Öffentlich bestellte Vermessungsingenieure können elektronische Signatur nach eIDAS-Verordnung nutzen (Leipzig, 26.02.2025) Seit Anfang ...
FAQ & Tipps
Recherchieren Sie in unseren FAQ zu Problemen und Fragen.
Schlagwortsuche
Häufig gestellte Fragen zu folgenden Themen
intarsys Produkte
Partnerprodukte
Allgemeine Themen
intarsys Produkte
Allgemein (Installieren, lizenzieren…)
Wenn Sie ein PDF-Formular mit ausfüllbaren Feldern in Sign Live! CC öffnen, erhalten Sie folgende Fehlermeldung:
„ Please wait …
If this message is not eventually replaced ……
Hierbei handelt es sich hier nicht um einen Fehler, sondern um ein gewolltes Verhalten. Die zu öffnende Datei enthält “dynamische Felder”, die jederzeit änderbar sind. Dokumente mit dynamischen Feldern können in Sign Live! CC nicht signiert werden.
Lösung:
Machen Sie in Adobe diese Felder nach dem Ausfüllen „statisch“, indem Sie das Dokument in Adobe zum Beispiel über den virtuellen Drucker „Microsoft Print to PDF“ drucken. Das so generierte statische PDF lässt sich in Sign Live! CC signieren.
Bei Einsatz der Sign Live! CC DATEV-Edition empfehlen wir den Einsatz einer TELESEC-Signaturkarte. Diese können Sie hier erwerben.
Die DATEV hat die Sign Live! CC DATEV-Edition Version 7.1.13 in folgenden Konstellationen getestet und freigegeben:
Telesec – Qualified.ID Standard getestet mit Kartenleser
– Reiner SCT RFID standard
– Reiner SCT RFID komfort
D-Trust card 4.x getestet mit Kartenleser
– Reiner SCT RFID standard
– Reiner SCT RFID komfort
D-Trust card 5.x getestet mit Kartenleser
– Reiner SCT RFID standard
– Reiner SCT RFID komfort
Wichtiger Hinweis bei Einsatz von D-Trust card 5.x:
- Bei Einsatz einer D-Trust card 5.x und Nutzung des Reiner SCT RFID komfort ist auf dem Kartenleser die aktuelle Firmware erforderlich. Nutzen Sie gegebenenfalls das cyberJack ControlCenter.
- Sollten Sie eine D-Trust card 5.x in Kombination mit dem REINER SCT RFID standard einsetzen, ist der Einsatz der Sign Live! CC Version 7.1.13 zwingend erforderlich.
Erstinstallation
- Zur (Erst)-Installation der Sign live! CC DATEV-Edition führen Sie bitte die EXE-Datei aus. Die zur produktiven Inbetriebnahme benötigte Lizenzdatei sollte Ihnen bereits zugegangen sein. Zum Einspielen der Lizenzdatei beachten Sie bitte das Tutorial, welches Ihnen zusammen mit der Lizenzdatei zugegangen ist.
Update von älteren Versionen
- Grundsätzlich kann die Sign Live! CC DATEV-Edition 7.1.13 über eine bestehende Sign Live! CC DATEV-Edition 7.1.x installiert werden. Die eingespielte Lizenz bleibt dabei erhalten.
- Sollten Sie eine D-Trust card 5.x im Einsatz haben, empfehlen wir, eine bestehende Installation Version kleiner als 7.1.12 zu deinstallieren und die Version 7.1.13 neu zu installieren.
- Speichern Sie vorab die aktuelle Lizenzdatei, zum Beispiel über Menüpunkt Extras > Lizenzverwaltung.
- Sollten Sie direkt aus der DATEV-Umgebung signieren, sind keine weiteren Vorkehrungen zu treffen.
- Sollten Sie (zusätzlich) direkt aus Sign Live! CC signieren und sich das Erscheinungsbild der Signatur individuell gestaltet haben, muss diese Einstellung gespeichert werden (erweiterte Darstellung bei sichtbarer Signatur).
Seit dem 1.1.2024 meldet Sign Live! CC im Signaturprozess bei der Verwendung bestimmter Algorithmen, dass diese abgelaufen seien. Hintergrund ist, dass die Signaturerstellungseinstellungen auf die veraltete Prüfnorm “SigG” eingestellt sind.
Workaround: Stellen Sie diese Einstellung auf “Standard” zurück. Dann sollte der Fehler nicht mehr auftreten.
Sollte das Problem bestehen bleiben, schicken Sie bitte eine Fehlerbeschreibung und die aktuelle Logdatei an support@intarsys.de.
Die Warnung in den SLCC-Einstellungsseiten (Extras > Einstellungen > Signaturgeräte > …) erscheint trotzdem noch.
Das Problem ist insgesamt behoben mit dem Einsatz der korrigierten Version von Sign Live! CC 7.1.11.3 (zum Download) bzw. ab 7.1.12.
Was bedeutet “Sign Live! CC implementiert den jeweils gültigen Algorithmenkatalog”?
Ein Algorithmenkatalog definiert, welche kryptografischen Algorithmen aktuell und für einen Zeitraum in der Zukunft als sicher betrachtet werden. Damit legt er maßgeblich das Sicherheitsniveau einer PKI(1) fest.
Bis zum 30.06.2017 haben das Signaturgesetz und die Signaturverordnung (SigG/SigV) für qualifizierte elektronische Signaturen eine PKI definiert und forderten dazu einen Algorithmenkatalog, der ständig aktualisiert wurde. Seit dem 01.07.2017 wird dies europaweit in der eIDAS-Verordnung geregelt.
Das BSI (Bundesamt für Sicherheit in der Informatik) erstellt den Algorithmenkatalog und legt dabei jeweils eine Vorausschau von 7 Jahren zu Grunde. D. h., die betrachteten Algorithmen sind heute und mit aller Wahrscheinlichkeit mindestens die nächsten 7 Jahre noch als sicher zu betrachten. Sehr oft werden diese Zeiträume jahresweise verlängert. Wenn zu erwarten ist, dass ein Algorithmus unsicher wird, haben die Nutzer also eine Vorwarnzeit von 7 Jahren. Dass bekannt gewordene Angriffe das Sicherheitsniveau von Kryptoalgorithmen so plötzlich gefährden, dass ein Gültigkeitszeitraum verkürzt werden musste, ist seit der Existenz des SigG-Algorithmenkatalogs nicht vorgekommen.
Sign Live! CC implementiert die Vorgaben des jeweils zum Veröffentlichungszeitpunkt der Software gültigen Algorithmenkatalogs.
Was passiert mit dem Algorithmenkatalog, durch die Umsetzung der eIDAS-VO?
Um die eIDAS-Verordnung in Deutschland umzusetzen, werden SigG/SigV Ende 2017 durch das Vertrauensdienstegesetz und die zugehörige Verordnung abgelöst. Ein Algorithmenkatalog ist z. Zt. noch nicht in der eIDAS-VO verankert. Es ist noch offen, ob bis dahin die EU-Verwaltung die notwendigen Regeln auf EU-Ebene beschließen wird oder Deutschland weiterhin am deutschen Katalog festhält, solange kein EU-Katalog existiert. Wir werden Sie zu diesem Thema weiter informieren.
(1) PKI = Public-Key-Infrastruktur. Ausführliche Informationen finden Sie unter https://de.wikipedia.org/wiki/Public-Key-Infrastruktur
In seltenen Fällen kommt es vor, dass Sign Live! CC oder Sign Live! cloud suite bridge nach der Installation nicht starten und dass die folgende Fehlermeldung mit möglichen Fehlerursachen erscheint:
In der Praxis hat sich gezeigt, dass die in der Fehlermeldung aufgeführten Fehlerursachen oft nicht zu einer Lösung des Problems führen. Eine weitere mögliche Ursache ist, dass eine benötigte Microsoft Visual C++ Laufzeitbibliothek fehlt oder veraltet ist.
Diese Laufzeitbibliothek ist in dem Paket „Microsoft Visual C++ Redistributable“ vorhanden.
Bitte prüfen Sie in den Windows-Einstellungen unter „Apps und Features“, ob dieses Software-Paket in der aktuellen Version auf Ihrem Rechner vorhanden ist.
Es wird mindestens das Paket mit der Jahreszahl 2015-2019 oder eine neuere Version benötigt.
Sollte dieses Paket nicht, oder in einer älteren Version vorliegen, nehmen Sie bitte eine Aktualisierung vor und starten Sie anschließend die intarsys Anwendung neu.
Die aktuellen Versionen des Software-Paketes finden Sie unter:
https://aka.ms/vs/17/release/vc_redist.x64.exe (für die 64 Bit Version der Anwendung)
https://aka.ms/vs/17/release/vc_redist.x86.exe (für die 32 Bit Version der Anwendung)
Die Standardkonfiguration für das SLCC-Anwendungslog ist abgelegt unter
\classes\config\logback.xml
Für das SLCC-Anwendungslog ist der appender “FILE” zuständig.
Anpassungen müssen also dort gemacht werden.
Um Ort/Anzahl/Größe der zu erstellenden Log-Dateien anzupassen, ändern Sie <file> und/oder <rollingPolicy>.
Hinweise dazu finden Sie unter http://logback.qos.ch/manual/appenders.html.
Um das Layout der Log-Datei anzupassen, ändern Sie das <pattern> nach Ihren Bedürfnissen.
Infos zu den darin verwendeten Variablen finden Sie unter
http://logback.qos.ch/manual/layouts.html
%p / %le / %level stehen z. B. für die Levelbezeichnung.
Bei der Neuinstallation von Sign Live! CC oder bei einem Rechnerwechsel kann die Übernahme von Einstellungen einer bestehenden Installation hilfreich sein.
Die Einstellungen von Sign Live! CC sind im Profilverzeichnis der Anwendung abgelegt.
- (Windows client:
C:\Users\<user>\.SignLiveCC_<major>.<minor>) - (Windows server:
C:\ProgramData\.SignLiveCC_<major>.<minor>)
Folgende Unterverzeichnisse können übernommen werden:
“preferences” (beinhaltet Einstellungen, die über “Extras > Einstellungen” vorgenommen wurden)
“instruments” (beinhaltet Konfigurationen von Dienstcontainern, Signaturpools, Zeitstempel, Konfigurationen für signIT gears, etc.)
“licenses” (beinhaltet u.U. die Lizenz)
“db” (sollte übernommen werden, wenn eigene Zertifikate in den Zertifikatsspeicher von Sign Live! CC importiert wurden)
Eine Kurzanleitung zur Migration steht als Tutorial zum Download bereit.
Variablen werden beim Start von Sign Live! CC mit Hilfe der Datei „bin\SignLiveCC.exe.vmoptions“ übergeben. Diese werden über die Option “-Dproperty = value” definiert und ein Wert gesetzt. Als Wert ist auch die Angabe von Umgebungsvariablen möglich.
Beispiele:
-Dmy.test=test
-Dmy.profile=${USERPROFILE}
Diese Variablen können z.B. bei der Konfiguration von Sign Live! CC über ${properties.my.test} bzw. ${properties.my.profile} verwendet werden.
Weitere Hinweise zur Verwendung der vmoptions-Datei finden Sie im Users Guide von exe4j, das zur Erstellung des Sign Live! CC Launchers für Windows verwendet wird.
Sollen mehrere Windows Dienste von Sign Live! CC parallel betrieben werden, so muss bei der Installation des Dienstes ein Name angegeben werden. Passen Sie dazu die Datei „bin/SignLiveCC_service_install.bat“ an, indem Sie nach der Option „/install“ einen Namen angeben.
Beispiel:
……./install MySLCCService
Der gleiche Name muss in den bat-Dateien zum Starten, Stoppen und Deinstallieren des Windows-Dienstes angegeben werden.
Parameter zur Verwendung im Sign Live! CC Windows Dienst werden mit Hilfe der Datei „bin/SignLiveCC_service.exe.vmoptions“ übergeben. Weitere Hinweise dazu erhalten Sie hier.
Unter Umständen macht es Sinn, anstelle der mit Sign Live! CC ausgelieferten JVM die eigene zu verwenden.
Zum Beispiel, wenn Sie via JMX auf die Sign Live! CC MBeans zugreifen möchten oder die Anwendung aus der Ferne debuggen möchten.
Gehen Sie folgendermaßen vor:
- Benennen Sie das Verzeichnis der mit Sign Live! CC ausgelieferten JVM um.
Windows: C:\Programme\SignLiveCC_7.1\jre --> C:\Programme\SignLiveCC_7.1\jre_off
Linux: /opt/intarsys/signlivecc-7.1.7/bin/jre --> /opt/intarsys/signlivecc-7.1.7/bin/jre_off - Windows:
Definieren Sie über die Windows Systemeinstellungen in der Systemvariablen EXE4J_JAVA_HOME das Wurzelverzeichnis der zu verwendenden JVM (ohne abschließendes “\”).
Falls dies nicht zum Erfolg führt, definieren Sie zusätzlich EXE4J_LOG=yes, um Informationen über das Verhalten von EXE4J zu erhalten:
Im Betrieb gibt eine Messagebox Auskunft darüber, wo das Log abgelegt wird.
Linux:
Setzen Sie $CABARET_JAVA_HOME auf das Wurzelverzeichnis der gewünschten JVM
(s. auch Informationen in /opt/intarsys/signlivecc-7.1.7/bin/signlivecc.sh)
3. Starten Sie Sign Live! CC neu. Im Log sollten Sie nun unter java.home die definierte JVM finden.
Wichtiger Hinweis
Die mit Sign Live! CC ausgelieferte JRE verwendet den keystore.type = jks.
Separat installierte JRE/JDK müssen entsprechend angepasst werden.
Setzen Sie dazu in Ihrer Java-Installation in der Datei java.security --> keystore.type = jks.
Bei der Erstellung eines Installationsmediums für Windows, wird die Software “InnoSetup” von “JRSoftware” verwendet.
Innosetup unterstützt die Funktion “Silent Install”. Einmal aufgezeichnete Installationsparameter können bei weiteren Installationen verwendet werden.
Beispiel:
Erzeugen Sie durch folgenden Aufruf über die Kommandozeile eine Datei mit Ihren Installationsparametern:
- setup_SignLive_CC_JRE_6.2.1_64Bit.exe /SAVEINF=”c:\temp\install.inf”
Passen Sie die Datei, falls nötig an und verwenden Sie die gespeicherten Parameter über den Aufruf
- setup_SignLive_CC_JRE_6.2.1_64Bit.exe /SILENT /LOADINF=”c:\temp\install.inf”
bei weiteren Installationen.
Weitere Aufrufparameter von Innosetup finden Sie hier
Wir stellen Sign Live! CC für unterschiedliche Betriebssysteme zur Verfügung. Informationen über die Betriebssysteme entnehmen Sie bitte dem aktuellen Datenblatt. Außerdem werden ThinClient-Szenarien auf Basis von Windows Terminal Server bzw. Citrix Presentation Server unterstützt.
- Installation unter Windows
Eine Schritt-für-Schritt-Anweisungen zum Download der Software, Installation und zur Lizenzierung finden Sie als Tutorial hier.
- Installation unter macOS
Das Tutorial für die Installation und Lizenzierung unter macOS steht hier zur Verfügung.
- Hinweis:
Falls Sie die Anwendung bereits in einer gleichen Version oder einer Vorgängerversion installiert haben oder falls Sie einen Patch installieren:
Beenden Sie die Anwendung, am besten über den System Tray (Taskleiste), sofern diese gestartet ist.
Falls Sie die Software als Windows Dienst konfiguriert haben, beenden Sie den Windows Dienst.
So installieren Sie die Software auf einem Linux System:
- Laden Sie die Datei mit der Endung „.tar.gz” herunter.
- Falls Sie die Anwendung bereits in einer Vorgängerversion installiert haben oder falls Sie einen Patch installieren:
- Beenden Sie die Anwendung, sofern diese gestartet ist.
- Falls Sie die Software als Linux Dienst konfiguriert haben, beenden Sie den Linux Dienst.
- Entpacken Sie die heruntergeladene Datei wie folgt, verwenden Sie den Dateinamen der heruntergeladenen Datei plus die Versionsnummer als Name für das Installationsverzeichnis:
tar -xf signlivecc_*.tar.gz -C /var/signlivecc-7.1.11/ - Prüfen Sie Ihre Installation.
- Starten Sie die installierte Anwendung.
Hinweis: Entpacken Sie auch ein Update in ein neues Verzeichnis, um zu vermeiden, dass in der Installation Inhalte von unterschiedlichen Versionen vorliegen. Spezifische Anpassungen müssen nach der Installation erneut durchgeführt oder übernommen werden.
Hinweis: Abhängig vom Produkt ist der Dateiname der heruntergeladenen Datei unterschiedlich. Für das Beispiel in Punkt 3 wurde das Produkt “Sign Live! CC” verwendet.
Eine in das Fonts-Verzeichnis kopierte Schriftart wird in einem intarsys-Produkt nicht angezeigt und kann nicht genutzt werden. Was ist zu tun?
Unsere Produkte lesen die Schriftarten aus dem Standardverzeichnis. Unter Windows ist das C:\Windows\Fonts. In der Benutzeransicht werden allerdings nicht nur die Fonts aus diesem Verzeichnis angezeigt, sondern auch die Fonts aus dem Benutzerverzeichnis. Dies ist erst erkennbar, wenn man sich die Eigenschaften einer Schriftart anzeigen lässt.
Kopiert man einen Font in das Verzeichnis C:\Windows\Fonts, so wird dieser zwar dort angezeigt, befindet sich aber de facto im Benutzerverzeichnis. Auf das Benutzerverzeichnis greift unsere Software standardmäßig nicht zu, so dass der Font nicht zur Verfügung steht, obwohl Sie ihn an vermeintlich richtiger Stelle sehen.
Lösung:
- Installieren Sie den Font, statt ihn zu kopieren. Nutzen Sie dazu das Kontextmenü (rechte Maustaste) und wählen Sie „Für alle installieren“. Dadurch landet der Font im richtigen Verzeichnis.
Sign Live! CC
Seit dem 1.1.2024 meldet Sign Live! CC im Signaturprozess bei der Verwendung bestimmter Algorithmen, dass diese abgelaufen seien. Hintergrund ist, dass die Signaturerstellungseinstellungen auf die veraltete Prüfnorm “SigG” eingestellt sind.
Workaround: Stellen Sie diese Einstellung auf “Standard” zurück. Dann sollte der Fehler nicht mehr auftreten.
Sollte das Problem bestehen bleiben, schicken Sie bitte eine Fehlerbeschreibung und die aktuelle Logdatei an support@intarsys.de.
Die Warnung in den SLCC-Einstellungsseiten (Extras > Einstellungen > Signaturgeräte > …) erscheint trotzdem noch.
Das Problem ist insgesamt behoben mit dem Einsatz der korrigierten Version von Sign Live! CC 7.1.11.3 (zum Download) bzw. ab 7.1.12.
Die Anwendung läuft problemlos. Nur beim Verarbeiten großer Dateien treten Probleme auf. Ausschlaggebend dabei ist die Größe einer Datei während der Verarbeitung in der Anwendung. Diese ist bedingt durch die Größe in Bytes und durch deren Struktur. Problematisch sind z. B. viele Seiten (>100), große Bilder.
Folgende typische Fehlermeldungen sind im Log erkennbar:
- java.lang.OutOfMemoryError: Java heap space
--> Weitere Infos dazu finden Sie in der FAQ – Mehr Speicher zur Verfügung stellen. - z. B. java.net.SocketException: Software caused connection abort: socket write error
--> s. u.
Diese Probleme können bei Verwendung des SOAP-Protokolls auftreten.
In diesem Fall müssen limitierende Einstellungen vergrößert werden.
Erzeugen Sie dazu die Datei /classes/cxf/bus.properties z. B. mit folgendem Inhalt:
org.apache.cxf.stax.maxTextLength=512000000
und führen Sie einen Neustart der Anwendung durch.
Dadurch wird die Nachrichtengröße von ca. 100 MB (Standard) auf 512 MB angehoben.
Bedenken Sie, dass die Nachrichtengröße wegen des base64-Encodings immer größer ist als die tatsächliche Dateigröße (Faktor ca. 1,3).
Auch Dokumente, die größer als DIN A 4 sind, können mit Sign Live! CC signiert werden. Wird dafür eine sichtbare Signatur (erweiterte Darstellung) verwendet, kann es vorkommen, dass Sign Live! CC den Fokus auf dem Dokument verliert und das Signaturfeld an eine andere Position “springt”.
Dies kann behoben werden, indem man Sign Live! CC mehr Arbeitsspeicher zur Verfügung stellt. Eine Anleitung finden Sie im entsprechenden FAQ hier.
Beim Öffnen sehr großer Dateien kann es vorkommen, dass der Sign Live! CC zur Verfügung stehende Arbeitsspeicher nicht ausreicht (Fehlermeldung: … “Java heap space”).
Die erste, optionale Maßnahme ist, den Trusted Mode zu deaktivieren. Bei aktiviertem Trusted Mode behält die Anwendung die zu signierende Datei während der Verarbeitung vollständig im Speicher, um Manipulationen zu vermeiden. In einer sicheren Umgebung kann auf dieses Verfahren verzichten werden.
So deaktivieren Sie den Trusted Mode:
- Öffnen Sie die Einstellungen über die Menüoption Extras>Einstellungen>Sicherheit>Trusted Mode
- Deaktivieren Sie das Ankreuzfeld “Dokumentenintegrität sicherstellen”
- Starten Sie die Anwendung neu.
Sollte diese Maßnahme nicht zum Erfolg führen, müssen Sie der Anwendung mehr Speicher zur Verfügung stellen. Das Log gibt Auskunft darüber, wieviel Speicher Java aktuell beim Betriebssystem maximal nachfragt, im folgende Fall z. B. ca. 512 MB:
[2019.11.20-09:29:57.818][I][d.i.tools.logging][executor singleton][] maxmemory=477626368Prüfen Sie zunächst, dass das Betriebssystem tatsächlich soviel Speicher für Java zur Verfügung stellen kann. Betriebssystem und andere Anwendungen benötigen auch Speicher!
Wenn genügend Speicher zur Verfügung steht und dieser nicht genügt für die zu verarbeitenden Dokumente, setzen Sie bitte stufenweise den von Java reklamierten Speicher hoch: 1 GB, 2 GB, … .
So stellen Sie in Sign Live! CC mehr Arbeitsspeicher zur Verfügung:
- Kopieren Sie die Datei
<INSTALLATIONSVERZEICHNIS>\demo\vmoptions\more memory\*.vmoptions1 nach <INSTALLATIONSVERZEICHNIS>\bin\*.vmoptions1
Die kopierte Datei bezieht sich auf das .exe, welches für den GUI-Betrieb verwendet wird. - Wichtig!
Falls Sie Sign Live! CC als Service betreiben, muss eine zusätzliche Kopie der .vmoptions-Datei passend zum Namen des service.exe erstellt werden:
Windows: SignLiveCC_service.exe.vmoptions
Linux: signLivecc.service.vmoptions - Starten Sie Sign Live! CC neu.
- Sollte der Arbeitsspeicher noch nicht ausreichen, kann der Wert in der/den vmoptions-Datei(en) mit einem Editor editiert und der Wert zum Beispiel auf -Xmx2048m für 2 GB erhöht werden. Der Maximalwert ist davon abhängig, wie viel Arbeitsspeicher Ihrem Rechner zur Verfügung steht.
1) Der Name der vmoptions-Datei ist abhängig vom eingesetzten Betriebssystem.
Für verschiedene Aktionen ist das Einrichten eines PDF-Druckers erforderlich. Dazu wird in Sign Live! CC “Ghostscript” verwendet.
Bei Installation von Sign Live! CC Version 7.1.7 – oder älter – nutzen Sie bitte Ghostscript 9.53.3 oder älter.
Haben Sie Sign Live! CC in der aktuellen Version installiert, kann auch die aktuelle Version von Ghostscript benutzt werden.
Sign Live! CC startet mit den Spracheinstellungen des Betriebssystems.
Um die Betriebssprache von Sign Live! CC zu manipulieren, benötigen Sie Administratorrechte.
Gehen Sie folgendermaßen vor:
- Beenden Sie Sign Live! CC.
- Wechseln Sie mittels Windows Explorer in das Installationsverzeichnis von Sign Live! CC. Dies ist in den meisten Fällen
"C:\Programme\Sign Live CC <version>" oder "C:\Programme (x86)\Sign Live CC <version>". - Navigieren Sie weiter in das Unterverzeichnis “demo\vmoptions\language english”.
- Kopieren Sie aus diesem Verzeichnis die Datei “SignLiveCC.exe.vmoptions”.
- Wechseln Sie in das Unterverzeichnis “bin” des Installationsverzeichnisses von Sign Live! CC und legen Sie die Datei “SignLiveCC.exe.vmoptions” dort ab.
- Starten Sie Sign Live! CC neu, damit die Spracheinstellungen geladen werden.
Durch dieses Vorgehen wird die gesamte Benutzeroberfläche von Sign Live! CC auf Englisch dargestellt.
Zum Zurücksetzen auf deutsche Sprache, löschen Sie die Datei “SignLiveCC.exe.vmoptions” wieder aus dem bin-Verzeichnis und starten Sign Live! CC neu.
Wenn Trustcenter auf eine neue PKI Infrastruktur umstellen, kann es vorkommen, dass Signaturen oder Zeitstempel, die mit sehr neuen Signaturkarten/Zertifikaten erstellt wurden, nicht gültig validiert werden. Dies ist dem Umstand geschuldet, dass die neuen Trusted Lists (TL) und/oder Root CAs (Wurzelzertifikate) zum Zeitpunkt der Veröffentlichung unserer Software noch nicht implementiert waren.
Durch die Aktualisierung der Vertrauenslisten in Sign Live! CC werden diese Signaturen wieder gültig validiert.
Wir informieren Sie per E-Mail, sobald wir von einem Trustcenter entsprechende Informationen erhalten. Für die Bereithaltung aktueller Zertifikate ist jeder Anwender selbst zuständig.
Über Menüpunkt Extras > Zertifikate > Vertrauenslisten aktualisieren stoßen Sie die Aktualisierung der Vertrauenslisten manuell an.
Sollte die Aktualisierung nicht möglich sein, oder mit Fehlermeldung abbrechen, prüfen Sie bitte:
- Die Internetverbindung
- Ob der Virenscanner die Aktualisierung der Trusted Lists blockiert
- Ob die Firewall die Aktualisierung der Trusted Lists blockiert
Sollte die Aktualisierung dennoch nicht möglich sein, schicken Sie bitte eine Fehlerbeschreibung und die aktuelle Logdatei an support@intarsys.de.
Zum Validieren von Signaturen benötigt Sign Live! CC immer aktuelle Wurzelzertifikate, die zumindest für die eIDAS-PKI über Vertrauenslisten (Trusted List-TL) verteilt werden.
Sign Live! CC wird mit einem bei Veröffentlichung aktuellem Satz von Wurzelzertifikaten ausgeliefert. Von Zeit zu Zeit verwenden Trustcenter neue Wurzelzertifikate. Erhalten wir von den Trustcentern Informationen dazu, leiten wir diese via E-Mail an Sie weiter. Lassen Sie sich dazu für unseren Newsletter registrieren.
In jedem Fall müssen Sie dafür sorgen, dass Sign Live! CC seine Wurzelzertifikate aktualisiert. Dies können Sie manuell oder automatisiert durchführen:
– Für den Arbeitsplatz: Manuell
Diese Methode ist für die normale Installation am Arbeitsplatz völlig ausreichend.
- Über Menüpunkt Extras > Zertifikate > Vertrauenslisten aktualisieren stoßen Sie die Aktualisierung der Vertrauenslisten manuell an.
– Für die Serverinstallation: Automatisiert
Insbesondere in Serverinstallationen ist es sinnvoll, die Aktualisierung zeitgesteuert anstoßen zu lassen. Passen Sie dazu den vorkonfigurierten Service Container an:
- Über Menüpunkt Extras > Dienste > Dienst-Container-Verwaltung konfigurieren Sie den Zeitplan des Dienst-Containers “Trusted List Update Scheduler” und stoßen die Aktualisierung der Vertrauenslisten automatisiert an:
Sollte die Aktualisierung nicht möglich sein, oder mit Fehlermeldung abbrechen, prüfen Sie bitte:
- Die Internetverbindung (Proxy, Firewall, …).
- Ob der Virenscanner im Profilverzeichnis heruntergeladene Vertrauenslisten löscht. Das Profilverzeichnis ist dort, wo die Logs abgelegt werden. Dieses ermitteln Sie über die Menüoption Fenster > Log-Datei.
Wenn die Aktualisierung dennoch nicht möglich ist, schicken Sie bitte eine Fehlerbeschreibung und die aktuelle Logdatei an support@intarsys.de.
In Fällen, in denen die validierende Sign Live! CC-Instanz keine Internet-Verbindung hat / haben darf und somit die TL-Server nicht erreichen kann, bietet sich folgender Workaround an:
- Installieren Sie eine Sign Live! CC-TL-Instanz auf einem Rechner, dem der Zugriff auf TL-Server im Internet gestattet ist.
Version und Patchlevel sollten mit denen der Sign Live! CC-Validierungsinstanz übereinstimmen. - Führen Sie auf der Sign Live! CC-TL-Instanz die Aktualisierung der TL durch, indem Sie über Menüpunkt Extras > Zertifikate > Vertrauenslisten aktualisieren die Aktualisierung der Vertrauenslisten manuell anstoßen.
Die aktualisierten Vertrauenslisten (TL) finden Sie üblicherweise im Verzeichnis<SLCC_PROFILE>\tsl–
zum Beispiel:C:\Users\<name>\.SignLiveCC_<version>\tsl - Ersetzen Sie auf der Sign Live! CC-Validierungsinstanz den Inhalt des Verzeichnisses
<SLCC_PROFILE>\tsldurch die TLs auf der Sign Live! CC-TL-Instanz.
Wichtig ist, dass die Ersetzung vollständig stattfindet! Alles andere erfordert detailliertes Knowhow über die interne Struktur der TLs. - Führen Sie auf der Sign Live! CC -Validierungsinstanz einen Neustart durch.
Dieser Workaround nutzt interne Sign Live! CC-Abläufe, auf die Sie keinen Einfluss nehmen können.
Je nach Ausprägung der von Ihnen eingesetzten Lizenz, können verschiedene Aktionen mit Beschränkungen versehen sein. Ein Beispiel ist die Anzahl der möglichen Signaturen pro Tag. Sobald das Limit erreicht ist, arbeitet die Anwendung nur sehr langsam weiter.
- Sollte Ihnen die eingesetzte Lizenz nicht ausreichen, setzen Sie sich bitte wegen eines Lizenz-Upgrades mit uns unter der E-Mail-Adresse support@intarsys.de in Verbindung.
- Am besten teilen Sie uns Ihren momentan eingesetzten Lizenzschlüssel mit. Diesen finden Sie unter Menüpunkt EXTRAS > LIZENZVERWALTUNG ganz hinten rechts.
SignLive! CC legt Log-Dateien an. Diese helfen uns Fehler zu analysieren und Ihnen rasch weiter zu helfen.
- Stellen Sie bitte in SignLive! CC unter Extras > Einstellungen > Grundeinstellungen den ‘Log Detailgrad’ auf ‘Alle Details’.
- Danach bitte den Fehler nochmals reproduzieren.
Anschließend gehen Sie auf Fenster > Log-Datei anzeigen.
Es erscheint ein Dialog mit den Log-Dateien. - Beachten Sie die Dialog-Überschrift. Dort wird der Pfad zu den Log-Dateien angezeigt.
- Gehen Sie mit dem Finder > Gehe zu > Gehe zum Ordner … zum angezeigten Ordner und schicken Sie uns bitte alle Dateien mit der Endung “.log”.
(Üblicherweise sind die Logdateien unter/Users/<name>/Library/Application Support/SignLiveCC_<version>/abgelegt.)
- Die Information über aktuelle Versionen (Updates) erfolgt über Newsletter. Bei entsprechender Einstellung erfolgt eine Updateprüfung softwareseitig. Eine automatische Installation des Updates erfolgt nicht.
- Bitte beachten Sie unbedingt:
- Wenn Sie unsere Software im Zusammenhang mit einer Fremdsoftware nutzen, erkundigen Sie sich bitte vorab beim Hersteller, ob das Update durchzuführen ist.
- Innerhalb eines Master-Releases wird die Lizenz üblicherweise übernommen. Bei Wechsel des Master-Releases ist eine neue Lizenz erforderlich. Bitte beachten Sie in jedem Fall die Versionshinweise.
- Haben Sie die Software über einen unserer Partner bezogen, werden Sie normalerweise von diesem Partner entsprechend informiert.
- Seit dem 01.01.2019 sind unsere Lizenzen in der Regel sogenannte Laufzeitlizenzen mit einem definierten Ablaufdatum. Bis zu diesem Ablaufdatum ist der Update auf die aktuelle Version kostenlos.
- Bitte prüfen Sie, ob der Hersteller Ihres Kartenlesers Treiber für MAC zur Verfügung stellt.
Die Treiber für Kartenleser der Firma REINER SCT sind hier verfügbar. - Eine Liste der von uns getesteten Signaturkarten und Kartenleser finden Sie im Sign Live! CC Datenblatt.
Ein Hotfix zu Sign Live! CC wird als ZIP-Datei zur Verfügung gestellt. Zum Einspielen des Hotfixes muss die Zip-Datei extrahiert und die darin enthaltenen Datei(en) in ein bestimmtes Verzeichnis kopiert werden. In diesem FAQ wird erklärt, wie die Dateien in das Anwendungsverzeichnis von Sign Live! CC kopiert werden.
Bitte beachten Sie den Hinweis im Hotfix, in welches Verzeichnis die Dateien kopiert werden sollen.
- Falls geöffnet, beenden Sie Sign Live! CC.
- Speichern Sie die Zip-Datei zum Beispiel auf dem Schreibtisch.
- Doppelklicken Sie auf die Zip-Datei. Diese wird automatisch entpackt und es werden die entpackten Ordner und Dateien zur Verfügung gestellt.
- Navigieren Sie mit dem Finder zu Programme, markieren Sie Sign Live! CC, öffnen Sie das Kontextmenü und wählen Sie Paketinhalt anzeigen. Es wird der Ordner “Contents” angezeigt.
- Öffnen Sie die Ordner Contents / Resources.
- Kopieren Sie die entpackten Ordner und Dateien – die im vorherigen Schritt zur Verfügung gestellt wurden – in diesen, beziehungsweise in den im Hotfix angegebenen Ordner.
- Starten Sie Sign Live! CC neu.
Bitte beachten Sie, dass durch MAC OS X – Updates die Treibersoftware der Kartenleser der Firma REINER SCT eventuell aktualisiert werden müssen.
Wird der REINER SCT RFID komfort Kartenleser eingesetzt, kommt es beim Versuch mit einer D-Trust card (ab Version 4.x) zu signieren zu der Fehlermeldung “Karte wird nicht unterstützt”.
Dies kann behoben werden, indem man direkt am Kartenleser die RFID-Funktion ausschaltet. Nutzen Sie dazu die Pfeiltasten im unteren Teil des Ziffernblocks.
Wenn Sie aus Sign Live! CC auf den Button “Aktuelles Dokument verschicken” klicken, wird unter Mac OS X der Dateianhang nicht erzeugt.
Das liegt daran, dass die Übergabe von Dateianhängen bei Verwendung des mailto-Protokolls von Mac OS X nicht unterstützt wird.
Lösung:
Datei speichern und nachträglich anhängen.
Der Kartenleser darf zwar nach Systemstart angeschlossen werden, aber nicht während des Betriebs des Rechners abgezogen werden.
Erfolgt nach Update von MAC OS X nach Installation von Sign Live! CC die Fehlermeldung "Sign Live CC.app kann nicht geöffnet werden, da Apple darin nicht nach Schadsoftware suchen kann.",
kann Sign Live! CC wie folgt geöffnet werden:
Rechte Maustaste klicken, Öffnen auswählen, Dialog bestätigen.
In den Standard deb-Packages für Ubuntu 12.x ist die Bibliothek libfreetype.so, die für das Anzeigen eines Dokumentes notwendig ist, nicht mehr enthalten. Das Package libfreetype6-dev muss nachinstalliert werden.
In den Standard deb-Packages für Ubuntu 12.x ist die Bibliothek libpcsclite, die für die Kommunikation mit einem Kartenleser notwendig ist, nicht mehr enthalten. Das Package libpcsclite-dev muss nachinstalliert werden.
Aus verschiedenen Anwendungen – zum Beispiel ADDISON der Firma “Wolters Kluwer” – können Sie in ELSTER signieren.
Dazu benötigen Sie PKCS#11-Treiber, die wir in Sign Live! CC zur Verfügung stellen.
Diese finden Sie in Sign Live! CC über Menüpunkt Extras > Einstellungen > Bibliotheken > PKCS#11.
Bitte beachten Sie:
- Es wird eine RSA-Signaturkarte – zum Beispiel der D-TRUST – benötigt. Signaturkarten, die ECC (Elliptic curve cryptography) verwenden, werden von dieser Bibliothek nicht unterstützt.
- Sign Live! CC ist mindestens in der Version 7.1.9 erforderlich.
Die Konfiguration des Treibers nehmen Sie bitte direkt in der zu nutzenden Anwendung vor.
Bitte beachten Sie, dass Sie alleine mit Sign Live! CC in ELSTER nicht signieren können.
Vermutlich setzen Sie eine Signaturkarte der D-TRUST ein. Auf der D-TRUST-Karte befinden sich mehrere Zertifikate. Unter anderem ein Zertifikat für die qualifizierte Signatur und eines für fortgeschrittene Signatur/Authentisierung.
Bei der Kontoabfrage wird das Zertifikat für die Authentisierung herangezogen und daher auch die PIN für Authentisierung benötigt.
Wenn Sie bei der Kontoabfrage die Fehlermeldung “falsche PIN” erhalten, haben Sie wahrscheinlich die PIN für die Signatur statt der PIN für die Authentisierung eingegeben. Bitte beachten Sie, dass sich diese beiden PINs in der Regel unterscheiden.
Tipp:
Wenn Sie mehr als 3 x die falsche PIN eingegeben haben, wurde diese gesperrt. Möglich ist auch, dass diese grundsätzlich noch nicht freigeschaltet wurde.
In Sign Live! CC können Sie über den Menüpunkt Werkzeuge > Smartcard Werkzeuge > PIN Management die PINs initialisieren (in Betrieb nehmen) oder (eine gesperrte PIN) zurücksetzen.
Bitte beachten Sie in beiden Fällen den PIN-Brief des Kartenherstellers.
Hinweis:
Wurde bei einer D-TRUST-Karte die PIN durch mehrmalige Falscheingabe gesperrt, kann diese maximal 10x auf die alte PIN zurückgesetzt werden. Bitte notieren Sie sich daher unbedingt die von Ihnen vergebenen PINs.
Wenn Sie die Einreichungen im Zusammenspiel mit Addison durchführen, können Sie zur Signatur Sign Live! CC verwenden. Die Software können Sie über unseren Shop unter https://www.chipkartenleser-shop.de/intarsys/sign-live-cc beziehen.
Wenn Sie die Einreichungen direkt bei ELSTER über den Elster-Authenticator vornehmen möchten, ist unsere Lösung leider nicht geeignet.
In diesem Fall richten Sie sich bitte direkt an ELSTER.
Sign Live! CC v7.1.12 und älter setzen die Bibliothek commons-text in der Version 1.9 ein, zu welcher die Schwachstelle CVE-2022-42889 veröffentlicht wurde.
Trotz der hohen Bewertung liegt für Sie kein Risiko vor, da die Bibliothek ausschließlich anwendungsintern parametrisiert wird und zu keinem Zeitpunkt mit externen Eingaben in Berührung kommt. Eine Ausnutzung der Schwachstelle durch einen systemfremden Angreifer kann daher ausgeschlossen werden.
Eine Aktualisierung der Bibliothek erfolgt voraussichtlich bis Ende 2024 im Rahmen eines Sign Live! CC Releases.
Sign Live! CC DATEV Edition
Wenn Sie ein PDF-Formular mit ausfüllbaren Feldern in Sign Live! CC öffnen, erhalten Sie folgende Fehlermeldung:
„ Please wait …
If this message is not eventually replaced ……
Hierbei handelt es sich hier nicht um einen Fehler, sondern um ein gewolltes Verhalten. Die zu öffnende Datei enthält “dynamische Felder”, die jederzeit änderbar sind. Dokumente mit dynamischen Feldern können in Sign Live! CC nicht signiert werden.
Lösung:
Machen Sie in Adobe diese Felder nach dem Ausfüllen „statisch“, indem Sie das Dokument in Adobe zum Beispiel über den virtuellen Drucker „Microsoft Print to PDF“ drucken. Das so generierte statische PDF lässt sich in Sign Live! CC signieren.
In Zusammenarbeit mit der DATEV wurde das Produkt Sign Live! CC DATEV-Edition entwickelt. Dieses wird regelmäßig weiterentwickelt und von der DATEV geprüft. Nach Freigabe wird die aktuelle Version in einem geschützten Bereich unserer Homepage zur Verfügung gestellt. Bitte beachten Sie, dass sich die Versionsnummern der Sign Live! CC DATEV-Edition und der “allgemeinen” Sign Live! CC unterscheiden können.
Im Servicevideo „Berichte qualifiziert digital signieren“ wird der komplette Signaturvorgang ausführlich beschrieben. Siehe
https://www.datev.de/web/de/service/self-service/servicevideo/berichte-qualifiziert-digital-signieren/
Neben der Signatursoftware benötigen Sie noch eine Signaturkarte und ein Kartenlesegerät.
– Wir empfehlen die kostengünstige Signaturkarte der TELESEC, welche Sie unter Qualified.ID – Serviceportal » Telekom Trust Center erwerben können.
– Signaturkarten der D-TRUST (Bundesdruckerei) erhalten Sie unter https://www.bundesdruckerei.de/de/bestellen.
– Geeignete Kartenleser finden Sie in unserem Shop.
Bitte beachten Sie in diesem Zusammenhang unsere FAQ zur D-Trust card.
Um einen reibungslosen Ablauf der Signatur aus der DATEV-Umgebung zu gewährleisten, ist es zwingend erforderlich, dass die Sign Live! CC DATEV-Edition installiert ist. Der Zugriff auf diese Version wird individuell eingerichtet.
Den Bestellvorgang der Sign Live! CC DATEV-Edition können Sie unter https://www.intarsys.de/DATEV-Edition-erwerben auslösen.
Bei Einsatz der Sign Live! CC DATEV-Edition empfehlen wir den Einsatz einer TELESEC-Signaturkarte. Diese können Sie hier erwerben.
Die DATEV hat die Sign Live! CC DATEV-Edition Version 7.1.13 in folgenden Konstellationen getestet und freigegeben:
Telesec – Qualified.ID Standard getestet mit Kartenleser
– Reiner SCT RFID standard
– Reiner SCT RFID komfort
D-Trust card 4.x getestet mit Kartenleser
– Reiner SCT RFID standard
– Reiner SCT RFID komfort
D-Trust card 5.x getestet mit Kartenleser
– Reiner SCT RFID standard
– Reiner SCT RFID komfort
Wichtiger Hinweis bei Einsatz von D-Trust card 5.x:
- Bei Einsatz einer D-Trust card 5.x und Nutzung des Reiner SCT RFID komfort ist auf dem Kartenleser die aktuelle Firmware erforderlich. Nutzen Sie gegebenenfalls das cyberJack ControlCenter.
- Sollten Sie eine D-Trust card 5.x in Kombination mit dem REINER SCT RFID standard einsetzen, ist der Einsatz der Sign Live! CC Version 7.1.13 zwingend erforderlich.
Erstinstallation
- Zur (Erst)-Installation der Sign live! CC DATEV-Edition führen Sie bitte die EXE-Datei aus. Die zur produktiven Inbetriebnahme benötigte Lizenzdatei sollte Ihnen bereits zugegangen sein. Zum Einspielen der Lizenzdatei beachten Sie bitte das Tutorial, welches Ihnen zusammen mit der Lizenzdatei zugegangen ist.
Update von älteren Versionen
- Grundsätzlich kann die Sign Live! CC DATEV-Edition 7.1.13 über eine bestehende Sign Live! CC DATEV-Edition 7.1.x installiert werden. Die eingespielte Lizenz bleibt dabei erhalten.
- Sollten Sie eine D-Trust card 5.x im Einsatz haben, empfehlen wir, eine bestehende Installation Version kleiner als 7.1.12 zu deinstallieren und die Version 7.1.13 neu zu installieren.
- Speichern Sie vorab die aktuelle Lizenzdatei, zum Beispiel über Menüpunkt Extras > Lizenzverwaltung.
- Sollten Sie direkt aus der DATEV-Umgebung signieren, sind keine weiteren Vorkehrungen zu treffen.
- Sollten Sie (zusätzlich) direkt aus Sign Live! CC signieren und sich das Erscheinungsbild der Signatur individuell gestaltet haben, muss diese Einstellung gespeichert werden (erweiterte Darstellung bei sichtbarer Signatur).
Die Sign Live! CC DATEV-Edition steht auch als Servervariante zur Verfügung und ist damit unter DATEVasp lauffähig.
Bei Nutzung von DATEVasp wird die Software von DATEV installiert.
Ab 01.01.2025 gilt:
Nach der Installation durch DATEV erhalten Sie eine E-Mail mit folgenden Informationen:
Um die Software nutzen zu können, muss die Lizenzdatei der Software hinzugefügt werden. Gehen Sie dafür bitte wie folgt vor:
- Speichern Sie die Lizenzdatei unter O:/Kundensoftware.
- Starten Sie SignLive! CC und ziehen Sie die Lizenzdatei per Drag & Drop in das geöffnete Anwendungsfenster.
- Bitte schließen Sie SignLive! CC und starten die Anwendung erneut. Die Software ist nun nutzbar.
- Wiederholen Sie den Vorgang bei jedem Benutzer in Ihrer Kanzlei/Ihrem Unternehmen.
Dies ist lizenzrechtlich erlaubt für die bestellte Anzahl der Nutzer von Sign Live! DATEV Edition, dies sind je nach Produkt maximal 1, 5 oder 10 Nutzer.
Unter DATEVsmartIT steht die Sign Live! CC DATEV Edition leider nicht zur Verfügung.
Für die Signatur aus der DATEV-Umgebung muss zwingend die Sign Live! CC DATEV-Edition installiert sein. Ansonsten kann der ordnungsgemäße Ablauf einer Signatur aus der DATEV-Umgebung nicht gewährleistet werden. Die Sign Live! CC DATEV-Edition steht in einem geschützten Bereich auf unserer Homepage zum Download bereit. Die benötigten Zugriffsrechte werden individuell eingerichtet. Die Informationen dazu gehen Ihnen zusammen mit der erworbenen Lizenz zu.
Über die Einrichtung der Benutzerdaten werden Sie per E-Mail informiert. Bitte prüfen Sie gegebenenfalls auch Ihren Spam-Ordner.
Sollten Sie keinen Zugriff erhalten haben, senden Sie bitte eine entsprechende E-Mail an support@intarsys.de.
Sign Live! CC Sparkassen-Edition
Wird in der Sign Live! CC SPARKASSEN-Edition der Validierungsreport mit “erweiterten Optionen” erzeugt, kann der Report an das Originaldokument angehängt werden. Dies führt dazu, dass die Signaturen mit einem roten X versehen werden. Bei den Signaturen erscheint der Hinweis “Das Dokument wurde seit dem Signieren geändert und ist nicht mehr gültig.”
Gemäß aktueller PDF-Spezifikation muss bei einer Veränderung des Dokuments (Seite wurde angehängt) die Signatur “gebrochen” werden. Dieses Verhalten ist gemäß PDF-Spezifikation korrekt.
Lösung:
Hängen Sie den Validierungsreport nicht an das Originaldokument an, sondern speichern Sie diesen als separate Datei. Der Report erhält standardmäßig den Namen <dateiname>.valreport.pdf.
Beim Öffnen eines Kontoauszugs in der Sign Live! CC Sparkassen-Edition wird dieser automatisch validiert. Dies kann einige Sekunden in Anspruch nehmen. Sobald dieser Vorgang abgeschlossen ist, sehen Sie im linken Bildschirmbereich auf der “Seitenleiste”, dass die Signatur gültig ist.
Sollte im Validierungsreport der Hinweis “Identität ist unbekannt” erscheinen, haben Sie wahrscheinlich eine alte Version der Sign Live! CC Sparkassen-Edition im Einsatz. Bitte nehmen Sie einen Update auf die aktuelle Sign Live! CC SPARKASSEN-Edition vor. Den Zugriff auf die aktuelle Version erhalten Sie von Ihrer Sparkasse.
Die Sign Live! CC Sparkassen-Edition wurde ausschließlich für Windows programmiert.
Die Kunden, die MacOS X nutzen, können gerne die Software für Mac unter https://www.intarsys.de/dl_slcc herunter laden. Auch ohne Lizenz können mit Sign Live! CC Signaturen geprüft werden.
Folgende Unterschiede gibt es zur Sparkassen-Edition:
- Bei der Installation wird nach einem Produktschlüssel gefragt. Diese Abfrage kann übersprungen werden.
- Die Prüfprotokolle als PDF können nur mit Wasserzeichen und Hinweis auf eine Demo-Version erzeugt werden.
Zur interaktiven Prüfung von Signaturen kann diese Lösung analog zur Sign Live! CC Sparkassen-Edition verwendet werden.
Die Sign Live! CC Sparkassen Edition wurde vom DSGV (Deutscher Sparkassen und Giroverband) beauftragt und den Geschäftskunden der Sparkassen kostenlos zur Verfügung gestellt. Sie ist zur Prüfung der Signaturen auf Kontoauszügen vorgesehen.
Die Lizenz läuft jeweils zum 30.06. eines Jahres aus. Dies macht ein jährliches Update erforderlich. Dieses Update kann problemlos über die bestehende Installation durchgeführt werden.
Den Link zum Download der aktuellen Version erhalten Sie von Ihrer Sparkasse.
Zum Validieren von Signaturen benötigt Sign Live! CC immer aktuelle Wurzelzertifikate, die zumindest für die eIDAS-PKI über Vertrauenslisten (Trusted List-TL) verteilt werden.
Sign Live! CC wird mit einem bei Veröffentlichung aktuellem Satz von Wurzelzertifikaten ausgeliefert. Von Zeit zu Zeit verwenden Trustcenter neue Wurzelzertifikate. Erhalten wir von den Trustcentern Informationen dazu, leiten wir diese via E-Mail an Sie weiter. Lassen Sie sich dazu für unseren Newsletter registrieren.
In jedem Fall müssen Sie dafür sorgen, dass Sign Live! CC seine Wurzelzertifikate aktualisiert. Dies können Sie manuell oder automatisiert durchführen:
– Für den Arbeitsplatz: Manuell
Diese Methode ist für die normale Installation am Arbeitsplatz völlig ausreichend.
- Über Menüpunkt Extras > Zertifikate > Vertrauenslisten aktualisieren stoßen Sie die Aktualisierung der Vertrauenslisten manuell an.
– Für die Serverinstallation: Automatisiert
Insbesondere in Serverinstallationen ist es sinnvoll, die Aktualisierung zeitgesteuert anstoßen zu lassen. Passen Sie dazu den vorkonfigurierten Service Container an:
- Über Menüpunkt Extras > Dienste > Dienst-Container-Verwaltung konfigurieren Sie den Zeitplan des Dienst-Containers “Trusted List Update Scheduler” und stoßen die Aktualisierung der Vertrauenslisten automatisiert an:
Sollte die Aktualisierung nicht möglich sein, oder mit Fehlermeldung abbrechen, prüfen Sie bitte:
- Die Internetverbindung (Proxy, Firewall, …).
- Ob der Virenscanner im Profilverzeichnis heruntergeladene Vertrauenslisten löscht. Das Profilverzeichnis ist dort, wo die Logs abgelegt werden. Dieses ermitteln Sie über die Menüoption Fenster > Log-Datei.
Wenn die Aktualisierung dennoch nicht möglich ist, schicken Sie bitte eine Fehlerbeschreibung und die aktuelle Logdatei an support@intarsys.de.
Sign Live! cloud suite gears
zeigt gears OutOfMemoryError Java heap space (… failed (OutOfMemoryError – Java heap space) an, ist die JVM Ihres Tomcats mit zu wenig Speicher ausgestattet.
– Suchen Sie nach Xmx, der Logeintrag lautet dann zum Beispiel:
[15:04:24.563][I][.s.p.PrintProperties][main ][] +- argument ‘-Xmx256m’
Erhöhen Sie in der Tomcat-Konsole mind. auf ‘-Xmx512m’, wenn das nicht genügt ‘-Xmx1024m’.
Die Tomcat-Standardkonfiguriation beschränkt die maximale Verarbeitungsgröße eines POST-Request auf 2 MB.
Sie können diese Begrenzung in <CATALINA>\conf\server.xml über den Parameter maxPostSize erhöhen oder aufheben (-1):
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout=”20000″
maxPostSize=”-1″
redirectPort=”8443″ />
Der Sign Live! cloud suite gears Viewer bietet die Möglichkeit, Signaturen zu validieren. Zur Prüfung werden jeweils aktuelle Wurzelzertifikate benötigt, die zumindest für die eIDAS-PKI über Vertrauenslisten (Trusted List-TL) verteilt werden.
Ab Version 8.10 bietet Sign Live! cloud suite gears die Möglichkeit, Vertrauenslisten automatisch zu aktualisieren. Ältere Versionen als 8.10 müssen migriert werden. Bei Versionen ab 8.10 muss u. U. die dafür notwendige Konfiguration ergänzt werden.
Bitte prüfen Sie Ihre Konfiguration und ergänzen Sie bei Bedarf
in ${cloudsuite.config.shared}\gears.properties
(unter Windows im Normalfall: C:\ProgramData\cloudsuite\config\gears.properties)
folgende Zeilen und starten die Anwendung neu:
# Validation properties
# update trusted list every sunny day at midnight
trustedLists.update.cron=0 0 0 * * MON-SUN
Hinweise für eine spezifischere Konfiguration.
Für das automatische Aktualisieren der Vertrauenslisten ist Zugang zum Internet erforderlich.
Erfolgt der Zugang über einen Proxy, sind dessen Daten in der Tomcat-Konfiguration zu ergänzen. Hinweise hierzu finden Sie im gears Manual Kapitel “Proxies – Outgoing”.
Sollte die Aktualisierung dennoch nicht möglich sein, schicken Sie bitte eine Fehlerbeschreibung und die aktuelle Logdatei an support@intarsys.de.
Ein in Sign Live! cloud suite gears Version 8.10.0 (oder älter) mit sign-me signiertes Dokument wird zwar korrekt angezeigt, bei der Validierung erscheint allerdings im Bereich „Gültigkeit“ der Hinweis
- „Die Signatur wurde verändert und ist nicht gültig. Es liegen Warnungen vor“.
Seit Juli 2023 nutzt sign-me für die Ausgabe qualifizierter Zertifikate EC und für die Signaturerstellung damit entsprechend den Signaturalgorithmus ECDSA.
Signaturen, die auf einem solchen Zertifikat basieren und mit Sign Live! cloud suite gears v8.10.0 oder älter erstellt wurden, sind leider dauerhaft ungültig.
Wie in unseren Newslettern angekündigt, ist es daher erforderlich, auf Sign Live! cloud suite gears v8.10.1 oder neuer zu aktualisieren. Diese Version steht seit März 2023 zur Verfügung.
Für die Konfiguration der Schriftart in Sign Live! cloud suite gears – zum Beispiel von Signaturfeldern – muss man die genaue Bezeichnung dieser Schriftart wissen. Dies ist nicht immer der Anzeige- oder Dateiname. Um den korrekten Namen zu ermitteln, schaut man in die aktuellste gears-Log Datei und sucht den gewünschten Font. Hier am Beispiel Arial Bold:
[22.07.2021-08:48:23.888][T][de.intarsys.cwt.font][...] font registry register C:/WINDOWS/Fonts/arialbd.ttf with [TrueType]Arial Negreta
[22.07.2021-08:48:23.888][T][de.intarsys.cwt.font][...] font registry register C:/WINDOWS/Fonts/arialbd.ttf with [TrueType-postscript]Arial-BoldMT
[22.07.2021-08:48:23.888][T][de.intarsys.cwt.font][...] font registry register C:/WINDOWS/Fonts/arialbd.ttf with [TrueType-canonical]Arial,Bold
[22.07.2021-08:48:23.888][T][de.intarsys.cwt.font][...] font registry register C:/WINDOWS/Fonts/arialbd.ttf with [Any]Arial Negreta
[22.07.2021-08:48:23.888][T][de.intarsys.cwt.font][...] font registry register C:/WINDOWS/Fonts/arialbd.ttf with [Any-postscript]Arial-BoldMT
[22.07.2021-08:48:23.888][T][de.intarsys.cwt.font][...] font registry register C:/WINDOWS/Fonts/arialbd.ttf with [Any-canonical]Arial,Bold
[22.07.2021-08:48:23.889][D][de.intarsys.cwt.font][...] FontEnvironment loaded font 'Arial,Bold' from C:\WINDOWS\Fonts\arialbd.ttfAnhand dieses Beispiels können folgende “FontNames” verwendet werden:
- Arial Negreta
- Arial-BoldMT
- Arial,Bold
Beim Öffnen der Sign Live! cloud suite bridge aus Sign Live! cloud suite gears erscheint eine Sicherheitsfrage.
Die Meldung kann protokollspezifisch über einen RegistryKey abgeschaltet werden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ProtocolExecute\csbridge]“WarnOnOpen”=dword:00000000
oder
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\ProtocolExecute\csbridge]“WarnOnOpen”=dword:00000000
Weitere Informationen hierzu s. https://stackoverflow.com/questions/37702082/internet-explorer-or-edge-how-to-display-the-warning-that-appear-if-you-open-c?rq=1
Dieser Fehler taucht z. B. dann auf, wenn das „demo“-Profil deaktiviert wurde.
In diesem Fall wird folgender Eintrag in gears.properties nötig:
spring.liquibase.enabled = false
proNEXT Archive Manager
Als beweiswerterhaltendes IT- System erzeugt der proNEXT Archive Manager für archivierte Dokumente und Signaturen einen elektronischen Archivzeitstempel und signiert den Hashbaum automatisch immer wieder neu. Die Komponente bietet sämtliche kryptografischen Erweiterungen, die zur Sicherstellung der Beweiskraft elektronischer Dokumente entsprechend § 71 a der Zivilprozessordnung notwendig sind.
Die Software kann über Archive hinaus auch in Dokumentenmanagementsysteme und /oder e-Aktenlösungen integriert werden und ist nach BSI 03125 TR -ESOR zertifiziert.
In Übereinstimmung mit der eIDAS-Verordnung ist das genaue Vorgehen für Deutschland in der technischen Richtlinie BSI TR 03125 (BSI TR-ESOR) eindeutig beschrieben. Ebenfalls werden vom BSI die sicherheitsrelevanten kryptografischen Algorithmen in Form eines Kataloges veröffentlicht.
Damit im Rahmen der Langzeitarchivierung die Beweiskraft elektronischer Signaturen erhalten werden kann, muss der Zeitpunkt der Signaturerstellung beweiskräftig in einem geeigneten „beweiswerterhaltenden“ IT-System dokumentiert werden. Dieses erzeugt einen Archivzeitstempel und signiert archivierte Dokumente inkl. deren Signaturen somit immer wieder neu.
Wird dann zu einem beliebigen Zeitpunkt ein signiertes Dokument aus dem Archivsystem angefordert und bei der Verifikation festgestellt, dass die kryptografischen Algorithmen und Parameter nicht mehr sicherheitsgeeignet sind, kann über ein Beweisdokument (mit allen bis dato erzeugten Zeitstempeln) nachgewiesen werden, dass dieses elektronisch signierte Dokument rechtzeitig neu signiert wurde und seine juristische Verwendbarkeit erhalten ist.
Im Unterschied zu Papierdokumenten kann die Beweiseignung elektronisch signierter Dokumente mit der Zeit „verschwinden.“ Ursache dafür ist der Verlust der Sicherheitseignung kryptografischer Algorithmen. Zusätzlich können die für die Überprüfung von Zertifikaten notwendigen Verzeichnisse und Unterlagen nicht mehr verfügbar sein.
In der Folge muss bei der Archivierung digitaler Unterlagen nicht nur sichergestellt werden, dass diese jederzeit wiederauffindbar sind, sondern auch für eine mögliche Beweisführung vor Gericht herangezogen werden können.
Beim Ablegen und Aufbewahren elektronischer Dokumente und Daten ist eine Umsetzung von Sicherheitszielen auf höchstmöglichem Stand der Technik notwendig. Der elementare Beleg dafür findet sich in der Zivilprozessordnung (ZPO) § 371 a „Beweiskraft elektronischer Dokumente“. Dieser wird zusätzlich durch die europaweit geltende eIDAS-Verordnung bekräftigt.
Partnerprodukte
Software für Gerichtsvollzieher
Wenn Sie als Gerichtsvollzieher Software von Baqué & Lauter GmbH einsetzen und mit Sign Live! CC signieren möchten, muss in Sign Live! CC ein bestimmter “Dienst” eingerichtet werden.
Sofern bei der Installation der Gerichtsvollziehersoftware die Software Sign Live! CC bereits installiert war, sollte die Einrichtung dieses Dienstes automatisch erfolgt sein. Andernfalls kann dies auch manuell nachgeholt werden. Die entsprechende Anleitung finden Sie hier.
Wenn Sie als Gerichtsvollzieher Software von Baqué & Lauter GmbH einsetzen und mit Sign Live! CC signieren möchten, muss in Sign Live! CC ein bestimmter “Dienst” eingerichtet werden.
Sofern bei der Installation der Gerichtsvollziehersoftware die Software Sign Live! CC bereits installiert war, sollte die Einrichtung dieses Dienstes automatisch erfolgt sein. Andernfalls kann dies auch manuell nachgeholt werden. Die entsprechende Anleitung finden Sie hier.
Fernsignatur BNotK
Die neue BNotK Karte wird in Sign Live! CC ab Version 7.1.11 unterstützt.
Die Bundesnotarkammer wird zukünftig ihre Signaturzertifikate über den Fernsignaturdienst und nicht mehr über eine persönliche Signaturkarte bereitstellen.
Dabei erfolgt die Authentifizierung zur Signaturerstellung beim Fernsignaturdienst mittels persönlicher Smartcard.
Dafür ist ein komplett neues Vorgehen bei der Signaturerstellung erforderlich. Diese Signatur wird nicht über das Signaturgerät “signIT smartcard CC” ausgelöst, sondern über “signIT BNotK”. Wählen Sie bitte beim Signieren im Signaturassistenten das entsprechende Signaturgerät aus. Sollte Ihr Signaturzertifikat nicht zur Verfügung stehen, so wenden Sie sich bitte an den Support der Bundesnotarkammer.
Wenn Sie einen Kartenleser von Reiner SCT mit RFID-Funktion einsetzen, so schalten Sie die RFID-Funktion unbedingt aus, damit keine Probleme beim Lesen des Zertifikates zur Authentifizierung, das sich auf Ihrer Karte befindet, auftreten.
Wenn Sie Sign Live! CC aus einer Fachanwendung nutzen wollen, erkundigen Sie sich bitte beim Hersteller, ob die Anbindung des neuen Signaturgerätes erfolgt ist.
Es ist zulässig, bei der Vergabe individueller PINs, eine PIN mit mehr als 8 Zeichen zu vergeben.
Bei einem PIN-Change muss die neue PIN dieselbe Anzahl der Zeichen der “alten” PIN oder mehr Zeichen haben. Ein Wechsel von zum Beispiel einer 9-stelligen PIN auf eine 8-stellige PIN lässt die BNotK-Karte nicht zu.
In Sign Live! CC bis Version 7.1.11.1 ist während des Signaturprozesses mit einer BNotK-Karte die Eingabe von maximal 8 Zeichen möglich.
Lösung:
Mit Update von Sign Live! CC auf die Version 7.1.11.2 ist eine PIN-Eingabe von bis zu 16 Zeichen möglich.
Prüfen Sie in Sign Live! CC über Menüpunkt Hilfe > Über welche Version Sie einsetzen und nehmen Sie gegebenenfalls ein Update vor.
Nach der PIN-Eingabe wird folgende Meldung angezeigt
Fehlermeldung:
error 401 calling service ‘https://logging.bnotk.de/auth/realms/RemoteSignature/auth/tls’, Unauthorized
Mögliche Ursache:
- Signaturkarte blockiert:
Diese Fehlermeldung wird angezeigt, wenn der Zugriff auf die Signaturkarte durch eine andere Anwendung blockiert ist, zum Beispiel durch GV-Software oder Online-Banking.
Lösung: Bitte die Drittanwendung komplett schließen (System-Tray) und Signaturvorgang erneut starten. - Server nicht erreichbar:
Ist der Server der Bundesnotarkammer kurzfristig nicht erreichbar, erscheint die oben genannte Meldung ebenfalls. In diesem Fall abwarten und den Signaturvorgang später nochmals starten.
Fehlermeldung:
No Keys available
- Bitte fragen Sie in diesem Fall beim Support der Bundesnotarkammer nach, ob ihr Signaturzertifikat erstellt wurde und abrufbar ist.
Fernsignatur D-Trust Sign-Me
Sign-me:
Typische Fragen zu sign-me werden in den FAQs der Bundesdruckerei beantwortet.
Fragen zu einem bestimmten Produkt:
Informationen und FAQs zu einem bestimmten Produkt erhalten Sie hier.
Für Kunden mit persönlichem Zugang:
Hier erreichen Sie das Serviceportal
Schriftliche Anfragen:
Ein Online-Kontaktformular zu unterschiedlichen Themen können Sie hier ausfüllen, oder Sie schreiben eine E-Mail an support@bdr.de.
Per Telefon:
Die Bundesdruckerei ist telefonisch unter 030 / 2598 3333 zu erreichen.
Verschiedene Informationen zu sign-me finden Sie hier.
Fernsignatur Swisscom AIS
Probleme mit dem AIS-Signaturservice sind oft auf folgende Ursachen zurückzuführen:
- Grundsätzliche Service Probleme
Bitte prüfen Sie in diesem Fall über die Swisscom-AIS-Status-Seite, ob ein solches Problem vorliegt.
Dort finden Sie auch den Link zum Swisscom Support. - TLS-Zertifikat ist abgelaufen
Zur Erstellung eines TLS-Zertifikats unterstützt Sie ein Tutorial - Probleme mit falschen, abgelaufenen, nicht mehr gültigen Registrierungsdaten
Bitte prüfen Sie in diesem Fall zunächst, ob Sie grundsätzlich signieren können:
– via SMS
– via MobileID
Sehr oft hängen Zugriffsprobleme mit Differenzen in den erfassten und den von Ihnen übergebenen Identifikationsdaten zusammen.
Diese Differenzen können Sie nicht prüfen! Nur die Swisscom hat Zugriff auf die erfassten Identifikationsdaten.
In diesem Fall müssen Sie sich also direkt an die Swisscom wenden:
Direkter Zugang zum Swisscom-Support:
- Web: Swisscom Support
- E-Mail: ent.incident-data@swisscom.com
- Telefon: +41 (0) 800 724 724, Menüauswahl “Datendienste”, Stichwort “All-in Signing Service”
- Halten Sie Ihre PRO-Nummer (PRO-00xx) bereit. Sie finden Sie auf dem Deckblatt Ihres Servicevertrages.
Diese beschleunigt die Bearbeitung wesentlich.
Folgende Umstände bewirken das Deaktivieren der Identifikationsdaten und machen eine erneute Identifizierung notwendig:
- Ausweisdokument ist abgelaufen.
- Wechsel der Mobilnummer.
- Wechsel der Autorisierung von SMS-TAN auf Mobile ID App.
(für Nicht-Schweizer Kunden: die Mobile ID App M U S S vor Identifikation aktiviert worden sein)
Weitere Informationen zum AIS-Service:
Kartenleser und Signaturpads
Insbesondere, wenn Kartenleser über USB-Device-Server angeschlossen sind, kann das dazwischenliegende Netz dazu führen, dass der Timeout von 5 sec überschritten wird und Windows die Signaturkarte abmeldet.
Durch Hinzufügen/Setzen des Registry Keys HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\TransactionTimeoutDelay kann der Default von 5 sec auf bis zu 60 sec hochgesetzt werden.
Fehlerbeschreibung:
Smartcards, die über den aktuellen UMDF2-Treiber mit dem Client verbunden sind, werden vom Microsoft Windows Server 2022 nicht erkannt.
Lösung für lokal angeschlossenen Smartcards:
Bitte wählen Sie direkt im Gerätemanager den funktionsfähigen Treiber Microsoft Usbccid Smartcard reader (WUDF) anstelle der UMDF2-Version.
Lösung bei Verwendung der Smartcards über einen SEH UTN Server:
Unter bestimmtem Bedingungen kann die Smartcard im SEH UTN Manager nicht aktiviert werden.
In diesem Fall müssen die USB-Enumeration-Dateien in der Registry angepasst werden.
- Öffnen Sie unter Windows Server 2022 den Registrierungs-Editor
- Gehen Sie zum USB-Eintrag der Smartcard
HKEY_LOCAL_MACHINE_SYSTEM/CurrentControlSet/Enum/USB - Identifizieren Sie den USB-Eintrag (Ordner) der problematischen Smartcard anhand der Hersteller- und Produkt-ID. Der Unterordner ist mit der Seriennummer der Smartcard bezeichnet.
- Fügen Sie in diesen Ordner mit Hilfe des Kontextmenüs (NEU/Zeichenfolge) einen neuen Zeichensaztwert mit dem Namen “LowerFilters” und dem Eintrag “WinUsb” ein.
Die Smartcard bleibt nun aktiv, nachdem sie über den SEH UTN Manager verbunden wurde. Der Fehler kann nun – wie unter “Lösung für lokal angeschlossene Smartcards” beschrieben – behoben werden.
Die D-Trust gibt seit 29. November 2023 neue Signaturkarten der Generation 5.x aus.
Mit diesen Signaturkarten können Sie signieren
- in Sign Live! CC ab Version 7.1.12
- in Sign Live! cloud suite bridge ab Version 7.1.12
- in Sign Live! cloud suite gears ab Version 8.12.1
Jedoch sind die im Folgenden genannten Einschränkungen und Hinweise zu berücksichtigen (siehe unten).
Unsere aktuelle Empfehlung:
- Sollten Sie eine neue Signaturkarte benötigen, empfehlen wir – wegen diesen Einschränkungen – eine Karte der TELESEC zu verwenden. Diese kann auf dieser Seite (ganz unten) erworben werden.
Karteninitialisierung
- Die Initialisierung der D-Trust card 5.x ist ausschließlich mit dem D-TRUST Card Assistant möglich, der Ihnen von der D-TRUST zur Verfügung gestellt wird.
Massensignatur mit Sign Live! CC server / Sign Live! cloud suite gears
- Hierfür ist die D-Trust 5.x card nicht geeignet, da sowohl die CAN (Card Access Number), als auch die Signatur-PIN bei Neustart des Programms erneut eingegeben werden müssen. In bestimmten Konstellationen kann die Karte während des Signaturprozesses offengehalten werden.
Einzel-/Stapel-/Komfortsignatur in Sign Live! CC client / Sign Live! cloud suite bridge
- Hierfür ist die D-Trust card grundsätzlich geeignet, jedoch müssen kartenleserabhängig verschiedene Einschränkungen beachtet und softwareseitig verschiedene Einstellungen vorgenommen werden.
Bitte beachten Sie beim Einsatz einer D-Trust card 5.x
Allgemein:
- Die Signaturkarten D-Trust 5.x haben einen neuen technischen Aufbau und erfordern daher ein angepasstes Signaturhandling und vereinzelt ein Firmwareupdate an den verwendeten Kartenlesern. Die von der D-Trust empfohlenen Kartenlesegeräte finden Sie auf der Übersichtsseite der D-Trust unter der Rubrik “Verfügbare Zusatzkomponenten”.
Die von uns getesteten Kartenleser sind im Datenblatt dokumentiert. - Zusätzlich zur Signatur-PIN ist während des Signaturprozesses die Eingabe einer so genannten CAN (Card Access Number) teilweise nötig. Bitte achten Sie sorgfältig darauf, ob Sie zur Eingabe der CAN oder der Signatur-PIN aufgefordert werden. Dies birgt sonst die Gefahr, dass durch Falscheingabe die Karte versehentlich gesperrt wird.
- Die CAN und die Signatur-PIN werden – abhängig vom eingesetzten Signaturprogramm und den dort vorgenommenen Einstellungen – teilweise zwischengespeichert. Dabei wird die Karte offengehalten, solange die Software läuft und die Karte steckt. Bei Neustart des Programms oder Ziehen der Karte müssen CAN und PIN neu eingegeben werden.
Kartenleser:
- Die Signaturkarten der D-Trust haben einen neuen technischen Aufbau und erfordern daher ein angepasstes Signaturhandling und vereinzelt ein Firmwareupdate an den verwendeten Kartenlesern. Die von der D-Trust empfohlenen Kartenlesegeräte finden Sie auf der Übersichtsseite der D-Trust unter der Rubrik “Verfügbare Zusatzkomponenten”.
Die von uns getesteten Kartenleser sind im Datenblatt dokumentiert. - Zusätzlich zur Signatur-PIN ist die Eingabe einer so genannten CAN teilweise nötig. Bitte lesen Sie daher sorgfältig, ob Sie zur Eingabe der CAN oder der Signatur-PIN aufgefordert werden. Dies birgt sonst die Gefahr, dass durch Falscheingabe die Karte versehentlich gesperrt wird.
Kartenleser REINER SCT RFID komfort und D-Trust card 5.x
- Für die sichere PIN-Eingabe am Kartenlesegerät ist hardwareseitige Unterstützung des PACE-Protokolls erforderlich. Diese bietet zum Beispiel der REINER SCT RFID komfort.
- Bei Kartenlesern, die das PACE-Protokoll ausschließlich hardwareseitig unterstützen (zum Beispiel REINER SCT RFID-komfort), sind PIN-Caching und unsichere PIN-Eingabe nicht mehr möglich. PIN-Caching wird sehr oft bei Massensignaturverfahren verwendet. Somit ist diese Kombination nicht möglich.
- Wir empfehlen bei Einsatz einer D-Trust 5.x card die RFID-Funktion am Kartenleser (hardwareseitig) grundsätzlich auszuschalten, um mehr Kompatibilität mit verschiedenen Softwareeinstellungen herzustellen.
- Bitte beachten Sie, dass für den Einsatz von REINER SCT RFID komfort ein Firmwareupdate erforderlich sein kann. Eine Anleitung und den benötigten Treiber finden Sie auf der Seite von REINER SCT hier.
Kartenleser REINER SCT RFID standard:
- Der REINER SCT RFID standard kann ab Version 7.1.13 eingesetzt werden. Bitte beachten Sie, dass dafür die RFID-Funktion am Kartenleser immer ausgeschaltet sein muss.
Kartenleser die kein RFID unterstützen:
- Kartenleser, die kein RFID unterstützen, unterstützen in der Regel das PACE-Protokoll der D-Trust card 5.x nicht. Daher muss für diese Kartenleser, bei Einsatz der D-Trust card 5.x, in Sign Live! CC die sichere PIN-Eingabe ausgeschaltet werden.
Für sicherheitsrelevante Anwendungen – wie zum Beispiel Signatur mit Sign Live! CC oder Internetbanking – werden Kartenlesegeräte in Sicherheitsklassen eingeteilt.
Für die Erzeugung einer qualifizierten elektronischen Signatur benötigen Sie Kartenlesegeräte der Sicherheitsklasse III. Diese Geräte zeichnen sich u. a. dadurch aus, dass sie zusätzlich zur Tastatur über ein Display verfügen. Da Sign Live! CC beim BSI zertifiziert wurde, empfehlen wir Kartenlesegeräte, die ebenfalls diese Zertifizierung besitzen.
Eine Liste der Hersteller und die Bezeichnung der getesteten Kartenlesegeräte finden Sie im Sign Live! CC Datenblatt.
Sign Live! CC wird von uns in allen Konstellationen mit verschiedenen Signaturkarten und Kartenlesern getestet. Für diese Tests nutzen wir jeweils die aktuelle Treibersoftware des Hardwareherstellers.
Wenn in Sign Live! CC während des Signaturprozesses die Fehlermeldung “Kartenleser mit sicherer PIN-Eingabe erforderlich” erscheint, ist in der Regel ein Treiberupdate erforderlich.
Bitte gewährleisten Sie, dass die Treibersoftware Ihres Kartenlesers aktuell ist.
Wählen Sie bitte bei der Produktauswahl Ihren Kartenleser-Typ.
Die Einstellungen von Sign Live! CC unterstützen standardmäßig nur Kartenleser mit sicherer PIN-Eingabe. Dies hat zur Folge, dass bei Verwendung eines Kartenlesers der Klasse 1 (ohne Tastatur und Display) beim Erstellen einer Signatur die Fehlermeldung „Kartenleser mit sicherer PIN-Eingabe erforderlich“ erscheint.
Um eine Signatur mit einem Klasse 1 Kartenleser durchführen zu können, müssen Einstellungen abweichend von der Standardeinstellung vorgenommen werden.
Dazu gehen Sie wie folgt vor:
• Öffnen Sie über „Extras > Einstellungen“ den Einstellungsdialog von Sign Live! CC.
• Navigieren Sie zum Abschnitt „Signaturen > Signaturgeräte > signIT smartcard CC“.
• Deaktivieren Sie die Option „Sichere PIN-Eingabe erforderlich“.
Bei der anschließenden Signatur erfolgt die PIN-Eingabe über einen Bildschirmdialog oder über die Tastatur Ihres Rechners.
Der USB-Reader ACR38T von ACS, der in der Schweiz typischerweise mit einem Zertifikat der SuisseID eingesetzt wird, unterstützt keine sichere PIN-Eingabe. Dies führt dazu, dass beim Erstellen einer Signatur die Fehlermeldung „Kartenleser mit sicherer PIN-Eingabe erforderlich“ erscheint.
Um eine Signatur mit dem USB-Reader durchführen zu können, müssen Einstellungen abweichend von der Standardeinstellung vorgenommen werden.
Dazu gehen Sie wie folgt vor:
• Öffnen Sie über „Extras > Einstellungen“ den Einstellungsdialog von Sign Live! CC.
• Navigieren Sie zum Abschnitt „Signaturen > Signaturgeräte > signIT smartcard CC“.
• Deaktivieren Sie die Option „Sichere PIN-Eingabe erforderlich“.
• Aktivieren Sie die Option „Sichere PIN-Eingabe deaktivieren“.
Bei der anschließenden Signatur erfolgt die PIN-Eingabe über einen Bildschirmdialog oder über die Tastatur Ihres Rechners.
Damit der CHERRY KC 1000 mit sicherer PIN-Eingabe arbeitet, beachten Sie bitte die Installationsanleitung genau. Bei Fragen wenden Sie sich bitte an den Hersteller.
Voraussetzung:
- Zum ordentlichen Betrieb eines Kartenlesers von REINER SCT ist die Installation eines Gerätetreibers erforderlich. Dieser steht Ihnen auf der Seite von REINER SCT zum Download bereit.
- Grundsätzlich darf beim Start des Rechners KEINE Signaturkarte im Kartenlesegerät stecken.
Auch wenn die Signaturkarte erst in das Kartenlesegerät gesteckt wird, wenn der Rechner bereits hochgefahren ist, kann es vorkommen, dass der Kartenleser nicht erkannt wird.
Zusätzlich können Anwendungen, die ebenfalls (Signatur-) Karten nutzen (zum Beispiel Banking oder Buchungssysteme), den Kartenleser blockieren und nicht mehr frei geben.
In diesem Fall USB-Verbindung trennen und Rechner neu starten. Eventuell genügt es, im Taskmanager den Dienst für die Smartcard neu zu starten.
Der REINER SCT cyberJack RFID standard ist in Kombination mit der D-Trust card 5.x in Sign Live! ab Version 7.1.13 nutzbar.
Seit November 2023 werden D-Trust cards der Generation 5.x angeboten. Diese Karte hat ein geändertes Sicherheitssystem, so dass für Kartenleser mit RFID-Funktion in unserer Software Anpassungen vorgenommen werden mussten.
- Der REINER SCT RFID komfort mit D-Trust card 5.x ist in dieser Kombination in Sign Live! ab Version 7.1.12 einsetzbar.
- Der REINER SCT RFID standard wird ab Version 7.1.13 erkannt.
Bitte beachten Sie bei Nutzung der Sign Live! cloud suite bridge
Nutzer der Sign Live! cloud suite bridge wünschen oft ein Caching der CAN für Signatur mit der D-Trust 5.x-card. Eine Software kann die CAN nur cachen, wenn diese am Monitor eingetragen wird. Der REINER SCT RFID komfort und REINER SCT RFID standard lassen dies nicht zu. Hier ist sichere PIN-Eingabe am Kartenlesegerät erforderlich.
Anders verhält sich der REINER SCT cyberJack one, oder zum Beispiel der CHERRY ST-2xxx. Diese Kartenleser akzeptieren, dass die sichere PIN-Eingabe am Kartenleser ausgeschaltet wird. Damit wird die CAN über den Monitor eingegeben, was das CAN-Cashing erlaubt.
Seit Anfang 2024 werden die Kartenleser REINER SCT RFID komfort und REINER SCT RFID standard mit neuer Firmware ausgeliefert. Für ältere Kartenleser wird ein Update auf die aktuelle Firmware von REINER SCT empfohlen.
Dies kann dazu führen, dass während des Signaturprozesses die Zertifikate einer Signaturkarte nicht mehr erkannt werden.
In der Regel wird das Zertifikat erkannt, wenn die RFID-Funktion auf dem Kartenleser ausgeschaltet wird.
So schalten Sie die RFID-Funktion aus:
- Auf dem Kartenleser auf die Pfeiltaste links unten drücken.
- Am Display wird RFID: EIN angezeigt.
- Durch Drücken der Pfeiltaste unter rechts ändert sich die Anzeige RFID: EIN/AUS.
- AUS wählen und mit OK bestätigen
Seit November 2023 werden D-Trust cards der Generation 5.x angeboten. Wird zur Signatur mit diesen neuen Karten der Kartenleser REINER SCT RFID komfort verwendet, ist in der Regel ein Firmwareupdate des Kartenlesers erforderlich.
Eine ausführliche Anleitung finden Sie auf der Seite von REINER SCT hier.
Bitte beachten Sie die Anzeige auf dem Kartenleser genau, da neben der Signatur-PIN eventuell auch die Eingabe der – auf der Karte aufgedruckte CAN – erforderlich ist.
Grundsätzlich ist mit dem Kartenleser REINER SCT cyberJack one eine sichere PIN-Eingabe möglich, sofern der entsprechende Gerätetreiber installiert ist.
- Bei Einsatz einer D-TRUST card 5.x
Erscheint bei der Signatur in Sign Live! CC mit der D-TRUST card 5.x -Signaturkarte und dem Kartenleser REINER SCT cyberJack one der Hinweis “Kartenleser mit sicherer PIN-Eingabe erforderlich”, muss in Sign Live! CC über Menüpunkt
— Extras > Einstellungen > Signaturen > Signaturgeräte signIT smartcard CC
das Kontrollkästchen “PIN-Eingabe an sicherem Terminal” DEAKTIVIERT werden.
Bitte beachten Sie, dass vermutlich nach einer CAN (ist auf der Karte aufgedruckt) und nach einer SIGNATUR-PIN gefragt wird.
Bitte lesen Sie daher die Anweisung genau.
Beide Eingaben sind am Bildschirm vorzunehmen.
- Bei Einsatz einer D-TRUST card 4.x oder anderer Signaturkarten
Erscheint bei der Signatur in Sign Live! CC mit beliebiger Signaturkarte und dem Kartenleser REINER SCT cyberJack one der Hinweis “Kartenleser mit sicherer PIN-Eingabe erforderlich”, wurde vermutlich der Gerätetreiber nicht installiert. Dieser steht Ihnen auf der Seite von REINER SCT zum Download bereit.
Alternativ kann in Sign Live! CC über Menüpunkt
— Extras > Einstellungen > Signaturen > Signaturgeräte signIT smartcard CC
das Kontrollkästchen “PIN-Eingabe an sicherem Terminal” DEAKTIVIERT werden.
Dann ist die PIN-Eingabe am Bildschirm vorzunehmen.
Die Firma REINER SCT hat die technische Unterstützung für den Kartenleser REINER SCT e-com plus abgekündigt. REINER SCT empfiehlt den Umstieg auf aktuelle Kartenleser.
Eine vollständige Liste der abgekündigten Kartenleser entnehmen Sie bitte der Seite von REINER SCT .
- Abgekündigte Kartenleser werden für Sign Live! CC nicht mehr getestet.
- Wir leisten im Fehlerfall keinen Support für Aktionen in Sign Live! CC, die mit abgekündigten Kartenlesern durchgeführt werden.
- Es besteht trotzdem die Möglichkeit, dass Sign Live! CC funktionsfähig ist mit einzelnen Kombinationen von Signaturkarten und abgekündigten Kartenlesern.
Folgendes Vorgehen führte zum Erfolg (ohne Gewähr):
1) Deinstallieren Sie den aktuellen Reiner SCT Treiber (cyberJack Base Components).
2) Installieren Sie einen älteren Reiner SCT Treiber. Sie finden die alten cyberJack-Treiber hier (6.10.8) oder hier (7.9.3).
Die Firma REINER SCT hat den technischen Support für verschiedene Kartenleser abgekündigt. Welche Kartenleser davon betroffen sind, entnehmen Sie bitte der Seite von REINER SCT.
Abgekündigte Kartenleser werden nicht mehr mit Sign Live! getestet. Das bedeutet, dass wir für abgekündigte Kartenleser nicht gewährleisten, dass diese mit den aktuellen, zur Signatur verwendeten Karten funktionieren.
Eine Übersicht der von uns getesteten Kartenleser, in Kombination mit verschiedenen Karten, entnehmen Sie bitte dem Datenblatt.
Endgeräte wie Signaturpads und Kartenlesegeräte werden üblicherweise über USB an den Rechner angeschlossen. Reagiert das Endgerät “plötzlich” nicht mehr liegt die Vermutung nahe, dass der Energiesparmodus aktiviert wurde.
- Sie können den Energiesparmodus des USB Ports deaktivieren. Eine Anleitung finden Sie hier.
Für das reibungslose Signieren in Sign Live! CC mit dem Signaturtablett signotec LCD Signature Pad Sigma (ST-BE105-2-FT100-B) ist die Installation einer Treibersoftware notwendig.
Entgegen den Angaben auf der Seite von signotec ist für das oben genannte Signaturtablett die Treibersoftware auch unter Windows 10 erforderlich.
Den Download der Treibersoftware finden Sie hier. Bitte nutzen Sie “VCP Drivers”.
Unter Umständen benötigen Sie noch den FTDI-Treiber, der zum Beispiel hier zum Download bereit steht.
Betrieb auf Terminalserver:
Ausführlichen Informationen und Dokumentationen zum Betrieb von signotec-Signaturpads finden Sie auf der Internetseite von signotec.
Signatur- und Siegelkarten
Sie haben eine neue Signaturkarte erhalten. Bevor Sie diese zur Signaturerstellung nutzen können, muss diese initialisiert, also frei geschaltet werden.
Abhängig vom Trustcenter können oder müssen während dieses Prozesses individuelle PINs vergeben werden.
Je nach Trustcenter erhalten Sie zusammen mit der Signaturkarte – oder mit einem separaten PIN-Brief – einen Hinweis, mit welcher Software Sie Ihre Karte initialisieren können.
Bitte beachten Sie unbedingt:
Nach der Initialisierung muss eine Empfangsbestätigung an das Trustcenter geschickt werden. Dies geschieht in der Regel online. Erst dadurch wird das Zertifikat Ihrer Signaturkarte in den Verzeichnisdienst aufgenommen und eine mit dieser Signaturkarte erstellte Signatur kann gültig validiert werden.
Die meisten Signaturkarten werden mit einer Transport-PIN ausgeliefert. Diese Transport-PIN müssen Sie in Ihre persönliche PIN ändern, erst dann ist die Karte einsetzbar. Je nach Signaturkarte können dies auch mehrere Transport-PINs sein, die dann alle nacheinander geändert werden sollten.
Zusammen mit der Signaturkarte oder in einem separaten PIN-Brief haben Sie vom Trustcenter einen Hinweis erhalten, mit welcher Software Sie die PINs ändern können.
Die vergebenen PINs sollten Sie notieren und an einem sicheren Ort aufbewahren. Sollten Sie die PIN vergessen, ist die Karte – je nach Trustcenter – nicht mehr einsetzbar.
Wenn Sie die PIN mehrmals falsch eingegeben haben, wird die Signaturkarte gesperrt. Ob Sie die Sperre wieder aufheben können, ist abhängig von der eingesetzten Signaturkarte.
Manche Karten sind nach mehrfacher falscher PIN-Eingabe für immer gesperrt. In diesem Fall müssen Sie eine neue (Ersatz-) Signaturkarte beantragen, da sich die Sperrung nicht aufheben lässt.
Bei Karten, für die Sie von TrustCenter zusätzlich eine PUK bekommen haben, können Sie durch die Eingabe der PUK die PIN-Eingabe wieder freischalten (Reset).
Bitte beachten Sie:
- In der Regel kann der Reset maximal zehnmal durchgeführt werden.
- Außerdem ist es üblich, dass der Reset die PIN auf den “alten” Wert zurücksetzt. Sie sollten sich daher die PIN notieren.
- Die ab Januar 2023 ausgegebenen eHBA-Signaturkarten der TeleSec verhalten sich ebenfalls so.
Bei TeleSec-Signaturkarten vergeben Sie bei der Initialisierung eine – in der Regel 6-stellige – SigG-PIN1. Diese PIN verwenden Sie zur Signatur. Außerdem vergeben Sie eine – in der Regel 8-stellige – SigG-PIN2. Die PIN2 hat die Funktion einer PUK. Informationen zur Verwaltung der TeleSec-PINs finden Sie hier.
Im Lieferumfang von Sign Live! CC sind sehr viele Zertifikate enthalten. Diese werden in Gruppen dargestellt. Der Übersichtlichkeit halber ist es sinnvoll, sich eine eigene Gruppe zu erstellen, in der man die eigenen Zertifikate ablegt.
Um ein Zertifikat z. B. von einer Signaturkarte Dritten zur Verfügung zu stellen, speichern Sie das Zertifikat in diese neue Gruppe und exportieren es.
So exportieren Sie ein Zertifikat von Ihrer Signaturkarte mithilfe von Sign Live! CC:
- Starten Sie Sign Live! CC und dort EXTRAS > Zertifikate > Zertifikatsverwaltung.
Die Symbole für die Bearbeitung werden links oben angezeigt. - Klicken Sie auf das erste Symbol, um eine neue Gruppe zu erstellen.
(Sollte das Symbol nicht aktiv sein, klicken Sie im Fenster “Filter” auf einen weißen Bereich). - Geben Sie der neuen Gruppe einen Namen (im Fenster links), z. B. “Meine Zertifikate” und bestätigen Sie mit “Schließen”.
- Wählen Sie nochmals Menüpunkt EXTRAS > Zertifikate > Zertifikatsverwaltung.
Markieren Sie nun die neue Gruppe “Meine Zertifikate”.
(Gewährleisten Sie, dass das Kartenlesegerät an Ihrem PC angeschlossen ist und die Karte steckt.) - Klicken Sie auf das Symbol “Eintrag hinzufügen”.
Wählen Sie die Aktion “Zertifikat von einer Smartcard importieren” und “Weiter”.
Die Verbindung zur Karte wird aufgebaut und alle Zertifikate auf der Karte werden angezeigt. - Wählen Sie das gewünschte Zertifikat aus und “Weiter”.
(Möchte der Empfänger das Zertifikat z. B. in Adobe Reader einfügen, um dort künftig Ihre Signatur zu prüfen, ist das Zertifikat “qualifizierte Signatur” zu wählen.) - Im nächsten Fenster haben Sie die Gelegenheit das Zertifikat zu benennen oder Standardbezeichner zu übernehmen.
- Bitte markieren Sie im nächsten Fenster das Zertifikat als “vertrauenswürdig”.
- Nach “Fertigstellen” wird das ausgewählte Zertifikat in die Gruppe eingetragen.
- Nun können Sie mit dem Symbol für “Eintrag exportieren” das Zertifikat in ein beliebiges Verzeichnis speichern.
Das exportiere Zertifikat können Sie z. B. per E-Mail einer dritten Person zur Verfügung stellen. Der Empfänger muss das Zertifikat in seine Software importieren.
Wie Sie ein Zertifikat in Sign Live! CC importieren, wird in der FAQ “Zertifikate importieren” beschrieben.
Nachtrag:
Über das Kontextmenü (rechte Maustaste) stehen Ihnen sämtliche benötigten Funktionen zur Verfügung.
So importieren Sie ein Zertifikat in Sign Live! CC:
- Starten Sie Sign Live! CC und wählen Sie
Menüpunkt Extras > Zertifkate > Zertifikatsverwaltung. - Markieren Sie die Gruppe in die das neue Zertifikat aufgenommen werden soll und wählen Sie (links oben) das zweite Symbol, um den Eintrag hinzuzufügen.
- Markieren Sie im nächsten Fenster die gewünschte Aktion und drücken Sie “Weiter”.
- Folgen Sie den weiteren Anweisungen.
Die DGN verschickt seit November 2023 neue Signaturkarten, welche ab Januar 2024 eingesetzt werden sollen.
Diese neuen Karten sind mit Sign Live! CC ab Version 7.1.11.x lauffähig. Wenn Ihre neue DGN-Karte nicht erkannt wird, die “alte” Karte aber problemlos funktioniert, liegt das in der Regel am eingesetzten Kartenlesegerät.
Die von uns getesteten Kartenleser sind im Sign Live! CC Datenblatt dokumentiert.
Nach unserem Kenntnisstand wird die neue DGN-Karte von alten, bereits abgekündigten Kartenlesern von REINER SCT nicht korrekt erkannt. Eine vollständige Liste der abgekündigten Kartenleser entnehmen Sie bitte der Seite von REINER SCT . Die Modellbezeichnung ist auf der Rückseite Ihres Kartenlesers angebracht.
Die D-Trust gibt seit 29. November 2023 neue Signaturkarten der Generation 5.x aus.
Mit diesen Signaturkarten können Sie signieren
- in Sign Live! CC ab Version 7.1.12
- in Sign Live! cloud suite bridge ab Version 7.1.12
- in Sign Live! cloud suite gears ab Version 8.12.1
Jedoch sind die im Folgenden genannten Einschränkungen und Hinweise zu berücksichtigen (siehe unten).
Unsere aktuelle Empfehlung:
- Sollten Sie eine neue Signaturkarte benötigen, empfehlen wir – wegen diesen Einschränkungen – eine Karte der TELESEC zu verwenden. Diese kann auf dieser Seite (ganz unten) erworben werden.
Karteninitialisierung
- Die Initialisierung der D-Trust card 5.x ist ausschließlich mit dem D-TRUST Card Assistant möglich, der Ihnen von der D-TRUST zur Verfügung gestellt wird.
Massensignatur mit Sign Live! CC server / Sign Live! cloud suite gears
- Hierfür ist die D-Trust 5.x card nicht geeignet, da sowohl die CAN (Card Access Number), als auch die Signatur-PIN bei Neustart des Programms erneut eingegeben werden müssen. In bestimmten Konstellationen kann die Karte während des Signaturprozesses offengehalten werden.
Einzel-/Stapel-/Komfortsignatur in Sign Live! CC client / Sign Live! cloud suite bridge
- Hierfür ist die D-Trust card grundsätzlich geeignet, jedoch müssen kartenleserabhängig verschiedene Einschränkungen beachtet und softwareseitig verschiedene Einstellungen vorgenommen werden.
Bitte beachten Sie beim Einsatz einer D-Trust card 5.x
Allgemein:
- Die Signaturkarten D-Trust 5.x haben einen neuen technischen Aufbau und erfordern daher ein angepasstes Signaturhandling und vereinzelt ein Firmwareupdate an den verwendeten Kartenlesern. Die von der D-Trust empfohlenen Kartenlesegeräte finden Sie auf der Übersichtsseite der D-Trust unter der Rubrik “Verfügbare Zusatzkomponenten”.
Die von uns getesteten Kartenleser sind im Datenblatt dokumentiert. - Zusätzlich zur Signatur-PIN ist während des Signaturprozesses die Eingabe einer so genannten CAN (Card Access Number) teilweise nötig. Bitte achten Sie sorgfältig darauf, ob Sie zur Eingabe der CAN oder der Signatur-PIN aufgefordert werden. Dies birgt sonst die Gefahr, dass durch Falscheingabe die Karte versehentlich gesperrt wird.
- Die CAN und die Signatur-PIN werden – abhängig vom eingesetzten Signaturprogramm und den dort vorgenommenen Einstellungen – teilweise zwischengespeichert. Dabei wird die Karte offengehalten, solange die Software läuft und die Karte steckt. Bei Neustart des Programms oder Ziehen der Karte müssen CAN und PIN neu eingegeben werden.
Kartenleser:
- Die Signaturkarten der D-Trust haben einen neuen technischen Aufbau und erfordern daher ein angepasstes Signaturhandling und vereinzelt ein Firmwareupdate an den verwendeten Kartenlesern. Die von der D-Trust empfohlenen Kartenlesegeräte finden Sie auf der Übersichtsseite der D-Trust unter der Rubrik “Verfügbare Zusatzkomponenten”.
Die von uns getesteten Kartenleser sind im Datenblatt dokumentiert. - Zusätzlich zur Signatur-PIN ist die Eingabe einer so genannten CAN teilweise nötig. Bitte lesen Sie daher sorgfältig, ob Sie zur Eingabe der CAN oder der Signatur-PIN aufgefordert werden. Dies birgt sonst die Gefahr, dass durch Falscheingabe die Karte versehentlich gesperrt wird.
Kartenleser REINER SCT RFID komfort und D-Trust card 5.x
- Für die sichere PIN-Eingabe am Kartenlesegerät ist hardwareseitige Unterstützung des PACE-Protokolls erforderlich. Diese bietet zum Beispiel der REINER SCT RFID komfort.
- Bei Kartenlesern, die das PACE-Protokoll ausschließlich hardwareseitig unterstützen (zum Beispiel REINER SCT RFID-komfort), sind PIN-Caching und unsichere PIN-Eingabe nicht mehr möglich. PIN-Caching wird sehr oft bei Massensignaturverfahren verwendet. Somit ist diese Kombination nicht möglich.
- Wir empfehlen bei Einsatz einer D-Trust 5.x card die RFID-Funktion am Kartenleser (hardwareseitig) grundsätzlich auszuschalten, um mehr Kompatibilität mit verschiedenen Softwareeinstellungen herzustellen.
- Bitte beachten Sie, dass für den Einsatz von REINER SCT RFID komfort ein Firmwareupdate erforderlich sein kann. Eine Anleitung und den benötigten Treiber finden Sie auf der Seite von REINER SCT hier.
Kartenleser REINER SCT RFID standard:
- Der REINER SCT RFID standard kann ab Version 7.1.13 eingesetzt werden. Bitte beachten Sie, dass dafür die RFID-Funktion am Kartenleser immer ausgeschaltet sein muss.
Kartenleser die kein RFID unterstützen:
- Kartenleser, die kein RFID unterstützen, unterstützen in der Regel das PACE-Protokoll der D-Trust card 5.x nicht. Daher muss für diese Kartenleser, bei Einsatz der D-Trust card 5.x, in Sign Live! CC die sichere PIN-Eingabe ausgeschaltet werden.
Ungefähr drei Tage, nachdem Sie Ihre Signaturkarte von der D-TRUST erhalten haben, geht Ihnen der PIN-Brief zu. In diesem PIN-Brief ist neben der Transport-PIN – die Sie zur Initialisierung benötigen – auch die Card-PUK aufgeführt.
Bitte beachten Sie:
- Für die Inbetriebnahme der Karte nutzen Sie bitte ausschließlich die Software D-TRUST Card Assistant, die Ihnen von der D-TRUST zur Verfügung gestellt wird.
- Bitte beachten Sie vor dem Einsatz der neuen Karte im Zusammenhang mit Sign Live! unbedingt die weiteren Informationen.
Ungefähr drei Tage, nachdem Sie Ihre Signaturkarte von der D-TRUST erhalten haben, ging Ihnen der PIN-Brief zu. In diesem PIN-Brief ist neben Card-PIN und Transport-PIN auch die Card-PUK aufgeführt.
Nach dreimaliger Eingabe einer falschen PIN wird die Karte gesperrt. Mit der Card-PUK haben Sie die Möglichkeit, sowohl die Card-PIN, als auch die Signatur-PIN zu entsperren.
Bitte beachten Sie:
Das Entsperren kann maximal zehnmal durchgeführt werden.
Durch das Entsperren werden die PINs auf den alten Wert zurückgesetzt. Die Vergabe einer neuen PIN ist nicht möglich. Das heißt, wenn Sie Ihre PIN vergessen haben, ist die Karte nicht mehr zu verwenden.
Der PIN-Änderungsmechanismus von Sign Live! CC lässt standardmäßig nur die Eingabe von Zahlen zu. Die Zertifikate aller deutschen Trust-Center sind so geartet, dass die persönliche PIN – zur Erstellung einer qualifizierten elektronischen Signatur – aus Zahlen bestehen muss. Die vom BSI (Bundesamt für Sicherheit in der Informatik) zertifizierten Kartenlesegeräte sind ebenfalls auf die Eingabe von Zahlen ausgelegt.
Signaturkarten aus der Schweiz lassen im Gegensatz zu deutschen Signaturkarten eine alphanumerische PIN zu. Da diese PINs nicht zur Erstellung von qualifizierten Signaturen nach SigG geeignet sind, wird der Einsatz von alphanumerischen PINs von Sign Live! CC nicht angeboten. Möchten Sie dennoch Sign Live! CC zur Initialisierung (Erstellung individueller PINs) von Schweizer Signaturkarten nutzen, gehen Sie bitte wie folgt vor:
- Schalten Sie die sichere PIN-Eingabe aus. (Menü “Extras > Einstellungen > Signaturen > Signaturgeräte > signIT smartcard”).
- Starten Sie Sign Live! CC und wählen Sie den Menüpunkt “Werkzeuge > Smartcard-Werkzeuge > PIN-Management”.
- Markieren Sie das gewünschte Zertifikat und klicken Sie auf “Initialisieren”.
- Nachdem Sie die Anweisungen im nächsten Fenster gelesen haben, klicken Sie auf “Fertigstellen”.
- Im nächsten Fenster klicken Sie auf den Schalter “Eingabe über Tastatur”.
- Öffnen Sie einen beliebigen Texteditor und geben Sie die gewünschte PIN ein.
- Markieren Sie die eingegebene PIN und kopieren Sie sie mit der Tastenkombination STRG+C.
- Wechseln Sie zu Sign Live! CC und fügen Sie die neue PIN mit der Tastenkombination STRG+V in das Feld “neue PIN” und “neue PIN wiederholen” ein.
- Bestätigen Sie Ihre Eingabe mit Klick auf die Schaltfläche “Fertigstellen”.
Beachten Sie bitte:
- Dass dies nur für Signaturkarten aus der Schweiz gilt, da deutsche Signaturkarten nur Zahlen zulassen.
- Bevor Sie alphanumerische PINs nutzen, sollten Sie bedenken, dass die Erstellung qualifizierter Signaturen nach deutschem SigG mit alphanumerischen PINs nicht möglich ist.
Die Heilberufsausweise G2.x der D-TRUST, Telesec, DGN und medisign werden von Sign Live! CC ab Version 7.1.11.x unterstützt. Bitte nehmen Sie gegebenenfalls ein Update vor und beachten Sie dabei die Versionshinweise.
Für andere Heilberufsausweise übernehmen wir keine Gewähr. Das heißt aber nicht, dass diese nicht funktionieren.
Wenn Sie zum Neukartenantrag einer Signaturkarte Ihren Reisepass nutzen, werden gelegentlich verschiedenen Daten nicht korrekt angenommen.
Wählen Sie in diesem Fall bei der Auswahl des Ausweistyps “Ausweis” statt “Reisepass”. Dann sollte es funktionieren.
Vor dem Einsatz einer TeleSec-Signaturkarte muss diese initialisiert werden. Dabei wird die Transport-PIN in eine individuelle PIN umgewandelt.
- Hierfür stellt Ihnen die TeleSec eine Software zur Verfügung, die Sie bei der Verwaltung der Zertifikate und PINs unterstützt. Diese finden Sie hier unter “TCOS CardManager”. Dieser ist auch zum Zurücksetzen gesperrter PINs geeignet.
Für diese Software bieten wir keinen Support. - Die Sign Live! Toolbox wird nicht mehr gewartet und ist daher für die aktuellen Telesec Karten nicht geeignet. Fragen hierzu beantwortet der Telesec-Support.
Nachdem die PINs für die Signaturkarte gesetzt wurden, muss eine Empfangsbestätigung an die TeleSec geschickt werden. Erst dann wird das Zertifikat in den Verzeichnisdienst aufgenommen und kann gültig validiert werden.
Für die Empfangsbestätigung und weitere Services rund um die Signaturkarte hat die Telesec hier eine Seite eingerichtet.
Nutzt man die Telesec-Signaturkarte und ein kontaktloses Lesegerät (zum Beispiel REINER SCT cyberJack RFID komfort), können Fehler auftreten, wenn die Signaturkarte im kontaktlosen (hinteren) Slot steckt. Über kontaktlose Verbindungen ist die TeleSec-Karte zwar eingeschränkt arbeitsfähig, jedoch können die SigG-PINs 1 und 2 nicht genutzt werden.
In diesem Fall bitte den vorderen Slot nutzen.
Auf einer TeleSec-Signaturkarte befinden sich 4 PINs, die Sie alle individuell vergeben. Bitte notieren Sie sich alle vergebenen PINs und bewahren Sie diese Information an einem sicheren Ort auf.
SigG PIN 1 (für qualifizierte Signatur) – mit dieser PIN führen Sie die qualifizierte Signatur aus.
Globale PIN 1 (für Verschlüsselung und Authentisierung) – mit dieser PIN verschlüsseln Sie Dokumente oder melden sich an einem Portal an.
SigG PIN 2 und Globale PIN 2 benötigen Sie, wenn Sie die jeweilige PIN 1 durch mehrmalige Falscheingabe gesperrt haben. Dies ist mit einer PUK vergleichbar, mit dem Unterschied, dass Sie die PIN2 ebenfalls selbst vergeben.
Wie kommt es nun, dass sich die PIN 2 nicht initialisieren lässt mit dem Hinweis “Der Kartenleser … wird nicht unterstützt”?
Die Sicherheit von Kartenlesern wird in Klassen eingeteilt. Der von Ihnen eingesetzte Kartenleser hat wahrscheinlich maximal die Sicherheitsklasse II und unterstützt in Kombination mit der eingesetzten Signaturkarte keine sichere PIN-Eingabe.
Lösung:
Bitte deaktivieren Sie in Sign Live! CC über Menüpunkt EXTRAS > Einstellungen die sichere PIN-Eingabe.
Wir empfehlen dringend den Einsatz eines vom BSI (Bundesamt für Sicherheit in der Informatik) zertifizierten Kartenleser. Die von uns getesteten Kartenleser entnehmen Sie unserem Datenblatt.
Bei einer TeleSec-Karte vergeben Sie bei der Initialisierung (Freischaltung) der Karte eine SigG-PIN2 und eine Globale-PIN2. Diese haben die Funktion einer PUK.
Um die durch mehrfache Falscheingabe gesperrte PIN wiederherzustellen, starten Sie Sign Live! CC und wählen Sie den Menüpunkt “Werkzeuge > Smartcard-Werkzeuge > PIN zurücksetzen”. Folgen Sie den Anweisungen in den Dialogen.
Sollten Sie keine PIN2 vergeben haben, ist die Signaturkarte gesperrt.
Allgemeine Themen
eIDAS Verordnung
Am 01.07.2017 trat die eIDAS-Verordnung in Kraft. Die TRUST-Center (Telesec, D-TRUST etc.) haben daher ihre Zertifikate angepasst. Um diese Zertifikate weiterhin erfolgreich validieren zu können ist in Sign Live! CC ein Update auf die Version 7.x erforderlich.
Ein Vertrauensdienst ist laut eIDAS-Verordnung, Artikel 3 (16), ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird und unter anderem für die Erzeugung der Siegel, Signatur und Website-Zertifikate verantwortlich ist. Ein qualifizierter Vertrauensdienst ist ein Vertrauensdienst, der die einschlägigen Anforderungen der eIDAS-Verordnung erfüllt, Artikel 3 (17) und wird alle zwei Jahre in einem aufwändigen Verfahren von einer akkreditierten Konformitätsbewertungsstelle überprüft und das Ergebnis der zuständigen Aufsichtsbehörde (BNetzA oder BSI) mitgeteilt. Der Status als qualifizierter Vertrauensdiensteanbieter ist europaweit über eine Vertrauensliste und ein Gütesiegel nachprüfbar. Die deutsche Vertrauensliste ist auf der Webseite Trusted List Browser der EU https://webgate.ec.europa.eu sichtbar.
Die eIDAS-Verordnung (eIDAS steht für „Electronic Identification And Trust Services) ist eine Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen in den 28 Mitgliedstaaten der Europäischen Gemeinschaft. eIDAS stellt eine echte rechtliche Neuerung dar, deren erklärter Zweck darin besteht, die Entwicklung digitaler Anwendungen in Europa zu fördern. Die eIDAS gliedert sich in zwei wesentliche Punkte:
• Die elektronische Identifizierung
• Vertrauensdienste
• Elektronische Signatur / Fernsignatur
• Elektronische Siegel / Fernsiegel
• Elektronische Zeitstempel
• Prüf- und Bewahrungsdienst
• Elektronischer Einschreib- und Zustelldienst
• Webseitenauthentifizierung
Die neue EU-Verordnung ermöglicht ein neues, vereinfachtes Verfahren für die persönliche elektronische Signatur. Dabei muß das qualifizierte Zertifikat sich nicht zwangsläufig auf einer Smartcard befinden, sondern kann einer gesicherten IT-Umgebung eines qualifizierten Vertrauensdiensteanbieters aufbewahrt werden. Somit lässt sich die elektronische Unterschrift auch aus der Ferne auslösen, zum Beispiel mit mobilen Endgeräten wie Tablets und Smartphones.
Mit der Veröffentlichung des eIDAS-Durchführungsgesetz am 28. Juli 2017 im Bundegesetzblatt ist dieses am 29. Juli 2017 in Kraft getreten. Gleichzeitig treten damit das Signaturgesetz vom 16. Mai 2001 sowie die Signaturverordnung vom 16. November 2001 außer Kraft. Das Kernstück des eIDAS-Durchführungsgesetzes ist das Vertrauensdienstegesetz (VDG). Damit wurde die EU-Verordnung eIDAS in nationales Recht umgesetzt.
Die eIDAS-Verordnung vereinfacht bestehende Signaturverfahren mit der Einführung einer sogenannten Fernsignatur. Die elektronische Unterschrift lässt sich ohne Signaturkarte und Lesegerät auslösen, zum Beispiel auch über mobile Endgeräte wie Smartphones oder Tablets. Bei diesem neuen Verfahren wird der private Signaturschlüssel des Nutzers auf einem hochsicheren Server (Hardware Security Modul) des qualifizierten Vertrauensdiensteanbieters gespeichert. Die Erzeugung einer qualifizierten Signatur erfolgt über eine Zwei-Faktor-Authentifizierung (TAN-SMS) durch den Nutzer.
Die eIDAS Verordnung legt zwei unterschiedliche Signaturarten fest –fortgeschritten und qualifiziert. Fortgeschrittene und qualifizierte Dienste unterscheiden sich in Ihrer rechtlichen Bedeutung. Wird z.B. in Deutschland die Schriftform gefordert, so kann dies nur mit einer qualifizierten elektronischen Signatur erfüllt werden. Ist für einen Geschäftsvorfall die Beweiswürdigung von Interesse, so gilt für qualifizierte Zertifikate:
- ZPO §371a (1): Auf private elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, finden die Vorschriften über die Beweiskraft privater Urkunden entsprechende Anwendung.
- eIDAS Art. 35 (2): Für qualifizierte elektronische Siegel gilt die Vermutung der Unversehrtheit der Daten und der Richtigkeit des Herkunftsnachweises der Daten.
- eIDAS Art. 41 (2): Für qualifizierte elektronische Zeitstempel gilt die Vermutung der Richtigkeit des Datums und der Zeit, die darin angegeben sind, sowie der Unversehrtheit der mit dem Datum und der Zeit verbundenen Daten.
- eIDAS Art. 43 (2): Für qualifizierte elektronische Einschreib- und Zustelldienste gilt die Vermutung der Unversehrtheit der Daten und der Richtigkeit des Herkunftsnachweises der Daten und Zeitpunkte der Übermittlung.
Anforderungen stellt die eIDAS Verordnung für Siegel, Signatur und Zeitstempel an die Vertrauensdiensteanbieter. Anforderungen an die Signaturanwendungskomponente stellt die eIDAS direkt keine. So ist eine Veröffentlichung von Zertifizierungen oder auch Herstellererklärungen durch die zuständige Aufsichtsbehörde nicht mehr möglich.
Jedoch wurde mit dem M/460 der EU [STANDARDISATION MANDATE TO THE EUROPEAN STANDARDISATION ORGANISATIONS CEN,CENELEC AND ETSI IN THE FIELD OF INFORMATION AND COMMUNICATION TECHNOLOGIES APPLIED TO ELECTRONIC SIGNATURES] entsprechende Standards definiert, die bei der Entwicklung von Sign Live! berücksichtigt werden.
Ver- und entschlüsseln
a
Kann ich mit “alten” Chipkarten verschlüsselte Dokumente mit meiner neuen Chipkarte entschlüsseln?
Grundsätzlich gilt für ALLE Singaturkarten (auch für Folgekarten!) aller Signaturkartenanbieter:
Die “alten” E-Mails/Dokumente wurden mit Ihrem “alten” öffentlichen Schlüssel verschlüsselt und können daher nur mit Ihrem “alten” privaten Schlüssel (der auf Ihrer “alten” Signaturkarte gespeichert ist) entschlüsselt werden.
Mit einer Folgekarte/Neukarte erhalten Sie ein neues Schlüsselpaar. Dieses neue Schlüsselpaar ist für Ihre Bestandsmails/Verschlüsselten Dokumente nicht anwendbar.
Es empfiehlt sich daher, die “alte” Signaturkarte nicht zu entsorgen.
Dass eine Karte abgelaufen ist hat beim Entschlüsseln von DOKUMENTEN mit Sign Live! CC keinen Einfluss. Das Ablaufdatum der Signaturkarte wird in Sign Live! CC nur bei der Signatur geprüft.
Ist ein PDF-Dokument bereits mit einer internen Signatur versehen, ist das Verschlüsseln mittels eines Kennwortes nicht mehr möglich.
Um ein Dokument effektiv mit einem Kennwort zu sichern, müssen alle darin enthaltenen Nutzdaten verschlüsselt werden. Dieser Vorgang kompromittiert zwangsläufig bestehende Signaturen.
Signieren und validieren
Benutzer stellen vermehrt fest, dass Dokumente, die mit internetbasierten Signaturdienstleistern in Kombination mit Sign Live! CC signiert wurden, nicht vollständig korrekt validiert werden können. Folgende typische Fälle sind aufgetreten:
– docusign entfernt vor Erstellen einer docusign-Signatur andere existierende Signaturen.
– docusign und AdobeSign erstellen Abschlusssignaturen, die verhindern, weitere gültige Signaturen hinzuzufügen.
– AdobeSign erstellt nach einer/mehreren Bestätigungssignaturen eine Zertifizierungssignatur als Abschlusssignatur. Dieses Verfahren steht im Widerspruch zu DIN/ISO 32000.
– AdobeSign verwendet aktuell (10.03.2023) ein Signaturzertifikat, dessen Gültigkeitsstatus via OCSP den Status „unbekannt“ zurückgibt. Diese führt in Sign Live! CC zum Validierungsergebnis „unbekannt“.
Wir können unseren Kunden nur nahelegen, mit den Erstellern der Signaturen Kontakt aufzunehmen und darauf hinzuwirken, interoperable Signaturen zu erstellen.
Der Signaturdienst d.velop sign erstellt erfreulicherweise interoperable Signaturen.
PDF-Dokumente können unsichtbar oder sichtbar signiert werden. Bei der sichtbaren Signatur wird meistens die Standarddarstellung verwendet, bei der verschiedene Daten aus dem Signaturzertifikat im definierten Signaturfeld angezeigt werden.
Bei der individuellen Darstellung der Signatur kann das Signaturdatum als Variable eingetragen werden. Die verfügbaren Alternativen lauten:
- system.millis:d = Volle Schreibweise (2021_04_14-09_12_52_610)
- system.millis:ds = Kurzschreibweise (14.04.21 09:12)
- system.millis:dm = Mittlere Schreibweise (14.04.21 09:12:06)
- system.millis:df = Lange Schreibweise (Mittwoch, 14. April 2021 09:12 Uhr MESZ)
- system.millis:dd = Nur Datum (Mittwoch, 14. April 2021)
- system.millis:dt = Nur Uhrzeit (17:10 MEZ)
- system.millis:dd(YYYY) = Java Format (2016)
Bitte beachten Sie, dass es sich hier um die Systemzeit zu dem Zeitpunkt handelt, zu dem die Signaturfelddarstellung erzeugt wird. Diese kann von der Signaturzeit (z. B. aus einem Zeitstempel) abweichen
Das Vorgehen für die individuelle Darstellung der Signatur entnehmen Sie bitte dem Tutorial. Dieses und weitere hilfreiche Tutorials finden Sie hier.
Für das Verpackungsregister müssen eingebettete Signaturen im PAdES-Format erzeugt werden. PDF-Signaturen werden in Sign Live! CC standardmäßig im geforderten Format PAdES erstellt.
So erstellen Sie eine eingebettete Signatur in Sign Live! CC:
- Starten Sie Sign Live! CC.
- Öffnen Sie die zu signierende PDF-Datei mit Menüpunkt Datei > Öffnen.
- Der Signaturvorgang wird über Menü Werkzeuge > Signaturfunktionen > Dokument signieren gestartet.
- Wählen Sie PDF Signatur – PDF-interne Signatur nach PDF-Spezifikation und drücken Sie [Weiter].
- Im Fenster Signaturfeldposition wählen Sie die Option Neues Signaturfeld erstellen. Nach Drücken von [Weiter] verändert sich der Mauszeiger. Ziehen Sie nun bei gedrückter linker Maustaste auf dem PDF ein Feld an der gewünschten Position in gewünschter Größe auf.
- Sobald Sie die linke Maustaste loslassen, öffnet sich das Fenster Signaturfeld-Darstellung. Wählen Sie hier Standard [Weiter].
- Als Signaturgerät wählen Sie SignIT smartcard CC – Signieren Sie mit Signaturkarte und Kartenleser am Arbeitsplatz [Weiter]. Bitte stecken Sie jetzt – falls noch nicht geschehen – die Signaturkarte in das Kartenlesegerät ein.
- Im Fenster Identität wird der eingesetzte Kartenleser und das Zertifikat aus der Signaturkarte angezeigt. Je nach Einstellung können mehrere Zertifikate angezeigt werden. Wählen Sie bitte das Zertifikat mit dem Verwendungszweck: Qualifizierte Signatur [Weiter].
- Das Fenster Attributszertifikate kann mit [Weiter] übersprungen werden.
- Sie werden nun zur Eingabe Ihrer persönlichen PIN aufgefordert. Geben Sie die PIN auf dem Kartenlesegerät ein und bestätigen Sie Ihre Eingabe ebenfalls auf dem Kartenlesegerät.
- Die erfolgreiche Signatur wird in Sign Live! CC im linken Anwendungsfenster angezeigt.
Bitte beachten Sie, dass zur Erstellung einer qualifizierten Signatur Sign Live! CC lizenziert sein muss. Eine Lizenz für Windows oder Mac OS kann über unseren Shop erworben werden.
Die Darstellung der Signatur kann individuell gestaltet werden. Das Vorgehen ist im Tutorial “Signaturfelddarstellung gestalten” beschrieben, welches Ihnen hier zum Download bereit steht.
Dabei ist unbedingt darauf zu achten, dass die letzte Variable im Fenster Erscheinungsbild einen Wert enthält. Eine Zeilenschaltung als letzte Variable würde zu einer Fehlermeldung (interner Kryptografischer Bibliotheksfehler) führen.
Für die qualifizierte elektronische Signatur benötigen Sie neben der Software zusätzlich eine Signaturkarte und ein Kartenlesegerät.
Signaturkarten erhalten Sie von Vertrauensdiensteanbietern (VDA). Die von Sign Live! CC unterstützten Signaturkarten und Kartenlesegeräte finden Sie in unserer Leistungsbeschreibung und Systemvoraussetzungen.
Erwerben Sie hier die Signaturanwendungssoftware Sign Live! CC für verschiedene Betriebssysteme.
Dokumente werden in Sign Live! CC im “Trusted Mode” signiert. Dies benötigt zusätzlichen Arbeitsspeicher und kann bei großen Dateien zur Fehlermeldung ” … Java heap space” führen
Zum Signieren großer Dateien muss in Sign Live! CC der “Trusted Mode” ausgeschaltet werden. Beim Öffnen der Datei wird als Dateityp “Alle Dateien (*.*)” eingestellt.
So signieren Sie große Dateien mit Sign Live! CC:
- Über Menüpunkt “Extras > Einstellungen > Trusted Mode” das Kontrollkästchen “Dokumentintegrität sicherstellen” deaktivieren.
- Sign Live! CC neu starten.
- Mit Menüpunkt “Datei > öffnen” die Datei mit Sign Live! CC öffnen. Dabei bitte als Dateityp “Alle Dateien (*.*)” einstellen.
Die Datei wird geöffnet (erkennbar daran, dass der Dateiname im Reiter angezeigt wird), aber nicht dargestellt (Meldung: Der Inhalt des Dokuments kann nicht angezeigt werden, da das Dokumentformat unbekannt ist). - Über Symbol oder Menüpunkt “Werkzeuge > Signaturfunktionen > Dokument signieren” den Signaturvorgang starten. Während des Signaturvorgangs kann die Datei mit einem Zeitstempel versehen werden, sofern der Zeitstempel eingerichtet ist. Es wird eine PKCS#7- Signatur erzeugt.
Diverse Anbieter von Vertrauensdiensten (ehemals Trustcenter) bieten kostenpflichtig qualifizierte Zeitstempel mit dem höchsten Beweiswert an.
Sign Live! CC unterstützt alle gängigen Zeitstempel.
Zur Nutzung der Zeitstempel müssen Sie in Sign Live! CC zwei Aktionen durchführen:
- Konfigurieren Sie den Zugang zum Zeitstempelanbieter
- Konfigurieren Sie die Signatur so, dass die Zeitstempel eingebettet werden.
Der Zeitstempeldienst wird während des Signaturprozesses angeboten.
Wir haben das Anhängen der Extension für die Signaturdatei bei einer PKCS#7-Signatur ab Sign Live! CC Version 7.x überarbeitet.
Als Beispiel wird hier eine Datei TEST.PDF signiert.
Über Menüpunkt Extras > Einstellungen > Signaturen > Signaturerstellung > Signatur PKCS#7 sind hierbei folgende Einstellungen relevant:
- Kontrollkästchen “Dateiendung ersetzen statt anhängen” aktiv: Es wird eine Signaturdatei nach dem Schema
<dateiname>.<dateierweiterung>.p7serstellt (TEST.PDF.p7s). - Kontrollkästchen “Dateiendung ersetzen statt anhängen” nicht aktiv: Es wird eine Signaturdatei nach dem Schema
<dateiname>.p7serstellt (TEST.p7s).
Was ist eine Komfortsignatur?
Eine Komfortsignatur ist im Prinzip eine kleine “Massenverarbeitung”, bei der über einen sogenannten Dienst mehrere Dokumente signiert werden, sobald sich diese im definierten Input-Verzeichnis liegen. Die Signatur-PIN wird dabei einmal eingegeben und die durch die Lizenz definierte Anzahl von Dokument wird mit einer unsichtbaren Signatur versehen. Wird diese Anzahl überschritten, ist eine weitere PIN-Eingabe erforderlich.
Voraussetzung:
- Lizenz für Komfortsignatur ist eingespielt
- Multisignaturkarte ist vorhanden
Einrichtung in Sign Live! CC:
- Über Menüpunkt Extras > Einstellungen bitte bei Signaturen > Signaturgerät > signITsmartcard die Kontrollkästchen PIN-Eingabe erforderlich und PIN-Eingabe nur über sicheres Terminal deaktivieren.
- PIN- Caching erlauben bitte aktivieren. Das Einstellungsfenster mit [OK] schließen.
- Über Menüpunkt Extras > Dienste > Dienstcontainer-Verwaltung diese öffnen.
- Dort mit dem grünen Plus-Zeichen einen Dienstcontainer hinzufügen und als Typ “Dateisystem” wählen [OK].
- In den “Allgemeinen Container-Einstellungen” eine ID vergeben (Name des Dienstcontainers) und bei Dienste das dortige grüne Pluszeichen drücken.
- Wählen Sie als Dienst-Typ “Signaturerstellung” und als Art “Signatur mit Smartcard Session”. [OK]
- Bei FSM-Überwachung können Sie die Verzeichnisse definieren. Als default sind die Verzeichnisse im Verzeichnis
<benutzer>/<.SignLiveCC>/<name des dienstes>angelegt.
Sie starten den Signaturdienst mit dem grünen Pfeil.
Trotz gültiger Unterschrift enthält das Validierungsergebnis die Information, dass keine gültige Sperrliste gefunden wurde.
Dies kann wie folgt behoben werden.
- Schließen Sie Sign Live! CC
- Kopieren Sie die Datei aus
<home>/demo/vmoptions/auth tunnelingin das Verzeichnis<home>/bin(home = Installationsverzeichnis). - Starten Sie Sign Live! CC neu und validieren Sie das Dokument erneut.
Den Zeitstempel sehen Sie in Sign Live! CC in der Seitenleiste “Signaturübersicht”.
- Dazu öffnen Sie die signierte Datei mit Sign Live! CC.
Standardmäßig ist Sign Live! CC so eingestellt, dass jedes Dokument bereits beim Öffnen auf Signatur geprüft wird. Diese Prüfung kann einen Moment dauern.
- Nach vollständiger Prüfung wird die Signaturübersicht im linken Teil des Fensters angezeigt.
Sollte dies nicht der Fall sein, kann die Signaturübersicht im Menü “Ansicht -> Seitenleiste -> Signaturübersicht” eingeschaltet werden.
Im optimalen Fall sind alle Bereiche mit grünem Haken versehen.
- Einer der Haken ist mit “Der Zeitstempel ist qualifiziert und gültig.” beschriftet.
Außerdem steht bei “Signiert am:” noch der Zusatz “(Quelle: Zeitstempel)”.
Um gültig zu validieren sollte in der Anwendung festgelegt sein, dass eine Sperrlistenprüfung durchgeführt wird, und – falls diese fehl schlägt – bei einer OCSP-Prüfung (Online Statusprüfung) alle Zertifikate auf Sperrung zu prüfen sind. Mit dieser Einstellung wird Sign Live! CC ausgeliefert.
- Falls ein Dokument trotz gültiger Signatur nicht gültig validiert wird prüfen Sie die Einstellungen. Öffnen Sie hierzu den Einstellungsdialog (Menüpunkt “Extras > Einstellungen”), navigieren Sie zur Seite “Signaturen > Signaturvalidierung > Zertifikatsvalidierung” und beantworten Sie die Frage “Welche Zertifikate sollen mittels OCSP geprüft werden?” mit “Alle Zertifikate”.
- Bitte achten Sie darauf, dass die Kontrollkästchen “Sperrlistenprüfung” und “Onlinestatusprüfung” aktiviert sind.
Eine erneute Prüfung der Signatur sollte ein gültiges Ergebnis zur Folge haben.
Hinweis:
Verschiedene Trustcenter haben die Prüfung per Sperrliste abgekündigt und greifen aktuell ausschließlich auf OCSP-Responder zurück.
Mit intarsys Produkten erzeugte Signaturen bewirken in einigen Validierungstools Ergebnisse, die die Begriffe “PARTIAL/FULL PDF” oder “Leere Revision” beinhalten.
Dies ist dem Umstand geschuldet, dass intarsys Signaturprodukte LTV*-Informationen als neue Revision in das PDF-Dokument integrieren.
Viele Validierungstools übergehen dieses technische Detail.
Einige Validierungstools weisen den Benutzer jedoch auf diesen Umstand hin, indem Sie den Gegenstand der Prüfung als PARTIAL PDF bezeichnen EU DSS Demonstration WebApp bzw. darauf hinweisen, dass das Dokument eine leere Revision umfasst. Diese Aussagen haben keine Relevanz für die Gültigkeit der geprüften Signaturen. Die erzeugten Signaturen sind spec-konform und müssen sogar so erzeugt werden, sofern die LTV-Informationen nach der Signatur ergänzt werden.
*LTV – Long Term Validation
LTV-Informationen umfassen OCSP-Antworten und/oder Sperrlisten zu den Zertifikaten, die für eine Prüfung notwendig sind. Diese Daten erleichtern die spätere Prüfung der Signaturen und machen es möglich, dass die Prüfung auch ohne Netzanbindung erfolgen kann.
Zum Validieren von Signaturen benötigt Sign Live! CC immer aktuelle Wurzelzertifikate, die zumindest für die eIDAS-PKI über Vertrauenslisten (Trusted List-TL) verteilt werden.
Sign Live! CC wird mit einem bei Veröffentlichung aktuellem Satz von Wurzelzertifikaten ausgeliefert. Von Zeit zu Zeit verwenden Trustcenter neue Wurzelzertifikate. Erhalten wir von den Trustcentern Informationen dazu, leiten wir diese via E-Mail an Sie weiter. Lassen Sie sich dazu für unseren Newsletter registrieren.
In jedem Fall müssen Sie dafür sorgen, dass Sign Live! CC seine Wurzelzertifikate aktualisiert. Dies können Sie manuell oder automatisiert durchführen:
– Für den Arbeitsplatz: Manuell
Diese Methode ist für die normale Installation am Arbeitsplatz völlig ausreichend.
- Über Menüpunkt Extras > Zertifikate > Vertrauenslisten aktualisieren stoßen Sie die Aktualisierung der Vertrauenslisten manuell an.
– Für die Serverinstallation: Automatisiert
Insbesondere in Serverinstallationen ist es sinnvoll, die Aktualisierung zeitgesteuert anstoßen zu lassen. Passen Sie dazu den vorkonfigurierten Service Container an:
- Über Menüpunkt Extras > Dienste > Dienst-Container-Verwaltung konfigurieren Sie den Zeitplan des Dienst-Containers “Trusted List Update Scheduler” und stoßen die Aktualisierung der Vertrauenslisten automatisiert an:
Sollte die Aktualisierung nicht möglich sein, oder mit Fehlermeldung abbrechen, prüfen Sie bitte:
- Die Internetverbindung (Proxy, Firewall, …).
- Ob der Virenscanner im Profilverzeichnis heruntergeladene Vertrauenslisten löscht. Das Profilverzeichnis ist dort, wo die Logs abgelegt werden. Dieses ermitteln Sie über die Menüoption Fenster > Log-Datei.
Wenn die Aktualisierung dennoch nicht möglich ist, schicken Sie bitte eine Fehlerbeschreibung und die aktuelle Logdatei an support@intarsys.de.
Beim Validieren wird in der Regel zunächst via OCSP Abfrage (Onlinestatusabfrage) die Gültigkeit von Zertifikaten geprüft. Dazu ist der Zugriff auf das Internet notwendig. Erst wenn diese Abfrage fehlschlägt, wird eine Sperrliste zur Prüfung herangezogen. Sperrlisten werden jedoch nicht von allen Trustcentern zur Verfügung gestellt.
Bitte prüfen Sie folgende Einstellungen bei Ihrer Installation von Sign Live! CC:
- Extras > Einstellungen > Signaturen > Signaturvalidierung > Zertifikatsvalidierung:
Ist Option “Onlinestatusprüfung durchführen” aktiviert? - Falls Sie für den Zugang zum Internet einen Proxy verwenden, müssen die Zugangsdaten unter Extras > Einstellungen > Internetverbindung konfiguriert werden.
Sollten beide Einstellungen korrekt sein, senden Sie bitte zur weiteren Fehleranalyse ein Testdokument mit der Signatur, die beim Validieren den Fehler aufweist an E-Mail an Support. Falls dies nicht möglich sein sollte, führen Sie die fehlerhafte Validierung erneut durch und senden Sie uns die aktuelle Log-Datei zu.
Sonstiges
Was bedeutet “Sign Live! CC implementiert den jeweils gültigen Algorithmenkatalog”?
Ein Algorithmenkatalog definiert, welche kryptografischen Algorithmen aktuell und für einen Zeitraum in der Zukunft als sicher betrachtet werden. Damit legt er maßgeblich das Sicherheitsniveau einer PKI(1) fest.
Bis zum 30.06.2017 haben das Signaturgesetz und die Signaturverordnung (SigG/SigV) für qualifizierte elektronische Signaturen eine PKI definiert und forderten dazu einen Algorithmenkatalog, der ständig aktualisiert wurde. Seit dem 01.07.2017 wird dies europaweit in der eIDAS-Verordnung geregelt.
Das BSI (Bundesamt für Sicherheit in der Informatik) erstellt den Algorithmenkatalog und legt dabei jeweils eine Vorausschau von 7 Jahren zu Grunde. D. h., die betrachteten Algorithmen sind heute und mit aller Wahrscheinlichkeit mindestens die nächsten 7 Jahre noch als sicher zu betrachten. Sehr oft werden diese Zeiträume jahresweise verlängert. Wenn zu erwarten ist, dass ein Algorithmus unsicher wird, haben die Nutzer also eine Vorwarnzeit von 7 Jahren. Dass bekannt gewordene Angriffe das Sicherheitsniveau von Kryptoalgorithmen so plötzlich gefährden, dass ein Gültigkeitszeitraum verkürzt werden musste, ist seit der Existenz des SigG-Algorithmenkatalogs nicht vorgekommen.
Sign Live! CC implementiert die Vorgaben des jeweils zum Veröffentlichungszeitpunkt der Software gültigen Algorithmenkatalogs.
Was passiert mit dem Algorithmenkatalog, durch die Umsetzung der eIDAS-VO?
Um die eIDAS-Verordnung in Deutschland umzusetzen, werden SigG/SigV Ende 2017 durch das Vertrauensdienstegesetz und die zugehörige Verordnung abgelöst. Ein Algorithmenkatalog ist z. Zt. noch nicht in der eIDAS-VO verankert. Es ist noch offen, ob bis dahin die EU-Verwaltung die notwendigen Regeln auf EU-Ebene beschließen wird oder Deutschland weiterhin am deutschen Katalog festhält, solange kein EU-Katalog existiert. Wir werden Sie zu diesem Thema weiter informieren.
(1) PKI = Public-Key-Infrastruktur. Ausführliche Informationen finden Sie unter https://de.wikipedia.org/wiki/Public-Key-Infrastruktur
Sie werden von uns per Newsletter über aktuelle Versionen informiert. Bei entsprechender Einstellung erfolgt eine Updateprüfung softwareseitig. Eine automatische Installation des Updates erfolgt nicht.
Seit dem 01.01.2019 sind unsere Lizenzen so genannte Laufzeitlizenz mit einem definierten Ablaufdatum. Bis zu diesem Ablaufdatum ist der Update auf die aktuelle Version kostenlos.
Sie haben Sign Live! CC vor dem 01.01.2019 erworben oder keine Laufzeitlizenz im Einsatz? Dann prüfen Sie bitte, ob Sie einen Wartungsvertrag mit uns abgeschlossen haben. Während der Laufzeit des Wartungsvertrags ist der Update auf die aktuelle Version kostenlos.
Bitte beachten Sie unbedingt:
- Wenn Sie unsere Software im Zusammenhang mit einer Fremdsoftware nutzen, erkundigen Sie sich bitte vorab beim Hersteller, ob das Update durchzuführen ist.
- Innerhalb eines Master-Releases wird die Lizenz üblicherweise übernommen. Bei Wechsel des Master-Releases ist eine neue Lizenz erforderlich. Bitte beachten Sie die Versionshinweise.
Bitte beachten Sie:
Sollten Sie die in Ihrem Haus eingesetzte Software über ein Abo erworben haben, als Laufzeitlizenz (LZL) beziehen oder einen Wartungsvertrag mit uns abgeschlossen haben, erhalten Sie als Kunde exklusiv wichtige Informationen – zum Beispiel Informationen über die Ihnen zustehenden kostenlosen Updates und Bugfixes. Diese Informationen werden über Newsletter kommuniziert. In diesem Fall sollten Sie den Newsletter nicht abbestellen.
Wir haben Ihre E-Mail-Adresse durch einen geschäftlichen Kontakt mit Ihrem Unternehmen erhalten. Jeder intarsys Newsletter enthält am Ende den Abschnitt Newsletter abbestellen. Wenn Sie zukünftig keine Newsletter von intarsys mehr erhalten möchten, nutzen Sie bitte den Link im Newsletter und bestätigen Sie diesen. Sie erhalten dann ab sofort keine Newsletter von intarsys.
Sind intarsys Produkte von CVE-2022-22965 “Spring Core Remote Code Execution Vulnerability Exploited In the Wild (SpringShell)” betroffen?
- https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
- https://unit42.paloaltonetworks.com/cve-2022-22965-springshell/
intarsys Produkte sind nicht betroffen, weil
- nur das intarsys Produkt Sign Live! cloud suite gears spring verwendet
- Sign Live! cloud suite gears mit Java 8 betrieben wird
- Sign Live! cloud suite gears weder spring-webmvc noch spring webflux verwendet.
Sind intarsys Produkte von der Sicherheitslücke betroffen?
Das BSI hat folgende Sicherheitswarnung veröffentlicht.
Das tatsächliche Problem wird in einem PDF erläutert, welches auf der BSI-Seite laufend aktualisiert wird.
intarsys Produkte sind von dem Sicherheitsproblem nicht betroffen!
Sie können die folgenden intarsys Produkte in den unterstützten Versionen ohne Änderungen weiter betreiben:
- Sign Live! CC
- Sign Live! CC DATEV-Edition
- Sign Live! CC SPARKASSEN-Edition
- Sign Live! cloud suite bridge
- Sign Live! cloud suite gears
- Sign Live! cloud suite SDK
Die Java Bibliothek, die das Problem verursacht, wird in diesen Produkten nicht verwendet.
Dies gilt auch für das von intarsys vertriebene Produkt Archisoft des FHI-SIT in den Versionen 1.1.1.8 und 1.1.1.9.
Produktspezifische Erläuterungen
- In Sign Live! cloud suite gears bis Version 8.7 eingesetzte Drittprodukte basieren auf der kritischen Log4j-Version 2.14, jedoch wird im Kontext von gears die gefährdende Bibliothek log4j-core-*.jar weder ausgeliefert noch verwendet. Gefährdungspotential besteht daher nicht.
- Mit Sign Live! CC ausgelieferte Beispielimplementierungen (sdk/JMS) verwenden die Log4j-Version 1.x. Diese werden ausschließlich durch Kommandozeilenaufruf am System aktiv und benötigen zusätzlich eine besondere Log4j-Konfiguration. Sie werden daher nicht als Gefährdungspotential betrachtet.
Weitere Sicherheitshinweise zu benötigten Basiskomponenten
Tomcat 9 verwendet in seiner Grundausstattung ohne Standard- und weitere WebApps kein Log4j.
Allgemeine Sicherheitshinweise zu benötigten Basiskomponenten
Verwenden Sie die JVM in der benötigen Version (Java 11, SLcs gears: Java 8) auf möglichst aktuellem Patch-Level.
Die in Sign Live! CC / PDF/A Live! integrierte JVM erfüllt dies (Java 11).
Für Sign Live! cloud suite gears sollte mind. Azul JDK 8u312+ eingesetzt werden.
Weitere Hintergrundhinweise
Im Folgenden erfahren Sie, wie Sie als Funktionstest via jconsole eine Remote-Verbindung zu einer JVM für aufbauen können.
Sicherheitsaspekte bleiben bewusst unberücksichtigt. Für diese und tiefgreifendere Informationen beachten Sie bitte die verlinkten Informationen.
- JVM vorbereiten
Exkurs für Sign Live! CC/ PDFA Live! /Sign Live! cloud suite bridge:
Für die Verwendung von JMX wird clientseitig (dort, wo das intarsys Produkt betrieben wird) eine vollständige JRE benötigt.
Die o. g. Produkte werden mit reduzierten JREs ausgeliefert. Daher muss zunächst dafür gesorgt werden, dass das intarsys-Produkt mit einer vollständigen JRE startet.
Hinweise dazu finden Sie in dieser FAQ SLCC mit “meiner” JVM starten.
Konfiguration der JVM für den entfernten Zugriff
Für den entfernten Zugriff auf die JVM müssen ein Port definiert und der Einfachheit halber Sicherheitsmechanismen abgeschaltet werden.
Fügen Sie Ihrer Java-Konfiguration folgende Definitionen hinzu (als Port ist jeder beliebige freie Port verwendbar)-Dcom.sun.management.jmxremote.port=50999 -Dcom.sun.management.jmxremote.authenticate=false -Dcom.sun.management.jmxremote.ssl=false
Für z. B. Sign Live! CC legen Sie diese Daten in der Datei C:\Programme\Sign Live CC 7.1.7\bin\SignLiveCC.exe.vmoptions ab und starten die Anwendung neu.
Ihre JVM ist nun für den entfernten Zugriff via JMX konfiguriert. - Verbindung zur JVM mit jconsole aufbauen
Starten Sie auf dem Client das Java Werkzeug jconsole.
Sie finden es in Ihrer Java-Installation (JDK) z. B. im Pfad C:\Program Files\Java\zulu11.48.21-ca-jdk11.0.11-win_x64\bin\jconsole.exe
Wählen Sie die zu überwachende JVM über die definierten Verbindungsdaten aus:
bestätigen Sie die Warnung
… und Sie erhalten Zugriff auf die JVM. Nach Wechseln auf das Tab MBeans lesen Sie z. B. den aktuellen Lizenzstand aus:
Weitere Hinweise
- Die Version des Client JDKs ist unabhängig von der im intarsys Produkt verwendeten.
Es muss ein JDK sein. - Beim Zugriff von localhost aus, kann auf das Definieren eines Ports und das Abschalten der security verzichtet werden.
Weitere detailliertere Informationen
Gemäß der DSGVO müssen alle am Signaturprozess beteiligten Personen darüber informiert sein, welche persönlichen Daten von ihnen in der Signatur gespeichert werden. Sign Live! CC bietet hierfür die Möglichkeit, vor der Erstellung einer Signatur alle im Zertifikat gespeicherten Informationen anzuzeigen. Nach der Signatur können wiederum alle in der Signatur gespeicherten Informationen angesehen werden.
Soll ein VDA (VertrauensDiensteAnbieter) für Prüfdienste nach der eIDAS VO die Prüfung übernehmen, so sind diese im Sinne des BDSG / DSGVO (BundesDatenSchutzGesetz / DatenSchutzGrundVerordnung) Auftragsverarbeiter und müssen entsprechende AV-Verträge bzw. Vereinbarungen bereitstellen.
Die Vertrauensdienste elektronisches Siegel und elektronischer Zeitstempel bleiben von der DSGVO unberührt.
Sicher haben Sie Verständnis dafür, dass wir keine Auskunft zum beA geben können. Aktuelle Informationen finden Sie auf der Seite der Bundesrechtsanwaltskammer.
Auch Dokumente, die größer als DIN A 4 sind, können mit Sign Live! CC signiert werden. Wird dafür eine sichtbare Signatur (erweiterte Darstellung) verwendet, kann es vorkommen, dass Sign Live! CC den Fokus auf dem Dokument verliert und das Signaturfeld an eine andere Position “springt”.
Dies kann behoben werden, indem man Sign Live! CC mehr Arbeitsspeicher zur Verfügung stellt. Eine Anleitung finden Sie im entsprechenden FAQ hier.
Begriffe
Ein Vertrauensdienst ist laut eIDAS-Verordnung, Artikel 3 (16), ein elektronischer Dienst, der in der Regel gegen Entgelt erbracht wird und unter anderem für die Erzeugung der Siegel, Signatur und Website-Zertifikate verantwortlich ist. Ein qualifizierter Vertrauensdienst ist ein Vertrauensdienst, der die einschlägigen Anforderungen der eIDAS-Verordnung erfüllt, Artikel 3 (17) und wird alle zwei Jahre in einem aufwändigen Verfahren von einer akkreditierten Konformitätsbewertungsstelle überprüft und das Ergebnis der zuständigen Aufsichtsbehörde (BNetzA oder BSI) mitgeteilt. Der Status als qualifizierter Vertrauensdiensteanbieter ist europaweit über eine Vertrauensliste und ein Gütesiegel nachprüfbar. Die deutsche Vertrauensliste ist auf der Webseite Trusted List Browser der EU https://webgate.ec.europa.eu sichtbar.
Man unterscheidet verschiedene Formen der elektronischen Signatur, die alle rechtskräftig sind, aber unterschiedliche Beweiskraft haben und daher für sehr unterschiedliche Anwendungsbereiche geeignet sind.
- Die einfache Signatur stellt keinerlei Anforderungen an die Identifizierung desjenigen, der die Daten unterschreibt. Auch gibt es keine Anforderung, wie die signierten Daten mit der Signatur verbunden sind und dadurch auch keine vorgeschriebene Möglichkeit dieses zu prüfen. So stellt der digitalisierte Schriftzug einer Unterschrift (z.B. mittels Signaturpad) genauso eine einfache Signatur dar, wie die Verwendung eines E-Mail-Footers. Einfache Signaturen können dadurch aufgewertet werden, dass zu deren Erstellung ein Zertifikat genutzt wird. Damit kann die Integrität der Daten geprüft werden. Wird hierzu ein qualifiziertes Siegel verwendet, gilt die Beweiswürdigung gemäß eIDAS Art. 35 (2).
- Die fortgeschrittene Signatur wird mit Mitteln erzeugt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann. Die Anforderungen an die Identifizierung und Speicherung des verwendeten Schlüssels sind öffentlich im Certification Practice Statement (CPS) hinterlegt. Im CPS sind alle wichtigen Informationen über die Certificate Authority (CA), dessen Richtlinien und Verfahren zusammengefasst hinterlegt. Daraus folgt eine eindeutige Zuordnung des Inhabers. Über die Signatur mit einem solchen Zertifikat lässt sich darüber hinaus die Integrität des Dokuments sicherstellen.
- Bei der qualifizierten elektronischen Signatur lässt sich der Inhaber der Signatur eindeutig und sicher zuordnen, da die Identifizierung z.B. über PostIdent, VideoIdent oder die Online Ausweisfunktion (eID) stattfindet. Es wird ein qualifiziertes Zertifikat verwendet, welches von einem gemäß eIDAS bestätigten Vertrauensdiensteanbieter ausgestellt wurde. Nur diese Art der Signatur erfüllt die Schriftform gemäß BGB §126a und ist nach ZPO §371a beweiswürdigend.
Ob eine Signatur valide, also gültig ist, sollte auch nach vielen Jahren prüfbar sein. Um eine Signatur wieder prüfen zu können, müssen mehrere Informationen vorliegen:
- War das verwendete Endbenutzer-Zertifikat zum Zeitpunkt seiner Verwendung gültig?
- War die ausstellende CA (Certificate Authority) dieses Zertifikates zum Zeitpunkt der Erstellung des Endbenutzerzertifikates vertrauenswürdig und das Wurzelzertifikat gültig?
- Welche Qualitätsstufe hatte das verwendete Zertifikat? Einfach, fortgeschritten oder qualifiziert?
Um diese Fragen vertrauenswürdig beantworten zu können, führt eine Validierungsanwendung wie Sign Live! mehrere Prüfungen durch. Ein wichtiger Aspekt dieser Prüfung sind dabei Sperrprüfungen mittels OCSP (Online Certificate Status Protocol) d.h. Abfragen bei dem Vertrauensdiensteanbieter (VDA), der das verwendete Endbenutzerzertifikat ausgegeben hat. Damit diese OCSP-Abfragen durchgeführt werden können, muss dieser Dienst vom VDA online (Verzeichnisdienst) zur Verfügung gestellt werden. Die Antworten des VDA sind wiederum von diesem signiert, damit die Vertrauenswürdigkeit geprüft und somit sichergestellt werden kann. Dies erfolgt dann wiederum unter Einbeziehung von OCSP-Abfragen. Wie dies in vollem Umfang zu erfolgen hat, ist durch internationale Standards (ETSI) geregelt. Am Ende dieser Abfragen kann dann die Validierungsanwendung einen vertrauenswürdigen Status des verwendeten Endbenutzer-Zertifikates liefern.
Was ist aber, wenn der notwendige Verzeichnisdienst zeitweise oder dauerhaft nicht zur Verfügung steht? Eine zeitweise Störung kann vorliegen, wenn der benötigte Verzeichnisdienst einfach nicht online erreichbar ist. Oder was, wenn dieser durch Einstellung des VDA abgeschaltet wurde? Auch die zentrale Löschung von Informationen nach Ablauf von Aufbewahrungsfristen stellt einen Einschnitt dar. Das verwendete Endbenutzerzertifikat kann in solchen Fällen nicht geprüft werden und damit führt auch die komplette Signaturprüfung zu keinem eindeutigen Ergebnis.
Anders bei LTV-Signaturen. Bei dieser Art der Signatur werden alle benötigten Informationen, wieder nach internationalen Standards (ETSI), in die Signatur eingebettet. Im Falle von PDF-Dokumenten und -signaturen ist dies zum Beispiel durch den PAdES-Standard (ETSI EN 319 142) im Kontext des PAdES-B-LT-Profils technisch geregelt.
Die Einbettung der notwendigen Informationen kann sowohl bei der Signaturerstellung als auch später bei einer Validierung erfolgen. Dass die Einbettung der Validierungsinformationen bereits bei der Signaturerstellung erfolgt, ist jedoch selten, da dies den gesamten Prozess verlangsamen würde. Zu der benötigten Zeit zur Signaturerstellung würde auch noch die Zeit für die Validierung hinzu kommt. Daher bietet sich die Anreicherung der LTV-Daten bei der Validierung vor der Archivierung geradezu an. Ab diesem Zeitpunkt wird die Signatur immer offline geprüft und erfolgt ohne Zugriff auf den Verzeichnisdienst. Eine Prüfung wird also von der Erreichbarkeit dieses Dienstes, egal aus welchem Grunde er nicht zur Verfügung steht, unabhängig.
Leistet die LTV-Signatur noch mehr?
Wie die Gültigkeit von Zertifikaten geprüft wird, erfolgt nach unterschiedlichen Modellen (Ketten-, Schalen- oder modifiziertes Schalenmodell). Diese verschiedenen Modelle sind für die unterschiedlichen Verwendungen von Zertifikaten auch durchaus sinnvoll. Die Gültigkeit eines SSL-Zertifikates sollte im Browser anders geprüft werden als ein Zertifikat, welches für die Signatur von Dokumenten verwendet wurde, die über Jahrzehnte hinaus prüfbar sein müssen.
Nehmen wir einmal den Adobe Reader als Beispiel. Adobe Reader wird eine Signatur nach Ablauf des verwendeten Endbenutzerzertifikates nicht mehr als vertrauenswürdig einstufen, auch wenn die Signatur noch während des Gültigkeitszeitraumes erfolgt ist.
Dieses Verhalten kann durch die LTV-Signatur vermieden werden, wenn die LTV-Signatur vor dem Ablaufdatum erfolgt. Mit der rechtzeitigen LTV-Signatur bleibt der Haken des Adobe Reader grün und die Signatur wird weiterhin positiv geprüft – und das dauerhaft. Dies ist ein wichtiger Schritt auf dem Weg zu mehr Akzeptanz der Signatur durch ihre Anwender.