FAQ Public Key Service

• Allgemeine Fragen
  • Wie prüfe ich eine digitale Signatur ?

    Wir empfehlen zur Signaturprüfung die Verwendung einer Signatursoftware aus dem Bereich Software. Die hier genannten Hersteller sind bei uns als Partner registriert. Sie erhalten frühzeitig Informationen über Neuerungen bzgl. der Nutzung der PKS Signaturkarte. So ist sichergestellt, dass deren Software immer mit den neuesten Signaturkarten funktioniert. Für Sie als Nutzer ist es besonders wichtig Ihre Signatursoftware immer aktuell zu halten. Nur so ist gewährleistet, dass notwendige Anpassungen an der Signaturkarte oder unseren Services nicht zu Fehlern führen. Falls Sie Nutzer einer Plattform mit integrierter Signatursoftware sind, so gilt diese Pflicht ebenso für den Betreiber Ihrer Fachanwendung.

    Andere Hersteller unterstützen die PKS Signaturkarte ebenfalls.

    Fragen zur Kompatibilität einer Signatursoftware mit einem bestimmten Anwendungszweck oder einer Fachanwendung richten Sie bitte an den Hersteller der Software oder den Betreiber der Fachanwendung.

    Auf Grund der Verwendung eines Signaturformats, welches durch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) spezifiziert wurde, kommt es bei Nutzung der PKS Signaturkarte mit Software von nicht europäischen Herstellern teilweise zu Fehlern. Weitere Informationen erhalten Sie unter dem Stichwort Welches Signaturformat verwendet die PKS Signaturkarte ? . Dies betrifft insbesondere die Nutzung der qualifizierten Signaturfunktion mit Adobe Produkten sowie die Nutzung der Verschlüsselungsfunktion mit Thunderbird. Dies gilt ebenso für die Nutzung der PKS Signaturkarte innerhalb von Fachanwendungen innerhalb der EU.

    Wenn Sie eine qualifiziert signierte Datei an einen Empfänger senden und dieser die Prüfung wegen obiger Fehler ablehnt, dann können Sie ihn zusätzlich auf die folgenden unabhängigen Informationsquellen hinweisen:

    • Die Konformität unserer CA können Sie der Urkunde https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/de/9750UD_s.pdf entnehmen. Diese finden Sie hier auch in der englischen Version: https://www.tuvit.de/fileadmin/Content/TUV_IT/zertifikate/en/97112UE_s.pdf
    • Unsere CA-Zertifikate sind in der europäischen Trusted List enthalten. Unter dem Eintrag; Deutsche Telekom AG QCert for ESig finden Sie die entsprechenden Details.
    • Diese Liste kann nur durch die nationale Aufsichtsbehörde gepflegt werden. Eine Auflistung dort sagt aus, dass man mit dieser CA qualifizierte User-Zertifikate ausstellen darf.
  • Welche Dateiformate kann ich mit der PKS Signaturkarte signieren ?

    Das Dateiformat der zu signierenden Datei hat für die PKS Signaturkarte keine Bedeutung. Sie können also jedes beliebige Dateiformat signieren.

    Genaugenommen „sieht“ die Signaturkarte Ihre Datei nicht einmal. Die Karte verarbeitet einen Hashwert, der von Ihrer Signaturanwendung erstellt und an Ihre Karte übertragen wird. Dies ist genau der Moment in dem Sie die PIN eingeben.

    Es kann von Ihrer Signaturanwendung abhängig sein, welches Dateiformat Sie signieren können. Wir empfehlen zur Signaturerstellung die Verwendung von Signatursoftware deutscher Hersteller. Nach unserem Kenntnisstand sind diese auch in vielen Signaturanwendungen integriert.

    Bei Signatursoftware von anderen Herstellern (z.B. wenn Sie an EU-weiten Plattformen teilnehmen) können die Signaturen von PKS Signaturkarten manchmal nicht verarbeitet werden. Dies liegt an der Verwendung der noch nicht so weit verbreiteten ECDSA Signatur (siehe Welches Signaturformat verwendet die PKS Signaturkarte ?). Insbesondere ist eine qualifizierte Signatur von PDF Dateien mit dem Adobe Reader oder die Prüfung von qualifizierten Signaturen durch den Adobe Reader ohne Zusatzsoftware derzeit nicht möglich.

     

  • Wie aktiviere ich meine Signaturkarte ?

    Die Anleitung zur Aktivierung/Inbetriebnahme Ihrer Signaturkarte im PDF Format finden Sie im Downloadbereich.

  • Welche Ursache hat die Fehlermeldung UnknownHostException oder ConnectTimeoutException bei der Inbetriebnahme meiner Signaturkarte ?

    Die Fehlermeldung UnknownHostException oder ConnectTimeoutException bei der Inbetriebnahme der Signaturkarte im letzten Schritt "Empfang bestätigen und Karte freischalten" bedeutet wahrscheinlich, dass Sie Ihre Signaturkarte in einem Firmennetzwerk nutzen über das Sie keinen direkten Internetzugang haben. Stattdessen nutzen Sie wahrscheinlich einen Proxy zur Verbindung ins Internet.

    

    Ihre SignLive Toolbox ist von uns auf direkte Internetverbindung voreingestellt. Bitte klicken Sie im Hauptfenster der SignLive Toolbox auf "Erweitert" und anschließend auf "Einstellungen". Im Bereich "Internetverbindung" können Sie nun den Proxy einstellen. In den meisten Fällen ist die Einstellung "Systemeinstellungen verwenden" die richtige Auswahl.

    Nach Durchführung dieser Einstellung können Sie den Inbetriebnahmeassistenten erneut starten und jetzt im letzten Schritt auch online den Empfang der Karte bestätigen.

  • Wo kann ich die Informationen zu den Vertrauensanbietern nach eIDAS finden ?

    Diese sogenannte TrustList finden Sie für Deutschland auf dem Server der Bundesnetzagentur.

     

  • Wo bekomme ich Hilfe zu meiner Software? 

    Bitte wenden Sie sich an den Hersteller der Software.

  • Wie nutze ich meine PKS-Signaturkarte mit ELSTER ?

    Der Support zur Nutzung der Elektronischen Steuererklärung (ELSTER) mit PKS-Signaturkarte wurde von uns eingestellt. Auf Grund der mangelnden Unterstützung für neue Signaturkarten (PKS-ECC) durch ELSTER haben wir uns entschlossen den Support für ELSTER nicht länger aufrecht zu erhalten.

     

  • Welche Systemvoraussetzungen benötigt mein Computer? 

    Sie benötigen einen PC mit einem Chipkartenleser und geeigneter Anwendungssoftware.

• Auftrag und Preise
  • Was ist ein Folgeauftrag?

    Mit einem Folgeauftrag können Besitzer einer gültigen und funktionsfähigen TeleSec PKS Signaturkarte eine neue Signaturkarte beauftragen. Sie benötigen dabei keine erneute Identifikation oder Nachweise für ggf. in Ihrem Zertifikat enthaltene Zusatzinformationen (z.B. Handelsregisterauszug bei Geschäftsführer oder Bestätigung durch Ihre Kammer bei Ärzten, Anwälten, usw.).

    Bitte beachten Sie, dass auf Grund der eIDAS Verordnung Folgekartenaufträge nur bearbeitet werden dürfen, wenn diese direkt auf einer persönlichen Identifikation von Ihnen beruhen. Es darf kein Folgekartenauftrag bearbeitet werden, der bereits mit einer Folgekarte signiert wird. In diesem Fall ist eine Neubeauftragung notwendig!

    Den Folgeauftrag führen Sie komplett online aus. Bitte starten Sie den Vorgang hier. Wenn Sie Ihre aktuelle Signaturkarte über einen Kooperationspartner des Trust Centers erworben haben, so bitten wir Sie, dass Sie sich an diesen Kooperationspartner wenden. Insbesondere können wir die zusätzlichen Serviceleistungen Ihres Kooperationspartners nicht erbringen.

    Zur Erzeugung eines Folgeauftrags müssen Sie Ihre Kontaktdaten, die Versandadresse der Signaturkarte sowie die Rechnungsadresse erneut eingeben. Den Folgeauftrag können Sie nicht verwenden wenn sich in der Zwischenzeit Ihr Name oder der Inhalt von Zusatzinformationen im Zertifikat geändert hat. In diesen Fällen benötigen wir von Ihnen einen Neuauftrag.

    Mit der Signatur des Folgeauftrags bestätigen Sie uns, dass sich Ihr Name nicht geändert hat und das Sie eine neue Signaturkarte, zu den zu diesem Zeitpunkt gültigen, AGB beauftragen.

    Zur Verwendung des Folgeauftrags wird ein Browser mit aktiviertem JavaScript benötigt. Außerdem wird eine Java Installation mit Version 1.8 zur Ausführung der Signatursoftware benötigt. Die Signaturkomponente wird als Java Webstart Anwendung nachgeladen. Für den Fall das Java Webstart auf Ihrem PC durch den Systemadministrator deaktiviert wurde kann die Signatursoftware auch separat heruntergeladen und gestartet werden. Eine Installation ist nicht erforderlich. Wir empfehlen Ihnen, dass Sie, bevor Sie den Folgeauftrag starten, alle anderen Programme, die die Signaturkarte nutzen, beenden, da diese den Zugriff auf die Signaturkarte behindern könnten. Achten Sie dabei auch auf Hintergrundprogramme.

  • Ich möchte meinen Personalausweis nicht kopieren oder kopieren lassen. Was soll ich tun?

    Wir benötigen zur Ausstellung eines qualifizierten Zertifikates auf jeden Fall eine Ausweiskopie von Ihnen.

    Wenn Sie möchten, dann können Sie auf der Kopie die Felder Augenfarbe, Größe und die Berechtigungsnummer so wie das Bild schwärzen. Alle anderen Angaben auf dem Ausweis benötigen wir jedoch.

    Sollte ein Registrierungsmitarbeiter von Ihnen jedoch die Herausgabe Ihres Ausweises, zum Zweck des Kopierens, verlangen, so können Sie dies ablehnen. Es ist gesetzlich festgelegt, das Sie niemand dazu zwingen darf Ihren Ausweis an ihn abzugeben oder bei ihm zu hinterlegen.

    Sie sollten in diesem Fall den Registrierungsmitarbeiter zum Kopierer begleiten so dass er die Kopie in Ihrem Beisein ausführt.

  • Wie funktioniert die Identifizierung über PostIdent?

    Eine genaue Beschreibung und den notwendigen PostIdent-Coupon können Sie hier herunter laden. 

  • Wo kann ich meinen PKS Auftrag abgeben?

    Ihren PKS Auftrag nimmt jede Postfiliale / -agentur (zusammen mit PostIdent-Coupon) entgegen, vgl. auch Wie funktioniert die Identifizierung über PostIdent?

     
• Karte und Zertifikat
  • Was sind CAdES, PAdES und XAdES ?

    Bei CAdES, PAdES und XAdES handelt es sich um technische Spezifikationen von Signaturformaten, die über die allgemein genutzten Signaturformate hinausgehen.

    • Bei CAdES handelt es sich um eine Erweiterung der Cryptographic Message Syntax (CMS). Dieses Format wird unter anderem bei der Signatur von Emails (S/MIME) verwendet. Dateien in diesem Format tragen oft die Dateierweiterung .p7m, .p7s oder .pkcs7.
    • Bei PAdES handelt es sich um eine Erweiterung der PDF Signatur.
    • Bei XAdES handelt es sich um eine Erweiterung der XML Signatur.

    Für Ihre Signaturkarte haben diese speziellen Erweiterungen keine Bedeutung. Die Erweiterungen der Signaturformate werden von Ihrer Signaturanwendung erzeugt. Falls Sie eine Signatur in einem der obigen Formate erzeugen müssen prüfen Sie bitte ob Ihre Signaturanwendung das Format unterstützt.

  • Kann die PKS Signaturkarte eine Signatur gemäß RSASSA-PSS erzeugen ?

    Der Signaturalgorithmus RSA (genauer RSA mit PKCS#1 Version 1.5 Padding) wurde von der Bundesnetzagentur im Jahr 2016 als nicht mehr empfohlen für qualifizierte Signaturen ab dem Jahr 2018 eingestuft. Wir nehmen an, dass manche Signaturplattformen ihre Nutzer deswegen informiert haben, dass nur noch RSASSA-PSS Signaturen zugelassen werden. Dabei handelt es sich ebenfalls um Signaturen gemäß RSA Standard, jedoch mit modernerem Padding (genauer PKCS#1 Version 2.1).

    Beim Padding handelt es sich um eine Vorschrift wie der während der Signatur erzeugte Hashwert des Dokuments auf die gleiche Länge wie der RSA Schlüssel (also meistens 2048 Bit) gebraucht wird. Hashwerte sind üblicherweise nur 256 Bit lang. Dies ist für die Rechenoperation mit dem RSA Schlüssel erforderlich.

    Die PKS Signaturkarte erzeugt keine RSA Signatur. Sie kann somit auch keine RSASSA-PSS Signatur erzeugen. Die PKS Signaturkarte verwendet einen Signaturalgorithmus, der eine andere mathematische Basis hat (siehe Welches Signaturformat verwendet die PKS Signaturkarte ?). Bei der ECDSA Signatur ist kein Padding erforderlich.

    Sowohl RSA als auch ECDSA sind gemäß der EU Vorschriften geeignete Signaturalgorithmen für die Erstellung qualifizierter Signaturen. Daher erwarten wir, dass die von den Signaturplattformen herausgegebenen Informationen also nur für Signaturkarten gelten, die RSA Signaturen erzeugen und Sie Ihre PKS Signaturkarte weiterhin nutzen können.

     

  • Welches Signaturformat verwendet die PKS Signaturkarte ?

    Die PKS Signaturkarte verwendet den Signaturalgorithmus ECDSA . Diese Art der Kryptografie kommt, bei gleicher Sicherheit, mit deutlich kürzeren Schlüssellängen aus wie die RSA Kryptografie und ist somit auch deutlich performanter.

    Bei diesem Signaturalgorithmus handelt es sich um eine Anwendung der Kryptografie mit elliptischen Kurven . Hier muss neben dem Algorithmus auch noch die verwendete Kurve angegeben werden. Solche Kurven wurden von mehreren Organisationen spezifiziert. Weltweit am stärksten verbreitet sind die elliptischen Kurven, die durch das US amerikanische NIST (National Institute of Standards and Technology) spezifiziert wurden.

    Die PKS Signaturkarte verwendet im Bereich der qualifizierten Signatur eine Kurve, die durch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) spezifiziert wurde. Die vom BSI spezifizierten elliptischen Kurven werden von internationaler Software oft nicht unterstützt.

     

  • Wichtige Information zu Sign Live! CC

    Seit dem 1.1.2016 gibt Sign Live! CC beim Validieren von Signaturen, die mit ECC-Signaturkarten erstellt wurden, eine Warnung aus. Diese besagt, dass die vorliegende Signatur mit einem Algorithmus mit ungenügender Schlüssellänge erstellt sei. Die gleiche Warnung erscheint beim Erstellen der Signatur.

    Diese Warnung ist falsch. Trotz dieser Warnung sind die erstellten Signaturen korrekt.

    Ein Hotfix zur Korrektur dieses Verhaltens wurde umgehend erstellt und steht für Sie hier zur Verfügung. den Download finden Sie hier.

    Bitte ersetzen Sie die Datei "issecmodelbasic.jar" im Unterverzeichnis "lib" des Installationsverzeichnisses von Sign Live! CC Telekom Edition durch die in der zip-Datei enthaltene Datei.

     
  • Warum wird keine Sperrliste für qualifizierte Zertifikate angeboten?

    Die Bereitstellung von Sperrlisten zu qualifizierten Zertifikaten wurde am 02.07.2015 eingestellt.

    Das Trust Center wurden schon vor Jahren durch die Aufsichtsbehörde für die qualifizierte Signatur -der Bundesnetzagentur- gebeten, die Veröffentlichung der CRL einzustellen.

    Hintergrund ist einfach der, dass eine korrekte Prüfung lediglich aufgrund einer Sperrliste nicht ausreichend sei, um die Anforderungen des Signaturgesetzes zu erfüllen. Da die Existenz des Zertifikats im Verzeichnisdienst nachgewiesen werden muss, ist eine OCSP-Abfrage bzgl. dieses Zertifikats durch die Signaturanwendungskomponente zwingend erforderlich. Die OCSP Antwort fungiert als Nachweis über den aktuellen Status des Zertifikats.

    Wir haben dann, nachdem auch die Bundesnetzagentur die Veröffentlichung ihrer CRL eingestellt hat und keine negativen Erfahrungen bei den Kunden und Softwareherstellern bekannt wurden, uns auch entschlossen dieser Aufforderung nachzukommen.

    Bitte nutzen Sie zur Prüfung der Gültigkeit qualifizierter Zertifikate die Online-Prüfung mit OCSPDas Online Certificate Status Protocol (OCSP) ist ein Netzwerkprotokoll, das es Clients ermöglicht, den Status von X.509-Zertifikaten bei einem Validierungsdienst abzufragen. Benötigt wird dies bei der Prüfung digitaler Signaturen um zu überprüfen, ob die Zertifikate, die zur Prüfung der Signatur verwendet werden, gesperrt und damit bereits vor Ende ihres regulären Gültigkeitszeitraums ungültig wurden. in Ihrer Signatursoftware.

  • OpenLIMIT zeigt an: Nicht identifizierte Karte
    Auch in neu heruntergeladener und installierter OpenLIMIT Software sind nicht alle Updates enthalten. Bitte überprüfen Sie nach der Installation der Software unbedingt ob Updates verfügbar sind und installieren Sie diese. Nur so ist sichergestellt das Ihre Signaturkarte auch funktioniert. Um das Update auszuführen verwenden Sie die Funktion Update-Check, die im Startmenü in der Gruppe OPENLiMiT enthalten ist.
    
    
  • Wie unterscheide ich qualifizierte und nicht qualifizierte (fortgeschrittene) Zertifikate voneinander?

    Diese Zertifikate haben unterschiedliche Einsatzzwecke.

    Wenn von Ihrer Anwendung eine qualifizierte Signatur gefordert wird und Sie das falsche Zertifikat zur Signaturerstellung verwenden, so wird diese Signatur von der Gegenseite abgelehnt.

    Ein qualifiziertes Signaturzertifikat erkennen Sie am einfachsten an seinem Aussteller. Alle qualifizierten Signaturzertifikate, die von der Deutschen Telekom AG ausgestellt wurden, verwenden einen Aussteller dessen Name mit TeleSec PKS eIDAS QES CA oder TeleSec PKS SigG CA beginnt. Danach folgt eine Nummer.

    Achten Sie hier unbedingt auf eIDAS QES oder SigG im Namen des Ausstellers.

  • Woher bekomme ich ein Kombinationszertifikat für EGVP?

    Für die Nutzung des EGVP werden zwei verschiedene Zertifikate benötigt. Zum einen wird ein qualifiziertes Signaturzertifikat für das Signieren von Nachrichten verwendet. Mit diesem Erfordernis wird den Anforderungen aus den Verfahrensverordnungen (insbesondere Schriftformerforderniss) Rechnung getragen. Darüber hinaus ist die Nutzung eines weiteren Zertifikates für die Ende-zu-Ende-Verschlüsselung des Transportweges erforderlich.

    Mit diesem Zertifikat werden das Postfach geöffnet und die Nachrichten (für Sie unbemerkt) ver- und entschlüsselt. Seit der Version 2.6.0 von EGVP werden an dieses Zertifikat besondere Anforderungen gestellt. Es muss sich dabei um ein sog. Kombinationszertifikat (ein Zertifikat mit dem gleichzeitig signiert, ver- und entschlüsselt werden kann) handeln. Ein Zertifikat, dass diese Anforderungen erfüllt ist auf Ihrer PKS-Signaturkarte nicht enthalten. Die Anforderungen an Kombinationszertifikate werden durch Softwarezertifikate erfüllt.

    Das EGVP bietet die komfortable Möglichkeit Softwarezertifikate zu erstellen und in die Anwendung einzubinden. Dabei handelt es sich um die von EGVP empfohlene Art der Nutzung Ihres Postfachs. Einzelheiten sind in der Anwenderdokumentation des EGVP unter Punkt 6.1.1.2.1 beschrieben.

  • Mein Zertifikat ist im öffentlichen Verzeichnis nicht auffindbar.

    Falls Ihr Zertifikat im öffentlichen Verzeichnis nicht auffindbar ist, kann dies folgende Ursachen haben:

    • Bitte überprüfen Sie Ihren verwendeten Suchfilter. Geben Sie ggfs. einen allgemeineren Suchbegriff ein.
    • Sie haben Ihr Zertifikat bei der Beantragung nicht zur Veröffentlichung freigegeben.
    • Sie haben nach Erhalt Ihrer Signaturkarte die Empfangsbestätigung noch nicht ausgeführt. Ist dies der Fall, so verfahren Sie bitte wie unter Was bedeutet die Freischaltung des Zertifikats (Verzeichnisdienst) beschrieben und führen Sie die Empfangsbestätigung aus.
  • Was passiert wenn mein Zertifikat abläuft?

    Wir informieren Sie etwa 6 Wochen vor Ablauf des Zertifikats per eMail. Wir empfehlen Ihnen dann eine neue PKS Karte zu beauftragen. Die einfachste Möglichkeit zur Beauftragung einer neuen Signaturkarte für Bestandskunden ist der Folgeauftrag.

  • Warum ist eine Überprüfung der E-Mail Adresse, die ins Zertifikat eingetragen werden soll, erforderlich?

    Diese Überprüfung ist auf Grund von Anforderungen der Browser Hersteller (Microsoft, Mozilla), des CABrowser Forums und der daraus erforderlichen ETSI Zertifizierung erforderlich. Damit wird sichergestellt, daß nur Sie als Eigentümer Ihrer Emailadresse eine Signaturkarte bekommen können, die diese Emailadresse enthält.

    Diese Überprüfung erfolgt dadurch, daß wir Ihnen eine E-Mail an die angegebene Adresse zur Aufnahme ins Zertifikat senden. Diese E-Mail enthält eine achtstellige Prüfnummer, die Sie bei einem Neuauftrag handschriftlich auf Ihren PKS-Auftrag übernehmen müssen. Sollten wir Ihren Auftrag ohne Prüfnummer erhalten, so lehnen wir die Produktion der Signaturkarte ab.

    Sollten Sie keine Email mit der Prüfnummer erhalten, so sehen Sie bitte in Ihrem SPAM-Filter nach oder warten Sie einen Moment. Die Zustellung einer Email kann einige Minuten dauern. Bitte wenden Sie sich ggf. an unseren Support. Die Kollegen dort können Ihnen die Email mit der Prüfnummer erneut zusenden.

  • Ich möchte, dass in dem Zertifikat ein Pseudonym anstatt meines Namens eingetragen wird.

    Sie haben die Möglichkeit, ein frei wählbares Pseudonym auf dem Auftrag anzugeben. Das Pseudonym wird im Zertifikat als solches gekennzeichnet (mit einem Zusatz „:PN“). Ihr Name ist im Zertifikat nicht vorhanden. Bei einer Prüfung einer mit diesem Zertifikat erstellten elektronischen Signatur wird das Pseudonym als Signaturersteller angezeigt. Das Zertifikat ist Ihnen persönlich trotzdem zweifelsfrei zugewiesen. In Rechtsfällen sind wir verpflichtet, berechtigten Stellen Auskunft über den Inhaber der Zertifikate zu geben.

  • Welche Funktion hat die Empfangsbestätigung?

     

    Bevor Sie mit Ihrer Karte rechtsverbindlich signieren können, ist die Durchführung der Empfangsbestätigung zwingend erforderlich! Erst danach kann der Status Ihres Zertifikats im Verzeichnisdienst überprüft werden. Die Empfangsbestätigung können Sie uns bequem online übermitteln.
    Nutzen Sie dafür den folgenden Link Online-Empfangsbestätigung.
  • Welche Arten von Attribut-Zertifikaten bietet PKS an?

    Der Dienst Public Key Service bietet keine Attributzertifikate an.

     

  • Die Online-Prüfung meines Zertifikats ist nicht erfolgreich. Woran kann das liegen?

    Falls Ihr Zertifikat online nicht nachprüfbar ist, kann dies folgende Ursachen haben: Sie haben die Empfangsbestätigung noch nicht zurück geschickt. Ist dies der Fall, so verfahren Sie bitte wie Was bedeutet die Freischaltung des Zertifikats (Verzeichnisdienst)? beschrieben und holen Sie die Freischaltung des Zertifikats nach. Es ist auch möglich, dass Ihr Zertifikat gesperrt wurde.

     
  • Welches technische Format haben die Zertifikate einer PKS Signaturkarte?

     

    Die qualifizierten Zertifikate, die von TeleSec PKS ausgegeben werden, entsprechen dem Standard X.509 v3 und sind konform zu Common-PKI. Damit legt TeleSec Public Key Service die Basis für eine weitgehende Interoperabilität der Zertifikate und Dienstleistungen mit anderen Zertifizierungsdiensteanbietern und einer Vielzahl von Anwendungen. Das Zertifikatsprofil können Sie in unserem Downloadbereich herunterladen.
  • Woher bekomme ich die nötigen CA-Zertifikate?

    Die Referenz für die Beschaffung von CA Zertifikaten zur Nutzung im Rahmen der qualifizierten Signatur ist die Trusted List der EU. Diese erhalten Sie unter dem Link https://www.nrca-ds.de/st/TSL-XML.xml. Sie können sich unter der URL https://webgate.ec.europa.eu/tl-browser/#/ auch mit Ihrem Browser ansehen.  

    Wir bieten Ihnen die Möglichkeit an, alle unsere CA Zertifikate in einem Paket herunterzuladen. Darin enthalten sind neben den aktuell genutzten Zertifikate für die Ausstellung qualifizierter Signaturzertifikate auch ehemals genutzte Zertifikate für die Ausstellung qualifizierter Signaturzertifikate und Ausstellerzertifikate für andere Zwecke.

  • Welche Kartenleser sind mit PKS kompatibel? 

    Unsere Chipkarten werden von den gängigen Chipkartenlesern am Markt unterstützt. Jedoch wird oft ein gewisser Firmwarestand vorausgesetzt. Details hierzu sind in der Beschreibung des Kartenlesers zu finden.

  • Wie kann ich meine Karte sperren lassen?

    Die Sperrung Ihrer Signaturkarte können Sie jederzeit, online unter dem unten angegebenen Link veranlassen.

    Zusätzlich können Sie die Sperrung entweder telefonisch 24 Stunden am Tag nach Identifikation durch Ihr Telepasswort bzw. TelePIN oder schriftlich beauftragen.

    Die Kontaktdaten für alle Möglichkeiten und die OnlineSperrung finden Sie unter Sperrservice.

     
• PIN und Passwort
  • Was bedeutet der Fehler Authentisierung abgebrochen durch Zeitüberschreitung ?

    Dieser Fehler kann im Zusammenhang mit der PIN Eingabe am Kartenleser auftreten. Dies betrifft sowohl den Signaturvorgang als auch die PIN Änderung bzw. PIN Zurücksetzung.

    Für die Eingabe der PIN an der Tastatur des Kartenlesers haben Sie, je nach verwendeter Software, 30 Sekunden bis eine Minute Zeit. In dieser Zeit muss die PIN vollständig eingegeben und mit der Taste OK am Kartenleser bestätigt sein. Im Falle der PIN Änderung müssen die alte PIN, die neue PIN und die Wiederholung der neuen PIN in der geforderten Zeit eingegeben werden. Bitte achten Sie außerdem auf das betätigen der Taste OK nach der Eingabe jedes Teils. Sollte dieser Fehler Zeitüberschreitung bei Ihnen aufgetreten sein, können Sie den Signatur- oder PIN-Änderungsvorgang normalerweise einfach erneut starten.

    Bitte achten Sie darauf das Sie nicht mit der PIN Eingabe beginnen ehe der Kartenlser bereit dazu ist. Ihr Kartenleser zeigt diese Bereitschaft entweder auf seinem Display oder durch eine LED mit Schlosssymbol an. Wenn Sie zu früh mit der Eingabe beginnen, wird Ihre Karte die PIN ablehnen weil sie unvollständig und damit falsch ist.

  • Warum gibt es unterschiedliche PINs?

    Da Ihre PKS Karte unterschiedliche Anwendungen mit unterschiedlichen Sicherheitsanforderungen enthält, werden diese durch separate PINs geschützt.

  • Was ist die NullPIN?

    Ihre Chipkarte wird mit einem elektronischen Siegel ausgeliefert. Dieses Verfahren wird als NullPIN-Verfahren bezeichnet. Wie jedes herkömmliche Siegel verhindert auch dieses Siegel nicht den Zugriff auf Ihre Karte, ermöglicht aber eine verlässliche Kontrolle der Unversehrtheit der Karte. Eine nicht mehr gesetzte NullPIN ist ein sicheres Indiz, dass die Karte (ggf. von einem Dritten) bereits benutzt wurde. Ein solches Vergehen kann also vom Karteninhaber verlässlich erkannt und auch beanstandet werden.

  • Was kann ich tun, wenn ich meine PIN drei mal in Folge falsch eingegeben habe? PIN deaktiviert !

    Sie können die PIN1 Ihrer Signaturkarte mit der PIN2 zurücksetzen. Für die Nutzung dieser Funktion empfehlen wir Ihnen unser kostenloses Programm SignLive! Toolbox, welches Sie in unserem Downloadbereich herunterladen können. Nach dem Start des Programms wählen Sie die Funktion PIN Management, es öffnet sich folgendes Fenster.

    

    Erscheint bei einer der vier angezeigten PINs "PIN ist deaktiviert", so können Sie den Button "Zurücksetzen" nutzen, um die PIN wieder zu aktivieren. Zum Zurücksetzen der SigG PIN1 benötigen Sie die SigG PIN2. Zum Zurücksetzen der SigG PIN2 benötigen Sie die SigG PIN1. Genauso ist es bei der Globalen PIN. Zum Zurücksetzen der Globalen PIN1 benötigen Sie die Globale PIN2. Zum Zurücksetzen der Globalen PIN2 benötigen Sie die Globale PIN1.

    Sind sowohl die PIN1 als auch die PIN2 gesperrt, bzw. nicht mehr bekannt oder haben Sie die PIN2 bei der Inbetriebnahme der Signaturkarte nicht gesetzt ist Ihre Signaturkarte nach Sperrung/Deaktivierung der PIN1 nicht mehr nutzbar. Sie benötigen eine neue Karte. Bedenken sie bei einer möglichen Ersatzkartenbeauftragung, dass wir nur für die Restlaufzeit der Signaturkarte eine Ersatzkarte mit demselben Zertifikatsinhalt und Ablaufdatum ausstellen dürfen. Abhängig von der Restlaufzeit Ihrer Signaturkarte kann es für Sie günstiger sein Neu zu beauftragen.

  • Was ist die PIN?

    Ihre persönliche Identifikationsnummer (PIN) schützt die Karte vor mißbräuchlicher Nutzung.

  • Welche Funktion hat mein Telepasswort / meine TelePIN?

    Das Telepasswort / die TelePIN identifiziert Sie gegenüber dem Trust Center. Sie benötigen es zur Freischaltung Ihres Zertifikats sowie zur Sperrung Ihres Zertifikates auf telefonischem Wege. In bestimmten Fällen wird das Telepasswort / die TelePIN zusätzlich für die Entschlüsselung verschlüsselt übermittelter Zertifikate benötigt.

  • Wie kann ich die NullPIN ändern?

    Dazu benötigen Sie eine entsprechende Anwendungssoftware, die die NullPIN erkennt und den Karteninhaber zur Eingabe bzw. Wahl einer eigenen PIN auffordert.

    Wenn Sie dazu kein eigenes Programm haben empfehlen wir Ihnen unser kostenloses Programm SignLive! Toolbox, welche Sie im Downloadbereich finden.

  • Warum zeigt die SignLive Toolbox keine SigG PIN an?

    Wahrscheinlich hat der Leser die Karte über die kontaktlose Schnittstelle angesprochen. Bei Verwendung eines Reiner SCT cyberJack RFID Kartenlesers erkennen Sie dies an der Farbe der Duo-LED. Leuchtet diese blau, so hat der Kartenleser die Karte mittels der RFID Schnittstelle angesprochen. Die Verwendung der SigG-PINs ist jedoch ausschließlich über die kontaktbehaftete Verbindung realisiert. Bei kontaktloser (RFID-)Verbindung stehen lediglich die Globalen PINs zur Verfügung.

    Die Fehlermeldung "Die SigG PIN 1 (für qualifizierte Signatur) kann nicht initialisiert werden. Der Vorgang kann leider nicht fortgesetzt werden" hat die gleiche Ursache. Diese Fehlermeldung erscheint, wenn Sie den Menüpunkt "Karte in Betrieb nehmen" verwendet haben.

    Falls Sie die RFID Funktion des Kartenlesers nicht benötigen (z.B. für den neuen Personalausweis), so empfehlen wir Ihnen diese Abzuschalten.

• PKS-Zertifikate unter Windows
  • Wie suche ich im PKS Verzeichnisdienst ?

    Wir empfehlen Ihnen die Verwendung der Adressbuch Funktion Ihres Email Programms um ein Zertifikat / eine Person im Verzeichnisdienst zu suchen. Entsprechende Funktionen werden zum Beispiel von Microsoft Outlook zur Verfügung gestellt. Nachfolgend erklären wir Ihnen die Nutzung von Outlook zur Suche im PKS Verzeichnisdienst. 

    Öffnen Sie Konfiguration Ihres Email Kontos mittels der Systemsteuerung. Wählen Sie danach die Registerkarte Adressbücher aus. Fügen Sie ein neues Adressbuch mit einen Klick auf den Button "Neu" hinzu. Wählen Sie im nachfolgenden Dialog den Typ "Internetverzeichnisdienst (LDAP)". Geben Sie als Servername den Namen pks-ldap.telesec.de ein. 

    Öffnen Sie danach Outlook und das Adressbuch. Wählen Sie im Adressbuch Ihr neu erstelltes Adressbuch pks-ldap.telesec.de aus. Klicken Sie auf "Erweiterte Suche". Geben Sie hier im Feld Anzeigename Ihr Suchkriterium ein. Nachdem Outlook den gewünschten Eintrag gefunden hat wählen Sie bei diesem Eintrag im Kontextmenü die Funktion "Zu den Kontakten hinzufügen". Es wird Ihnen jetzt die Outlook - Visitenkarte des Eintrags angezeigt. Wählen Sie hier unter Anzeigen den Punkt Zertifikate.

  • Welche Ursache hat die Fehlermeldung SCARD_E_SHARING_VIOLATION ?

    Diese Fehlermeldung wird nicht von der Chipkarte erzeugt sondern vom Kartenverwaltungssystem von Windows. Dieses regelt den Zugriff auf die Chipkarte von mehreren Anwendungen.

    Die Fehlermeldung SCARD_E_SHARING_VIOLATION bedeutet, dass in diesem Moment mehrere Anwendungen gleichzeitig auf Ihre Signaturkarte zugreifen möchten und sich dabei gegenseitig behindern. Bestimmte Aktionen, wie zum Beispiel die Änderung einer PIN erfordern einen exklusiven Zugriff auf die Chipkarte. Dieser exklusive Zugriff ist aktuell nicht möglich.

    Um den Fehler zu lösen beenden Sie bitte alle Programme, die auf die Chipkarte zugreifen könnten. Achten Sie dabei auch auf Programme, die im Hintergrund laufen und zum Beispiel nur im Informationsbereich der Taskleiste (neben der Uhr) mit einem Icon sichtbar sind. Nachdem der konkurrierende Zugriff auf die Chipkarte gelöst wurde tritt dieser Fehler nicht mehr auf.

  • Wie nutze ich meine Signaturkarte zur Verschlüsselung oder Signatur von Emails mit Outlook ?

    Damit Sie Ihre Signaturkarte mit Outlook nutzen können ist es erforderlich das Sie bei der Beauftragung die Emailadresse des Email-Kontos welches Sie nutzen möchten in Ihre Signaturkarte eingetragen und mittels der Prüfnummer bestätigt haben.

    Eine qualifizierte Signatur von Emails ist mit der hier beschriebenen Vorgehensweise nicht möglich.

    Diese Anleitung richtet sich ausschließlich an erfahrene Anwender und Administratoren mit sehr guten Kenntnissen von Windows und Outlook. Sie beschreibt die Vorgehensweise unter dem Betriebssystem Windows 7 und Outlook 2007. Bitte beachten Sie, dass die aktuell ausgelieferten Signaturkarten nicht mit Windows XP kompatibel sind. Die verschiedenen Konfigurationsschritte können in Abhängigkeit der vielen unterschiedlichen Versionen von Windows und Outlook geringfügig unterschiedlich sein. Die Vorgehensweise dieser Anleitung ist nicht mit Mozilla Thunderbird kompatibel.

    Um Ihre Signaturkarte anschließend mit Outlook nutzen zu können muss die Karte in Windows eingebunden werden. 

    Zur Einbindung der Signaturkarte in Windows benötigen Sie einen Crypto Service Provider (CSP). Dies ist eine von Microsoft definierte Schnittstelle zwischen Windows und Ihrer Signaturkarte. Wenn Sie bereits eine Signatursoftware wie zum Beispiel OpenLimit CC Sign oder Intarsys SignLive! oder den SecSigner von SecCommerce installiert haben so wurde der Crypto Service Provider wahrscheinlich bereits installiert.

    Bitte stecken Sie jetzt Ihre Signaturkarte in den Kartenleser. Sollte von Windows nun die Aufforderung zur Installation eines Treibers angezeigt werden so haben Sie noch keinen CSP installiert. In diesem Fall können Sie einen kompatiblen CSP von unserer Webseite herunterladen. Bitte laden Sie die Datei Read Only Cardmodul zur "Signature Card 2.0" - Mit ECC-Unterstützung 32Bit oder 64Bit (entsprechend Ihrer Betriebssystemarchitektur) aus dem Downloadbereich herunter. Installieren Sie den Treiber in dem Sie die Datei ausführen. Öffnen Sie den Gerätemanager von Windows über die Systemsteuerung → System → Gerätemanager. Dort sollte jetzt in der Baumansicht unter Smartcards ein Eintrag für Ihre Chipkarte angezeigt werden.

    Bitte entfernen Sie jetzt Ihre Signaturkarte aus dem Kartenleser, warten Sie 10 Sekunden und stecken Sie sie danach wieder ein. Durch diesen Vorgang merkt der neu installierte Treiber die neu eingesteckte Chipkarte und liest sie aus. Die Aufforderung zur Installation eines Treibers sollte jetzt nicht mehr erscheinen. Der Kartenleser beginnt zu blinken. Bitte warten Sie ab bis der Kartenleser aufhört zu blinken.

    Starten Sie das Programm certmgr.msc in dem Sie das Startmenü öffnen und dort im Eingabefeld certmgr.msc eingeben und die Eingabetaste drücken. Erweitern Sie in dem Programm die Ansicht unter dem Punkt „Eigene Zertifikate“. Dann erscheint der Unterpunkt „Zertifikate“. Klicken Sie auf den Unterpunkt Zertifikate. Jetzt sollten im rechten Teil des Fensters die Zertifikate Ihrer Signaturkarte angezeigt werden.

    Öffnen Sie eines Ihrer Zertifikate in dem Sie darauf einen doppelklick ausführen. Im unteren Teil des Fensters sollte die Aussage stehen „Sie besitzen einen privaten Schlüssel zu diesem Zertifikat“. Ist dies nicht der Fall schließen Sie das Zertifikat, klicken es mit der rechten Maustaste an und wählen Sie löschen. Den gleichen Vorgang machen Sie für Ihre weiteren Zertifikate. Danach schließen Sie das Programm, entfernen die Chipkarte aus dem Kartenleser, warten Sie 10 Sekunden und stecken Sie die Chipkarte erneut. Dadurch wird die Signaturkarte neu eingelesen. Bitte führen Sie den Vorgang fort in dem Sie mit dem vorherigen Punkt dieser Anleitung weiter machen.

    Nachdem Sie im vorherigen Punkt sichergestellt haben, dass die Zuordnung des Zertifikats zu Ihrer Signaturkarte funktioniert prüfen Sie nun ob Windows das Zertifikat als ein gültiges Zertifikat erkennt. Dazu öffnen Sie eines Ihrer Zertifikate im Programm certmgr.msc. Möglicherweise wird dort jetzt angezeigt „Es liegen keine ausreichenden Informationen vor, um dieses Zertifikat zu verifizieren“. In diesem Fall muss das Ausstellerzertifikat installiert werden. In den meisten Fällen handelt es sich dabei um das Zertifikat „TeleSec PKS CA 7 :PN“. Bitte notieren Sie sich den Aussteller. Diesen finden Sie im gleichen Fenster unter „Ausgestellt von:“. Laden Sie die Datei CA-Zertifikate.zip von unserer Webseite. Öffnen Sie diese Datei und suchen Sie darin das fehlende Ausstellerzertifikat und extrahieren Sie dieses aus der ZIP-Datei. Es ist nicht nötig die komplette ZIP-Datei zu extrahieren. Erweitern Sie in dem Programm certmgr.msc den Punkt „Zwischenzertifizierungsstellen“. Klicken Sie anschließend mit der rechten Maustaste auf den Unterpunkt „Zertifikate“ von „Zwischenzertifizierungsstellen“. Wählen Sie dort im Menü die Funktion „Alle Aufgaben“ und dann den weiteren Unterpunkt „Importieren“. Es öffnet sich der Zertifikatsimport-Assistent. Laden Sie damit das eben extrahierte Ausstellerzertifikat. Klicken Sie dafür mehrfach auf „Weiter“ und zum Schluss auf „Fertigstellen“.

    Wenn Sie Ihr Zertifikat im Programm certmgr.msc unter „Eigene Zertifikate“ → „Zertifikate“ jetzt erneut öffnen und dort im Reiter „Zertifizierungspfad“ auf den Inhalt des Feldes „Zertifizierungsstatus“ achten, sollte dort jetzt stehen „Dieses Zertifikat ist gültig“.

    Zur Einbindung des Zertifikats in Outlook öffnen Sie bitte das Vertrauensstellungscenter. Dieses finden Sie im Menü Extras. Wählen Sie im linken Teil des Fensters die Kategorie „E-Mail Sicherheit“. Klicken Sie anschließend im rechten Teil des Fensters, unter der Überschrift „Verschlüsselte E-Mail Nachrichten auf den Button „Einstellungen“. Klicken Sie in dem sich jetzt neu geöffneten Fenster „Sicherheitseinstellungen“ auf den Button „Auswählen“ neben der Anzeige „Signaturzertifikat“ und auf den Button „Auswählen“ neben der Anzeige „Verschlüsselungszertifikat“. Wählen Sie dann jeweils ein Zertifikat von Ihrer Signaturkarte aus. Es ist empfehlenswert den Haken bei „Signierten Nachrichten diese Zertifikate hinzufügen“. Schließen Sie dieses Fenster und das Vertrauensstellungscenter.

    Die Nutzung der Signaturkarte mit Outlook zum signieren und verschlüsseln von Email sollte jetzt funktionieren.

    Falls Sie für jemand anderes Verschlüsseln möchten, ist es empfehlenswert, dass Sie denjenigen bitten Ihnen eine signierte Email zukommen zu lassen. Mit den oben beschriebenen Einstellungen können Sie diese Person anschließend in Ihr Adressbuch übernehmen. Dabei wird auch das Zertifikat des Empfängers gespeichert. Anschließend können Sie für ihn verschlüsseln, in dem Sie den Eintrag aus Ihrem Adressbuch verwenden. Falls jemand anderes für Sie verschlüsseln möchte gehen Sie umgekehrt vor. Senden Sie demjenigen eine signierte Email und bitten Sie ihn das er Sie als Empfänger in sein Adressbuch aufnimmt. Anschließend kann er für Sie verschlüsseln.

  • Windows meldet "Diese Zertifizierungsstelle ist nicht berechtigt, Zertifikate auszustellen oder das Zertifikat kann nicht als Endeinheitszertifikat verwendet werden." für ein TeleSec CA-Zertifikat.

    MS Windows erwartet in CA-Zertifikaten eine Zertifikatserweiterung namens "BasicConstraints", die ein Zertifikat als CA-Zertifikat ausweist. Diese Zertifikatserweiterung ist in manchen alten TeleSec CA-Zertifikaten nicht enthalten. Diese Zertifikate wurden von der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen ausgestellt und unterliegen nicht unserem Einfluss.

  • Windows meldet "Signatur ungültig".

    In PKS Zertifikaten wird ein Signaturalgorithmus verwendet, der von Windows ohne zusätzliche Software nicht unterstützt wird.

    Bitte beachten Sie außerdem das zur Gültigkeitsprüfung eines qualifizierten Zertifikats eine Onlineprüfung zwingend erforderlich ist. Windows kann eine solche Prüfung nicht vornehmen.

    Für den korrekten Umgang mit qualifizierten Zertifikaten benötigen Sie einen Crypto Service Provider (CSP) oder eine Signatursoftware, die die verwendeten Algorithmen und die erforderlichen Onlineprüfungen unterstützten. Alle für den Einsatz zur Erzeugung qualifizierter elektronischer Signaturen geeigneten Signaturanwendungskomponenten enthalten diese Funktionen.

    Bitte achten Sie darauf immer die aktuellsten Versionen Ihrer Signatursoftware zu verwenden, da diese ständig an Stand der Technik angepasst werden müssen.

  • Das Zertifikat wird als ungültig angezeigt, weil das CA- oder Root-Zertifikat abgelaufen oder gesperrt ist.

    Nach dem deutschen Signaturgesetz verliert ein qualifiziertes Zertifikat seine Gültigkeit nicht, wenn ein darüber liegendes Root- oder CA-Zertifikat abläuft oder gesperrt.

    Diese Art der Prüfung der Gültigkeit von qualifizierten Zertifikaten wird als das sogenannte Kettenmodell bezeichnet. Bei einer Gültigkeitsprüfung nach dem Kettenmodell ist es wesentlich, dass das nächsthöhere Zertifikat zum Erstellungszeitpunkt der Signatur / des Zertifikats gültig ist bzw. war. Daher ist es auch erlaubt, dass der Gültigkeitszeitraum eines qualifizierten Zertifikats über die Gültigkeitsdauer des entsprechenden CA-Zertifikats hinaus geht.

    Microsoft Windows und manche andere Anwendungen prüfen die Zertifikate jedoch nach dem Schalenmodell, welches, anders als das Kettenmodell, die Gültigkeit aller Zertifikate des Zertifizierungspfads zum Prüfzeitpunkt fordert. Im o.g. Fall liefert damit Windows einen falschen Status für ein qualifiziertes Zertifikat welches gemäß dem deutschen Signaturgesetz ausgestellt wurde.

  • Ist eine Signatur von E-Mails mit dem qualifizierten Zertifikat möglich?

    Wir empfehlen E-Mails nicht qualifiziert zu signieren. In der Regel signieren Sie dann auch Inhalte, die nicht für Sie sichtbar sind. Aus diesem Grund bieten wir keine ensprechenden Plug-Ins für E-Mail Programme an.

    Aus sicherheitstechnischer Sicht empfehlen wir, statt einer signierten E-Mail, eine signierte Datei, die Sie als Anhang zu einer E-Mail versenden können.

Powered By http://tuts4you.de/