Download - DGN Deutsches Gesundheitsnetz Service GmbH

Elektronisches HandbuchElektronischesHandbuchOpenLimitSignCubes2.5.0.2OpenLimit SignCubes 2.5.0.2Stand: 15.12.2009

Handbuch OpenLimit SignCubes 2.5.0.2Copyright © OpenLimit SignCubes AG 2009Diese Dokumentation ist geistiges Eigentum der OpenLimit SignCubes AG.Sie darf ohne vorherige schriftliche Einwilligung der OpenLimit SignCubes AG nicht (auch nicht inAuszügen) vervielfältigt oder veröffentlicht werden, unabhängig von der Art und Weise oder mit welchenMitteln, elektronisch oder mechanisch, dieses geschieht. Die in dieser Dokumentation verwendeten SoftoderHardwarebezeichnungen sind genauso wie Firmen- oder Markennamen in den meisten Fälleneingetragene Warenzeichen oder Marken und Eigentum der jeweiligen Hersteller. Sie werden ohneGewährleistung der freien Verwendbarkeit benutzt. Wir richten uns im Wesentlichen nach denSchreibweisen der Hersteller. Die Wiedergabe von Waren- und Handelsnamen etc. in dieserDokumentation - auch ohne besondere Kennzeichnung - berechtigt nicht zu der Annahme, dass solcheNamen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten sind.Alle in dieser Dokumentation enthaltenen Informationen wurden mit größter Sorgfalt zusammengestellt.Dennoch können fehlerhafte Angaben nicht völlig ausgeschlossen werden. Die OpenLimit SignCubes AG,die Autoren und die Übersetzer haften nicht für eventuelle Fehler oder deren Folgen. In dieserDokumentation werden insbesondere Informationen über Signaturgesetze und entsprechendeVerordnungen gegeben. Diese Informationen sollen zum Verständnis beitragen und haben nicht denAnspruch auf Vollständigkeit. Es obliegt jedem Nutzer selbst, sich über die gesetzlichen Grundlagen, aufdenen die beschriebene Technologie beruht, zu informieren und die entsprechenden Maßnahmen zuergreifen.Diese Dokumentation bietet dem Erwerber eine Anleitung zu den OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2. In Einzelfällen kann es zu Abweichungen zwischen denbeschriebenen Abläufen, der Dokumentation und der tatsächlichen Anwendung kommen. Die OpenLimitSignCubes AG übernimmt keine Haftung für etwaige Abweichungen und deren Folgen.Da die Software ständig weiter entwickelt wird, behält sich die OpenLimit SignCubes AG Änderungen amInhalt der Dokumentation ohne Ankündigung vor.Das Handbuch beschreibt sowohl die Sicherheitsfunktionalität als auch die korrekte Konfiguration undden richtigen Umgang mit den Produkten OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2.Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 wurden einer Evaluierung nachCommon Criteria v2.3 mit Prüfniveau EAL4+ unterzogen und haben eine Sicherheitsbestätigung durchdas Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Mehr Informationen zurProduktzertifizierung finden Sie auf den Webseiten des BSI unter http://www.bsi.de und derBundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur)unter http://www.bundesnetzagentur.de.2

Handbuch OpenLimit SignCubes 2.5.0.2Dieses Handbuch gehört zum Lieferumfang des bestätigten Produktes.Die Zertifizierungs-ID für das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2lautet BSI-DSZ-CC-0552-2009-MA-01. Die Sicherheitsvorgaben und die Zertifizierungsreporte können inenglischer Sprache von den Webseiten des Bundesamtes für Sicherheit in der Informationstechnikbezogen werden.Hinweise und Kommentare richten Sie bitte an documentation@OpenLimit.com.OpenLimit SignCubes AGZugerstraße 76 BCH - 6341 BaarSwitzerlandwww:OpenLimit.com3

Handbuch OpenLimit SignCubes 2.5.0.2Inhaltsverzeichnis1 Einleitung1.1 Typografische Konventionen1.2 Bevor Sie beginnen1.3 Mindestanforderungen und Sicherheitsmaßnahmen1.4 Installation1.5 Freischalten der Lizenz1.6 Betriebssysteme1.7 Kartenleser1.8 Chipkarten1.9 Produktbestandteile2 Grundlagen der elektronischen Signatur2.1 Public Key Verfahren2.2 Signaturerzeugung2.3 Signaturverifikation2.4 Rechtliche Aspekte der elektronischen Signatur3 Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten3.1 OpenLimit SignCubes Security Environment Manager3.2 OpenLimit SignCubes Viewer3.3 OpenLimit SignCubes Integrity Tool4 Konfiguration der OpenLimit SignCubes Basiskomponenten4.1 Konfigurationsoptionen des OpenLimit SignCubes Security Environment Managers4.1.1 Option: Lizenzeinstellungen und Lizenzupgrade91010121417202123252627283032364446495052544.1.2 Option: Allgemeine Einstellungen554.1.3 Option: Verzeichnisse594.1.4 Option: PIN-Abfrage604

Handbuch OpenLimit SignCubes 2.5.0.24.1.5 Option: Zertifikate644.1.6 Option: Algorithmen4.2 Chipkarten Optionen4.3 Eigenschaften4.3.1 Zertifikate exportieren666768724.3.2 PIN ändern735 Arbeiten mit den OpenLimit SignCubes Basiskomponenten5.1 Arbeiten mit dem OpenLimit SignCubes Security Environment Manager5.2 Signaturverifikation5.3 Arbeiten mit dem OpenLimit SignCubes Integrity Tool5.4 Sperrlistenaktualisierung5.5 Arbeiten mit dem OpenLimit SignCubes Viewer5.6 Signaturerzeugung5.7 Attributzertifikate5.8 Zeitstempeldienste5.9 XML Signaturen6 Arbeitsabläufe6.1 Dateiformate6.2 Signieren6.3 Signatur prüfen6.3.1 Zusammenfassung757579891001041241291341371411411431451466.3.2 Details1476.3.3 Online Prüfung von Zertifikaten1486.3.4 Online Status1506.3.5 Erstellen Prüfprotokoll6.4 Verschlüsselung1531585

Handbuch OpenLimit SignCubes 2.5.0.26.4.1 Daten verschlüsseln1596.4.2 Verschlüsselungszertifikat exportieren1616.4.3 Zertifikate installieren1616.4.4 Verzeichnisdienst6.5 Entschlüsselung6.5.1 Daten entschlüsseln1631651667 OpenLimit SignCubes Shell Extension7.1 Die erste Signatur mit OpenLimit SignCubes7.2 Shell Extension Menü7.3 Dateien und Icons im Explorer8 Adobe Plugin8.1 Adobe Plugin Grundeinstellungen8.1.1 PDF Dokument signieren1671671681691701711738.1.2 Signatur im PDF prüfen1749 Der OpenLimit TIFF/PDF (PDF/A) Drucker9.1 Eigenschaften des OpenLimit PDF Producer9.2 Eigenschaften des OpenLimit TIFF Producers9.3 Eigenschaften des OpenLimit SignCubes Druckers (nur Windows NT)9.3.1 Drucker Eigenschaften – Einstellungen1771811821831849.3.2 Drucker Eigenschaften - Dateiformate1869.3.3 Drucker Eigenschaften - Dateiname erstellen1889.3.4 Drucker Eigenschaften - Programm - Start1909.3.5 Drucker Eigenschaften - Wasserzeichen1926

Handbuch OpenLimit SignCubes 2.5.0.29.3.6 Drucker Eigenschaften - Embed Annotation19410 E-Mail Clients10.1 Microsoft Outlook und Microsoft Outlook Express10.1.1 Microsoft Outlook Einstellungen19619619710.1.2 Signieren und Verschlüsseln20110.1.3 Verschlüsselungszertifikate in Kontakt integrieren10.2 Mozilla / Netscape Mail10.2.1 Mozilla / Netscape Mail Client Sicherheitseinstellungen20320520610.2.2 Arbeiten mit Mozilla / Netscape Mail10.3 Mozilla Thunderbird10.3.1 Thunderbird Sicherheitseinstellungen22022422510.3.2 Arbeiten mit Thunderbird10.4 Lotus Notes10.4.1 Lotus Notes 6.5.4 Sicherheitseinstellungen23924424510.4.2 Arbeiten mit Lotus Notes 6.5.425010.4.3 Lotus Notes 525311 SSL Authentisierung11.1 Internet Explorer11.2 Mozilla Firefox Browser Sicherheitseinstellungen11.3 Mozilla Firefox SSL Authentisierung11.4 Mozilla / Netscape Browser Sicherheitseinstellungen11.5 Mozilla / Netscape SSL Authentisierung12 Erste Hilfe2542552562602612652667

Handbuch OpenLimit SignCubes 2.5.0.212.1 Wie gehe ich mit Fehlermeldungen um?12.2 Fehlermeldungen vor oder während der Installation12.3 Fehlermeldungen OpenLimit SignCubes Security Environment Manager12.4 Fehlermeldungen des OpenLimit SignCubes Viewer12.5 Technischer Support13 Index2662692712842952958

Handbuch OpenLimit SignCubes 2.5.0.2GlossarCC Die Common Criteria ist ein internationals Normen- und Regelwerk, welches Vorgaben zursicherheitstechnischen Untersuchung von IT Produkten definiert.CRLEine Certificate List ist eine Liste, die von einem Zetrifikatsanbieter herausgegeben wird und eine Liste allerZetrifikate enthält, die zum Zeitpunkt des Abrufs der Sperrliste durch den Inhaber des zertifikats gesperrtworden ist.OCSPOnline Certificate Status Protocol ist ein Protokoll, welches über eine Online Abfrage die Möglichkeit bietet,bei dem Herausgeber zu erfragen, ob ein Zerifikat bekannt bzw. gesperrt ist. Dieses verfahren wird als sogenannte Positiv Auskunft bezeichnet.RSAKryptographische Mechanismen, benannt nach den Erfindern Ronald L. Rivest, Adi Shamir und LeonardAdlemanECDSAElliptic Curve Digital Signature Algorithm, kryptographische Mechanismen basierend auf elliptischen KurvenCMSCryptographic Message Syntax – beschreibt das Standardformat für kryptographische Nachrichten1 EinleitungDie OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 sind eine evaluierte und bestätigteSignaturanwendungskomponente gemäß deutschem Signaturgesetz (SigG) und der Signaturverordnung(SigV).9

Handbuch OpenLimit SignCubes 2.5.0.2Die bestätigten Komponenten bestehen aus dem OpenLimit SignCubes Security Environment Manager,dem OpenLimit SignCubes Viewer sowie dem OpenLimit SignCubes Integrity Tool, die auch Gegenstandder vorliegenden Benutzerdokumentation Version 2.5.0.2 sind.Die vorliegende Dokumentation Version 2.5.0.2 beschreibt die genannten Produktbestandteile und gibtHinweise zur korrekten und sicheren Konfiguration des Produktes. Weiterhin werden alleFehlermeldungen aufgelistet und Hinweise zum korrekten Umgang mit Fehlermeldungen gegeben.Bevor Sie anfangen, mit dem Produkt zu arbeiten, lesen Sie bitte die folgenden Kapitel der Hilfeaufmerksam durch:Bevor Sie beginnenMindestanforderungen und SicherheitsmaßnahmenSicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2Konfiguration der OpenLimit SignCubes Basiskomponenten (siehe "Konfiguration derOpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2")Eine Anleitung zum Umgang mit dem Produkt sowie der Nutzung einzelner Funktionen im Detail, findenSie im Kapitel Arbeiten mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2.1.1 Typografische KonventionenDiese Hilfe verwendet einige typografische Konventionen, die Ihnen die Arbeit mit dem elektronischenHandbuch erleichtern.FormatierungFetter TextNormaler TextBeschreibungMit dieser Formatierung werden besonders wichtige Passagenmarkiert.Dies ist die normale Textformatierung für dieses Handbuch.1.2 Bevor Sie beginnenDie vorliegende Benutzerdokumentation Version 2.5.0.2 ist Bestandteil der erfolgtenSicherheitsevaluierung und Sicherheitsbestätigung und bezieht sich ausschließlich auf die OpenLimitSignCubes Basiskomponenten 2.5, Version 2.5.0.2.Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 sind Bestandteil des Produktes, dasSie auf CD-ROM oder Online von der OpenLimit SignCubes AG oder einem ihrer Reseller erworben haben.10

Handbuch OpenLimit SignCubes 2.5.0.2Das vorliegende Handbuch Version 2.5.0.2 beschreibt ausschließlich den korrekten Umgang mit denBasiskomponenten, für die weiteren Produktbestandteile steht Ihnen eine separate Hilfe zur Verfügung.Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 sind eine Sicherheitssoftware, dieIhnen die Erstellung und Verifikation elektronischer Signaturen konform zum deutschen Signaturgesetz(SigG) und zur Signaturverordnung (SigV) bietet. Für die sichere Benutzung der OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 benötigen Sie neben der Software eine Chipkarte und einenKartenleser mit sicherer PIN-Eingabe.Dieses Handbuch Version 2.5.0.2 erläutert die Grundlagen zur elektronischen Signatur, dieSicherheitskomponenten und Sicherheitsfunktionen des Produktes, zur korrekten Konfiguration sowieden Umgang mit dem Produkt. In einem separaten Kapitel werden die Fehlermeldungen und möglicheUrsachen für diese Fehlermeldungen aufgeführt. Dieses Kapitel enthält Hinweise undHandlungsempfehlungen, für den Fall, dass eine Fehlermeldung von dem Produkt angezeigt wird.Sie sollten die folgenden Kapitel lesen, um sicher zu stellen, dass Ihr Rechner die Voraussetzung für denEinsatz des Produktes erfüllt:Mindestanforderungen und SicherheitsmaßnahmenBetriebssystemeChipkartenKartenleserProduktbestandteileSie sollten vor der ersten Verwendung des Produktes das Kapitel Freischalten der Lizenz lesen, um dierichtige Freischaltung der Lizenz vorzunehmen. Wir empfehlen außerdem, dass Sie vor der erstenVerwendung der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 das Kapitel Konfigurationder OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 vollständig lesen.Hinweis: Sofern Ihr Betriebssystem Benutzerrechte unterstützt, benötigen Sie Administrationsrechte, umdie OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 zu installieren.Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt nach derInstallation und vor der ersten Anwendung des Produktes das OpenLimit SignCubes Integrity Toolausführen, um die Korrektheit der Installation zu verifizieren. Weitere Informationen dazu finden Sie indem Kapitel Arbeiten mit dem OpenLimit SignCubes Integrity Tool.11

Handbuch OpenLimit SignCubes 2.5.0.21.3 Mindestanforderungen und SicherheitsmaßnahmenBitte stellen Sie sicher, dass Ihr Rechner und Ihre Einsatzumgebung den Anforderungen aus den KapitelnBetriebssystemeChipkartenKartenleserentsprechen.Die folgenden Sicherheitsmaßnahmen müssen für den korrekten Einsatz des Produktes eingehaltenwerden:Benutzer sowie evtl. Administrations- und Wartungspersonal müssen den Anweisungen derBenutzerdokumentation Folge leisten.Wenn Sie das Produkt auf CD-ROM oder einem anderen Speichermedium bezogen haben, müssen Siedieses geschützt vor dem Zugriff durch unberechtigte dritte Personen aufbewahren. Bevor Sie dasProdukt installieren, stellen Sie bitte sicher, dass alle Sicherheitsmerkmale (wie z.B. Siegel undLaminierungen) der Verpackung unbeschädigt sind. Sollten Sie Zweifel an der Authentizität desInstallationsmediums haben, wenden Sie sich an den Lieferanten.Falls Sie das Produkt Online über einen Web-Shop erworben haben, sollten Sie unbedingt nach derInstallation und vor der ersten Anwendung das OpenLimit SignCubes Integrity Tool ausführen, um dieKorrektheit der Installation zu verifizieren.Für den Einsatz der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 in der WindowsTerminal Umgebung ist der Server in einer zutrittsgeschützten Einsatzumgebung und innerhalb einesverschließbaren und versiegelten Elektroschrankes unterzubringen.Sie müssen als Benutzer regelmäßig, wenigstens jedoch einmal im Monat, die Integrität derProduktinstallation auf Ihrem Rechner prüfen. Verwenden Sie dazu die Online-Komponente, die Ihnenüber die Webseite https://www.OpenLimit.com/integritytool zu diesem Zwecke zur Verfügung gestelltwird.In der Windows Terminal Umgebung ist die Produktintegrität serverseitig sofort nach der Installation unddann regelmäßig, mindestens jedoch einmal im Monat, durch die Administratoren zuverlässig im Vier-Augen-Prinzip zu kontrollieren.12

Handbuch OpenLimit SignCubes 2.5.0.2Verwenden Sie stets einen Virenscanner und stellen Sie sicher, dass die aktuellen Virendefinitionen desHerstellers installiert sind. Wenn der Virenscanner keine Backdoor-Programme erkennen kann, solltenSie ein entsprechendes zusätzliches Programm installieren.Für den Fall, dass Sie über einen Internet-Anschluss verfügen, müssen Sie eine Firewall einsetzen, umdas Betriebssystem Ihres Computers vor Angriffen aus dem Internet zu schützen.Stellen Sie sicher, dass Sie über die volle Kontrolle über eingelegte Speichermedien undNetzwerkfreigaben verfügen. Konfigurieren Sie Ihren Rechner niemals so, dass auf den Installationspfaddes Produktes über Netzwerkfreigaben durch Dritte zugegriffen werden kann.Der Zugriff und die Verwendung des Produktes durch den Anwender muss durch die Konfiguration desRechners ermöglicht werden. Das bedeutet, dass der Rechner so konfiguriert sein muss, dass derAnwender durch den Computer-Administrator die Rechte eingeräumt bekommt, die er zur Benutzung desProduktes benötigt.Hinweis: Für den Einsatz der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 auf WindowsTerminalserver 2003 hat die Remoteverbindung zwischen dem Terminalserver und dem bzw. denTerminalclients grundsätzlich verschlüsselt mit 128 Bit zu erfolgen.Bei Windows Terminal Server 2003 in Verbindung mit den Betriebsystemen Windows XP und WindowsVista clientseitig ist die Verschlüsselung mit 128 Bit bereits Standard für die Verbindung und unbedingtzu verwenden.Wenn Sie diese Regeln nicht einhalten, verlassen Sie die Umgebung, für die das Produkt zertifiziert undbestätigt ist. Die folgenden Anforderungen kann das Produkt nicht leisten:Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrtheit und derGeheimhaltung der privaten Schlüssel obliegt der Chipkarte.Sicherstellung der korrekten Uhrzeit auf dem Rechner des Anwenders. Das Produkt OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 kann keine Aussagen über die Plausibilität der eingestelltenUhrzeit auf dem Rechner des Anwenders treffen.Sicherstellung der Integrität des Betriebssystems. Das Produkt enthält keine Mechanismen, um dieIntegrität seiner Umgebung zu prüfen. Sie müssen geeignete Vorkehrungen treffen, um eineKompromittierung des Betriebssystems zu vermeiden.13

Handbuch OpenLimit SignCubes 2.5.0.2Sicherheit der kryptografischen Operationen. Das Produkt verwendet Bibliotheken zur Erzeugung undVerifikation elektronischer Signaturen über das RSA bzw. ECDSA Public Key Verfahren. ZurSignaturerzeugung ist der Einsatz einer Chipkarte unabdingbar. Das Produkt kann die Stärke derkryptografischen Mechanismen nicht garantieren und keine Aussagen über die Stärke derkryptografischen Funktionen treffen.Die Leistungsmerkmale des Produktes sind auf diejenigen Funktionen beschränkt, die in diesemHandbuch Version 2.5.0.2 wiedergegeben werden. Als Anwender des Produktes sind Sie verpflichtet, dietechnischen und organisatorischen Maßnahmen einzuhalten, die von der vorliegendenBenutzerdokumentation Version 2.5.0.2 vorgegeben werden.1.4 InstallationUm mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 arbeiten zu können,benötigen Sie eine Chipkarte mit einem Zertifikat für die qualifizierte elektronische Signatur gemäßdeutschem Signaturgesetz und einen Kartenleser. Die für die OpenLimit SignCubes Basiskomponenten2.5, Version 2.5.0.2 zulässigen Chipkarten sind in dem Kapitel Chipkarten aufgelistet.Die zulässigen Kartenleser sind in dem Kapitel Kartenleser aufgeführt.Stellen Sie sicher, dass Sie eine entsprechende Chipkarte zur Verfügung haben und der Kartenleserordnungsgemäß installiert ist, bevor Sie anfangen, mit der Software zu arbeiten.Hinweis: Um einen Lizenzschlüssel mit dem Lizenz-Wizard zu aktivieren, benötigen Sie eineProduktkonfiguration, mit der die Verwendung eines unterstützten Chipkartenterminals und einerunterstützten Signaturkarte möglich ist. Verwenden Sie das OpenLimit SignCubes Integrity Tool, um dieinstallierten Module anzuzeigen.Bevor Sie das Produkt installieren, lesen Sie den Abschnitt Mindestanforderungen undSicherheitsmaßnahmen und Betriebssysteme gründlich, um zu gewährleisten, dass Ihr System einem derangegebenen Betriebssysteme entspricht.Sie können das Produkt wahlweise per Download über einen Web-Shop oder auf einemInstallationsmedium, wie z.B. einer CD-ROM, bezogen haben. Der im Folgenden dargestellte Ablauf istfür beide Varianten identisch. Das Installationsprogramm kopiert die OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 auf Ihren Rechner. Stellen Sie bitte nach der Installation sicher,dass das korrekte Produkt installiert wurde, in dem Sie das OpenLimit SignCubes Integrity Tool14

Handbuch OpenLimit SignCubes 2.5.0.2ausführen. Mehr Informationen dazu finden Sie im Kapitel Arbeiten mit dem OpenLimit SignCubesIntegrity Tool.Falls Sie das Setup auf einer CD-ROM erhalten haben und diese in das Laufwerk einlegen, wird beiaktiviertem Autostart das Setup automatisch gestartet. Wenn Sie das Setup über einen Downloadbezogen haben, müssen Sie das Programm 'setup.exe' ausführen. Sie sehen dann das Fenster zurSprachauswahl. Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 werden in deutscherund englischer Sprache ausgeliefert:Wenn Sie jetzt auf OK klicken, überprüft das Setup Programm die Installationsumgebung unter folgendenGesichtspunkten:1. Entspricht das Betriebsystem den aufgeführten Mindestanforderungen?2. Sind die Mindestanforderungen an den Internet Explorer erfüllt?3. Verfügt der Benutzer über Administrationsrechte?4. Ist der schreibende Zugriff auf die Registry möglich?Wenn diese Voraussetzungen nicht erfüllt sind, wird eine Fehlermeldung angezeigt und das SetupProgramm beendet. Wenn die Prüfung erfolgreich verlaufen ist, startet der Installationsvorgang.In dem folgenden Fenster haben Sie die Möglichkeit, den Zielordner für die Programmdaten zu ändern.15

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie jetzt auf Weiter klicken, wird eine Seite angezeigt, auf der Sie die Lizenzvereinbarungenakzeptieren müssen.16

Handbuch OpenLimit SignCubes 2.5.0.2Nachdem Sie die Lizenzvereinbarungen akzeptiert haben, beginnt der eigentliche Installationsvorgang.Nach Bestätigung des Befehls Fertigstellen wird der OpenLimit SignCubes Security Environment Managerautomatisch gestartet und das Modul zum Freischalten der Lizenz geöffnet.Hinweis zur Installation für Windows Terminalserver: Zur Arbeit mit den OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 über Windows Terminal Server 2000 mit Citrix Frame oder 2003mit oder ohne Citrix Frame müssen die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 alsTerminaldienste im Anwendungsmodus (nicht im Remoteverwaltungsmodus) installiert werden. Es istausreichend, die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 serverseitig zuinstallieren.Bei der Installation der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 in der WindowsTerminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix Frame Umgebung ist einezuverlässige Administration des Servers durch das Vier-Augen-Prinzip zu gewährleisten.Die Kartenlesertreiber müssen nur auf den Clientrechnern installiert sein.Darüber hinaus gibt es für die Installation der OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 in der Windows Terminal Server 2000 mit Citrix Frame oder 2003 mit oder ohne Citrix FrameUmgebung eine zusätzliche Dokumentation. Diese wird gesondert durch die OpenLimit SignCubes AG zurVerfügung gestellt.Hinweis zur sicheren Konfiguration: Bei der Installation der OpenLimit SignCubes Basiskomponenten2.5, Version 2.5.0.2 wird automatisch eine sichere Konfiguration des Produktes eingestellt. Sie solltenÄnderungen in den Konfigurationseinstellungen mit Hilfe der in diesem Handbuch Version 2.5.0.2beschriebenen Konfigurationsoptionen für die OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 erst dann vornehmen, wenn Sie im Umgang mit den Funktionalitäten vertraut sind. Grundsätzlichsollte das Produkt immer mit den empfohlenen Einstellungen betrieben werden. Über den ButtonAusgangskonfiguration haben Sie die Möglichkeit, die bei der Installation eingerichteten Optionenwieder herzustellen.1.5 Freischalten der LizenzWenn Sie das Produkt zum ersten Mal starten, werden Sie aufgefordert, Lizenzierungsinformationeneinzugeben. Sie haben die Lizenzinformationen entweder direkt von der OpenLimit SignCubes AG oder17

Handbuch OpenLimit SignCubes 2.5.0.2einem ihrer Reseller erhalten. Wenn der Lizenzmanager gestartet wird, sehen Sie den folgenden Dialog.Lesen Sie die Informationen gründlich und vergewissern Sie sich, dass Sie die Informationen verstandenhaben.Klicken Sie so lange auf Weiter, bis Sie aufgefordert werden, den Lizenzcode einzugeben.Geben Sie den Lizenzcode ein oder klicken Sie auf den Button Reader.18

Handbuch OpenLimit SignCubes 2.5.0.2Nachdem Sie den Lizenzcode eingegeben haben, werden Sie aufgefordert, eine Signatur zu erzeugen. Siekönnen die Daten im OpenLimit SignCubes Viewer betrachten, um sich zu vergewissern, dass keinepersönlichen oder vertraulichen Daten in den Lizenzinformationen enthalten sind.Nach Abschluss der Lizenzfreischaltung steht die Lizenz allen Anwendern des Computers zur Verfügung.Wenn Sie später eine andere Lizenz erwerben, können Sie ein Upgrade der Lizenz vornehmen. Gehen Siedazu auf den Menüpunkt Eigenschaften des OpenLimit SignCubes Security Environment Managers undwählen Sie das Register Lizenz aus. Klicken Sie auf Lizenz-Upgrade, um eine Änderung derLizenzinformationen vorzunehmen.Hinweis: Beachten Sie unbedingt, dass eine Weitergabe der Lizenzinformationen an Dritte nicht erlaubtist und strafrechtlich durch die OpenLimit SignCubes AG verfolgt wird. Die zur Verfügung stehendeFunktionalität des Produktes Version 2.5.0.2 hängt von dem Lizenzcode ab, den Sie erhalten haben. Siekönnen sich auf der Eigenschaftsseite des Produktes anzeigen lassen, welche Funktionen Sie lizenzierthaben. Der grüne Haken bedeutet dabei, dass die Funktion zur Verfügung steht. Nicht verfügbareFunktionalität wird auch nicht angezeigt.19

Handbuch OpenLimit SignCubes 2.5.0.2Für die Freischaltung der Lizenz ist keine Online-Aktivierung des Produktes notwendig. Sie schützen dieLizenz jedoch durch die Erzeugung einer Signatur vor dem Missbrauch durch unberechtigte Dritte. Durchdie Unterzeichnung der Lizenz mit Ihrem Signaturzertifikat beweisen Sie, dass Sie die Lizenz erworbenhaben und können dies auch in der Anzeige der Lizenzinformationen überprüfen. Mehr Informationenfinden Sie im Kapitel Option: Lizenzeinstellungen und Lizenzupgrade.1.6 BetriebssystemeFür die Arbeit mit dem Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 benötigenSie einen Intel 586 kompatiblen Prozessor, mindestens 120 MB freien Festplattenplatz und mindestens128 MB RAM. Auf dem Rechner muss mindestens der Internet Explorer ab Version 5.01 installiert sein.Wenn Sie nicht über diese Mindestversion des Internet Explorers verfügen, laden Sie sich bitte dieneueste Version des Internet Explorers von der Webseite der Firma Microsoft herunter. Darüber hinausmuss die Java Virtual Machine (JVM) ab Version 1.4.2.08 mit dem zugehörigen JRE (Java RuntimeEnvironment) auf dem Computer installiert sein. Wenn Sie nicht über die Java Virtual Machine verfügen,können Sie diese unter http://java.sun.com herunterladen.Die folgenden Betriebssysteme werden von diesem Produkt unterstützt:Windows NT 4.0 ab Service Pack 6.0Windows 2000 ab Service Pack 2.0Windows 2003Windows 2003 64 Bit EditionWindows XP Home und ProfessionalWindows XP 64 Bit EditionWindows XP Tablet PC EditionWindows Vista 32 Bit und 64 BitWindows 2008Windows 2008 64 Bit EditionWindows 2000 Terminal Server mit Citrix Meta-FrameWindows 2003 Terminal Server mit und ohne Citrix Meta-FrameWindows 2008 Terminal ServerWindows 7 32 Bit und 64 Bit EditionAbhängig vom Zustand Ihres Betriebssystems nimmt das Setup Programm Aktualisierungen desBetriebssystems vor. Dafür kann ein mehrmaliger Neustart des Rechners notwendig sein, was nicht aufdie Installation der Software OpenLimit Basiskomponenten 2.5, Version 2.5.0.2 sondern auf dienotwendigen Betriebssystemupdates zurückzuführen ist.20

Handbuch OpenLimit SignCubes 2.5.0.2Das Setup für die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 nimmt ggf. notwendigeUpdates des Betriebssystems vor. Diese Updates stellen sicher, dass die Shell32.dll in derMindestversion 4.0 sowie die Microsoft SmartCard Base Components in der Minimalversion 1.0vorhanden sind.Hinweis: Um den Rechner optimal vor Sicherheitslücken zu schützen und die korrekte Arbeit desProduktes zu gewährleisten, sollten stets die aktuellen Sicherheits-Updates installiert werden. SchützenSie Ihren Rechner durch einen aktuellen Virenscanner und, sofern Sie über eine Internetanbindungverfügen, mit einer Firewall.1.7 KartenleserDer Einsatz der folgenden Kartenleser wird durch die OpenLimit SignCubes Basiskomponenten 2.5,Version 2.5.0.2 unterstützt:Cherry Smartboard G83-6700 LQCherry Smartboard G83-6744 LUCherry ST-2000Fujitsu Siemens S26381-K329-V2xx HOS:01Kobil KAAN AdvancedKobil Systems B1 Pro USBKobil KAAN TriB@nkKobil EMV-TriCAP ReaderKobil SecOVID Reader IIIOmnikey Cardman 3621Omnikey Cardman 3821Reiner SCT cyberJack e-com v2.0Reiner SCT cyberJack e-com v3.0Reiner SCT cyberJack pinpad v2.0Reiner SCT cyberJack pinpad v3.0Reiner SCT cyberJack e-com plus v3.0Reiner SCT cyberJack secoderSCM Microsystems SPRx32/ChipDrive PinPadSCM Microsystems SPRx32/ChipDrive PinPad (Firmware version 5.11)Für die Erzeugung gesetzeskonformer (qualifizierter) Signaturen dürfen nur diejenigen SigG-konformenKartenleser eingesetzt werden, die in diesem Handbuch Version 2.5.0.2 angegeben werden. ZumZeitpunkt der Bestätigung des Produktes waren die aufgelisteten Kartenleser nach dem deutschen21

Handbuch OpenLimit SignCubes 2.5.0.2Signaturgesetz bestätigt und dürfen zur Erzeugung qualifizierter elektronischer Signaturen eingesetztwerden:Hinweis: Das Produkt unterstützt die Verwendung von Kartenlesern, die keine sichere PIN-Eingabeerlauben. Wenn Sie einen solchen Kartenleser verwenden, bewegen Sie sich außerhalb der bestätigtenKonfiguration. Für die SigG-konforme Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5,Version 2.5.0.2 ist nur die Verwendung der aufgeführten, bestätigten Kartenleser zulässig.Hinweis: Die folgenden Kartenleser sind auf Grund von Abweichungen in der Kompatibilität mit dengenannten Signaturkarten nicht für die Erzeugung qualifizierter Signaturen verwendbar.Cherry Smartboard G83-6700 LQ:ZKA Banking Signature card, v6.2 NP, v6.2b NP, 6.2f NP, Type 3 from Giesecke & DevrientZKA Banking signature card, v6.31 NP, Type 3 from Giesecke & DevrientZKA Banking Signature Card, v6.32, Type 3 from Giesecke & DevrientZKA Banking signature card, v6.4 from Giesecke & DevrientZKA Banking signature card, v6.51 from Giesecke & DevrientZKA Banking Signature Card, Version 6.6 from Giesicke & Devrient GmbHZKA-Signaturkarte, ZKA 680 V5A, Version 5.10 from Gemplus-mids GmbHZKA-Signaturkarte, ZKA 680 V5A, Version 5.11 from Gemplus-mids GmbHZKA signature card, version 5.11 M from Gemplus GmbH (Gemalto)ZKA Signatur Karte, Version 5.02 from Gemplus-mids GmbHSecV1.5.3, from SAGEM ORGA GmbHSTARCOS 3.0 with Electronic Signature Application V3.0STARCOS 3.2 QES, Version 1.1ZKA Banking Signature Card, Version 7.1.2 (ecD 7.1.2) from Giesecke & Devrient GmbHZKA Banking Signature card, Version 7.2.1 (ecD 7.2.1) from Giesecke & DevrientZKA signature card, Version 6.01 (ZKA680) from Gemplus GmbH (Gemalto)STARCOS 3.2 QES v.2.0, product name "Signtrust Card 3.2"STARCOS 3.2 QES v.2.0, product name "Signtrust MCard 3.2"STARCOS 3.2 QES v.2.0, product name "Signtrust MCard100 3.2"22

Handbuch OpenLimit SignCubes 2.5.0.2Kobil B1 ProfessionalCardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AGSiemens CardOS M4.3 BReiner SCT pinpad 2.0TCOS 3.0 Signature Card, Version 1.1Fujitsu Siemens S26381-K329-V2xx HOS:01Nur unter Win 7 32BitTCOS 3.0 Signature Card, Version 1.1Weitere Informationen bezüglich Inkompatibilitäten bei Kartenlesern und Karten entnehmen Sie bitte derBestätigungsurkunde.Hinweis: Für die Arbeit mit den Terminal Servern Windows 2000 mit Citrix Meta-Frame und Windows2003 mit und ohne Citrix Meta-Frame müssen die Kartenlesertreiber nur auf den Clientrechnerninstalliert sein.1.8 ChipkartenDas Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 ist für den Einsatz folgenderChipkarten vorgesehen:STARCOS 3.0 with Electronic Signature Application V3.0 from Giesecke & DevrientSiemens CardOS M4.3 BZKA Banking signature card, v6.2b NP and 6.2f NP, Type 3 from Giesecke & DevrientZKA Banking signature card, v6.2 NP, Type 3 from Giesecke & DevrientZKA Banking signature card v6.31 NP, Type 3 from Giesecke & DevrientZKA Banking signature card v6.32, Type 3 from Giesecke & DevrientZKA Banking Signature Card, Version 6.4 from Giesecke & DevrientZKA Banking Signature Card, Version 6.51 from Giesecke & DevrientZKA Banking Signature Card, v6.6 from Giesecke & DevrientZKA Banking Signature Card, Version 7.1.2 (ecD 7.1.2) von Giesicke & Devrient GmbH23

Handbuch OpenLimit SignCubes 2.5.0.2ZKA Banking Signature Card, Version 7.2.1 (ecD 7.2.1) von Giesicke & Devrient GmbHZKA signature card, version 5.02 from Gemplus-mids GmbHZKA signature card, ZKA 680 V5A Version 5.10 from Gemplus-mids GmbHZKA signature card, ZKA 680 V5A Version 5.11 from Gemplus-mids GmbHZKA signature card, ZKA 680 V5A Version 5.11 M from Gemplus GmbH (Gemalto)ZKA signature card, Version 6.01 (ZKA680) from Gemplus GmbH (Gemalto)ZKA SECCOS Sig v1.5.3 from Sagem Orga GmbHdgnserviceCardCardOS V4.3B Re_Cert with Application for Digital Signature from Siemens AGBA PKCS# User Card with Siemens Card-APITCOS 3.0 Signature Card, Version 1.1ACOS EMV-A03V1, Configuration B and Digital Signature Application a-sign PremiumSTARCOS 3.2 QES Version 1.1STARCOS 3.2 QES v.2.0, Produktname "Signtrust Card 3.2"STARCOS 3.2 QES v.2.0, Produktname "Signtrust MCard 3.2"STARCOS 3.2 QES v.2.0, Produktname "Signtrust MCard100 3.2"Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 unterstützen auch PKCS#15kompatible Karten, die nicht in dieser Liste aufgeführt sind. Die vorliegende Sicherheitsbestätigungerstreckt sich nicht auf die Verwendung dieser Karten! OpenLimit übernimmt keine Garantie, dass jedePKCS#15 kompatible Karte mit dem Produkt zusammen arbeitet. Die Verwendung von Chipkarten, dienicht in diesem Handbuch aufgeführt sind, liegt außerhalb der Bestätigung und ist daher nicht für dieErzeugung qualifizierter Signaturen geeignet.Die aufgelisteten Karten beziehen sich auf bestätigte Signaturkarten, die auf der Webseite derBundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur)veröffentlicht wurden.Hinweis: Wenn Sie eine Signaturkarte verwenden, die die Erzeugung mehrerer Signaturen in einemDurchgang erlaubt, müssen Sie die speziellen Sicherheitsauflagen, welche für diesen Betriebsmodusverlangt werden, einhalten. Diese Sicherheitsauflagen finden Sie in den Bestätigungsurkunden für dieseKarten unter:www.bundesnetzagentur.de24

Handbuch OpenLimit SignCubes 2.5.0.21.9 ProduktbestandteileDie OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 beinhalten die folgendenBestandteile:OpenLimit SignCubes Security Environment Manager als zentralen Bestandteil zur Verwaltungverfügbarer Signaturkarten, Kartenleser und zur Konfiguration des Produktes. MehrInformationen finden sie im Kapitel OpenLimit SignCubes Security Environment Manager.OpenLimit SignCubes Viewer. Mehr Informationen finden Sie im Kapitel OpenLimit SignCubesViewer.OpenLimit SignCubes Integrity Tool (Online). Mehr Informationen finden Sie im KapitelOpenLimit SignCubes Integrity Tool.die vorliegende Benutzerdokumentation Version 2.5.0.2.Im Kapitel Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 finden SieErläuterungen zur richtigen Konfiguration des Produktes. Die richtige Bedienung wird Ihnen im KapitelArbeiten mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 erklärt. Der Umgang mitFehlermeldungen wird Ihnen im Kapitel Erste Hilfe ausführlich erläutert.Hinweis: In Abhängigkeit von der Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5,Version 2.5.0.2 steht die Funktion zur Signaturerzeugung und -prüfung über IBM Lotus Formes Viewer zurVerfügung. Das OpenLimit SignCubes Integrity Tool zeigt Ihnen an, ob dieses zusätzliche Modul installiertist.Weiterhin verfügen die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 über dieMöglichkeit, XML-Signaturen zu erzeugen bzw. zu verifizieren. Die Funktionalitäten können nur durch dieIntegration in Drittanwendungen aktiviert werden. In dem Kapitel XML Signaturen finden Sie weitereInformationen zur Erzeugung und Verifikation von XML-Signaturen.25

Handbuch OpenLimit SignCubes 2.5.0.22 Grundlagen der elektronischen SignaturElektronische Daten können leicht manipuliert werden. Ob im Internet oder direkt auf dem Computer -Veränderungen von Daten können bislang kaum ausgeschlossen werden.Aus einem Dokument können Passagen einfach gestrichen oder eingefügt werden. Der Urheber einesDokuments ist nicht festzustellen. Genauso können Daten, die per E-Mail verschickt werden oder auf derFestplatte gespeichert sind, durch Hacker oder Trojaner ausgelesen werden. Zudem hat das Interneteinen großen Nachteil: Niemand weiß, mit wem er es auf der anderen Seite zu tun hat.Deshalb war es auch lange Zeit undenkbar, dass elektronische Daten, die noch dazu im Internetverschickt werden, wo man den Kommunikationspartner nicht sehen kann, mit etwas ähnlichem wie einerUnterschrift versehen werden können.Durch die elektronische Signatur können zwei Probleme behoben werden:Eine unbemerkte Datenmanipulation ist nicht mehr möglich.Der Unterzeichner kann eindeutig identifiziert werden.Die Signatur macht jegliche absichtliche oder unabsichtliche Manipulation sofort ersichtlich. Über dieZertifikatsprüfung kann bewiesen werden, dass die Signatur nicht gefälscht wurde, der Zertifikatsinhaberalso echt ist. Dabei werden keine persönlichen Daten des Inhabers preisgegeben - lediglich der Name.In diesem Abschnitt werden Ihnen die Grundlagen zur elektronischen Signatur auf Basis des RSA bzw.ECDSA Verfahrens dargestellt. Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2unterstützen die Erzeugung und Verifikation elektronischer Signaturen auf Basis einer Chipkarte undeines Kartenterminals. Die Hashwertberechnung für die qualifizierte elektronische Signatur wird nachden Verfahren SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 vorgenommen, welche alsanerkannte Verfahren für die Berechnung kryptografischer Prüfsummen durch die Bundesnetzagentur fürElektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) ausgewiesen sind.Das RSA bzw. ECDSA Verfahren ist ein asymmetrisches Verfahren, welches die Einbettung des Produktesin eine PKI (Public Key Infrastruktur) ermöglicht.Häufig wird im Zusammenhang mit der elektronischen Signatur auch von der elektronischen Unterschriftgesprochen. Das deutsche Signaturgesetz erläutert den Begriff der elektronischen Signatur,insbesondere der fortgeschrittenen und der qualifizierten elektronischen Signatur. In diesem Handbuchwerden Sie häufig die Begriffe der Signatur und der elektronischen Unterschrift lesen - beide Begriffesind richtig und bedeuten inhaltlich das Gleiche.26

Handbuch OpenLimit SignCubes 2.5.0.2Die rechtlichen Aspekte zur elektronischen Signatur sind ausführlich im Abschnitt Rechtliche Aspekte derelektronischen Signatur erläutert.2.1 Public Key VerfahrenDie Signatur und die Verschlüsselung, die mit einer Signaturkarte und dieser Software durchgeführtwerden, basieren auf einer Public Key Infrastruktur (PKI). Sowohl bei der Signatur als auch bei derDatenverschlüsselung kommt eine asymmetrische Verschlüsselung zum Einsatz. Asymmetrisch bedeutet:Es werden immer zwei verschiedene Schlüssel verwendet, der private Schlüssel (private key) und deröffentliche Schlüssel (public key), die sich gegenseitig ergänzen. Daten, die mit dem einen Schlüssel"zugeschlossen" wurden, können nur mit dem anderen wieder "aufgeschlossen" werden.Der private Schlüssel befindet sich bei Chipkarten auf dem Chip der Karte und lässt sich nicht auslesen.Die zu verarbeitenden Daten werden auf den Chip geladen, dort ver- oder entschlüsselt und wieder in denComputer übertragen. Um den privaten Schlüssel zu benutzen, wird die richtige PIN benötigt, diezusätzliche Sicherheit gewährleistet. Der öffentliche Schlüssel ist in ein Zertifikat integriert und stehtjedermann in Verzeichnisdiensten im Internet zur Verfügung oder kann per E-Mail versendet werden. Umsicher zu gehen, dass dieses Zertifikat und somit der Schlüssel nicht gefälscht wurde, lässt sich dieSignatur des Herausgebers prüfen.Beim Signieren wird der private Schlüssel auf der Karte verwendet. Somit ist zweifelsfrei belegt: dieSignatur kann nur vom Karteninhaber sein - nur er hat die Karte und die PIN. Beim Prüfen der Signaturwird der öffentliche Schlüssel verwendet, denn jeder soll eine Signatur prüfen können. DieVerschlüsselung verwendet die beiden Schlüssel in umgekehrter Reihenfolge. Hier kommt der öffentlicheSchlüssel des Empfängers zum Einsatz, so dass nur dieser die Daten mit seinem privaten Schlüsselwieder entschlüsseln kann.Da der Chip einer Chipkarte für die Verarbeitung großer Datenmengen sehr lange benötigen würde, wirdbei der Verschlüsselung ein automatisch generierter Zufallsschlüssel verarbeitet. Bei der Signatur wirdein Hashwert verschlüsselt, der einem Dokument eindeutig zugeordnet werden kann.27

Handbuch OpenLimit SignCubes 2.5.0.22.2 SignaturerzeugungDie Signatur hat verschiedene Zwecke: Einerseits wird eine qualifizierte Signatur verwendet, um Briefe,Verträge etc. zu unterzeichnen. Andererseits gibt es auch fortgeschrittene Signaturen, die meistens dazuverwendet werden, Daten zu sichern, die man nicht unterschreiben möchte. Beispielsweise können auchBild- oder Ton-Dateien signiert werden. Die Signatur schützt zwar nicht vor Veränderungen, macht dieseaber eindeutig erkennbar. Ist eine Signatur intakt, bedeutet das, dass die Daten nicht geändert wurden.Beim Signieren einer Datei wird ein Hashwert gebildet, der mit einem Fingerabdruck vergleichbar ist.Zwei Dokumente können nie denselben Hashwert haben, es sei denn, sie sind identisch.Dieser Hashwert wird nach dem RSA bzw. ECDSA Verfahren unter Verwendung eines Schlüssels (mit einerLänge von mindestens 2048 Bit für qualifizierte Signaturen) verschlüsselt. Die Verschlüsselung desHashwerts findet auf dem Chip der Karte statt. Dieser kleine Prozessor kann kleinere Datenmengenverarbeiten. Solch ein Vorgehen ist deshalb wichtig, weil der private Schlüssel die Karte so nie verlässt.Denn jegliche Daten, die in einem Computer sind, sind auch potentiell unsicher. Der Schlüssel bekommtalso lediglich den Befehl, eine kleine Menge an Daten zu verschlüsseln. Die verschlüsselten Datenwerden anschließend wieder in den Computer zurückgeschickt. Vorher muss der private Schlüssel durchdie richtige PIN (Personal Identification Number) freigegeben werden, d.h., die Karte wird geöffnet.28

Handbuch OpenLimit SignCubes 2.5.0.2Hier ist der empfindlichste Punkt der gesamten Signatur. Nicht die Technik ist es, die den größtenUnsicherheitsfaktor darstellt, sondern der Mensch. Folgende Punkte sollten Sie unbedingt beachten:Schreiben Sie die PIN niemals auf die Karte, den Kartenleser oder in die Nähe IhresComputers.Lassen Sie sich nicht bei der PIN-Eingabe zusehen.Achten Sie darauf, dass auch aus der Ferne (Fenster gegenüber etc.) niemand Einblick auf IhreTastatur oder den Kartenleser hat.Geben Sie die PIN in keinem Fall an eine andere Person weiter.Benutzen Sie nach Möglichkeit (vor allem, wenn Sie wichtige Verträge o.ä. signieren) einenKartenleser mit sicherer PIN-Eingabe.Nach dreimaliger falscher PIN-Eingabe ist der private Schlüssel unbrauchbar.Lassen Sie Ihre Karte nie liegen, wenn Sie den Raum verlassen oder Ihre Aufmerksamkeitabgelenkt ist.Diese hier kompliziert erscheinenden Vorgänge erledigt die Software natürlich automatisch. Der Nutzermuss nur auf Signieren klicken, die PIN eingeben und hat sofort eine signierte Datei. Diese besteht ausverschlüsseltem Hashwert, Originaldatei und öffentlichem Schlüssel.Grundsätzlich benötigen Sie für eine qualifizierte Signatur ein qualifiziertes Zertifikat. DieSignaturerzeugung als technischer Prozess sollte immer auf einer sicheren Signaturerzeugungseinheit,bestehend aus Kartenterminal, möglichst mit sicherer PIN-Eingabe, und einer Chipkarte vorgenommenwerden. Weiterhin benötigen Sie eine Software, die Ihnen ein vertrauenswürdiges Umfeld für dieErzeugung einer elektronischen Signatur bietet. Grundsätzlich sollten Sie bei der Erzeugung einerqualifizierten elektronischen Signatur immer auf eine vorherige Visualisierung der Inhalte bestehen.29

Handbuch OpenLimit SignCubes 2.5.0.22.3 SignaturverifikationFolgende Punkte sind bei der Prüfung wichtig:Ist das Dokument wirklich unverändert? Integrität der Daten.Ist der Signaturinhaber echt? Wurde sein Zertifikat nicht inzwischen gefälscht? Authentizitätdes Inhabers.Ist das Zertifikat nicht gesperrt? Zertifikatsstatus.1. Die Integrität des Dokuments lässt sich über den Hashwert beweisen:Das Dokument wird erneut gehasht. Der alte Hashwert wird entschlüsselt und mit dem neuen verglichen:Sind beide Hashwerte identisch, ist bewiesen, dass das Dokument nicht verändert wurde. Das erledigtdie Software bei jeder Prüfung automatisch und in Echtzeit, d.h., die Software prüft den Hashwert ständig- nicht nur einmal. So werden auch Manipulationen am geöffneten Dokument sichtbar. Um den altenHashwert zu entschlüsseln, benötigt der Prüfer den öffentlichen Schlüssel des Unterzeichners, denn dieSignatur wurde ja mit der Karte, also mit dem privaten Schlüssel erstellt.Dieser öffentliche Schlüssel wird als Zertifikat an das signierte Dokument angehängt.30

Handbuch OpenLimit SignCubes 2.5.0.22. Prüfung des SignaturzertifikatesDie Echtheit und Unversehrtheit eines Zertifikates, also des mitgesendeten öffentlichen Schlüssels, wirdüber die Signatur des Herausgebers geprüft: Jedes persönliche Zertifikat ist von einem Trustcenter (CA)signiert. Ist diese Signatur gültig, wurde auch das Zertifikat nicht geändert. Natürlich kann auch dieEchtheit des Herausgeberzertifikats geprüft werden, das oft wieder von einer anderen Instanzherausgegeben wurde. So ergibt sich ein Zertifizierungspfad, der sich bis zu einer vertrauenswürdigenInstanz (Root CA oder Wurzelzertifikat) zurückverfolgen lässt. Ist dieser Zertifizierungspfad korrekt unddie Wurzel vertrauenswürdig, beweist dies die Authentizität des Signaturinhabers.In Deutschland ist bei qualifizierten Signaturen die Bundesnetzagentur für Elektrizität, Gas,Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur) die oberste Instanz (Wurzel). Auchdieser Punkt wird von der Software überprüft. Logischerweise kann die Software aber nur überprüfen, obder Zertifizierungspfad lückenlos ist. Um aber die verschiedenen Instanzen (CA's) des Pfades und dasWurzelzertifikat zu sehen, muss der Nutzer den Zertifizierungspfad überprüfen. Ob die Wurzelvertrauenswürdig ist (z.B. bei Signaturen aus anderen Ländern), obliegt der Entscheidung jedesEinzelnen.3. Prüfung des ZertifikatsstatusDer Zertifikatsstatus, d.h. die Information, ob ein Zertifikat zu dem Zeitpunkt der Signaturerstellunggesperrt war, kann beim Herausgeber überprüft werden: Die Trustcenter stellen Sperrlisten zumDownload zur Verfügung oder haben eine Online-Zertifikatsabfrage bzw. bieten beides an. Wenn jemandseine Signaturkarte verliert, kann er diese über einen 24-Stunden Service sperren lassen und wird sofortgelistet.31

Handbuch OpenLimit SignCubes 2.5.0.2Die Prüfung des Zertifikatsstatus erfordert ein aktives Eingreifen des Benutzers. Wenn es sich um einewichtige Unterschrift handelt (im Gegensatz zu einer Datensicherung), sollte vor der Signaturprüfung dieaktuelle Sperrliste heruntergeladen werden. Handelt es sich um ein Trustcenter, das eine Online-Abfrageanbietet, kann der Zertifikatsstatus direkt über das Internet abgefragt werden.Wichtig ist dabei auch immer der Signaturzeitpunkt. Beispiel: Eine Signatur wurde am 1.7.2004 erstelltund wird dann ein Jahr später, am 1.7.2005 geprüft. Der Zertifikatsstatus sagt aus, dass das Zertifikatseit dem 1.12.2004 gesperrt ist (z.B. Karte verloren). Das bedeutet, dass die Signatur wahrscheinlichdennoch gültig ist. Denn zum Zeitpunkt der Signaturerstellung war der Karteninhaber noch im Besitzseiner Karte. Der Zeitpunkt wird bei der Signaturerstellung in die Signatur mit einbezogen. Allerdingskann immer nur die Zeit benutzt werden, die das Betriebssystem des Computers zur Verfügung stellt. Beibestehenden Zweifeln ist es am sichersten, sich das Dokument noch einmal signieren bzw. einenZeitstempel hinzufügen zu lassen.Die Mechanismen der Signaturprüfung sind im Kapitel Arbeiten mit den OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 - Signaturverifikation beschrieben. Als Benutzer des Produktesmüssen Sie diesen Abschnitt gelesen haben, um das angezeigte Prüfergebnis des Produktes richtiginterpretieren zu können.2.4 Rechtliche Aspekte der elektronischen SignaturDie Verwendun der elektronischen Signatur ist gesetzlich geregelt. Für die Europäische Union trat imJanuar 2000 die Richtlinie über die Gemeinschaftlichen Rahmenbedingungen für elektronischeSignaturen in Kraft. Diese Richtlinie enthält die Verpflichtung für jedes Mitgliedsland, die Regelungen innationales Recht umzuwandeln. So werden elektronische Signaturen auch im internationalenGeschäftsverkehr möglich.In Deutschland sind die Rahmenbedingungen für rechtlich verbindliche elektronische Signaturen durchdas Signaturgesetz (SigG), die Signaturverordnung (SigV) sowie das Erste Gesetz zur Änderung desSignaturgesetzes (1.SigÄndG) festgelegt.32

Handbuch OpenLimit SignCubes 2.5.0.2Die wesentlichsten Punkte der europäischen RichtlinieDie Gesetze kennen verschiedene Arten von Signaturen. Einfache Signaturen, fortgeschritteneSignaturen und qualifizierte Signaturen. Eine Signatur wird als qualifiziert bezeichnet, wenn sie:ausschließlich dem Unterzeichner zugeordnet ist,die Identifizierung des Unterzeichners ermöglicht,mit Mitteln erstellt wird, die nur der Unterzeichner kontrolliert,jede nachträgliche Änderung der signierten Daten erkennbar machtund auf einem qualifizierten Zertifikat beruht.Ein qualifiziertes Zertifikat wird nur von einem qualifizierten Zertifizierungsdiensteanbieter (Trustcenter)ausgestellt. Dabei gelten ganz besonders strenge Anforderungen hinsichtlich der Sicherheit derSchlüsselerstellung und der Organisation des Trustcenters. Die Einhaltung der gesetzlichen Vorschriftendurch die Trustcenter wird von einer nationalen Behörde kontrolliert. In Deutschland ist das dieBundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen(Bundesnetzagentur), im Internet unter www.bundesnetzagentur.de. Dort finden Sie auch eine Liste derqualifizierten und akkreditierten Trustcenter, die aktuellen Signaturgesetze und weitere Informationenzur Signatur.Die Rechtswirkung elektronischer SignaturenQualifizierte Signaturen ...erfüllen die Anforderungen in Bezug auf elektronische Daten genauso wie die handschriftlicheUnterschrift Anforderungen in Bezug auf Daten erfüllt, die auf Papier vorliegen.sind vor Gericht als Beweismittel zugelassen.... heißt es in den europäischen Richtlinien. Inwiefern diese Vorgaben in nationales Gesetz umgewandeltwurden, ist in jedem Land etwas unterschiedlich.Aber es bedeutet, dass elektronische Signaturen der eigenhändigen Unterschrift weitgehendgleichgestellt sind. In Deutschland ist dies durch die Änderung des § 126 BGB über die Schriftformumgesetzt worden. Darin wird bestätigt, dass die Schriftform eines unterschriebenen Dokuments mit derqualifizierten Signatur und einem elektronischen Dokument ersetzt werden kann.Allerdings gibt es auch Ausnahmen. In besonders empfindlichen Bereichen ist die elektronische Signaturnicht erlaubt, z.B.:Kündigung von Arbeitsverhältnissen33

Handbuch OpenLimit SignCubes 2.5.0.2ZeugnisseBürgschaftenNotarielle BeurkundungenAußerdem sind qualifizierte Signaturen vor Gericht als Beweis zugelassen, können aber eine Urkundenicht ersetzen. Dies liegt in der Definition einer Urkunde begründet. Der Beweiswert ist aber so hocheinzustufen (Siehe § 126 BGB), dass sie einem Urkundenbeweis sehr nahe kommen dürfte.Anerkennung der verwendeten kryptografischen AlgorithmenDas Bundesamt für Sicherheit in der Informationstechnik veröffentlicht jährlich eine Übesicht über dieAlgorithmen und zugehörigen Parameter, die zur erzeugung von Signaturschlüsseln, zum Hashen zusignierender Daten und zur erzeugung und Prüfung qualifizierte elektronischer Signaturen als geeignetanzusehen sind. Die aktuelle Fassung des Dokuments können Sie von den Webseiten des Bundesamtesfür Sicherheit in der Informationstechnikwww.bsi.deherunter laden.34

Handbuch OpenLimit SignCubes 2.5.0.2Die folgende Tabelle fasst die Eignung der Hashfunktionen zusammen:geeignet bis Ende2007(Übergangsfrist bisEnde Juni 2008)ErzeugungqualifizierterZertifikate*:geeignet bis Ende2009ErzeugungqualifizierterZertifikate**:geeignet bis Ende2010geeignet bis Ende2010geeignet bis Ende2014SHA-1 SHA-1 SHA-1 RIPEMD-160 SHA-224, SHA-256,SHA-384, SHA-512(SHA-1, RIPEMD-160)****d.h. zur Erzeugung qualifizierter Zertifikate, nicht aber zur Erzeugung und Prüfung anderer qualifiziertsignierter Daten.** d.h. zur Erzeugung qualifizierter Zertifikate ≥20 bei Bit Entropie der Seriennummer, nicht aber zurErzeugung und Prüfung anderer qualifiziert signierter Daten.***ausschließlich zur Prüfung qualifizierter Zertifikate.Für den RSA Algorithmus und die zugehörigen Schlüssellängen hat das Bundesamt für Sicherheit in derInformationstechnik die folgenden Vorgaben herausgegeben:ZeitraumParameternbis Ende 2007Übergangsfrist bisEnde März 2008)1024 (Mindestw.)2048 (Empf.)bis Ende 2008 bis Ende 2009 bis Ende 2010 bis Ende 20141280 (Mindestw.)2048 (Empf.)1536 (Mindestw.)2048 (Empf.)1728 (Mindestw.)2048 (Empf.)1976 (Mindestw.)2048 (Empf.)Die folgende Tabelle fasst die Bitlängen für den DSA (Digital Signature Algorithm) basierend auf denelliptischen Kurven zusammen:ZeitraumParameterpbis Ende 2007 bis Ende 2008 bis Ende 2009 bis Ende 20141024 (Mindestwert)2048 (Empfehlung)1280 (Mindestwert)2048 (Empfehlung)1536 (Mindestwert)2048 (Empfehlung)q 160 160 160 224204835

Handbuch OpenLimit SignCubes 2.5.0.23 Sicherheitskomponenten der OpenLimit SignCubesBasiskomponentenOpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 ist ein Produkt zum Erzeugen undVerifizieren fortgeschrittener und qualifizierter elektronischer Signaturen sowie zum Ver- undEntschlüsseln von Dokumenten. Die folgenden Abschnitte beschreiben die Sicherheitsmerkmale, dieIhnen durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 zur Verfügung gestelltwerden. Der genaue Wortlaut kann dem durch das BSI veröffentlichten Zertifizierungsreport in englischerSprache für das Produkt entnommen werden.Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit Zertifikaten unterVerwendung eines Kartenterminals und einer SmartcardDie OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten die Funktion zur Berechnungvon kryptographischen Prüfsummen (Hashwerten) nach den Algorithmen SHA-1, SHA-224, SHA-256,SHA-384, SHA-512 und RIPE-MD 160. Der korrekte Algorithmus wird von der Anwendung automatischfestgelegt. Um bei Bedarf diese Einstellungen anwenderspezifisch vornehmen zu können, sindentsprechende Einstellungen in der Registrydatei notwendig. Die Algorithmen SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 werden von der Bundesnetzagentur bzw. dem Bundesamt für Sicherheitin der Informationstechnik als geeignete Algorithmen für die Hashwertberechnung bei qualifiziertenelektronischen Signaturen eingestuft.Im nächsten Schritt wird der berechnete Hashwert von einer Chip-Karte verwendet, um nach dem RSAbzw. ECDSA Verfahren eine elektronische Signatur zu erzeugen. Bei der Signaturerzeugung können Sieauf den OpenLimit SignCubes Viewer zurückgreifen, um die Daten, die Sie signieren möchten, in einerrechtsverbindlichen Art und Weise anzuzeigen.Bei der Erstellung der Signaturdatei können automatisch eine OCSP-Antwort, ein Zeitstempel sowieAttributzertifikate aufgenommen werden, um diese bei der Signaturverifikation zu verwenden. Dasverwendete Signaturzertifikat wird immer automatisch in die Signaturdatei aufgenommen, um eineeindeutige Identifikation des Signaturerzeugers sicherzustellen.Verwenden Sie stets einen Kartenleser mit sicherer PIN-Eingabe und qualifizierte Chipkarten. Siebenötigen eine gültige Lizenz ab Modus 2 für das Produkt, um diese Sicherheitsfunktion nutzen zukönnen.Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie dieAnforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten.36

Handbuch OpenLimit SignCubes 2.5.0.2SignaturverifikationDie OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten die Funktion zur Prüfung vonSignaturen an beliebigen Dateien, deren kryptographische Prüfsummen (Hashwerte) nach denAlgorithmen SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160 berechnet wurden. Dabeiwird eindeutig erkennbar, auf welche Daten sich die elektronische Signatur bezieht. Das Produkt teiltIhnen mit, ob der Originalhashwert und der Verifikationshashwert identisch sind oder nicht, d.h. ob dieDaten verändert wurden oder nicht.Für qualifizierte Signaturen ist der Hashalgorithmus SHA-1 ab 2008 nicht mehr zulässig. Für dieErzeugung anderer z.B. fortgeschrittener Signaturen kann der Algorithmus SHA-1 weiterhin zum Einsatzkommen.Bei der Signaturprüfung wird aus dem Signaturzertifikat das Herausgeberzertifikat ermittelt und diedazugehörige Sperrliste vom lokalen Datenträger geladen. Innerhalb der Sperrliste wird überprüft, ob einentsprechender Eintrag für das Zertifikat vorhanden ist. War das Zertifikat zum Zeitpunkt derSignaturerzeugung bereits gesperrt, wird Ihnen dies angezeigt.Sie haben die Möglichkeit, eine OCSP-Abfrage zum Signaturzertifikat durchzuführen. Das Ergebnis derOCSP-Abfrage wird Ihnen in einer Statusmeldung angezeigt.Wurden bei der Signaturerstellung die Optionen zur automatischen OCSP-Abfrage, Erstellung einesZeitstempels sowie das Mitsignieren von Attributzertifikate eingestellt, so werden diese Informationenbei der Signaturprüfung automatisch angezeigt.Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie dieAnforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten. Für eine korrekteZetrifikatsprüfung anhand der Sperrlisten sollten Sie regelmäßig die aktuellen Sperrlisten laden.Erkennung von Manipulationen an Programm-ModulenDie OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten die Funktion zum Erkennen vonManipulationen an den ausgelieferten Bibliotheken und ausführbaren Dateien. Das Prüfmodul ermitteltdie Hashwerte aller Bibliotheken und ausführbaren Dateien und vergleicht diese mit den Signaturen dereinzelnen Dateien. Bei Abweichungen werden die OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 deaktiviert und Sie werden durch eine Textmeldung informiert.Es wird automatisch sichergestellt, dass das Prüfmodul nur von einer berechtigten Anwendung geladenwerden kann. Das bedeutet, dass diese Anwendung mit dem gleichen Schlüssel signiert sein muss wiedas auf Ihrem Rechner installierte Produkt.37

Handbuch OpenLimit SignCubes 2.5.0.2Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, werden die OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 deaktiviert. Der sichere Zustand der Anwendung ist nicht mehrgewährleistet, da eine Manipulation vorgenommen wurde. Mit einer Textmeldung werden Sie auf diesenZustand hingewiesen.Um eine korrekte Funktionsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie dieAnforderungen, die im Kapitel Mindestanforderungen dargelegt sind, einhalten.Anzeige der zu signierenden oder bereits signierten DatenDer in den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 enthaltene OpenLimitSignCubes Viewer bietet die Funktion, Inhalte, die angezeigt werden sollen, eindeutig darzustellen. DerOpenLimit SignCubes Viewer sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhaltenist. Weiterhin werden Sie informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthaltensind.Bei der sicheren Anzeige der Datei (PDF-, Text- oder TIFF Format) werden die folgenden Arbeitsschrittevorgenommen: Zunächst wird das Format geprüft. Handelt es sich um ein unbekanntes Format, wird eineentsprechende Fehlermeldung ausgegeben, die den Hinweis enthält, dass diese Datei nicht dargestelltwerden kann. Werden aktive bzw. verdeckte Inhalte in der Datei erkannt, wird Ihnen eine Warnmeldungangezeigt.Der OpenLimit SignCubes Viewer kann Dokumente anzeigen, die der PDF Spezifikation 1.7 entsprechen(Abweichungen von der PDF Spezifikation werden weiter unten in diesem Kapitel aufgelistet). Die TIFFErkennung richtet sich nach der Adobe TIFF Spezifikation 6.0. Für die Erkennung von Textdokumentengelten die folgenden Regeln:Die folgenden Zeichen werden von dem OpenLimit SignCubes Viewer untersucht, um zu erkennen, dasses sich bei dem vorliegenden Dokument um ein Textdokument handelt.a) das NULL Byte (0x00)b) die Zeichen TAB (0x09), CR (Cariage Return, 0x0d) und LF (Line Feed, 0x0a)c) die Zeichen von 0x01 bis 0x1f mit Ausnahme der unter a) und b) angegebenen Zeichend) die Zeichen von ' ' bis '~' (0x20 bis 0x7e)e) die deutschen ANSI-Umlaute (0xc4 (Ä), 0xd6 (Ö), 0xdc (Ü), 0xe4 (ä), 0xf6 (ö), 0xfc (ü))f) die deutschen DOS Umlaute (0x81 (ü), 0x84 (ä), 0x8e (Ä), 0x94 (ö), 0x99 (Ö), 0x9a (Ü))g) alle restlichen Zeichen38

Handbuch OpenLimit SignCubes 2.5.0.2Die folgenden Regeln für die Erkennung von Textdateien durch den OpenLimit SignCubes Viewer werdenformuliert:Eine Sequenz von Zeichen der Kategorie a) ist am Ende einer Datei zulässig. Ein Zeichen derKategorie a) innerhalb der Datei ist zulässig, mit Ausnahme der Erläuterung aus demvorhergehenden Satz. Das Vorkommen von Zeichen der Kategorie a) innerhalb der Datei undam Ende der Datei ist nicht zulässig.Tritt mehr als ein Zeichen der Kategorie c) auf, handelt es sich nicht um eine Textdatei. Wennbereits 2 Zeichen der Kategorie a) gefunden wurden, sind Zeichen der Kategorie c) nichterlaubt.Liegt die Gesamtanzahl der Zeichen innerhalb der Datei aus Kategorie b), d), e) und f) unter80%, handelt es sich nicht um eine Textdatei.Weiterhin werden Warnungen durch den OpenLimit SignCubes Viewer generiert, wenn eines derfolgenden Szenarien zutrifft.Die Kategorie g) ist nicht leer. In diesem Falle wird die folgende Warnung angezeigt: "Die Dateienthält Zeichen, die nicht eindeutig darstellbar sind!"Die Kategorien e) und f) sind beide nicht leer. In diesem Falle wird die folgende Warnungangezeigt, wenn nicht bereits das vorhergehende Szenario zutrifft: "Die Datei enthält sowohl'DOS'- als auch 'Windows'-Umlaute. Eine eindeutige Identifikation der korrekten Darstellungist nicht möglich."Wenn Zeichen der Kategorie a) und/oder c) in dem Dokument vorhanden sind, wird diefolgende Warnmeldung angezeigt: "Die Datei enthält Zeichen, die nicht eindeutig darstellbarsind!"Hinweis: Das hexadezimale Zeichen 0x00 wird wie folgend dargestellt: . Das hexadezimaleZeichen 0x7F wird wie folgend dargestellt: . Das Zeichen 0x00 führt zwar zu einer Warnmeldungdes Viewers, es wird jedoch im Analysedialog keine gesonderte Warnmeldung ausgegeben, da diesesZeichen in jedem Zeichensatz eine eindeutige Darstellung hat.Der OpenLimit SignCubes Viewer verarbeitet in PDF Dateien keine aktiven Code-Elemente, wie etwa Java-Script oder Multimedia-Objekte. Da das PDF Format die Einbettung verschiedener Ansichten ein unddesselben Objektes erlaubt, zeigt der OpenLimit SignCubes Viewer grundsätzlich nur die Standard-Ansicht für diese Objekte an. Das bedeutet, dass Sie bei vorhandenen alternativen Darstellungen vonObjekten grundsätzlich die Analysefunktionen des OpenLimit SignCubes Viewers benutzen müssen, umfestzustellen, ob die alternativen Darstellungen Elemente enthalten, die den Inhalt des Dokumentsverfälschen und Sie evtl. nicht bereit wären, diese Dokumentinhalte zu signieren.Die PDF Anzeige des OpenLimit SignCubes Viewers unterstützt das Dokumentformat PDF 1.7. Wenn Sieein PDF Dokument mit dem OpenLimit SignCubes Viewer untersuchen, sollten Sie sicher stellen, dass die39

Handbuch OpenLimit SignCubes 2.5.0.2Angaben der PDF-Versionsnummer in dem Dokument der Version 1.7 oder darunter entspricht. Versionennach der PDF-Version 1.7 können in dem Viewer nicht zweifelsfrei dargestellt werden, da spätereVersionen Elemente enthalten können, die vom Viewer nicht erkannt und auch nicht dargestellt werdenkönnen.Der Viewer enthält einige Abweichungen zu diesem Standard (Dokumentformat 1.7), die Sie kennensollten:Der OpenLimit SignCubes Viewer unterstützt keine Transparenz.Der OpenLimit SignCubes Viewer zeigt grundsätzlich die Standardansicht von PDF Objekten an.Das PDF Format erlaubt die Angabe von alternativen Ansichten eines Objektes, die Ansichtkann z.B. von der Bildschirmauflösung abhängig sein. In diesem Falle werden Sie von demProdukt gewarnt und haben die Möglichkeit, die Mittel des OpenLimit SignCubes Viewer zuverwenden, um die alternativen Darstellungen zu untersuchen.Der OpenLimit SignCubes Viewer unterstützt keine Multimedia-Elemente. Die Möglichkeit, z.B.animierte Flash-Filme anzuzeigen wird von dem Produkt nicht unterstützt. In diesem Falle wirdIhnen die Standard-Darstellung (z.B. das Flash-Icon) angezeigt.Die Funktion zur Anzeige von PDF Dateien hängt von der Lizenz ab, die Sie erworben haben. Wenn IhreLizenz nicht erlaubt, PDF Dateien anzuzeigen, steht Ihnen diese Funktion auch nicht zur Verfügung.Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im KapitelMindestanforderungen dargelegten Anforderungen sicherstellen. Es werden keine aktiven Inhalte wieScripte oder Programmcode interpretiert.Schutz vor HashwertmanipulationDie OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten einen Schutz vorHashwertverfälschung während des Signaturvorganges. Dazu wird vor dem Signaturvorgang der Hashwertüber die zu signierenden Daten gebildet. Nach dem Signaturvorgang überprüft das Produkt die erzeugteSignatur, indem es die Signatur mit dem öffentlichen Schlüssel des verwendeten Signaturzertifikatesverifiziert. Abschließend wird Ihnen eine Textmeldung angezeigt, dass die Daten signiert wurden.Um eine korrekte Arbeitsweise dieser Sicherheitsfunktion zu gewährleisten, müssen Sie die im KapitelMindestanforderungen dargelegten Anforderungen sicherstellen.40

Handbuch OpenLimit SignCubes 2.5.0.2Sicherstellung der Unversehrtheit des ProduktesDie OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten die Funktion zum Prüfen derIntegrität der installierten Programm-Module. Diese Sicherheitsfunktion wird durch das OpenLimitSignCubes Integrity Tool realisiert. Das OpenLimit SignCubes Integrity Tool ist ein Java-Applet, das dieHash-Werte an den ausgelieferten sicherheitsrelevanten Modulen überprüft und somit sicherstellt, dasssich die Module noch in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden.Für die Nutzung des OpenLimit SignCubes Integrity Tool ist das Java Plugin notwendig, das über dieInternetseitewww.OpenLimit.com/integritytoolgeladen wird. Das Java Plugin sollte grundsätzlich erst nach positiver Prüfung der Signatur des Appletsgestartet werden.Das Ergebnis der Prüfung durch das OpenLimit SignCubes Integrity Tool wird Ihnen in einer Textmeldungangezeigt. Stellt das Prüfmodul eine Beschädigung der Modulsignaturen fest, ist der sichere Zustand derAnwendung nicht mehr gewährleistet und Sie sollten das Produkt auf Ihrem Rechner neu installieren.Die Überprüfung der Unversertheit der Programm-Module sollte regelmäßig, d.h. mindestens einmal imMonat, durchgeführt werden.Stellen Sie sicher, dass sie die im Kapitel Betriebssysteme aufgeführte Version der Java Virtual Machineinstalliert haben, um die korrekte Arbeitsweise dieser Funktion sicherzustellen.Import und Verarbeitung von OCSP AbfragenDas Produkt bietet Ihnen die Möglichkeit, über das OCSP (Online Certificate Status Protocol) Protokolldie Gültigkeit eines Zertifikates zu prüfen. Dazu können Sie zu einem Zertifikat eine OCSP Anfrage mitHilfe des Produktes stellen und erhalten eine entsprechende Antwort von der CA, die das Zertifikatausgestellt hat. Sie sollten diese Möglichkeit immer dann nutzen, wenn Sie sich über die Gültigkeit einesZertifikates direkt beim Herausgeber versichern möchten.Sie haben ebenfalls die Möglichkeit, das Produkt so zu konfigurieren, dass eine OCSP Antwort vomHerausgeber automatisch zur elektronischen Signatur hinzugefügt wird. Damit geben Sie dem Empfängereiner von Ihnen signierten Datei die Gewissheit, dass Ihr Zertifikat zum Zeitpunkt der Signaturerstellungnicht gesperrt war. Es besteht die Möglichkeit, dass Sie sich die Einzelheiten der OCSP Antwort anzeigenlassen. In diesem Falle haben Sie außerdem die Möglichkeit, das Zertifikat zu begutachten, welches dieOCSP Antwort unterschrieben hat.41

Handbuch OpenLimit SignCubes 2.5.0.2Während des Imports der OCSP Antwort prüft das Produkt immer die mathematische Gültigkeit derAntwort. Ist die mathematische Gültigkeit nicht erfolgreich geprüft worden, werden die OCSP Daten nichtimportiert. Wenn Sie die Details zur OCSP Antwort begutachten, prüft das Produkt automatisch diegesamte Zertifikatskette bis hin zum Wurzelzertifikat auf der Basis von Sperrlisten. Stellen Sie in diesemFalle sicher, dass Sie über aktuelle Sperrlisten auf Ihrem Rechner verfügen.Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungendargelegten Anforderungen erfüllen.Import und Anbringen von ZeitstempelnDas Produkt erlaubt Ihnen das automatische Anbringen eines Zeitstempels an Daten, die Sie signierthaben. Dabei wird der Zeitstempel auf mathematische Korrektheit der Signatur überprüft und in dieSignaturdatei, die Sie erzeugt haben, mit aufgenommen. Kann die mathematische Korrektheit derSignatur nicht erfolgreich geprüft werden, wird der Zeitstempel nicht mit aufgenommen und Ihnen wirdeine entsprechende Fehlermeldung angezeigt.Um einen Zeitstempel automatisch zu den signierten Daten aufzunehmen, müssen Sie entsprechendeKonfigurationseinstellungen an dem Produkt vornehmen.Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungendargelegten Anforderungen erfüllen.Prüfung von ZeitstempelnWenn Sie eine signierte Datei erhalten, die einen Zeitstempel beinhaltet, können Sie die Gültigkeit desZeitstempels überprüfen. Zu diesem Zweck haben Sie einen Dialog zur Verfügung, der Ihnen dieEinzelheiten des Zeitstempels anzeigt. In diesem Falle wird die Signatur des Zeitstempels basierend aufSperrlisten bis hin zum Wurzelzertifikat überprüft. Sie erhalten neben den eigentlichen Informationen,die Ihnen der Zeitstempel bereitstellt Informationen darüber, ob die Signatur des Zeitstempels selbergültig ist. Stellen Sie vor der Verwendung dieser Funktion sicher, dass Sie über aktuelle Sperrlistenverfügen.Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungendargelegten Anforderungen erfüllen.42

Handbuch OpenLimit SignCubes 2.5.0.2Freischalten und Verwendung von lizenzierten FunktionenGemeinsam mit dem Produkt und Ihrer Signaturkarte haben Sie einen Lizenzschlüssel erhalten, den Siebei der ersten Benutzung des Produktes eingeben müssen. Wenn Sie über keinen Lizenzschlüsselverfügen, können sie das Produkt zum Prüfen von Signaturen verwenden, jedoch keine Signaturenerstellen. Der Lizenzierungsassistent wird Sie durch den Lizenzierungsvorgang führen. Dabei werdenkeine vertraulichen Daten verwendet oder mit dem Hersteller des Produktes ausgetauscht. Sie werdenwährend der Lizenzierung des Produktes aufgefordert, die vom Produkt erzeugte Lizenzdatei zu signieren.Dieser Vorgang dient zu Ihrer Absicherung, damit Sie später sicher sein können, eine gültige Lizenz IhresProduktes zu verwenden.Wenn Sie über keinen Lizenzcode verfügen, können Sie das Produkt zum Verifizieren von PKCS#7Signaturen an TIFF und Text Dokumenten verwenden. Eine Signaturerzeugung ist in diesem Falle nichtmöglich.Weiterhin werden die folgenden Modi in Abhängigkeit von der installierten Lizenz unterschieden:Reader-Modus: Im Reader-Modus haben Sie die Möglichkeit, TIFF und Text Dokumente mitdem Viewer zu betrachten. Die Prüfung von PKCS#7 Signaturen an diesen Dokumenten istmöglich, allerdings können Sie mit einer solchen (kostenfreien) Lizenz keine Signaturenerzeugen.Modus 2: Sie haben die Möglichkeit, TIFF und Text Dokumente zu betrachten und an diesenDokumenten PKCS#7 Signaturen zu erzeugen. Sie können PKCS#7 Signaturen an diesenDokumenten prüfen.Modus 3: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente zu betrachten. Sie könnenaber nur TIFF und Text Dokumente mit PKCS#7 Signaturen versehen. Sie haben dieMöglichkeit, PKCS#7 Signaturen an allen drei Dokumentformaten zu überprüfen. Darüberhinaus können Sie in PDF Dateien eingebettete Signaturen verifizieren.Modus 4: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. PDFSignaturen können ebenfalls geprüft werden.Modus 5: Sie haben die Möglichkeit, TIFF, Text und PDF Dokumente anzuzeigen, mit PKCS#7Signaturen zu versehen und diesen Signaturtyp an diesen Dokumenten zu prüfen. Sie könnenzusätzlich eingebettete PDF Signaturen erzeugen und verifizieren.Der in diesem Zusammenhang verwendete Begriff PKCS#7 Signatur bezieht sich ausschließlich aufabgesetzte bzw. verbundene Signaturen. Signaturen innerhalb von PDF Dokumenten werden als PDFSignaturen bezeichnet, auch wenn diese technisch auf dem PKCS#7 Format basieren.43

Handbuch OpenLimit SignCubes 2.5.0.2Ein Upgrade der bei der Installation mitgelieferten Readerlizenz ist jederzeit möglich, allerdingsbenötigen Sie für diesen Vorgang eine Signaturkarte. Das Einspielen einer Lizenz mit geringeren Rechtenals die bereits freigeschalteten Funktionen wird von dem Produkt verhindert bzw. nicht akzeptiert.Um die korrekte Arbeitsweise zu gewährleisten, müssen Sie die im Kapitel Mindestanforderungendargelegten Anforderungen erfüllen.3.1 OpenLimit SignCubes Security Environment ManagerDer OpenLimit SignCubes Security Environment Manager ist das Kernstück des SoftwarepaketesOpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2. Er wird standardmäßig automatisch mitdem Betriebssystem gestartet. Andernfalls kann der OpenLimit SignCubes Security EnvironmentManager über Start/Programme/OpenLimit SignCubes/OpenLimit SignCubes Manager gestartetwerden. Er stellt die folgenden Funktionen zur Verfügung:Berechnung des Hashwertes unter Verwendung einer der Algorithmen SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 und RIPE-MD 160.Erzeugung der Signatur unter Verwendung einer Chipkarte und eines Kartenlesers mit sichererPIN-EingabeHinzufügen eines Zeitstempels zu einer erzeugten elektronischen SignaturUnterstützung von Attributzertifikaten bei der Erzeugung einer elektronischen SignaturUnterstützung der OCSP Abfrage bei der Erzeugung einer elektronischen SignaturPrüfung von Signaturzertifikaten über OCSP und Sperrlisten (CRL)Anzeige der OCSP Informationen zu einem ZertifikatVerarbeitung von Zeitstempelinformationen während der SignaturprüfungAnzeige von ZeitstempelinformationenSicherstellung der Integrität und korrekten Installation der OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2Bereitstellung eines Interfaces für die Signaturerzeugung, Prüfung und ProduktkonfigurationIm Prozess der Verifikation einer Signatur zeigt der OpenLimit SignCubes Security Environment Managerdie zur Verfügung stehenden Informationen des qualifizierten Attributzertifikates, das zu demqualifizierten Zertifikat zugehört, an. Der OpenLimit SignCubes Security Environment Manager ist in derLage zu erkennen, ob ein Attributzertifikat zu einem Zertifikat dazugehört und bringt es zur Anzeige,sofern dieses vorhanden ist.44

Handbuch OpenLimit SignCubes 2.5.0.2Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 arbeiten mit Daten im PKCS#7 Formatoder bei XML Daten im XML Signaturformat. Das bedeutet, dass das Produkt OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 mit allen Anwendungen, die diese Formate unterstützen,kompatibel ist.Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 steuert die Kartenleser überPC/SC oder CT-API Schnittstellen an. Einige Hersteller liefern separate Programmbibliotheken zurAnsteuerung der sicheren PIN-Eingabe am Kartenleser. Die OpenLimit SignCubes Basiskomponenten2.5, Version 2.5.0.2 verwenden diese Module, sofern diese vorhanden sind. Die durch die SoftwareOpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 unterstützten Chipkarten finden Sie indem Abschnitt Chipkarten. Die Liste der unterstützten Kartenleser finden Sie in dem AbschnittKartenleser.Es ist möglich, mehrere Kartenterminals und Signaturkarten parallel zu nutzen. Für jedes Kartenterminalwird Ihnen ein entsprechendes Icon im System-Tray angezeigt.Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 dürfen für die Erzeugung qualifizierter(rechtskonformer) Signaturen nur mit SigG konformen Kartenlesern verwendet werden. Eine Liste dieserGeräte wird durch die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post undEisenbahnen (Bundesnetzagentur) unter www.bundesnetzagentur.de veröffentlicht.Die Signaturprüfung erfolgt nach dem Schalenmodell und zusätzlich nach dem Kettenmodell (fürqualifizierte Zertifikate) von dem Zertifikat des Anwenders bis zu dem Wurzelzertifikat der CA unterEinbeziehung der Sperrlisten.Zusätzlich zu der Sperrlistenabfrage unterstützen die OpenLimit SignCubes Basiskomponenten 2.5,Version 2.5.0.2 das Online Certificate Status Protocol (OCSP). Das OCSP Protokoll ermöglicht dieOnline-Abfrage der Gültigkeit eines Zertifikates. Diese Prüfung kann nur durchgeführt werden, wenn dieInformation zu dem OCSP Responder verfügbar ist. Das bedeutet, dass das Zertifikat eine Informationenthalten muss, die es ermöglicht den OCSP Responder zu identifizieren.Eine weitere Funktion des OpenLimit SignCubes Security Environment Managers ist die Arbeit mitZeitstempeln. Ein Zeitstempel kann eine Angabe im Zusammenhang mit der Signaturerstellung sein, aberauch eine Information bei der Signaturprüfung. Weitere Informationen zu Zeitstempeldiensten erhaltenSie in dem Abschnitt Zeitstempeldienste.Die Verfahrensweise der Beschaffung der Informationen des OCSP, der Sperrlisten und des Zeitstempelssind nicht Bestandteil der Evaluierung.45

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis: Die Signaturerzeugung besteht immer aus zwei Teilschritten: der Erzeugung des Hashwertes undder Verschlüsselung des Hashwertes mit dem privaten Schlüssel des Zertifikates. Die Verschlüsselungdes Hashwertes findet immer auf der Chipkarte statt, so dass der private Schlüssel IhresSignaturzertifikates dem OpenLimit SignCubes Security Environment Manager zu keinem Zeitpunkt derSignaturerzeugung und auch zu allen anderen Zeitpunkten nicht bekannt ist. Dieses Verfahren stelltsicher, dass ein Missbrauch des privaten Schlüssels des Zertifikates ausgeschlossen ist.Die Verfahren zur Signaturerzeugung und Verifikation arbeiten mit dem RSA bzw. ECDS Verfahren fürPublic Key Kryptographie. Die Stärke der verwendeten Schlüssel beträgt bis zu 2048 Bit und ist von dereingesetzten Chip-Karte abhängig.Wird eine elektronische Signatur erzeugt, so legt der OpenLimit SignCubes Security EnvironmentManager bei der Codierung des PKCS#7 Datencontainers bzw. der XML Signatur die kompletteZertifikatsliste bis hin zum Wurzelzertifikat in dem Container ab. Das bedeutet, dass somit immer diekomplette Zertifikatsliste für das prüfende Programm zur Verfügung steht und eine vollständigeSignaturprüfung erfolgen kann.Es gibt für den Anwender keine direkte Möglichkeit, den OpenLimit SignCubes Security EnvironmentManager zur Signaturerzeugung, Signaturverifikation, Ver- und Entschlüsselung zu benutzen. Um dieseFunktionalitäten zu nutzen, steht Ihnen der OpenLimit SignCubes Viewer zur Verfügung.Der OpenLimit SignCubes Security Environment Manager enthält Mechanismen, die sicherstellen, dassdie ausgelieferten Module nicht manipuliert wurden. Dazu überprüft der OpenLimit SignCubes SecurityEnvironment Manager die Programmbibliotheken während des Ladevorganges auf die Korrektheit ihrerSignaturen. Wenn Sie eine Fehlermeldung erhalten, dass die Signatur einer Programmbibliothekbeschädigt ist, deaktiviert der OpenLimit SignCubes Security Environment Manager den Zugang zu denangebotenen Sicherheitsfunktionen. Die genauen Meldungen sind im Kapitel Fehlermeldungen desOpenLimit SignCubes Security Environment Manager (siehe "Fehlermeldungen OpenLimit SignCubesSecurity Environment Manager") aufgeführt. Hilfeanleitungen in solchen Situationen finden Sie ebenfallsin diesem Kapitel.3.2 OpenLimit SignCubes ViewerDer OpenLimit SignCubes Viewer ist Bestandteil der OpenLimit SignCubes Basiskomponenten 2.5,Version 2.5.0.2 und bietet dem Anwender die Möglichkeit, sich gemäß den Anforderungen des §17Absatz 2 SigG die zu signierenden Daten bzw. bereits signierte Daten anzeigen zu lassen. Der OpenLimitSignCubes Viewer sichert, dass die angezeigte Datei frei von verdeckten oder aktiven Inhalten ist.Weiterhin werden Sie informiert, falls aktive oder nicht darstellbare Inhalte in der Datei enthalten sind.46

Handbuch OpenLimit SignCubes 2.5.0.2Bei der Signaturprüfung zeigt der OpenLimit SignCubes Viewer die Daten an, auf die sich die zur Prüfungausgewählte Signatur bezieht.Hinweis: Der OpenLimit SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen undden Inhalt dieser Dokumente zu untersuchen. Die PDF Dokumente entsprechen der PDF 1.7Spezifikation. Sie sollten sich in jedem Fall vergewissern, um welche Version es sich bei der verwendetenPDF Datei handelt. Das TIFF Dokument kann eine mehrseitige TIFF Datei (Multipage-TIFF) sein. Diedargestellten Dokumentformate hängen von der erworbenen Lizenz ab.Werden unbekannte Inhalte oder Spezifikationen in den Dokumenten entdeckt, werden Sie von demOpenLimit SignCubes Viewer darüber informiert. Werden Inhalte gefunden, die als verdeckte oder aktiveInhalte erkannt werden, sollten Sie das Dokument nicht signieren. Der OpenLimit SignCubes Viewer kanndiese Inhalte nicht entfernen sondern die Dokumente nur untersuchen. Wenn Sie das Dokument dennochsignieren, unterschreiben Sie ein Dokument, welches Sie nicht in seiner richtigen Darstellungsformbetrachten konnten.Wenn Sie ein farbiges TIFF Dokument signieren wollen, sollten Sie immer von der Möglichkeit derGraustufen und Schwarz/Weiß Betrachtung des Dokuments innerhalb des OpenLimit SignCubes ViewerGebrauch machen. Der Abschnitt Arbeiten mit dem OpenLimit SignCubes Viewer zeigt Ihnen am Beispieleiner manipulierten TIFF Datei, wie Sie verdeckte Inhalte in einem solchen Dokument erkennen können.In diesem Kapitel erhalten Sie darüber hinaus eine Beschreibung der Darstellungsmöglichkeiten weitererDateiinhalte wie Bilder, Java Scripte und Texte, die in PDF Dateien enthalten sein können.Mit dem OpenLimit SignCubes Viewer können Dateien im Format PDF, TIFF und TEXT geöffnet werden,wobei diese Dokumente mit einer PKCS#7 Signatur versehen sein können. In diesem Falle haben Sie dieMöglichkeit, die Gültigkeit der Signatur vom Viewer aus zu prüfen.Der OpenLimit SignCubes Viewer kann als separates Programm oder innerhalb desSignaturanforderungsdialoges gestartet werden. Innerhalb des Signaturanforderungsdialoges könnenSie den OpenLimit SignCubes Viewer nur dann verwenden, wenn auch ein PDF, Text oder TIFF Dokumentals das zu signierende Dokument erkannt wird. Der OpenLimit SignCubes Viewer wird als Programm‘siqView.exe‘ im Installationspfad der Anwendung installiert, weiterhin wird während der Installation eineVerknüpfung im Startmenü des Betriebssystems erzeugt.Der OpenLimit SignCubes Viewer kann die Dokumente zwar untersuchen und Warnungen zu denDokumenten generieren sowie Prüfdetails anzeigen, jedoch muss die Entscheidung, ob eine Signatur andem Dokument erzeugt werden soll, durch den Anwender selbst getroffen werden. Die inhaltlicheInterpretation eines angezeigten Dokuments obliegt vollständig dem Benutzer und kann durch denOpenLimit SignCubes Viewer nicht geleistet werden.47

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis zu den anzeigbaren DokumentformatenDie anzeigbaren Dokumentformate hängen von der erworbenen Lizenz ab. Wenn Ihre Lizenz die Anzeigevon PDF Dokumenten nicht erlaubt, können solche Dokumente auch nicht dargestellt werden. Wenn Sieüber keinen Lizenzcode für das Produkt verfügen, können sie auch grundsätzlich keine elektronischenSignaturen mit dem Produkt erzeugen. Mehr Informationen finden Sie in der Beschreibung derLizenzierungsvarianten unter Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5,Version 2.5.0.2.Hinweis für die Signaturerzeugung:Im folgenden Abschnitt wird erklärt, in welcher Situation der OpenLimit SignCubes Viewer einVerbunddokument bzw. eine abgesetzte Signatur erzeugt. Für die Erzeugung von Signaturen benötigenSie eine entsprechende Lizenz.AusgangsdateiTIFF-Datei ohne SignaturErzeugtes DateiformatSignatur wird als abgesetzte Signaturdatei erzeugt.Text-Datei ohne SignaturSignatur wird als abgesetzte Signaturdatei erzeugt.TIFF-Datei mit abgesetzter SignaturSignatur wird der abgesetzten Signaturdatei hinzugefügt.Text-Datei mit abgesetzter SignaturSignatur wird der abgesetzten Signaturdatei hinzugefügt.TIFF-Datei mit verbundener SignaturSignatur wird dem Verbunddokument hinzugefügt.Text-Datei mit verbundener SignaturSignatur wird dem Verbunddokument hinzugefügt.PDF Datei ohne Signatur oder mit eingebetteterSignaturPDF Datei mit abgesetzter SignaturIn Abhängigkeit von der Lizenz wird entwedereine eingebettete PDF Signatur oder eine abgesetztePKCS#7 Signatur erzeugt.Signatur wird der abgesetzten Signatur hinzugefügt.PDF Datei mit verbundener SignaturSignatur wird dem Verbunddokument hinzugefügt.48

Handbuch OpenLimit SignCubes 2.5.0.23.3 OpenLimit SignCubes Integrity ToolWenn Sie in die Situation geraten, dass Sie nicht mehr sicher sind, ob Ihr Rechner nicht manipuliertwurde, müssen Sie sicherstellen, dass das Produkt OpenLimit SignCubes Basiskomponenten 2.5,Version 2.5.0.2 noch wie vorgesehen arbeitet.Um die Integrität des Produktes auf Ihrem Rechner sicherzustellen, sollten Sie sich nicht nur auf diekorrekte Arbeitsweise des OpenLimit SignCubes Security Environment Managers verlassen. Siebenötigen ein unabhängiges Werkzeug, welches im Zweifelsfall in der Lage ist, von einemvertrauenswürdigen Medium aus die Integrität des installierten Produktes auf Ihrem Rechner zuüberprüfen.Das OpenLimit SignCubes Integrity Tool überprüft die Hash-Werte an den installiertensicherheitsrelevanten Programmbibliotheken. Es wird festgestellt, ob sich die Programmbibliothekennoch in dem Zustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden. Nach erfolgterPrüfung wird ein Prüfbericht erstellt.Dazu berechnet das Java-Applet die Hashwerte nach SHA-256 und vergleicht sie mit den OpenLimit -Originalen. Sie können das Applet über die folgende URL aufrufen:https://www.OpenLimit.com/integritytoolWeiterhin zeigt Ihnen das OpenLimit SignCubes Integrity Tool an, welche Chipkartenterminals undSignaturkarten von Ihrer Installation unterstützt werden. Wenn Sie eine Signaturkarte verwendenmöchten, die von der aktuellen Installation nicht unterstützt wird, können Sie diese Unterstützung durchein Add-On Setup zu Ihrer derzeitigen Installation hinzufügen. Verwenden Sie in jedem Falle dasOpenLimit SignCubes Integrity Tool um zu überprüfen, ob die beabsichtigten Module Ihrer Installationhinzugefügt worden sind.Das OpenLimit SignCubes Integrity Tool bietet die Möglichkeit, Konfigurationen für Chipkarten zusätzlichzu der Standardinstallation einzuspielen. Diese Konfiguration sind Initialisierungsdateien, die festlegen,welcher Hash- und Signaturalgorithmus für die jeweilige Signaturkarte verwendet wird. Das OpenLimitSignCubes Integrity Tool kennt alle möglichen Konfigurationen für die Signaturalgorithmen und prüft beidem Integritätscheck auch die verwendeten Algorithmen.Weitere Informationen dazu finden Sie in dem Kapitel Arbeiten mit dem OpenLimit SignCubes IntegrityToolDas Applet OpenLimit SignCubes Integrity Tool ist signiert, die Signatur wird von der Java Virtual Machine(JVM) geprüft. Sie müssen dem Zertifikat explizit vertrauen, mit dem das Applet signiert wurde. Die49

Handbuch OpenLimit SignCubes 2.5.0.2Seriennummer des Zertifikates, mit dem das Applet signiert wurde, lautet[30927389024320750942604185761776278687] und wurde von VeriSign herausgegeben. DasZertifikat ist vom 27.05.2009 bis zum 27.05.2012 gültig. Für den Fall, dass das Zertifikat erneuert wird,veröffentlicht OpenLimit die Seriennummer des aktuellen Zertifikats auf der Webseite.Neben den im Kapitel Betriebssysteme genannten Voraussetzungen ist für die Abarbeitung des Java-Applets die korrekte Browserkonfiguration zur Verwendung der JVM notwendig.Weitere Hinweise zur Arbeit mit dem Java-Applet erhalten Sie in dem Kapitel Arbeiten mit dem OpenLimitSignCubes Integrity Tool.Stellt das OpenLimit SignCubes Integrity Tool fest, dass sich die Programmbibliotheken nicht mehr inihrem Originalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorhersollten Sie jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallenwurde oder ein anderes Programm Ihren Rechner manipuliert hat.Hinweis: Starten Sie das OpenLimit SignCubes Integrity Tool nur von der Webseitehttps://www.OpenLimit.com/integritytoolund nach Prüfung des Server-Zertifikats.Sie müssen als Nutzer das Prüfprogramm regelmäßig ausführen, um die Integrität des Produktessicherzustellen. Regelmäßig bedeutet in diesem Zusammenhang mindestens einmal im Monat.Weiterhin müssen Sie die Integrität des Produktes auf Ihrem Rechner sicherstellen, sobald Sie denVerdacht haben, dass die Programmdateien geändert wurden.Falls Sie das Produkt über einen Download bezogen haben, sollten Sie in jedem Fall, bevor Sie dasProdukt zum ersten Mal anwenden, das OpenLimit SignCubes Integrity Tool ausführen, um dieKorrektheit der Installation zu verifizieren.4 Konfiguration der OpenLimit SignCubes BasiskomponentenIn diesem Abschnitt werden Ihnen die Konfigurationsoptionen des Produktes OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 dargelegt und auf die sichere Konfiguration des Produkteseingegangen. Darüber hinaus werden Sie in jedem Abschnitt dieser Benutzerdokumentation Version50

Handbuch OpenLimit SignCubes 2.5.0.22.5.0.2 auf die sicheren Parameter bei der Konfiguration hingewiesen. Abweichende Konfigurationensollten Sie nach Möglichkeit nicht einsetzen, da unter Umständen der sichere Betrieb des Produktesnicht mehr gewährleistet werden kann. Vor der Arbeit mit dem Produkt müssen Sie die Konfiguration derBenutzereinstellungen des Produktes überprüfen, insbesondere, wenn Sie an einem Arbeitsplatzarbeiten, an dem auch andere Benutzer Zugriff auf das Produkt haben.Administration und AdministratorrolleDas Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 erlaubt die individuelleKonfiguration der Benutzereinstellungen. Diese individuelle Konfiguration kann allerdings nur dannvorgenommen werden, wenn Sie als Benutzer über Administratorrechte verfügen oder Ihnen einAdministrator des Betriebssystems Administrationsrechte einräumt. Dies gilt daher nur für dieBetriebssysteme Windows NT 4.0, Windows 2000, Windows XP und Windows Vista, da die individuelleKonfiguration des Produktes an Hand der vorhandenen Nutzer vorgenommen wird.Die Administration des Produktes ist also an die Administratorrolle des Betriebssystems geknüpft. Eswird keine gesonderte Unterscheidung zwischen diesen beiden Rollen im Verlauf dieses Handbuchesvorgenommen. Wenn in diesem Handbuch von der Rolle des Administrators gesprochen wird, ist damitein Benutzer mit Administrationsrechten auf dem jeweiligen Rechner gemeint bzw. ein Benutzer, demdurch den jeweiligen Administrator des Betriebssystems das Recht eingeräumt wurde, das Produktindividuell zu konfigurieren.Einräumen von Konfigurationsrechten an andere BenutzerSie können die Bindung an die Administratorrolle im Betriebssystem zur Konfiguration des ProduktesOpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 aufheben, indem Sie einen Wert in derRegistry ändern. Diese Änderung hat dann zur Folge, dass jeder Benutzer des Rechners eine individuelleKonfiguration des Produktes vornehmen kann. Da das Produkt automatisch eine sichere Konfigurationnach der Installation einnimmt, sollten Sie von dieser Option nach Möglichkeit keinen Gebrauch machen.1. Öffnen Sie den Registry Editor des Betriebssystems.2. Öffnen Sie den Schlüssel HKLM/Software/SignCubes/Options3. Öffnen sie durch einen doppelten Klick auf den Eintrag Options den Wert User4. Tragen Sie statt der vorkonfigurierten 0 eine 1 ein.Mit diesem Eintrag haben Sie die Administratorrolle für das Produkt OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2, die durch das Betriebssystem vorgegeben ist, aufgehoben. Jetztkann jeder Benutzer individuelle Einstellungen vornehmen, die auch für jeden Benutzer separat verwaltet51

Handbuch OpenLimit SignCubes 2.5.0.2werden. Durch diesen Mechanismus ist sichergestellt, dass keine separaten Administrationsrollen fürdas Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 definiert sind.4.1 Konfigurationsoptionen des OpenLimit SignCubes Security Environment ManagersDer OpenLimit SignCubes Security Environment Manager bietet zwei Menüs zur Konfiguration. Das ersteKontextmenü des OpenLimit SignCubes Security Environment Managers wird beim Klicken auf dasOpenLimit Icon geöffnet. Das zweite Kontextmenü enthält spezifische Konfigurationsoptionen für diejeweilige Chipkarte und wird im Kapitel Chipkarten Optionen behandelt.Wenn Sie auf das Icon OpenLimit klicken, wird ein Kontextmenü geöffnet.Hier sind Menüpunkte betreffend der Software gelistet:Sperrlistenaktualisierung: Während der Signaturprüfung werden immer die aktuell auf demRechner verfügbaren Sperrlisten verwendet. Daher sollten Sie in regelmäßigen Abständen (imNormalfall täglich) diese Option nutzen, um aktuelle Sperrlisten auf Ihren Rechner herunterzuladen. Zusätzlich zur Sperrlistenprüfung können Sie die Online - Prüfung nutzen, um denStatus des Signaturzertifikates zu ermitteln. Für die Online - Prüfung benötigen Sie eineInternetverbindung. Diese wird durch den OpenLimit SignCubes Security Environment Managernicht automatisch hergestellt.Eigenschaften: Hier werden Einzelheiten über die Software angegeben. Sie können sich dieinstallierten Module sowie deren Versionsnummern anzeigen lassen. Weiterhin können Siesehen, welche Funktionen Sie lizenziert haben. Für dieses Produkt tragen die Programm-Module die Versionskennung 2.5.0.2.Einstellungen: In diesem Menü können sie globale Einstellungen am OpenLimit SignCubesSecurity Environment Manager vornehmen. Um diese Einstellungen vornehmen zu können,benötigen Sie die Rechte eines Administrators.Hilfe: Mit diesem Befehl wird die Benutzerdokumentation zu den OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 geöffnet.52

Handbuch OpenLimit SignCubes 2.5.0.2Info: Hier werden Copyright- und Versionsinformationen der Basiskomponenten angezeigt.Beenden: Mit diesem Befehl wird der OpenLimit SignCubes Security Environment Managerbeendet. Dann kann keine Signaturerzeugung bzw. Signaturverifikation vorgenommen werden.53

Handbuch OpenLimit SignCubes 2.5.0.24.1.1 Option: Lizenzeinstellungen und LizenzupgradeWenn Sie sich vergewissern wollen, welche Lizenz des Produktes Sie erworben haben, können Sie sichüber den Menüpunkt Eigenschaften des OpenLimit SignCubes Security Environment Managers die mitIhrem eingegebenen Lizenzcode verbundenen freigeschalteten Eigenschaften des Produktes anzeigenlassen. Ein grünes Häkchen bedeutet, dass Sie die jeweilige Eigenschaft des Produktes lizenziert habenund Ihnen diese damit zur Verfügung steht. Funktionen, die Ihnen nicht zur Verfügung stehen, werdenIhnen auch nicht angezeigt.Wenn Sie in dem Menüpunkt Eigenschaften des OpenLimit SignCubes Security Environment Managersauf den Knopf Lizenzinhaber klicken, wird Ihnen das Zertifikat desjenigen Benutzers angezeigt, der dieLizenz auf dem Rechner freigeschaltet hat. Wenn Sie selbst die Lizenz frei geschaltet haben, muss IhrZertifikat in diesem Dialog angezeigt werden.54

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie mehr Funktionen des Produktes nutzen möchten als Sie mit dem Lizenzcode freigeschaltethaben, können Sie einen entsprechenden Lizenzcode von der OpenLimit SignCubes AG oder einem ihrerVertriebspartner erwerben. Sie müssen in diesem Falle das Produkt nicht deinstallieren, sondern könnenauf den Button Lizenz-Upgrade klicken. In diesem Falle wird der Lizenzmanager erneut gestartet und Siekönnen über einen entsprechenden Lizenzcode die gewünschten Funktionen frei schalten.Hinweis: Geben Sie die Installationspfade der OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 nicht im Netzwerk für andere Benutzer frei.Vor Verwendung der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 sollten Sie nochmalsprüfen, ob die Lizenz korrekt ist, in dem Sie das OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 Icon, Eigenschaften anklicken und sich die verfügbaren Funktionen anzeigen lassen. Gleichfallssollten Sie das Zertifikat des Lizenzinhabers prüfen.Wenn der Lizenzierungsassistent beim Start der OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 erscheint, ist keine Lizenzdatei vorhanden. Wenn dies trotz erfolgreich durchgeführterLizenzierung auftritt, wurde eventuell die Lizenzdatei gelöscht. In diesem Falle sollten Sie die Integritätdes Betriebssystems mit einem geeigneten Programm (z.B. Virenscanner) überprüfen und sicherstellen,dass nicht unberechtigte Dritte auf Ihren Rechner zugreifen können.4.1.2 Option: Allgemeine EinstellungenWenn Sie im Kontextmenü des OpenLimit SignCubes Security Environment Managers auf Einstellungengeklickt haben, erscheint ein Dialog mit Registerkarten, die in den folgenden Abschnitten beschriebenwerden.Hinweis: Sie können die Einstellungen an den Registerkarten nur dann ändern, wenn Sie auch überAdministrationsrechte verfügen. Für das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 ist keine spezielle Administratorrolle definiert. Weitere Erläuterungen finden Sie im AbschnittKonfiguration der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2.55

Handbuch OpenLimit SignCubes 2.5.0.2Die folgenden Optionen können Sie hier einstellen:Autostart des OpenLimit SignCubes Security Environment Managers: Setzen das Häkchen inder Checkbox, wenn Sie möchten, dass der OpenLimit SignCubes Security EnvironmentManager automatisch beim Start des Betriebssystems gestartet wird. Diese Option wird bei derInstallation der Software aktiviert. Wenn Sie dieses Verhalten nicht möchten, können Sie dasHäkchen entfernen.Sprache: Hier wird Ihnen die aktuell eingestellte Sprache angezeigt. Das Produkt unterstütztdie Sprachen Deutsch und Englisch.Signaturformat: Hier haben Sie die Möglichkeit, das Dateiformat für zu signierende Dokumenteeinzustellen (Dokument und Signatur in einer Datei oder Dokument und Signatur in zweiverschiedenen Dateien). Diese Option hat keine Auswirkungen auf die sichere Anzeigeeinheit,d.h. der OpenLimit SignCubes Viewer erzeugt grundsätzlich PKCS#7 Signaturen (getrennteDateien). Die erzeugten Dokumentformate der sicheren Anzeigeeinheit sind im Kapitel56

Handbuch OpenLimit SignCubes 2.5.0.2Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2erläutert. Die Einstellung für XML-Signaturen wird wirksam, wenn die Signaturerzeugung derXML Daten über eine Drittanwendung gestartet wird. Weitere Informationen dazu finden Sie indem Abschnitt XML Signaturen.Attributzertifikate automatisch mitsignieren: Sofern dieser Haken gesetzt ist, werden bei derSignaturerzeugung alle unter dem Ordner 'Eigene Dateien\Attribute Certificates' vorhandenenAttributzertifikate dahingehend durchsucht, ob sie zu diesem Zertifikat dazu gehören. Fallsdies der Fall ist, wird das Attributzertifikat mitsigniert und dem Signaturzertifikat hinzugefügt.Signaturen automatisch mit Zeitstempel versehen: Hier können Sie den Signaturdatenautomatisch einen Zeitstempel hinzufügen. Der Zeitstempel wird jedoch nicht mitsigniert, d.h.,der Zeitstempel wird nicht durch die neu erstellte Signatur geschützt.Signaturen automatisch mit OCSP-Status versehen: Mit der Aktivierung dieser Funktion wirdautomatisch eine OCSP-Abfrage durchgeführt und das Abfrageergebnis wird den Signaturdatenhinzugefügt. Die OCSP-Antwort wird nicht durch die neu erstellte Signatur geschützt.Durch Anklicken des Buttons Ausgangskonfiguration werden die mit der Installationvorgenommenen Voreinstellungen wieder hergestellt. Durch die Anwendung dieses Befehlswerden nur die Einstellungen für den aktiven Benutzer zurück gesetzt, nicht jedoch dieEinstellungen, die für alle Benutzer gelten.Hinweis zur sicheren Konfiguration: Sie sollten den OpenLimit SignCubes Security Environment Managerautomatisch beim Start des Betriebssystems starten lassen. Es wird nur dann das Deaktivieren dieserOption empfohlen, wenn das PC/SC Subsystem nach dem OpenLimit SignCubes Security EnvironmentManager gestartet wird und dieser dadurch beim Start des Betriebssystems keine Kartenleser erkennt.Das Speichern der Originaldaten und der Signatur in einer Datei oder die Erzeugung einer abgetrenntenSignaturdatei haben keinen Einfluss auf die Sicherheit des Produktes OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2.Wenn Sie sich nicht sicher sind, ob sich Ihre Installation in der Originalkonfiguration befindet, verwendenSie bitte den Befehl Ausgangskonfiguration, um die von Ihnen vorgenommenen Änderungen zu verwerfen.Hinweis für die Einstellungen des Signaturformats: Wenn Sie die Einstellungen so treffen, dassVerbunddokumente beim Signaturvorgang erzeugt werden und Sie ein Dokument über die OpenLimitSignCubes Shell-Extension signieren, erhalten Sie ein Dokument mit der Endung '*.p7m'. Wenn Sie nundie Originaldaten ein weiteres Mal signieren möchten, werden Sie nach dem Namen der Ausgabedatei57

Handbuch OpenLimit SignCubes 2.5.0.2über einen 'Datei speichern unter...' Dialog gefragt, da die Signatur nicht dem '.p7m' Dokumenthinzugefügt wird. Wenn Sie den Dateinamen beibehalten, wird das Originaldokument überschrieben. Siekönnen aber auch einen anderen Dateinamen angeben, unter dem dieses Dokument dann abgelegt wird.Die OpenLimit SignCubes Shell-Extension ist kein Bestandteil der OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2, greift aber über eine ebenfalls zertifizierte Schnittstelle auf dieFunktionen des Produktes zurück.58

Handbuch OpenLimit SignCubes 2.5.0.24.1.3 Option: VerzeichnisseSie haben im Register Verzeichnisse die Möglichkeit, die Verzeichnisse für Sperrlisten undStammzertifikate, die von der Software verwendet werden, umzukonfigurieren. Machen Sie von dieserMöglichkeit nur dann Gebrauch, wenn Sie sich sicher sind, dass Sie verstanden haben, wozu dieseVerzeichnisse von der Software genutzt werden.Unter dem Register Verzeichnisse können die Speicherpfade für sicherheitsrelevante Dateien festgelegtwerden. Standardmäßig steht der Pfad auf C:\Programme\OpenLimit\Data\ und dann der Name desjeweiligen Ordners.Was bedeutet sicherheitsrelevant? Beispiel Sperrlisten: Das Produkt OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 verwendet bei der Prüfung von Signaturen Sperrlisten, um die59

Handbuch OpenLimit SignCubes 2.5.0.2Gültigkeit des Signaturzertifikates bei der Signaturerzeugung zu überprüfen. Die Sperrlisten, die Siemanuell vom Sperrlistenverteilungspunkt abrufen, werden im Verzeichnis für Sperrlisten gespeichert.Wenn Sie die Verzeichnisse für die Sperrlisten ändern, sollten Sie entweder die in diesem Verzeichnis beider Softwareinstallation abgelegten Dateien ebenfalls in das geänderte Verzeichnis kopieren oder nachder Umstellung der Verzeichnisse alle Sperrlisten erneut anfordern. Sonst kann die korrekteSignaturprüfung durch das Produkt nicht gewährleistet werden.Sperrlisten: Certificate Revocation Lists (CRLs) sind Listen mit gesperrten Zertifikaten, die vonden Trustcentern herausgegeben werden. Anhand der Sperrlisten wird geprüft, ob dasverwendete Signaturzertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt war.PKDs: (Public Key Directories) sind Verzeichnisse, in denen die öffentlichen Schlüssel, d.h., dieZertifikate von verschiedenen Herausgebern gelistet sind. Hier sind derzeit die von derBundesnetzagentur herausgegebenen CA-Zertifikate enthalten.CTLs: (Certificate Trust Lists) sind Verzeichnisse, in denen vertrauenswürdige Wurzelzertifikateabgelegt werden können. Das Zertifikat der Bundesnetzagentur, dem wir generell vertrauen, istin der Software integriert. Wenn Sie einer anderen Wurzel vertrauen möchten, speichern Siedas Zertifikat in diesem Ordner und legen Sie die CA-Zertifikate auch unter den PKDs ab.Wenn sie die Verzeichniseinstellungen falsch konfigurieren oder nicht alle notwendigen Schrittevornehmen, damit die Verzeichnisse von den OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 richtig genutzt werden können, ist ein scheinbares Fehlverhalten der Software möglich. DurchIhre Einstellungen konfigurieren Sie selbst, welchen Zertifikaten Sie vertrauen und welchen nicht.Hinweis: Wenn Sie die Verzeichnisse ändern, dürfen die neuen Verzeichnisse nicht schreibgeschützt sein,da sonst das Ablegen von Sperrlisten in dem Verzeichnis fehlschlägt.Hinweis für die sichere Konfiguration: Sie sollten die Einstellungen der Verzeichnisse nicht ändern. WennSie die Verzeichnisse ändern, beeinflussen Sie das Sicherheitsverhalten des Produktes. Sie sollten dieseEinstellungen nur ändern, wenn Sie die obigen Ausführungen richtig verstanden haben.4.1.4 Option: PIN-AbfrageIn diesem Register können Sie die Optionen für die PIN-Eingabe konfigurieren. Gehen Sie sensibel mitden einstellbaren Optionen um, da ein Missbrauch Ihrer Signaturkarte durch falsches oder unachtsamesVorgehen mit diesen Optionen erleichtert werden könnte.60

Handbuch OpenLimit SignCubes 2.5.0.2In diesem Dialog sind Optionen aufgeführt, welche die Eingabe oder Abfrage der PIN (personalidentification number) betreffen:Sichere PIN-Eingabe automatisch verwenden: Diese Option garantiert, dass bei Kartenlesern,welche die sichere PIN-Eingabe unterstützen, diese auch automatisch verwendet wird. DieseOption kann in der ausgelieferten Konfiguration nicht abgewählt werden und sollte für einesichere Konfiguration des Produktes immer aktiviert sein. Wenn Sie nicht die sichere PIN-Eingabe verwenden, steigt die Gefahr des Ausspähens der PIN durch entsprechendeProgramme.Karte für mehrere Arbeitsschritte öffnen: Wenn Sie größere Arbeitsaufgaben vor sich haben, dieeine ständige Wiederholung der PIN-Eingabe erfordern, können Sie auch die Karte öffnen.Dann wird die PIN einmalig beim ersten Signaturvorgang abgefragt. Weitere Eingaben sindnicht mehr erforderlich in Abhängigkeit von Ihren weiteren Einstellungen. Dies ist61

Handbuch OpenLimit SignCubes 2.5.0.2beispielsweise sehr praktisch, wenn man eine Vielzahl von Dokumenten entschlüsseln muss.Auch die Signatur von zahlreichen Dateien kann so zeitsparend erledigt werden.Diese Funktion ist für die in dem Kapitel Chipkarten genannten Karten nur für die fortgeschritteneSignatur verfügbar.PIN abfragen: Falls Sie die Karte für mehrere Arbeitsschritte öffnen wollen, haben Siezusätzlich die Möglichkeit, diese Option einzuschränken.Für qualifizierte Signaturen, fortgeschrittene Signaturen und für Entschlüsselung stehen folgendeVarianten zur Verfügung:bei jeder Verwendung: Jedes Mal wird die PIN abgefragt.automatisch mit Begrenzung: Je nach Begrenzung ist die Benutzung eingeschränkt.keine weitere Abfrage: Die PIN muss nicht mehr eingegeben werden.Beispiel: Wenn Sie nur Entschlüsseln möchten, dann stellen sie die Auswahl bei qualifizierten undsonstigen Signaturen auf bei jeder Verwendung und bei Entschlüsseln auf keine weitere Abfrage.Begrenzung: Haben Sie oben auf automatisch mit Begrenzung gestellt, können Sie unten eineBegrenzung nach Anzahl oder Zeit eingeben. Wenn Sie die Parameter gesetzt haben undwährend des Arbeitens mit der Karte die Parameter ändern, müssen Sie die Karte ziehen undneu in das Chipkarten-Terminal stecken, damit die geänderten Einstellungen wirksam werden.Sicherheitshinweis: Wenn Sie die Optionen so konfigurieren, dass Sie keine PIN mehr eingeben müssen,gehen Sie ein erhöhtes Risiko des Missbrauchs Ihrer Signaturkarte ein. Sie sollten diese Optionen nurdann verwenden, wenn Ihr Rechner sicher frei von bösartiger Software wie Viren und BackdoorProgrammen ist. Weiterhin sollten Sie Ihre Signaturkarte immer aus dem Kartenleser entfernen, sobaldSie den Arbeitsplatz verlassen. Wenn Sie diese Mindestsicherheitsanforderungen nicht befolgen, könnenunberechtigte Dritte mit Ihrer Karte Signaturen erzeugen, die vor dem Gesetzgeber den Wert Ihrerpersönlichen Unterschrift haben. Vor diesen Szenarien können Sie sich nur selbst durch denverantwortungsvollen Umgang mit Ihrer Signaturkarte schützen.Hinweis: Das 'Offen Halten' für mehrere Arbeitsschritte wird nur von Chip-Karten unterstützt, die durchdas Trust-Center in dieser Konfiguration ausgeliefert werden.Hinweis zur sicheren Konfiguration: Die Option Sichere PIN-Eingabe automatisch verwenden mussaktiviert sein. Diese Option zwingt das Produkt, die sichere PIN-Eingabe automatisch zu verwenden.62

Handbuch OpenLimit SignCubes 2.5.0.2Die Option Karte für mehrere Arbeitsschritte öffnen sollte deaktiviert sein. Wenn Sie die Karte fürmehrere Arbeitsschritte geöffnet halten, gehen Sie das Risiko eines Missbrauchs Ihrer Karte durch Dritteein. Dieses Risiko kann durch die Software nur bedingt abgewehrt werden. In diesem Falle gelten dieerhöhten Sicherheitsauflagen der Chipkarten für diesen Betriebsmodus. Mehr Informationen finden Sieim Abschnitt Chipkarten.63

Handbuch OpenLimit SignCubes 2.5.0.24.1.5 Option: ZertifikateIm Register Zertifikate können Sie Einstellungen für den Umgang mit den vorhandenen Zertifikatenvornehmen.Wenn Sie die Option bei Signatur nur verfügbare Zertifikate anzeigen wählen, werden automatisch nurdie Zertifikate verwendet, die auf der eingelegten Chipkarte zur Verfügung stehen. Wenn Sie diese Optiondeaktivieren, werden ebenfalls auch Zertifikate anderer Personen berücksichtigt, die an diesemArbeitsplatz arbeiten. Sie beeinflussen also den Umgang mit den Zertifikaten durch das Produkt.Hinweis: Grundsätzlich wird die Erzeugung einer elektronischen Signatur immer auf der eingelegtenChipkarte vorgenommen. Wenn Sie auch Zertifikate anderer Personen bei der Signaturerzeugungangezeigt bekommen, bedeutet dies nicht, dass Sie auch eine Signatur mit diesem Zertifikat erzeugen64

Handbuch OpenLimit SignCubes 2.5.0.2können. Das Produkt wird Ihnen lediglich mitteilen, dass Sie die entsprechende Chipkarte in dasKartenterminal einlegen müssen.Die Option SmartCard-Zertifikate automatisch registrieren bedeutet, dass die auf der Chipkartevorhandenen Zertifikate automatisch im Microsoft Zertifikatsspeicher registriert werden.Die Option Automatisch registrierte Zertifikate ständig verfügbar halten bedeutet, dass die von derChipkarte registrierten Zertifikate auch nach der Entnahme aus dem Chipkarten Terminal im MicrosoftZertifikatsspeicher verfügbar bleiben. Wenn Sie diese Option deaktivieren, werden die vorherregistrierten Zertifikate automatisch wieder deregistriert.Hinweis zur sicheren Konfiguration: Die angebotene Option bei Signatur nur verfügbare Zertifikateanzeigen hat keinen Einfluss auf das Sicherheitsverhalten des Produktes.Die angebotene Option SmartCard-Zertifikate automatisch registrieren hat keinen Einfluss auf dasSicherheitsverhalten des Produktes.Die angebotene Option Automatisch registrierte Zertifikate ständig verfügbar halten hat keinen Einflussauf das Sicherheitsverhalten des Produktes.65

Handbuch OpenLimit SignCubes 2.5.0.24.1.6 Option: AlgorithmenIm Register Algorithmen haben Sie die Möglichkeit, den bei der Signaturerzeugung zu verwendendenHashalgorithmus einzustellen bzw. die für die Ver- und Entschlüsselung zum Einsatz kommendenVerschlüsselungsalgorithmen auszuwählen.Die für die Signaturerzeugung zur Verfügung gestellten Algorithmen entsprechen dem Signaturgesetz.Hinweis zur sicheren Konfiguration: Grundsätzlich sollten Sie die standardmäßig eingestellten undempfohlenen Algorithmen verwenden. Das ist für die Signaturerzeugung SHA-256 und für die Ver- undEntschlüsselung 3DES. Der Hash - Algorithmus SHA-1 steht zur Einstellung zur Verfügung, ist aber für denEinsatz qualifizierter Signaturen ab 2008 nicht mehr zulässig.66

Handbuch OpenLimit SignCubes 2.5.0.2Für die Ver- bzw. Entschlüsselung sollten Sie nur dann andere Einstellungen vornehmen, wenn es ausGründen der Kompatibilität mit anderen Programmen notwendig ist.4.2 Chipkarten OptionenMit einem Klick auf das gelbe Chipsymbol (vorausgesetzt die Karte befindet sich im Kartenleser) wird dasKontextmenü geöffnet. Die Menüpunkte betreffen Funktionalitäten, die im Zusammenhang mit der Karteoder dem Kartenleser stehen.Die folgenden Punkte werden im Chipkarten Menü angeboten:Verschlüsselungszertifikat exportieren: Mit dieser Option können Sie dasVerschlüsselungszertifikat von Ihrer Chipkarte in eine Datei speichern. Weitere Informationenerhalten Sie in dem Kapitel Zertifikate exportieren. Diese Funktion ist nur dann verfügbar, wennSie über ein Verschlüsselungszertifikat verfügen. Ob Sie über ein solches Zertifikat verfügen,können Sie im Menüpunkt Eigenschaften an Hand der aufgelisteten Zertifikate auf IhrerChipkarte überprüfen.Eigenschaften: Die Eigenschaften des installierten Kartenlesers werden hier angezeigt. Ist eineKarte im Kartenleser vorhanden, werden auch die Karteneigenschaften, wie die Kartennummerund das Zertifikat angezeigt. Weitere Informationen erhalten Sie in dem Kapitel Eigenschaften.Einstellungen: Dieser Menüpunkt wird in den Konfigurationsoptionen des OpenLimit SignCubesSecurity Environment Managers erläutert.Info: Hier werden Copyright- und Versionsinformationen angezeigt.Beenden: Mit diesem Menüpunkt wird der OpenLimit SignCubes Security Environment Managergeschlossen.67

Handbuch OpenLimit SignCubes 2.5.0.24.3 EigenschaftenDurch Anklicken des gelben Chipsymbols in der Taskleiste (Karte befindet sich im Kartenleser) undAuswahl des Menüpunktes Eigenschaften erhalten Sie folgende Informationen:Unter dem Register Kartenleser werden die Bezeichnung des Kartenlesers und die Ansteuerung desKartenlesers angezeigt. Bei Kartenlesern mit sicherer PIN Eingabe wird auf diese Funktion als Ergänzungzum Kartenleser hingewiesen.68

Handbuch OpenLimit SignCubes 2.5.0.2Unter dem Register Karte sehen Sie die Bezeichnung der Karte (meist mit Herausgeber), dieKartennummer und das Betriebssystem der Karte.69

Handbuch OpenLimit SignCubes 2.5.0.2Unter dem Register PIN's werden die zu den Zertifikaten der im Kartenleser steckenden Karte gültigenPIN's angezeigt. Nach Auswahl eines PIN's werden in dem unteren Fenster als Detailinformationen dieminimale Länge und sofern vorhanden die maximale Länge angezeigt. Gleichzeitig werden dieSchaltflächen für weitere Funktionen aktiv. In Abhängigkeit von der Zulässigkeit stehen die FunktionenFreischalten, Ändern und Entsperren zur Verfügung.70

Handbuch OpenLimit SignCubes 2.5.0.2Unter dem Register Zertifikate werden die Zertifikate der Karte, die im Leser steckt, angezeigt. NachAnklicken eines Zertifikats in der Liste werden in dem unteren Fenster die Einzelinformationen angezeigt.Im Abschnitt Zertifikate exportieren können Sie nachlesen, wie Sie die auf Ihrer Karte vorhandenenZertifikate in eine Datei speichern können, um auch anderen Kommunikationspartnern Ihre Zertifikate zuschicken.In dem Abschnitt Attributzertifkate werden weitere Information zum Handling mit denSignaturzertifikaten zugehörigen Attributen gegeben.Hinweis zur sicheren Konfiguration: Es werden keine Optionen zur Verfügung gestellt, die einen Einflussauf das Sicherheitsverhalten des Produktes haben.71

Handbuch OpenLimit SignCubes 2.5.0.24.3.1 Zertifikate exportierenDamit Sie Ihren Kommunikationspartnern Ihr Verschlüsselungszertifikat schicken können, müssen Sie eszunächst aus der Karte extrahieren und in eine Datei exportieren. Diese Datei können Sie dann einfachper E-Mail verschicken.Stecken Sie die Karte in den Leser und achten Sie darauf, dass sie erkannt wird.Klicken Sie das gelbe Chip-Symbol in der Taskleiste an.Wählen Sie den Punkt Verschlüsselungszertifikat exportieren.Im Fenster Zertifikat exportieren wird der Dateiname angegeben und der Speicherortausgewählt. Wahrscheinlich werden Sie den Namen des Zertifikatsinhabers, also Ihreneigenen, angeben wollen.Mit einem Klick auf Speichern, ist das Zertifikat als *.cer Datei gespeichert und kann für jedeStandard-Verschlüsselungssoftware benutzt werden.72

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis zur sicheren Konfiguration: Es werden keine Optionen angeboten, die einen Einfluss auf dasSicherheitsverhalten des Produktes haben können.4.3.2 PIN ändernIm OpenLimit SignCubes Security Environment Manager können Sie die PIN bzw. PIN's Ihrer Smartcardjederzeit ändern. Dies sollten Sie tun, wenn Sie das Gefühl haben, dass andere Personen Ihre PINkennen.Wählen Sie nach Anklicken des gelben Chipsymbols in der Taskleiste Eigenschaften und anschließenddas Register PINs.Wählen Sie die zu ändernde PIN und klicken Sie auf Ändern. Geben Sie dann die aktuelle PIN ein, um dieÄnderung überhaupt zu ermöglichen.73

Handbuch OpenLimit SignCubes 2.5.0.2Danach wird nach der neuen PIN gefragt. Geben Sie diese ein und bestätigen Sie mit OK.Die neue PIN muss nochmals bestätigt werden. Geben Sie diese ein weiteres Mal ein.Sie haben die PIN jetzt geändert.74

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis zur sicheren Konfiguration: Verwenden Sie niemals eine triviale PIN, die den Missbrauch IhrerKarte durch Dritte erleichtern könnte und notieren Sie die PIN niemals auf der Karte oder an Orten, woDritte in die Kenntnis Ihrer PIN gelangen könnten. Verwenden Sie nur Kartenleser mit sicherer PIN-Eingabe, um die PIN Ihrer Chip-Karte zu ändern. Stellen Sie sicher, dass die Eingabe der neuen PIN nichtdurch Dritte beobachtet wird, da diese dadurch in Kenntnis Ihrer PIN gelangen könnten.5 Arbeiten mit den OpenLimit SignCubes BasiskomponentenDie folgenden Abschnitte beschreiben den Umgang mit den einzelnen Bestandteilen der OpenLimitSignCubes Basiskomponenten 2.5, Version 2.5.0.2. Dieses Kapitel soll Ihnen den Umgang mit demProdukt erleichtern und Ihnen dabei helfen, schnell mit den einzelnen Programmfunktionen vertraut zuwerden.5.1 Arbeiten mit dem OpenLimit SignCubes Security Environment ManagerDer OpenLimit SignCubes Security Environment Manager ist als zentraler Bestandteil der AnwendungOpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 für die Bereitstellung und Überwachungaller Sicherheitsaufgaben des Produktes verantwortlich. Für Sie als Benutzer sind vor allem diefolgenden Punkte relevant:Der OpenLimit SignCubes Security Environment Manager verwaltet die angeschlossenen Kartenleser undüberwacht die eingelegten Chipkarten.Der OpenLimit SignCubes Security Environment Manager bietet Ihnen Optionen zur Auswahl an, welchedie Chipkarte und die erzeugten Dokumente betreffen. Zur Konfiguration dieser Optionen müssen Sieüber Administrationsrechte auf Ihrem Rechner verfügen.75

Handbuch OpenLimit SignCubes 2.5.0.2Als Standard wird der OpenLimit SignCubes Security Environment Manager automatisch beim Start desBetriebssystems gestartet. Sie haben allerdings die Möglichkeit, dieses Verhalten in denKonfigurationseinstellungen des OpenLimit SignCubes Security Environment Managers zu verändern undmüssen diesen dann manuell starten.Während der Arbeit mit dem OpenLimit SignCubes Security Environment Manager werden Sie durchentsprechende Statusmeldungen über den jeweiligen Bearbeitungsstand informiert:Sie haben eine Chipkarte in den Kartenleser gesteckt, diese wird erkannt und identifiziert:Sie haben den Befehl Signatur erzeugen aktiviert, es läuft die Datenaufbereitung (Hashwertberechnung)bzw. die Signaturerzeugung.Nach dem Aufbereiten der Daten werden Sie zur PIN Eingabe über die sichere PIN-Eingabe aufgefordert.Sie haben den Befehl Signatur prüfen aktiviert, es läuft die Hashwertberechnung und der Abgleich mitden Sperrlisten.Falls Ihnen diese Informationen nicht mehr angezeigt werden sollen, haben Sie die Möglichkeit, durchAnklicken der Option ausblenden, die Anzeige zu unterdrücken.Hinweis: Wenn der OpenLimit SignCubes Security Environment Manager gestartet wurde, erscheint dasOpenLimit Icon in der Taskleiste neben der Uhrzeit.76

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis für den manuellen Start: Unter dem folgenden Menüpunkt können Sie den OpenLimit SignCubesSecurity Environment Manager manuell starten. Das Programmverzeichnis kann je nach verwendeterSpracheinstellung variieren. Diese Hilfe beschreibt den Umgang mit einem deutschsprachigenBetriebssystem.Start – Programme – OpenLimit SignCubes - OpenLimit SignCubes ManagerACHTUNG: Um die Funktionen der Software nutzen zu können, muss der OpenLimit SignCubes SecurityEnvironment Manager gestartet sein. Andernfalls haben Sie keinen Zugang zu den Funktionen desProduktes. Wenn keine Gründe existieren, den OpenLimit SignCubes Security Environment Managermanuell zu starten, dann lassen Sie die Option auf „automatisch starten“ eingestellt.Der OpenLimit SignCubes Security Environment Manager kann mehrere Kartenleser und Chipkartenparallel verwalten. Welche Kartenleser und Chipkarten unterstützt werden, ist in dem AbschnittKartenleser bzw. Chipkarten im Detail ausgeführt.Für jeden erkannten Kartenleser erscheint ein graues Chip-Symbol in der Taskleiste, wenn keine Karte imKartenleser vorhanden ist. Ist eine Chipkarte im Kartenleser vorhanden, erscheint für jede erkannteChipkarte ein gelbes Chip-Symbol in der Taskleiste.Erkennung einer Chipkarte durch den OpenLimit SignCubes Security Environment ManagerSteckt keine Karte im Kartenleser, wird für jeden erkannten Kartenleser ein graues Chip Symbolangezeigt.Wenn Sie die Karte in den Leser stecken, wird das Symbol gelb und bekommt ein grünes Fragezeichen(achten Sie darauf, dass die Karte im Leser einrastet).Hat der OpenLimit SignCubes Security Environment Manager die Karte richtig erkannt, verschwindet dasFragezeichen und der Chip ist gelb. Der erkannte Kartentyp wird automatisch angezeigt.77

Handbuch OpenLimit SignCubes 2.5.0.2Jetzt können Sie mit der eingelegten Chipkarte arbeiten. Wenn bereits vor dem Start des OpenLimitSignCubes Security Environment Managers eine Chipkarte in den Kartenleser eingelegt wurde, erkenntdieser die Karte automatisch.Ein gelber Chip mit rotem Kreuz bzw. rotem Fragezeichen erscheint, wenn die Karte verkehrt in den Lesergesteckt wurde oder eine Karte verwendet wurde, die nicht kompatibel ist.Die verwendbaren Karten sind in dem Abschnitt Chipkarten aufgeführt.Ist das Chip-Symbol in der Taskleiste rot, bedeutet dies, dass die Karte geöffnet ist oder Operationen,wie z.B. die Hashwertverschlüsselung auf der Chipkarte ausgeführt werden.Karte „geöffnet“ bedeutet, dass Sie mehrere Operationen hintereinander ausführen können, ohne erneutdie PIN eingeben zu müssen. Das kann sinnvoll sein, wenn Sie mehrere Dokumente hintereinandersignieren möchten. Aus Sicherheitsgründen sollten Sie diese Möglichkeit nur dann nutzen, wenn Sie sichabsolut sicher sind, dass kein Missbrauch mit der Karte vorgenommen werden kann. Verlassen Sie nieIhren Arbeitsplatz, ohne vorher die Karte aus dem Kartenleser zu entnehmen. Unberechtigte Personenkönnten sonst diesen Umstand ausnutzen und Signaturen mit Ihrer Chipkarte erzeugen.Beim Klicken auf die Icons in der Taskleiste bekommen Sie verschiedene Menüs angeboten. Wenn sieauf das Icon des OpenLimit SignCubes Security Environment Manager klicken, wird Ihnen dasKonfigurationsmenü für den OpenLimit SignCubes Security Environment Manager angeboten. Für dieseOptionen benötigen Sie Administrationsrechte auf ihrem Arbeitsrechner. Wenn Sie auf das graueChipsymbol klicken, bekommen Sie ein eingeschränktes Menü angeboten, in welchem Sie sichInformationen zum verwendeten Kartenleser anzeigen lassen können. Wenn Sie nach dem Einlegen derChipkarte auf das gelbe Chipsymbol klicken, bekommen Sie ein Menü für die jeweilige Chipkarteangeboten. Die angebotenen Menüpunkte werden ebenso wie die Menüpunkte für den OpenLimitSignCubes Security Environment Manager im Kapitel Konfiguration der OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 behandelt.Hinweis: Wenn der OpenLimit SignCubes Security Environment Manager Daten verarbeitet, rotiert dasIcon des OpenLimit SignCubes Security Environment Managers in der Taskleiste im Uhrzeigersinn, um zuverdeutlichen, dass momentan eine Operation ausgeführt wird. Wenn Sie also große Datenmengensignieren wollen (z.B. ein Dokument mit einer Größe von 300 MB), haben Sie immer eine Informationdarüber, dass momentan Daten verarbeitet werden. Wenn Sie mit der Maus über das Icon in der78

Handbuch OpenLimit SignCubes 2.5.0.2Taskleiste fahren, werden Sie sehen, dass auch der Tooltip-Text des OpenLimit SignCubes SecurityEnvironment Managers Ihnen mit der Meldung 'Daten werden bearbeitet' eine entsprechendeInformation gibt.Hinweis: Der OpenLimit SignCubes Security Environment Manager reagiert für die Kartenleser SPR 332und SPR 532 der Firma SCM Microsystems an der USB-Schnittstelle auf die Plug & Play Ereignisse desBetriebssystems. Wenn Sie also einen solchen Kartenleser verwenden, haben Sie die Möglichkeit, beilaufendem OpenLimit SignCubes Security Environment Manager einen solchen Kartenleser hinzu zunehmen oder von der USB Schnittstelle zu entfernen. Für jeden angesteckten Kartenleser wird ein neuesChipsymbol angezeigt und der Tooltipp an diesem Icon teilt Ihnen mit, um welchen Kartenleser es sichhandelt. Nachdem Ihnen das Chip-Symbol angezeigt wird, ist der Kartenleser voll einsatzbereit. Um dieseEigenschaften nutzen zu können, müssen Sie den korrekten Treiber des Herstellers für diesen Kartenleserinstalliert haben. Sind keine Treiber vorhanden, kann das Produkt auch nicht mit dem Kartenleserarbeiten bzw. diesen auch nicht erkennen.5.2 SignaturverifikationDer folgende Abschnitt beschreibt, wie Sie eine Signaturprüfung unter Verwendung des ProduktesOpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 vornehmen können. Grundsätzlichvertraut das Produkt dem Wurzelzertifikat der Bundesnetzagentur für Elektrizität, Gas,Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur). Aber auch andere Wurzelzertifikatekönnen im Betriebssystem als vertrauenswürdig bereitgestellt werden.Grundsätzlich gilt: Wenn Sie mit abgesetzten Signaturen arbeiten, muss die Signaturdatei den gleichenNamen wie das Originaldokument mit der zusätzlichen Endung '.p7s' tragen. Dies ist Voraussetzung,damit der OpenLimit SignCubes Security Environment Manager die zugehörigen Originaldaten erkennenund die Signatur verifizieren kann.Verfahren zur Signaturprüfung durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2Im ersten Schritt wird immer überprüft, ob die elektronische Signatur mathematisch korrekt ist. Diesbedeutet, dass bei der Signaturprüfung die OpenLimit SignCubes Basiskomponenten 2.5, v2.5.0.2 diePrüfsumme (den Hashwert) über die signierten Daten grundsätzlich erneut berechnen und dievorliegende Signatur gegen diesen neu berechneten Hashwert prüfen. Ist diese Prüfung erfolgreich, dann79

Handbuch OpenLimit SignCubes 2.5.0.2ist die Signatur mathematisch korrekt. Es kann jedoch noch keine Aussage zur tatsächlichen Gültigkeitder elektronischen Signatur getroffen werden. Dafür wird in einem weiteren Schritt die Gültigkeit derZertifikate, angefangen beim verwendeten Signaturzertifikat bis hin zur Wurzel der Zertifikatskettegeprüft.Zur Ermittlung der Zertifikatskette werden die in den Signaturdaten enthaltenen Zertifikateherangezogen. Kann die Zertifikatskette aus den verfügbaren Signaturdaten nicht ermittelt werden,können die OpenLimit SignCubes Basiskomponenten auf alternative Zertifikatsspeicher, wie denMicrosoft Zertifikatsspeicher oder die Festplatte zurück greifen. Kann die Zertifikatskette nicht gebildetwerden, dann treffen die OpenLimit SignCubes Basiskomponenten keine Aussage zur Gültigkeit dergeprüften elektronischen Signatur. Es wird angezeigt, dass die Signatur mathematisch korrekt ist. Eswird jedoch weiterhin angezeigt, dass benötigte Zertifikate in der Zertifikatskette fehlen und somit keineabschließende Aussage zur Gültigkeit der elektronischen Signatur getroffen werden kann.War die Ermittlung des Zertifikatspfades erfolgreich, wird dieser einer Prüfung nach dem Schalenmodellunterworfen. Das Schalenmodell besagt, dass alle Zertifikate im Zertifikatspfad zum Signaturzeitpunktgültig und nicht zurückgezogen sein müssen, damit die Signatur als gültig verifiziert werden kann. Istdiese Prüfung erfolgreich und die Zertifikatskette vollständig, wird dem Benutzer angezeigt, dass dieSignatur gültig ist.Allgemeine Anforderungen bei der Prüfung elektronischer SignaturenDie OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 prüfen die Zertifikate einer Kette injedem Falle gegen die zur Verfügung stehenden Sperrlisten. Wird ein entsprechender Sperreintrag füreines der geprüften Zertifikate gefunden, so wird Ihnen dieser Sperrstatus auch zur Kenntnis gebracht.Hinweis: Achten Sie bitte darauf, dass stets aktuelle Sperrlisten bei der Signaturprüfung zur Verfügungstehen.Da die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 die lokale Systemzeit zurCodierung des Signaturzeitpunktes verwendet, ist die korrekte Einstellung der Systemzeit notwendig. Siesind als Nutzer der OpenLimit SignCubes Basiskomponenten für die Korrektheit der Systemzeitverantwortlich. In allen anderen Fällen kann die Prüfung, insbesondere nach dem Kettenmodell, durchdas Produkt nicht zuverlässig vorgenommen werden. Durch die Prüfung nach dem Schalen- und demKettenmodell verwendet das Produkt zwei voneinander unabhängig arbeitende Prüfmechanismen, diejedoch beide auf Sperrlisten angewiesen sind, welche die oben genannten Bedingungen an denHerausgabezeitpunkt erfüllen.80

Handbuch OpenLimit SignCubes 2.5.0.2Ist in der Signaturdatei ein Zeitstempel vorhanden, wird auch eine Aussage zur Gültigkeit der Signatur andem Zeitpunkt geliefert, den der Zeitstempel ausweist. Um die vollständige Gültigkeit des Zeitstempelszu prüfen, müssen Sie den Detaildialog für Zeitstempel verwenden. Nähere Informationen hierzu findenSie im Kapitel Zeitstempeldienste.Hinweis: Ist in dem Signaturabschnitt kein Zeitpunkt der Signaturerzeugung enthalten, wird die aktuelleSystemzeit als Prüfzeitpunkt verwendet und angezeigt.Hinweis: Bei der Signaturprüfung müssen Sie immer den Zertifikatspfad des geprüften Signaturzertifikatsüberprüfen. Das Produkt verwendet auch vertrauenswürdige Stammzertifikate aus dem MicrosoftZertifikatsspeicher, d.h., es kann zu der Aussage kommen, dass die geprüfte Signatur gültig ist, obwohlSie dem Wurzelzertifikat nicht vertrauen. Die Gültigkeit der elektronischen Signatur ist im technischenSinne zwar korrekt, aber evtl. wollen Sie als Benutzer dem Stammzertifikat nicht vertrauen. Daher ist diePrüfung des Zertifikatspfades unerlässlich. Diese Prüfung können Sie vornehmen, in dem Sie sich dasSignaturzertifikat über Details anzeigen lassen und im Zertifikatsdialog das Register Zertifizierungspfadauswählen.Wenn ein Wurzelzertifikat bei der Signaturprüfung gefunden wurde, geben die OpenLimit SignCubesBasiskomponenten den Ablageort an.Die Zertifikate der Bundesnetzagentur sind den OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 durch signierte Vertrauenslisten bekannt. In diesem Fall benennt das Produkt das verwendeteWurzelzertifikat als 'Vertrauenswürdiges Zertifikat'.Wurde das Zertifikat aus dem Microsoft Stammspeicher für vertrauenswürdigeStammzertifizierungsstellen bezogen, zeigt das Produkt im Zertifizierungspfad ,Zertifikat aus demMicrosoft Stammspeicher für vertrauenswürdige Zertifikate' an.Wurde das Zertifikat aus dem CTL Verzeichnis des Produktes bezogen, zeigt das Produkt ,Zertifikat ausdem CTL Verzeichnis' an.Diese Information wird nur angezeigt, wenn ein Wurzelzertifikat im Zertifizierungspfad gefunden wurde.Hinweis: Wenn Sie ein PDF-Dokument prüfen, welches mehrere eingebettete Signaturen enthält, müssenSie im Prüfdialog den Befehl 'Daten anzeigen' verwenden, um diejenige Dokumentversion zu sehen, aufdie sich die jeweilige Unterschrift bezieht.Das PDF Format erlaubt nach einer Signatur, das Dokument weiter zu ändern. Die elektronischeUnterschrift bezieht sich jedoch immer auf die konkrete Version des Dokuments, die Sie nur aus dem81

Handbuch OpenLimit SignCubes 2.5.0.2Prüfdialog heraus eindeutig anzeigen lassen können. Das bedeutet auch, dass die Signatur nicht für dasgeänderte Dokument gilt, sondern exakt für die Dokumentversion, die Ihnen im Prüfdialog über denOpenLimit SignCubes Viewer angezeigt wird.Prüfung qualifizierter elektronischer SignaturenGrundsätzlich wird bei jeder vorliegenden Signatur geprüft, ob dies eine qualifizierte elektronischeSignatur ist. Die OpenLimit SignCubes Basiskomponenten ermitteln dies an mehreren Kriterien: Dasverwendete Signaturzertifikat muss das Attribut QC-Statement mit dem Wert EU-QC-konform oder SigGkonformaufweisen. Des Weiteren muss das verwendete Signaturzertifikat von einem angezeigten oderakkreditierten Zertifizierungsdiensteanbieter herausgegeben worden sein. Die OpenLimit SignCubesBasiskomponenten 2.5, v2.5.0.2 verfügen über eigene Verwaltungsmechanismen für diese Einstufung.Die Zertifikate der ZDA's und der Bundesnetzagentur müssen in einer signierten Vertrauenslistevorliegen, die ausschließlich durch OpenLimit gepflegt wird.Treffen die genannten Kriterien zu, so erfolgt die Prüfung der Zertifikatskette nach dem Kettenmodell.Dieses Gültigkeitsmodell für Zertifikatsketten erlaubt, dass elektronische Signaturen mit Zertifikatenerzeugt werden können, deren Herausgeberzertifikate zum Zeitpunkt der Signaturerstellung bereitsabgelaufen sind. Dies erlaubt eine kürzere Laufzeit einzelner Zertifikat in der Zertifikatskette und erhöhtsomit die Sicherheit der in Deutschland verwendeten Zertifikatsinfrastruktur. In allen anderen Fällenerfolgt die Prüfung nach dem so genannten Schalenmodell.Die OpenLimit SignCubes Basiskomponenten zeigen in eindeutiger Art und Weise an, ob dasHerausgeberzertifikat als angezeigter oder akkreditierter Zertifizierungsdiensteanbieter in der aktuellverwendeten Vertrauensliste enthalten ist. Ist dies der Fall, wurde die Signatur nach dem Kettenmodellgeprüft. Alle anderen Signaturen, die mit den OpenLimit SignCubes Basiskomponenten 2.5, v2.5.0.2geprüft werden, werden unter Verwendung des Schalenmodells geprüft. Detaillierte Informationen zu denverschiedenen Prüfmodellen finden Sie auf der Webseite der Bundesnetzagenturhttp://www.bundesnetzagentur.de .Für beide Gültigkeitsmodelle gilt, dass das verwendete Signaturzertifikat zumSignaturerzeugungszeitpunkt gültig sein muss. Das Herausgeberzertifikat kann beim Kettenmodellbereits abgelaufen sein, beim Schalenmodell ist dies nicht zulässig. In keinem von beidenGültigkeitsmodellen darf eines der Zertifikate in der Kette zurückgezogen sein, z.B. wegen Bruch desSignaturschlüssels.82

Handbuch OpenLimit SignCubes 2.5.0.2Besonderheiten im Zusammenhang mit dem Katalog zulässiger AlgorithmenDie Bundesnetzagentur veröffentlicht jedes Jahr einen so genannten Algorithmenkatalog, der dieVerwendung der zulässigen Algorithmen für die qualifizierte elektronische Signatur regelt. DieserAlgorithmenkatalog wird durch die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2abgebildet. Dies bedeutet, dass die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2überprüfen, ob der verwendete Algorithmus und der verwendete Signaturschlüssel den Anforderungen andiesen Katalog genügen. Ist dies nicht der Fall, wird die geprüfte Signatur auch nicht als gültig geprüftund es wird ein Hinweistext angezeigt, dass Algorithmen verwendet werden, die keine Aussage über dietatsächliche Gültigkeit der Signatur zulassen.Wird Ihnen eine entsprechende Meldung durch die OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 angezeigt, sollten Sie die Webseiten der Bundesnetzagentur sowie den Bundesanzeigerheranziehen, um die Korrektheit der eingesetzten Algorithmen unabhängig zu prüfen.Signaturprüfung vornehmenNachdem Sie auf eine signierte Datei geklickt haben, erscheint der Dialog Details zur Signaturprüfung:83

Handbuch OpenLimit SignCubes 2.5.0.2In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig oderzumindest mathematisch korrekt ist.Ist eine Signatur ungültig, dann wurden die Daten verändert oder die Zertifizierungskette konnte nichtaufgelöst werden. Dieser Signatur können Sie nicht vertrauen.Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde.Außerdem wurde auch die Signatur an sich nicht manipuliert. In der Regel müssen Sie aber noch denOnlinestatus des verwendeten Signaturzertifikates prüfen, um wirklich sicher zu sein, dass dasverwendete Signaturzertifikat in Ordnung ist.Dies wird unter den Details, also unter dem Tab mit dem Namen des Signaturinhabers genaueruntersucht.Hinweis: Falls in Ihrer Programmversion OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2das Modul zum Erstellen eines Prüfprotokolls mit installiert wurde, haben Sie die Möglichkeit, durchAnklicken des Buttons Speichern ein Prüfprotokoll zu erzeugen und zu speichern. Andernfalls wird derButton nicht angezeigt.84

Handbuch OpenLimit SignCubes 2.5.0.2Die Bedeutung der einzelnen PunkteHashwertüberprüfung: Integrität der Datenpositiv: Die Daten wurden seit der Signatur nicht verändert.Wird als Zusatzinformation ein Hinweis angezeigt, dass die Signatur als ungeeignet eingestuft wird, dannbedeutet das, dass für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1) verwendetwurde, der für die Erzeugung qualifizierter Signaturen nicht zulässig ist.negativ: Die Hashwerte stimmen nicht überein, die Daten wurden möglicherweise verändert.Prüfung von Signatur und Zertifizierungspfad: Beschädigung der Signatur und Vollständigkeitdes ZertifizierungspfadesWird als Zusatzinformation ein Hinweis angezeigt, dass die verwendeten Signaturparameter alsungeeignet eingestuft werden, dann bedeutet das, dass entweder für die Berechnung des Hashwertes einHashalgorithmus (z.B. SHA-1) verwendet wurde, der für die Erzeugung qualifizierter Signaturen nichtzulässig ist oder die verwendeten Schlüssel nicht die erfolderlich Länge größer als 1024 Bit besaßen.85

Handbuch OpenLimit SignCubes 2.5.0.2Zeitpunkt der Signaturerzeugung: Hier wird die Zeit angegeben, die auf dem Rechner zurSignaturerzeugung eingestellt war.Vertrauensbasis: Zeigt die Quelle für das Wurzel- bzw. Rootzertifikat an, auf der die Prüfung desZertifikats beruht. Weiterhin wird der für die Signaturprüfung verwendete Algorithmenkatalogangezeigt.Zertifikatsstatus: Sperrung der Signatur. Anhand von Sperrlisten wird geprüft, ob das Zertifikatgesperrt wurde. Wenn hier nicht geprüft werden kann, empfiehlt sich das Herunterladen vonaktuellen Sperrlisten oder eine Online-Prüfung über den Button Onlinestatus...Über den Button Details, Auswahl des Zertifikats und wiederum Anklicken des Buttons Details könnenSie sich die Zertifikatseigenschaften anzeigen lassen.Neben der Sperrlistenprüfung kann der Status eines Zertifikats auch online abgefragt werden.Nach einem Klick auf Onlinestatus... wird die OCSP-Abfrage geöffnet. Für die Prüfung muss eineVerbindung mit dem Internet bestehen.Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrtoder unbekannt.86

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie auf den Button Details klicken, können Sie sich die Details zur OCSP-Abfrage anzeigen lassen.87

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie unter dem Register Zusammenfassung auf den Button Signatur-Zertifikat anzeigen klicken,können Sie die Details des Zertifikatspfades nachvollziehen.Um die Quelle der OCSP Antwort zu prüfen, sollten Sie immer das Zertifikat, welches die OCSP Antwortunterzeichnet hat, anzeigen lassen. Sie müssen selbst entscheiden, ob Sie dem Zertifikat vertrauen.Unter dem Register OCSP Details werden Ihnen weitere Detailinformationen zu der OCSP Antwortangezeigt.88

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis: Auch wenn Sie in regelmäßigen Abständen die aktuellen Sperrlisten der Zertifikatsherausgeberbeziehen, sollten Sie auf jeden Fall immer eine OCSP Abfrage durchführen. Lassen Sie sich das Zertifikatder OCSP Antwort anzeigen und entscheiden Sie selbst, ob Sie diesem vertrauen.5.3 Arbeiten mit dem OpenLimit SignCubes Integrity ToolDas OpenLimit SignCubes Integrity Tool ist ein Programm zur Überprüfung der Hash-Werte an denausgelieferten sicherheitsrelevanten Modulen und stellt somit sicher, dass sich die Module noch in demZustand befinden, wie sie ursprünglich ausgeliefert und installiert wurden.89

Handbuch OpenLimit SignCubes 2.5.0.2Das OpenLimit SignCubes Integrity Tool sollte grundsätzlich über die Internetseitehttps://www.OpenLimit.com/integritytoolgestartet werden.In dem Fall, dass Sie das Produkt über einen Download erhalten und installiert haben, sollten Sie, bevorSie das Produkt zum ersten Mal einsetzen, das OpenLimit SignCubes Integrity Tool ausführen, um dieKorrektheit der Installation zu verifizieren.Stellt das OpenLimit SignCubes Integrity Tool fest, dass die Module sich nicht mehr in ihremOriginalzustand befinden, sollten Sie das Produkt erneut auf Ihrem Rechner installieren. Vorher solltenSie jedoch mit einem aktuellen Virenscanner überprüfen, ob Ihr Rechner von einem Virus befallen wurdeoder ein anderes Programm Ihren Rechner manipuliert hat.Starten Sie das Integritätstool über die Internetseite https://www.OpenLimit.com/integritytool. Die JavaVirtual Machine (JVM) überprüft daraufhin die Signatur des Applets und öffnet einen Dialog mitSicherheitshinweisen.Die Seriennummer des Signaturzertifikates für das OpenLimit SignCubes Integrity Tool finden Sie indieser Benutzerdokumentation unter OpenLimit SignCubes Integrity Tool.90

Handbuch OpenLimit SignCubes 2.5.0.2Zur Sicherheit sollten Sie immer die Signatur des Applets über den Befehl Weitere Informationen prüfenund erst dann den Start des Applets selbst freigeben.Nach Anklicken des Button Zertifikatsdetails werden die Informationen zu dem Zertifikat einschließlichder Seriennummer angezeigt.91

Handbuch OpenLimit SignCubes 2.5.0.2In dem folgenden Fenster wird Ihnen der Pfad für die OpenLimit Programminstallation angezeigt.Standardmäßig ermittelt das Java-Applet beim Start das Installationsverzeichnis. Falls dieser nichtautomatisch gefunden wurde bzw. nicht korrekt angezeigt wird, stellen Sie bitte den Pfad über denButton 'Installationspfad' entsprechend ein.Gleichzeitig haben Sie die Möglichkeit, über den Button Sprachauswahl die Sprache einzustellen. DasOpenLimit SignCubes Integrity Tool wird in deutsch und englisch bereitgestellt.92

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis: Geben Sie die Installationspfade der OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 nicht im Netzwerk für andere Benutzer frei.93

Handbuch OpenLimit SignCubes 2.5.0.2Nach Anklicken des Button Prüfung starten wird das OpenLimit SignCubes Integrity Tool gestartet.94

Handbuch OpenLimit SignCubes 2.5.0.2Ist der Dateistatus für alle Dateien OK, so ist die Integrität der Software erfolgreich nachgewiesen.Die OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 können optional Module enthaltenwie die siq0*.dll, siq1*.dll und siq2*.dll. Diese Module beinhalten die Ansteuerung konkreterKartenterminals. Ist ein Modul vorhanden, dann wird auch jeweils eine Liste der dadurch unterstütztenKartenterminals angezeigt:siq0ccid.dllCherry G83-6744 LQCherry ST-2000SCM SPR 532 (Firmware 5.10)Reiner SCT cyberJack e-com v2.0Reiner SCT cyberJack e-com v3.0Reiner SCT cyberJack e-com plus v3.0Reiner SCT cyberJack pinpad v2.0Reiner SCT cyberJack pinpad v3.0Reiner SCT cyberJack secoderOmnikey Cardman 3621Omnikey Cardman 3821Fujitsu Siemens S26381-K329-V2xx HOS:01siq0rsct.dllReiner SCT cyberJack e-com v2.0Reiner SCT cyberJack e-com v3.0Reiner SCT cyberJack e-com plus v3.0Reiner SCT cyberJack pinpad v2.0Reiner SCT cyberJack pinpad v3.0Reiner SCT cyberJack secoder95

Handbuch OpenLimit SignCubes 2.5.0.2siq0scmm.dllSCM Microsystems SPRx32/Chipdrive PinPadsiq0ok.dllOmnikey Cardman 3621Omnikey Cardman 3821siq0kby.dll (PC/SC) oder siq0kbyct.dll (CT-API)Kobil Systems B1 ProKobil KAAN AdvancedKobil KAAN TriB@nkKobil EMV-TriCAP ReaderKobil SecOVID Reader IIIsiq0chy.dllCherry G83-6700 LQCherry G83-6744 LUCherry ST-2000Chipkartenbetriebssysteme und Chipkartensiq1seccos.dll unterstützt das SECCOS Chipkartenbetriebssystemsiq1cm43.dll unterstützt das Siemens CardOS M4.3Bsiq1spk3.dll unterstützt STARCOS 3.0 Chipkartenbetriebssystemsiq1spk32.dll unterstützt STARCOS 3.2 Chipkartenbetriebssystemsiq1tcos3x.dll unterstützt TCOS 3.0siq1dba.dll und siq2dba.dll unterstützt das Siemens CardOS M4.3B Chipkartensystem inVebindung mit der Siemens APIsiq1dhba.dll und siq2dhba.dll unterstützt STARCOS 3.2 QES Version 1.1 Chipkartensystem(Heilberufsausweis)siq1acos.dll unterstützt ACOS Karten-Betriebssystem96

Handbuch OpenLimit SignCubes 2.5.0.2Chipkartenname im Produkt Chipkarten-OS ChipkartenprofilAlle Karten des Sparkassenverlags siq1seccos.dll siq2ds2.dllD-TRUST Karte siq1cm43.dll siq2cm43.dllTC-TrustcenterGenerische PKCS#15-Ansteuerungder Siemens KartendgnserviceCard siq1spk3.dll siq2dgn2.dllSigntrust Card (Deutsche Post Comsiq2dp2.dllGmbH)Signaturkarte (DATEV eG)Signaturkarte (BNotK)Signtrust Card 3.2 (Deutsche Post siq1spk32.dllsiq2dp3.dllCom GmbH)NetKey 3.0 und NetKey 3.0M siq1tcos3x.dll siq2nks43.dllBA User Card mit Siemens Card API siq0dba.dll, siq1dba.dll siq2dba.dllHeilberufsausweis siq1dhba.dll, siq2dhba.dll siq2dhba.dllA-Trust Signaturkarte siq1acos.dll Siq2aa1.dllDas Fehlen eines oder mehrerer dieser Module wird durch den Status Nicht installiert ausgewiesen. DieIntegrität der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 ist trotzdem sichergestellt.Ab Version 2.5.0.2 bietet das OpenLimit SignCubes Integrity Tool dem Anwender die Möglichkeit,Konfigurationen für Chipkarten zusätzlich einzuspielen. Diese Konfiguration sind Initialisierungsdateien,die festlegen, welcher Hash- und Signaturalgorithmus für die jeweilige Signaturkarte verwendet wird.Das OpenLimit SignCubes Integrity Tool kennt alle möglichen Konfigurationen für dieSignaturalgorithmen und prüft bei der Integritätsprüfung auch die verwendeten Algorithmen. Wird eineKartenkonfiguration gefunden, die nicht den Vorgaben der Bundesnetzagentur entspricht, wird eineWarnung an den Benutzer generiert und angezeigt. Wird eine Konfigurationsdatei gefunden, dieunbekannt ist, wird dieser Zustand dem Benutzer angezeigt.Beispiel 1:Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Toolbildet den Hashwert über die Initialisierungsdatei und stellt dabei fest, dass diese Datei festlegt, dasseinige SECCOS Karten mit SHA-1 als Hashwert signieren sollen. In diesem Falle wird durch das IntegrityTool im Anschluss an die Übersicht der unterstützten SECCOS-Karten der folgende Text generiert: „DasModul ist so konfiguriert, dass SHA-1 für einige Karten gemäß obiger Übersicht als Signaturagorithmuszugelassen ist. Bitte prüfen Sie auf der Webseite der Bundesnetzagenturhttp://www.bundesnetzagentur.de97

Handbuch OpenLimit SignCubes 2.5.0.2ob mit dieser Konfiguration die Anforderungen an die qualifizierte Signatur erfüllt werden."Beispiel 2:Es wird zu dem Modul siq2ds2.dll eine Initialisierungsdatei siq2ds2.ini gefunden. Das Integrity Toolbildet den Hashwert über die Initialisierungsdatei und stellt dabei fest, welcher Signaturalgorithmus fürdie verschiedenen SECCOS Karten verwendet werden sollen. Die Übersicht der unterstützten SECCOSKarten enthält für die einzelnen Karten die Angabe des jeweils unterstützten Signaturalgorithmus. ImAnschluss an die Übersicht der unterstützten SECCOS Karten wird der folgende Text generiert:"Informationen zu den jeweils verwendeten Signaturalgorithmen entnehmen Sie bitte obiger Übersicht."Hinweis: Die Sprachressourcen der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 sind inder deuSEMk.dll bzw. der engSEMk.dll gespeichert. Mindestens eine der beiden Dateien mussvorhanden sein, ansonsten wird die Integrität der OpenLimit SignCubes Basiskomponenten 2.5, Version2.5.0.2 nicht bestätigt. Für die jeweilige Sprachressource müssen auch die dazugehörige Hilfe und derViewer vorhanden sein, ansonsten wird die Integrität ebenfalls nicht bestätigt.Nach Bestätigung des Informationsfensters mit OK erhalten Sie die Liste der Dateien, die geprüft wurdenund den Dateistatus angezeigt.Folgende Dateizustände werden unterschieden:OK: Die Prüfung des Hashwertes ist positiv, d.h. die Datei entspricht der Originalinstallation.Unbekannt: Das ist der Ausgangsstatus für alle Dateien vor der Prüfung. Dieser Status wirdauch angezeigt, wenn keine Prüfung möglich ist.Datei verändert: Die Datei wurde nach der Installation verändert.Datei nicht gefunden: Die Datei wurde nicht gefunden.Datei nicht lesbar: Die Datei ist nicht lesbar und der Hashwert konnte nicht berechnet werden.Nicht installiert: Dieser Status trifft nur für die optionalen Module zu, falls diese nichtinstalliert sind.98

Handbuch OpenLimit SignCubes 2.5.0.2Nach Anklicken des Buttons Speichern haben Sie die Möglichkeit, das Ergebnis der Prüfung zuspeichern.Schließen Sie das Browserfenster, um den Prüfprozess zu beenden.99

Handbuch OpenLimit SignCubes 2.5.0.2Wurden Dateien bzw. Signaturen manipuliert, sind nicht vorhanden bzw. konnten nicht gelesen werden,teilt Ihnen das Programm dies mit einer entsprechenden Meldung mit. Die Integrität ist damit nichtbestätigt.Hinweis: Im Falle von Abweichungen vom Originalzustand der Installation müssen Sie den Rechner aufsicherheitstechnische Veränderungen und Eingriffe prüfen.Es wird empfohlen, dass Sie in diesem Falle die Software mit Hilfe des Installationsprogrammesdeinstallieren und erneut installieren. Falls die Verifikation des Zertifikates durch die JVM fehlschlägtoder andere Dialoge als die abgebildeten angezeigt werden, insbesondere wenn eine andereSeriennummer für das Signaturzertifikat angezeigt wird, wird nicht das korrekte Prüfprogrammausgeführt. In diesem Falle dürfen Sie sich nicht auf die Statusaussagen des Tools verlassen und müssenIhre Installation der JVM sowie die URL, von der Sie das OpenLimit SignCubes Integrity Tool bezogenhaben, mit den Angaben im Handbuch vergleichen.5.4 SperrlistenaktualisierungDie Sperrlistenaktualisierung ist ein Zusatzmodul zu den bestätigten Basiskomponenten und kann ausdem Menü des Security Environment Managers gestartet werden. Im weiteren Verlauf wird diesesZusatzprogramm als OpenLimit SignCubes Sperrlistenaktualisierungsassistent bezeichnet.Der folgende Abschnitt beschreibt die Benutzung des OpenLimit SignCubesSperrlistenaktualisierungsassistenten im Detail. Etwaige Fehlermeldungen des OpenLimit SignCubesSperrlistenaktualisierungsassistenten sind im Kapitel Fehlermeldungen OpenLimit SignCubes SecurityEnvironment Manager enthalten.Um eine sichere Signaturprüfung zu gewährleisten, sollten Sie vor der Signaturprüfung die aktuellstenSicherheitsdateien herunterladen. Diese Sicherheitsdateien bestehen hauptsächlich aus Sperrlisten,100

Handbuch OpenLimit SignCubes 2.5.0.2aber auch die Public Key Directories der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation,Post und Eisenbahnen (Bundesnetzagentur) sollten in regelmäßigen Abständen aktualisiert werden. Siehaben als Benutzer die Möglichkeit, auszuwählen, welche Sperrlisten heruntergeladen werden sollen. Siekönnen am Wurzelzertifikat der geprüften Signatur erkennen, welche Sperrliste Sie verwenden müssen,um die Signatur korrekt zu prüfen. Als Arbeitsschritt empfiehlt es sich aber immer, vor der eigentlichenSignaturprüfung stets alle Sperrlisten herunter zu laden, da Sie im Regelfall nicht wissen, von welchemZertifikat die zu prüfende Signatur erzeugt wurde und wie das zugehörige Herausgeberzertifikat lautet.So laden Sie eine aktuelle Sperrliste herunter:Klicken Sie auf das OpenLimit Icon in der Taskleiste.Wählen Sie den Menüpunkt Sperrlistenaktualisierung.Daraufhin öffnet sich der OpenLimit SignCubes Sperrlistenaktualisierungsassistent mit einer Startseite,die Sie mit Weiter bestätigen können.Wählen Sie aus der Liste mit einem Klick in die Checkboxen die gewünschten Sicherheitsdateien aus.101

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie jetzt auf Weiter, es werden die aufgelisteten Dateien aktualisiert. Mit einem Klick auf Zurückkönnen Sie die Auswahl noch einmal ändern.102

Handbuch OpenLimit SignCubes 2.5.0.2Der Dateistatus gibt an, wie weit der Download der jeweiligen Datei fortgeschritten ist. Am Ende wirdeine Liste mit Ergebnissen erstellt.Klicken Sie auf Fertig stellenHinweis: Um diese Dateien zu aktualisieren, benötigen Sie eine Internetverbindung. Konnte dieVerbindung nicht hergestellt werden, wird als Statusmeldung 'Fehler beim Download' angezeigt.Aktuelle Sperrlisten sind notwendig um eine erfolgreiche Signaturprüfung vornehmen zu können. Wennsie die Sperrlisten nicht aktualisieren, können Sie auch keine Signaturen bzw. das verwendeteSignaturzertifikat und die Zertifikatskette als gültig verifizieren.Hinweis: Die Sperrlistenaktualisierung kann über Proxy - Server erfolgen. Voraussetzung dafür ist, dassdie entsprechenden Einstellungen über den Internetexplorer/Extras/Internetoptionen/Internetverbindungen vorgenommen wurden. (Eine automatische Konfiguration istnicht vorgesehen.)Falls eine Anmeldung über User und Passwort erforderlich ist, sind die folgenden Einstellungennotwendig:Öffnen Sie die Datei siqSOL.ini in dem Ordner C:\Programme\OpenLimit\Data mit einem beliebigenEditor.103

Handbuch OpenLimit SignCubes 2.5.0.2Entfernen Sie vor der Bezeichnung User= und Pass= jeweils das Semikolon und tragen Ihre Zugangsdatenfür den Proxy - Server ein.5.5 Arbeiten mit dem OpenLimit SignCubes ViewerDer OpenLimit SignCubes Viewer kann aus dem Signaturanforderungsdialog und bei der Signaturprüfung(PKCS#7 Dateien) jeweils über den Button Daten anzeigen gestartet werden, vorausgesetzt es handeltsich um Daten im PDF, TIFF oder TXT Format und die Anzeige dieser Dateiformate wurde durch einenentsprechenden Lizenzcode freigeschaltet. In diesem Fall werden Ihnen die Daten, die Sie signieren bzw.deren Signatur Sie prüfen wollen, angezeigt. Die Schaltflächen zur Signaturerzeugung undSignaturverifikation sind nicht aktiv.Darüber hinaus kann der OpenLimit SignCubes Viewer als separates Programm über Start - Programme -OpenLimit SignCubes - OpenLimit SignCubes Viewer gestartet werden. Beim Start über denProgrammordner wird das Programm ohne Datei geöffnet.104

Handbuch OpenLimit SignCubes 2.5.0.2Nachdem eine Datei geöffnet wurde, sehen Sie im linken Bereich der Anzeige unter dem OpenLimit Logoeine Dateivorschau, welche Ihnen die einzelnen Seiten des Dokuments mit der Seitennummer anzeigt.Mit einem Klick auf die jeweilige Vorschauseite springt die Seitenansicht im rechten Bereich derAnwendung auf die angewählte Seite. Im dargestellten Beispiel umfasst die TIFF Datei nur eine Seite.105

Handbuch OpenLimit SignCubes 2.5.0.2Nach Anklicken des Registers Unterschriften erhalten Sie Detailinformationen zu der bzw. denSignaturen der Datei. Ist die Datei nicht signiert, wird der Hinweis "Das Dokumment ist nicht digitalsigniert" angezeigt.106

Handbuch OpenLimit SignCubes 2.5.0.2Der OpenLimit SignCubes Viewer stellt Ihnen die folgenden Toolbars zur Verfügung.Die Toolbar StandardDie folgenden Funktionen können über diese Toolbar angesprochen werden:Datei öffnen: Hier können Sie eine TIFF oder Textdatei in die Ansicht laden.Datei speichern unter: Hier können Sie die Datei unter einem beliebigen Namen speichern.Seitenansicht: Es wird eine Druckvorschau generiert.Drucken: Hier können Sie die Datei ausdrucken.Dateiinhalt: Es werden in Abhängigkeit von dem geöffneten Dateiformat weitere Dateiinhalteangezeigt.Info: Es werden die Versionsinformation und die Copyright Informationen angezeigt.Hilfe: Es wird die Benutzerdokumentation (dieses Handbuch) geöffnetDie Toolbar AnsichtDiese Toolbar ist nur bei TIFF Dateien aktiv. Textdateien werden immer im Verhältnis 1:1 dargestellt.Breite anpassen: Das dargestellte Bild wird an die Breite des Fensters angepasst.Alles darstellen: Das dargestellte Bild wird so in das Fenster eingepasst, dass die gesamteSeite in dem Fenster dargestellt wird.Pixelgenau darstellen: Das Bild wird 1:1 pixelgenau dargestellt.Benutzerdefiniert darstellen: Es erscheint ein Dialog, der Ihnen die Auswahl einesZoomverhältnisses zwischen 10% und 300% ermöglicht.Schwarz/Weiß Darstellung: Sie haben hier die Möglichkeit, ein TIFF-Dokument, welches alsFarb- oder Graustufendarstellung vorliegt, in eine Schwarz/Weiß Darstellung zutransformieren.Graustufendarstellung: Das aktuelle TIFF-Dokument wird in Graustufen dargestellt.Originaldarstellung: Wenn Sie von der Option zur Schwarz/Weiß Darstellung oder derGraustufendarstellung Gebrauch gemacht haben, kommen Sie hier wieder zur Originalansicht.107

Handbuch OpenLimit SignCubes 2.5.0.2Die Toolbar SignaturDiese Toolbar ist nur dann aktiv, wenn das Programm nicht aus dem Signaturanforderungsdialoggestartet wurde.Signatur erzeugen: Hier können Sie über den OpenLimit SignCubes Security EnvironmentManager die angezeigte Datei elektronisch signieren.Signatur prüfen: Hier können Sie über den OpenLimit SignCubes Security EnvironmentManager eine Prüfung der elektronischen Signatur vornehmen.In Abhängigkeit von den zur Verfügung stehenden Funktionalitäten können Buttons für weitereAnwendungen angezeigt werden wie z.B. dem Mailversand.Hinweise für den Umgang mit Meldungen während der Dokumentanalyse: Wenn ein Dokument durch denOpenLimit SignCubes Viewer geöffnet werden soll, untersucht der OpenLimit SignCubes Viewer diesesDokument nach versteckten Inhalten. Der folgende Abschnitt zeigt Ihnen, wie Sie mit einer solchenMeldung umgehen können.Wenn Sie eine TIFF - Datei in den OpenLimit SignCubes Viewer laden, kann die folgende Meldungerscheinen.Diese Meldung bedeutet, dass die TIFF Datei zwar inhaltlich korrekt ist, aber Datenfelder enthält, die inder Darstellung nicht angezeigt werden. Der OpenLimit SignCubes Viewer gibt Ihnen die Möglichkeit,diese Datenbereiche ebenfalls zu untersuchen. Um diese Bereiche zu untersuchen, klicken Sie auf:das Symbol für weitere Dateiinhalte in der Toolbaroder den Menüpunkt Ansicht - weitere Dateiinhalte...108

Handbuch OpenLimit SignCubes 2.5.0.2Ihnen wird dann ein Dialog angezeigt, der Ihnen sämtliche Informationen zu den angezeigtenDateiinhalten liefert.109

Handbuch OpenLimit SignCubes 2.5.0.2Sie können sich z.B. in einer TIFF-Datei alle Tags, nur Text Tags oder auch nur die unbekannten Tagsanzeigen lassen. In dem unteren Fenster wird dieser Bereich dann Hexadezimal kodiert dargestellt bzw.Sie können die Darstellung auch auf Dezimalzahlen umschalten. Wenn Sie den Scrollbalken des Fenstersnach unten bewegen, sehen Sie einen Bereich, in dem versucht wird, die enthaltenen Informationen alsText darzustellen. Dies gibt Ihnen die Möglichkeit, verborgene Inhalte zu erkennen und z.B. zuentscheiden, ob Sie die Datei trotz dieser Inhalte signieren möchten. Häufig enthalten TIFF-Dateien nochZusatzinformationen, wie einen Autor. Diese Informationen werden in der Bildverarbeitung oft nicht mitdargestellt. Mit der Analyse durch den OpenLimit SignCubes Viewer haben Sie trotz allem noch dieMöglichkeit, auch diese verborgenen Inhalte zu betrachten.Hinweis: Die Untersuchung der verwendeten TIFF-Dateien richtet sich an der Adobe TIFF-Spezifikation6.0 aus. Wenn TIFF-Dateien verwendet werden, die nicht dieser Spezifikation entsprechen, kann dasgelieferte Produkt diese Dateien nicht analysieren und korrekt als TIFF Datei erkennen.Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten derOpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 beschrieben.110

Handbuch OpenLimit SignCubes 2.5.0.2Untersuchung von TIFF-Dokumenten in der Schwarz-Weiß DarstellungDas folgende Beispiel erklärt Ihnen, wie Sie versteckte Inhalte in TIFF-Dokumenten erkennen können, dieauf Grund unzureichender Kontrastierung in der Ansicht nicht erscheinen. Sie laden eine Grafik mit demOpenLimit SignCubes Viewer, die im ersten Schritt wie folgt dargestellt wird.Im nächsten Schritt sollten Sie grundsätzlich eine Untersuchung der dargestellten Grafik vornehmen, daauf Grund zu geringer Farbkontraste enthaltene Informationen bei der Darstellung am Monitor verlorengehen können. Sie klicken auf den Knopf zur Schwarz/Weiß Darstellung und sehen den folgendenDialog.111

Handbuch OpenLimit SignCubes 2.5.0.2Sie können nahtlos die Einstellung festlegen, ab welchem Punkt die Farbwerte der Farbe Schwarzzugeordnet werden. Sie bewegen den Schieberegler bis auf eine volle Schwarz-Weiß Darstellung undkönnen somit den Inhalt der Datei nun genauer untersuchen. Damit haben Sie grundsätzlich dieMöglichkeit, jede farbige Grafik auf verdeckte Inhalte hin zu untersuchen. Nachdem Sie die Einstellungenvorgenommen haben, klicken Sie auf OK. In der folgenden Darstellung erkennen Sie nun den Inhalt, derauf Grund der unzureichenden Farbkontraste des Monitors sonst nicht sichtbar gewesen wäre.Sie haben mit Hilfe des OpenLimit SignCubes Viewers den versteckten Inhalt entdeckt und sollten vonder Erzeugung einer elektronischen Signatur absehen.Grundsätzlicher Hinweis: Der OpenLimit SignCubes Viewer kann Sie nicht von der Interpretation derangezeigten Daten befreien. Das TIFF Format ist kein Dateiformat, welches eine Interpretation desdargestellten Inhaltes durch ein Programm wie den OpenLimit SignCubes Viewer zulässt. DieUntersuchung der Daten auf versteckte Inhalte wird Ihnen durch diesen Produktbestandteil ermöglicht,allerdings müssen Sie selbst solche Untersuchungen mit Hilfe der vorhandenen Mechanismen112

Handbuch OpenLimit SignCubes 2.5.0.2vornehmen. Das TIFF-Format sieht die Verwendung bestimmter Kompressionsformate innerhalb einerTIFF-Datei vor. Die sichere Anzeigeeinheit erkennt nicht alle Kompressionsformate und kann daher auchnicht alle Kompressionsformate anzeigen. In diesem Falle wird die Textmeldung angezeigt: 'Das Formatder Datei ist nicht geeignet'.Um Inhalte, wie Sie in dem obigen Szenario erläutert wurden, sicher zu erkennen, müssen Sie beifarbigen TIFF-Dokumenten immer eine Analyse in der Schwarz/Weiß Darstellung vornehmen. Sie könntensonst ein Dokument signieren, welches Sie in seinem Inhalt nicht bereit wären, zu signieren.Hinweis bei der Analyse von Text-Dateien: Bei der Analyse von Textdokumenten kann der OpenLimitSignCubes Viewer melden, dass Zeichen erkannt wurden, für die keine eindeutige Darstellung definiertist. Das bedeutet, dass Zeichen erkannt wurden, die sowohl im OEM Schriftsatz als auch im ANSISchriftsatz eine unterschiedliche Bedeutung haben.113

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie sich nicht sicher sind, ob dadurch der Inhalt eines Textdokuments verfälscht wird, können Siesich ebenfalls unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar Klarheitverschaffen. Die folgende Grafik zeigt, wie die Analyse solcher mehrfach belegten Zeichen im Detaildargestellt wird.114

Handbuch OpenLimit SignCubes 2.5.0.2Ihnen wird angezeigt, welche Zeichen wie oft erkannt wurden. Wenn Sie auf ein Zeichen in der Listeklicken, wird Ihnen zu jedem Vorkommen des Zeichens angezeigt, in welcher Zeile und Spalte desDokuments dieses Zeichen gefunden wurde. So können Sie sich Klarheit verschaffen, ob das Dokumentimmer noch den Inhalt hat, den Sie auch bereit sind, zu signieren.Die Regeln für die Erkennung von Textdokumenten sind im Abschnitt Sicherheitskomponenten derOpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 beschrieben.Bei dem Öffnen einer PDF Datei mit dem OpenLimit SignCubes Viewer kann der folgende Hinweisauftreten:115

Handbuch OpenLimit SignCubes 2.5.0.2Damit werden Sie darauf hingewiesen, dass in der PDF Datei Java Scripte enthalten sind. Diese werden indem OpenLimit SignCubes Viewer nicht ausgeführt. In dem darauf folgenden Fenster erhalten Sie denHinweis auf "Weitere Dateiinhalte", die Sie sich über Ansicht Weitere Dateiinhalte ansehen können.116

Handbuch OpenLimit SignCubes 2.5.0.2Unter Ansicht - Weitere Dateiinhalte... oder über das Symbol in der Toolbar haben Sie die Möglichkeit,sich weitere Dateiinhalte zu dem geöffneten PDF Dokument anzeigen zu lassen:Allgemein: Es werden Ihnen in zusammengefasster Form die wichtigsten Dateiinhalteaufgelistet.Bilder: Zeigt an, welche Bilder auf welcher Seite zu finden sind.Java Script: Gibt Ihnen eine Auflistung der in dem PDF enthaltenen Java Scripte und dazuweitere Detailinformationen.Kommentare: Es werden die Kommentare des PDF mit ihrer Position aufgelistet.Alle Texte: Unter diesem Register werden alle in dem PDF enthaltenen Texte getrennt nach deneinzelnen Seiten dargestellt.Viewer Meldungen: In diesem Register werden Ihnen weitere Prüfdetails als Hinweis angezeigt.Schriften: Es werden die in dem PDF verwendeten Schriftarten aufgezeigt.Annotationen: Es werden Zusatzinformationen zu in dem PDF enthaltenen Formularfeldernangezeigt.Wählen Sie das Register Allgemein erhalten Sie solche Informationen zu dem PDF wie Dateiname,enthaltene Java Scripte sowie Bilder und die Kopfdaten des PDF angezeigt.117

Handbuch OpenLimit SignCubes 2.5.0.2Wählen Sie in dem Register Bilder ein Bild aus und klicken die Schaltfläche Zeigen an, erhalten Sie eineListe aller in dem PDF enthaltenen Bilder, die Sie sich fortlaufend anzeigen lassen können.118

Handbuch OpenLimit SignCubes 2.5.0.2Die in der PDF Datei enthaltenen Java Scripte werden Ihnen unter dem Register Java Script angezeigt:119

Handbuch OpenLimit SignCubes 2.5.0.2Über das Register Alle Texte werden die in der PDF Datei enthaltenen Texte getrennt nach den einzelnenSeiten zusammengefasst.120

Handbuch OpenLimit SignCubes 2.5.0.2Nach Klicken auf die Schaltfläche Zeigen erhalten Sie die Textinformation in dem Textextraktionsdialogübersichtlich angezeigt:Unter dem Register Viewer Meldungen werden Ihnen weitere Detailinformationen angezeigt, die sich ausder Prüfung der Daten bei der Erstellung der Ansicht im Viewer ergeben haben.Hinweis: Achten Sie darauf, welche Fonts vom Viewer zur Darstellung der Texte verwendet werden. Es istmöglich, dass bei der Erzeugung des PDF Dokuments Fonts verwendet wurden, die auf IhremBetriebssystem nicht installiert sind. In diesem Falle muss der Viewer diese Fonts durch andere, ähnlicheFonts ersetzen. Verwenden Sie zur Prüfung von Texten immer den Text-Extraktionsdialog (Registerkarte:Alle Texte, Button: Anzeigen) um sich über den dargestellten Text zu vergewissern.121

Handbuch OpenLimit SignCubes 2.5.0.2Unter dem Register Schriften werden Ihnen die in der PDF Datei verwendeten Schriftarten angezeigt mitder Information, ob diese Schriftart in der Datei eingebettet ist oder vom Betriebssystem zugeladen wird.122

Handbuch OpenLimit SignCubes 2.5.0.2Unter dem Register Annotationen werden Ihnen weitere Zusatzinformationen angezeigt, die in der PDFDatei Formularfeldern hinzugefügt sind.Hinweis: Verschiedene Grafik-Programme bieten die Möglichkeit, Vektor Grafiken zu erstellen und diesein ein PDF Dokument einzubetten. Der Viewer bietet nicht die Möglichkeit, solche Vektor Grafiken (oderauch so genannte Splines) zu extrahieren und separat darzustellen oder zu untersuchen. Wenn Sie einPDF Dokument mit Text signieren wollen, vergewissern Sie sich vorab immer über den Text-Extraktionsdialog über den vorhandenen Text. Wenn in diesem Dialog nicht der gesamte Text erscheint,der vermeintlich in dem PDF Dokument vorhanden ist, ist dieser fehlende Text eine Vektorgrafik. SolcheDokumente sollten Sie auf keinen Fall signieren!Hinweis: Der OpenLimit SignCubes Viewer ist in der Lage, PDF, TIFF und Textdokumente darzustellen. DiePDF Dokumente entsprechen der PDF 1.7 Spezifikation. Die Abweichungen von dieser Spezifikationwurden bereits im Kapitel Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5,Version 2.5.0.2 aufgeführt. Das TIFF Dokument kann eine mehrseitige TIFF Datei (Multipage-TIFF) sein.TXT Dokumente müssen den Regeln für Textdokumente entsprechen. Diese Syntaxprüfung ist auch beiDokumenten im Rich Text Format (RTF) oder bei HTML-Quellcode erfolgreich. Die generierte Ansichtentspricht dabei immer dem Dokumentquellcode, d.h., eine Interpretation der Dateiinhalte, wie sie z.B.bei HTML Dokumenten von einem Browser vorgenommen wird, kann nicht geleistet werden.Hinweis: Wenn Sie sich nach der Anzeige durch den OpenLimit SignCubes Viewer hinsichtlich der zusignierenden Daten nicht sicher sind, dann sollten Sie diese Daten nicht signieren.123

Handbuch OpenLimit SignCubes 2.5.0.25.6 SignaturerzeugungDas Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bietet Ihnen die Möglichkeit,eine qualifizierte Signatur nach dem deutschen Signaturgesetz zu erstellen. Es können aber auchfortgeschrittene und andere Signaturen erzeugt werden. Im Signaturgesetz werden verschiedeneAnforderungen an eine qualifizierte Signatur gestellt. So muss der Benutzer z.B. die Möglichkeit haben,die zu signierenden Daten in einer geeigneten Darstellungsform zu betrachten. Diese Möglichkeit wirdIhnen in dem Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 über den OpenLimitSignCubes Viewer eingeräumt.Das Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 ist für den Umgang mit denim Kapitel Chipkarten aufgelisteten Smartcards bestimmt. Sie müssen bei der Signaturerzeugung immerdarauf achten, dass Sie das richtige Zertifikat für die Signaturerzeugung verwenden.Es ist technisch ohne weiteres möglich, Signaturen mit beliebigen Zertifikaten zu erzeugen. Um einequalifizierte Signatur zu erzeugen, müssen Sie immer ein Zertifikat verwenden, dessen Eigenschaftenausdrücklich darauf verweisen, dass es für die Erzeugung unabweisbarer elektronischer Signaturenvorgesehen ist. Diese Eigenschaften werden Ihnen beim Zertifikatsauswahldialog unterVerwendungszweck (Zulässige allgemeine Zwecke) angezeigt.Weiterhin können Sie sich mit einem Klick auf den Button Details ... die Eigenschaften des Zertifikatesim Zertifikatseigenschaftendialog anzeigen lassen.Die angezeigten Zertifikatseigenschaften sind in der folgenden Abbildung enthalten:124

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf OK, um diesen Dialog wieder zu schließen. Um eine Signatur zu erzeugen, haben Sie mitden OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 mehrere Möglichkeiten.125

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie z.B. eine Signatur über den OpenLimit SignCubes Viewer erzeugen, klicken Sie auf das Symbol'Signatur erzeugen' oder wählen den entsprechenden Menüpunkt.Anschließend erscheint das folgende Fenster:Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt.126

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitereDetailinformationen, wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche PIN,angezeigt werden.Es erfolgt sofort die Aufforderung zur PIN Eingabe.Klicken Sie auf den Button Details, so erscheint das Signaturanforderungsfenster, in demIhnen weitere Detailinformationen angezeigt werden. Nach dem Sie in diesem Fenster aufSignatur erzeugen geklickt haben, erscheint die Aufforderung zur PIN Eingabe.Die folgenden Informationen sind in dem Signaturanforderungsdialog enthalten:Anwendung: Enthält den Namen der Anwendung sowie den Pfad der Anwendung. Hier könnenSie jederzeit erkennen, mit welcher Anwendung eine elektronische Signatur erzeugt werdensoll.Zertifikat: Enthält den Namen des Zertifikatsinhabers und den Herausgeber. Mit dem KnopfZertifikat anzeigen können Sie sich das Zertifikat jederzeit anzeigen lassen.Karte: Zeigt die Bezeichnung der Karte an. Zusätzlich wird die Nummer der eingelegten Karteangezeigt.Erforderliche PIN: Zeigt an, welche PIN eingegeben werden soll. Lesen Sie diese Kategoriesorgfältig, damit Sie bei Karten mit mehreren PIN's nicht die falsche PIN eingeben.Kartenleser: Zeigt die Bezeichnung des verwendeten Kartenlesers an.Daten: Zeigt an, welche Datei signiert werden soll. Mit einem Klick auf den Knopf Datenanzeigen können Sie wiederum den OpenLimit SignCubes Viewer starten, um die Daten zubetrachten.127

Handbuch OpenLimit SignCubes 2.5.0.2Mit einem Klick auf den Knopf Signatur erzeugen können Sie jetzt die elektronische Signatur erzeugen.Beachten Sie bitte, dass automatisch die sichere PIN-Eingabe gestartet wird. Wenn die Daten signiertwurden, erscheint ein Informationsfenster, welches Ihnen mitteilt, dass die Daten signiert wurden.Hinweis: Wenn Sie automatisch eine OCSP-Antwort und/oder einen Zeitstempel während derSignaturerzeugung einbinden, sollten Sie nach der Signaturerstellung die Signatur prüfen und sich dieEinzelheiten der OCSP-Antwort und des eingeholten Zeitstempels anzeigen lassen. Die Gültigkeit derOCSP-Antwort und des Zeitstempels werden erst dann auf Sperrlistenbasis vollständig geprüft, wenn Siesich die Eigenschaften der eingebundenen Daten anzeigen zu lassen.Hinweis: Die OpenLimit SignCubes Basiskomponenten bieten die Möglichkeit, mehrere Dateien in einemDurchgang zu signieren. Damit Sie diesen Modus verwenden können, benötigen Sie jedoch einezusätzliche OpenLimit Anwendung. Wenn dieser Modus aktiviert wird, erscheint der folgendeSignaturanforderungsdialog.In diesem Falle wird der Button Daten anzeigen in Abhängigkeit von der ausgewählten Datei aktiviert.128

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis: Die Aktivierung des Mehrfachsignaturmodus erkennen Sie an der Dateiauswahlliste. Wenn Siediesen Dialog sehen, können Sie mit einem Klick auf den Pfeil die Dateiauswahlliste aufklappen underkennen, welche Dateien signiert werden sollen.Wenn der Signaturvorgang gestartet wird, erscheint ein Fortschrittsdialog, der Sie über die aktuell zusignierende Datei informiert. Wenn Sie den Button Abbrechen drücken, werden alle bis zu diesemZeitpunkt erzeugten Signaturdateien wieder verworfen.Hinweis: Da Sie in diesem Modus mehrere Dateien in einem Durchgang signieren können, sollten Siesich stets über Inhalt aller zu signierenden Daten vergewissern.5.7 AttributzertifikateDie OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bieten dem Anwender dieMöglichkeit, der elektronischen Signatur mit dem Signaturzertifikat zusätzliche Attributzertifikatehinzuzufügen.Dazu wird in dem OpenLimit SignCubes Security Environment Manager die Option Attributzertifikateautomatisch mitsignieren eingestellt. Im Ergebnis dessen wird bei jeder Signaturerstellung das zu demSignaturzertifikat zugehörige Attributzertifikat bzw. die Attributzertifikate (es sind auch mehrere möglich)hinzugefügt.Klicken Sie in der Task-Leiste auf das OpenLimit Symbol, wählen Sie den Menüpunkt Einstellungen undsetzen für Attributzertifikate automatisch mitsignieren den Haken.129

Handbuch OpenLimit SignCubes 2.5.0.2Bei der Signaturerstellung mit dieser eingestellten Option erfolgt die Integration des Attributzertifikatsautomatisch.Voraussetzung dafür ist, dass die Datei des Attributzertifikats in dem Verzeichnis EigeneDateien\AttributeCertificates abgelegt ist und zum Signaturzertifikat gehört.Die Informationen des Attributzertifikats werden bei der Signaturprüfung zusätzlich zu den Daten desSignaturzertifikats angezeigt. Starten Sie dazu die Signaturprüfung130

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf das Register mit dem Namen (Unterzeichner).131

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf den Button Details und wählen anschließend in dem Fenster das Register Details aus:Nach Auswahl des Feldes Beschränkung wird Ihnen in der unteren Hälfte des Fensters der Inhalt desAttributzertifikats angezeigt.132

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis: Das Verzeichnis Eigene Dateien/AttributeCertificates wird durch den OpenLimit SignCubesSecurity Environment Manager automatisch beim ersten Einlesen einer Smartcard angelegt. DieAttributzertifikate müssen in diesem Verzeichnis abgelegt sein.In dem Fall, dass Sie als Anwender ein anderes Verzeichnis für die Attributzertifikate definieren wollen,können Sie dies über die Verzeichniseinstellungen des OpenLimit SignCubes Security EnvironmentManagers vornehmen. Weitere Informationen dazu finden Sie in dem Abschnitt Option: Verzeichnisse.133

Handbuch OpenLimit SignCubes 2.5.0.25.8 ZeitstempeldiensteMit dem in den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 bereitgestelltenZeitstempeldienst haben Sie die Möglichkeit, sich die Zeitstempelinformationen, die Daten hinzugefügtwurden, anzeigen zu lassen und dessen Signatur zu prüfen. Starten Sie dazu die Signaturprüfung:Klicken Sie auf die Schaltfläche Details.In dem folgenden Fenster wird unter dem Register Zusammenfassung das Ergebnis der Signaturprüfungzu der angeführten Prüfzeit dargestellt. Unter dem Register TSP-Details erhalten Sie weitereEinzelinformationen.134

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie auf den Registerkartenreiter TSP-Details klicken, werden Ihnen detaillierte Informationen zumZeitstempel angezeigt.135

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie auf den Knopf 'Signatur-Zertifikat anzeigen' klicken, wird Ihnen das Zertifikat angezeigt,welches den Zeitstempel unterzeichnet hat. Zudem wird Ihnen die komplette Zertifikatskette zu diesemZertifikat angezeigt. Sie sollten immer die Gültigkeit des Zertifikats, mit dem der Zeitstempel signiert ist,prüfen.Wenn Sie mit dem Produkt einen Zeitstempel abholen, sollten Sie immer das unterzeichnende Zertifikatdes Zeitstempels überprüfen um sicherzustellen, dass Sie vom beabsichtigten Zeitstempeldienst eineAntwort erhalten haben. Das Produkt kann die Quelle des Zeitstempels nicht garantieren, die Prüfung mitHilfe des Zertifikates muss von Ihnen durchgeführt werden. Sie müssen in jedem Fall selbst entscheiden,ob Sie dem Zeitstempel vertrauen.Hinweis: Wenn in der PKCS#7 Signaturdatei bzw. in der XML-Signatur ein Zeitstempel vorhanden ist, wirdIhnen automatisch auch das Ergebnis der Gültigkeitsprüfung der Signatur zu dem Zeitpunkt mitgeteilt,der durch den Zeitstempel angegeben wird.Hinweis: Die Funktion des Zeitstempeldienstes kann nur dann genutzt werden, wenn am PC eineInternetverbindung zu dem Zeitstempeldiensteanbieter besteht.136

Handbuch OpenLimit SignCubes 2.5.0.25.9 XML SignaturenDie Erzeugung von XML-Signaturen bzw. die Verifikation von XML-Signaturen kann grundsätzlich nur überDrittanwendungen aktiviert werden, die wiederum auf die Funktionen der OpenLimit SignCubesBasiskomponenten 2.5, Version 2.5.0.2 zugreifen. Damit stehen dem Anwender für dieSignaturerzeugung von XML-Signaturen auch die Zeitstempeldienste, das Einbinden der OCSP - Anfrageund vorhandener Attributzertifikate zur Verfügung.Signaturerzeugung für XML DatenWird über die Drittanwendung die Signaturerzeugung gestartet, erscheint der folgendeSignaturanforderungsdialog:Nach Anklicken des Button Daten anzeigen werden die folgenden Informationen angezeigt:137

Handbuch OpenLimit SignCubes 2.5.0.2Nach Anklicken des Button Details wird der OpenLimit SignCubes Viewer gestartet und die ausgewähltenDaten werden angezeigt. Es sind nicht die referenzierten Daten sondern der XML-Datenstrom:138

Handbuch OpenLimit SignCubes 2.5.0.2Verifizieren von XML-SignaturenWird über die Drittanwendung die Signaturverifikation gestartet, erscheint das folgendeInformationsfenster:Nach Anklicken des Button Details werden die folgenden Informationen angezeigt:139

Handbuch OpenLimit SignCubes 2.5.0.2Nach Anklicken des Button Details wird der OpenLimit SignCubes Viewer geöffnet und die ausgewähltenDaten werden angezeigt:140

Handbuch OpenLimit SignCubes 2.5.0.26 ArbeitsabläufeDie Arbeitsabläufe unter den verschiedenen Modulen der OpenLimit SignCubes Software sind immerwieder dieselben. Deshalb beschreiben wir in diesem separaten Kapitel nur die immer wiederkehrendenAbläufe. Wie diese gestartet oder angesteuert werden, können Sie in dem Abschnitt unter Arbeiten mitden OpenLimit SignCubes Basiskomponenten 2.5.0.2 nachlesen.6.1 DateiformateDie OpenLimit SignCubes 2.5 Software speichert Daten in verschiedenen Dateiformaten ab. Das Formatkönnen Sie über den OpenLimit SignCubes Security Environment Manager einstellen. Standardmäßigwird bei der Installation der Software das Format so eingestellt, dass die Signaturdatei und dieOriginaldaten in einer Datei gespeichert werden.p7s - Fomat*.p7s Dateien sind PKCS#7-Daten: Es handelt sich dabei um eine abgesetzte Signatur (detachedsignature). Das heißt, die signierten Daten und die Signatur sind in zwei getrennten Dateien gespeichert.Diese Vorgehensweise hat den Vorteil, dass man sich die Originaldaten mit dem dazugehörigenProgramm ansehen kann. Solange diese nicht geändert werden, bleibt auch die Signatur gültig. DieSignatur ist mit der Originaldatei durch denselben Dateinamen verbunden. Wenn Sie eine p7s Datei miteinem Doppelklick öffnen, wird automatisch die Signaturprüfung gestartet.p7m - Format*.p7m Dateien sind PKCS#7-Daten: Dahinter können sich signierte, verschlüsselte oder signierte undverschlüsselte Daten verbergen.Signierte bzw. signierte und verschlüsselte p7m-Dateien liegen als Verbund-Dateien vor. Das heißt, dieDatei beinhaltet sowohl eine oder mehrere Signaturen im p7s-Format als auch die Originaldaten, welchesigniert oder signiert und verschlüsselt wurden. Wenn Sie eine p7m-Datei doppelklicken, wird die Dateientschlüsselt, sofern sie verschlüsselt war. Anschließend wird die Signaturprüfung gestartet, sofern eineSignatur vorhanden ist.141

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis: Verschlüsselte Daten werden immer als *.p7m Datei gespeichert. Bei Signaturen mit derOpenLimit SignCubes Shell Extension können Sie zwischen p7s (Daten und Signatur getrennt) oder p7m(Daten und Signatur in einer Datei) wählen, indem Sie die Einstellungen ändern.ors - Format*.ors Dateien sind Online-Statusabfragen zu Zertifikaten. Der Status eines Zertifikats kann bei derSignaturerstellung oder - prüfung vom Trustcenter abgefragt werden und gibt eine Aussage über dieGültigkeit des Zertifikats.tsr - Format*.tsr Dateien sind Zeitstempelinformationen. Zur Erzeugung von Zeitstempeln benötigt der User einenspeziell freigeschalteten Zugriff auf einen Zeitstempel-Dienst. Ein Zeitstempel gibt eine Aussagedarüber, dass gewisse Daten zu einem bestimmten Zeitpunkt existiert haben. Dies wird durch eine digitalsignierte Bescheinigung einer Zertifizierungsstelle bestätigt.142

Handbuch OpenLimit SignCubes 2.5.0.2crl - Format*.crl - Dateien sind Sperrlisten: Durch Anklicken mit der rechten Maustaste wird die Sperrliste geöffnetund Sie können sich weitere Details zu einzelnen Zertifikaten anzeigen lassen.cer - Format*.cer - Dateien sind Zertifikatsdateien: Mit einem Doppelklick haben Sie die Möglichkeit, sich diesesZertifikat anzeigen zu lassen.6.2 SignierenDie OpenLimit SignCubes Software bietet Ihnen verschiedene Möglichkeiten, qualifizierte Signaturennach deutschem Signaturgesetz zu erstellen. Es können aber auch fortgeschrittene oder andereSignaturen erstellt werden.Unabhängig davon, aus welchem Modul heraus Sie den Vorgang der Signaturerzeugung starten, ist dernachfolgend beschriebene Ablauf immer gleich:Datei signierenNach dem Start der Signaturerzeugung öffnet sich das folgende Fenster:Wenn Sie auf Abbrechen klicken, wird der Vorgang abgebrochen und keine Signatur erzeugt.Klicken Sie auf Signatur erzeugen, wird eine Signatur erzeugt, ohne dass Ihnen weitereDetailinformationen, wie z.B. der verwendete Kartenleser, das Zertifikat und die erforderliche PIN,angezeigt werden. Es erfolgt sofort die Aufforderung zur PIN Eingabe.143

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf den Button Details, so erscheint das nachfolgende Signaturanforderungsfenster, in demIhnen weitere Detailinformationen angezeigt werden.Hier sehen Sie das Zertifikat, welches zur Signaturerzeugung verwendet wird, die Karte, die erforderlichePIN, den Kartenleser und die zu signierenden Daten.Vor der Signaturerzeugung solllten Sie sich im Fall von Daten im TXT, TIFF oder PDF Format über Datenanzeigen die zu signierenden Daten im OpenLimit SignCubes Viewer anzeigen lassen, um sicher zu sein,welche Daten Sie tatsächlich signieren. Klicken Sie dazu auf den Button Daten anzeigen.Nach dem Sie in diesem Fenster auf Signatur erzeugen geklickt haben, erscheint die Aufforderung zurPIN Eingabe.Je nach Kartenleser erscheint nun eine unterschiedliche Meldung.Geben Sie die PIN auf der Tastatur des Kartenlesers ein, eventuell müssen Sie diese mit OK bestätigen.Anschließend erscheint ein Fenster mit der Meldung, dass die Daten signiert wurden.144

Handbuch OpenLimit SignCubes 2.5.0.2Sollte hier ein Fenster mit der Meldung erscheinen, dass die eingegebene Signatur-PIN zurückgewiesenwurde, dann bedeutet das, dass Sie eine falsche PIN eingegeben haben.6.3 Signatur prüfenDie Prüfung einer Signatur erfordert Sorgfalt und Umsicht. Folgende Punkte sollten geprüft werden:Ist das Dokument wirklich unverändert?Ist der Signaturinhaber echt?Ist das Zertifikat nicht gesperrt?Einige Teile der Prüfung werden automatisch von der Software vorgenommen. Ob aber einem Zertifikatvertraut werden kann, liegt in der Entscheidung des Benutzers. Qualifizierte Signaturen nach demdeutschen Signaturgesetz lassen sich lückenlos zurückverfolgen bis zur Bundesnetzagentur. DasHerausgeberzertifikat der Bundesnetzagentur ist in die Software integriert. Dieser Zertifizierungspfadmuss mathematisch korrekt und lückenlos sein. Aber auch andere Wurzelzertifikate können imBetriebssystem als vertrauenswürdig definiert werden.Deshalb bleibt es grundsätzlich dem Benutzer überlassen, welchen Zertifikaten er vertraut und welchennicht.Weitere Information zu den Abläufen der Signaturprüfung und der Public Key Infrastruktur finden Sieunter Grundlagen der elektronischen Signatur.145

Handbuch OpenLimit SignCubes 2.5.0.26.3.1 ZusammenfassungNachdem Sie auf Signatur Prüfen geklickt haben, erscheint der Dialog Details zur Signaturprüfung:In der Zusammenfassung der Signaturprüfung steht zunächst, ob die Signatur gültig, ungültig odermathematisch korrekt ist.Ist eine Signatur ungültig, dann wurden die Daten verändert. Dieser Signatur können Sie nicht vertrauen.Mathematisch korrekt bedeutet, dass die Datei seit dem Signaturzeitpunkt nicht geändert wurde.Außerdem wurde auch die Signatur an sich nicht manipuliert. Empfehlenswert ist es in diesem Fall, eineOCSP Abfrage durchzuführen und sich auf diesem Weg die Gültigkeit der Signatur bestätigen zu lassen.Dazu wählen Sie das Register mit dem Namen des Signaturinhabers.146

Handbuch OpenLimit SignCubes 2.5.0.26.3.2 DetailsNach Anklicken des Registers mit dem Namen des Signaturinhabers wird Ihnen folgendes Fensterangezeigt.Im Einzelnen erhalten Sie folgende Informationen:Hashwertprüfung: Hier wird die Integrität der Daten überprüft. Ist die Hashwertprüfung positiv,bedeutet dies, dass die Daten seit dem Signieren nicht verändert wurden. Negativ bedeutet,dass die Daten verändert wurden - in diesem Fall ist die Signatur ungültig. Wird alsZusatzinformation ein Hinweis angezeigt, dass die Signatur als ungeeignet eingestuft wird,dann bedeutet das, dass für die Berechnung des Hashwertes ein Hashalgorithmus (z.B. SHA-1)verwendet wurde, der für die Erzeugung qualifizierter Signaturen nicht zulässig ist.Prüfung von Signatur und Zertifizierungspfad: Hier wird angegegeben ob, eine Beschädigungder Signatur vorliegt und ob der Zertifizierungspfad vollständig ist.Zeitpunkt der Signaturerzeugung (Systemzeit): Hier wird die Zeit angegeben, die auf demRechner zum Zeitpunkt der Signaturerzeugung eingestellt war.147

Handbuch OpenLimit SignCubes 2.5.0.2Vertrauensbasis: Hier wird die Vertrauenswürdigkeit des Zertifikats angegeben. Weiterhin wirdder für die Signaturprüfung verwendete Algorithmenkatalog angezeigt.Zertifikatsstatus: Anhand von Sperrlisten wird geprüft, ob das Zertifikat gesperrt wurde. Wennhier nicht geprüft werden kann, empfiehlt sich das Herunterladen von aktuellen Sperrlistenoder eine Online-Prüfung über den Button Onlinestatus...Aktuelle Zeit als Prüfzeit (Sperrlistenprüfung): Anhand von Sperrlisten wird geprüft, ob dasZertifikat zum Zeitpunkt der Prüfung gültig war.6.3.3 Online Prüfung von ZertifikatenNeben der Sperrlistenprüfung kann der Status eines Zertifikats auch Online abgefragt werden.Nach einem Klick auf Onlinestatus... in dem Fenster OpenLimit SignCubes - Details zurUnterschriftsprüfung wird das Fenster Online Status-Prüfung (OCSP) geöffnet. Für die Prüfung muss eineVerbindung mit dem Internet bestehen.148

Handbuch OpenLimit SignCubes 2.5.0.2Der Status wird automatisch ermittelt und dann angezeigt. Ein Zertifikat ist entweder gültig, gesperrtoder unbekannt. Das Ergebnis der Online Status-Prüfung wird im normalen Prüfdialog nicht angezeigt.Der Prüfdialog bezieht sich lediglich auf die Sperrlisten.149

Handbuch OpenLimit SignCubes 2.5.0.26.3.4 Online StatusWurde bei der Signaturerstellung der Signatur ein Online Status zugefügt, dann können Sie sich diesenbei der Signaturprüfung ansehen.Klicken Sie auf den Button Details, um die Einzelheiten der Signaturprüfung anzuzeigen.Wählen Sie dann Online Status aus und klicken Sie auf Details, um die Einzelheiten der Online StatusPrüfung zum Zeitpunkt der Signaturerzeugung zu sehen.150

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf Details.151

Handbuch OpenLimit SignCubes 2.5.0.2Mit Zertifikat anzeigen wird das Zertifikat der Person angezeigt, die die Signatur erzeugt hat.Mit Signatur-Zertifikat anzeigen wird das Zertifikat der Zertifizierungsstelle angezeigt, die die OnlineStatus Antwort signiert hat.Mit Online Status exportieren können Sie die Datei als *.ors speichern. Um sich das Ergebnis derOnlinePrüfung vollständig ansehen zu können, müssen Sie das dazugehörige Zertifikat in dem gleichenOrdner ablegen.152

Handbuch OpenLimit SignCubes 2.5.0.26.3.5 Erstellen PrüfprotokollFalls in Ihrer Programmversion der OpenLimit SignCubes 2.5 das Modul zum Erstellen einesPrüfprotokolls mit installiert wurde, haben Sie die Möglichkeit, durch Anklicken des Button Speichern einPrüfprotokoll zu erzeugen und zu speichern. Andernfalls wird der Button nicht angezeigt.Wählen Sie das Verzeichnis und den Dateinamen für das Prüfprotokoll aus. Standardmäßig wird dasProtokoll in dem Ordner Eigene Dateien\VerificationProtocols abgespeichert.153

Handbuch OpenLimit SignCubes 2.5.0.2Das Prüfprotokoll enthält folgende Angaben:Dokumentbeschreibung: Die Dokumentbeschreibung zeigt den Dateinamen und das temporäreVerzeichnis an, in dem das Prüfprotokoll als Datei zwischengespeichert wird, bevor es entwederabschließend in dem Verzeichnis Eigene Dateien\VerificationsProtocolls oder in einem durchden Anwender definierten Verzeichnis abgelegt wird.Prüfumgebung: Die Prüfumgebung weist aus, wann (Datum und Uhrzeit) die Prüfungdurchgeführt wurde und durch welchen Nutzer.Zusammenfassung der Prüfergebnisse: Hier wird das Ergebnis der Hashwertprüfung und dieÜberprüfung der Zertifizierungskette zusammengefasst dargestellt.Informationen zur Signatur: An dieser Stelle erhalten Sie weitere Detailinformationen zurSignatur wie den Namen des Unterzeichners, die Signaturzeit, die Vertrauensbasis desHerausgeberzertifikats, den Hashwert, das Ergebnis der Hashwertprüfung und welcherSignaturalgorithmus verwendet wurde.Informationen zum verwendeten Signatur-Zertifikat: Hier werden die Angaben zumHerausgeberzertifikat, d.h. wer ist der Herausgeber, die Seriennummer desHerausgeberzeitifikats und die Gültigkeit ausgewiesen.154

Handbuch OpenLimit SignCubes 2.5.0.2Durch die Symbolik im Hintergrund des Prüfprotokolls (grüner Haken, gelbes Ausrufezeichen, roterWarnkreis) wird das Ergebnis der Prüfung optisch zusätzlich verdeutlicht. Dabei haben die Symbolefolgende Bedeutung:Grüner Haken: Die Signatur wurde gültig geprüft.155

Handbuch OpenLimit SignCubes 2.5.0.2Gelbes Ausrufezeichen: Es gibt Hinweise darauf, dass die Signatur nicht vollständig geprüftwerden konnte, weil z.B. Sperrlisten oder Herausgeberzertifikate fehlten bzw. nicht aktuellwaren. In diesem Fall sollten Sie die Aktualisierung der Sperrlisten einschließlich derVertrauenslisten durchführen und die Signaturverifikation nochmals starten. WeitereInformationen dazu finden Sie in dem Kapitel Sperrlistenaktuslierung.156

Handbuch OpenLimit SignCubes 2.5.0.2Roter Warnkreis: Dieses Symbol weist daraufhin, dass die Datei eine ungültige Signaturbesitzt. In diesem Fall sollten Sie im Detail prüfen, ob die Daten manipuliert wurden, dasZertifikat abgelaufen oder gesperrt ist.Hinweis: In Abhängigkeit von dem installierten Programm-Modul zum Erstellen des Prüfprotokolls kanndie o.g. Beschreibung abweichen. Das kann sowohl das Dateiformat des Prüfprotokolls als auch dieInformationen, die im Ergebnis der Prüfung dargestellt und gespeichert werden, betreffen.157

Handbuch OpenLimit SignCubes 2.5.0.26.4 VerschlüsselungDie Verschlüsselung schützt vor den Augen Dritter. Sie können jegliche Daten verschlüsseln, egal obdiese auf dem Rechner gespeichert oder ob sie per e-Mail über das Internet gesendet werden. Da dieVerschlüsselung aber nicht vor Viren schützt, ist es ratsam, verschlüsselte Daten, die archiviert werdensollen, zusätzlich auf externen Datenträgern zu sichern bzw. nach dem Entschlüsseln auf jeden Fall nachViren zu prüfen.Zunächst wird das Dokument mit einem Zufallsschlüssel im Triple DES Verfahren verschlüsselt. Dasheisst, das Dokument wird dreimal hintereinander mit 192 bit verschlüsselt. Der Zufallsschlüssel wirddann mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Hier kommt die 1024bit RSA-Verschlüsselung zum Einsatz.Man benötigt zum Verschlüsseln also immer den öffentlichen Schlüssel des Empfängers (das könnenauch mehrere sein). Dieser ist in ein Verschlüsselungszertifikat integriert und kann im Verzeichnisdienstdes Trustcenters abgerufen und auf dem Computer installiert werden. Sie können sich auch dieVerschlüsselungszertifikate Ihrer Kommuniktionspartner per e-Mail schicken lassen. Ihr eigenesZertifikat können Sie aus der Karte exportieren. Alle installierten Zertifikate werden von der Softwareautomatisch angezeigt. Das verschlüsselte Dokument und der verschlüsselte Zufallsschlüssel werdendann zusammen archiviert oder per e-Mail an die Kommunikationspartner versandt.158

Handbuch OpenLimit SignCubes 2.5.0.2In der Praxis ist es empfehlenswert, Daten durch eine Kombination von elektronischer Signatur undVerschlüsselung zu sichern.6.4.1 Daten verschlüsselnDie Verschlüsselung von Daten ist nicht gesetzlich geregelt. Dennoch ist es ratsam, Daten zusätzlich zurSignatur zu verschlüsseln, weil dadurch gewährleistet wird, dass nur bestimmte Personen Einblick in dieDaten haben.Wenn Sie Daten verschlüsseln, sollten Sie mindestens zwei Zertifikate verwenden (Ihres und das einervertrauenswürdigen Person). Wenn Sie Ihre Karte verlieren sollten oder sie auf andere Art unbrauchbarwird, sind die verschlüsselten Daten ansonsten unwiederbringlich verloren. Es gibt keine Kopien Ihresprivaten Schlüssels und eine Wiederherstellung ist unmöglich.Verschlüsselungszertifikate auswählenNachdem Sie auf Verschlüsseln geklickt haben, erscheint der Dialog zur Auswahl vonVerschlüsselungszertifikaten.Hier werden alle öffentlichen Schlüssel angezeigt, die auf dem Rechner installiert sind. Sollten Sie aufder linken Seite keine Zertifikate außer Ihr eigenes sehen, müssen Sie sich die öffentlichen Schlüssel derEmpfänger beschaffen. Sie haben dazu mehrere Möglichkeiten:Download oder Installation über den Verzeichnisdienst, dazu erhalten Sie weitereInformationen in dem Abschnitt Verzeichnisdienst.durch Installation des Schlüssels, den Sie als cer - Datei erhalten haben, falls Sie mit diesemKommunikationspartner mehrfach verschlüsselt kommunizieren wollen; Weitere Informationenfinden Sie in dem Abschnitt Zertifikate installierenoder durch Einfügen der *.cer-Datei, in dem Sie auf den Button aus Datei klicken159

Handbuch OpenLimit SignCubes 2.5.0.2Nur die Zertifikatsinhaber der ausgewählten Zertifikate können die Datei entschlüsseln. Es ist alsoratsam, auch das eigene Zertifikat hinzuzufügen.Wenn ein Zertifikat selektiert ist, können im unteren Fenster die Informationen dazu angesehen werden.Nach einem Klick auf Hinzufügen oder einem Doppelklick auf den Zertifikatsnamen wird das Zertifikat indie rechte Liste kopiert.Klicken Sie dann auf Übernehmen, um die Daten für die ausgewählten Zertifikate zu verschlüsseln.Selektierte Zertifikate können mit Hinzufügen und Entfernen von einem Fenster ins andere verschobenwerden. Unter Details... wird das ausgewählte Zertifikat angezeigt. Um sicher zu gehen, dass dasZertifikat nicht gesperrt ist, kann nach einem Klick auf Details... der Onlinestatus geprüft werden, wenndie CA das unterstützt. Ansonsten funktioniert meist auch eine Suche im Verzeichnisdienst (Buttonweitere...).160

Handbuch OpenLimit SignCubes 2.5.0.2Einstellung des VerschlüsselungsalgorithmusFür den Verschlüsselungsalgorithmus sollten Sie nur dann andere Einstellungen vornehmen, wenn es ausGründen der Kompatibilität mit anderen Programmen unbedingt notwendig ist.6.4.2 Verschlüsselungszertifikat exportierenDer OpenLimit SignCubes Security Environment Manager bietet Ihnen die Möglichkeit, IhrVerschlüsselungszertifikat zu exportieren. Das Zertifikat können Sie dann z.B. per e-Mail an eine anderePerson senden, damit diese wiederum Dokumente für Sie verschlüsseln kann.Weitere Informationen dazu finden Sie in dem Kapitel Chipkarten Optionen/Zertifikate exportieren.6.4.3 Zertifikate installierenEin Zertifikat aus dem Verzeichnisdienst installieren Sie einfach, indem Sie auf den Button Installierenim Ergebnisdialog klicken. Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch imZertifikatsauswahldialog.Die Zertifikate auf der Karte, die in Ihrem Kartenleser stecken, werden automatisch installiert.161

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie ein Zertifikat auf anderem Weg erhalten, z.B. per E-Mail, liegt es als Datei vor. Sie müssen esüber den Zertifikatsdialog von Windows installieren.Zertifikate unter Windows installierenDoppelklicken Sie das Zertifikat im Windows Explorer.Im Zertifikatsdialog von Windows auf Zertifikat installieren klicken.Die Gültigkeitsangaben des Windows Zertifikatsdialoges sollten Sie nicht interessieren, da Windowsnicht immer mit Signatur-Zertifikaten umgehen kann. Negative Aussagen haben keine Relevanz. Gründedafür können neben Inkompatibilität mit den Signaturstandards auch fehlende Algorithmen sein.Nach dem Startdialog folgt mit einem Klick auf Weiter der Zertifikatsspeicherdialog.Wählen Sie: Alle Zertifikate in folgendem Speicher speichern.Klicken Sie auf Durchsuchen...Wählen Sie den Ordner Andere Personen und bestätigen Sie mit OK.Klicken Sie im Assistenten auf Weiterund anschließend auf Fertig stellen.Das Zertifikat erscheint beim nächsten Verschlüsseln automatisch im ZertifikatsauswahlDialog.162

Handbuch OpenLimit SignCubes 2.5.0.26.4.4 VerzeichnisdienstNach einem Klick auf weitere... wird der Verzeichnis Client geöffnet.Für die Suche können Sie Wildcards (*) benutzen. Das sind Platzhalter, die man für unbekannteBuchstaben plazieren kann. Wenn Sie dies nicht tun, müssen Sie die exakte Schreibweise des gesuchtenNamens kennen. Geben Sie am besten den Nachnamen zwischen Wildcards ein: z.B. *Daneller*. Wennes sich um einen sehr häufigen Namen handelt, ist als Suchbegriffe die E-Mail-Adresse empfehlenswert.Zertifikat suchenTragen Sie den oder die Suchbegriffe in die Felder ein.Wählen Sie den Verzeichnisdienst der CA, die das Zertifikat herausgegeben hat.Klicken Sie auf Starten.Zum Suchen nicht auf Weiter sondern auf Starten klicken. Die Weiter und Zurück Button ermöglicheneine erneute Suche und ein einfaches Hin- und Herschalten zwischen Ergebnis- und Suchdialog.Wenn Sie eine Fehlermeldung erhalten, dass die zulässige Größe überschritten ist, dann haben Sie zuviele Suchergebnisse erhalten. Diese Funktion dient dem Datenschutz, so dass nicht einfach mit einer ** -Suche alle Zertifikate gefunden werden können. Geben Sie weitere Buchstaben in den Suchbegriff ein.163

Handbuch OpenLimit SignCubes 2.5.0.2ErgebnisIm Ergebnisdialog werden alle gefundenen Zertifikate angezeigt.Zertifikate übernehmenMit einem Klick auf den Namen wird rechts die Zertifikatsinformation angezeigt.Über den Button Details kommt man zur Zertifikatsanzeige, wo man sich noch einmal dieEinzelheiten ansehen kann. Die meisten CAs nehmen gesperrte und ungültige Zertifikate ausdem Verzeichnisdienst, so dass sich eine Statusprüfung erübrigt, wenn man hier ein Zertifikatgefunden hat.Damit das Zertifikat auf dem Rechner bei jeder Verschlüsselung automatisch angezeigt wird,kann es installiert werden. Dies sollten Sie für Zertifikate tun, die Sie oft benutzen.Haken Sie die Checkbox vor dem Namen der Zertifikate an, die für die Verschlüsselungübernommen werden sollen.Klicken Sie auf Übernehmen.Die Zertifikate erscheinen dann im Zertifikatsauswahl Dialog (Verschlüsseln) auf der rechtenSeite.164

Handbuch OpenLimit SignCubes 2.5.0.26.5 EntschlüsselungUm das Dokument wieder entschlüsseln zu können, wird der Zufallsschlüssel im Klartext benötigt. Erkann nur mit dem privaten Schlüssel entschlüsselt werden. Dazu braucht der Benutzer die Karte mit dem,zu dem öffentlichen Schlüssel zugehörigen privaten Schlüssel und der PIN.Ist der Zufallsschlüssel entschlüsselt, kann auch das gesamte Dokument entschlüsselt werden. Auchdiese Abläufe übernimmt die Software automatisch.Durch dieses Verfahren ist gesichert, dass nur der Karteninhaber mit seiner PIN das Dokumententschlüsseln und lesen kann. Die Daten können auch für mehrere Zertifikate verschlüsselt werden. Wirempfehlen grundsätzlich, alle Daten, mindesten mit zwei öffentlichen Schlüsseln, für eine anderevertrauenswürdige Person und sich selbst, zu verschlüsseln. Bei Daten, die versendet werden, empfiehltsich das eigene Zertifikat und das des Empfängers. Wenn die eigene Karte verloren geht, odermöglicherweise aus anderen Gürnden nicht mehr verwendbar ist, können die Daten immer noch mit derzweiten Karte (der des Empfängers oder der vertrauenswürdigen Person) entschlüsselt werden.165

Handbuch OpenLimit SignCubes 2.5.0.26.5.1 Daten entschlüsselnDateien entschlüsselnZum Entschlüsseln wir der zu dem öffentlichen Schlüssel zugehörige private Schlüssel benötigt. Ausdiesem Grund muss zum Entschlüsseln die globale PIN eingegeben werden.Es erscheint ein Fenster mit der Meldung, dass die Datei entschlüsselt wurde.Klicken Sie auf OK.Danach sollten die Daten wieder im Klartext vorliegen. Um viele Dateien hintereinander ohne ständigePIN-Eingabe zu entschlüsseln, können Sie die Karte auch "öffnen". Weitere Informationen dazu findenSie in dem Abschnitt PIN-Abfrage.166

Handbuch OpenLimit SignCubes 2.5.0.27 OpenLimit SignCubes Shell ExtensionDie OpenLimit SignCubes Shell Extension ermöglicht die Signatur und Verschlüsselung direkt imWindows Explorer. Darüber hinaus sind das Prüfen von Signaturen und die Entschlüsselung integriert.Wenn Sie eine Datei mit der rechten Maustaste anklicken, finden Sie im Kontextmenü den PunktOpenLimit SignCubes.Wählen Sie diesen aus, erhalten Sie in Abhängigkeit von der ausgewählten Dateistruktur verschiedeneFunktionen angeboten. Weitere Informationen erhalten Sie in den nachfolgenden Abschnitten.7.1 Die erste Signatur mit OpenLimit SignCubesDie erste Signatur haben Sie bereits mit der Lizenzierung der Software erstellt. In den nachfolgendenAbschritten wird beschrieben, wie Sie eine weitere Signatur erzeugen. Wählen Sie eine beliebige Datei(im Beispiel eine *.tif Datei) im Explorer aus.Klicken Sie im Explorer die Datei mit der rechten Maustaste an.Wählen Sie OpenLimit SignCubes - Datei signierenWeitere Informationen zur Signaturerzeugung finden Sie in dem Abschnitt Signieren.167

Handbuch OpenLimit SignCubes 2.5.0.2Im Ergebnis der Signaturerstellung wird eine p7m-Datei mit demselben Namen der Ursprungsdateierzeugt. Darüber hinaus bleibt die Original-Datei erhalten. Die p7m-Datei enthält sowohl die Original-Daten als auch die Signatur. Durch Anklicken dieser p7m-Datei mit der rechten Maustaste können Siedie Signaturen prüfen und bei Bedarf die Datei getrennt als txt-Datei und p7s-Datei abspeichern.7.2 Shell Extension MenüWenn Sie eine Datei im Windows Explorer mit der rechten Maustaste anklicken, öffnet sich dasKontexmenü mit dem Menüpunkt OpenLimit SignCubes. Unter diesem finden Sie in der Regel die Punkte:Datei signierenDatei verschlüsselnDatei signieren und verschlüsselnWeitere Punkte, wie z.B.Signatur(en) prüfenDatei entschlüsselnDatei und Signatur(en) trennenDatei und Signaturen verbindenZertifikat anzeigenOnline Status anzeigenZeitstempel erzeugenSperrlisten anzeigenerscheinen, wenn es sich um bereits signierte oder verschlüsselte Dateien bzw. einen Zeitstempel odereine Online Status-Datei handelt. Die Funktionen, die durch diese Befehle angestoßen werden, sindunter Arbeitsabläufe im Einzelnen erklärt.168

Handbuch OpenLimit SignCubes 2.5.0.27.3 Dateien und Icons im ExplorerMit OpenLimit SignCubes lassen sich verschiedene Dateiformate erzeugen. Diese erkennt man imExplorer auch an Ihren Icons (bei Windows 2000 oder höher). Zeitstempel können in der OpenLimitSignCubes Software nicht erzeugt werden.p7m Dateien: Verschlüsselte Dateien oder Dateien, die eine Signatur beinhalten, bekommenein blaues Tresor-Icon mit der Aufschrift p7m.p7s Dateien: Abgesetze Signaturen, die durch ihren Dateinamen mit der Ausgangsdatei logischverknüpft sind, bekommen ein blaues Tresor-Icon mit der Aufschrift p7s.ors-Dateien: Online Status Response Dateien, die durch das Exportieren von OCSP Antwortenentstehen, bekommen ein Zertifikats-Icon mit einem roten Siegel.tsr-Dateien: Zeitstempel Dateien, die durch ihren Dateinamen mit der Ausgangsdatei logischverknüpft sind, bekommen ein Uhr-Icon mit einem roten Siegel.Allerdings werden diese Dateien in den neueren Betriebssystemen als verborgene Dateien oft nichtangezeigt. Um sie sichtbar zu machen, muss man unter den Ordneroptionen des Windows Explorers(Menü Extras - Ordneroptionen - Reiter Ansicht) unter versteckte Dateien und Ordner die Option alleDateien und Ordner anzeigen aktivieren und Erweiterungen bei bekannten Dateitypen ausblendendeaktivieren.169

Handbuch OpenLimit SignCubes 2.5.0.2Weitere Informationen zu den Dateien finden Sie auch unter Dateiformate.8 Adobe PluginDas Adobe Plugin ermöglicht die Signatur direkt unter Adobe Acrobat Reader ab Version 7.0.8 undAdobe Acrobat 7.0. Wurden PDF Formulare vom Herausgeber mit zusätzlichen Rechten versehen (AdobeFormular Server Lösungen), lassen sich diese Formulare auch im Adobe Reader ab Version 7.0.8signieren. Zudem können digitale Signaturen in einem PDF Formular geprüft werden.Das Adobe Plugin wird automatisch installiert, soweit Adobe Reader oder Adobe Acrobat auf IhremComputer installiert ist.Falls Sie das Adobeprogamm erst nach der OpenLimit SignCubes Software installieren, müssen Sie dasPlugin nachträglich installieren. Falls Sie dazu das Installationsprogramm benötigen, wenden Sie sichbitte an OpenLimit.170

Handbuch OpenLimit SignCubes 2.5.0.28.1 Adobe Plugin GrundeinstellungenGrundeinstellungen festlegenDer hier beschriebene Ablauf bezieht sich auf das Produkt Adobe Reader Version 9.0.0. DieBeschreibung erfolgt beispielhaft. Weitere Informationen zu aktuellen Versionen der Adobe Produktefinden Sie unter auf der OPENLiiT FAQ Seite unterhttps://www.OpenLimit.com/faq/in der Rubrik Adobe.Öffnen Sie den Adobe Reader.Über das Bearbeiten-Menü kommen Sie zu dem Menüpunkt Voreinstellungen...Wählen Sie im linken Bereich Sicherheit aus.Setzen Sie ein Häkchen für „Beim Öffen des Dokuments Unterschriften prüfen“.Klicken Sie dann auf Erweiterte Voreinstellungen.171

Handbuch OpenLimit SignCubes 2.5.0.2Unter dem Reiter Überprüfung sollten Sie folgende Einstellungen vornehmen:Wählen Sie Immer Standardmethode verwenden (Überschreibt die im Dokument angegebene Methode).Wählen Sie dann als Standardmethode zum Überprüfen von Unterschriften: "OpenLimit SignCubes PDFPlugin, Version 2.5 ".Unter dem Reiter Erstellung sollten Sie die Einstellungen wie folgt vornehmen:Wählen Sie als Standardmethode beim Unterschreiben und Verschlüsseln von Dokumenten: "OpenLimitSignCubes PDF Plugin, Version 2.5 ".172

Handbuch OpenLimit SignCubes 2.5.0.2Mit OK werden die Einstellungen gespeichert.8.1.1 PDF Dokument signierenFür die Erzeugung einer Signatur in PDF Dokumenten ist in der OpenLimit SignCubes Software ein AdobePlugin integriert. Dieses bietet Ihnen unter bestimmten Voraussetzungen die Möglichkeit, das PDFDokument im Adobe Reader oder Adobe Acrobat zu signieren.Wenn ein PDF Dokument oder PDF Formular ein oder mehrere Felder für digitale Signaturen enthält, sokönnen Sie mit dem Adobe Plugin eine qualifizierte digitale Signatur direkt in diesem PDF erstellen unddieses anschließend speichern.Um ein solches PDF mit dem Adobe Reader zu signieren, muss dieses mit zusätzlichen Rechten versehenworden sein (Adobe Formular Server Lösungen). Um ein PDF mit Adobe Acrobat zu signieren, reicht es173

Handbuch OpenLimit SignCubes 2.5.0.2aus, wenn das Signaturfeld mit Adobe Acrobat erstellt wurde. Um ein Signaturfeld mit Adobe Acrobatselbst zu erstellen, lesen Sie bitte in der Adobe Acrobat Hilfe nach.So signieren Sie ein PDF DokumentÖffnen Sie das Dokument.Das PDF Dokument enthält ein oder mehrere Signatur-Felder. Ein Signaturfeld erkennen Sie am rotenPfeil links oben im Feld.Stecken Sie Ihre Smartcard in den Kartenleser und warten Sie, bis diese erkannt ist (bis dasChip-Symbol in der Taskleiste gelb ist).Klicken Sie das entsprechende Signaturfeld an.Anschließend öffnet sich das Signaturanforderungsfenster. Weitere Informationen finden Sie in demAbschnitt Signatur erzeugen.8.1.2 Signatur im PDF prüfenPDF Dokumente können Signaturen enthalten, die in einem extra dafür vorgesehenen Signaturfeldintegriert sind, oder Signaturen, die in das PDF Dokument eingebettet sind, jedoch nicht in einemSignaturfeld vorliegen. In diesem Fall handelt es sich um sogenannte "eingebettete" Signaturen.Signaturen in Unterschriftsfeldern prüfenEnthält ein PDF Dokument bereits eine digitale Signatur in einem dafür vorgesehenen Signaturfeld, sokönnen Sie mit dem Adobe Reader oder Adobe Acrobat diese Signatur prüfen. Die Signaturprüfung wirdmit den Einstellungen vorgenommen, die Sie unter Adobe Acrobat oder Adobe Reader festgelegt haben.Weitere Informatioonen dazu finden Sie in dem Abschnitt Adobe Plugin Grundeinstellungen.174

Handbuch OpenLimit SignCubes 2.5.0.2Öffnen Sie das PDF Dokument und klicken Sie auf ein Unterschriftsfeld, das bereits eine Signaturenthält.Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OpenLimit SignCubes PDFPlugin" ausgewählt haben, so erscheint folgender Dialog:In der Zusammenfassung steht das Ergebnis der Signaturprüfung. Ein Beispiel für ein Prüfergebnis wärez.B.:Die Datei ist gültig signiert. oderDie Signatur ist mathematisch korrekt.Für genauere Informationen lesen Sie bitte in den Abschnitten Signaturverifikation bzw. Signaturenprüfen nach.175

Handbuch OpenLimit SignCubes 2.5.0.2Unsichtbare Signaturen prüfenEnthält ein PDF Dokument eine unsichtbare digitale Signatur, so können Sie mit Adobe Reader oderAdobe Acrobat diese Signatur prüfen. Die Signaturprüfung wird mit den Einstellungen vorgenommen, dieSie unter Adobe Acrobat oder Adobe Reader festgelegt haben.Öffnen Sie das PDF Dokument und klicken Sie dann links auf den Reiter Unterschriften, um alleUnterschriften des Dokuments anzusehen.Wählen Sie jetzt eine Unterschrift aus, klicken Sie dann auf Optionen und wählen SieUnterschrift prüfen.Wenn Sie als Standardmethode zum Überprüfen von Unterschriften das "OpenLimit SignCubes PDFPlugin, Version 2.5.0.2" ausgewählt haben, so erscheint folgender Dialog:176

Handbuch OpenLimit SignCubes 2.5.0.2Detaillierte Informationen zu den Ergebnissen der Signaturprüfung finden Sie in dem AbschnittSignaturen prüfen.9 Der OpenLimit TIFF/PDF (PDF/A) DruckerDie OpenLimit SignCubes Software bietet Ihnen mit dem OpenLimit TIFF/PDF Drucker die Möglichkeit,aus anderen Programmen heraus wie z.B. Microsoft Word Daten an die sichere Anzeigeeinheit, denOpenLimit SignCubes Viewer auszugeben. Die übertragenen Daten werden über den OpenLimit TIFF/PDFDrucker in eine sicher darstellbare Bilddatei (TIFF) oder in eine PDF Datei konvertiert. Die Ausgabe überden OpenLimit TIFF/PDF Drucker ist mit jedem auf Ihrem System druckbaren Dokument möglich.177

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis: Der OpenLimit TIFF/PDF Drucker steht für das Betriebssystem Windows NT nicht zur Verfügung.Unter Windows NT wird der OpenLimit SignCubes Drucker installiert. Dieser kann Dateien nur in das TIFFFormat konvertieren.VisualisierenDrucken Sie die Datei in dem Programm aus, in dem sie erstellt wurde. Normalerweise geht das über denBefehl Datei - Drucken.Wählen Sie den OpenLimit TIFF Producer für die Ausgabe der Datei im TIFF Format oder den OpenLimitPDF Producer für die Konvertierung als PDF Datei und bestätigen Sie mit OK.Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\TIFFOutput abgespeichert.Unter dem Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner Dokumente\TIFFOutput.Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (tif).178

Handbuch OpenLimit SignCubes 2.5.0.2Für die Konvertierung in ein PDF Format wählen Sie den OpenLimit PDF Producer.Die konvertierte Datei wird standardmäßig in dem Ordner Eigene Dateien\PDFOutput abgespeichert.Unter dem Betriebssystem Microsoft Vista finden Sie die Datei in dem Ordner Dokumente\PDFOutput.Der Dateiname ist mit dem Dateinamen des Originals identisch, mit Ausnahme der Extension (pdf).Unter Windows NT wählen Sie den OpenLimit SignCubes Drucker aus und bestätigen mit OK.179

Handbuch OpenLimit SignCubes 2.5.0.2Daraufhin öffnet sich die Darstellung im OpenLimit SignCubes Viewer. Sollte es lange dauern, bis IhreDatei im OpenLimit SignCubes Viewer dargestellt wird, liegt es möglicherweise daran, dass diegewählten Eigenschaften des Druckers mit einer zu hohen Auflösung eingestellt sind.180

Handbuch OpenLimit SignCubes 2.5.0.29.1 Eigenschaften des OpenLimit PDF ProducerNach Auswahl des OpenLimit PDF Producer und Anklicken deas Buttons Eigenschaften haben SieMöglichkeit die Standardeinstellungen des Druckers zu verändern.Über das Menü PDF Compliance Level haben Sie die Möglichkeit die PDF - VersionPDF 1.4PDF 1.5 oderPDF/A-1bauszuwählen.181

Handbuch OpenLimit SignCubes 2.5.0.29.2 Eigenschaften des OpenLimit TIFF ProducersNach Auswahl des OpenLimit TIFF Producer und Anklicken des Buttons Eigenschaften haben SieMöglichkeit die Standardeinstellungen des Druckers zu verändern.182

Handbuch OpenLimit SignCubes 2.5.0.29.3 Eigenschaften des OpenLimit SignCubes Druckers (nur Windows NT)Diese Drucker wird nur unter dem Betriebssystem NT installiert, da der OpenLimit PDF Producer und derOpenLimit TIFF Producer nicht für Windows NT verfügbar sind.Ändern der DruckereigenschaftenIn dem Programm, in dem Sie gerade arbeiten, wählen Sie Datei - Drucken...Unter "Name" wählen Sie den OpenLimit SignCubes DruckerKlicken Sie auf Eigenschaften...Daraufhin sind mehrere Reiter zu sehen.ReiterEinstellungenDateiformateDateiname erstellenProgramm-StartWasserzeichenKommentar einbeziehenBeschreibungGenerelle Einstellungen des DruckersAusgabeformat der DateiAusgabename der DateiProgramm, das nach dem Drucken startetWasserzeichen in Datei generierenBemerkung Einfügen183

Handbuch OpenLimit SignCubes 2.5.0.29.3.1 Drucker Eigenschaften – EinstellungenPapier GrößeFax AuflösungAusrichtungGraphik-AuflösungPapierPaper Breite; Papier HöheFAX header beigelegtErweiterte PapiergrößeErstelle faxfähiges AbbildHochformat / QuerformatQuerformat, 90 GradgedrehtAuflösunghorizontale Auflösungvertikale Auflösungerzwinge DruckerauflösungBildgrößeHier wählen Sie die Papiergröße aus. Sollte die gewählte Papiergrößekleiner sein als das zu druckende Dokument, dann werden Teile desDokuments in der SignCubes Visualisierung nicht angezeigt. Wenn diesder Fall ist sollten Sie einen Warnhinweis erhalten, sobald Sie auf OKgedrückt haben.Hier werden die Breite und Höhe des gewählten Papiers angezeigt. UnterEinheiten können Sie die Einheit festlegen in der die Breite und Höhedes Papiers angezeigt werden.Hat unter OpenLimit SignCubes keine Funktion.Hat unter OpenLimit SignCubes keine Funktion.Die Auflösung des Ausgabeformats wird für Fax optimiert. Da dieAuflösung sehr gering ist, wird die Visualisierung des Dokuments eineniedrige Qualität haben. Wir empfehlen diese Funktion nichtanzuwenden.Hier kann Hochformat (Portrait) oder Querformat (Landscape)ausgewählt werden.Es wird ein Querformat ausgegeben, aber nochmals um 90° gedreht.Die graphische Auflösung der Visualisierung wird hier festgelegt.Wichtig: Mit den Einstellungen in diesem Abschnitt können Sie Qualitätund Größe der Ausgabedatei entscheidend verändern. Bei zu hoherEinstellung werden die Dateien unnötig gross und die Visualisierungkann länger dauern. Darüber hinaus könnten auf Grund der Grösse derDatei Probleme auftreten, falls Sie die signierte Datei anschliessend pere-Mail versenden wollen.High Resolution - Hohe Auflösung. Die Ausgabe sieht sehr gut aus, esdauert länger bis die Visualisierung erstellt ist, die Datei wird sehr groß.Medium Resolution - Mittlere Auflösung (Standard Einstellung).Schnellere Visualisierung, Druckstandard. Gut für Textdokumente undTabellen.Draft Resolution - Vorschau Auflösung. Sehr schnelle Ausgabe, niedrigeQualität.CUSTOM Resolution - Benutzerdefinierte Auflösung. Hier können Sieselbst festlegen, mit welcher Auflösung Sie arbeiten wollen. BenutzenSie zur Eingabe die beiden Felder unterhalb.Hier wird die horizontale Auflösung angezeigt.Anzeige der vertikalen Auflösung.Keine Funktion unter OpenLimit SignCubes.Größe der Datei, die der OpenLimit SignCubes Drucker zur Visualisierungerstellt. Generell gilt: Je größer die Datei, desto besser die Qualität derVisualisierung und umso länger dauert die Ausgabe und umgekehrt.184

Handbuch OpenLimit SignCubes 2.5.0.2185

Handbuch OpenLimit SignCubes 2.5.0.29.3.2 Drucker Eigenschaften - DateiformateUnter diesem Reiter finden Sie Optionen für das Ausgabeformat.DateiformatFarbtiefeOptionenTIFF OptionenFotoqualität1bit, 8 bit, 8 bitGraustufen, 24 bitmehrseitiges BilderzeugenKeine ImagedateierstellenOsteuropäischerZeichensatzTextdatei erstellenIn diesem Menü finden sich verschiedene Dateiformate für die Visualisierung.Wichtig: Behalten Sie das Standard Format bei (TIFF Packed), bei manchenanderen Einstellungen wird die Datei nicht gedruckt.Hier kann die Anzahl der Farben festgelegt werden. 1bit (schwarz-weiss), 8 bit(256 Farben), 8 bit Graustufen (256 Grautöne), 24 bit (16,7 Mio. Farben). Wiebei der grafischen Auflösung gilt auch hier, je besser die Qualität derVisualisierung, desto größer das erzeugte Dokument und desto länger dauertdie Ausgabe.Hier ist per Default ein Häkchen gesetzt, da sonst nur eine Seite desOriginaldokuments in der Ausgabe erscheint.Hat unter OpenLimit SignCubes keine Funktion.Unterstützt das Drucken von Osteuropäischen Schriftzeichen.Der Drucker erstellt zusätzlich eine *.txt Datei mit dem Inhalt des Dokuments.Hat unter OpenLimit SignCubes keine Funktion.Das Ändern der Standardeinstellungen kann dazu führen dass keineVisualisierung erfolgt.Hat unter OpenLimit SignCubes keine Funktion.186

Handbuch OpenLimit SignCubes 2.5.0.2187

Handbuch OpenLimit SignCubes 2.5.0.29.3.3 Drucker Eigenschaften - Dateiname erstellenMethode zurErstellung desNamenDateinameAusgabepfadGruppendatei-OptionenUse the document nameDateinamen PrefixDatei ErweiterungDiese Einstellungen legen fest, wie der Dateiname (prefix) undDateianhang (extension) erstellt werden.Nehmen Sie in diesem Bereich keine Änderungen vor, da sonst eventuellkeine Visualisierung möglich ist.Standard Einstellung: Dateiname und Dateianhang werden automatischerstellt.Wichtig: Nehmen Sie in diesem Bereich keine Änderungen vor, da sonsteventuell keine Visualisierung möglich ist.Wenn unter Methode zur Erstellung des Namens die Standard Einstellunggewählt ist, ist keine Eingabe nötig.Bei Standard Einstellung ist keine Eingabe nötig.Bei Standard Einstellung ist keine Eingabe nötig.Hier wird der Ordner angezeigt, in dem der Drucker die temporärenDateien für die Visualisierung speichert.Wichtig: Nehmen Sie in diesem Bereich keine Änderungen vor, da sonsteventuell keine Visualisierung möglich ist.Unter OpenLimit SignCubes keine Funktion.188

Handbuch OpenLimit SignCubes 2.5.0.2189

Handbuch OpenLimit SignCubes 2.5.0.29.3.4 Drucker Eigenschaften - Programm - StartAnwendungautomatischstartenAnwendungDarstellungderAnwendungNachrichten-Schnittstelledeaktivierenvor Druckausführungstartennach Druckausf. startenParameter übergebenHier sollte ein Häkchen gesetzt sein. Falls dem nicht so ist, wird der OpenLimitSignCubes Viewer nicht gestartet (es erfolgt keine Visualisierung). DieStandardeinstellung wird wieder hergestellt, sobald sich ein Benutzer amBetriebssystem neu anmeldet oder der Computer neu gestartet wird.Das für die Visualisierung zu startende Programm wird hier angezeigt. Auch hierwird die Standardeinstellung wieder hergestellt, sobald sich ein Benutzer amBetriebssystem neu anmeldet, oder ein Neustart erfolgt.Diese Option sollten Sie nicht wählen, da der OpenLimit SignCubes Viewernicht starten wird.Standardeinstellung. Auch hier gilt, die Einstellung wird nach neuer Anmeldungam Betriebssystem oder Neustart wieder hergestellt.Hier sollte ein Häkchen gesetzt sein, da sonst keine Visualisierung erfolgt.Nach Neustart des Computers oder neuer Anmeldung am Betriebssystem wirdauch diese Einstellung wieder hergestellt.Bestimmt die Größe des Fensters, in dem die Anwendung startetDiese Funktion steht nicht zur Verfügung.190

Handbuch OpenLimit SignCubes 2.5.0.2191

Handbuch OpenLimit SignCubes 2.5.0.29.3.5 Drucker Eigenschaften - WasserzeichenWasserzeichendruckenWasserzeichen-OptionenWasserzeichen nur zurersten Seite hizufügenSeiten im HochformatSeiten im QuerformatWasserzeichen Datei:Position:Helligkeit:Aktivieren Sie diese Option, um Ihr Dokument mit einem Wasserzeichenzu versehen.Aktivieren Sie diese Option, um das Wasserzeichen nur auf der erstenSeite des Dokuments anzubringen.Wählen Sie in diesem Bereich eine Datei aus, die als Wasserzeichen aufalle Seiten im Hochformat ausgegeben werden soll.Wählen Sie in diesem Bereich eine Datei aus, die als Wasserzeichen aufalle Seiten im Querformat ausgegeben werden soll.Hier wählen Sie die Datei aus, die als Wasserzeichen ausgegebenwerden soll.Center = MittigStreched to Fit = über die ganze Seite gestrecktStreched to Width = über die Seitenbreite gestrecktTile = gekacheltLegen Sie hier die Helligkeit des jeweiligen Wasserzeichens fest.192

Handbuch OpenLimit SignCubes 2.5.0.2193

Handbuch OpenLimit SignCubes 2.5.0.29.3.6 Drucker Eigenschaften - Embed AnnotationAlle unter diesem Reiter gewählten Optionen werden bei neuer Anmeldung an das Betriebssystem oderNeustart des Computers zurückgesetzt.KommentareeinbeziehenZeichenfolgeDatumZeitKommentarPositionFarbeSchriftartFormat des DatumsZeit-FormatWenn Sie hier ein Häkchen setzen, können Sie Bemerkungen in die zusignierende Datei einfügen. Der hier geschriebene Text wird in die TIFF Dateieingebettet.Geben Sie Text hier ein.Schriftarten können hier definiert werden.Das aktuelle Datum wird eingefügt, wenn Sie hier ein Häkchen setzen.Hier legen Sie ein Datumsformat fest.Mit einem Häkchen hier fügt man die Uhrzeit ein.Hier legen Sie das Format für die Uhrzeit fest und wählen, ob Sie Minuten,Sekunden und Zeitzone mit einbeziehen wollen.Hier wählen Sie, wie der Text platziert wird.Die Farbe des Textes kann hier gewählt werden.194

Handbuch OpenLimit SignCubes 2.5.0.2195

Handbuch OpenLimit SignCubes 2.5.0.210 E-Mail ClientsDie Software OpenLimit SignCubes 2.5 unterstützt das Signieren und Verschlüsseln von E-Mails inverschiedenen E-Mail Programmen. In diesem Kapitel werden die vorzunehmenden Einstellungen und diegrundlegenden Arbeitsschritte der unterstützen E-Mail Clients anhand eines Besipiels kurz beschrieben.Weitere Informationen zu aktuellen Versionen der E-Mail Cients finden Sie auf der OpenLimit FAQ Seiteunterhttps://www.OpenLimit.com/faq/unter E-Mail Clients.Die folgenden Erklärungen betreffen hauptsächlich Funktionen und Einstellungen ausgewählter E-MailClients und erheben keinen Anspruch auf Vollständigkeit. Sollte hier etwas fehlen, empfehlen wirgrundsätzlich, in der Hilfe oder im Handbuch des jeweiligen Programms nachzusehen.Voraussetzung für das Arbeiten mit den verschiedenen E-Mail Programmen ist, dass das Programmrichtig installiert ist und das E-Mail Konto, das der E-Mail Adresse Ihres Zertifikats entspricht, richtigeingerichtet wurde. Um zu erfahren wie Sie ein E-Mail Konto einrichten, lesen Sie bitte die Hilfe desjeweiligen E-Mail Programms.10.1 Microsoft Outlook und Microsoft Outlook ExpressMicrosoft Outlook und Microsoft Outlook Express sind zwei oft verwendete E-Mail Programme. Mit demOpenLimit SignCubes Cryptographic Service Provider (CSP) können Sie E-Mails in Microsoft Outlook oderMicrosoft Outlook Express signieren und verschlüsseln.Der OpenLimit SignCubes Cryptographic Service Provider kommt nur dann zum Einsatz, wennInformationen der Karte benötigt werden, d.h. bei der Signaturerzeugung und beim Entschlüsseln. DasVerschlüsseln und die Signaturprüfung erfolgt durch Microsoft Outlook bzw. Microsoft Outlook Expressselbst.196

Handbuch OpenLimit SignCubes 2.5.0.210.1.1 Microsoft Outlook EinstellungenUm mit Microsoft Oulook bzw. Microsoft Outlook Express alle Sicherheitsfunktionen ausführen zukönnen, benötigen Sie ein e-Mail Konto mit der e-Mail Adresse, die in Ihrem Zertifikat steht. Diese habenSie beim Ausfüllen des Karten-Antrages angegeben. Beim Signieren oder Entschlüsseln wird dannautomatisch Ihr Zertifikat genommen, wenn die Karte im Kartenleser steckt.Einstellungen für Outlook ExpressDie folgenden Sicherheitseinstellungen sind unbedingt einzurichten, damit Sie Ihre Mails signieren und/oder verschlüsseln können.Stecken Sie Ihre Chipkarte in den Kartenleser und warten Sie, bis das Chipsymbol gelb ist.Klicken Sie im Hauptmenü auf Extras / Konten.Wählen Sie nun das Mailkonto aus, bei dem die Mailadresse mit der in Ihrem Zertifikatenthaltenen Mailadresse übereinstimmt.Klicken Sie auf Eigenschaften und wählen Sie das Register „Sicherheit“ aus.Für die E-Mail-Signatur wählen Sie über den ersten Button „Auswählen…“ Ihr Zertifikat für denZweck „Sichere E-Mail“ aus.Nehmen Sie diese Einstellungen auch für das Verschlüsselungszertifikat über den 2.Button„Auswählen…“ vor.Der Algorithmus bleibt auf 3DES eingestellt.197

Handbuch OpenLimit SignCubes 2.5.0.2Bestätigen Sie die Einstellungen mit OKWenn Sie automatisch signieren und verschlüsseln möchten, dann können Sie dies unter Extras- Optionen - Sicherheit einstellen.198

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis: Die nachfolgend beschriebenen Einstellungen sind nicht zwingend notwendig. Sie sollten dieseEinstellungen nur in dem Fall nochmal prüfen, falls der Empfänger Ihre Mail nicht lesen kann.Unter Extras - Optionen - Lesen klicken Sie auf Schriftarten. Dort stellen Sie einen 7 Bit Code ein. ZumBeispiel wählen Sie oben aus der Liste Unicode und unten bei der Codierung UTF-7.Dann klicken Sie auf den Button Als Standard, um diese Codierung als Standard einzustellen.Sie können aber auch jede Nachricht einzeln signieren und/oder verschlüsseln.199

Handbuch OpenLimit SignCubes 2.5.0.2Microsoft OutlookBei Microsoft Outlook müssen Sie erst das Signaturzertifikat und das Verschlüsselungszertifikatauswählen.Unter Extras - Optionen - Sicherheit gibt es den Bereich e-Mail sichern.Klicken Sie hier auf Einstellungen...Wählen Sie unter Bevorzugte Sicherheitseinstellungen:o das Sicherheitsformat für Nachrichten: S/MIME.Wählen Sie unter Zertifikate und Algorithmen folgende Einstellungen:o Signaturzertifikat: Ihr e-Mail Signaturzertifikato Hashalgorithmus: SHA1o Verschlüsselungszertifikat: Ihr e-Mail Verschlüsselungszertifikato Verschlüsselungsalgorithmus: 3DESo "Signierten Nachrichten diese Zertifikate hinzufügen" aktivieren.Klicken Sie auf OK.200

Handbuch OpenLimit SignCubes 2.5.0.2Unter dem Tab Sicherheit können Sie die automatische Signatur und Verschlüsselung von Nachrichteneinstellen. Dies ist aber für jede e-Mail auch einzeln möglich.10.1.2 Signieren und VerschlüsselnIn Outlook oder Outlook Express haben Sie unter Extras - Optionen - Sicherheit die Möglichkeit, dieSicherheitseinstellungen für alle e-Mails einzustellen. Wenn Sie bei jeder e-Mail selbst entscheidenmöchten, ob diese verschlüsselt und/oder signiert werden soll, wird dies im E-Mail Fenster eingestellt.201

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie mehrere E-Mail Konten eingerichtet haben, müssen Sie über das Konto mit der E-Mailadressesenden, die in Ihrem Zertifikat enthalten ist. Outlook überprüft die Angaben und falls diese nichtübereinstimmen, kann keine Signatur erzeugt werden.Outlook Express/Outlook 2003Bei Outlook Express können Sie direkt im E-Mail Fenster auf den Button Signieren oder Verschlüsselnklicken und anschließend auf Senden. Nach Eingabe der PIN ist die e-Mail signiert.Outlook 2000Unter Outlook 2000 müssen Sie zum Signieren und Verschlüsseln im E-Mail Fenster auf Optionen klickenund dort die entsprechenden Kästchen anhaken.Outlook XPKlicken Sie im E-Mail Fenster auf Optionen, oben rechts auf Sicherheitseinstellungen und dann dieKästchen Signieren und Verschlüsseln anhaken.Signatur und Klartext sendenWenn Sie die Signatur und den Klartext separat senden (detached signature), können auch dieEmpfänger Ihre E-Mail lesen, deren Client signierte Nachrichten nicht unterstützen (z.B. AOL). Einigekönnen auch die Signatur prüfen (z.B. T-Online).In Outlook Express finden Sie die Einstellung unter Extras/Optionen/Sicherheit/Button Erweitert. Dortsollte kein Häkchen unter "Nachricht vor dem Signieren verschlüsseln (PKCS#7)" gesetzt sein. Umjedoch eine E-Mail ohne Klartext zu senden, muss dieses Häkchen wieder gesetzt werden.In Outlook finden Sie die Einstellung unter Extras/Optionen/Sicherheit. Dort sollte ein Häkchen für"Signierte Nachrichten als Klartext senden" gesetzt sein.Um E-Mails verschlüsseln zu können, müssen die Zertifikate der Empfänger in die dazugehörigenKontakte integriert sein.202

Handbuch OpenLimit SignCubes 2.5.0.210.1.3 Verschlüsselungszertifikate in Kontakt integrierenUm für eine bestimmte Person zu verschlüsseln, muss das Zertifikat (digitale ID) der Kontaktperson inIhrem System installiert sein. Dazu lassen Sie sich eine signierte E-Mail von IhremKommunikationspartner schicken.So integrieren Sie ein Verschlüsselungszertifikat (digitale ID) in einem KontaktOutlookÖffnen Sie die signierte E-MailKlicken Sie mit der rechten Maustaste auf den Namen des Absenders Von: MailadresseWählen Sie Zu den Kontakten hinzufügen aus.203

Handbuch OpenLimit SignCubes 2.5.0.2Im Register Zertifikate können Sie sich das Zertifikat ansehenKlicken Sie auf den Button Speichern und Schliessen, damit das Zertifikat dem Kontakthinzugefügt wird.Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einemneuen Kontakt wird dieser automatisch angelegt. Ab diesem Zeitpunkt können E-Mails für denEmpfänger verschlüsselt werden.Outlook ExpressÖffnen Sie die signierte e-MailKlicken Sie mit der rechten Maustaste auf den Namen des Absenders.204

Handbuch OpenLimit SignCubes 2.5.0.2Wählen Sie Zum Adressbuch hinzufügen aus.Wenn der Kontakt bereits existiert, werden die Daten mit den neuen Informationen ergänzt. Bei einemneuen Kontakt wird dieser angelegt. Ab diesem Zeitpunkt können E-Mails für den Empfängerverschlüsselt werden.10.2 Mozilla / Netscape MailMozilla Mail ist ein Programm der Mozilla Foundation und wird gebündelt mit dem Mozilla Browserangeboten.Netscape ist eine Mozilla Distribution, die sich grundsätzlich nur in der Oberfläche von Mozillaunterscheidet. Da sich mit der deutschen Version von Mozilla einige wichtige Funktionen nicht richtigdarstellen lassen, wurde für diese Dokumentation Netscape 7.1 verwendet.205

Handbuch OpenLimit SignCubes 2.5.0.2Falls Sie eine deutsche Version von Mozilla verwenden, besteht die Möglichkeit, dass einige Texte oderButton nicht oder nur unvollständig dargestellt werden.Zudem kommt es vor, dass sich Mozilla und Netscape in der Benennung von Button und Kapitel zum Teilunterscheiden.In diesem Kapitel wird der Umgang mit Mozilla 1.6 bzw. Netscape 7.1 erklärt.Weitere Informationen zu aktuellen Versionen der E-Mail Cients finden Sie auf der OpenLimit FAQ Seiteunterhttps://www.OpenLimit.com/faq/unter E-Mail Clients.10.2.1 Mozilla / Netscape Mail Client SicherheitseinstellungenStarten Sie zunächst Netscape Mail: Start - Programme - Netscape 7.1 - EMail & DiskussionsforenSollten Sie Netscape Mail zum ersten Mal starten, so wird das Programm Ihnen mit einem Assistentenbeim Einrichten eines E-Mail Kontos behilflich sein. Um E-Mails signieren /verschlüsseln zu können,muss unbedingt ein Mailkonto für die Mailadresse eingerichtet sein, die auch in Ihrem Zertifikatenthalten ist (siehe gelbes Chipsymbol/Eigenschaften/Zertifikate).Hinweis: Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser ordnungsgemässinstalliert ist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate aufIhrer Karte befinden.Klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen, um das folgende Fenster zu öffnen.206

Handbuch OpenLimit SignCubes 2.5.0.2Kryptographie Modul installierenWählen Sie aus der Spalte links im Fenster Privatsphäre & Sicherheit - Zertifikate207

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...Jetzt öffnet sich das Fenster des Geräte-Managers, in dem alle geladenen Sicherheitsmodule zu sehensind.208

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11-Modul zu installieren.Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11-Modul, undklicken Sie dann auf Durchsuchen...Navigieren Sie nun zum SignCubes Programm-Verzeichnis (Standard:C:\Programme\OpenLimit), wählen Sie dort die Datei siqp11.dll aus, und klicken Sie aufÖffnen.209

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie nun auf OK, um das Modul zu laden.Bestätigen Sie die Frage, ob Sie dieses Modul installieren wollen, nochmals mit OK.Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK.Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OpenLimitSignCubes 2.5 Software.210

Handbuch OpenLimit SignCubes 2.5.0.2Schliessen Sie den Geräte-Manager mit einem Klick auf OK, um weitere Einstellungenvornehmen zu können.Das Mozilla/Netscape Einstellungsfenster sollte noch geöffnet und die Kategorie Zertifikate zusehen sein.Klicken Sie auf den Button Zertifikate verwalten, um den Zertifikat-Manager zu öffnen und dieVertrauenswürdigkeit für die Zertifikate einzustellen.Der Zertifikat-Manager übernimmt die Verwaltung von Zertifikaten. Unter dem Register IhreZertifikate werden die Zertifikate angezeigt, welche auf Ihrer Karte gespeichert sind.211

Handbuch OpenLimit SignCubes 2.5.0.2Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Ausstellernicht verrauenswürdig" oder "Aussteller unbekannt" beinhaltet und klicken Sie auf Anzeigen.212

Handbuch OpenLimit SignCubes 2.5.0.2Mozilla/Netscape bringt die Meldung "Zertifikat konnte aus unbekannten Gründen nicht zugelassenwerden." Der Inhalt dieser Meldung ist abhängig von dem jeweiligen Zertifikat.Unter Ausgestellt von finden Sie den Herausgeber Ihres Zertifikats, für den Sie die Vertrauenswürdigkeiteinstellen müssen. Vermerken Sie sich diese Information und schliessen Sie das Fenster.Klicken Sie auf den Reiter Aussteller und markieren Sie Ihren Zertifikatsaussteller.Klicken Sie nun den Aussteller Ihres Zertifikats an.213

Handbuch OpenLimit SignCubes 2.5.0.2Über den Button Bearbeiten in dem Fenster Vertrauenseinstellungen für.. sollten Sie mindestens für den2. Punkt ein Häkchen setzen.Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen importieren.214

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie dazu auf den Button Importieren, wählen Sie unterC:\Programme\OpenLimit\Data\CRLs den entsprechenden Aussteller aus, z.B. für dieOpenLimit CA wählen Sie "OpenLimit", markieren Sie die Datei OpenLimit_CA.cer und klickenSie auf Öffnen.Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordner des Programmverzeichnisses finden, müssenSie sich das Zertifikat des Zertifikatsherausgebers direkt downloaden und installieren. In den meistenFällen finden Sie diese Daten auf den jeweiligen Internetseiten.Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.Jetzt vertrauen Sie dem Aussteller Ihres Zertifikats und unter dem Register Ihre Zertifikate wird für IhrZertifikat "Unterzeichnen, Unterschrift oder Verschlüsseln" angezeigt.215

Handbuch OpenLimit SignCubes 2.5.0.2Nach dem Sie diese Einstellungen vorgenommen haben, erscheint in dem folgenden Fenster dieMeldung, für welchen Verwendungszweck das Zertifikat verifiziert wurde.Schliessen Sie den Zertifikats-Manager und das Einstellungsfenster.Zertifikate für die Signatur und Verschlüsselung auswählenKlicken Sie in der Menüleiste nun auf Bearbeiten - eMail und Diskussionsforen-Konto-Einstellungen...216

Handbuch OpenLimit SignCubes 2.5.0.2Wählen Sie jetzt im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresseenthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu der folgenden Ansichtzu gelangen.An dieser Stelle legen Sie fest, welche Zertifikate zur Signatur und Verschlüsselung verwendet werdensollen.Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen.217

Handbuch OpenLimit SignCubes 2.5.0.2Mozilla / Netscape schlägt Ihnen an dieser Stelle für die Signatur von E-Mails automatisch ein Zertifikatvor.Klicken Sie auf OK.Nun öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zumVer- und Entschlüsseln verwenden wollen.Bestätigen Sie mit OK.Anschließend solten Sie überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist.Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen an. Für den Zwecksollte mindestens "Verschlüsseln" angezeigt werden.Klicken Sie nun auf OK. Damit wird Ihnen erneut das Fenster mit der Rubrik "Sicherheit"angezeigt.Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre E-Mails generell signieren wollen.218

Handbuch OpenLimit SignCubes 2.5.0.2Wählen Sie, ob Sie Ihre E-Mails verschlüsselt oder unverschlüsselt versenden wollen.Sie können diese Einstellung beim Erstellen einer E-Mail immer noch ändern.Sie haben alle Sicherheitseinstellungen für Mozilla/Netscape vorgenommen und können das Fenster mitOK schließen.219

Handbuch OpenLimit SignCubes 2.5.0.210.2.2 Arbeiten mit Mozilla / Netscape MailE-Mails signieren und verschlüsselnStarten Sie zunächst Mozilla/Netscape Mail und verfassen Sie eine neue E-Mail.Klicken Sie jetzt auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-Mail nochmals zu prüfen und gegebenenfalls zu ändern.Bitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigeneine E-Mail verschlüsseln zu können.Empfangen von signierten und verschlüsselten E-MailsSignierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.220

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf das Stift-Symbol, um die Details der Signatur zu prüfen.221

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevorSie die Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbolgekennzeichnet.Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.222

Handbuch OpenLimit SignCubes 2.5.0.2So integrieren Sie den öffentlichen Schlüssel von Zertifikaten anderer Personen in den Zertifikat-ManagerWenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, brauchen Sie denöffentlichen Schlüssel dieser Person.Variante 1:Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail. Wenn Sie die E-Mailöffnen, integriert Mozilla /Netscape Mail das mitgesendete Zertifikat automatisch in den Zertifikat-Manager unter Andere Personen.Variante 2:Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit demVerschlüsselungszertifikat als Anhang. Informationen zum Export eines Verschlüsselungszertifikatsfinden Sie in dem Abschnitt Verschlüsselungszertifikat exportieren.Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,Importieren Sie diese dann in dem Zertifikat-Manager unter Zertifikate anderer Personen.Wählen Sie dazu: Bearbeiten - Einstellungen - Privatsphäre & Sicherheit - ZertifikateKlicken Sie auf Zertifikate verwalten.Wählen Sie im Zertifikat-Manager den Register Andere Personen aus.Klicken Sie jetzt auf importieren und wählen Sie dann die Zertifikatsdatei (*.cer Datei) aus, dieSie auf Ihrem Computer abgespeichert haben.223

Handbuch OpenLimit SignCubes 2.5.0.2Das Zertifikat ist im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für diese Personverschlüsseln.Beachten Sie, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einer bestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-Mail Adresse dergleichen Person senden.10.3 Mozilla ThunderbirdMozilla Thunderbird ist ein E-Mail Programm der Mozilla Foundation. Es bietet alle Funktionen einesmodernen E-Mail Programms und kann mit PKCS#11 Modulen umgehen. Benutzern von MicrosoftOutlook wird die Bedienung von Thunderbird leichtfallen, da viele der gängigsten Funktionen ähnlichsind.224

Handbuch OpenLimit SignCubes 2.5.0.2In diesem Kapitel wird der Umgang mit Thunderbird 1.0.2 beschrieben. Sollten Sie eine andere Versionvon Thunderbird verwenden, so kann es zu Abweichungen mit den hier aufgeführten Abläufen kommen.10.3.1 Thunderbird SicherheitseinstellungenStarten Sie zunächst Thunderbird. Sollten Sie Thunderbird zum ersten Mal starten, so wird Ihnen dasProgramm mit einem Assistenten beim Einrichten eines E-Mail Kontos behilflich sein.Um E-Mails signieren /verschlüsseln zu können, muss unbedingt ein Mailkonto für die Mailadresseeingerichtet sein, die auch in Ihrem Zertifikat enthalten ist (siehe gelbesChipsymbol/Eigenschaften/Zertifikate).Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser ordnungsgemäss installiertist, Ihre Karte sich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Kartebefinden.Klicken Sie in der Menüleiste Extras - Einstellungen an, um das folgende Fenster zu öffnen.225

Handbuch OpenLimit SignCubes 2.5.0.2Wählen Sie Erweitert aus und scrollen Sie den Balken rechts im Fenster zum AbschnittZertifikate.Kryptographie-Modul installierenKlicken Sie auf den Button Kryptographie-Module.Jetzt öffnet sich Thunderbird's Kryptographie-Modul-Manager mit einer Ansicht aller bereits geladenenKomponenten.Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul zu installieren.226

Handbuch OpenLimit SignCubes 2.5.0.2Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11 Modul, undklicken Sie dann auf Durchsuchen...Navigieren Sie nun zum SignCubes Installations-Verzeichnis (Standard:C:\Programme\OpenLimit), wählen Sie dort die Datei siqp11.dll aus und klicken Sie aufÖffnen.227

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie nun auf OK, um das Modul zu laden.Bestätigen Sie die Frage, ob Sie dieses Modul installieren wollen, nochmals mit OK.Die Meldung "Ein neues Sicherheitsmodul wurde installiert" bestätigen Sie ebenfalls mit OK.Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul der OpenLimitSignCubes 2.5 Software.228

Handbuch OpenLimit SignCubes 2.5.0.2Schließen Sie nun den Kryptographie-Modul-Manager mit einem Klick auf OK, um weitereEinstellungen vorzunehmen.Das Thunderbird Einstellungsfenster sollte noch geöffnet und der Abschnitt Zertifikate zu sehen sein.Klicken Sie auf den Button Zertifikate, um den Thunderbird-Zertifikat-Manager zu öffnen.Der Zertifikat-Manager übernimmt die Verwaltung der Zertifikate. Unter dem Register Ihre Zertifikate sinddie Zertifikate zu sehen, die sich auf Ihrer Karte befinden.229

Handbuch OpenLimit SignCubes 2.5.0.2Wählen Sie ein Zertifikat aus, das auf Ihren Namen ausgestellt ist und als Zweck "Ausstellernicht vertrauenswürdig" oder "Herausgeber unbekannt" anzeigt.Klicken Sie auf Ansicht.230

Handbuch OpenLimit SignCubes 2.5.0.2Thunderbird bringt standardmäßig die Ausschrift "Dieses Zertifikat konnte aus unbekannten Gründennicht verifiziert werden." Diese Meldung ist zertifikatsabhängig und kann im Einzelfall abweichen.Unter Herausgegeben für finden Sie den Herausgeber Ihres Zertifikats. Vermerken Sie sich bitte dieseInformation und schließen Sie das Fenster.Klicken Sie das Register "Zertifizierungsstellen" an und markieren Sie IhrenZertifikatsaussteller.231

Handbuch OpenLimit SignCubes 2.5.0.2Über den Button Bearbeiten sollten Sie in dem Fenster "Vertrauenseinstellungen" mindestens für den 2.Punkt ein Häkchen setzen.Wird der Aussteller Ihres Zertifikats nicht in der Liste angezeigt, müssen Sie diesen importieren.Klicken Sie dazu auf den Button Importieren.Wählen Sie unter C:\Programme\OpenLimit\Data\CRLs den entsprechenden Aussteller aus,z.B. für die OpenLimit CA wählen Sie den Ordner "OpenLimit".232

Handbuch OpenLimit SignCubes 2.5.0.2Markieren Sie die Datei "OpenLimit _CA.cer" .Klicken Sie auf Öffnen.Hinweis: Sollten Sie das Zertifikat nicht in dem CRLs Ordern des Programmverzeichnisses finden, müssenSie sich das Zertifikat direkt von dem Zertfikatsaussteller (im Regelfall per die Web-Seite) downloaden.Es wird ein Fenster geöffnet, in dem Sie den Vertrauensstatus festsetzen können.Sie sollten mindestens für den 2. Punkt ein Häkchen setzen. Jetzt vertrauen Sie dem Aussteller IhresZertifikats und unter dem Register Ihre Zertifikate wird für Ihr Zertifikat "Unterzeichnen, Unterschriftoder Verschlüsseln" angezeigt.Wählen Sie erneut das Register Ihre Zertifikate aus.233

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf Ansicht, um weitere Detailinformationen zu erhalten.Wenn alle Einstellungen korrekt ausgeführt wurden, sehen Sie folgendes Fenster, in dem Ihnen mitgeteiltwird, für welchen Verwendungszweck das Zertifikat verifiziert wurde.234

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf Schließen.Anschließend können Sie auch den Zertifikat-Manager und das Einstellungs-Fenster schließen.235

Handbuch OpenLimit SignCubes 2.5.0.2Zertifikate für die Signatur und Verschlüsselung auswählenKlicken Sie in der Menüleiste auf Extras - Konten.Wählen Sie im linken Bereich des Fensters unter Ihrem Mailkonto (muss die Mailadresseenthalten, die mit Ihrem Zertifikat verbunden ist) Sicherheit aus, um zu folgender Ansicht zugelangen.Legen Sie fest, welche Zertifikate für die Signatur und Verschlüsselung verwendet werdensollen.Klicken Sie im Bereich Digitale Unterschrift auf den Button Auswählen.236

Handbuch OpenLimit SignCubes 2.5.0.2Thunderbird schlägt Ihnen an dieser Stelle automatisch ein Zertifikat für die Signatur von E-Mails vor.Klicken Sie nun auf OK.Es öffnet sich folgendes Dialog-Fenster, in dem Sie gefragt werden, ob Sie das gleiche Zertifikat zum Ver-und Entschlüsseln verwenden wollen.Klicken Sie hier auf OK.Sie sollten überprüfen, ob das übernommene Zertifikat für die Verschlüsselung geeignet ist.Klicken Sie dazu unter dem Punkt Verschlüsselung den Button Auswählen an. Für den Zwecksollte mindestens "Verschlüsseln" angezeigt werden.237

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf OK. Anschließend erscheint wieder das Fenster mit der Rubrik "Sicherheit"Setzen Sie ein Häkchen für "Nachricht digital unterschreiben (als Standard)", wenn Sie Ihre E-Mails generell signieren wollen.Wählen Sie, ob Sie Ihre E-Mails standardmäßig verschlüsselt oder unverschlüsselt versendenwollen.Sie können diese Einstellungen beim Erstellen einer E-Mail immer noch ändern.238

Handbuch OpenLimit SignCubes 2.5.0.2Sie haben alle Sicherheitseinstellungen für Thunderbird vorgenommen und können das Fenster mit OKschließen.10.3.2 Arbeiten mit ThunderbirdBevor Sie die hier beschriebenen Abläufe ausführen können, müssen Sie das E-Mail Programmkonfigurieren. Lesen Sie dazu das Kapitel Thunderbird Sicherheitseinstellungen.E-Mails signieren und verschlüsselnStarten Sie Thunderbird und verfassen Sie eine neue E-Mail.Klicken Sie auf den kleinen Pfeil rechts neben Sicherheit, um die Einstellungen für die E-Mailnochmals zu prüfen und gegebenenfalls zu ändern.239

Handbuch OpenLimit SignCubes 2.5.0.2Beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigen eine E-Mail verschlüsseln zu können.Empfangen von signierten und verschlüsselten E-MailsSignierte E-Mails werden mit einem Stift-Symbol gekennzeichnet.240

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf das Stift-Symbol, um die Signatur der E-Mail zu prüfen.Mit einem Klick auf Unterschriftszertifikat ansehen, können Sie sich die Details zum Zertifikat anzeigenlassen.241

Handbuch OpenLimit SignCubes 2.5.0.2Wenn Sie eine verschlüsselte Nachricht erhalten, werden Sie zur Eingabe Ihrer PIN aufgefordert, bevorSie die Nachricht lesen können. Verschlüsselte Nachrichten sind mit einem Schlüssel-Symbolgekennzeichnet.Klicken Sie auf das Schlüssel-Symbol, um sich die Details der E-Mail anzusehen.242

Handbuch OpenLimit SignCubes 2.5.0.2So integrieren Sie den öffentlichen Schlüssel von Zetrifikaten anderer Person in den Zertifikat-ManagerWenn Sie eine verschlüsselte E-Mail an eine andere Person senden wollen, benötigen Sie denöffentlichen Schlüssel des Empfängers.Variante 1:Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine signierte E-Mail.Wenn Sie die E-Mail öffnen, integriert Thunderbird das mitgesendete Zertifikat automatisch in denZertifikat-Manager unter Zertifikate anderer Personen.Variante 2:Die Person, für die Sie verschlüsseln wollen, schickt Ihnen eine E-Mail mit demVerschlüsselungszertifikat als Anhang. Weitere Informationen zu dem Export vonVerschlüsselungszertifikaten finden Sie in dem Abschnitt Verschlüsselungszertifikat exportieren.Speichern Sie die Zertifikatsdatei auf Ihrem Computer ab,Importieren Sie diese dann in den Zertifikat-Manager unter Zertifikate anderer Personen.Wählen Sie dazu: Extras - Einstellungen - Erweitert - ZertifikateWählen Sie dann im Zertifikat-Manager das Register Zertifikate anderer Personen aus.Klicken Sie jetzt auf Importieren und wählen Sie dann die Zertifikatsdatei aus, die Sie aufIhrem Computer abgespeichert haben.243

Handbuch OpenLimit SignCubes 2.5.0.2Das Zertifikat ist jetzt im Zertifikat-Manager installiert. Jetzt können Sie E-Mails für die Person, derdieses Zertifikat gehört, verschlüsseln.Beachten Sie bitte, dass das Verschlüsselungszertifikat der Person in Zusammenhang mit einerbestimmten E-Mail Adresse steht. Sie können also keine verschlüsselte E-Mail an eine andere E-MailAdresse der gleichen Person senden.10.4 Lotus NotesLotus Notes ist ein E-Mail Programm, welches sehr umfassende Funktionen bietet. Hier werden nur dieFunktionen beschrieben, welche in direkter Verbindung mit dem Empfangen und Versenden vonsignierten und verschlüsselten E-Mails stehen.Die hier beschriebenen Abläufe beziehen sich auf die Software Lotus Notes 6.5, Version 6.5.4 Deutsch.Bitte beachten Sie, dass frühere Versionen (z.B. Lotus Notes 6.5.3 Deutsch) nicht ausreichend lokalisiert244

Handbuch OpenLimit SignCubes 2.5.0.2sind und daher manche Funktionen (z.B. Internet-Zertifikate von Smartcard importieren) nicht möglichsind. Dies hat zur Folge, dass die Vorgängerversionen nicht ohne weiteres für die hier beschriebenenAbläufe zu verwenden sind.Sollten Sie eine ältere Version von Lotus Notes 6.5 oder Lotus Notes 6 verwenden, so kann es hilfreichsein, erst ein Update auf die oben genannte Version zu installieren, bevor Sie versuchen, die hierbeschriebenen Abläufe nachzuvollziehen.10.4.1 Lotus Notes 6.5.4 SicherheitseinstellungenVoraussetzung für die Sicherheitseinstellungen in Lotus NotesBevor Sie die hier beschriebenen Einstellungen vornehmen können, müssen folgende Voraussetzungenerfüllt sein:Ihr E-Mail Konto muss ordnungsgemäß eingerichtet sein,die OpenLimit SignCubes 2.5 Software und der Kartenleser müssen installiert sein,OpenLimit SignCubes 2.5 ist gestartet,die Karte befindet sich im Kartenleser und wurde erkannt.Installieren des PKCS#11 TreibersDamit Lotus Notes mit den Zertifikaten auf Ihrer Smartcard arbeiten kann, muss zunächst der PKCS#11Treiber in Lotus Notes installiert werden.Wählen Sie zunächst Datei - Sicherheit - Benutzersicherheit...245

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf Ihre Identität im linken Bereich des Fensters.Wählen Sie anschließend Ihre Smartcard.246

Handbuch OpenLimit SignCubes 2.5.0.2Jetzt öffnet sich ein Fenster zur Smartcard Konfiguration.Klicken Sie nun auf das Ordner-Symbol, um eine Smartcard-Treiberdatei zu installieren.Daraufhin öffnet sich ein Fenster zum Auswählen des Smartcard Treibers.Navigieren Sie nun zu dem SignCubes Programmverzeichnis (Standard: C:\Programme\OpenLimit) und wählen die Datei siqp11.dll aus.Klicken Sie auf Öffnen, um den Treiber zu installieren.247

Handbuch OpenLimit SignCubes 2.5.0.2Daraufhin wird das Fenster zur Smartcard Konfiguration dargestellt, in welchem Sie jetzt den installiertenTreiber sehen.Klicken Sie auf Fortfahren..., um die Installation abzuschließen.Installation Ihres Signatur-ZertifikatsDamit Sie das auf Ihrer Smartcard gespeicherte Signaturzertifikat zum Signieren von E-Mails in LotusNotes nutzen können, müssen Sie dieses zunächst installieren.Wählen Sie Ihre Zertifikate in dem linken Bereich des Fensters aus.Klicken Sie dann auf den Button Zertifikate abrufen... und wählen Sie aus dem Menü den PunktInternet-Zertifikat von einer Smartcard importieren.248

Handbuch OpenLimit SignCubes 2.5.0.2Hinweis: Wenn Sie eine ältere deutsche Version von Lotus Notes 6.5 oder 6 (z.B. Lotus Notes 6.5.3Deutsch) verwenden, ist diese Schaltfläche gegraut und Sie können somit keine Smartcard Zertifikateimportieren. Installieren Sie in diesem Fall ein Update auf Lotus Notes 6.5.4.Wenn die Zertifikate erfolgreich importiert wurden, erscheint folgende Meldung.Wählen Sie nun Ihre Internet-Zertifikate aus dem Menü.Jetzt werden die von der Smartcard importierten Zertifikate angezeigt werden.Wenn Ihr Zertifikat nicht angezeigt wird, sollten Sie Lotus Notes beenden, neu starten und dann zudiesem Dialog zurückkehren (Datei - Sicherheit - Benutzersicherheit- Ihre Identität - Ihre Zertifikate -Menü: Ihre Internet-Zertifikate).249

Handbuch OpenLimit SignCubes 2.5.0.210.4.2 Arbeiten mit Lotus Notes 6.5.4Bevor Sie damit beginnen können, mit Lotus Notes 6.5.4 signierte oder verschlüsselte E-Mails zuversenden oder zu empfangen, stellen Sie sicher, dass das Programm ordnungsgemäss konfiguriert ist.Lesen Sie dazu das Kapitel Lotus Notes 6.5.4 Sicherheitseinstellungen.Versenden einer signierten E-MailErstellen Sie zunächst ein neues Memo.Klicken Sie dann auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen fürSignieren.Klicken Sie auf OK, um die Einstellungen zu speichern.250

Handbuch OpenLimit SignCubes 2.5.0.2Jetzt können Sie die E-Mail senden.Sie werden dazu aufgefordert, eine Signatur zu erzeugen. Weitere Informationen dazu finden Sie in demAbschnitt Signieren.So integrieren Sie den öffentlichen Schlüssel des Zertifikats einer anderen Person in Lotus NotesDie Person, für die Sie verschlüsseln wollen muss Ihnen dazu eine signierte E-Mail senden.Öffnen Sie die E-Mail, klicken Sie dann auf den Button Werkzeuge und wählen Sie im MenüAbsender in Adressbuch aufnehmen aus.251

Handbuch OpenLimit SignCubes 2.5.0.2Es öffnet sich ein Fenster, zur Aufnahme der Daten in das Adressbuch.Wählen Sie jetzt das Register Erweitert aus, und aktivieren Sie die Option Gegebenenfallsx.509-Zertifikate aufnehmen.Klicken Sie OK, um die Daten zu speichern.252

Handbuch OpenLimit SignCubes 2.5.0.2Versenden einer verschlüsselten E-MailBitte beachten Sie, dass Sie den öffentlichen Schlüssel des Empfängers benötigen, um für denjenigenverschlüsseln zu können.Erstellen Sie zunächst ein neues Memo.Klicken Sie auf die Schaltfläche Zustelloptionen... und setzen Sie ein Häkchen fürVerschlüsseln.Klicken Sie dann auf OK, um die Einstellungen zu speichern.Jetzt können Sie Ihre verschlüsselte E-Mail versenden.10.4.3 Lotus Notes 5Zur Verwendung Ihrer Smartcard unter Lotus Notes 5 wird ein PKCS#11 Treiber benötigt.Dieser wird unter Lotus Notes 5 über Trusted Mime eingebunden. Dazu muss Trusted Mime auf demRechner installiert sein. Um genaue Informationen zu erhalten, wie Sie den PKCS#11 Treiber in TrustedMime richtig einbinden, informieren Sie sich bitte in der Trusted Mime Dokumentation.253

Handbuch OpenLimit SignCubes 2.5.0.2Der PKCS#11 Treiber befindet sich im Installationsverzeichnis der OpenLimit SignCubes 2.5 Software(Standard: C:\Programme\ OpenLimit\siqp11.dll )Weitere Informationen finden Sie in dem Abschnitt Arbeiten mit Lotus Notes 6.5.4.11 SSL AuthentisierungMit den Modulen der OpenLimit SignCubes Software sind Sie in der Lage, sich an einer Webseite welcheSSL Authentisierung verwendet, anzumelden. Diese Aufgabe wird je nach Verwendung des Web-Browsersvom CSP oder vom PKCS#11 Treiber übernommen.Über SSLSecure Sockets Layer (SSL) ist ein Verschlüsselungsprotokoll für Datenübertragung im Internet. Wenneine Verbindung zu einer Webseite über SSL hergestellt wird, geschieht dies in etwa so:Zunächst sendet der Client (Web-Browser mit dem Sie arbeiten) eine Verbindungsanfrage an den Server(dort ist die Webseite, die Sie besuchen wollen). Daraufhin antwortet der Server und sendet ein Zertifikat.Indem Sie bestätigen, dass Sie dem Zertifikat des Servers vertrauen, ermöglichen Sie Ihren Web-Browserdie Verbindung zum Server herzustellen. (Dieser Schritt wird unter Umständen automatisch durchgeführt,z.B. dann, wenn das Server-Zertifikat von Ihrem Web-Browser bereits als vertrauenswürdig eingestuftwird.) Eventuell will der Server aber auch wissen ob, Sie die Person sind, für die Sie sich ausgeben undsendet eine entsprechende Anfrage an Ihren Web-Browser (Bidiretionelle SSL Authentifizierung).Jetztmüssen Sie sich dem Server gegenüber identifizieren, indem Sie die Anfrage des Servers signieren. Dabeikommen die Module der Software zum Einsatz. Nun ist eine sichere Verbindung über SSL hergestellt.Wenn Sie mehr über SSL wissen wollen, lesen Sie unterhttp://de.wikipedia.org/wiki/Secure_Sockets_Layernach.254

Handbuch OpenLimit SignCubes 2.5.0.2Die folgenden Web-Browser werden für die SSL Authentisierung von OpenLimit SignCubes 2.5unterstützt:Internet Explorer ab Version 6Mozilla ab Version 1.6 (entspricht Netscape ab Version 7.1)Firefox ab Version 1.0.4Der Internet Explorer nutzt dazu den Cryptographic Service Provider (CSP). Firefox und Mozilla /Netscape hingegen verwenden den PKCS#11 Treiber. Firefox und Mozilla / Netscape müssen daherrichtig konfiguriert werden, bevor die SSL Authentisierung gestartet werden kann. Wenn Sie mit Firefoxoder Mozilla / Netscape arbeiten, lesen Sie deshalb bitte die Kapitel Firefox BrowserSicherheitseinstellungen bzw. Mozilla / Netscape Browser Sicherheitseinstellungen.11.1 Internet ExplorerBevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie IhreKarte in den Leser stecken und warten bis diese erkannt wurde (Chipsymbol ist gelb).Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSLVerschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Servergegenüber nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wirdzwar eine sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie übermittelnnicht an die Stelle senden, an die Sie diese zu senden glauben.Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden.Herstellen einer Verbindung zu einer Webseite mit SSL AuthentisierungWenn Sie mit Internet Explorer eine Webseite aufsuchen, die SSL Authentisierung verwendet, wirdeventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigenwollen.Bestätigen Sie den Dialog mit Ja, um fortzufahren.Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite angezeigt. Lesen Siediese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen.Um den Vorgang fortzusetzen, müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen.255

Handbuch OpenLimit SignCubes 2.5.0.2Warten Sie nun einen Moment, bis sich der Signaturanforderungsdialog der OpenLimit SignCubes 2.5Software öffnet.Klicken Sie jetzt auf Signatur erzeugen und geben Sie Ihre globale PIN ein. Damit identifizierenSie sich gegenüber dem Server.Die Verbindung zur Webseite wird hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseiteausgetauscht werden, werden über eine sichere Verbindung geschickt.11.2 Mozilla Firefox Browser SicherheitseinstellungenBevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren,dass dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann.Die Beschreibungen in diesem Kapitel setzten voraus, dass Ihr Kartenleser richtig installiert ist, IhreKarte sich in diesem befindet, erkannt wurde und die notwendigen Zertifikate sich auf Ihrer Kartebefinden.Öffnen Sie den Web-Browser und klicken Sie dann in der Menüleiste auf Extras - Einstellungen.Kryptographie Modul installierenWählen Sie nun aus der Spalte links im Fenster Erweitert und scrollen Sie dann im rechten Teildes Fensters bis zum Abschnitt Zertifikate.256

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie jetzt auf Kryptographie-Module verwalten...Es öffnet sich der Kryptographie-Modul-Manager mit einer Ansicht der bereits aktiven Komponenten.257

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zumUmgang mit Ihrer Karte notwendig ist, zu installieren.Geben Sie dem Modul zunächst einen Namen, z.B. OpenLimit SignCubes PKCS#11 Modul, undklicken Sie dann auf Durchsuchen...Navigieren Sie zum SignCubes Installations-Verzeichnis (Standard: C:\Programme\OpenLimit),wählen Sie dort die Datei siqp11.dll aus,klicken Sie auf Öffnen.258

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie nun auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie diesesModul installieren wollen, bestätigen Sie dies mit OK.Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul.Klicken Sie nun auf OK.Jetzt ist Firefox richtig konfiguriert.259

Handbuch OpenLimit SignCubes 2.5.0.211.3 Mozilla Firefox SSL AuthentisierungBevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie IhreKarte in den Leser stecken und warten, bis diese erkannt wurde (gelbes Chipsymbol).Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSLVerschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Servergegenüber nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wirdzwar eine sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie übermittelnnicht an die Stelle senden, an die Sie diese zu senden glauben.Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden.Herstellen einer Verbindung zu einer Webseite mit SSL AuthentisierungWenn Sie mit Firefox eine Webseite aufsuchen, die SSL Authentisierung verwendet, wird eventuell eineMeldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigen wollen.Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteuerten Webseite angezeigt. Lesen Siediese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. Um den Vorgang fortzusetzen,müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen.Sie können das Zertifikat temporär oder für immer akzeptieren. Wenn Sie das Zertifikat für immerakzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nichtmehr angezeigt.Es wird der Signaturanforderungsdialog der OpenLimit SignCubes 2.5 Software geöffnet.Klicken Sie jetzt auf Signatur erzeugen.Geben Sie Ihre globale PIN (CSA-Passwort) ein. Damit identifizieren Sie sich gegenüber demServer.260

Handbuch OpenLimit SignCubes 2.5.0.2Es wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseiteausgetauscht werden, werden über eine sichere Verbindung geschickt.11.4 Mozilla / Netscape Browser SicherheitseinstellungenBevor Sie die SSL Authentisierung verwenden können, müssen Sie den Web-Browser so konfigurieren,dass dieser mit Ihrer Smartcard und den darauf installierten Zertifikaten umgehen kann.Die Beschreibungen in diesem Kapitel setzen voraus, dass Ihr Kartenleser richtig installiert ist, Ihre Kartesich in diesem befindet, erkannt wurde und sich die notwendigen Zertifikate auf Ihrer Karte befinden.Öffnen Sie den Web-Browser und klicken Sie in der Menüleiste auf Bearbeiten - Einstellungen.Kryptographie Modul installierenWählen Sie nun aus der Spalte links im Fenster Privatsphäre & Sicherheit – Zertifikate.261

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie jetzt auf Sicherheitseinrichtungen verwalten...Jetzt öffnet sich ein Fenster in dem bereits geladene Sicherheitsmodule angezeigt werden.262

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie in diesem Fenster auf den Button Laden, um das PKCS#11 Modul, welches zumUmgang mit Ihrer Karte notwendig ist, zu installieren.Geben Sie dem Modul zunächst einen Namen, z.B. "OpenLimit SignCubes PKCS#11 Modul"und klicken Sie auf Durchsuchen...Navigieren Sie zum OpenLimit SignCubes Installations-Verzeichnis (Standard:C:\Programme\OpenLimit), wählen Sie dort die Datei siqp11.dll aus und klicken Sie aufÖffnen.263

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie auf OK, um das Modul zu laden und wenn Sie gefragt werden, ob Sie dieses Modulinstallieren wollen, bestätigen Sie dies mit OK.Anschließend sehen Sie links im Fenster das geladene PKCS#11 Modul.264

Handbuch OpenLimit SignCubes 2.5.0.2Klicken Sie nun auf OK.Jetzt ist Mozilla /Netscape richtig konfiguriert.11.5 Mozilla / Netscape SSL AuthentisierungBevor Sie eine Webseite besuchen können, welche mit SSL Authentisierung arbeitet, müssen Sie IhreKarte in den Leser stecken und warten, bis sie erkannt wurde (gelbes Chipsymbol).Bitte beachten Sie, dass eine gegenseitige Identifizierung über SSL nicht das gleiche ist, wie eine SSLVerschlüsselung. Wenn Sie eine verschlüsselte Webseite besuchen, müssen Sie sich dem Servergegenüber nicht identifizieren. Zudem sendet der Server nicht unbedingt ein Zertifikat an Sie. Es wirdzwar eine sichere Verbindung hergestellt, jedoch ist es möglich, dass Sie die Daten, die Sie übermittelnnicht an die Stelle senden, an die Sie diese zu senden glauben.Mit einer gegenseitigen SSL Authentisierung können solche Risiken weitgehend vermieden werden.Herstellen einer Verbindung zu einer Webseite mit SSL AuthentisierungWenn Sie mit Mozilla / Netscape eine Webseite aufsuchen, die SSL Authentisierung verwendet, wirdeventuell eine Meldung angezeigt, in der Sie gefragt werden, ob Sie die sichere Webseite anzeigenwollen.Jetzt werden Ihnen Sicherheitshinweise zum Zertifikat der angesteurtern Webseite angezeigt. Lesen Siediese aufmerksam durch und lassen Sie sich das Zertifikat anzeigen. Um den Vorgang fortzusetzen,müssen Sie diesem Zertifikat vertrauen und mit Ja bestätigen.Sie können das Zertifikat temporär oder dauerhaft akzeptieren. Wenn Sie das Zertifikat dauerhaftakzeptieren, wird es im Zertifikats-Manager abgelegt und beim nächsten Besuch der Webseite nichtmehr angezeigt.Es öffnet sich der Signaturanforderungsdialog der OpenLimit SignCubes 2.5 Software.Klicken Sie auf Signatur erzeugen und geben Sie Ihre globale PIN (CSA-Passwort) ein. Damitidentifizieren Sie sich gegenüber dem Server.265

Handbuch OpenLimit SignCubes 2.5.0.2Jetzt wird die Verbindung zur Webseite hergestellt. Alle Daten, die nun zwischen Ihnen und der Webseiteausgetauscht werden, werden über eine sichere Verbindung geschickt.12 Erste HilfeIn diesem Kapitel wird der Umgang mit Fehlermeldungen des Produktes beschrieben. In den folgendenAuflistungen finden Sie mögliche Fehler, deren Ursache und wie Sie als Benutzer auf diese Fehlerreagieren können oder müssen.12.1 Wie gehe ich mit Fehlermeldungen um?Im Idealfall läuft das Produkt auf Ihrem Rechner so, dass Sie nie eine Fehlermeldung sehen. Da aber dasProdukt Sicherheitskomponenten (siehe "2.5.0.2") enthält, die Sie vor manipulierten Inhalten bei derDarstellung und bei der Signaturerzeugung schützen sollen, werden Sie im Laufe der Arbeit mit demProdukt auch mit solchen vermeintlichen Fehlermeldungen konfrontiert, die Sie auf ein Sicherheitsrisikooder auf einen tatsächlich erfolgten Angriff auf ein durch das Produkt zu schützendes Objekt hinweisen.Der folgende Abschnitt gibt Ihnen eine Übersicht, wie das Produkt auf versuchte Manipulationen oderÄnderungen reagiert und wie Sie als Benutzer in diesem Falle verfahren sollten. Dieser Abschnitt soll Sieals Benutzer des Produktes so sensibilisieren, dass Sie in der Lage sind, den sicheren Zustand desProduktes zu erkennen und Abweichungen richtig zu interpretieren.266

Handbuch OpenLimit SignCubes 2.5.0.2Der OpenLimit SignCubes Viewer meldet, dass die Fontdatei cour.ttf nicht vorhanden oder manipuliertist:Hintergrund: Der OpenLimit SignCubes Viewer verwendet den Font Courier New zur Darstellung vonTextinhalten. Diese Schriftart ist eine symmetrische Schriftart und die Verwendung soll dazu beitragen,dass Sie den angezeigten Text eindeutig lesen können. Die Interpretation des angezeigten Textes ausinhaltlicher Sicht kann die gesicherte Anzeigeeinheit allerdings nicht leisten, Sie müssen als Benutzerselbst entscheiden, ob Sie den angezeigten Text signieren wollen oder nicht.Ursache: In diesem Falle kommen zwei Ursachen in Frage. Die Datei kann wissentlich oder unwissentlichaus dem System entfernt worden sein. Da diese Font-Datei integraler Bestandteil des Betriebssystemsist, kommt eine wissentliche oder unwissentliche Manipulation des Betriebssystems in Betracht. Alszweite Ursache kann der Austausch oder die Manipulation dieser Datei in Betracht gezogen werden.Wenn Sie z.B. ein Grafikbearbeitungsprogramm auf Ihrem Rechner installieren, welches die vorhandeneDatei des Betriebssystems austauscht, kann diese Fehlermeldung auftreten. Sie sollten aber in Betrachtziehen, dass ein Angreifer versucht hat, die Datei so zu manipulieren, dass z.B. das Euro Zeichen gegendas Zeichen für britische Pfund ausgetauscht wurde.Benutzerinteraktion: Wenn die Fehlermeldung angezeigt wird, müssen Sie als Benutzer selbstentscheiden, ob Sie der Darstellung durch den OpenLimit SignCubes Viewer vertrauen. Der OpenLimitSignCubes Viewer kann in diesem Fall keine Garantie geben, dass der angezeigte Text dem entspricht,wie er mit der korrekten Version der Font Datei angezeigt werden würde. Vertrauen Sie im Zweifelsfall derDarstellung nicht und erzeugen Sie keine elektronische Signatur an dem angezeigten Dokument.Der Rechner stürzt während der Signaturerzeugung ab oder der Kartenlesertreiber bleibt 'hängen':Hintergrund: Wenn Inkompatibilitäten zwischen dem Betriebssystem und dem verwendetenKartenlesertreiber existieren, kann möglicherweise der Rechner während der Signaturerzeugungabstürzen oder das System reagiert nicht mehr auf Benutzerinteraktion. Das ist kein Fehler, der durchdas Produkt OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 verursacht wird.Benutzerinteraktion: Wenn der Rechner abstürzt oder hängen bleibt, sollten Sie auf jeden Fall denRechner abschalten und neu starten. Nur dieses Vorgehen gibt Ihnen als Benutzer die Sicherheit, dassder Arbeitsspeicher des Rechners neu initialisiert wird und keine Speicherbereiche im RAM des Rechnersverbleiben, die evtl. noch die erzeugte elektronische Signatur beinhalten. Wenn das Problem häufigerauftritt, sollten Sie sich an den Hersteller des verwendeten Kartenlesers wenden und Informationeneinholen, welcher Treiber für Ihren Kartenleser geeignet ist.267

Handbuch OpenLimit SignCubes 2.5.0.2Bei der Arbeit mit dem Produkt können Sie mit der Anwendung keine Signaturen mehr erzeugen oderprüfen. Der Tooltip im Systemtray zeigt an: 'Deaktiviert wegen Manipulationsverdacht':Hintergrund: Eine Sicherheitsfunktion des Produktes bietet einen Selbstschutz des Programmes gegenManipulationsversuche durch andere Programme oder durch unbefugte Dritte. Wenn ein Bestandteil desProduktes erkennt, dass z.B. eine Programmbibliothek ausgetauscht wurde, wird dies dem OpenLimitSignCubes Security Environment Manager gemeldet, welcher daraufhin die Funktionen zurSignaturerzeugung und Verifikation deaktiviert.Ursache: Möglicherweise hat jemand versucht, den Zustand des Produktes auf Ihrem Rechner zumanipulieren oder so zu verändern, dass daraus ein Schaden für Sie als Anwender entstehen könnte.Wenn Sie versucht haben, Bibliotheken aus älteren Versionen mit dem Produkt zu verwenden, gilt diesebenfalls als Manipulationsversuch und das Programm wird deaktiviert.Benutzerinteraktion: Sie sollten jetzt mit dem OpenLimit SignCubes Integrity Tool den Zustand Ihrerlokalen Installation überprüfen. Dieses Programm teilt Ihnen detailliert mit, welche Programmbibliothekvon dem Manipulationsversuch betroffen ist. Sie sollten keine weiteren Interaktionen mit dem Produktausführen, insbesondere sollten Sie nicht versuchen, eine elektronische Signatur zu erzeugen. Wenn Sieein nicht vom Hersteller authorisiertes Update eingespielt haben, müssen Sie das Produkt deinstallierenund erneut installieren. Wenn Sie sich nicht sicher sind, wie Sie weiter mit dem Produkt verfahren sollen,wenden Sie sich an den Hersteller, der Ihnen in diesem Fall Tipps für ein weiteres Vorgehen geben kann.268

Handbuch OpenLimit SignCubes 2.5.0.212.2 Fehlermeldungen vor oder während der InstallationDie folgenden Fehlermeldungen können vor oder während der Installation angezeigt werden.Fehlermeldung Ursache BenutzeraktionIhr Betriebssystem wird nichtunterstützt. Bitte verwenden Sie fürdiese Anwendung ein anderesBetriebssystem. Das Setup wirdbeendet.Ihre gegenwärtige Windows-Anmeldung ist nicht mitAdministratoren-Rechtenausgestattet. Um das Setupausführen zu können, müssen Sie sichals Administrator anmelden. DasSetup wird beendet.Ihr Internet Explorer ist älter alsVersion 5.01 SP2. Bitte installierenSie zunächst einen neueren InternetExplorer. Das Setup wird beendet.Diese Fehlermeldung kann nach demSprachauswahldialog und vor demAnzeigen der ersten Dialogseite fürdas Setup der OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.0.2 generiert werden.Die Betriebsystemversion, auf der dasProdukt installiert werden soll,entspricht nicht denMindestvoraussetzungen.Diese Fehlermeldung kann nach demSprachauswahldialog und vor demAnzeigen der ersten Dialogseite fürdas Setup der OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.0.2 generiert werden.Sie sind nicht mitAdministrationsrechten angemeldet.Diese Fehlermeldung kann nach demSprachauswahldialog und vor demAnzeigen der ersten Dialogseite fürdas Setup der OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.6.2 generiert werden.Ihr Betriebsystem genügt nicht denMindestanforderungen.Sie müssen ein Betriebsystemverwenden, welches denMindestanforderungen genügt.Sie müssen sich mitAdministrationsrechten an demRechner anmelden.Sie müssen eine Version desMicrosoft Internet Explorersinstallieren, die den Anforderungendes Produktes genügt.Sie haben für die Registry keineRechte zum Schreiben. DieInstallation kann nur mitSchreibrechten fortgesetzt werdenKonnte Verzeichnis nicht erstellen.Ihr Benutzerprofil erlaubt keinenschreibenden Zugriff auf die Registrydes Betriebsystems.Diese Fehlermeldung kann währenddes eigentlichen Installationsvorgangesdes Setups der OpenLimitSignCubes Basiskompo-nenten 2.5,Version 2.5.6.2 generiert werden.Das Verzeichnis zum Installieren derAnwendung konnte nicht erstelltwerden.Sie müssen sich mit einem Kontoanmelden, das über Schreibrechteauf die Registry verfügt. Wenn SieProgramme verwenden, die denschreibenden Zugriff auf die Registryverhindern, sollten Sie diesedeaktivieren.Sie sollten prüfen, ob Sie überSchreibrechte für das ausgewählteInstallationsverzeichnis verfügt.269

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung Ursache BenutzeraktionDie installierte Programm-Version istneuer als dieses Setup-Programm.Bitte verwenden Sie die aktuellsteVersion. Das Setup wird abgebrochen.Der Inhalt dieses Setups ist älter alsIhre installierte Version. Bitteinstallieren Sie nur die neuesteVersion.Es ist nicht genügend Speicherplatzfür die Installation dieser Anwendungvorhanden. Der minimal erforderlicheSpeicherplatz beträgt 200 MB.Sie benötigen für diese Anwendungeine Java(TM) Runtime in einerVersion mindestens 1.4.2_08. Bitteinstallieren Sie vorher eineentsprechende Java (TM) Runtime.Das Setup wird jetzt abgebrochen.Diese Produktversion ist mit derinstallierten Version nicht vereinbar.Bitte deinstallieren Sie vorher die alteVersion.Diese Fehlermeldung kann nach demSprachauswahldialog und vor demAnzeigen der ersten Dialogseite fürdas Setup der OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.0.2 generiert werden.Es ist bereits eine neuere Version derOpenLimitinstalliert.BasiskomponentenDiese Fehlermeldung kann nach demSprachauswahldialog und vor demAnzeigen der ersten Dialogseite fürdas Setup der OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.0.2 generiert werden.Es ist bereits eine neuere Version derOpenLimitinstalliert.BasiskomponentenDiese Fehlermeldung kann nach demSprachauswahldialog und vor demAnzeigen der ersten Dialogseite fürdas Setup der OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.0.2 generiert werden.Für die Installation steht keinausreichender Speicherplatz zurVerfügung.Diese Fehlermeldung kann nach demSprachauswahldialog und vor demAnzeigen der ersten Dialogseite fürdas Setup der OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.0.2 generiert werden.Diese Fehlermeldung weist daraufhin, dass entweder die Java(TM)Runtime Version fehlt oder eine ältereVersion installiert ist.Diese Fehlermeldung kann nach demSprachauswahldialog und vor demAnzeigen der ersten Dialogseite fürdas Setup der OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.0.2 generiert werden.Diese Fehlermeldung weist daraufhin, dass das Produkt nichtkompatibel zu den installiertenBasiskomponenten ist.Falls eine Neuinstallation notwendigist, installieren Sie die aktuellsteVersion.Falls eine Neuinstallation notwendigist, installieren Sie die aktuellsteVersion.Stellen Sie sicher, dass ca. 200 MBSpeicherplatz für die Installation zurVerfügung stehen und starten Sie dieInstallation erneut.Installieren Sie zunächst eine aktuelleJava(TM) Runtime Version und startensie die Installation erneut.Installieren Sie zunächst eine aktuelleVersion der OpenLimitBasiskomponenten, für die diesesProdukt freigegeben ist.270

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung Ursache BenutzeraktionDiese Produktversion ist mit der Diese Fehlermeldung kann nach dem Prüfen Sie zunächst, ob das zuinstallierten Version nicht vereinbar. Sprachauswahldialog und vor dem installierende Produkt für die bereitsAnzeigen der ersten Dialogseite für vorhandenen Basiskomponentendas Setup der OpenLimit SignCubes freigegeben ist.Basiskomponenten 2.5, Version2.5.0.2 generiert werden.Diese Produktversion läßt sich aufIhrem Rechner nur installieren, wennSie vorher die alte Versiondeinstalliert haben.Diese Fehlermeldung weist daraufhin, dass das Produkt nichtkompatibel zu den installiertenBasiskomponenten ist.Diese Fehlermeldung kann nach demSprachauswahldialog und vor demAnzeigen der ersten Dialogseite fürdas Setup der OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.0.2 generiert werden.Es ist bereits eine ältere Version desProduktes installiert.Bitte deinstallieren Sie zunächst dieältere Produktversion und startenanschließend die Installation neu.12.3 Fehlermeldungen OpenLimit SignCubes Security Environment ManagerDie folgenden Abschnitte erklären, welche Fehlermeldungen auftreten können und wie Sie dieseFehlermeldungen bewerten müssen.Grundsätzlich werden alle Fehlermeldungen vom OpenLimit SignCubes Security Environment Managergeneriert, es sei denn, die Fehlermeldung betrifft den OpenLimit SignCubes Viewer. Der OpenLimitSignCubes Viewer realisiert selbständig Prüfroutinen, welche die Erkennung von Dokumentformatenbetreffen. In der folgenden Tabelle werden die Fehlermeldungen für den OpenLimit SignCubes SecurityEnvironment Manager aufgelistet und die mögliche Fehlerursache benannt.271

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimit Mögliche Ursache Auswirkungen auf den sicherenSignCubes Security EnvironmentZustand des Produktes/ManagersBenutzerreaktionDer eingegebene Lizenzcode istungültig.Bei der Freischaltung der Lizenz istein Fehler aufgetreten.Diese Fehlermeldung kommt nachÜberprüfung des eingegebenenLizenzcodes.Diese Fehlermeldung kann währenddes Lizenzierungsvorganges generiertwerden.Sie sollten den Lizenzmanager erneutstarten und den Lizenzcode exakteingeben. Der sichere Zustand desProduktes wird nicht beeinflusst.Sie sollten sollte den Lizenzmanagererneut starten und auf die exakteEingabe des Lizenzcodes achten. Dersichere Zustand des Produktes wirdnicht beeinflusst.unerwarteter Fehler Dieser Fehler kann in der Signaturprüfung:Detailanzeige:ZustandZertifikatsdetailanzeige auftreten. Die der Hashwertprüfung: ist undefiniert.Fehlermeldung wird angezeigt, wenn Der sichere Zustand des Produktes istdie Prüfung des Zertifikates oder des nicht betroffen. Der Hashwert konntePfades zum Herausgeber fehlschlägt. nicht geprüft werden.Es ist ein Fehler aufgetreten, der nichtim Rahmen der vorhandenenFehlerbehandlung abgefangen werdenkonnte.Versuchen Sie es zu einem späterenZeitpunkt erneut.Prüfen Sie bitte, ob Sie mit demInternet verbunden sind.Die Signaturkomponente konnte nichtinitialisiert werden!Wenn Sie eine OCSP-Anfrage starten Diese Fehlermeldung besagt, dass dasund diese von der Gegenstelle nicht Produkt Ihnen keine Aussage zumbearbeitet werden kann, kann diese Zertifikatsstatus liefern kann. SieStatusmeldung erscheinen.müssen selbst entscheiden, ob SieDie OCSP-Anfrage kann durch die dem Signaturzertifikat vertrauen. DerGegenstelle zum gegenwärtigen sichere Zustand des Produktes ist inZeitpunkt nicht bearbeitet werden. diesem Fall nicht betroffen.Diese Statusmeldung erscheint, wenn Der sichere Zustand ist in diesemfür eine Operation eine Falle nicht betroffen.Internetverbindung notwendig ist,diese aber nicht besteht.Wenn Sie aktuelle Sperrlisten abrufenoder eine OCSP Abfrage durchführenwollen, wird eine Internet Verbindungbenötigt. Wenn die Verbindung nichthergestellt werden kann, werden Siemit dieser Meldung aufgefordert, dieInternet Verbindung zu überprüfen.Bei folgenden Aktionen kann dieseFehlermeldung erscheinen:Signaturerzeugung aus demOpenLimit SignCubes Viewer .Signaturverifikation aus demOpenLimit SignCubes Viewer.Alle Operationen, bei denen einSubsystem auf das OpenLimitSignCubes Job Interface zurückgreift.Der OpenLimit SignCubes SecurityEnvironment Manager konnte nichtgestartet werden bzw. das OpenLimitSignCubes Job Interface konnte nichtgeladen werden.Die Daten wurden nicht signiert! Die Daten konnten nicht signiertwerden. Diese Fehlermeldung ist einHinweis auf eine fehlerhafteIn diesem Falle ist das Produktentweder nicht korrekt installiert oderbeschädigt. Der sichere Zustand desProduktes kann nicht gewährleistetwerden. Sie sollten das Programmerneut installieren.Die Chipkarte sendete eineStatusmeldung, die besagt, dass dieDaten von der Chipkarte nicht272

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimit Mögliche Ursache Auswirkungen auf den sicherenSignCubes Security EnvironmentZustand des Produktes/ManagersBenutzerreaktionDie Datei ist nicht signiert!Die Datei besitzt eine ungültigeSignatur!Der Zertifikatsstatus konnte nichtvollständig geprüft werden!Der Dateityp konnte nicht ermitteltwerden!Es liegen keine Informationen überSignaturen vor!Kommunikation zwischen demOpenLimit SignCubes SecurityEnvironment Manager und derverwendeten Chipkarte, außer Siebrechen den Signaturvorgang ab.Diese Fehlermeldung kann bei derSignaturprüfung über den OpenLimitSignCubes Viewer auftreten.Sie haben versucht, die Signatur aneiner nicht signierten Datei zuüberprüfen. Es ist beispielsweise eineSignaturdatei vorhanden, jedochenthält die Signaturdatei keineSignatur.Diese Statusmeldung kann im Dialogzur Signaturprüfung angezeigtwerden. Die Signaturprüfung ist imAbschnitt Arbeiten mit den OpenLimitSignCubes Basiskomponenten 2.5,Version 2.5.0.2 Signaturverifikationbeschrieben.Die Signatur passt nicht zu denOriginaldaten. Ursache können dieManipulation der Originaldaten, z.B.durch Übertragungsfehler als auchgezielte Manipulationen derOriginaldaten oder der Signatur sein.Diese Statusmeldung kann im Dialogzur Signaturprüfung angezeigtwerden. Die Signaturprüfung ist imAbschnitt Arbeiten mit den OpenLimitSignCubes Basiskomponenten 2.5,Version 2.5.0.2 Signaturverifikationbeschrieben.Diese Statusmeldung erscheint beider Signaturverifikation. DieseMeldung erscheint immer dann, wenndie Gültigkeit des Zertifikats nichtüber eine Sperrliste, die nach demSignaturzeitpunkt herausgegebenwurde, geprüft werden kann.Die Statusmeldung kann angezeigtwerden, wenn eine Datei überOpenLimit SignCubes Viewer signiertoder verifiziert werden soll.Das Modul zur Dokumentenerkennungkonnte nicht ermitteln, umwelchen Dateityp es sich handelt. Eswar dem Modul zurDokumenterkennung nicht möglich,die Datei lesend zu öffnen.Die Statusmeldung kann angezeigtwerden, wenn eine Signatur überverarbeitet wurden. Der sichereZustand des Produktes ist nichtgefährdet, Sie sollten die Operationwiederholen.Der sichere Zustand des Produktes istnicht betroffen. Entweder wurde dieSignaturdatei nicht korrekt erzeugtoder es hat eine Manipulation derSignaturdatei stattgefunden, die zurFolge hat, dass die Signaturdatei leerist.Der sichere Zustand des Produktes istnicht betroffen. Es wurde erkannt,dass die Signatur ungültig ist. Siesollten dem empfangenen Dokumentbzw. der Signatur nicht vertrauen.Der sichere Zustand des Produktes istnicht betroffen. Sie sollten eine OCSPAbfrage vornehmen.Der sichere Zustand des Produktes istnicht betroffen.Der sichere Zustand des Produktes istnicht gefährdet.273

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimit Mögliche Ursache Auswirkungen auf den sicherenSignCubes Security EnvironmentZustand des Produktes/ManagersBenutzerreaktionOpenLimit SignCubes Viewerverifiziert werden soll.Der Detaildialog für dieSignaturprüfung wurde aufgerufen,ohne dass Signaturinformationenübergeben wurden.Die Statusabfrage konnte nichterzeugt werden.Die Antwort desZertifikatsherausgebers konnte nichtverarbeitet werden.Die Antwort desZertifikatsherausgebers enthält einenunbekannten Statuswert.Die Anfrage an denZertifikatsherausgeber konnte vondiesem nicht verarbeitet werden.Die Anfrage führte beimZertifikatsherausgeber zu eineminternen Fehler.Die Anfrage kann durch denZertifikatsherausgeber zur Zeit nichtbearbeitet werden.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Es ist ein interner Fehler bei derErzeugung der OCSP Abfrageaufgetreten.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Die OCSP Antwort desZertifikatsherausgebers enthältFehler, die eine weitergehendeVerarbeitung der OCSP Antwortunmöglich machen. Die OCSP Antwortkonnte nicht nach dem ASN.1Standard dekodiert werden.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Der vom Herausgeber übermittelteZertifikatsstatus entspricht nicht derSpezifikation nach RFC 2560.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Der Zertifikatsherausgeber konnte dieOCSP Anfrage des ProduktsOpenLimitSignCubesBasiskomponenten 2.5, Version2.5.0.2 nicht verarbeiten.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Der Zertifikatsherausgeber konnte dieOCSP Anfrage des ProduktsOpenLimitSignCubesBasiskomponenten 2.5, Version2.5.0.2 nicht verarbeiten. Es ist eininterner Fehler beimZertifikatsherausgeber aufgetreten.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Der Zertifikatsherausgeber kann dieOCSP Anfrage momentan nichtverarbeiten. Sie sollten den Vorgangzu einem späteren Zeitpunkt nochDer sichere Zustand des Produktes istnicht gefährdet.Der sichere Zustand des Produktes istnicht gefährdet.Der sichere Zustand des Produktes istnicht gefährdet. Die OCSP Antwortkonnte jedoch nicht korrektverarbeitet werden. Sie müssen selbstentscheiden, ob Sie demSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie demSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie demSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen. Alternativkönnen Sie die OCSP Abfrage zueinem späteren Zeitpunkt nocheinmal durchführen.274

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimit Mögliche Ursache Auswirkungen auf den sicherenSignCubes Security EnvironmentZustand des Produktes/ManagersBenutzerreaktioneinmal wiederholen.Die Anfrage wurde durch denZertifikatsherausgeber mit einemnicht benutzten Statuscodebeantwortet.Der Zertifikatsherausgeber fordert,daß die Anfrage signiert wird.Signierte Anfragen werden zur Zeitnicht unterstützt.Sie haben beimZertifikatsherausgeber nicht dieerforderliche Berechtigung, um denStatus abzufragen.Die Anfrage wurde durch denZertifikatsherausgeber mit einemunbekanntenStatuscodebeantwortet.Die Statusabfrage konnte nichtdurchgeführt werden.Sie haben noch zwei Versuche, diegültige einzugeben.Sie haben noch einen Versuch, diegültige einzugeben. Wirderneut die falsche eingegeben,wird die Karte unbrauchbar!Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Der vom Herausgeber übermittelteZertifikatsstatus entspricht nicht derSpezifikation nach RFC 2560.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Es existieren Formate für OCSPAnfragen, bei denen die Anfrage vomAnfragenden signiert sein muss. Dasist z.B. bei kostenpflichtigen OCSPRespondern der Fall. Dieses Formatwird vom Produkt OpenLimitSignCubes Basiskomponenten 2.5,Version 2.5.0.2 nicht unterstützt.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Der Zertifikatsherausgeber kanndurch eine eigene Richtliniefestlegen, wer berechtigt ist, eineOCSP Anfrage an diesen zu senden.Wenn Sie keine entsprechendeBerechtigung haben, wird Ihnen dieseFehlermeldung angezeigt.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Der vom Herausgeber übermittelteZertifikatsstatus entspricht nicht derSpezifikation nach RFC 2560.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Möglicherweise ist keineInternetverbindung verfügbar.Diese Meldung kann bei derSignaturerzeugung auftreten.Sie haben insgesamt drei Versuche,die jeweilig abgefragte PIN korrekteinzugeben. steht z.B. für dieglobale PIN. Wenn diese Meldungerscheint, haben Sie bereits einmaldie falsche PIN eingegeben.Diese Meldung kann bei derSignaturerzeugung auftreten.Sie haben insgesamt drei Versuche,die jeweilig abgefragte PIN korrekteinzugeben. steht z.B. für dieDer sichere Zustand des Produktes istnicht gefährdet. Die OCSP Antwortkonnte jedoch nicht korrektverarbeitet werden. Sie müssen selbstentscheiden, ob Sie demSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Allerdings kann keinegültige OCSP Anfrage an denZertifikatsherausgeber gestelltwerden. Sie müssen selbstentscheiden, ob Sie demSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Allerdings kann keinegültige OCSP Anfrage an denZertifikatsherausgeber gestelltwerden. Sie müssen selbstentscheiden, ob Sie demSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie demSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Allerdings sollten Sieüberprüfen, ob eineInternetverbindung vorhanden ist.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten beimnächsten Versuch die korrekte PINeingeben.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten beimnächsten Versuch die korrekte PINeingeben.275

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimit Mögliche Ursache Auswirkungen auf den sicherenSignCubes Security EnvironmentZustand des Produktes/ManagersBenutzerreaktionglobale PIN. Wenn diese Meldungerscheint, haben Sie bereits zweimaldie falsche PIN eingegeben.Die Karte wurde durch mehrfacheFehleingabe unbrauchbar gemacht.Der Fehlbedienungszähler istabgelaufen.Die eingegebene PIN entspricht nichtden Anforderungen der Karte!Bei der Übertragung des Kommandosan die Karte trat ein unerwarteterFehler auf!Die eingegebenen PINs sind nichtidentisch!Die eingegebene PIN wurdezurückgewiesen!Die PIN wurde nicht in der erwartetenZeit eingegeben!Sie müssen die Karte zuerstfreischalten!Diese Meldung kann bei derSignaturerzeugung auftreten.Sie haben durch dreimaligesEingeben der falschen PIN die Kartefür die weitere Benutzungunbrauchbar gemacht.Diese Meldung kann beim Versuchder Signaturerzeugung auftreten.Der Fehlbedienungszähler der Kartezeigt an, dass die PIN insgesamtdreimal falsch eingegeben wurde.Diese Fehlermeldung kann beimÄndern der PIN der Chipkarteauftreten.Die Chipkarte stellt bestimmteAnforderungen an die Qualität derPIN. Bei einer TeleSec E4NetKeyKarte muss die Pin mindestens 6-stellig höchstens jedoch 16-stelligsein.Diese Meldung kann beim Versuchder Signaturerzeugung auftreten.Beim Senden des Kommandos an dieChipkarte ist ein Fehler aufgetreten.Die Chipkarte hat mit einemKartenstatus geantwortet, der nichtdem erwarteten Status entsprach.Diese Fehlermeldung kann beimÄndern der PIN der Chipkarteauftreten.Dieser Fehler kann beim Ändern derPIN auftreten, wenn die erste und dieBestätigungspin nicht identisch sind.Diese Meldung kann beim Versuchder Signaturerzeugung auftreten.Die Verifikation der PIN durch dieChipkarte ist fehlgeschlagen. Siehaben die falsche PIN eingegeben.Diese Meldung kann beim Versuchder Signaturerzeugung auftreten.Sie haben zu lange gewartet, um diePIN einzugeben. die meistenKartenleser mit sicherer PIN Eingabeunterstützen die Verwendung vonTimeouts während der PIN Eingabe.Diese Meldung kann beim Versuchder Signaturerzeugung auftreten.Vor der Verwendung muss die Kartefreigeschaltet werden.Der sichere Zustand des Produktes istnicht gefährdet. Allerdings könnenSie die Chipkarte mit dem Produktnicht mehr verwenden.Der sichere Zustand des Produktes istnicht gefährdet. Allerdings könnenSie die Chipkarte mit dem Produktnicht mehr verwenden.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten allerdingsbeim Festlegen der PIN über denMenüpunkt PIN ändern eine PINwählen, die den Anforderungen derverwendeten Karte genügt.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten denVorgang wiederholen. Wenn derFehler permanent auftritt, sollten Siemit dem zur Verfügung stehendenModul zur Integritätsprüfung diekorrekte Installation des Produktesauf dem Rechner prüfen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten denVorgang wiederholen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten denVorgang wiederholen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten denVorgang wiederholen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen einefreigeschaltete Karte verwenden. Ggf.können Sie mit dem Menüpunkt Karte276

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimit Mögliche Ursache Auswirkungen auf den sicherenSignCubes Security EnvironmentZustand des Produktes/ManagersBenutzerreaktionfreischalten Ihre Karte für die weitereVerwendung freischalten.Sie müssen die Karte zuerstentsperren.Zur Zeit stehen keine geeignetenZertifikate zur Verfügung!Die Antwort ist nicht vom erwartetenTyp BASIC.Die Antwort hat nicht die erwarteteVersion.Beim Prüfen der Antwort ist einunerwarteter interner Fehleraufgetreten.Die Antwort enthält mindestens eineunbekannte kritische Erweiterung.Die Antwort ist nicht Signaturgesetzkonform (positive Kenntnisaussagefehlt).Diese Meldung kann beim Versuchder Signaturerzeugung auftreten.Sie haben durch mehrfachesEingeben der falschen Pin die Kartegesperrt. Sie müssen vor einerweiteren Verwendung der Karte diesedurch die Eingabe des PUK wiederentsperren.Diese Meldung kann beim Versuchder Signaturerzeugung auftreten.Möglicherweise wollen Sie eine Dateisignieren und haben keinenKartenleser angeschlossen oder keineChipkarte eingelegt.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Das Format BASIC ist bisher dasstandardisierte Format für OCSP -Antworten. Möglicherweise werden zueinem späteren Zeitpunkt neueFormate definiert, die vom Produktdann nicht unterstützt werden.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Die OCSP - Antwort hat nicht dieerwartete Version.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Die empfangene OCSP Antwortkonnte nicht korrekt überprüftwerden. Möglicherweise sindsyntaktische Fehler in der OCSP-Antwort vorhanden.Diese Statusmeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Kritische Erweiterungen sindAntwortzusätze, die Ihnen bei derAuswertung der OCSP - Antwort zurKenntnis gelangen sollten. DasProdukt OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.0.2 ist nicht in der Lage, diesekritische Erweiterung korrekt zuinterpretieren.Diese Statusmeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen vor einerweiteren Verwendung der Karte diesedurch die Eingabe der PUK wiederentsperren.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssensicherstellen, dass Sie einenKartenleser installiert und eineChipkarte eingelegt haben, die vomProdukt verwendet werden kann.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendeten277

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimit Mögliche Ursache Auswirkungen auf den sicherenSignCubes Security EnvironmentZustand des Produktes/ManagersBenutzerreaktionIn der Antwort ist nicht die Aussage Signaturzertifikat vertrauen.enthalten, dass der Herausgeber dasDie Antwort enthält eine unleserlicheZeitangabe der letzten Überprüfung.Der in der OCSP Antwort angegebeneZeitpunkt weicht von Ihrer lokalenSystemzeit ab. Der angegebeneZeitpunkt liegt in der Zukunft.Die Antwort enthält eine unleserlicheZeitangabe der nächstenÜberprüfung.Die Antwort ist wegen deraufgeführten Gründe nicht oder nurbedingt vertrauenswürdig.Die Antwort gilt nicht für dasangefragte Zertifikat!!Interner Fehler beim Lesen einesZertifikates.Zertifikat kennt.Diese Statusmeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Der Zeitpunkt der letzten Überprüfunggibt an, wann der OCSP-Antwortendedie Gültigkeit des Zertifikats dasletzte Mal geprüft hat. Das Zeitformatin der OCSP-Antwort für dieseÜberprüfung konnte nicht dekodiertwerden.Diese Statusmeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Der Zeitpunkt der letztenZertifikatsprüfung durch den OCSP-Antwortenden liegt gegenüber derlokalen Systemzeit in der Zukunft.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Der Zeitpunkt der nächstenÜberprüfung gibt an, wann der OCSP-Antwortende die Gültigkeit desZertifikats das Nächste mal prüfenwird. Das Zeitformat in der OCSP-Antwort für diese Überprüfung konntenicht dekodiert werden.Diese Statusmeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Diese Meldung erscheint, sobaldGründe vorliegen, der empfangenenOCSP-Antwort nur bedingt oder nichtzu vertrauen.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Die empfangene Antwort bezieht sichnicht auf das angefragte Zertifikat.Eine solche Meldung kann einIndikator für die Manipulation derAntwort durch Dritte sein (Man in theMiddle).Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Ein Zertifikat, welches vom Produktbenötigt wird, konnte nicht gelesenoder dekodiert werden.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen. Siesollten die lokale Systemzeitüberprüfen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten demZertifikat nicht vetrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten demZertifikat nicht vertrauen und dieIntegrität des Betriebssystemsüberprüfen.Der sichere Zustand des Produktes istnicht gefährdet. Sie solltenZertifikaten, die nicht korrekt durchdas Produkt dekodiert werdenkönnen, nicht vertrauen.278

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimit Mögliche Ursache Auswirkungen auf den sicherenSignCubes Security EnvironmentZustand des Produktes/ManagersBenutzerreaktionDie Signatur der Antwort konnte nichtgeprüft werden.Das Zertifikat der Gegenstelle konntenicht gefunden werden:Das Zertifikat der Gegenstelle konntenicht positiv geprüft werden.Das Zertifikat der Gegenstelleberechtigt nicht zur OCSP-Signatur.Die positive Kenntnisaussage istfehlerhaft.Es fehlt ein expliziter Hinweis auf dieGültigkeit der Antwort trotzabgelaufenem Zertifikat.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Die Signatur der OCSP Antwort konntenicht verifiziert werden.Möglicherweise ist der Hashwert derSignatur manipuliert worden oder eskonnte kein Zertifikat zu der Signaturermittelt werden.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Nach dem ISIS-MTT Standard solltedas Zertifikat des OCSP Antwortendenin der OCSP Antwort enthalten sein.Das Zertifikat ist in der Antwort abernicht enthalten.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Möglicherweise existiert keinSperrliste für die OCSP Signatur oderdie Sperrliste ist veraltet. EineSperrliste gilt als veraltet, wenn der inder Sperrliste angegebene Zeitpunktfür die Erneuerung der Sperrliste aufdem lokalen Rechner überschrittenwurde.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Das Zertifikat, mit welchem die OCSPAntwort signiert wurde, berechtigt denSignierenden nicht zu einer OCSPSignatur.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Die positive Kenntnisaussage istentweder nicht vorhanden oder istfehlerhaft.Diese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Das angefragte Zertifikat ist sowohlabgelaufen und die Antwort enthältkeinerlei Hinweis darauf, ob dieGegenstelle Kenntnis vom Statusdieses Zertifikates hat.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssenentscheiden, ob Sie dem Zertifikatvertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Allerdings kann dieOCSP Antwort auf Grund veralteterSperrlisten nicht korrekt verarbeitetwerden. Sie sollten die lokalenSperrlisten aktualisieren.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.279

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes Security EnvironmentManagersOCSP Response Interner FehlerMögliche Ursache Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDiese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Es ist ein interner Fehler bei derPrüfung der OCSP Antwortaufgetreten.Der sichere Zustand des Produktes istnicht gefährdet. Die OCSP Antwortkonnte vom Produkt nicht korrektverarbeitet werden. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Die Gültigkeit der Antwort wird nichtmehr garantiert.Zu dem Zertifikat fehlt dasHerausgeberzertifikat.Zu einem der Herausgeber wurdekeine Sperrliste gefunden.Fehler beim Erzeugen einesZeitstempels.Fehler beim Holen einer OCSPAntwort.Zu einem der Herausgeberzertifika-tewurde keine aktuelle Sperrlistegefunden.Von einem der Herausgeber wurdedas Zertifikat zurückgezogenDiese Fehlermeldung kann auftreten,wenn im Zertifikatsdetaildialog aufden Knopf Onlinestatus geklickt wird.Das Zertifikat ist der Gegenstelle zwarbekannt, die Zeit für dieInformationsaufbewahrung zu demangefragten Zertifikat ist allerdingsabgelaufen.Diese Fehlermeldung kann durch denZertifikatsdetaildialog ausgelöstwerden.In der internen Zertifikatsverwaltungwurde das Herausgeberzertifikat nichtgefunden.Diese Statusmeldung kann imSignaturprüfdialog erscheinen.Für einen Herausgeber existiert keineSperrliste auf dem lokalen Rechner.Diese Statusmeldung kann beimHolen eines Zeitstempels erscheinen.Während des Empfangs desZeitstempels ist ein Fehleraufgetreten, so dass der Zeitstempelvon dem Produkt nicht eingeholtwerden konnte.Diese Fehlermeldung kann beimHolen einer OCSP Antwort auftreten.Möglicherweise besteht keineVerbindung zum Internet oder derOCSP Responder ist nicht erreichbar.Diese Statusmeldung kann imSignaturprüfdialog erscheinen.Es ist zwar eine Sperrliste vorhanden,jedoch ist diese Sperrlisteabgelaufen. Sie sollten dieSperrlisten über den OpenLimitSignCubesSperrlistenaktualisierungsassistentaktualisieren.Diese Statusmeldung kann imSignaturprüfdialog erscheinen.Das Zertifikat wurde durch denHerausgeber zurückgezogen (dasDer sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen. Siesollten die aktuellen Sperrlistenabrufen.Der sichere Zustand des Produktes istnicht gefährdet. Sie könnenversuchen, den Zeitstempel erneuteinzuholen.Der sichere Zustand des Produktes istnicht gefährdet. Sie könnenversuchen, eine erneute OCSPAbfrage durchzuführen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen. Siesollten die aktuellen Sperrlistenabrufen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten demZertifikat nicht vertrauen.280

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimit Mögliche Ursache Auswirkungen auf den sicherenSignCubes Security EnvironmentZustand des Produktes/ManagersBenutzerreaktionZertifikat ist in der Sperrliste alszurückgezogen markiert).Die Sperrliste einer der Herausgeberhat unbekannte Fehler.Von diesem Inhaber ist keineSperrliste vorhanden.Die Sperrliste dieses Inhabers istabgelaufen.Das Prüfzertifikat ist nach derSperrliste dieses Inhaberszurückgezogen.Die Sperrliste dieses Inhabers hatunbekannte Fehler.Sie vertrauen keinem derWurzelzertifikate!Das Modul besitzt eine ungültigeSignatur. Das Programm wirdbeendet.Diese Statusmeldung kann imSignaturprüfdialog erscheinen.Die verwendete hat entwedersyntaktische Fehler oder enthältZusätze, die vom Produkt nichtverarbeitet werden können.Diese Statusmeldung kann imSignaturprüfdialog erscheinen.Zu einem konkreten Herausgeberwurde kein Sperrliste gefunden.Diese Statusmeldung kann imSignaturprüfdialog erscheinen.Die Sperrliste des konkretenHerausgebers ist abgelaufen. Siesollten die Sperrlisten über denOpenLimitSignCubesSperrlistenaktualisierungsassistentaktualisieren.Diese Statusmeldung kann imSignaturprüfdialog erscheinen.Der konkrete Herausgeber hat diesesZertifikat zurückgezogen.Diese Statusmeldung kann imSignaturprüfdialog erscheinen.Die Sperrliste dieses konkretenHerausgebers weist Fehler auf.Diese Statusmeldung kann imSignaturprüfdialog erscheinen.Diese Meldung sagt aus, dass keinemder Wurzelzertifikate vertraut wird.Diese Fehlermeldung kann beim Startdes OpenLimit SignCubes SecurityEnvironment Managers generiertwerden.Diese Meldung sagt aus, dass dieSignatur des angegebenenProgramm-Moduls beschädigt istoder die Originaldaten (das Modul)und die Signaturdatei nichtzueinander passen. AusSicherheitsgründen wird dieAnwendung OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.0.2 in diesem Falle beendet.Das Zertifikat wurde nicht geprüft. Diese Statusmeldung kann imSignaturprüfdialog erscheinen.Diese Statusmeldung sagt aus, dassdie Zertifikate nicht geprüft wurden.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten dieaktuellen Sperrlisten abrufen und denVorgang wiederholen. Zusätzlichsollten Sie eine OCSP Abfrage zu demZertifikat durchführen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten dieaktuellen Sperrlisten abrufen und denVorgang wiederholen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten dieaktuellen Sperrlisten abrufen und denVorgang wiederholen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten demZertifikat nicht vertrauen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten dieaktuellen Sperrlisten abrufen und denVorgang wiederholen.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen.Der sichere Zustand des Produktes istnicht gewährleistet. Sie müssen mitHilfe des zur Verfügung stehendenIntegritätschecks die gesamteInstallation überprüfen. Sie müssendas Produkt deinstallieren und erneutinstallieren.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen selbstentscheiden, ob Sie dem verwendetenSignaturzertifikat vertrauen. Alternativsollten Sie eine OCSP Abfrage zu demZertifikat durchführen.281

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimit Mögliche Ursache Auswirkungen auf den sicherenSignCubes Security EnvironmentZustand des Produktes/ManagersBenutzerreaktionDie zu signierenden Daten wurden vorder Signaturerzeugung verändert!Der eingesetzte Hashalgorithmus wirdals ungeeignet eingestuft.Die verwendeten Signaturparameterwerden als ungeeignet eingestuft.Die verwendeten Algorithmenentsprechen nicht den Prüfvorgaben.Die von der Karte erzeugte Signaturentspricht nicht den zu signierendenDaten!Ein Fehler ist bei der Initialisierungaufgetreten. Das Programm kannDiese Statusmeldung kann immerdann auftreten, wenn Sie eine digitaleSignatur über einen derProduktbestandteile erzeugen wollen.Diese Meldung sagt aus, dass dieOriginaldaten, die vomProduktbestandteil zur Signatur anden OpenLimit SignCubes SecurityEnvironment Manager übergebenwurden, zwischenzeitlich verändertwurden.Diese Fehlermeldung kann bei derSignaturverifikation auftreten.Diese Meldung sagt aus, dass für dieSignaturerzeugungeinHashalgorithmus verwendet wurde,der für die Erzeugung qualifizierterSignaturen nicht zulässig ist.Diese Fehlermeldung kann bei derSignaturverifikation auftreten.Diese Meldung sagt aus, dass für dieSignaturerzeugung entweder einHashalgorithmus verwendet wurde,der für die Erzeugung qualifizierterSignaturen oder die verwendeteSchlüssellänge nicht zulässig ist.Diese Fehlermeldung kann bei derSignaturerprüfung auftreten.Diese Meldung weist darauf hin, dassein Hashalgorithmus verwendetwurde, der nicht den Vorgaben derBundesnetzagentur entspricht. DieserHinweis erscheint in derZusammenfassung des Prüfdialogs.Diese Fehlermeldung kann bei derSignaturerzeugung auftreten.Diese Meldung sagt aus, dass nichtder Hashwert signiert wurde, derbeabsichtigt wurde.Diese Fehlermeldung kann beim Startdes Assistenten zurDer sichere Zustand des Produkteskann gefährdet sein. Der sichereZustand ist nur dann nicht gefährdet,wenn Sie nicht selbst aus Versehendie Daten zwischenzeitlich geänderthaben. In jedem anderen Fall solltenSie die Arbeit mit dem Produkteinstellen und eine Integritätsprüfungdes Produktes vornehmen. Wird beider Integritätsprüfung keineVeränderung des Produktes entdeckt,sollte mit Hilfe eines Virenscannersder Rechner auf böswilligeProgramme hin untersucht werden.Das Produkt nimmt in diesem Falleeinen sicheren Zustand ein, da dieFunktionen zur Signaturerzeugungund Signaturverifikation durch denOpenLimit SignCubes SecurityEnvironment Manager in diesem Falledeaktiviert werden.Sie sollten sich über dieVeröffentlichungenderBundesnetzagenturunterwww.bundesnetzagentur.deinformieren, welcher Hashalgorithmuszulässig ist.Sie sollten sich über dieVeröffentlichungenderBundesnetzagenturunterwww.bundesnetzagentur.deinformieren, welcher Hashalgorithmusund welche Schlüssellängen zulässigsind.Sie sollten sich über dieVeröffentlichungenderBundesnetzagentur unterwww.bundesnetzagentur.deinformieren,welcherHashalgorithmus und welcheSchlüssellängen zulässig sind.Der sichere Zustand des Produktes istgefährdet. Sie sollten den OpenLimitSignCubes Security EnvironmentManager beenden und den Rechnerherunterfahren, um sicherzugehen,dass sich keine digitalen Signaturenmehr im Speicher befinden.Der sichere Zustand des Produkteskann gefährdet sein. Sie sollten mit282

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes Security EnvironmentManagersnicht weiter ausgeführt werden. SperrlistenaktualisierungWenden Sie sich bitte an die Online-Hilfe und prüfen Sie Ihre Installation.Mögliche Ursache Auswirkungen auf den sicherenZustand des Produktes/Benutzerreaktiongeneriertwerden.Bei der Sperrlistenaktualisierung istein Fehler bei der Initialisierung desOpenLimitSignCubesSperrlistenaktualisierungsassistentenaufgetreten, der eine weitereBenutzung des SperrlistenAktualisierungsassistenten unmöglichmacht.dem zur Verfügung stehendenPrüfprogramm die Integrität derInstallation überprüfen.283

Handbuch OpenLimit SignCubes 2.5.0.212.4 Fehlermeldungen des OpenLimit SignCubes ViewerDer OpenLimit SignCubes Viewer kann ebenfalls Fehlermeldungen generieren, die in der folgendenTabelle aufgelistet sind.Grundsätzlich gilt: Wenn eine Fehlermeldung generiert wird, über deren Bedeutung Sie sich nicht sichersind, sollten Sie das Dokument nicht signieren.Fehlermeldung des OpenLimitSignCubes ViewerDas Format der Datei ist nichtgeeignet!Sie verfügen nicht über die benötigteLizenz, um Dateien dieses Formatesanzuzeigen!Es steht keine gültige Lizenz zurVerfügung. Das Programm wirdbeendet.FehlerursacheDiese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Sie haben versucht, eine Datei mitdem OpenLimit SignCubes Viewer zuöffnen, die weder als PDF, TIFF nochals Text Datei erkannt wurde. DieseFehlermeldung wird Ihnen auch dannangezeigt, wenn aktive Inhalte in demDokument vorhanden sind.Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer generiert werden.Sie haben versucht, eine Datei mitdem OpenLimit SignCubes Viewer zuöffnen, die entsprechend demFunktionsumfang der installiertenLizenz nicht geöffnet werden kann.Diese Fehlermeldung wird generiert,wenn der Viewer auf einem PCgestartet wird, auf dem keine Lizenzfür die OpenLimit SignCubesBasiskomponenten 2.5, Version2.5.0.2 installiert ist.Sie haben vesucht, den OpenLimitSignCubes Viewer zu starten, obwohlkeine Lizenz für die OpenLimitSignCubes Basiskomponenten 2.5,Version 2.5.0.2 installiert ist.Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDer sichere Zustand des Produktes istnicht gefährdet. Sie sollten die Dateinicht signieren, wenn Sie für dieDaten über kein sicheresAnzeigemodul verfügen.Der sichere Zustand des Produktes istnicht gefährdet.Diese Fehlermeldung wird Ihnen nurangezeigt, falls Sie eine Datei mitdem Viewer öffnen wollen und überkeine Lizenz verfügen (auch nicht übereine Reader-Lizenz).Wenn diese Fehlermeldung erscheint,ist die Lizenzdatei von Ihrem Rechnerentfernt worden. Der sichere Zustanddes Produktes ist nicht betroffen,jedoch sollten Sie mit einemgeeigneten Programm (Virenscanneretc.) die Integrität IhresBetriebssystes überprüfen. Eventuellhaben unberechtigte Dritte Zugriff aufIhren Rechner erlangt.284

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes ViewerDie Schriftart 'Courier New', die fürdie Darstellung von Text verwendetwird, wurde auf diesem Computernicht gefunden oder stimmt nicht mitder Originalinstallation überein.FehlerursacheDiese Fehlermeldung tritt auf, wenndie Datei cour.ttf auf dem Computernicht vorhanden ist oder von derDateiversion abweicht, die derOriginalinstallation entspricht. DieseFehlermeldung wird beim Start desOpenLimit SignCubes Viewersgemeldet bzw. beim Öffnen einesTextdokuments.Fehler beim Zugriff auf die Datei! Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überDie Datei enthält sowohl 'DOS' alsauch 'Windows' Umlaute. Einekorrekte Darstellung ist u.U. nichtmöglich.Die Datei enthält Zeichen, für diekeine eindeutige Darstellung definiertist.den Signaturanforderungsdialoggeneriert werden.Beim Zugriff auf die zu öffnende Datei(Kommandozeile oder Menübefehl) istein Fehler aufgetreten. Die Dateiexistiert nicht oder kann nicht gelesenwerden.Diese Fehlermeldung kann währendder Untersuchung vonTextdokumenten auftreten.Das Textdokument enthält Zeichen,die als Umlaute in der WindowsDarstellung erkannt werden. Darüberhinaus sind aber auch Zeichen in demdokument vorhanden, die als Umlautein der DOS Codierung interpretiertwerden.Diese Fehlermeldung kann währendder Untersuchung vonTextdokumenten auftreten.Das Dokument enthält Zeichen, fürdie in verschiedenen Schriftsätzenverschiedene Darstellungen definiertsind.Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDer sichere Zustand des Produktes istbetroffen. Sie sollten überprüfen, obdie Datei cour.ttf auf dem Rechnervorhanden ist. Sie sollten keineSignaturen an Text-Dokumentenvornehmen, da die korrekteDarstellung nicht mehr gewährleistetwerden kann.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten denVorgang wiederholen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten eineUntersuchung des Textdokuments wieim Kapitel Arbeiten mit demSignCubes Viewer beschrieben,vornehmen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten eineUntersuchung des Textdokuments wieim Kapitel Arbeiten mit demOpenLimit SignCubes Viewerbeschrieben, vornehmen.285

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes ViewerDie TIFF Datei hat eine Größe von. Sie enthält freie (scheinbarungenutzte) Bereiche mit einerGesamtgröße von .Fehler in TIFF-Struktur: Tag'StripOffset' Zeiger ohneGrößenangabe!Fehler in TIFF-Struktur: Tag'TileOffsets' ohne 'TileByteCount'gefunden!FehlerursacheDiese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Eine TIFF-Datei wurde geöffnet, derenInhalt nicht vollständig durch dieenthaltenen Tags belegt wird. Diedurch angegebene Anzahl vonBytes der Datei wird durch den‚offiziellen’ Dateiinhalt nichtverwendet und kann verborgeneInhalte enthalten. Die Meldung wirdausgegeben, wenn die Zahl der nichtadressierten Bytes mehr als 50beträgt. In jedem Fall können dieseBytes unter ‚Ansicht / WeitereDateiinhalte’ betrachtet werden.(Einzelne nicht belegte Bytes bzw.kleinere ungenutzte Dateibereichesind in TIFF-Dateien normal. Sieentstehen durch Füllbytes, die bei derAnordnung von Tabellen auf WORDoderDWORD-Grenzen erforderlichwerden, aber auch durch dieBearbeitung der TIFF-Datei.)Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Interner Fehler in der TIFF-Struktur.Der Inhalt kann u.U. nicht korrektangezeigt werden. WeitereFehlermeldungen sind möglich. DieseMeldung kann nur im Fall einerbeschädigten TIFF-Datei auftreten.Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Interner Fehler in der TIFF-Struktur.Der Inhalt kann u.U. nicht korrektangezeigt werden. WeitereFehlermeldungen sind möglich. DieseMeldung kann nur im Fall einerbeschädigten TIFF-Datei auftreten.Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDer sichere Zustand des Produktes istnicht gefährdet. Sie müsen dieenthaltenen Daten in dem Dokumentgenauer untersuchen. Sie müssenselbst entscheiden, ob Sie dasDokument signieren wollen odernicht.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen dieenthaltenen Daten in dem Dokumentgenauer untersuchen. Sie müssenselbst entscheiden, ob Sie dasDokument signieren wollen odernicht.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen dieenthaltenen Daten in dem Dokumentgenauer untersuchen. Sie müssenselbst entscheiden, ob Sie dasDokument signieren wollen odernicht.286

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes ViewerFehlerursacheFehlendes Tag! Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Es wurde ein Tag nicht gefunden. Esist ein Fehler im Programmaufgetreten.Fehlerhafter TagType! Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überFehler in DataLength (erwartet 'X'gefunden 'Y')den Signaturanforderungsdialoggeneriert werden.Fehler in der TIFF-Struktur. Der Typeines Tag’s entspricht nicht derSpezifikation.WeitereFehlermeldungen sind möglich. (Trittbeim Markieren eines Tag’s auf, wenndieses Tag nicht der Spezifikationentspricht.)Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Fehler in der TIFF-Struktur. DerDatenumfang eines Tag’s entsprichtnicht der Spezifikation. Tritt nur auf,wenn die Spezifikation denDatenumfang des Tag’s explizitfestlegt und das Tag dieserFestlegung nicht entspricht. WeitereFehlermeldungen sind möglich. (Trittbeim Markieren eines Tag’s auf, wenndieses Tag nicht der Spezifikationentspricht.)Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDer sichere Zustand des Produktes istnicht gefährdet. Sie müssen dieenthaltenen Daten in dem Dokumentgenauer untersuchen. Sie müssenselbst entscheiden, ob Sie dasDokument signieren wollen odernicht.Der sichere Zustand des Produktes istnicht gefährdet. Der Benutzer mussdie enthaltenen Daten in demDokument genauer untersuchen. DerBenutzer muss selbst entscheiden, ober das Dokument signieren will odernicht.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen dieenthaltenen Daten in dem Dokumentgenauer untersuchen. Sie müssenselbst entscheiden, ob Sie dasDokument signieren wollen odernicht.287

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes ViewerFehler in DataLength (erwartet 'X1'oder 'X2' gefunden 'Y')Fehler in DataType (erwartet '2'(ASCII) gefunden '')Fehler in Datei! Zeiger ausserhalb desBereichs!FehlerursacheDiese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Fehler in der TIFF-Struktur. DerDatenumfang eines Tag’s entsprichtnicht der Spezifikation. Tritt nur auf,wenn die Spezifikation denDatenumfang des Tag’s explizitfestlegt und das Tag dieserFestlegung nicht entspricht. WeitereFehlermeldungen sind möglich. (Trittbeim Markieren eines Tag’s auf, wenndieses Tag nicht der Spezifikationentspricht.)Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Fehler in der TIFF-Struktur. DerDatentyp eines Tag's entspricht nichtder Spezifikation. Tritt nur auf, wenndie Spezifikation den Datentyp desTag's explizit festlegt und das Tagdieser Festlegung nicht entspricht.Weitere Fehlermeldungen sindmöglich.Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Es ist ein Fehler in der TIFF-Dateiaufgetreten. Eine Adresse in derStruktur der TIFF-Datei verweist aufDaten, die hinter dem Ende der Dateiliegen. Tritt auf, wenn die TIFF-Dateiunvollständig ist (abgeschnitten) oderdie Adressdaten in der Dateibeschädigt wurden. WeitereFehlermeldungen sind zu erwarten.Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDer sichere Zustand des Produktes istnicht gefährdet. Sie müssen dieenthaltenen Daten in dem Dokumentgenauer untersuchen. Sie müssenselbst entscheiden, ob Sie dasDokument signieren wollen odernicht.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen dieenthaltenen Daten in dem Dokumentgenauer untersuchen. Sie müssenselbst entscheiden, ob Sie dasDokument signieren wollen odernicht.Der sichere Zustand des Produktes istnicht gefährdet. Sie müssen dieenthaltenen Daten in dem Dokumentgenauer untersuchen. Sie müssenselbst entscheiden, ob Sie dasDokument signieren wollen odernicht.288

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes ViewerFehlerursacheFehler in Datei! Überschneidung! Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überDie Signaturkomponente konnte nichtinitialisiert werden!Auf die Datei '' kann nichtzugegriffen werden:Beim Laden des TIFF-Bildes ist einFehler aufgetreten:den Signaturanforderungsdialoggeneriert werden.Fehler in der TIFF-Datei. Eine Adressein der Struktur der TIFF-Datei verweistauf Daten, die in einem Bereich derDatei liegen, in dem bereits andereDaten identifiziert wurden. Tritt auf,wenn die Adressdaten in der Dateibeschädigt wurden. WeitereFehlermeldungen sind zu erwarten.Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Das SignCubes Job Interface stehtnicht zur Verfügung. Dies ist einkritischer Fehler. Sie sollten mit demOpenLimit SignCubes Integrity Tooldie korrekte Installation desProduktes auf dem Arbeitsplatzüberprüfen.Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Die Datei wurdeursprünglich geöffnet und gelesen,steht bei einem späteren Zugriffjedoch nicht mehr zur Verfügung. DieFehlermeldung des Betriebssystemssteht in einer zweiten Zeile.Diese Fehlermeldung kann beimÖffnen einer Datei mit dem OpenLimitSignCubes Viewer direkt durch dieseoder beim Öffnen einer Datei überden Signaturanforderungsdialoggeneriert werden.Es wurde ein Fehler festgestellt, dersich auf die Struktur der TIFF-Dateibzw. die Auswertung des Inhaltsbezieht. Beispiel: Nicht unterstützteKompressionsverfahren oder Fehler inder Dateistruktur. Eine genaueBezeichnung des Fehlers - inenglischer Sprache - steht in derzweiten Zeile.Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDer sichere Zustand des Produktes istnicht gefährdet. Sie müssen dieenthaltenen Daten in dem Dokumentgenauer untersuchen. Sie müssenselbst entscheiden, ob Sie dasDokument signieren wollen odernicht.Der sichere Zustand des Produkteskann nicht gewährleistet werden. Siesollten mit dem zur Verfügungstehenden Modul zurIntegritätsprüfung die Integrität derInstallation auf dem Rechnerüberprüfen.Der sichere Zustand des Produktes istnicht gefährdet. Sie sollten denVorgang wiederholen.Der sichere Zustand des Produktes istnicht gefährdet. Allerdings kann dasDokument nicht angezeigt werden.Sie müssen entscheiden, ob Sie dasDokument trotzdem signierenmöchten, obwohl kein sicheresAnzeigemodul zur Verfügung steht.289

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes ViewerEs sind Java ScriptElemente im Dokument enthalten.FehlerursacheDiese Fehlermeldung wird generiert,wenn der OpenLimit SignCubesViewer Java Script Elementeidentifiziert hat.Sie sollten sich über den Menüpunkt'Weitere Dateiinhalte' über denInhalt der Java Scripte informieren.Fehler in der Datenlänge Diese Fehlermeldung kann beimÖffnen eines PDF Dokumentsangezeigt werden.Fehler im Zugriff auf die Datei! Diese Fehlermeldung kann beimÖffnen eines Dokuments angezeigtwerden.Das Modul besitzt eine ungültige Signatur! DasProgramm wird beendet.Das Modul konnte nicht geladen werden! DasProgramm wird beendet.Das Dokument ist beschädigt undmuss repariert werden.Diese Fehlermeldung kann Ihnenbeim Start des Viewers angezeigtwerden.Diese Fehlermeldung kann Ihnenbeim Start des Viewers angezeigtwerden.Diese Fehlermeldung kann beimÖffnen eines PDF Dokumentsangezeigt werden.Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDer sichere Zustand des Produktes istnicht gefährdet. Sie sollten sichjedoch über den Inhalt der Java ScriptElemente über den Menüpunkt'Weitere Dateiinhalte' informieren.Im Zweifelsfall sollten Sie dieUnterzeichnung des Dokuments nichtfortsetzen.Der sichere Zustand des Produktes istnicht gefährdet, jedoch sollten Sie dieDatei nicht weiter verarbeiten, da einFehler in der internenDokumentstruktur vorliegt.Der sichere Zustand des Produktes istnicht gefährdet. Sie haben jedocheine Datei ausgewählt, die nichtgeöffnet werden kann. Beispielsweisekann die Datei exklusiv durch eineDer sichere Zustand des Produktes istnicht mehr gewährleistet. DasProgramm wird beendet. Sie solltenmit dem zur Verfügung stehendenModul zur Integritätsprüfung dieIntegrität der Installation auf demRechner überprüfen undsicherstellen, dass nichtunberechtigte Dritte Zugriff auf IhrenRechner haben.Der sichere Zustand des Produktes istnicht mehr gewährleistet. DasProgramm wird beendet. Sie solltenmit dem zur Verfügung stehendenModul zur Integritätsprüfung dieIntegrität der Installation auf demRechner überprüfen undsicherstellen, dass nichtunberechtigte Dritte Zugriff auf IhrenRechner haben.Der sichere Zustand des Produktes istnicht betroffen. Der Viewer hat jedocherkannt, dass das vorliegendeDokument nicht verarbeitet oderangezeigt werden kann.Eine solches Dokument sollten Sienicht signieren.290

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes ViewerDie Datei-Ende Markierung (EOF)wurde nicht gefunden.Die Datei konnte nicht geöffnetwerden.Ein unerwarteter Fehler istaufgetreten!- es sind alternative Abbildungenenthalten- es sind Anweisungen zur Ausführungexterner Programme enthaltenFehlerursacheDiese Fehlermeldung kann beimÖffnen eines PDF Dokumentsangezeigt werden.Diese Fehlermeldung kann beimÖffnen eines PDF Dokumentsangezeigt werden.Diese Fehlermeldung wird angezeigt,wenn ein Fehler aufgetreten ist, dereine weitere Verarbeitung der Datenunmöglich macht.Diese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Diese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDer sichere Zustand des Produktes istnicht betroffen. Der Viewer hat jedocherkannt, dass das vorliegendeDokument einen syntaktischen Fehlerenthält.Ein solches Dokument sollten Sienicht signieren.Der sichere Zustand des Produktes istnicht gefährdet, die Datei konntejedoch nicht geöffnet werden.Der sichere Zustand des Produktes istnicht gefährdet.Sie sollten die laufende Operationjedoch abbrechen bzw. den Viewerschliessen.Der sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtsignieren.Der sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtsignieren.- es sind Verweise auf externe DateienenthaltenDiese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Der sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtsignieren.- es sind Verzweigungen aufexterne Dokumente enthalten- es sind Anweisungen zum Verbergenvon Inhalten enthaltenDiese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Diese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Der sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtDer sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.291

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes Viewer- es sind Anweisungen zum Zugriff aufdas Internet enthalten- es sind Anweisungen zum Abspielenvon Media-Clips enthalten- es sind Anweisungen zur Ausführungbenannter Aktionen enthaltenFehlerursacheDiese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Diese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Diese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.- es sind optionale Inhalte enthalten Diese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.- es sind Anweisungen zur Steuerungvon Media-Clips enthalten- es sind Anweisungen zurÜbermittlung von Formulardatenenthalten- es sind Anweisungen zum Abspielenvon Sound enthalten- es sind Anweisungen zur Steuerungbesonderer LesereihenfolgenenthaltenDiese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Diese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Diese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Diese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDer sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Der sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtDer sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtDer sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtDer sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtsignieren.Der sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtDer sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichti iDer sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtsignieren.292

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes ViewerFehlerursache- es wird Transparenz verwendet Diese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.- es wurden Inhalte entdeckt, dienicht zum Dokument gehörenDiese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDer sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtsignieren.Der sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtsignieren.- es sind Anweisungen zum Abspielenvon Filmen enthaltenDiese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezegt werden.Der sichere Zustand des Produktes istnicht betroffen, jedoch hat der Viewererkannt, dass Anweisungen in demPDF Dokument vorhanden sind, dienicht ausgeführt werden können.Sie sollten eine solche Datei nichtsignieren.Das Dokument hat eine neuereVersion als 1.6 und kann aus diesemgrund u.U. nicht eindeutig undfehlerfrei dargestellt werden.Diese Meldung kann Ihnen beimÖffnen eines PDF Dokumentsangezeigt werden.Der sichere Zustand ist nichtbetroffen. sie haben jedoch einDokument geöffnet, welches einePDF-Version spezifiziert, die größerals die erwartete Version 1.6 ist.Das bedeutet, dass die Datei unterUmständen nicht korrekt angezeigtwird. Sie sollten eine solche Dateinicht signieren, da der Viewer diezweifelsfreie Darstellung desDokuments nicht gewährleisten kann.293

Handbuch OpenLimit SignCubes 2.5.0.2Fehlermeldung des OpenLimitSignCubes ViewerEs steht der Anwendung nichtgenügend Speicher zur Verfügung!Bitte beenden Sie die Anwendung undstarten Sie diese neu.FehlerursacheDiese Meldung kann Ihnen bei derVerwendung des Text-Extrakionsdialogs des Viewersangezeigt werden.Auswirkungen auf den sicherenZustand des Produktes/BenutzerreaktionDer sichere Zustand ist nichtbetroffen. Sie sollten jedoch denViewer schliessen und das Dokumenterneut öffnen.Unter bestimmten Umständen stelltdas Betriebssystem nicht genügendSpeicher für die Anwendung zurVerfügung. Um eineMissinterpretation der Datenauszuschliessen, sollten Sie dasDokument jedoch schliessen underneut öffnen. Sie sollten dasDokument jedoch nicht signieren,bevor Sie den Inhalt des Dokumentsnicht zweifelsfrei erkennen konnten.294

Handbuch OpenLimit SignCubes 2.5.0.212.5 Technischer SupportBei Fragen in der Arbeit mit dem Produkt OpenLimit SignCubes 2.5 sollten Sie zunächst dieBeschreibung in dem entsprechenden Kapitel des elektronischen Handbuches bzw. in derBenutzerdokumentation der OpenLimit SignCubes 2.5 nachlesen.Fehlermeldungen und Erklärungen finden Sie im Kapitel Erste Hilfe.Darüber hinaus steht Ihnen zur Unterstützung für die Software OpenLimit SignCubes 2.5 ein telefonischerSupport zur Verfügung. Weitere Informationen zum technischen Support und zu häufig gestellten Fragen(FAQ) finden Sie im Internet unter: www.OpenLimit.com.Vorab sollten Sie sich darüber informieren, welche Softwareversion Sie installiert haben. Diese Meldungfinden Sie unter Start - Programme - OpenLimit - Show Version.13 IndexAAdobe Plugin • 171Adobe Plugin Grundeinstellungen • 172Arbeiten mit dem OpenLimit SignCubes Integrity Tool • 90Arbeiten mit dem OpenLimit SignCubes Security Environment Manager • 75Arbeiten mit dem OpenLimit SignCubes Viewer • 105Arbeiten mit den OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 • 75Arbeiten mit Lotus Notes 6.5.4 • 251Arbeiten mit Mozilla / Netscape Mail • 221Arbeiten mit Thunderbird • 240Arbeitsabläufe • 142Attributzertifikate • 130BBetriebssysteme • 20Bevor Sie beginnen • 11295

Handbuch OpenLimit SignCubes 2.5.0.2CDEFGIChipkarten • 23Chipkarten Optionen • 67Dateien und Icons im Explorer • 170Dateiformate • 142Daten entschlüsseln • 167Daten verschlüsseln • 160Der OpenLimit SignCubes Drucker • 178Details • 148Die erste Signatur mit OpenLimit SignCubes • 168Drucker Eigenschaften - Dateiformate • 187Drucker Eigenschaften - Dateiname erstellen • 189Drucker Eigenschaften - Einstellungen • 185Drucker Eigenschaften - Embed Annotation • 195Drucker Eigenschaften - Programm - Start • 191Drucker Eigenschaften - Wasserzeichen • 193Eigenschaften • 68Eigenschaften des Druckers • 184Einleitung • 10E-Mail Clients • 197Entschlüsselung • 166Erste Hilfe • 267Erstellen Prüfprotokoll • 154Fehlermeldungen des OpenLimit SignCubes Viewer • 286Fehlermeldungen OpenLimit SignCubes Security Environment Manager • 46, 272Fehlermeldungen vor oder während der Installation • 270Freischalten der Lizenz • 18Grundlagen der elektronischen Signatur • 26Installation • 14Internet Explorer • 256296

Handbuch OpenLimit SignCubes 2.5.0.2KLMOKartenleser • 21Konfiguration der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 • 10, 51, 56Konfigurationsoptionen des OpenLimit SignCubes Security Environment Managers • 52Lotus Notes • 245Lotus Notes 5 • 254Lotus Notes 6.5.4 Sicherheitseinstellungen • 246Microsoft Outlook Einstellungen • 198Microsoft Outlook und Microsoft Outlook Express • 197Mindestanforderungen und Sicherheitsmaßnahmen • 12Mozilla / Netscape Browser Sicherheitseinstellungen • 262Mozilla / Netscape Mail • 206Mozilla / Netscape Mail Client Sicherheitseinstellungen • 207Mozilla / Netscape SSL Authentisierung • 266Mozilla Firefox Browser Sicherheitseinstellungen • 257Mozilla Firefox SSL Authentisierung • 261Mozilla Thunderbird • 225Online Prüfung von Zertifikaten • 149Online Status • 151OpenLimit SignCubes Integrity Tool • 49OpenLimit SignCubes Security Environment Manager • 44OpenLimit SignCubes Shell Extension • 168OpenLimit SignCubes Viewer • 47OptionAlgorithmen • 66Allgemeine Einstellungen • 55Lizenzeinstellungen und Lizenzupgrade • 54PIN-Abfrage • 61Verzeichnisse • 59Zertifikate • 64PPDF Dokument signieren • 174PIN ändern • 73Produktbestandteile • 11, 25Public Key Verfahren • 27297

Handbuch OpenLimit SignCubes 2.5.0.2RSTVWZRechtliche Aspekte der elektronischen Signatur • 33Shell Extension Menü • 169Sicherheitskomponenten der OpenLimit SignCubes Basiskomponenten 2.5, Version 2.5.0.2 • 36, 267Signatur im PDF prüfen • 175Signatur prüfen • 146Signaturerzeugung • 28, 125Signaturverifikation • 30, 79Signieren • 144, 252Signieren und Verschlüsseln • 202Sperrlistenaktualisierung • 101SSL Authentisierung • 255Technischer Support • 297Thunderbird Sicherheitseinstellungen • 226Typografische Konventionen • 10Verschlüsselung • 159Verschlüsselungszertifikat exportieren • 162Verschlüsselungszertifikate in Kontakt integrieren • 204Verzeichnisdienst • 164Wie gehe ich mit Fehlermeldungen um? • 267Zeitstempeldienste • 135Zertifikate exportieren • 71, 72Zertifikate installieren • 162Zusammenfassung • 147298