeitlich geändert haben. In 

Originaldaten, die vom Produktbestandteil zur jedem anderen Fall sollten Sie die Arbeit 

Signatur an den S-TRUST Sign-it Security mit dem Produkt einstellen und eine 

Environment Manager übergeben wurden, Integritätsprüfung des Produktes 

zwischenzeitlich verändert wurden. 

vornehmen. Wird bei der 

Integritätsprüfung keine Veränderung des 

Produktes entdeckt, sollte mit Hilfe eines 

Virenscanners der Rechner auf böswillige 

Programme hin untersucht werden. 

Das Produkt nimmt in diesem Falle einen 

sicheren Zustand ein, da die Funktionen 

zur Signaturerzeugung und 

Signaturverifikation durch den S-TRUST 

Sign-it Security Environment Manager in 

diesem Falle deaktviert werden.




Managers 


Der eingesetzte Hashalgorithmus Diese Fehlermeldung kann bei der Sie sollten sich über die 

wird als ungeeignet eingestuft. Signaturverifikation auftreten. 

Veröffentlichungen der 

Diese Meldung sagt aus, dass für die Bundesnetzagentur unter 

Signaturerzeugung ein Hashalgorithmus www.bundesnetzagentur.de informieren, 

verwendet wurde, der für die Erzeugung welcher Hashalgorithmus zulässig ist. 

qualifizierter Signaturen nicht zulässig ist. 

Die verwendeten 

Diese Fehlermeldung kann bei der Sie sollten sich über die 

Signaturparameter werden als Signaturverifikation auftreten. 


ungeeignet eingestuft. 

Diese Meldung sagt aus, dass für die Bundesnetzagentur unter 

Signaturerzeugung entweder ein www.bundesnetzagentur.de informieren, 

Hashalgorithmus verwendet wurde, der für welcher Hashalgorithmus und welche 

die Erzeugung qualifizierter Signaturen oder Schlüssellängen zulässig sind. 

die verwendete Schlüssellänge nicht zulässig 

ist. 

Die verwendeten Algorithmen Diese Fehlermeldung kann bei der Sie sollten sich über die 

entsprechen nicht den 

Signaturerprüfung auftreten. 


Prüfvorgaben. 

Diese Meldung weist darauf hin, dass ein Bundesnetzagentur unter 

Hashalgorithmus verwendet wurde, der nicht www.bundesnetzagentur.de informieren, 

den Vorgaben der Bundesnetzagentur welcher Hashalgorithmus und welche 

entspricht. Dieser Hinweis erscheint in der Schlüssellängen zulässig sind. 

Zusammenfassung des Prüfdialogs. 

Die von der Karte erzeugte Diese Fehlermeldung kann bei der Der sichere Zustand des Produktes ist 

Signatur entspricht nicht den zu Signaturerzeugung auftreten. 

gefährdet. Sie sollten den S-TRUST Sign-it 

signierenden Daten! 

Diese Meldung sagt aus, dass nicht der Security Environment Manager beenden 

Hashwert signiert wurde, der beabsichtigt und den Rechner herunterfahren, um 

wurde. 

sicherzugehen, dass sich keine digitalen 

Signaturen mehr im Speicher befinden. 

Ein Fehler ist bei der 

Diese Fehlermeldung kann beim Start des Der sichere Zustand des Produktes kann 

Initialisierung aufgetreten. Das Assistenten zur Sperrlistenaktualisierung gefährdet sein. Sie sollten mit dem zur 

Programm kann nicht weiter generiert werden. 

Verfügung stehenden Prüfprogramm die 

ausgeführt werden. Wenden Sie Bei der Sperrlistenaktualisierung ist ein Integrität der Installation überprüfen. 

sich bitte an die Online-Hilfe und Fehler bei der Initialisierung des S-TRUST 

prüfen Sie Ihre Installation. Sign-it Sperrlistenaktualisierungsassistenten 

aufgetreten, der eine weitere Benutzung des 

Sperrlisten 

unmöglich macht. 

Aktualisierungsassistenten


Fehlermeldungen des S-TRUST Sign-it Viewer 

Der S-TRUST Sign-it Viewer kann ebenfalls Fehlermeldungen generieren, die in der folgenden Tabelle aufgelistet 

sind. 

Grundsätzlich gilt: Wenn eine Fehlermeldung generiert wird, über deren Bedeutung Sie sich nicht sicher sind, sollten 

Sie das Dokument nicht signieren. 

Fehlermeldung des S- Fehlerursache Auswirkungen auf den sicheren Zustand des 

TRUST Sign-it Viewer 

Produktes/Benutzerreaktion 

Das Format der Datei ist Diese Fehlermeldung kann beim Öffnen einer Der sichere Zustand des Produktes ist nicht 

nicht geeignet! Datei mit dem S-TRUST Sign-it Viewer direkt gefährdet. Sie sollten die Datei nicht signieren, 

durch diese oder beim Öffnen einer Datei über wenn Sie für die Daten über kein sicheres 

den Signaturanforderungsdialog generiert Anzeigemodul verfügen. 

werden. 

Sie haben versucht, eine Datei mit dem S-TRUST 

Sign-it Viewer zu öffnen, die weder als PDF, TIFF 

noch als Text Datei erkannt wurde. Diese 

Fehlermeldung wird Ihnen auch dann angezeigt, 

wenn aktive Inhalte in dem Dokument 

Sie verfügen nicht über 

vorhanden sind. 

Diese Fehlermeldung kann beim Öffnen einer Der sichere Zustand des Produktes ist nicht 

die benötigte Lizenz, um Datei mit dem S-TRUST Sign-it Viewer generiert gefährdet. 

Dateien dieses Formates werden. 

anzuzeigen! 

Sie haben versucht, eine Datei mit dem S-TRUST 

Sign-it Viewer zu öffnen, die entsprechend dem 

Funktionsumfang der installierten Lizenz nicht 

geöffnet werden kann. 

Es steht keine gültige Diese Fehlermeldung wird generiert, wenn der Diese Fehlermeldung wird Ihnen nur angezeigt, 

Lizenz zur Verfügung. Viewer auf einem PC gestartet wird, auf dem falls Sie eine Datei mit dem Viewer öffnen wollen 

Das Programm wird keine Lizenz für die S-TRUST Sign-it und über keine Lizenz verfügen (auch nicht über 

beendet. 

Basiskomponenten 2.5, Version 2.5.1.3 eine Reader-Lizenz). 

installiert ist. 

Wenn diese Fehlermeldung erscheint, ist die 

Sie haben vesucht, den S-TRUST Sign-it Viewer Lizenzdatei von Ihrem Rechner entfernt worden. 

zu starten, obwohl keine Lizenz für die S-TRUST Der sichere Zustand des Produktes ist nicht 

Sign-it Basiskomponenten 2.5, Version 2.5.1.3 betroffen, jedoch sollten Sie mit einem 

installiert ist. 

geeigneten Programm (Virenscanner etc.) die 

Integrität Ihres Betriebssystes überprüfen. 

Eventuell haben unberechtigte Dritte Zugriff auf 

Ihren Rechner erlangt.


Fehlermeldung des S- 


Die Schriftart 'Courier 

New', die für die 

Darstellung von Text 

verwendet wird, wurde 

auf diesem Computer 

nicht gefunden oder 

stimmt nicht mit der 

Originalinstallation 

überein. 

Fehler beim Zugriff auf 

die Datei! 

Die Datei enthält sowohl 

'DOS' als auch 'Windows' 

Umlaute. Eine korrekte 

Darstellung ist u.U. nicht 

möglich. 

Die Datei enthält 

Zeichen, für die keine 

eindeutige Darstellung 

definiert ist. 

Fehlerursache Auswirkungen auf den sicheren Zustand des 


Diese Fehlermeldung tritt auf, wenn die Datei Der sichere Zustand des Produktes ist betroffen. 

cour.ttf auf dem Computer nicht vorhanden ist Sie sollten überprüfen, ob die Datei cour.ttf auf 

oder von der Dateiversion abweicht, die der dem Rechner vorhanden ist. Sie sollten keine 

Originalinstallation entspricht. Diese Signaturen an Text-Dokumenten vornehmen, da 

Fehlermeldung wird beim Start des S-TRUST die korrekte Darstellung nicht mehr 

Sign-it Viewers gemeldet bzw. beim Öffnen gewährleistet werden kann. 

eines Textdokuments. 


Datei mit dem S-TRUST Sign-it Viewer direkt gefährdet. Sie sollten den Vorgang wiederholen. 

durch diese oder beim Öffnen einer Datei über 

den Signaturanforderungsdialog generiert 

werden. 

Beim Zugriff auf die zu öffnende Datei 

(Kommandozeile oder Menübefehl) ist ein Fehler 

aufgetreten. Die Datei existiert nicht oder kann 

nicht gelesen werden. 

Diese Fehlermeldung kann während der Der sichere Zustand des Produktes ist nicht 

Untersuchung von Textdokumenten auftreten. gefährdet. Sie sollten eine Untersuchung des 

Das Textdokument enthält Zeichen, die als Textdokuments wie im Kapitel Arbeiten mit dem 

Umlaute in der Windows Darstellung erkannt S-TRUST Sign-it Viewer beschrieben, vornehmen. 

werden. Darüber hinaus sind aber auch Zeichen 

in dem dokument vorhanden, die als Umlaute in 

der DOS Codierung interpretiert werden. 

Diese Fehlermeldung kann während der Der sichere Zustand des Produktes ist nicht 

Untersuchung von Textdokumenten auftreten. gefährdet. Sie sollten eine Untersuchung des 

Das Dokument enthält Zeichen, für die in Textdokuments wie im Kapitel Arbeiten mit dem 

verschiedenen Schriftsätzen verschiedene S-TRUST Sign-it Viewer beschrieben, vornehmen. 

Darstellungen definiert sind.




Die TIFF Datei hat eine 

Größe von . Sie 

enthält freie 

(scheinbar ungenutzte) 

Bereiche mit einer 

Gesamtgröße von . 

Fehler in TIFF-Struktur: 

Tag 'StripOffset' Zeiger 

ohne Größenangabe! 




Datei mit dem S-TRUST Sign-it Viewer direkt gefährdet. Sie müsen die enthaltenen Daten in 

durch diese oder beim Öffnen einer Datei über dem Dokument genauer untersuchen. Sie müssen 

den Signaturanforderungsdialog generiert selbst entscheiden, ob Sie das Dokument 

werden. 

Eine TIFF-Datei wurde geöffnet, deren Inhalt 

nicht vollständig durch die enthaltenen Tags 

belegt wird. Die durch angegebene Anzahl 

von Bytes der Datei wird durch den ‚offiziellen’ 


Dateiinhalt nicht verwendet und kann 

verborgene Inhalte enthalten. Die Meldung wird 

ausgegeben, wenn die Zahl der nicht 

adressierten Bytes mehr als 50 beträgt. In 

jedem Fall können diese Bytes unter ‚Ansicht / 

Weitere Dateiinhalte’ betrachtet werden. 

(Einzelne nicht belegte Bytes bzw. kleinere 

ungenutzte Dateibereiche sind in TIFF-Dateien 

normal. Sie entstehen durch Füllbytes, die bei 

der Anordnung von Tabellen auf WORD- oder 

DWORD-Grenzen erforderlich werden, aber auch 

durch die Bearbeitung der TIFF-Datei.) 


Datei mit dem S-TRUST Sign-it Viewer direkt gefährdet. Sie müssen die enthaltenen Daten in 



werden. 

Interner Fehler in der TIFF-Struktur. Der Inhalt 

kann u.U. nicht korrekt angezeigt werden. 

Weitere Fehlermeldungen sind möglich. Diese 

Meldung kann nur im Fall einer beschädigten 

TIFF-Datei auftreten. 

signieren wollen oder nicht.


Fehlermeldung des S- Fehlerursache Auswirkungen auf den sicheren Zustand des 



Fehler in TIFF-Struktur: Diese Fehlermeldung kann beim Öffnen einer Der sichere Zustand des Produktes ist nicht 

Tag 'TileOffsets' ohne Datei mit dem S-TRUST Sign-it Viewer direkt gefährdet. Sie müssen die enthaltenen Daten in 

'TileByteCount' durch diese oder beim Öffnen einer Datei über dem Dokument genauer untersuchen. Sie müssen 

gefunden! 


werden. 

Interner Fehler in der TIFF-Struktur. Der Inhalt 

kann u.U. nicht korrekt angezeigt werden. 

Weitere Fehlermeldungen sind möglich. Diese 

Meldung kann nur im Fall einer beschädigten 

TIFF-Datei auftreten. 


Fehlendes Tag! Diese Fehlermeldung kann beim Öffnen einer Der sichere Zustand des Produktes ist nicht 




werden. 

Es wurde ein Tag nicht gefunden. Es ist ein 

Fehler im Programm aufgetreten. 


Fehlerhafter TagType! Diese Fehlermeldung kann beim Öffnen einer Der sichere Zustand des Produktes ist nicht 

Datei mit dem S-TRUST Sign-it Viewer direkt gefährdet. Der Benutzer muss die enthaltenen 

durch diese oder beim Öffnen einer Datei über Daten in dem Dokument genauer untersuchen. 

den Signaturanforderungsdialog generiert Der Benutzer muss selbst entscheiden, ob er das 

werden. 

Fehler in der TIFF-Struktur. Der Typ eines Tag’s 

entspricht nicht der Spezifikation. Weitere 

Fehlermeldungen sind möglich. (Tritt beim 

Markieren eines Tag’s auf, wenn dieses Tag 

nicht der Spezifikation entspricht.) 

Dokument signieren will oder nicht.




Fehler in DataLength 

(erwartet 'X' gefunden 

'Y') 

Fehler in DataLength 

(erwartet 'X1' oder 'X2' 

gefunden 'Y') 

Fehler in DataType 

(erwartet '2' (ASCII) 

gefunden '') 







werden. 

Fehler in der TIFF-Struktur. Der Datenumfang 

eines Tag’s entspricht nicht der Spezifikation. 

Tritt nur auf, wenn die Spezifikation den 

Datenumfang des Tag’s explizit festlegt und das 

Tag dieser Festlegung nicht entspricht. Weitere 









werden. 

Fehler in der TIFF-Struktur. Der Datenumfang 

eines Tag’s entspricht nicht der Spezifikation. 

Tritt nur auf, wenn die Spezifikation den 

Datenumfang des Tag’s explizit festlegt und das 

Tag dieser Festlegung nicht entspricht. Weitere 









werden. 

Fehler in der TIFF-Struktur. Der Datentyp eines 

Tag's entspricht nicht der Spezifikation. Tritt 

nur auf, wenn die Spezifikation den Datentyp 

des Tag's explizit festlegt und das Tag dieser 


Festlegung nicht entspricht. Weitere 

Fehlermeldungen sind möglich.




Fehler in Datei! Zeiger 

ausserhalb des Bereichs! 

Fehler in Datei! 

Überschneidung! 

Die Signaturkomponente 

konnte nicht initialisiert 

werden! 







werden. 

Es ist ein Fehler in der TIFF-Datei aufgetreten. 

Eine Adresse in der Struktur der TIFF-Datei 

verweist auf Daten, die hinter dem Ende der 


Datei liegen. Tritt auf, wenn die TIFF-Datei 

unvollständig ist (abgeschnitten) oder die 

Adressdaten in der Datei beschädigt wurden. 

Weitere Fehlermeldungen sind zu erwarten. 





werden. 

Fehler in der TIFF-Datei. Eine Adresse in der 

Struktur der TIFF-Datei verweist auf Daten, die 


in einem Bereich der Datei liegen, in dem 

bereits andere Daten identifiziert wurden. Tritt 

auf, wenn die Adressdaten in der Datei 

beschädigt wurden. Weitere Fehlermeldungen 

sind zu erwarten. 

Diese Fehlermeldung kann beim Öffnen einer Der sichere Zustand des Produktes kann nicht 

Datei mit dem S-TRUST Sign-it Viewer direkt gewährleistet werden. Sie sollten mit dem zur 

durch diese oder beim Öffnen einer Datei über Verfügung stehenden Modul zur 

den Signaturanforderungsdialog generiert Integritätsprüfung die Integrität der Installation 

werden. 

Das S-TRUST Sign-it Job Interface steht nicht 

zur Verfügung. Dies ist ein kritischer Fehler. Sie 

sollten mit dem S-TRUST Sign-it Integrity Tool 

die korrekte Installation des Produktes auf dem 

Arbeitsplatz überprüfen. 

auf dem Rechner überprüfen.




Auf die Datei '' 

kann nicht zugegriffen 

werden: 

Beim Laden des TIFF- 

Bildes ist ein Fehler 

aufgetreten: 

Es sind Java 

Script Elemente im 

Dokument enthalten. 




Datei mit dem S-TRUST Sign-it Viewer direkt gefährdet. Sie sollten den Vorgang wiederholen. 

durch diese oder beim Öffnen einer Datei über 

den Signaturanforderungsdialog generiert 

werden. 

Die Datei wurde ursprünglich geöffnet 

und gelesen, steht bei einem späteren Zugriff 

jedoch nicht mehr zur Verfügung. Die 

Fehlermeldung des Betriebssystems steht in 

einer zweiten Zeile. 


Datei mit dem S-TRUST Sign-it Viewer direkt gefährdet. Allerdings kann das Dokument nicht 

durch diese oder beim Öffnen einer Datei über angezeigt werden. Sie müssen entscheiden, ob 

den Signaturanforderungsdialog generiert Sie das Dokument trotzdem signieren möchten, 

werden. 

obwohl kein sicheres Anzeigemodul zur 

Es wurde ein Fehler festgestellt, der sich auf die Verfügung steht. 

Struktur der TIFF-Datei bzw. die Auswertung des 

Inhalts bezieht. Beispiel: Nicht unterstützte 

Kompressionsverfahren oder Fehler in der 

Dateistruktur. Eine genaue Bezeichnung des 

Fehlers - in englischer Sprache - steht in der 

zweiten Zeile. 

Diese Fehlermeldung wird generiert, wenn der Der sichere Zustand des Produktes ist nicht 

S-TRUST Sign-it Viewer Java Script Elemente gefährdet. Sie sollten sich jedoch über den Inhalt 

identifiziert hat. 

der Java Script Elemente über den Menüpunkt 

Sie sollten sich über den Menüpunkt 'Weitere 'Weitere Dateiinhalte' informieren. 

Dateiinhalte' über den Inhalt der Java Scripte Im Zweifelsfall sollten Sie die Unterzeichnung 

informieren. 

des Dokuments nicht fortsetzen. 

Fehler in der Datenlänge Diese Fehlermeldung kann beim Öffnen eines Der sichere Zustand des Produktes ist nicht 

PDF Dokuments angezeigt werden. 

gefährdet, jedoch sollten Sie die Datei nicht 

weiter verarbeiten, da ein Fehler in der internen 

Dokumentstruktur vorliegt. 

Fehler im Zugriff auf die Diese Fehlermeldung kann beim Öffnen eines Der sichere Zustand des Produktes ist nicht 

Datei! 

Dokuments angezeigt werden. 

gefährdet. Sie haben jedoch eine Datei 

ausgewählt, die nicht geöffnet werden kann. 

Beispielsweise kann die Datei exklusiv durch 

eine dritte Applikation blockiert sein




Das Modul besitzt eine 

ungültige Signatur! Das 

Programm wird beendet. 

Das Modul konnte nicht 

geladen werden! Das 

Programm wird beendet. 

Das Dokument ist 

beschädigt und muss 

repariert werden. 

Die Datei-Ende 

Markierung (EOF) wurde 

nicht gefunden. 

Die Datei konnte nicht 

geöffnet werden. 

Ein unerwarteter Fehler 

ist aufgetreten! 

- es sind alternative 

Abbildungen enthalten 



Diese Fehlermeldung kann Ihnen beim Start des Der sichere Zustand des Produktes ist nicht 

Viewers angezeigt werden. 

mehr gewährleistet. Das Programm wird 

beendet. Sie sollten mit dem zur Verfügung 

stehenden Modul zur Integritätsprüfung die 

Integrität der Installation auf dem Rechner 

überprüfen und sicherstellen, dass nicht 

unberechtigte Dritte Zugriff auf Ihren Rechner 

Diese Fehlermeldung kann Ihnen beim Start des Der sichere Zustand des Produktes ist nicht 

Viewers angezeigt werden. 

mehr gewährleistet. Das Programm wird 

beendet. Sie sollten mit dem zur Verfügung 

stehenden Modul zur Integritätsprüfung die 

Integrität der Installation auf dem Rechner 

überprüfen und sicherstellen, dass nicht 

unberechtigte Dritte Zugriff auf Ihren Rechner 

Diese Fehlermeldung kann beim Öffnen eines Der sichere Zustand des Produktes ist nicht 


betroffen. Der Viewer hat jedoch erkannt, dass 

das vorliegende Dokument nicht verarbeitet 

oder angezeigt werden kann. 

Eine solches Dokument sollten Sie nicht 

signieren. 



betroffen. Der Viewer hat jedoch erkannt, dass 

das vorliegende Dokument einen syntaktischen 

Fehler enthält. 

Ein solches Dokument sollten Sie nicht signieren. 



gefährdet, die Datei konnte jedoch nicht 

geöffnet werden. 

Diese Fehlermeldung wird angezeigt, wenn ein Der sichere Zustand des Produktes ist nicht 

Fehler aufgetreten ist, der eine weitere gefährdet. 

Verarbeitung der Daten unmöglich macht. Sie sollten die laufende Operation jedoch 

abbrechen bzw. den Viewer schliessen. 

Diese Meldung kann Ihnen beim Öffnen eines Der sichere Zustand des Produktes ist nicht 

PDF Dokuments angezegt werden. 

betroffen, jedoch hat der Viewer erkannt, dass 

Anweisungen in dem PDF Dokument vorhanden 

sind, die nicht ausgeführt werden können. 

Sie sollten eine solche Datei nicht signieren.




- es sind Anweisungen 

zur Ausführung externer 

Programme enthalten 

- es sind Verweise auf 

externe Dateien 

enthalten 

- es sind Verzweigungen 

auf externe 

Dokumente enthalten 


zum Verbergen von 

Inhalten enthalten 


zum Zugriff auf das 

Internet enthalten 


zum Abspielen von 

Media-Clips enthalten 








Sie sollten eine solche Datei nicht signieren. 



































zur Ausführung 

benannter Aktionen 

enthalten 

- es sind optionale 

Inhalte enthalten 


zur Steuerung von 

Media-Clips enthalten 


zur Übermittlung von 

Formulardaten enthalten 



























- es sind Anweisungen Diese Meldung kann Ihnen beim Öffnen eines Der sichere Zustand des Produktes ist nicht 

zum Abspielen von Sound PDF Dokuments angezegt werden. 


enthalten 





zur Steuerung 

besonderer 

Lesereihenfolgen 

enthalten 










- es wird Transparenz 

verwendet 

- es wurden Inhalte 

entdeckt, die nicht zum 

Dokument gehören 


zum Abspielen von 

Filmen enthalten 

Das Dokument hat eine 

neuere Version als 1.6 

und kann aus diesem 

Grund u.U. nicht 

eindeutig und fehlerfrei 

dargestellt werden. 





















Diese Meldung kann Ihnen beim Öffnen eines Der sichere Zustand ist nicht betroffen. sie 


haben jedoch ein Dokument geöffnet, welches 

eine PDF-Version spezifiziert, die größer als die 

erwartete Version 1.6 ist. 

Das bedeutet, dass die Datei unter Umständen 

nicht korrekt angezeigt wird. Sie sollten eine 

solche Datei nicht signieren, da der Viewer die 

zweifelsfreie Darstellung des Dokuments nicht 

gewährleisten kann. 

Es steht der Anwendung Diese Meldung kann Ihnen bei der Verwendung Der sichere Zustand ist nicht betroffen. Sie 

nicht genügend Speicher des Text-Extrakionsdialogs des Viewers sollten jedoch den Viewer schliessen und das 

zur Verfügung! Bitte angezeigt werden. 

Dokument erneut öffnen. 

beenden Sie die 

Unter bestimmten Umständen stellt das 

Anwendung und starten 

Betriebssystem nicht genügend Speicher für die 

Sie diese neu. 

Anwendung zur Verfügung. Um eine 

Missinterpretation der Daten auszuschliessen, 

sollten Sie das Dokument jedoch schliessen und 

erneut öffnen. Sie sollten das Dokument jedoch 

nicht signieren, bevor Sie den Inhalt des 

Dokuments nicht zweifelsfrei erkennen konnten.




Die Prüfsumme der Datei 

stimmt nicht mit dem 

erwarteten Wert 

überein. Der dargestellte 

Inhalt wurde u.U. 

manipuliert. 



Diese Meldung kann durch den S-TRUST Sign-it Sie sollten diese Datei auf keine Fall signieren. 

Viewer angezeigt werden. 

Prüfen Sie Ihren PC auf Schadsoftware wie Viren 

In diesem Fall wurden die zu signierenden Daten und Backdoorprogramme unter Verwendung 

manipuliert. 

einer geeigneten Sicherheitssoftware.


Technischer Support 

Bei Fragen in der Arbeit mit dem Produkt S-TRUST Sign-it 2.5 sollten Sie zunächst die Beschreibung in dem 

entsprechenden Kapitel des elektronischen Handbuches nachlesen. 

Darüber hinaus steht Ihnen zur Unterstützung für die Software S-TRUST Sign-it 2.5 ein telefonischer Support zur 

Verfügung. Weitere Informationen zum technischen Support und zu häufig gestellten Fragen (FAQ) finden Sie im 

Internet unter: www.openlimit.com (http://www.openlimit.com). 

Vorab sollten Sie sich darüber informieren, welche Softwareversion Sie installiert haben. Diese Meldung finden Sie 

unter Start - Programme - S-TRUST Sign-it - Version Info.

S-Trust Sign-it Handbuch 271 

A 

Adobe Plugin • 149 

Adobe Plugin Grundeinstellungen • 150 

Arbeiten mit dem S-TRUST Sign-it Integrity Tool • 

79 

Arbeiten mit dem S-TRUST Sign-it Security 

Environment Manager • 68 

Arbeiten mit dem S-TRUST Sign-it Viewer • 90 

Arbeiten mit den S-TRUST Sign-it 

Basiskomponenten 2.1 • 66 

Arbeiten mit Lotus Notes 6.5.4 • 222 

Arbeiten mit Mozilla / Netscape Mail • 194 

Arbeiten mit Thunderbird • 211 

Arbeitsabläufe • 119 

Attributzertifikate • 110 

C 

Chipkarten Optionen • 59 

D 

Dateien und Icons im Explorer • 148 

Dateiformate • 120 

Daten Entschlüsseln • 144 

Daten verschlüsseln • 137 

Details • 126 

Die erste Signatur mit S-TRUST Sign-it • 146 

Drucker Eigenschaften - Dateiformate • 162 

Drucker Eigenschaften - Dateiname erstellen • 164 

Drucker Eigenschaften - Einstellungen • 160 

Drucker Eigenschaften - Embed Annotation • 170 

Drucker Eigenschaften - Programm - Start • 166 

Drucker Eigenschaften - Wasserzeichen • 168 

E 

Eigenschaften • 60 

Eigenschaften des Druckers • 158, 159 

E-Mail Clients • 172 

Entschlüsselung • 143 

Erste Hilfe • 236 

Erstellen Prüfprotokoll • 131 

F 

Index 

Fehlermeldungen des S-TRUST Sign-it Viewer • 257 

Fehlermeldungen S-TRUST Sign-it Security 

Environment Manager • 242 

Fehlermeldungen vor oder während der Installation 

• 239 

Firefox Browser Sicherheitseinstellungen • 228 

Firefox SSL Authentisierung • 231 

G 

Grundlagen der elektronischen Signatur • 25 

I 

Internet Explorer • 227 

K 

Konfiguration der S-TRUST Sign-it 

Basiskomponenten 2.1, Version 2.1.5.1 • 46 

Konfigurationsoptionen des S-TRUST Sign-it 

Security Environment Managers • 47 

L 

Lotus Notes • 216 

Lotus Notes 5 • 225 

Lotus Notes 6.5.4 Sicherheitseinstellungen • 217 

M 

Microsoft Outlook Einstellungen • 174 

Microsoft Outlook und Microsoft Outlook Express • 

173 

Mozilla / Netscape Browser 

Sicherheitseinstellungen • 232 

Mozilla / Netscape Mail • 182 

Mozilla / Netscape Mail Client 

Sicherheitseinstellungen • 183 

Mozilla / Netscape SSL Authentisierung • 235 

Mozilla Thunderbird • 198 

O 

Online Prüfung von Zertifikaten • 127 

Online Status • 128 

Option 

Algorithmen • 58 

Allgemeine Einstellungen • 50 

Lizenzeinstellungen und Lizenzupgrade • 48 

PIN-Abfrage • 54 

Verzeichnisse • 52 

Zertifikate • 56 

P 

PDF Dokument signieren • 153 

PIN ändern • 65

Produktbestandteile • 25 

Public Key Verfahren • 27 

R 

Rechtliche Aspekte der elektronischen Signatur • 

32 

S 

Shell Extension Menü • 147 

Sicherheitskomponenten der S-TRUST Sign-it 

Basiskomponenten 2.1 • 34, 237 

Signatur im PDF prüfen • 155 

Signatur prüfen • 124 

Signaturerzeugung • 28, 105 

Signaturverifikation • 71 

Signieren • 122 

Signieren mit dem S-TRUST Sign-it Drucker • 157 

Signieren und Verschlüsseln • 179 

Sperrlistenaktualisierung • 87 

SSL Authentisierung • 226 

S-TRUST Sign-it Integrity Tool • 45 

S-TRUST Sign-it Security Environment Manager • 41 

S-TRUST Sign-it Shellextension • 145 

S-TRUST Sign-it Viewer • 43 

T 

Technischer Support • 269 

Thunderbird Sicherheitseinstellungen • 199 

V 

Verschlüsselung • 136 

Verschlüsselungszertifikat exportieren • 139 

Verschlüsselungszertifikate in Kontakt integrieren 

• 180 

Verzeichnisdienst • 141 

W 

Wie gehe ich mit Fehlermeldungen um? • 237 

Z 

Zeitstempeldienste • 72, 116 

Zertifikate exportieren • 64 

Zertifikate installieren • 140 

Zusammenfassung • 125 

272

S-TRUST Sign-it Hilfe

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?