Die neue BNotK Karte wird in Sign Live! CC ab Version 7.1.11 unterstützt.

Die Bundesnotarkammer wird zukünftig ihre Signaturzertifikate über den Fernsignaturdienst und nicht mehr über eine persönliche Signaturkarte bereitstellen.
Dabei erfolgt die Authentifizierung zur Signaturerstellung beim Fernsignaturdienst mittels persönlicher Smartcard.

Dafür ist ein komplett neues Vorgehen bei der Signaturerstellung erforderlich. Diese Signatur wird nicht über das Signaturgerät “signIT smartcard CC” ausgelöst, sondern über “signIT BNotK”. Wählen Sie bitte beim Signieren im Signaturassistenten das entsprechende Signaturgerät aus. Sollte Ihr Signaturzertifikat nicht zur Verfügung stehen, so wenden Sie sich bitte an den Support der Bundesnotarkammer.

Wenn Sie einen Kartenleser von Reiner SCT mit RFID-Funktion einsetzen, so schalten Sie die RFID-Funktion unbedingt aus, damit keine Probleme beim Lesen des Zertifikates zur Authentifizierung, das sich auf Ihrer Karte befindet, auftreten.

Wenn Sie Sign Live! CC aus einer Fachanwendung nutzen wollen, erkundigen Sie sich bitte beim Hersteller, ob die Anbindung des neuen Signaturgerätes erfolgt ist.  

Die Darstellung der Signatur kann individuell gestaltet werden. Das Vorgehen ist im Tutorial “Signaturfelddarstellung gestalten” beschrieben, welches Ihnen hier zum Download bereit steht. 
Dabei ist unbedingt darauf zu achten, dass die letzte Variable im Fenster Erscheinungsbild einen Wert enthält. Eine Zeilenschaltung als letzte Variable würde zu einer Fehlermeldung (interner Kryptografischer Bibliotheksfehler) führen.

Für die qualifizierte elektronische Signatur benötigen Sie neben der Software zusätzlich eine Signaturkarte und ein Kartenlesegerät.
Signaturkarten erhalten Sie von Vertrauensdiensteanbietern (VDA). Die von Sign Live! CC unterstützten Signaturkarten und Kartenlesegeräte finden Sie in unserer Leistungsbeschreibung und Systemvoraussetzungen.

Erwerben Sie hier die Signaturanwendungssoftware Sign Live! CC für verschiedene Betriebssysteme.

Ob eine Signatur valide, also gültig ist, sollte auch nach vielen Jahren prüfbar sein. Um eine Signatur wieder prüfen zu können, müssen mehrere Informationen vorliegen:

• War das verwendete Endbenutzer-Zertifikat zum Zeitpunkt seiner Verwendung gültig?
• War die ausstellende CA (Certificate Authority) dieses Zertifikates zum Zeitpunkt der Erstellung des Endbenutzerzertifikates vertrauenswürdig und das Wurzelzertifikat gültig?
• Welche Qualitätsstufe hatte das verwendete Zertifikat? Einfach, fortgeschritten oder qualifiziert?

Um diese Fragen vertrauenswürdig beantworten zu können, führt eine Validierungsanwendung wie Sign Live! mehrere Prüfungen durch. Ein wichtiger Aspekt dieser Prüfung sind dabei Sperrprüfungen mittels OCSP (Online Certificate Status Protocol) d.h. Abfragen bei dem Vertrauensdiensteanbieter (VDA), der das verwendete Endbenutzerzertifikat ausgegeben hat. Damit diese OCSP-Abfragen durchgeführt werden können, muss dieser Dienst vom VDA online (Verzeichnisdienst) zur Verfügung gestellt werden. Die Antworten des VDA sind wiederum von diesem signiert, damit die Vertrauenswürdigkeit geprüft und somit sichergestellt werden kann. Dies erfolgt dann wiederum unter Einbeziehung von OCSP-Abfragen. Wie dies in vollem Umfang zu erfolgen hat, ist durch internationale Standards (ETSI) geregelt. Am Ende dieser Abfragen kann dann die Validierungsanwendung einen vertrauenswürdigen Status des verwendeten Endbenutzer-Zertifikates liefern.

Was ist aber, wenn der notwendige Verzeichnisdienst zeitweise oder dauerhaft nicht zur Verfügung steht? Eine zeitweise Störung kann vorliegen, wenn der benötigte Verzeichnisdienst einfach nicht online erreichbar ist. Oder was, wenn dieser durch Einstellung des VDA abgeschaltet wurde? Auch die zentrale Löschung von Informationen nach Ablauf von Aufbewahrungsfristen stellt einen Einschnitt dar. Das verwendete Endbenutzerzertifikat kann in solchen Fällen nicht geprüft werden und damit führt auch die komplette Signaturprüfung zu keinem eindeutigen Ergebnis.

Anders bei LTV-Signaturen. Bei dieser Art der Signatur werden alle benötigten Informationen, wieder nach internationalen Standards (ETSI), in die Signatur eingebettet. Im Falle von PDF-Dokumenten und -signaturen ist dies zum Beispiel durch den PAdES-Standard (ETSI EN 319 142) im Kontext des PAdES-B-LT-Profils technisch geregelt.

Die Einbettung der notwendigen Informationen kann sowohl bei der Signaturerstellung als auch später bei einer Validierung erfolgen. Dass die Einbettung der Validierungsinformationen bereits bei der Signaturerstellung erfolgt, ist jedoch selten, da dies den gesamten Prozess verlangsamen würde. Zu der benötigten Zeit zur Signaturerstellung würde auch noch die Zeit für die Validierung hinzu kommt. Daher bietet sich die Anreicherung der LTV-Daten bei der Validierung vor der Archivierung geradezu an. Ab diesem Zeitpunkt wird die Signatur immer offline geprüft und erfolgt ohne Zugriff auf den Verzeichnisdienst. Eine Prüfung wird also von der Erreichbarkeit dieses Dienstes, egal aus welchem Grunde er nicht zur Verfügung steht, unabhängig.

Leistet die LTV-Signatur noch mehr?

Wie die Gültigkeit von Zertifikaten geprüft wird, erfolgt nach unterschiedlichen Modellen (Ketten-, Schalen- oder modifiziertes Schalenmodell). Diese verschiedenen Modelle sind für die unterschiedlichen Verwendungen von Zertifikaten auch durchaus sinnvoll. Die Gültigkeit eines SSL-Zertifikates sollte im Browser anders geprüft werden als ein Zertifikat, welches für die Signatur von Dokumenten verwendet wurde, die über Jahrzehnte hinaus prüfbar sein müssen.

Nehmen wir einmal den Adobe Reader als Beispiel. Adobe Reader wird eine Signatur nach Ablauf des verwendeten Endbenutzerzertifikates nicht mehr als vertrauenswürdig einstufen, auch wenn die Signatur noch während des Gültigkeitszeitraumes erfolgt ist.

Dieses Verhalten kann durch die LTV-Signatur vermieden werden, wenn die LTV-Signatur vor dem Ablaufdatum erfolgt. Mit der rechtzeitigen LTV-Signatur bleibt der Haken des Adobe Reader grün und die Signatur wird weiterhin positiv geprüft – und das dauerhaft. Dies ist ein wichtiger Schritt auf dem Weg zu mehr Akzeptanz der Signatur durch ihre Anwender. 

Wie wird eine LTV-Signatur mit Sign Live! CC erzeugt?

Sind intarsys Produkte von der Sicherheitslücke betroffen?

Das BSI hat folgende Sicherheitswarnung veröffentlicht.
Das tatsächliche Problem wird in einem PDF erläutert, welches auf der BSI-Seite laufend aktualisiert wird.
 

intarsys Produkte sind von dem Sicherheitsproblem nicht betroffen!

Sie können die folgenden intarsys Produkte in den unterstützten Versionen ohne Änderungen weiter betreiben:

• Sign Live! CC
• Sign Live! CC DATEV-Edition
• Sign Live! CC SPARKASSEN-Edition
• Sign Live! cloud suite bridge
• Sign Live! cloud suite gears
• Sign Live! cloud suite SDK

Die Java Bibliothek, die das Problem verursacht, wird in diesen Produkten nicht verwendet.

Dies gilt auch für das von intarsys vertriebene Produkt Archisoft des FHI-SIT in den Versionen 1.1.1.8 und 1.1.1.9.

Produktspezifische Erläuterungen

• In Sign Live! cloud suite gears bis Version 8.7 eingesetzte Drittprodukte basieren auf der kritischen Log4j-Version 2.14, jedoch wird im Kontext von gears die gefährdende Bibliothek log4j-core-*.jar weder ausgeliefert noch verwendet. Gefährdungspotential besteht daher nicht.
• Mit Sign Live! CC ausgelieferte Beispielimplementierungen (sdk/JMS) verwenden die Log4j-Version 1.x. Diese werden ausschließlich durch Kommandozeilenaufruf am System aktiv und benötigen zusätzlich eine besondere Log4j-Konfiguration. Sie werden daher nicht als Gefährdungspotential betrachtet.

Weitere Sicherheitshinweise zu benötigten Basiskomponenten

Tomcat 9 verwendet in seiner Grundausstattung ohne Standard- und weitere WebApps kein Log4j.

Allgemeine Sicherheitshinweise zu benötigten Basiskomponenten

Verwenden Sie die JVM in der benötigen Version (Java 11, SLcs gears: Java 8) auf möglichst aktuellem Patch-Level.
Die in Sign Live! CC / PDF/A Live! integrierte JVM erfüllt dies (Java 11).
Für Sign Live! cloud suite gears sollte mind. Azul JDK 8u312+ eingesetzt werden.

Weitere Hintergrundhinweise

• heise.de 10.12.2021
• heise.de 13.12.2021

Wenn Sie zur Signatur aus GVS eine BNotK-Karte zur Fernsignatur nutzen, ist es erforderlich, dass Sie dies in GVS entsprechend einstellen.
Ein Beispiel für die Einstellungen sehen Sie hier.

Bitte achten Sie außerdem darauf, dass Sign Live! CC als die zu nutzende Software eingetragen ist.

Wenn Sie als Gerichtsvollzieher Software von Baqué & Lauter GmbH einsetzen und mit Sign Live! CC signieren möchten, muss in Sign Live! CC ein bestimmter “Dienst” eingerichtet werden.

Sofern bei der Installation der Gerichtsvollziehersoftware die Software Sign Live! CC bereits installiert war, sollte die Einrichtung dieses Dienstes automatisch erfolgt sein. Andernfalls kann dies auch manuell nachgeholt werden. Die entsprechende Anleitung finden Sie hier.

Auch Dokumente, die größer als DIN A 4 sind, können mit Sign Live! CC signiert werden. Wird dafür eine sichtbare Signatur (erweiterte Darstellung) verwendet, kann es vorkommen, dass Sign Live! CC den Fokus auf dem Dokument verliert und das Signaturfeld an eine andere Position “springt”.

Dies kann behoben werden, indem man Sign Live! CC mehr Arbeitsspeicher zur Verfügung stellt. Eine Anleitung finden Sie im entsprechenden FAQ hier.

Beim Öffnen sehr großer Dateien kann es vorkommen, dass der Sign Live! CC zur Verfügung stehende Arbeitsspeicher nicht ausreicht (Fehlermeldung: … “Java heap space”).

Die erste, optionale Maßnahme ist, den Trusted Mode zu deaktivieren. Bei aktiviertem Trusted Mode behält die Anwendung die zu signierende Datei während der Verarbeitung vollständig im Speicher, um Manipulationen zu vermeiden. In einer sicheren Umgebung kann auf dieses Verfahren verzichten werden.

So deaktivieren Sie den Trusted Mode:

1. Öffnen Sie die Einstellungen über die Menüoption Extras>Einstellungen>Sicherheit>Trusted Mode
2. Deaktivieren Sie das Ankreuzfeld “Dokumentenintegrität sicherstellen”
3. Starten Sie die Anwendung neu.

Sollte diese Maßnahme nicht zum Erfolg führen, müssen Sie der Anwendung mehr Speicher zur Verfügung stellen. Das Log gibt Auskunft darüber, wieviel Speicher Java aktuell beim Betriebssystem maximal nachfragt, im folgende Fall z. B. ca. 512 MB:

Prüfen Sie zunächst, dass das Betriebssystem tatsächlich soviel Speicher für Java zur Verfügung stellen kann. Betriebssystem und andere Anwendungen benötigen auch Speicher!

Wenn genügend Speicher zur Verfügung steht und dieser nicht genügt für die zu verarbeitenden Dokumente, setzen Sie bitte stufenweise den von Java reklamierten Speicher hoch: 1 GB, 2 GB, … .

So stellen Sie in Sign Live! CC mehr Arbeitsspeicher zur Verfügung:

1. Kopieren Sie die Datei
   <INSTALLATIONSVERZEICHNIS>\demo\vmoptions\more memory\*.vmoptions¹ nach <INSTALLATIONSVERZEICHNIS>\bin\*.vmoptions¹
   Die kopierte Datei bezieht sich auf das .exe, welches für den GUI-Betrieb verwendet wird.
   
2. Wichtig!
   Falls Sie Sign Live! CC als Service betreiben, muss eine zusätzliche Kopie der .vmoptions-Datei passend zum Namen des service.exe erstellt werden:
   Windows: SignLiveCC_service.exe.vmoptions
   Linux: signLivecc.service.vmoptions
   
3. Starten Sie Sign Live! CC neu.
   
4. Sollte der Arbeitsspeicher noch nicht ausreichen, kann der Wert in der/den vmoptions-Datei(en) mit einem Editor editiert und der Wert zum Beispiel auf -Xmx2048m für 2 GB erhöht werden. Der Maximalwert ist davon abhängig, wie viel Arbeitsspeicher Ihrem Rechner zur Verfügung steht.

¹⁾ Der Name der vmoptions-Datei ist abhängig vom eingesetzten Betriebssystem.

Sign Live! CC startet mit den Spracheinstellungen des Betriebssystems.

Um die Betriebssprache von Sign Live! CC zu manipulieren, benötigen Sie Administratorrechte.
Gehen Sie folgendermaßen vor:

1. Beenden Sie Sign Live! CC.
2. Wechseln Sie mittels Windows Explorer in das Installationsverzeichnis von Sign Live! CC. Dies ist in den meisten Fällen "C:\Programme\Sign Live CC <version>" oder "C:\Programme (x86)\Sign Live CC <version>".
3. Navigieren Sie weiter in das Unterverzeichnis “demo\vmoptions\language english”.
4. Kopieren Sie aus diesem Verzeichnis die Datei “SignLiveCC.exe.vmoptions”.
5. Wechseln Sie in das Unterverzeichnis “bin” des Installationsverzeichnisses von Sign Live! CC und legen Sie die Datei “SignLiveCC.exe.vmoptions” dort ab.
6. Starten Sie Sign Live! CC neu, damit die Spracheinstellungen geladen werden.

Durch dieses Vorgehen wird die gesamte Benutzeroberfläche von Sign Live! CC auf Englisch dargestellt.

Zum Zurücksetzen auf deutsche Sprache, löschen Sie die Datei “SignLiveCC.exe.vmoptions” wieder aus dem bin-Verzeichnis und starten Sign Live! CC neu.