Frequently Asked Questions - Allgemeine Informationen

Aktuelle wichtige Informationen

Tutorials zu verschiedenen Themen finden Sie   hier.

Letzte Aktualisierung: Dezember 2016
Erstellt: Dezember 2016

Die Herstellererklärung und weitere interessante Dokumente finden Sie    hier.

Gemäß der DSGVO müssen alle am Signaturprozess beteiligten Personen darüber informiert sein, welche persönlichen Daten von ihnen in der Signatur gespeichert werden. Sign Live! CC bietet hierfür die Möglichkeit vor der Erstellung einer Signatur alle im Zertifikat gespeicherten Informationen anzuzeigen. Nach der Signatur können wiederum alle in der Signatur gespeicherten Informationen angesehen werden.

Soll ein VDA für Prüfdienste nach der eIDAS VO die Prüfung übernehmen, so sind diese im Sinne des BDSG / DSGVO Auftragsverarbeiter und müssen entsprechende AV-Verträge bzw. Vereinbarungen bereitstellen.

Die Vertrauensdienste elektronisches Siegel und elektronischer Zeitstempel bleiben von der DSGVO unberührt.

Letzte Aktualisierung: 23.07.2018
Erstellt: 23.07.2018

Ob eine Signatur valide, also gültig ist, sollte auch nach vielen Jahren prüfbar sein. Um eine Signatur wieder prüfen zu können, müssen mehrere Informationen vorliegen:

  • War das verwendete Endbenutzer-Zertifikat zum Zeitpunkt seiner Verwendung gültig?
  • War die ausstellende CA (Certificate Authority ) dieses Zertifikates zum Zeitpunkt der Erstellung des Endbenutzerzertifikates vertrauenswürdig und das Wurzelzertifikat gültig?
  • Welche Qualitätsstufe hatte das verwendete Zertifikat? Einfach, fortgeschritten oder qualifiziert?

Um diese Fragen vertrauenswürdig beantworten zu können, führt eine Validierungsanwendung wie Sign Live!  mehrere Prüfungen durch. Ein wichtiger Aspekt dieser Prüfung sind dabei Sperrprüfungen mittels OCSP (Online Certificate Status Protocol) d.h. Abfragen bei dem Vertrauensdiensteanbieter (VDA), der das verwendete Endbenutzerzertifikat ausgegeben hat. Damit diese OCSP-Abfragen durchgeführt werden können, muss dieser Dienst vom VDA online (Verzeichnisdienst) zur Verfügung gestellt werden. Die Antworten des VDA sind wiederum von diesem signiert, damit die Vertrauenswürdigkeit geprüft und somit sichergestellt werden kann. Dies erfolgt dann wiederum unter Einbeziehung von OCSP-Abfragen. Wie dies in vollem Umfang zu erfolgen hat, ist durch internationale Standards (ETSI) geregelt. Am Ende dieser Abfragen kann dann die Validierungsanwendung einen vertrauenswürdigen Status des verwendeten Endbenutzer-Zertifikates liefern.

Was ist aber, wenn der notwendige Verzeichnisdienst zeitweise oder dauerhaft nicht zur Verfügung steht? Eine zeitweise Störung kann vorliegen, wenn der benötigte Verzeichnisdienst einfach nicht online erreichbar ist. Oder was, wenn dieser durch Einstellung des VDA abgeschaltet wurde? Auch die zentrale Löschung von Informationen nach Ablauf von Aufbewahrungsfristen stellt einen Einschnitt dar. Das verwendete Endbenutzerzertifikat kann in solchen Fällen nicht geprüft werden und damit führt auch die komplette Signaturprüfung zu keinem eindeutigen Ergebnis.

Anders bei LTV-Signaturen. Bei dieser Art der Signatur werden alle benötigten Informationen, wieder nach internationalen Standards (ETSI), in die Signatur eingebettet. Im Falle von PDF-Dokumenten und -signaturen ist dies zum Beispiel durch den PAdES-Standard (ETSI EN 319 142) im Kontext des PAdES-B-LT-Profils technisch geregelt.

Die Einbettung der notwendigen Informationen kann sowohl bei der Signaturerstellung als auch später bei einer Validierung erfolgen. Dass dies bei der Signaturerstellung erfolgt, ist jedoch selten, da zu der benötigten Zeit zur Signaturerstellung auch noch die für die Prüfung kommt. So bietet sich die Anreicherung zur LTV-Signatur bei der Validierung vor der Archivierung geradezu an. Ab diesem Zeitpunkt wird die Signatur immer offline geprüft und erfolgt ohne Zugriff auf den Verzeichnisdienst. Eine Prüfung wird also von der Erreichbarkeit dieses Dienstes, egal aus welchem Grunde er nicht zur Verfügung steht, unabhängig.

Leistet die LTV-Signatur noch mehr?

Wie die Gültigkeit von Zertifikaten geprüft wird, erfolgt nach unterschiedlichen Modellen (Ketten-, Schalen- oder modifiziertes Schalenmodell). Diese verschiedenen Modelle sind für die unterschiedlichen Verwendungen von Zertifikaten auch durchaus sinnvoll. Die Gültigkeit eines SSL-Zertifikates sollte im Browser anders geprüft werden als ein Zertifikat, welches für die Signatur von Dokumenten verwendet wurde, die über Jahrzehnte hinaus prüfbar sein müssen.

Nehmen wir einmal den Adobe Reader als Beispiel. Adobe Reader wird eine Signatur nach Ablauf des verwendeten Endbenutzerzertifikates nicht mehr als vertrauenswürdig einstufen, auch wenn die Signatur noch während des Gültigkeitszeitraumes erfolgt ist.

Dieses Verhalten kann durch die LTV-Signatur vermieden werden, wenn die LTV-Signatur vor dem Ablaufdatum erfolgt. Mit der rechtzeitigen LTV-Signatur bleibt der Haken des Adobe Reader grün und die Signatur wird weiterhin positiv geprüft - und das dauerhaft. Dies ist ein wichtiger Schritt auf dem Weg zu mehr Akzeptanz der Signatur durch ihre Anwender.

Wie wird eine LTV-Signatur mit Sign Live! CC erzeugt?

  Die Antwort finden Sie in unserem Tutorial


Stand: Februar 2020

Man unterscheidet verschiedene Formen der elektronischen Signatur, die alle rechtskräftig sind, aber unterschiedliche Beweiskraft haben und daher für sehr unterschiedliche Anwendungsbereiche geeignet sind.

  • Die einfache Signatur hat die geringste Beweiskraft und ist daher für Dokumente geeignet, die mit geringem rechtlichen Risiko verbunden sind. Einfache Signaturen können für formlose Vereinbarungen zum Beispiel für interne Dokumente wie Reisekostenabrechnungen genutzt werden. Auch die Unterschrift auf einem Signaturpad - wie Sie zum Beispiel von Lieferservices genutzt werden - ist eine einfache Signatur.
  • Die fortgeschrittene Signatur wird zusätzlich durch spezielle Normen geregelt und hat daher eine mittlere Beweiskraft. Sie erleichtert im Streitfall die Prüfung der Gültigkeit und wird für Dokumente mit mittleren rechtlichen Risiken eingesetzt, zum Beispiel für B2B-Handelsverträge oder Anmeldung an Portalen. Der Signaturersteller muss bei Bedarf identifizierbar sein. Dies erfolgt zum Beispiel über ein entsprechendes Signaturzertifikat.
  • Die qualifizierte elektronische Signatur hat die höchste Beweiskraft und ist - bis auf wenige Ausnahmen - der eigenhändigen Unterschrift gleich gestellt. Darüber hinaus ist die qualifizierte Signatur in bestimmten Anwendungsfällen (zum Beispiel Arbeitnehmerüberlassung) gesetzlich vorgeschrieben. Die Erstellung einer qualifizierten Signatur erfolgt normalerweise mit einer Signaturkarte und einem Kartenlesegerät. Die Signaturkarte wird von einem Trust-Center ausgegeben und - nach Prüfung der Identität des Antragstellers - mit einem qualifizierten Zertifikat versehen.

Erstellt: Oktober 2019

 

Was bedeutet "Sign Live! CC implementiert den jeweils gültigen Algorithmenkatalog"?

Ein Algorithmenkatalog definiert, welche kryptografischen Algorithmen aktuell und für einen Zeitraum in der Zukunft als sicher betrachtet werden. Damit legt er maßgeblich das Sicherheitsniveau einer PKI(1) fest.
Bis zum 30.06.2017 haben das Signaturgesetz und die Signaturverordnung (SigG/SigV) für qualifizierte elektronische Signaturen eine PKI definiert und forderten dazu einen Algorithmenkatalog, der ständig aktualisiert wurde. Seit dem 01.07.2017 wird dies europaweit in der eIDAS-Verordnung geregelt. Weitere Informationen zu eIDAS finden Sie zum Beispiel beim Bundesamt für Sicherheit in der Informatik (BSI).

Das BSI erstellt den Alogorthmen-Katalog und legt dabei jeweils eine Vorausschau von 7 Jahren zu Grunde. D. h. die betrachteten Algorithmen sind heute und mit aller Wahrscheinlichkeit mindestens die nächsten 7 Jahre noch als sicher zu betrachten. Sehr oft werden diese Zeiträume jahresweise verlängert. Wenn zu erwarten ist, dass ein Algorithmus unsicher wird, haben die Nutzer außer in Ausnahmefällen also eine Vorwarnzeit von 7 Jahren. Dass bekannt gewordene Angriffe das Sicherheitsniveau von Kryptoalgorithmen so plötzlich gefährden, dass ein Gültigkeitszeitraum verkürzt werden musste, ist seit der Existenz des SigG-Algorithmen-Katatalogs nicht vorgekommen.

Sign Live! CC implementiert die Vorgaben des jeweils zum Veröffentlichungszeitpunkt der Software gültigen Algorithmenkatalogs. Welcher dies ist, entnehmen Sie der zugehörigen Herstellererklärung. Z. B. wurden in SLCC 6.x RSA-Signaturen noch mit dem Padding-Algorithmus PKCS#1-v1.5 erstellt. Erst ab Version 7.x wird der sicherere PSS-Padding-Algorithmus verwendet. Diese Umstellung wurde so spät wie möglich durchgeführt, weil aktuelle Adobe Programme Signaturen mit PSS-Padding nicht prüfen können (s. auch FAQ "Adobe").

Insbesondere bei der Validierung werden die Ablauffristen von Algorithmen berücksichtigt! Validierungen können zu einem falschen Ergebnis führen, wenn die eingesetzte Software nicht aktuell ist. Genau hier setzt die Verantwortung von Hersteller und Betreiber ein, stets aktuelle Software zur Verfügung zu stellen und einzusetzen.

Ausnahme in Sign Live! CC 7.0

Ab SLCC 7.0 weichen wir von der o.g. Regel leicht ab und erweitern in Vorausschau auf den noch nicht veröffentlichten, jedoch bereits abgestimmten  Algorithmenkatalog 2017 den Ablauftermin von PKCS#1-1.5 Padding auf den 31.12.2017 und die durch den Betrachtungszeitraum von 7 Jahren bedingten Ablauftermine auf den 31.12.2023 (s. auch BSI-Seite https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/ElektronischeSignatur/TechnischeRealisierung/Kryptoalgorithmen/kryptoalgorithmen_node.html )

Was passiert mit dem Algorithmenkatalog, durch die Umsetzung der eIDAS-VO?

Um die eIDAS-Verordnung in Deutschland umzusetzen, werden SigG/SigV Ende 2017 durch das Vertrauensdienstegesetz und die zugehörige Verordnung abgelöst. Ein Algorithmenkatalog ist z. Zt. noch nicht in der eIDAS-VO verankert. Es ist noch offen, ob bis dahin die EU-Verwaltung die notwendigen Regeln auf EU-Ebene beschließen wird oder Deutschland weiterhin am deutschen Katalog festhält, solange kein EU-Katalog existiert. Wir werden Sie zu diesem Thema weiter informieren.

(1) PKI = Public-Key-Infrastruktur. Ausführliche Informationen finden Sie unter https://de.wikipedia.org/wiki/Public-Key-Infrastruktur

 

Letzte Aktualisierung: August 2017
Erstellt: Dezember 2016

Sicher haben Sie Verständnis dafür, dass wir keine Auskunft zum beA geben können. Aktuelle Informationen finden Sie auf der Seite der Bundesrechtsanwaltskammer.

  Zur Seite der Bundesrechtsanwaltskammer


Aktualisiert:: 07.März  2018
Erstellt: September 2016

 

Die T-Systems (Telesec) hat die Unterstützung von ELSTER eingestellt. Wir können leider keine Empfehlung von Karten für ELSTER abgeben. Ob die von Ihnen eingesetzte Signaturkarte von ELSTER unterstützt wird, können Sie auf der Internetseite von ELSTER prüfen. Dort finden Sie auch weitere Informationen.

  Zu ELSTER

Stand: Oktober 2014

Bitte beachten Sie:

Sollten Sie für die in Ihrem Haus eingesetzte Software einen Wartungsvertrag mit uns abgeschlossen haben, erhalten Sie als Wartungskunde exklusiv wichtige Informationen - zum Beispiel Informationen über die Ihnen zustehenden kostenlosen Updates und Bugfixes. Diese Informationen werden über Newsletter kommuniziert. In diesem Fall sollten Sie den Newsletter nicht abbestellen.

Wir haben Ihre E-Mail-Adresse durch einen geschäftlichen Kontakt mit Ihrem Unternehmen erhalten. Jeder intarsys Newsletter enthält am Ende den Abschnitt Newsletter abbestellen. Wenn Sie zukünftig keine Newsletter von intarsys mehr erhalten möchten, nutzen Sie bitte den Link im Newsletter und bestätigen Sie diesen. Sie erhalten dann ab sofort keine Newsletter von intarsys.

Stand: Juli 2015