Seit dem 1.1.2016 gibt Sign Live! CC beim Validieren von Signaturen, die mit ECC-Signaturkarten erstellt wurden, eine Warnung aus. Diese besagt, dass die vorliegende Signatur mit einem Algorithmus mit ungenügender Schlüssellänge erstellt sei. Die gleiche Warnung erscheint beim Erstellen der Signatur.

Diese Warnung ist falsch. Trotz dieser Warnung sind die erstellten Signaturen korrekt.

Ein Hotfix zur Korrektur dieses Verhaltens wurde umgehend erstellt und steht für Sie hier zur Verfügung. den Download finden Sie hier.

Bitte ersetzen Sie die Datei "issecmodelbasic.jar" im Unterverzeichnis "lib" des Installationsverzeichnisses von Sign Live! CC Telekom Edition durch die in der zip-Datei enthaltene Datei.

 

Die Bereitstellung von Sperrlisten zu qualifizierten Zertifikaten wurde am 02.07.2015 eingestellt.

Das Trust Center wurden schon vor Jahren durch die Aufsichtsbehörde für die qualifizierte Signatur -der Bundesnetzagentur- gebeten, die Veröffentlichung der CRL einzustellen.

Hintergrund ist einfach der, dass eine korrekte Prüfung lediglich aufgrund einer Sperrliste nicht ausreichend sei, um die Anforderungen des Signaturgesetzes zu erfüllen. Da die Existenz des Zertifikats im Verzeichnisdienst nachgewiesen werden muss, ist eine OCSP-Abfrage bzgl. dieses Zertifikats durch die Signaturanwendungskomponente zwingend erforderlich. Die OCSP Antwort fungiert als Nachweis über den aktuellen Status des Zertifikats.

Wir haben dann, nachdem auch die Bundesnetzagentur die Veröffentlichung ihrer CRL eingestellt hat und keine negativen Erfahrungen bei den Kunden und Softwareherstellern bekannt wurden, uns auch entschlossen dieser Aufforderung nachzukommen.

Bitte nutzen Sie zur Prüfung der Gültigkeit qualifizierter Zertifikate die Online-Prüfung mit OCSPDas Online Certificate Status Protocol (OCSP) ist ein Netzwerkprotokoll, das es Clients ermöglicht, den Status von X.509-Zertifikaten bei einem Validierungsdienst abzufragen. Benötigt wird dies bei der Prüfung digitaler Signaturen um zu überprüfen, ob die Zertifikate, die zur Prüfung der Signatur verwendet werden, gesperrt und damit bereits vor Ende ihres regulären Gültigkeitszeitraums ungültig wurden. in Ihrer Signatursoftware.

Diese Zertifikate haben unterschiedliche Einsatzzwecke.

Wenn von Ihrer Anwendung eine qualifizierte Signatur gefordert wird und Sie das falsche Zertifikat zur Signaturerstellung verwenden, so wird diese Signatur von der Gegenseite abgelehnt.

Ein qualifiziertes Signaturzertifikat erkennen Sie am einfachsten an seinem Aussteller. Alle qualifizierten Signaturzertifikate, die von der Deutschen Telekom AG ausgestellt wurden, verwenden einen Aussteller dessen Name mit TeleSec PKS SigG CA ... beginnt. Danach folgt eine Nummer.

Achten Sie hier unbedingt auf SigG im Namen des Ausstellers.

Auch in neu heruntergeladener und installierter OpenLIMIT Software sind nicht alle Updates enthalten. Bitte überprüfen Sie nach der Installation der Software unbedingt ob Updates verfügbar sind und installieren Sie diese. Nur so ist sichergestellt das Ihre Signaturkarte auch funktioniert. Um das Update auszuführen verwenden Sie die Funktion Update-Check, die im Startmenü in der Gruppe OPENLiMiT enthalten ist.

OPENLiMiT Update Check

Für die Nutzung des EGVP werden zwei verschiedene Zertifikate benötigt. Zum einen wird ein qualifiziertes Signaturzertifikat für das Signieren von Nachrichten verwendet. Mit diesem Erfordernis wird den Anforderungen aus den Verfahrensverordnungen (insbesondere Schriftformerforderniss) Rechnung getragen. Darüber hinaus ist die Nutzung eines weiteren Zertifikates für die Ende-zu-Ende-Verschlüsselung des Transportweges erforderlich.

Mit diesem Zertifikat werden das Postfach geöffnet und die Nachrichten (für Sie unbemerkt) ver- und entschlüsselt. Seit der Version 2.6.0 von EGVP werden an dieses Zertifikat besondere Anforderungen gestellt. Es muss sich dabei um ein sog. Kombinationszertifikat (ein Zertifikat mit dem gleichzeitig signiert, ver- und entschlüsselt werden kann) handeln. Ein Zertifikat, dass diese Anforderungen erfüllt ist auf Ihrer PKS-Signaturkarte nicht enthalten. Die Anforderungen an Kombinationszertifikate werden durch Softwarezertifikate erfüllt.

Das EGVP bietet die komfortable Möglichkeit Softwarezertifikate zu erstellen und in die Anwendung einzubinden. Dabei handelt es sich um die von EGVP empfohlene Art der Nutzung Ihres Postfachs. Einzelheiten sind in der Anwenderdokumentation des EGVP unter Punkt 6.1.1.2.1 beschrieben.