Frequently Asked Questions - Signaturkarten und nPA (neuer Personalausweis)

Beschaffung, Einsatz, Nutzung Besonderheiten etc.

Vor dem Einsatz einer Telesec-Signaturkarte muss diese initialisiert werden. Dabei vergeben Sie individuelle PINs. Außerdem muss der Empfang der Signaturkarte bestätigt werden. Dies kann online geschehen.
Zur einfachen Erledigung diese Aufgaben stellt die Telesec die Sign Live! Toolbox kostenlos zur Verfügung. Eine Anleitung zur Sign Live! Toolbox finden Sie hier.

Stand: Februar 2016

 

Bei der Beantragung eine Signaturkarte können Attribute mit beantragt werden. Dabei wird zwischen „Attribut im Hauptzertifikat“ und „qualifiziertem Attributszertifikat“ unterschieden.

Unterschied bei der Nutzung:

  • Das „Attribut im Hauptzertifikat“ ist fester, unabänderlicher Bestandteil des Hauptzertifikats und wird bei jeder Signatur eingefügt.
  • Das „qualifizierte Attribut-Zertifikat“ ist ein eigenes Zertifikat, mit fester Referenz zum Hauptzertifikat. Sie können bei jedem Signiervorgang entscheiden, ob Sie das Attributszertifikat anhängen oder nicht.

Beantragung:
Ein „Attribut im Hauptzertifikat“ kann nur zusammen mit dem Hauptzertifikat beantragt werden. Eine nachträgliche Eintragung ist nicht möglich.
Ein „qualifiziertes Attributszertifikat“ kann auch nachträglich beantragt und in die Sign Live! CC- Zertifiaktsverwaltung eingebunden werden. Eine genaue Anleitung finden Sie in unseren   Tutorials.

Stand: September 2015

Diese Überprüfung ist auf Grund von Anforderungen der Browser Hersteller (Microsoft, Mozilla) erforderlich. Damit wird sichergestellt, dass nur Sie als Eigentümer Ihrer E-Mail-Adresse eine Signaturkarte bekommen können, die diese E-Mail-Adresse enthält.

Diese Überprüfung erfolgt dadurch, dass Ihnen eine E-Mail an die angegebene Adresse zur Aufnahme ins Zertifikat bei Kartenantrag zugeht. Diese E-Mail enthält eine achtstellige Prüfnummer, die Sie handschriftlich auf Ihren PKS-Auftrag übernehmen müssen.

Hinweis:
Sollte Ihr Auftrag ohne diese Prüfnummer eingehen, wird eine Signaturkarte ohne E-Mail-Adresse produziert. Ein nachträgliches Eintragen der E-Mail-Adresse auf einer Signaturkarte ist nicht möglich.
Wenn Sie nachträglich die Eintragung Ihrer E-Mail-Adresse benötigen, so geht dies nur über die Beauftragung einer kostenpflichtigen Ersatzkarte gemäß aktueller Preisliste des TrustCenters.

Stand: Januar 2014

Damit Sie die Signaturkarte nutzen können, müssen Sie verschiedene PINs auf der Karte initialisieren. Dazu können Sie die kostenlose Sign Live! Toolbox benutzen, die auf der Seite der Telesec zum Download bereit steht. Bitte gehen Sie alle Schritte durch. Damit werden alle PINs initialisiert und zum Schluss wird die Empfangsbestätigung automatisch an die Telesec übermittelt.

Die T-Systems schaltet nach Eingang der Empfangsbestätigung Ihre Signaturkarte frei und sendet eine entsprechende Mail an die im Antrag angegebene E-Mail-Adresse.

  Download Toolbox für WINDOWS

  Download Toolbox für Mac OS X

Stand: August 2015

Auf einer TeleSec-Signaturkarte befinden sich 4 PINs, die Sie alle individuell vergeben. Bitte notieren Sie sich alle vergebenen PINs und bewahren Sie diese Information an einem sicheren Ort auf.

SigG PIN 1 (für qualifizierte Signatur) - mit dieser PIN führen Sie die qualifizierte Signatur aus.

Globale PIN 1 (für Verschlüsselung und Authentisierung) - mit dieser PIN verschlüsseln Sie Dokumente oder melden sich an einem Portal an.

SigG PIN 2 und Globale PIN 2 benötigen Sie, wenn Sie die jeweilige PIN 1 durch mehrmalige Falscheingabe gesperrt haben. Dies ist mit einer PUK vergleichbar, mit dem Unterschied, dass Sie die PIN2 ebenfalls selbst vergeben.

Wie kommt es nun, dass sich die PIN 2 nicht initialisieren läßt mit dem Hinweis „Der Kartenleser … wird nicht unterstützt“?

Die Sicherheit von Kartenlesern wird in Klassen eingeteilt. Der von Ihnen eingesetzte Kartenleser hat wahrscheinlich maximal die Sicherheitsklasse II und unterstützt in Kombination mit der eingesetzten Signaturkarte keine sichere PIN-Eingabe.

Lösung:
Bitte deaktivieren Sie in Sign Live! CC über Menüpunkt EXTRAS-Einstellungen die sichere PIN -Eingabe.
Wir empfehlen dringend den Einsatz eines vom BSI (Bundesamt für Sicherheit in der Informatik) zertifizierten Kartenleser. Die von uns getesteten Kartenleser entnehmen Sie unserem Datenblatt.

Stand: Juli 2015

Bei einer TeleSec-Karte vergeben Sie bei der Initialisierung (Freischaltung) der Karte eine SigG-PIN2 und eine Globale-PIN2. Diese haben die Funktion einer PUK.
Um die durch mehrfache Falscheingabe gesperrte PIN wieder herzustellen starten Sie Sign Live! CC und wählen Sie den Menüpunkt „Werkzeuge > Smartcard-Werkzeuge > PIN zurücksetzen“. Folgen Sie den Anweisungen in den Dialogen.

Stand: Januar 2015

Nutzt man die Telesec-Signaturkarte und ein kontaktloses Lesegerät (zum Beispiel REINER SCT cyberJack RFID komfort), können Fehler auftreten, wenn die Signaturkarte im kontaktlosen (hinteren) Slot steckt. Über kontaktlose Verbindungen ist die TeleSec-Karte zwar eingeschränkt arbeitsfähig, jedoch können die SigG-PINs 1 und 2 nicht genutzt werden.

In diesem Fall bitte den vorderen Slot nutzen.

 

Stand: Dezember 2016

Wenn Sie eine TeleSec-Signaturkarte erworben haben befinden sich darauf vier Zertifikate. Um die Signaturkarte nutzen zu können müssen alle vier Zertifikate initialisiert - das heißt mit eigenen PINs versehen - werden. Dazu nutzen Sie am Besten die Sign Live! Toolbox, die Sie sich von der Seite der Telesec   hier kostenlos herunter laden können. Eine Anleitung zur Nutzung der Toolbox haben Sie zusammen mit Ihrer Signaturkarte erhalten. Zusätzlich können Sie diese als   Tutorial nachlesen.

Für die Initialisierung der Zertifikate ist eine minimale PIN-Länge von 6, beziehungsweise 8 Zeichen erforderlich. Dies wird im Menü während der PIN-Vergabe angezeigt. In Ausnahmefällen, zum Beispiel wenn Sie einen Kartenleser der Klasse II im Einsatz haben, ist auch die Eingabe einer kürzeren PIN möglich.

Eine PIN kürzer als 6 Zeichen führt beim Erstellen einer Signatur zu Fehlermeldung. Bitte beachten Sie daher bei der Initialisierung die Anweisungen bezüglich der PIN-Länge auf dem Bildschirm.

 

Stand: November 2016

 

 

 

Stapelsignaturen sind mit der D-TRUST mulitcard 3.0 nur mit dem qualifizierten Zertifikat möglich. Bei Signaturen mit dem fortgeschrittenen Zertifikat ist für jede Signatur eine PIN-Eingabe erforderlich.

Ab D-TRUST multicard 3.1 ist eine Stapelsignatuir mit dem qualifizierten und dem fortgeschrittenen Zertifikat möglich.

 

Stand: Mai 2017

 

Grundsätzlich können Sie mit Sign Live! CC ab Version 6.2.x die Initialisierung der eID-PIN Ihres neuen Personalausweises (nPA) vornehmen.
Voraussetzung ist, dass Sie das Kartenlesegerät REINER SCT RFID komfort im Einsatz haben.

Doch Vorsicht ist geboten:

  • Abhängig von der Firmware des Kartenlesegeräts kann es zu Fehlfunktionen kommen. So kann die eID-PIN unbrauchbar werden, da sie in einen undefinierten Zustand gesetzt wird.
    Da wir auf die eingesetzte Hardware und die Treiberhardware keinen Einfluss haben, weisen wir ausdrücklich darauf hin, dass wir keinerlei Garantien übernehmen.
  • Sie sollten daher immer die aktuellste Firmware des Kartenlesegerätes einsetzen.
    Bitte beachten Sie: Es ist die Firmware auf dem Lesegerät gemeint. Nicht der Gerätetreiber auf Ihrem PC.
  • Die Firma REINER SCT stellt einen Gerätemanager (Software) zur Verfügung, mit dem Sie die Firmware Ihres Kartenlesers prüfen und bei Bedarf updaten können.
    Bitte beachten Sie, dass dies nur im Admin-Modus möglich ist.

Was ist zu tun, wenn die Signatur-PIN bereits versehentlich zerstört wurde?

  • Grundsätzlich kann die eID-PIN auf einem Amt mit einem zugelassenen Kartenterminal wieder kostenpflichtig zurückgesetzt werden.
    Auch wenn jedes Amt - welches eine nPA ausgibt - zur Erbringung dieser Leistung verpflichtet ist, sind nach unserem Kenntnisstand verschiedene Mitarbeiter darüber (noch) nicht informiert.
  • Gerne dürfen Sie Kontakt mit uns aufnehmen.

Stand: 30.10.2014

Durch die kontaktlose Schnittstelle des neuen Personalausweises nPA und die erhöhten Sicherheitsanforderungen (Kartenzugangsnummer und Signatur-PIN) ist der Ablauf der Signatur mit dem nPA nicht ganz so intuitiv, wie man es sich wünschen würde.

Bei der Signatur mit dem nPA müss öfter zwischen einer Eingabe am Rechner und der Eingabe am Kartenlesegerät gewechselt werden. Eine detailierte Anleitung zur Signatur mit dem nPA finden Sie hier.

Für die Signatur mit dem nPA müssen folgende Voraussetzungen erfüllt sein:

  • Auf Ihrem nPA ist das Signaturzertifikat hinterlegt
  • Sie haben sich das Zertifikat mit der Software „signMe“ auf Ihren nPA geladen
  • Sie haben eine persönliche Signatur-PIN vergeben
  • Sie haben als Kartenlesegerät einen REINER SCT cyberJack RFID komfort im Einsatz

Mögliche Fehlermeldungen und die Abhilfe

  • Mac OS X: „Karte wird nicht gefunden“. In diesem Fall Karte ziehen und den Slot wechseln.
  • Mac OS X: „Karte wird für diese Funktion nicht unterstützt“. In diesem Fall Karte ziehen und neu einstecken, eventuell den Slot wechseln.

Stand: Oktober 2015

Die S-Trust Smartcard kann seit dem letzten firmware-update von REINER SCT auf das Secoder 2.2-Modul nur noch für die sichere PIN-Eingabe verwendet werden. Die Eingabe der PIN über die PC-Tastatur wird nicht mehr unterstützt.

Die Firmwareaktualisierung kann nicht mehr rückgängig gemacht werden.

Bevor per firmware-update das Secoder-2-Modul aktiviert wird, wird folgender Hinweis angezeigt:
„Bitte beachten Sie vor der Aktualisierung Ihres Chipkartenlesers folgende Neuerungen:
Die neue Firmware beinhaltet ein zertifiziertes Secoder 2.2-Funktionsmodul nach dem aktuellsten Sicherheitsstandard der deutschen Kreditwirtschaft (ehemals ZKA). Dieses Funktionsmodul ist vergleichbar mit einer Firewall für Ihren Chipkartenleser und Chipkarte. Diese Firewall lässt für Signatur- und Bankkarten die von kreditwirtschaftlichen Instituten ausgegeben werden die Eingabe der Karten-PIN nur an der Tastatur des Chipkartenlesers zu. Folgende, eventuell bisher genutzte Funktionen sind zum Schutz vor Hackernangriffen nach der Firmwareaktualisierung deshalb nicht mehr nutzbar:
Eingabe der Karten-PIN an der Tastatur Ihres Computers
Speicherung der Karten-PIN in der Software-Anwendung
Akustische Rückmeldung der Tastenbetätigung bei der PIN-Eingabe am Chipkartenleser via Soundkarte oder PC-Lautsprecher
MKT-Modul (nur für Sonderanwendungen)

Die Firmwareaktualisierung kann nicht mehr rückgängig gemacht werden.
Sollten Sie eine der oben genannten sicherheitskritischen Funktionen nutzen, dann empfehlen wir Ihnen, vor einer Aktualisierung des Chipkartenlesers zu klären, wie Sie zum Beispiel in Ihrer Software-Anwendung die PIN-Eingabe direkt am Chipkartenleser ermöglichen können. Um den Aktualisierungsvorgang jetzt NICHT durchzuführen, klicken Sie bitte auf „Abbrechen“.
Sie sollten stets die sichere PIN-Eingabe an der Tastatur des Chipkartenlesers nutzen, sofern Ihre Anwendung diese Funktion unterstützt. Machen Sie Ihren Chipkartenleser mittels dieser Firmware-Aktualisierung noch sicherer, indem Sie nun auf „Akzeptieren“ klicken.“

Weitere Informationen erhalten Sie über die Homepage der Firma REINER SCT:     Zur Homepage von REINER SCT

Aktualisiert: Mai 2015

Im Lieferumfang von Sign Live! CC sind sehr viele Zertifikate enthalten. Dieser werden in Gruppen dargestellt. Der Übersichtlichkeit halber ist es sinnvoll, sich eine eigene Gruppe zu erstellen, in der man die eigenen Zertifikate ablegt.
Um ein Zertifikat z. B. von einer Signaturkarte Dritten zur Verfügung zu stellen, speichern Sie das Zertifikat in diese neue Gruppe und exportieren es.

So exportieren Sie ein Zertifikate von Ihrer Signaturkarte mit Hilfe von Sign Live! CC.

  • Starten Sie Sign Live! CC und dort EXTRAS–>Zertifikate–>Zertifikatsverwaltung.
    Die Symbole für die Bearbeitung werden links oben angezeigt.
  • Klicken Sie auf das erste Symbol um eine neue Gruppe zu erstellen.
    (Sollte das Symbol nicht aktiv sein, klicken Sie im Fenster „Filter“ auf einen weißen Bereich).
  • Geben Sie der neuen Gruppe einen Namen (im Fenster links), z. B. „Meine Zertifikate“ und bestätigen Sie mit „Schließen“.
  • Wählen Sie nochmals Menüpunkt EXTRAS–>Zertifikate–>Zertifikatsverwaltung.
    Markieren Sie nun die neue Gruppe „Meine Zertifikate“.
    (Gewährleisten Sie, dass das Kartenlesegerät an Ihrem PC angeschlossen ist und die Karte steckt.)
  • Klicken Sie auf das Symbol „Eintrag hinzufügen“.
    Wählen Sie die Aktion „Zertifikat von einer SmartCard importieren“ und „Weiter“.
    Die Verbindung zur Karte wird aufgebaut und alle Zertifikate auf der Karte werden angezeigt.
  • Wählen Sie das gewünschte Zertifikat aus und „Weiter“.
    (Möchte der Empfänger das Zertifikat z. B. in Adobe Reader einfügen um dort künftig Ihre Signatur zu prüfen, ist das Zertifikat „qualifizierte Signatur“ zu wählen.)
  • Im nächsten Fenster haben Sie die Gelegenheit das Zertifikat zu benennen oder Standardbezeichner zu übernehmen.
  • Bitte markieren Sie im nächsten Fenster das Zertifikat als „vertrauenswürdig“.
  • Nach „Fertigstellen“ wird das ausgewählte Zertifikat in die Gruppe eingetragen.
  • Nun können Sie mit dem Symbol für „Eintrag exportieren“ das Zertifikat in ein beliebiges Verzeichnis speichern.

Das exportiere Zertifikat können Sie z. B. per E-Mail einer dritten Person zur Verfügung stellen. Der Empänger muss das Zertifikat in seine Software importieren.

Wie Sie ein Zertifikat in Sign Live! CC importieren wird in der FAQ „Zertifikate importieren“ beschrieben.

Nachtrag:
Über das Kontextmenü (rechte Maustaste) stehen Ihnen sämtliche benötigten Funktionen zur Verfügung.
 

Stand: Juli 2015

So importieren Sie ein Zertifikat in Sign Live! CC:

  • Starten Sie Sign Live! CC und wählen Sie
    Menüpunkt Extras >Zertifkate >Zertifikatsverwaltung.
  • Markieren Sie die Gruppe in der das neue Zertifikat aufgenommen werden soll und wählen Sie (links oben) das zweite Symbol um den Eintrag hinzuzufügen.
  • Markieren Sie im nächsten Fenster die gewünschte Aktion und drücken Sie „Weiter“.
  • Folgen Sie den weiteren Anweisungen.

Stand: Januar 2014

Wenn Sie die PIN mehrmals falsch eingegeben haben wird die Signaturkarte gesperrt. Ob Sie die Sperre wieder aufheben können, ist abängig von der eingesetzten Signaturkarte.

Manche Karten sind nach mehrfacher falscher PIN Eingabe für immer gesperrt. In diesem Fall müssen Sie eine neue (Ersatz-) Signaturkarte beantragen, da sich die Sperrung nicht aufheben lässt. Bei Karten, für die Sie von TrustCenter zusätzlich eine PUK bekommen haben, können Sie durch die Eingabe der PUK die PIN-Eingabe wieder freischalten.

Wenn Sie mit einer TeleSec-Signaturkarte arbeiten, vergeben Sie bei der Initialisierung eine SigG-PIN2 und eine Globale-PIN2. Diese haben die Funktion einer PUK. Um die durch mehrfache Falscheingabe gesperrte PIN wieder herzustellen, starten Sie Sign Live! CC und wählen Sie den Menüpunkt „Werkzeuge > Smartcard-Werkzeuge > PIN zurücksetzen“. Folgen Sie den Angaben in den Dialogen.

Aktualisiert: Januar 2015

 


 

Die meisten Signaturkarten werden mit einer Transport-PIN ausgeliefert. Diese Transport-PIN können Sie mit Sign Live! CC in Ihre persönliche PIN ändern. Je nach Signaturkarte können dies auch mehrere Transport-PINs sein, die dann alle nacheinander geändert werden müssen.

Starten Sie dazu Sign Live! CC und wählen Sie bitte den Menüpunkt „Werkzeuge > Smartcard-Werkzeuge > PIN Management“. Folgen Sie den Anweisungen in den Dialogen.

Stand: Juli 2015

Der PIN-Änderungsmechanismus von Sign Live! CC lässt standardmäßig nur die Eingabe von Zahlen zu. Die Zertifikate aller deutschen Trust-Center sind so geartet, dass die persönliche PIN - zur Erstellung einer qualifizierten elektronischen Signatur nach dem deutschen Signaturgesetz (SigG) - aus Zahlen bestehen muss. Die vom BSI (Bundesamt für Sicherheit in der Informatik) zertifizierten Kartenlesegeräte sind ebenfalls auf die Eingabe von Zahlen ausgelegt.

Signaturkarten aus der Schweiz lassen im Gegensatz zu deutschen Signaturkarten eine alphanumerische PIN zu. Da diese PINs nicht zur Erstellung von qualifizierten Signaturen nach SigG geeignet sind, wird der Einsatz von alphanumerischen PINs von Sign Live! CC nicht angeboten. Möchten Sie dennoch Sign Live! CC zur Initialisierung (Erstellung individueller PINs) von Schweizer Signaturkarten nutzen, gehen Sie bitte wie folgt vor:

  1. Schalten Sie die sichere PIN-Eingabe aus. (Menü „Extras > Einstellungen > Signaturen > Signaturgeräte > signIT smartcard“).
  2. Starten Sie Sign Live! CC und wählen Sie den Menüpunkt „Werkzeuge > Smartcard-Werkzeuge > PIN-Management“.
  3. Markieren Sie das gewünschte Zertifikat und klicken Sie auf „Initialisieren“.
  4. Nachdem Sie die Anweisungen im nächsten FGenster gelesen haben klicken Sie auf „Fertigstellen“.
  5. Im nächsten Fenster klicken Sie auf den Schalter „Eingabe über Tastatur“.
  6. Öffnen Sie einen beliebigen Texteditor und geben Sie die gewünschte PIN ein.
  7. Markieren Sie die eingegebene PIN und kopieren Sie sie mit der Tastenkombination STRG+C.
  8. Wechseln Sie zu Sign Live! CC und fügen Sie die neue PIN mit der Tastenkombination STRG+V in das Feld „neue PIN“ und „neue PIN wiederholen“ ein.
  9. Bestätigen Sie Ihre Eingabe mit Klick auf die Schaltfläche „Fertigstellen“.

Beachten Sie bitte:

  • Dass dies nur für Signaturkarten aus der Schweiz gilt, da deutsche Signaturkarten nur Zahlen zulassen.
  • Bevor Sie alphanumerische PINs nutzen sollten Sie bedenken, dass die Erstellung qualifizierter Signaturen nach deutschem SigG mit alphanumerischen PINs nicht möglich ist.

Stand: Januar 2015

Welche Signaturkarten unterstützen nicht das PSS-Padding und können daher nicht mit Sign Live! CC Version 7 verwendet werden?

Nach unserem Kenntnisstand unterstützen folgende Signaturkarten von deutschen Trustcentern kein PSS-Padding:

  • Bestimmte Signaturkarten der D-Trust (dtrust.v2)

Da intarsys nicht der Herausgeber dieser Karten ist, können wir für diese Information keine Gewähr übernehmen.

Bitte Fragen Sie daher im Zweifel bei dem Anbieter nach, über den Sie Ihre Signaturkarte bezogen haben.