Frequently Asked Questions - Allgemeine Informationen

Aktuelle wichtige Informationen

Tutorials zu verschiedenen Themen finden Sie   hier.

Letzte Aktualisierung: Dezember 2016
Erstellt: Dezember 2016

Die Herstellererklärung und weitere interessante Dokumente finden Sie    hier.

Auf Grund gesetzlicher Vorschriften müssen Dokumente unterschiedlich lang archiviert werden. Dies gilt auch für digitale Dokumente, einschließlich der sich auf dem Dokument befindlichen Signaturen.

Ob die Signatur valide, also gültig ist, sollte auch nach Jahren – vorzugsweise auch ohne Verbindung zum Internet – möglich sein.

Die Lösung ist, die Validierungsdaten direkt in das Dokument einzubetten. Somit gelingt der Nachweis, dass die Signatur zum Signaturzeitpunkt gültig war.

Die Voraussetzung für den Nachweis einer gültigen Validierung ist, dass bestimmte Normen eingehalten werden. Um diese Normierung kümmert sich ETSI1 ( European Telekommunications Standards Institute ). ETSI hat für die Signaturformate verschiedener Dokumentenarten die Standards PAdES2, CAdES3 und XAdES4 entwickelt. Diese Profile tragen dem Umstand Rechnung, dass digital signierte Dokumente oft viele Jahre archiviert werden und es zu jedem Zeitpunkt in der Zukunft möglich sein muss, die Signatur des Dokuments zu prüfen. Dieses Konzept nennt man Long-Term Validation (LTV).

  Tutorial


1 ETSI ist eine gemeinnützige Organisation und verfolgt das Ziel, weltweit anerkannte Standards für Informations- und Telekommunikationstechnologien zu schafften. ETSI ist von der Europäischen Union offiziell anerkannt.
2 PAdES (engl.: PDF Advanced Electronic Signatures ) für PDF-Dokumente
3 CAdES (engl.: CMS Advanced Electronic Signatures ) für CMS-Dokumente
4 XAdES (engl.: XML Advanced Electronic Signatures ) für XML-Dokumente

Stand: August 2016

Mehrere Virenscanner betrachten die Datei „lib\cabinsuls-7.0.0.jar“ der Sign Live! CC-Installation (Version 7.0.3) fälschlicherweise als Virus und entfernen die Datei bzw. untersagen deren Verwendung. Sign Live! CC startet zwar, erzeugt jedoch Fehlermeldungen im Betrieb.

Ein Update auf Sign Live! CC Version 7.0.5 beziehungsweise eine entsprechende Konfiguration des Virenscanners löst das Problem.

 

Aktualisiert: November 2017
Erstellt: August 2017

 

 

Mit Sign Live! CC werden elektronische Signaturen gemäß internationalem ETSI - Standard (PAdES) erstellt und können deshalb auch von anderen Anwendungen, die diesen Standard unterstützten, geprüft werden. Hierzu gehört auch der Adobe Acrobat Reader.

Trotzdem können zur Zeit Signaturen, die auf Zertifikaten deutscher Vertrauensdiensteanbieter basieren und mit Sign Live! CC erzeugt werden, nicht vom Adobe Acrobat Reader vollständig und korrekt geprüft werden. Dies hat verschiedene Ursachen, die im Verantwortungsbereich von Adobe und dem jeweiligen Vertrauensdiensteanbieter liegen:

  • Deutsche Telekom AG (Telesec) und neuer Personalausweis
    Die Signaturkarten der Telesec und der neue Personalausweis verwenden den ECDSA-Algorithmus mit brainpool-Kurven. Diese werden in der aktuellen Version des Adobe Acrobat Reader nicht unterstützt und können deshalb auch nicht geprüft werden.
     
  • D-Trust GmbH / Bundesdruckerei GmbH
    Aktuelle Signaturkarten der D-Trust verwenden den PSS-Padding Algorithmus an einer Stelle, an der dieser vom Adobe Acrobat Reader nicht interpretiert werden kann und zu einer fehlerhaften Prüfung führt.
     
  • DGN Deutsches Gesundheitsnetz Service GmbH
    Die von der DGN zur Verifikation erzeugte OCSP-Response wird durch ein anderes Wurzelzertifikat signiert als die verwendeten End-User-Zertifikate. Dies ist nach eIDAS VO so zulässig, jedoch nur eingeschränkt mit den ETSI-Standards vereinbar. Adobe Acrobat Reader unterstützt dieses Verfahren nicht, weshalb Sperrprüfungen hier nicht erfolgreich durchgeführt werden können.

Sollten Sie detailliertere Auskünfte zur Verifikation von Signaturen im Adobe Acrobat Reader benötigen, wenden Sie sich bitte an Adobe Systems GmbH oder Ihren Vertrauensdiensteanbieter.

Stand: Oktober 2017

 

Was bedeutet „Sign Live! CC implementiert den jeweils gültigen Algorithmenkatalog“?

Ein Algorithmenkatalog definiert, welche kryptografischen Algorithmen aktuell und für einen Zeitraum in der Zukunft als sicher betrachtet werden. Damit legt er maßgeblich das Sicherheitsniveau einer PKI(1) fest.
Bis zum 30.06.2017 haben das Signaturgesetz und die Signaturverordnung (SigG/SigV) für qualifizierte elektronische Signaturen eine PKI definiert und forderten dazu einen Algorithmenkatalog, der ständig aktualisiert wurde. Seit dem 01.07.2017 wird dies europaweit in der eIDAS-Verordnung geregelt. Weitere Informationen zu eIDAS finden Sie zum Beispiel beim Bundesamt für Sicherheit in der Informatik (BSI).

Das BSI erstellt den Alogorthmen-Katalog und legt dabei jeweils eine Vorausschau von 7 Jahren zu Grunde. D. h. die betrachteten Algorithmen sind heute und mit aller Wahrscheinlichkeit mindestens die nächsten 7 Jahre noch als sicher zu betrachten. Sehr oft werden diese Zeiträume jahresweise verlängert. Wenn zu erwarten ist, dass ein Algorithmus unsicher wird, haben die Nutzer außer in Ausnahmefällen also eine Vorwarnzeit von 7 Jahren. Dass bekannt gewordene Angriffe das Sicherheitsniveau von Kryptoalgorithmen so plötzlich gefährden, dass ein Gültigkeitszeitraum verkürzt werden musste, ist seit der Existenz des SigG-Algorithmen-Katatalogs nicht vorgekommen.

Sign Live! CC implementiert die Vorgaben des jeweils zum Veröffentlichungszeitpunkt der Software gültigen Algorithmenkatalogs. Welcher dies ist, entnehmen Sie der zugehörigen Herstellererklärung. Z. B. wurden in SLCC 6.x RSA-Signaturen noch mit dem Padding-Algorithmus PKCS#1-v1.5 erstellt. Erst ab Version 7.x wird der sicherere PSS-Padding-Algorithmus verwendet. Diese Umstellung wurde so spät wie möglich durchgeführt, weil aktuelle Adobe Programme Signaturen mit PSS-Padding nicht prüfen können (s. auch FAQ „Adobe“).

Insbesondere bei der Validierung werden die Ablauffristen von Algorithmen berücksichtigt! Validierungen können zu einem falschen Ergebnis führen, wenn die eingesetzte Software nicht aktuell ist. Genau hier setzt die Verantwortung von Hersteller und Betreiber ein, stets aktuelle Software zur Verfügung zu stellen und einzusetzen.

Ausnahme in Sign Live! CC 7.0

Ab SLCC 7.0 weichen wir von der o.g. Regel leicht ab und erweitern in Vorausschau auf den noch nicht veröffentlichten, jedoch bereits abgestimmten  Algorithmenkatalog 2017 den Ablauftermin von PKCS#1-1.5 Padding auf den 31.12.2017 und die durch den Betrachtungszeitraum von 7 Jahren bedingten Ablauftermine auf den 31.12.2023 (s. auch BSI-Seite https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/ElektronischeSignatur/TechnischeRealisierung/Kryptoalgorithmen/kryptoalgorithmen_node.html )

Was passiert mit dem Algorithmenkatalog, durch die Umsetzung der eIDAS-VO?

Um die eIDAS-Verordnung in Deutschland umzusetzen, werden SigG/SigV Ende 2017 durch das Vertrauensdienstegesetz und die zugehörige Verordnung abgelöst. Ein Algorithmenkatalog ist z. Zt. noch nicht in der eIDAS-VO verankert. Es ist noch offen, ob bis dahin die EU-Verwaltung die notwendigen Regeln auf EU-Ebene beschließen wird oder Deutschland weiterhin am deutschen Katalog festhält, solange kein EU-Katalog existiert. Wir werden Sie zu diesem Thema weiter informieren.

(1) PKI = Public-Key-Infrastruktur. Ausführliche Informationen finden Sie unter https://de.wikipedia.org/wiki/Public-Key-Infrastruktur

 

Letzte Aktualisierung: August 2017
Erstellt: Dezember 2016

Die Einführung des „besonderen elektronischen Anwaltspostfachs“ (beA) wurde zum 28. November 2016 realisiert. Die von Ihnen bisher zur Signatur eingesetzten Siganturkarten sind auch weiterhin gültig.
Sicher haben Sie Verständnis dafür, dass wir keine Auskunft zum beA geben können. Bitte wenden Sie sich direkt an die Bundesrechtsanwaltskammer.

  Zur Seite der Bundesrechtsanwaltskammer


Aktualisiert:: 20. Juli  2017
Erstellt: September 2016

 

Die T-Systems (Telesec) hat die Unterstützung von ELSTER eingestellt. Wir können leider keine Empfehlung von Karten für ELSTER abgeben. Ob die von Ihnen eingesetzte Signaturkarte von ELSTER unterstützt wird, können Sie auf der Internetseite von ELSTER prüfen. Dort finden Sie auch weitere Informationen.

  Zu ELSTER

Stand: Oktober 2014

Bitte beachten Sie:

Sollten Sie für die in Ihrem Haus eingesetzte Software einen Wartungsvertrag mit uns abgeschlossen haben, erhalten Sie als Wartungskunde exklusiv wichtige Informationen - zum Beispiel Informationen über die Ihnen zustehenden kostenlosen Updates und Bugfixes. Diese Informationen werden über Newsletter kommuniziert. In diesem Fall sollten Sie den Newsletter nicht abbestellen.

Wir haben Ihre E-Mail-Adresse durch einen geschäftlichen Kontakt mit Ihrem Unternehmen erhalten. Jeder intarsys Newsletter enthält am Ende den Abschnitt Newsletter abbestellen. Wenn Sie zukünftig keine Newsletter von intarsys mehr erhalten möchten, nutzen Sie bitte den Link im Newsletter und bestätigen Sie diesen. Sie erhalten dann ab sofort keine Newsletter von intarsys.

Stand: Juli 2015