Willkommen bei intarsys
Signaturerstellung

Sign Live! CC validation client

Sign Live! CC validation client

Die arbeitsplatzbasierte Lösung zur
Signaturprüfung

prüfen

Die Verifikation einer digitalen Signatur umfasst in der Praxis nicht nur die Prüfung ihrer mathematischen Korrektheit, sondern auch die Prüfung der Gültigkeit des verwendeten Zertifikats und dem Verwendungszweck des Zertifikats.

Elektronische Signatur-/ Siegel-, Zeitstempelformate sowie technische Beweisdaten (Evidence Record) zuverlässig prüfen und ein Prüfprotokoll erstellen.

Folgende Prüfungen werden bei der Verifikation mit Sign Live! CC mindestens durchgeführt:

Unterstützte ETSI Signatur- und Archivformate:

* Die Evidence Record Syntax, kurz ERS, ist ein Teil der Spezifikation des Long-Term Archiving and Notary Service, kurz LTANS. Er beschreibt das Datenformat für eine Nachweisdatei, den Evidence Record, der dazu dient, den Beweis für die Integrität eines in einem Langzeitarchiv gespeicherten Dokuments zu liefern.

Weitere Funktion

Folgende Funktionen stehen nach Erwerb einer Sign Live! CC Lizenz zur Verfügung:

So einfach funktioniert es:

Für die automatische Validierung und Verarbeitung großer Dokumentenmengen steht folgendes Produkt zur Verfügung.

Sign Live! CC validation client

Die arbeitsplatzbasierte Lösung zur Signaturprüfung

Weitere Informationen zu Sign Live! validation client

FAQs zum Sign Live! CC validation client

c Alle ausklappen C Alles einklappen

Ob eine Signatur valide, also gültig ist, sollte auch nach vielen Jahren prüfbar sein. Um eine Signatur wieder prüfen zu können, müssen mehrere Informationen vorliegen:

  • War das verwendete Endbenutzer-Zertifikat zum Zeitpunkt seiner Verwendung gültig?
  • War die ausstellende CA (Certificate Authority) dieses Zertifikates zum Zeitpunkt der Erstellung des Endbenutzerzertifikates vertrauenswürdig und das Wurzelzertifikat gültig?
  • Welche Qualitätsstufe hatte das verwendete Zertifikat? Einfach, fortgeschritten oder qualifiziert?

Um diese Fragen vertrauenswürdig beantworten zu können, führt eine Validierungsanwendung wie Sign Live! mehrere Prüfungen durch. Ein wichtiger Aspekt dieser Prüfung sind dabei Sperrprüfungen mittels OCSP (Online Certificate Status Protocol) d.h. Abfragen bei dem Vertrauensdiensteanbieter (VDA), der das verwendete Endbenutzerzertifikat ausgegeben hat. Damit diese OCSP-Abfragen durchgeführt werden können, muss dieser Dienst vom VDA online (Verzeichnisdienst) zur Verfügung gestellt werden. Die Antworten des VDA sind wiederum von diesem signiert, damit die Vertrauenswürdigkeit geprüft und somit sichergestellt werden kann. Dies erfolgt dann wiederum unter Einbeziehung von OCSP-Abfragen. Wie dies in vollem Umfang zu erfolgen hat, ist durch internationale Standards (ETSI) geregelt. Am Ende dieser Abfragen kann dann die Validierungsanwendung einen vertrauenswürdigen Status des verwendeten Endbenutzer-Zertifikates liefern.

Was ist aber, wenn der notwendige Verzeichnisdienst zeitweise oder dauerhaft nicht zur Verfügung steht? Eine zeitweise Störung kann vorliegen, wenn der benötigte Verzeichnisdienst einfach nicht online erreichbar ist. Oder was, wenn dieser durch Einstellung des VDA abgeschaltet wurde? Auch die zentrale Löschung von Informationen nach Ablauf von Aufbewahrungsfristen stellt einen Einschnitt dar. Das verwendete Endbenutzerzertifikat kann in solchen Fällen nicht geprüft werden und damit führt auch die komplette Signaturprüfung zu keinem eindeutigen Ergebnis.

Anders bei LTV-Signaturen. Bei dieser Art der Signatur werden alle benötigten Informationen, wieder nach internationalen Standards (ETSI), in die Signatur eingebettet. Im Falle von PDF-Dokumenten und -signaturen ist dies zum Beispiel durch den PAdES-Standard (ETSI EN 319 142) im Kontext des PAdES-B-LT-Profils technisch geregelt.

Die Einbettung der notwendigen Informationen kann sowohl bei der Signaturerstellung als auch später bei einer Validierung erfolgen. Dass die Einbettung der Validierungsinformationen bereits bei der Signaturerstellung erfolgt, ist jedoch selten, da dies den gesamten Prozess verlangsamen würde. Zu der benötigten Zeit zur Signaturerstellung würde auch noch die Zeit für die Validierung hinzu kommt. Daher bietet sich die Anreicherung der LTV-Daten bei der Validierung vor der Archivierung geradezu an. Ab diesem Zeitpunkt wird die Signatur immer offline geprüft und erfolgt ohne Zugriff auf den Verzeichnisdienst. Eine Prüfung wird also von der Erreichbarkeit dieses Dienstes, egal aus welchem Grunde er nicht zur Verfügung steht, unabhängig.

Leistet die LTV-Signatur noch mehr?

Wie die Gültigkeit von Zertifikaten geprüft wird, erfolgt nach unterschiedlichen Modellen (Ketten-, Schalen- oder modifiziertes Schalenmodell). Diese verschiedenen Modelle sind für die unterschiedlichen Verwendungen von Zertifikaten auch durchaus sinnvoll. Die Gültigkeit eines SSL-Zertifikates sollte im Browser anders geprüft werden als ein Zertifikat, welches für die Signatur von Dokumenten verwendet wurde, die über Jahrzehnte hinaus prüfbar sein müssen.

Nehmen wir einmal den Adobe Reader als Beispiel. Adobe Reader wird eine Signatur nach Ablauf des verwendeten Endbenutzerzertifikates nicht mehr als vertrauenswürdig einstufen, auch wenn die Signatur noch während des Gültigkeitszeitraumes erfolgt ist.

Dieses Verhalten kann durch die LTV-Signatur vermieden werden, wenn die LTV-Signatur vor dem Ablaufdatum erfolgt. Mit der rechtzeitigen LTV-Signatur bleibt der Haken des Adobe Reader grün und die Signatur wird weiterhin positiv geprüft – und das dauerhaft. Dies ist ein wichtiger Schritt auf dem Weg zu mehr Akzeptanz der Signatur durch ihre Anwender. 

Wie wird eine LTV-Signatur mit Sign Live! CC erzeugt?

Sign Live! CC startet mit den Spracheinstellungen des Betriebssystems.

Um die Betriebssprache von Sign Live! CC zu manipulieren, benötigen Sie Administratorrechte.
Gehen Sie folgendermaßen vor:

  1. Beenden Sie Sign Live! CC.
  2. Wechseln Sie mittels Windows Explorer in das Installationsverzeichnis von Sign Live! CC. Dies ist in den meisten Fällen "C:\Programme\Sign Live CC <version>" oder "C:\Programme (x86)\Sign Live CC <version>".
  3. Navigieren Sie weiter in das Unterverzeichnis “demo\vmoptions\language english”.
  4. Kopieren Sie aus diesem Verzeichnis die Datei “SignLiveCC.exe.vmoptions”.
  5. Wechseln Sie in das Unterverzeichnis “bin” des Installationsverzeichnisses von Sign Live! CC und legen Sie die Datei “SignLiveCC.exe.vmoptions” dort ab.
  6. Starten Sie Sign Live! CC neu, damit die Spracheinstellungen geladen werden.

Durch dieses Vorgehen wird die gesamte Benutzeroberfläche von Sign Live! CC auf Englisch dargestellt.

Zum Zurücksetzen auf deutsche Sprache, löschen Sie die Datei “SignLiveCC.exe.vmoptions” wieder aus dem bin-Verzeichnis und starten Sign Live! CC neu.

Zum Validieren von Signaturen benötigt Sign Live! CC immer aktuelle Wurzelzertifikate, die zumindest für die eIDAS-PKI über Vertrauenslisten (Trusted List-TL) verteilt werden.

Sign Live! CC wird mit einem bei Veröffentlichung aktuellem Satz von Wurzelzertifikaten ausgeliefert. Von Zeit zu Zeit verwenden Trustcenter neue Wurzelzertifikate. Erhalten wir von den Trustcentern Informationen dazu, leiten wir diese via E-Mail an Sie weiter. Lassen Sie sich dazu für unseren Newsletter registrieren.

In jedem Fall müssen Sie dafür sorgen, dass Sign Live! CC seine Wurzelzertifikate aktualisiert. Dies können Sie manuell oder automatisiert durchführen:

– Für den Arbeitsplatz: Manuell
Diese Methode ist für die normale Installation am Arbeitsplatz völlig ausreichend.

  • Über Menüpunkt Extras > Zertifikate  > Vertrauenslisten aktualisieren stoßen Sie die Aktualisierung der Vertrauenslisten manuell an.

– Für die Serverinstallation: Automatisiert

Insbesondere in Serverinstallationen ist es sinnvoll, die Aktualisierung zeitgesteuert anstoßen zu lassen. Passen Sie dazu den vorkonfigurierten Service Container an:

  • Über Menüpunkt Extras > Dienste > Dienst-Container-Verwaltung  konfigurieren Sie den Zeitplan des Dienst-Containers “Trusted List Update Scheduler” und stoßen die Aktualisierung der Vertrauenslisten automatisiert an:

Sollte die Aktualisierung nicht möglich sein, oder mit Fehlermeldung abbrechen, prüfen Sie bitte:

  • Die Internetverbindung (Proxy, Firewall, …).
  • Ob der Virenscanner im Profilverzeichnis heruntergeladene Vertrauenslisten löscht. Das Profilverzeichnis ist dort, wo die Logs abgelegt werden. Dieses ermitteln Sie über die Menüoption Fenster > Log-Datei.

Wenn die Aktualisierung dennoch nicht möglich ist, schicken Sie bitte eine Fehlerbeschreibung und die aktuelle Logdatei an support@intarsys.de.

Bleiben Sie auf dem Laufenden mit unserem Newsletter!

Und erhalten Sie alle Informationen rund um:

Produkte

Services

Events

Aktionen

Als erste am Markt erhältliche Langzeitaufbewahrungslösung hat der proNEXT Archive Manager der procilon GROUP vom BSI das TR-ESOR-Zertifikat nach der neuen Version ...