Frequently Asked Questions - Signieren und Validieren

Erzeugung von Signaturen, Signaturvalidierung, Validierungsprotokolle etc.

Update der Vertrauenslisten schlägt fehl.

Möchten Sie die Vertrauenslisten aktualisieren oder ist der Dienst Trusted List Update Scheduler aktiv, ist das Einspielen von Sign Live CC 7.1.6 - Hotfix Trusted List Update erforderlich. Ohne diesen Hotfix können die Vertrauenslisten nicht aktualisiert werden, da UK durch den Austritt aus der EU seine Trusted List geschlossen hat.

Dieser Hotfix steht ausschließlich für die Version 7.1.6 zur Verfügung. In der nächsten Version von Sign Live! CC wird dieser Hotfix nicht mehr erforderlich sein.

Erstellt: 29.03.2021 - 14:34
Stand: 29.03.2021 - 14:37

Mit Sign Live! CC werden elektronische Signaturen gemäß internationalem ETSI - Standard (PAdES) erstellt und können deshalb auch von anderen Anwendungen, die diesen Standard unterstützten, geprüft werden. Hierzu gehört auch der Adobe Acrobat Reader.

Trotzdem können zur Zeit Signaturen, die auf Zertifikaten deutscher Vertrauensdiensteanbieter basieren und mit Sign Live! CC erzeugt werden, nicht vom Adobe Acrobat Reader vollständig und korrekt geprüft werden. Dies hat verschiedene Ursachen, die im Verantwortungsbereich von Adobe und dem jeweiligen Vertrauensdiensteanbieter liegen:

  • Deutsche Telekom AG (Telesec) und neuer Personalausweis
    Die Signaturkarten der Telesec und der neue Personalausweis verwenden den ECDSA-Algorithmus mit brainpool-Kurven. Diese werden in der aktuellen Version des Adobe Acrobat Reader nicht unterstützt und können deshalb auch nicht geprüft werden.
     
  • DGN Deutsches Gesundheitsnetz Service GmbH
    Die von der DGN zur Verifikation erzeugte OCSP-Response wird durch ein anderes Wurzelzertifikat signiert als die verwendeten End-User-Zertifikate. Dies ist nach eIDAS VO so zulässig, jedoch nur eingeschränkt mit den ETSI-Standards vereinbar. Adobe Acrobat Reader unterstützt dieses Verfahren nicht, weshalb Sperrprüfungen hier nicht erfolgreich durchgeführt werden können.

Sollten Sie detailliertere Auskünfte zur Verifikation von Signaturen im Adobe Acrobat Reader benötigen, wenden Sie sich bitte an Adobe Systems GmbH oder Ihren Vertrauensdiensteanbieter.

 

Stand:   Oktober 2020
Erzeugt: Oktober 2017

Erstellt: 12.10.2017 - 13:53
Stand: 19.10.2020 - 10:13

In Zusammenarbeit mit der DATEV wurde das Produkt Sign Live! CC DATEV-Edition entwickelt. Wichtige Informationen finden Sie unter folgenden Links:

Informationen zum digitalen siegeln und signieren eines Prüfungsberichts sowie weitere Verlinkungen auch zum DATEV Marktplatz:
https://www.datev.de/web/de/top-themen/wirtschaftspruefer/weitere-themen/pruefungsberichte-digital-signieren/

Beitrag im DATEVmagazin, Ausgabe 12/2018 zum DATEV-Assistenten zur qualifizierten Signatur:
https://www.datev-magazin.de/2018-12/produkte-services-2018-12/so-signieren-sie-dokumente-digital/
 
Praxishinweise der WPK zum Thema Elektronische Prüfungsvermerke- und berichte:
https://www.wpk.de/mitglieder/praxishinweise/elektronische-pruefungsvermerke-und-berichte/

Im Servicevideo „Berichte qualifiziert digital signieren“ wird der komplette Signaturvorgang ausführlich beschrieben.
https://www.datev.de/web/de/service/self-service/servicevideo/berichte-qualifiziert-digital-signieren/

Neben der Signatursoftware benötigen Sie noch eine Signaturkarte und ein Kartenlesegerät. Die Signaturkarte können Sie bei der D-TRUST (Bundesdruckerei) unter https://www.bundesdruckerei.de/de/bestellen erwerben. Als Kartenlesegerät empfehlen wir REINER SCT RFID komfort.

Um einen reibungslosen Ablauf der Signatur aus der DATEV-Umgebung zu gewährleisten ist es zwingend erforderlich, dass die Sign Live! CC DATEV-Edition installiert ist. Der Zugriff auf diese Version wird individuell eingerichtet.

Den Bestellvorgang der Sign Live! CC DATEV-Edition können Sie unter https://www.intarsys.de/DATEV-Edition-erwerben auslösen.

 

 

Erstellt:         17.08.2018
Aktualisiert:   05.06.2019

Erstellt: 17.08.2018 - 11:20
Stand: 05.11.2020 - 09:59

Für die Signatur aus der DATEV-Umgebung muss zwingend die Sign Live! CC DATEV-Edition installiert sein. Ansonsten kann der ordnungsgemäße Ablauf einer Signatur aus der DATEV-Umgebung nicht gewährleistet werden. Die Sign Live! CC DATEV-Edition steht in einem geschützten Bereich auf unserer Homepage zum Download bereit. Die benötigten Zugriffsrechte werden individuell eingerichtet. Die Informationen dazu gehen Ihnen zusammen mit der erworbenen Lizenz zu.
Über die Einrichtung der Benutzerdaten werden Sie per Mail informiert. Bitte prüfen Sie gegebenenfalls auch Ihren Spam-Ordner.

Sollten Sie keinen Zugriff erhalten haben, sende Sie bitte eine entsprechende E-Mail an support@intarsys.de.

 

Erstellt:          30.04.2020
Aktualisiert:   30.04.2020

Erstellt: 30.04.2020 - 10:39
Stand: 05.11.2020 - 09:59

Allgemeines

Wer verpackte Ware in Umlauf bringt, unterliegt EU-weit der so genannten erweiterten Produktverantwortung. Das heißt, er muss Verantwortung dafür übernehmen, dass diese Verpackung die Umwelt möglichst wenig belastet. Dies kostet Geld und wurde bisher in der Verpackungsverordnung (VerpackV) geregelt. Zum 01. Januar 2019 wurde die VerpackV durch das   Verpackungsgesetz abgelöst. Zur Umsetzung des Verpackungsgesetztes wurde die Stiftung Zentrale Stelle Verpackungsregister (ZSVR) ins Leben gerufen.

Die ZSVR hat zum Ziel, eine transparente und faire Verteilung der Kosten des Entsorgungs- und Recyclingsystems der gelben Tonnen/gelben Säcke (   „Duales System“) im Markt zu etablieren. Jeder gewerbsmäßige Erstinverkehrbringer von befüllten Verkaufsverpackungen, die typischerweise beim Endverbraucher oder den sog. gleichgestellten Anfallstellen zur Entsorgung anfallen, muss seit dem 1. Januar 2019 im Verpackungsregister der ZSVR mit seinen Stammdaten und den durch ihn vertriebenen Marken registriert sein. (Quelle: Wikipedia).

Wer in Deutschland „systembeteiligungspflichtige Verpackungen“ in Umlauf bringt, muss sich bei der ZSVR im Verpackungsregister LUCID registrieren. Als technische Voraussetzung wird unter anderem das Vorhandensein einer geeigneten Signatursoftware wie Sign Live! CC aufgeführt. Weitere Informationen finden Sie auf der Seite der ZSVR   hier.

Signatur mit Sign Live! CC

LUCID

Für das Verpackungsregister müssen eingebettete Signaturen im PAdES-Format erzeugt werden. PDF-Signaturen werden in Sign Live! CC standardmäßig im geforderten Format PAdES erstellt.

So erstellen Sie eine eingebettete Signatur in Sign Live! CC:

  • Starten Sie Sign Live! CC
  • Öffnen Sie die zu signierende PDF-Datei mit Menüpunkt Datei > Öffnen
  • Der Signaturvorgang wird über Menü Werkzeuge > Signaturfunktionen > Dokument signieren gestartet.
  • Wählen Sie PDF Signatur - PDF-interne Signatur nach PDF-Spezifikation und drücken Sie [Weiter].
  • Im Fenster Signaturfeldposition wählen Sie die Option Neues Signaturfeld erstellen. Nach Drücken von [Weiter] verändert sich der Mauszeiger. Ziehen Sie nun bei gedrückter linker Maustaste auf dem PDF ein Feld an der gewünschten Position in gewünschter Größe auf.
  • Sobald Sie die linke Maustastet loslassen öffnet sich das Fenster Signaturfeld-Darstellung. Wählen Sie hier Standard [Weiter].
  • Als Signaturgerät wählen Sie SignIT smartcard CC - Signieren Sie mit Signaturkarte und Kartenleser am Arbeitsplatz [Weiter]. Bitte stecken Sie jetzt - falls noch nicht geschehen - die Signaturkarte in das Kartenlesegerät ein.
  • Im Fenster Identität wird der eingesetzte Kartenleser und das Zertifikat aus der Signaturkarte angezeigt. Je nach Eistellung können mehrere Zertifikate angezeigt werden. Wählen Sie bitte das Zertifikat mit dem Verwendungszweck: Qualifizierte Signatur [Weiter].
  • Das Fenster Attributszertifikate kann mit [Weiter] übersprungen werden.
  • Sie werden nun zur Eingabe Ihrer persönlichen PIN aufgefordert. Geben Sie die PIN auf dem Kartenlesegerät ein und bestätigen Sie Ihre Eingabe ebenfalls auf dem Kartenlkesegerät.
  • Die erfolgreiche Signatur wird in Sign Live! CC im linken Anwendungsfenster angezeigt.

Bitte beachten Sie, dass zur Erstellung einer qualifizierten Signatur Sign Live! CC lizenziert sein muss. Eine Lizenz für Windows oder Mac OS kann über unseren  Shop erworben werden.

Erstellt:         23.05.2019
Aktualisiert:  23.05.2019

Erstellt: 23.05.2019 - 11:48
Stand: 09.06.2020 - 10:15

Die Darstellung der Signatur kann individuell gestaltet werden. Das Vorgehen ist im  Tutorial „Signaturfelddarstellung gestalten“ beschrieben. 
Dabei ist unbeding darauf zu achten, dass die letze Variable im Fenster Erscheinungsbild einen Wert enthält. Eine Zeilenschaltung als letzte Variable würde zu einer Fehlermeldung (interner Kryptografischer Bibliotheksfehler) führen.

Aktualisiert: September 2020
Erstellt: März 2020

Erstellt: 19.03.2020 - 11:42
Stand: 04.09.2020 - 12:43

Für die qualifizierte elektronische Signatur benötigen Sie neben der Software zusätzlich eine Signaturkarte und ein Kartenlesegerät.
Signaturkarten erhalten Sie von Vertrauensdiensteanbietern (VDA). Die von Sign Live! CC unterstützten Signaturkarten und Kartenlesegeräte finden Sie in unserer   Leistungsbeschreibung und Systemvoraussetzungen

  • Zum intarsy-Shop Erwerben Sie hier die Signaturanwendungssoftware Sign Live! CC für verschiedene Betriebssysteme.

Aktualisiert: Oktober 2017
Erstellt: Dezember 2015

Erstellt: 29.07.2015 - 16:57
Stand: 05.02.2020 - 13:52

Dokumente werden in Sign LIve! CC im "Trusted Mode" signiert. Dies benötigt zusätzlichen Arbeitsspeicher und kann bei großen Dateien zur Fehlermeldung " ... Java heap space" führen
Zum Signieren großer Dateien muss in Sign Live! CC der "Trusted Mode" ausgeschaltet werden. Beim Öffnen der Datei wird als Dateityp "Alle Dateien (*.*)" eingestellt.

So signieren Sie große Dateien mit Sign Live! CC:

  • Über Menüpunkt "Extras > Einstellungen > Trusted Mode" das Kontrollkästchen "Dokumentintegrität sicherstellen" deaktivieren.
  • Sign Live! CC neu starten.
  • Mit Menüpunkt "Datei > öffnen" die Datei mit Sign Live! CC öffnen. Dabei bitte als Dateityp "Alle Dateien (*.*)" einstellen.
     Die Datei wird geöffnet (erkennbar daran, dass der Dateiname im Reiter angezeigt wird), aber nicht dargestellt (Meldung: Der Inhalt des Dokuments kann nicht angezeigt werden, da das Dokumentformat unbekannt ist).
  • Über Symbol oder Menüpunkt "Werkzeuge > Signaturfunktionen > Dokument signieren" den Signaturvorgang starten. Während des Signaturvorgangs kann die Datei mit einem Zeitstempel versehen werden, sofern der Zeitstempel eingerichtet ist. Es wird eine PKCS#7- Signatur erzeugt.

Stand: Januar 2015

Erstellt: 13.08.2015 - 10:10
Stand: 06.06.2017 - 15:17

Diverse Anbieter von Vertrauensdiensten (ehemals Trustcenter) bieten kostenpflichtig qualifizierte Zeitstempel mit dem höchsten Beweiswert an.

Sign Live! CC unterstützt alle gängigen Zeitstempel.

Zur Nutzung der Zeitstempel müssen Sie in Sign Live! CC zwei Aktionen durchführen:

  • Konfigurieren Sie den Zugang zum Zeitstempelanbieter
  • Konfigurieren Sie die Signatur so, dass die Zeitstempel eingebettet werden.

Der Zeitstempeldienst wird während des Signaturprozesses angeboten.

 Tutorial Zeitstempel.

Stand: Februar 2015

 

Erstellt: 29.07.2015 - 16:12
Stand: 16.11.2016 - 14:39

Wir haben das Anhängen der Extension für die Signaturdatei bei einer PKCS#7-Signatur ab Sign Live! CC Version 7.x überarbeitet.

Als Beispiel wird hier eine Datei TEST.PDF signiert.
Über Menüpunkt Extras > Einstellungen > Signaturen > Signaturerstellung > Signatur PKCS#7 sind hierbei folgende Einstellungen relevant:

  • Kontrollkästchen „Dateiendung ersetzen statt anhängen“ aktiv erstellt eine Signaturdatei mit dem Namen TEST.PDF.p7s
  • Kontrollkästchen „Dateiendung ersetzen statt anhängen“ nicht aktiv erstellt eine Signaturdatei mit dem Namen TEST.p7s

 

Stand: November 2016

Erstellt: 16.11.2016 - 14:38
Stand: 16.11.2016 - 14:41

Wenn Sie den Signaturvorgang mit Symbol "PDF mit Smartcard signieren" starten, kommt es in Sign Live! CC Version 7.0.7 zu einer Fehlermeldung.

Vorgehen:

  • Starten Sie den Signaturvorgang über Menüpunkt Werkzeuge > Signaturfunktionen > Dokument signieren oder über das entsprechende Symbol (Feder mit grünem Pfeil).

 

Erstellt: 18.12.2018
Aktualisiert: 18.12.2018

Erstellt: 18.12.2018 - 09:27
Stand: 20.12.2018 - 11:16

PDF-Dokumente können unsichtbar oder sichtbar signiert werden. Bei der sichtbaren Signatur wird meistens die Standarddarstellung verwendet, bei der verschiedene Daten aus dem Signaturzertifikat im definierten Signaturfeld angezeigt werden.
Bei der individuellen Darstellung der Signatur kann das Signaturdatum als Variable eingetragen werden. Die verfügbaren Alternativen lauten:

  • system.millis:ds         =       Kurzschreibweise
  • system.millis:dm        =       Mittlere Schreibweise
  • system.millis:df          =       Lange Schreibweise

Das Vorgehen für die individuelle Darstellung der Signatur entnemen Sie bitte dem Tutorial. Die Tutorials finden Sie unter https://www.intarsys.de/dokumente/tutorials

 

 

Aktualisiert: 18.11.2019
Erstellt: 18.11.2019

Erstellt: 18.11.2019 - 13:29
Stand: 18.11.2019 - 13:31

Trotz gültiger Unterschrift enthält das Validierungsergebnis die Information, dass keine gültige Sperrliste gefunden wurde.
Dies kann wie folgt behoben werden.

  • Schließen Sie _Sign Live! CC_
  • Kopieren Sie die Datei aus <home>/demo/vmoptions/auth tunneling  in das Verzeichnis <home>/bin. (Home = Installationsverzeichnis).
  • Starten Sie _Sign Live! CC_ neu und validieren Sie das Dokument erneut.

 

Erstellt: 21.02.2020

Erstellt: 21.02.2020 - 15:36
Stand: 21.02.2020 - 15:36

Den Zeitstempel sehen Sie in Sign Live! CC in der Seitenleiste "Signaturübersicht".

  • Dazu öffnen Sie die signierte Datei mit Sign Live! CC.
    Standardmäßig ist Sign Live! CC so eingestellt, dass jedes Dokument bereits beim Öffnen auf Signatur geprüft wird. Diese Prüfung kann einen Moment dauern.
  • Nach vollständiger Prüfung wird die Signaturübersicht im linken Teil des Fensters angezeigt.
    Sollte dies nicht der Fall ein, kann die Signaturübersicht im Menu "Ansicht -> Seitenleisten -> Signaturübersicht" eingeschaltet werden.
    Im optimalen Fall sind alle Bereiche mit grünem Haken versehen.
  • Einer der Haken ist mit "Der Zeitstempel ist qualifiziert und gültig." beschriftet.
    Außerdem steht bei "Signiert am:" noch der Zusatz "(Quelle: Zeitstempel)".

Letzte Änderung: Februar 2015

Erstellt: 29.07.2015 - 16:01
Stand: 21.12.2015 - 15:27

Um gültig zu validieren sollte in der Anwendung festgelegt sein, dass eine Sperrlistenprüfung durchgeführt wird, und - falls diese fehl schlägt - bei einer OCSP-Prüfung (Online Statusprüfung) alle Zertifikate auf Sperrung zu prüfen sind. Mit dieser Einstellung wird Sign Live! CC ausgeliefert.

  • Falls ein Dokument trotz gültiger Signatur nicht gültig validiert wird prüfen Sie die Einstellungen. Öffnen Sie hierzu den Einstellungsdialog (Menüpunkt "Extras > Einstellungen"), navigieren Sie zur Seite "Signaturen > Signaturvalidierung > Zertifikatsvalidierung" und beantworten Sie die Frage "Welche Zertifikate sollen mittels OCSP geprüft werden?" mit "Alle Zertifikate".
  • Bitte achten Sie darauf, dass die Kontrollkästchen "Sperrlistenprüfung" und "Onlinestatusprüfung" aktiviert sind.

Eine erneute Prüfung der Signatur sollte ein gültiges Ergebnis zur Folge haben.

Verschiedene Trustcenter haben die Prüfung per Sperrliste abgekündigt, zuletzt die Telesec zum 30.06.2015. Diese Trustcenter greifen aktuell auf OCSP-Responder zurück.

 

Stand: April 2016

Erstellt: 13.08.2015 - 10:37
Stand: 28.04.2016 - 14:21

Am 01.07.2017 trat die eIDAS-Verordnung in Kraft. Die TRUST-Center (Telesec, D-TRUST etc.) haben daher ihre Zertifikate angepasst. Um diese Zertifikate weiterhin erfolgreich validieren zu können ist in Sign Live! CC ein Update auf die Version 7.x erforderlich.

Stand: Mai 2018

Erstellt: 27.06.2017 - 17:22
Stand: 07.05.2018 - 09:28

Man unterscheidet verschiedene Formen der elektronischen Signatur, die alle rechtskräftig sind, aber unterschiedliche Beweiskraft haben und daher für sehr unterschiedliche Anwendungsbereiche geeignet sind.

  • Die einfache Signatur stellt keinerlei Anforderungen an die Identifizierung desjenigen, der die Daten unterschreibt. Auch gibt es keine Anforderung, wie die signierten Daten mit der Signatur verbunden sind und dadurch auch keine vorgeschriebene Möglichkeit dieses zu prüfen. So stellt der digitalisierte Schriftzug einer Unterschrift (z.B. mittels Signaturpad) genauso eine einfache Signatur dar, wie die Verwendung eines E-Mail-Footers. Einfache Signaturen können dadurch aufgewertet werden, dass zu deren Erstellung ein Zertifikat genutzt wird. Damit kann die Integrität der Daten geprüft werden. Wird hierzu ein qualifiziertes Siegel verwendet, gilt die Beweiswürdigung gemäß eIDAS Art. 35 (2).
  • Die fortgeschrittene Signatur wird mit Mitteln erzeugt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann. Die Anforderungen an die Identifizierung und Speicherung des verwendeten Schlüssels sind öffentlich im Certification Practice Statement (CPS) hinterlegt. Im CPS sind alle wichtigen Informationen über die Certificate Authority (CA), dessen Richtlinien und Verfahren zusammengefasst (hier muss der Punkt weg) hinterlegt. Daraus folgt eine eindeutige Zuordnung des Inhabers. Über die Signatur mit einem solchen Zertifikat lässt sich darüber hinaus die Integrität des Dokuments sicherstellen.
  • Bei der qualifizierten elektronischen Signatur lässt sich der Inhaber der Signatur eindeutig und sicher zuordnen, da die Identifizierung z.B. über PostIdent, VideoIdent oder die Online Ausweisfunktion (eID) stattfindet. Es wird ein qualifiziertes Zertifikat verwendet, welches von einem gemäß eIDAS bestätigten Vertrauensdiensteanbieter ausgestellt wurde. Nur diese Art der Signatur erfüllt die Schriftform gemäß  BGB §126a und ist nach  ZPO §371a beweiswürdigend.

Erstellt: Januar 2021

Erstellt: 29.10.2018 - 12:29
Stand: 08.02.2021 - 22:22

 

Was bedeutet "Sign Live! CC implementiert den jeweils gültigen Algorithmenkatalog"?

Ein Algorithmenkatalog definiert, welche kryptografischen Algorithmen aktuell und für einen Zeitraum in der Zukunft als sicher betrachtet werden. Damit legt er maßgeblich das Sicherheitsniveau einer PKI(1) fest.
Bis zum 30.06.2017 haben das Signaturgesetz und die Signaturverordnung (SigG/SigV) für qualifizierte elektronische Signaturen eine PKI definiert und forderten dazu einen Algorithmenkatalog, der ständig aktualisiert wurde. Seit dem 01.07.2017 wird dies europaweit in der eIDAS-Verordnung geregelt. Weitere Informationen zu eIDAS finden Sie zum Beispiel beim Bundesamt für Sicherheit in der Informatik (BSI).

Das BSI erstellt den Alogorthmen-Katalog und legt dabei jeweils eine Vorausschau von 7 Jahren zu Grunde. D. h. die betrachteten Algorithmen sind heute und mit aller Wahrscheinlichkeit mindestens die nächsten 7 Jahre noch als sicher zu betrachten. Sehr oft werden diese Zeiträume jahresweise verlängert. Wenn zu erwarten ist, dass ein Algorithmus unsicher wird, haben die Nutzer außer in Ausnahmefällen also eine Vorwarnzeit von 7 Jahren. Dass bekannt gewordene Angriffe das Sicherheitsniveau von Kryptoalgorithmen so plötzlich gefährden, dass ein Gültigkeitszeitraum verkürzt werden musste, ist seit der Existenz des SigG-Algorithmen-Katatalogs nicht vorgekommen.

Sign Live! CC implementiert die Vorgaben des jeweils zum Veröffentlichungszeitpunkt der Software gültigen Algorithmenkatalogs. Welcher dies ist, entnehmen Sie der zugehörigen Herstellererklärung. Z. B. wurden in SLCC 6.x RSA-Signaturen noch mit dem Padding-Algorithmus PKCS#1-v1.5 erstellt. Erst ab Version 7.x wird der sicherere PSS-Padding-Algorithmus verwendet. Diese Umstellung wurde so spät wie möglich durchgeführt, weil aktuelle Adobe Programme Signaturen mit PSS-Padding nicht prüfen können (s. auch FAQ "Adobe").

Insbesondere bei der Validierung werden die Ablauffristen von Algorithmen berücksichtigt! Validierungen können zu einem falschen Ergebnis führen, wenn die eingesetzte Software nicht aktuell ist. Genau hier setzt die Verantwortung von Hersteller und Betreiber ein, stets aktuelle Software zur Verfügung zu stellen und einzusetzen.

Ausnahme in Sign Live! CC 7.0

Ab SLCC 7.0 weichen wir von der o.g. Regel leicht ab und erweitern in Vorausschau auf den noch nicht veröffentlichten, jedoch bereits abgestimmten  Algorithmenkatalog 2017 den Ablauftermin von PKCS#1-1.5 Padding auf den 31.12.2017 und die durch den Betrachtungszeitraum von 7 Jahren bedingten Ablauftermine auf den 31.12.2023 (s. auch BSI-Seite https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/ElektronischeSignatur/TechnischeRealisierung/Kryptoalgorithmen/kryptoalgorithmen_node.html )

Was passiert mit dem Algorithmenkatalog, durch die Umsetzung der eIDAS-VO?

Um die eIDAS-Verordnung in Deutschland umzusetzen, werden SigG/SigV Ende 2017 durch das Vertrauensdienstegesetz und die zugehörige Verordnung abgelöst. Ein Algorithmenkatalog ist z. Zt. noch nicht in der eIDAS-VO verankert. Es ist noch offen, ob bis dahin die EU-Verwaltung die notwendigen Regeln auf EU-Ebene beschließen wird oder Deutschland weiterhin am deutschen Katalog festhält, solange kein EU-Katalog existiert. Wir werden Sie zu diesem Thema weiter informieren.

(1) PKI = Public-Key-Infrastruktur. Ausführliche Informationen finden Sie unter https://de.wikipedia.org/wiki/Public-Key-Infrastruktur

 

Letzte Aktualisierung: August 2017
Erstellt: Dezember 2016

Erstellt: 29.12.2016 - 11:44
Stand: 08.02.2021 - 22:21

Ob eine Signatur valide, also gültig ist, sollte auch nach vielen Jahren prüfbar sein. Um eine Signatur wieder prüfen zu können, müssen mehrere Informationen vorliegen:

  • War das verwendete Endbenutzer-Zertifikat zum Zeitpunkt seiner Verwendung gültig?
  • War die ausstellende CA (Certificate Authority ) dieses Zertifikates zum Zeitpunkt der Erstellung des Endbenutzerzertifikates vertrauenswürdig und das Wurzelzertifikat gültig?
  • Welche Qualitätsstufe hatte das verwendete Zertifikat? Einfach, fortgeschritten oder qualifiziert?

Um diese Fragen vertrauenswürdig beantworten zu können, führt eine Validierungsanwendung wie Sign Live!  mehrere Prüfungen durch. Ein wichtiger Aspekt dieser Prüfung sind dabei Sperrprüfungen mittels OCSP (Online Certificate Status Protocol) d.h. Abfragen bei dem Vertrauensdiensteanbieter (VDA), der das verwendete Endbenutzerzertifikat ausgegeben hat. Damit diese OCSP-Abfragen durchgeführt werden können, muss dieser Dienst vom VDA online (Verzeichnisdienst) zur Verfügung gestellt werden. Die Antworten des VDA sind wiederum von diesem signiert, damit die Vertrauenswürdigkeit geprüft und somit sichergestellt werden kann. Dies erfolgt dann wiederum unter Einbeziehung von OCSP-Abfragen. Wie dies in vollem Umfang zu erfolgen hat, ist durch internationale Standards (ETSI) geregelt. Am Ende dieser Abfragen kann dann die Validierungsanwendung einen vertrauenswürdigen Status des verwendeten Endbenutzer-Zertifikates liefern.

Was ist aber, wenn der notwendige Verzeichnisdienst zeitweise oder dauerhaft nicht zur Verfügung steht? Eine zeitweise Störung kann vorliegen, wenn der benötigte Verzeichnisdienst einfach nicht online erreichbar ist. Oder was, wenn dieser durch Einstellung des VDA abgeschaltet wurde? Auch die zentrale Löschung von Informationen nach Ablauf von Aufbewahrungsfristen stellt einen Einschnitt dar. Das verwendete Endbenutzerzertifikat kann in solchen Fällen nicht geprüft werden und damit führt auch die komplette Signaturprüfung zu keinem eindeutigen Ergebnis.

Anders bei LTV-Signaturen. Bei dieser Art der Signatur werden alle benötigten Informationen, wieder nach internationalen Standards (ETSI), in die Signatur eingebettet. Im Falle von PDF-Dokumenten und -signaturen ist dies zum Beispiel durch den PAdES-Standard (ETSI EN 319 142) im Kontext des PAdES-B-LT-Profils technisch geregelt.

Die Einbettung der notwendigen Informationen kann sowohl bei der Signaturerstellung als auch später bei einer Validierung erfolgen. Dass dies bei der Signaturerstellung erfolgt, ist jedoch selten, da zu der benötigten Zeit zur Signaturerstellung auch noch die für die Prüfung kommt. So bietet sich die Anreicherung zur LTV-Signatur bei der Validierung vor der Archivierung geradezu an. Ab diesem Zeitpunkt wird die Signatur immer offline geprüft und erfolgt ohne Zugriff auf den Verzeichnisdienst. Eine Prüfung wird also von der Erreichbarkeit dieses Dienstes, egal aus welchem Grunde er nicht zur Verfügung steht, unabhängig.

Leistet die LTV-Signatur noch mehr?

Wie die Gültigkeit von Zertifikaten geprüft wird, erfolgt nach unterschiedlichen Modellen (Ketten-, Schalen- oder modifiziertes Schalenmodell). Diese verschiedenen Modelle sind für die unterschiedlichen Verwendungen von Zertifikaten auch durchaus sinnvoll. Die Gültigkeit eines SSL-Zertifikates sollte im Browser anders geprüft werden als ein Zertifikat, welches für die Signatur von Dokumenten verwendet wurde, die über Jahrzehnte hinaus prüfbar sein müssen.

Nehmen wir einmal den Adobe Reader als Beispiel. Adobe Reader wird eine Signatur nach Ablauf des verwendeten Endbenutzerzertifikates nicht mehr als vertrauenswürdig einstufen, auch wenn die Signatur noch während des Gültigkeitszeitraumes erfolgt ist.

Dieses Verhalten kann durch die LTV-Signatur vermieden werden, wenn die LTV-Signatur vor dem Ablaufdatum erfolgt. Mit der rechtzeitigen LTV-Signatur bleibt der Haken des Adobe Reader grün und die Signatur wird weiterhin positiv geprüft - und das dauerhaft. Dies ist ein wichtiger Schritt auf dem Weg zu mehr Akzeptanz der Signatur durch ihre Anwender.

Wie wird eine LTV-Signatur mit Sign Live! CC erzeugt?

  Die Antwort finden Sie in unserem Tutorial


Stand: Februar 2020

Erstellt: 10.08.2016 - 13:04
Stand: 23.01.2021 - 10:55

FAQ Suche