D -T r u s T C a r D a s s i s Ta n T 3.0

—softwarekomponente für die

anzeige von signaturkarteninformationen,

die initialisierung, Änderung, das Entsperren

von signaturkarten-Pins und

das Erstellen einer Karten- und Kartenleserdiagnose

softwareversion 3.0 für Windows XP, Vista und Windows 7stand: 21. Juni 2012

Lesen sie die Benutzeranleitung sorgfältig, bevor das Produkt zum Einsatz kommt.

s E h r g E E h r T E r a n W E n D E r ,

Sie können uns helfen, diese technische Dokumentation/Benutzeranleitung für zukünftige Versionen des D-TRUST Card Assistant zu verbessern. Bitte teilen Sie uns entdeckte Fehler, unklarheiten oder aus ihrer sicht hilfreiche informationen, die bisher fehlen, bzgl. Dokumentation/anleitung oder software, mit.

Wenn Sie uns kontaktieren, geben Sie bitte folgende Informationen an:

> name, Firmenname, adresse, Telefonnummer, E-Mail-adresse > Versionsnummer der Software (zu finden im Reiter „Info“) > E-Mail: senden sie uns eine E-Mail an: support@d-trust.net

Oder schreiben sie uns an:

Bundesdruckerei gmbh

c/o D-TrusT gmbh

Kommandantenstraße 15 10969 Berlin Zentrale: Tel. +49/(0)30 /25 93 91 - 0 Fax +49/(0)30/25 93 91 - 22 info@d-trust.net

Vielen Dankihr D-Trust support

4

5

i n h a LT

i E i n L E i T u n g /s C h n E L L s Ta r T E n07—Übersicht über die Benutzeranleitung07—schnell starten07—initialisieren der signature Pin08—Änderung der Pin08—Entsperren der Pin mittels PuK

i i a u s L i E F E r u n g s u M Fa n g u n D B E s C h r E i B u n g D E s D -T r u s T C a r D a s s i s Ta n T

08—auslieferungsumfang08—ausgelieferte Dokumente08—Beschreibung des softwareproduktes D-TrusT Card assistant

i i i s y s T E M V O r a u s s E T z u n g E n09—Betriebssystem09—hardware09—Kartenlesegeräte09—signaturkarten

I V  I n S TA l l AT I o n10—D-TrusT Card assistant10—Kartenlesegerät

V O B E r F L ÄC h E D E s D -T r u s T C a r D a s s i s Ta n T10—Übersicht11—Registerkarte „Zertifikat(e) der Karte“11—Zertifkat(e) und Status14—information Karte/Kartenlesegerät14—Registerkarte „PIn initialisieren/ändern/entsperren“14—Zertifikat(e) und Status15—Pin-information17—Registerkarte „Diagnose/Support“19—Registerkarte „Kartenobjekte/PKCS#15“19—Registerkarte „Kartenlesegeräte“20—Bekannte schnittstellen22—Empfohlene Kartenleser-Einstellungen23—Registerkarte „Info“

V i n u T z u n g D E s D -T r u s T C a r D a s s i s Ta n T24—starten und Beenden des D-TrusT Card assistant 24—starten des D-TrusT Card assistant24—Beenden des D-TrusT Card assistant24—Einrichten von Kartenlesegeräten26—anzeige von zertifikaten der signaturkarte28—initialisieren der signature Pin29—Ändern der Pin29—Ändern der Pin unter nutzung eines Kartenlesegerätes mit sicherer Pin-Eingabe 31—Ändern der Pin über die Tastatur des Computers32—Entsperren der Pin mittels PuK 34—Erzeugen einer supportanfrage

V i i T E C h n i s C h E s P E z i F i K aT i O n E n u n D s Ta n D a r D s

7

i E i n L E i T u n g / s C h n E L L s Ta r T E n

E i n L E i T u n g

Der D-TrusT Card assistant dient der anzeige von signaturkarteninformationen, der initialisierung, Änderung, dem Entsperren von signaturkarten-Pins und dem Erstellen einer Karten- und Kartenleserdiagnose.

Diese Technische Dokumentation/Benutzeranleitung erklärt die Funktionalitäten des softwareproduktes D-TrusT Card assistant und liefert informationen für den sicheren Betrieb des Produktes. Dabei werden sämtliche Fehlermeldungen des Produktes aufgelistet und erklärt sowie Handlungshinweise für den Benutzer im Fehlerfall gegeben, sodass der sichere Betrieb immer gewährleistet ist.

s C h n E L L s Ta r T E n

Voraussetzung ist ein auf dem PC korrekt installiertes und funktionsfähiges Class II oder Class III Kartenlesegerät, welches im D-TrusT Card assistant eingerichtet ist.

i n i T i a L i s i E r E n D E r s i g n aT u r E P i n

1. Sie befinden sich in der Anwendung D-TRUST Card Assistant im Reiter „PIn initialisieren/ändern/entsperren“. Die Signaturkarte befindet sich im Kartenlesegerät. Es erscheint die Hinweismeldung, die Sie zur PIn-Initialisierung auffordert. Bestätigen Sie die hinweismeldung.

2. Wählen Sie im Bereich „Zertifikat(e) und Status“ das qualifizierte Zertifikat für die qualifizierte Signatur aus.

3. Im Bereich „PIn-Information“ können Sie auswählen zwischen „Sichere PIn- Initialisierung über Tastatur des Kartenlesegerätes“ oder „PIn-Initialisierung über Tastatur des Computers“.

4. Öffnen Sie den von der D-TRUST GmbH unversehrt erhaltenen PIn-Brief. Geben Sie die Signature Transport PIn in dem hierfür vorgesehenen Feld ein. Geben Sie jetzt Ihre neue, von Ihnen ausgedachte Signature PIn im Feld „neue Signature PIn:“ und zur Bestätigung erneut im Feld „neue Signature PIn bestätigen:“ ein.

5. Betätigen Sie jetzt die Schaltfläche „PIn initialisieren“. Bei einem erfolgreich abgeschlossenem Prozess erhalten sie eine positive Bestätigungsmeldung. ausführliche informationen zur Initialisierung der Signature PIn finden Sie im Abschnitt 6, Kapitel „Initialisieren der Signature PIn“.

8

Än D E r u n g D E r P i n

1. Sie befinden sich in der Anwendung D-TRUST Card Assistant im Reiter “PIn initialisieren/ ändern/entsperren”. Die Signaturkarte befindet sich im Kartenlesegerät. Wählen Sie im Bereich „Zertifikat(e) und Status“ das Zertifikat aus, für welches die PIn geändert werden soll.

2. Wählen Sie im Bereich „PIn-Information“ als gewünschte operation „PIn ändern“. 3. Geben Sie die alte Signature PIn in dem hierfür vorgesehenen Feld ein. Geben Sie jetzt

Ihre neue, von Ihnen ausgedachte Signature PIn im Feld „neue Signature PIn:“ und zur Bestätigung erneut im Feld „neue Signature PIn bestätigen:“ ein.

4. Betätigen Sie jetzt die Schaltfläche „PIn ändern“. Bei erfolgreich abgeschlossenem Prozess erhalten sie eine positive Bestätigungsmeldung. ausführliche informationen zur Initialisierung der Signature PIn finden Sie im Abschnitt 6, Kapitel „Ändern der PIn“.

E n T s P E r r E n D E r P i n M i T T E L s P u K

1. Sie befinden sich in der Anwendung D-TRUST Card Assistant im Reiter „PIn initialisieren/ändern/entsperren“. Die Signaturkarte befindet sich im Kartenlesegerät. Wählen Sie im Bereich „Zertifikat(e) und Status“ das Zertifikat aus, dessen PIn mittels PUK entsperrt werden soll.

2. Wählen Sie im Bereich „PIn-Information“ als gewünschte operation „PIn entsperren“. 3. Geben Sie die PUK in dem hierfür vorgesehenen Feld ein. Betätigen Sie jetzt die Schaltfläche

„PIn entsperren“. Bei erfolgreich abgeschlossenem Prozess erhalten Sie eine positive Bestätigungsmeldung.

4. Ausführliche Informationen zur Initialisierung der Signature PIn finden Sie im Abschnitt 6, Kapitel „Entsperren der PIn mittels PUK“.

i i a u s L i E F E r u n g s u M Fa n g u n D B E s C h r E i B u n g D E s D -T r u s T C a r D a s s i s Ta n T

1. auslieferungsumfang: Die auslieferung des softwareproduktes D-TrusT Card assistant umfasst u.a. die im folgenden beschriebenen Dokumente und softwarekomponenten.

2. ausgelieferte Dokumente: PDF-Dokumentation

a u s g E L i E F E r T E s O F T Wa r E

D-TrusT_Card_assistant.exe. Dieses Programm besteht aus nur einer Komponente.

9

B E s C h r E i B u n g D E s s O F T Wa r E P r O D u K T E s D -T r u s T C a r D a s s i s Ta n T

Das softwareprodukt D-TrusT Card assistant ist eine softwarekomponente zur anzeige von signaturkarteninformationen, zur initialisierung, Änderung, zum Entsperren von signatur karten-Pins und zum Erstellen einer Karten- und Kartenleserdiagnose. Zum Schutz vor Ausspähungen der PIn ermöglicht das Produkt die sichere PIn-Eingabe am Kartenlesegerät.

i i i s y s T E M V O r a u s s E T z u n g E n

B E T r i E B s s y s T E M

> Windows 2000 > Windows XP > Windows Vista > Windows 7

h a r D Wa r E

> iBM-kompatibler PC ab Pentium 3 > Ab 256 MB Arbeitsspeicher (RAM)

K a r T E n L E s E g E r ÄT E

Es werden Kartenlesegeräte der Klassen 1 (ohne Tastatur, ohne Display), 2 (mit Tastatur, ohne Display) und 3 (mit Tastatur und Display) über die Standards PC/SC und CT-API unterstützt. Wird ein Kartenlesegerät mit Tastatur eingesetzt, kann die PIn-Eingabe direkt über das Karten-lesegerät erfolgen.

s i g n aT u r K a r T E n

Die Ihnen vorliegende Software D-TRUST Card Assistant unterstützt technisch die folgendensignaturkarten:Signaturkarte D-TRUST card, Version 2.X (CardoS)Signaturkarte D-TRUST Card, Version 3.0 (STARCoS)

Hinweis: Die Inhalte der Unterrichtung durch den Zertifizierungsdienstanbieter D-TRUST GmbH zur Nutzung der sicheren Signaturerstellungseinheit sind zu beachten.

10

i V i n s Ta L L aT i O n

D -T r u s T C a r D a s s i s Ta n T

Eine installationsprozedur der hier vorliegenden software ist nicht notwendig.

K a r T E n L E s E g E r ÄT

Vor der inbetriebnahme des D-TrusT Card assistant ist ein entsprechendes Kartenlesegerät zu installieren. Da die im Markt befindlichen Kartenlesegeräte unterschiedlicher Hersteller teilweise große Qualitätsunterschiede aufweisen, sollten ausschließlich von D-TRUST empfohlene Geräte zum Einsatz kommen.

Es ist darauf zu achten, dass die installation, gemäß den herstellerangaben, korrekt ausgeführt wird. Dabei ist in folgender reihenfolge vorzugehen:

1. Treiber-software des Kartenlesers installieren 2. Kartenleser anschließen 3. D-TrusT Card assistant starten 4. Computer neu starten

V O B E r F L ÄC h E D E s D -T r u s T C a r D a s s i s Ta n T

Das smartCard-Management-Tool D-TrusT Card assistant gemeinsam mit einem Kartenlese-gerät dient zur Initialisierung der Signaturkarte(n), der PIn-Änderung, der Fehlerdiagnose sowie zur Visualisierung von auf der Signaturkarte befindlichen Zertifikaten und anderen Daten.

ÜB E r s i C h T

Das SmartCard-Management-Tool D-TRUST Card Assistant besitzt eine grafische Bedienoberfläche mit folgenden Konfigurationsbereichen:

> Zertifikat(e) der Karte: Visualisiert die auf der Signaturkarte befindlichen Zertifikate > PIn initialisieren/ändern/entsperren: Initialisiert, ändert und entsperrt die jeweiligen PIns

der Zertifikate auf der Signaturkarte > Diagnose/support: Erstellt eine Diagnose aller gefundenen signaturkarten und Kartenleser > Kartenobjekte/PKCS#15: Visualisiert die auf der Signaturkarte gefunden Kartenobjekte/

PKCS#15-Informationen > Kartenlesegerät: Konfiguration der zum Einsatz kommenden Kartenlesegeräte > info: informationen zu software und herausgeber

11

R E G I S T E R K A R T E „Z E R T I F I K AT (E ) D E R K A R T E “

Dieser Dialog visualisiert die auf der Signaturkarte vorhandenen Zertifikate und gibt informationen zur signaturkarte und dem Kartenlesegerät.

> Informationen zum Zertifikat

> informationen zur signaturkarte und zum Kartenlesegerät

Z E R T I F K AT (E ) U n D S TAT U S

Hier werden die auf der Signaturkarte gefundenen Zertifikate angezeigt. Dabei wird zwischen Inhaber- und Ausstellerzertifikaten unterschieden.

Über den Zertifikaten werden die Ergebnisse einer lokalen Prüfung des markierten Zertifikates dargestellt. Folgende anzeigen sind möglich:

12

Symbol Bedeutung

Status der lokalen Signaturprüfung des Zertifikates (Gültigkeit des

Zertifikates):

Die lokale Signaturprüfung des Zertifikates inklusive Zertifizierungspfad

war erfolgreich.

Die lokale Signaturprüfung des Zertifikates inklusive Zertifizierungspfad

war nicht erfolgreich.

Mögliche Gründe:

• Mindestens ein Zertifikat wurde manipuliert.

• Mindestens ein Zertifikat aus dem Zertifizierungspfad ist auf der

Signaturkarte nicht vorhanden.

Hinweis: Alle Zertifikate, die zur lokalen Prüfung herangezogen werden,

befinden sich auf der Signaturkarte.

Gültigkeitszeitraum:

Der Gültigkeitszeitraum des markierten Zertifikates ist nach der lokalen

Systemzeit des Computers nicht abgelaufen.

Der Gültigkeitszeitraum des markierten Zertifikates ist nach der lokalen

Systemzeit des Computers abgelaufen.

Zertifikatsstatus:

Im Falle eines Inhaberzertifikates: Qualifiziertes Zertifikat für qualifizierte

Signatur oder im Falle eines Ausstellerzertifikates: Qualifiziertes Zertifikat

(siehe Schaltfläche „Information“)

Im Falle eines Inhaberzertifikates: Zertifikat für Authentifizierung,

E-Mail Signatur, Verschlüsselung oder im Falles eines Ausstellerzertikates:

Zertifikat

Schaltfläche: Information Die Kriterien, nach denen die Software ein qualifiziertes Zertifikat identifiziert, sind durch Betätigung der Information-Schaltfläche in einem neuen Fenster einzusehen.

§

13

Schaltfläche: Details zum Zertifikat Durch Betätigung der Schaltfläche „Details“ werden die Inhalte des markierten Zertifikates in einem neuen Fenster angezeigt.

Schaltfläche: Ausstellerzertifikat Durch Betätigung der Schaltfläche „Ausstellerzertifikat“ werden die Inhalte des Ausstellerzertifikates in einem neuen Fenster angezeigt. Mit „Schließen“ wird das Fenster geschlossen.

Schaltfläche: Zertifikat installieren... nach Betätigung der Schaltfläche kann das angezeigte Zertifikat in der Windows-Zertifikatsverwaltung installiert werden. Bitte folgen Sie hierzu der Benutzerführung der Windows-Zertifikatsverwaltung.

Schaltfläche: Schließen Durch Betätigung dieser Schaltfläche schließt sich der Dialog.

14

i n F O r M aT i O n K a r T E /K a r T E n L E s E g E r ÄT

hier werden informationen • zur eingesetzten Signaturkarte, z.B. das Betriebssystem der Karte sowie • eine Beschreibung des Kartenlesegerätes geliefert.

R E G I S T E R K A R T E „P I n I n I T I A l I S I E R E n /Än D E R n / E n T S P E R R E n “

in diesem Dialog kann die Pin der signaturkarte initialisiert, geändert und entsperrt werden.

> Informationen zum Zertifikat

> informationen zur Pin bzw. PuK

Z E R T I F I K AT (E ) U n D S TAT U S

Siehe Abschnitt „Registerkarte Zertifikat(e) der Karte“

15

P i n -i n F O r M aT i O n

Es wird die PIn des markierten Zertifikates beschrieben und mitgeteilt, ob die PIn bereits initialisiert oder gesperrt ist.

Kann nicht festgestellt werden, ob die Pin gesperrt ist, können sie die gewünschte Operation wählen. Je nach Wahl der operation ändert sich die oberfläche der Software.

operation: Pin ändern (gilt auch für PIn initialisieren)

PIN-Eingabe über die Tastatur des Computers: alte PIN Hier ist die alte PIn oder die Transport PIn (Initialisierungs-PIn) einzugeben (vergleichen Sie bitte die angezeigten Informationen mit Ihrem PIn-Brief).

neue PIN hier ist die neue, individuelle Pin einzugeben.

neue PIN bestätigen hier ist die neue, individuelle Pin zur Bestätigung noch einmal einzugeben.

16

Schaltfläche: PIN ändern bzw. PIN initialisieren Die alte Pin bzw. Transport Pin und die neue Pin, inklusive einmaliger Bestätigung, sind bereits eingetragen. Dann wird die Schaltfläche „PIn ändern“ oder „PIn initialisieren“ aktiviert. Die Betätigung der Schaltfläche „PIn ändern“ oder „PIn initialisieren“ ändert oder initialisiert ihre Pin.

Sichere PIN-Eingabe direkt über dieTastatur des Lesegerätes: Ist ein Kartenlesegerät ab der Klasse 2 mit PinPad (CTAPI) installiert, ist die sichere PIn-Eingabe am Kartenleser möglich. Bei „PIn-Änderung über Tastatur des lesegerätes“ ist ein Haken zu setzen, wodurch die PIn-Eingabe nur noch direkt am Kartenleser möglich ist (die PIn-Eingabefelder des Dialogs werden deaktiviert).

PIN ändern Die Betätigung der Schaltfläche „PIn ändern“ ruft den PIn-Dialog des Kartenlesers auf. Die Pin-Eingabe ist direkt am Kartenleser zu vollziehen.

Operation: Pin entsperren

PUK Hier ist die PUK einzugeben (vergleichen Sie bitte die angezeigten Informationen mit Ihrem PIn-Brief).

Schaltfläche: PIN ändern Die PUK ist bereits eingetragen. Dann wird die Schaltfläche „PIn ändern“ aktiviert. Die Betätigung der Schaltfläche „PIn entsperren“ entsperrt Ihre PIn.

Hinweis: Das Entsperren der PIN ist nur über die Tastatur des Computers möglich.

17

R E G I S T E R K A R T E „D I A G n o S E /S U P P o R T “

Dieser Dialog bietet die Möglichkeit, eine Diagnose aller gefundenen signaturkarten und Kartenleser durchzuführen. Eine durchgeführte Diagnose kann gespeichert und an den D-TrusT-support per E-Mail verschickt werden.

Schaltfläche: Diagnose starten Es wird eine Diagnose der gefunden Kartenleser und signaturkarten erstellt. Die untersuchten Kartenleser können durch Sie in der Registerkarte „Kartenlesegeräte“ konfiguriert werden.

Schaltfläche: Abbrechen Die Schaltfläche „Diagnose starten“ ändert sich während der Analyse in die Schaltfläche „Abbrechen“ und beendet nach Betätigung die von Ihnen gestartete Diagnose.

18

Schaltfläche: Diagnose speichern Die Schaltfläche „Diagnose speichern“ ermöglicht die Speicherung der Diagnose als Text-Datei.

Schaltfläche: Supportanfrage nach Betätigung dieser Schaltfläche öffnet sich Ihr E-Mailprogramm mit dem Diagnoseergebnis. Bitte ergänzen Sie in der E-Mail die noch fehlenden Informationen im Bereich Telefon und Fehlerbeschreibung, um einen optimalen support zu gewährleisten.

Hinweis: Sollte sich Ihr E-Mail-Programm nicht öffnen, prüfen Sie bitte Ihre Windows- Einstellung oder erzeugen Sie manuell eine E-Mail mit angehängter Textdatei.

19

R E G I S T E R K A R T E „K A R T E n o B J E K T E /P K C S #15“

Diese Registerkarte ermöglicht den Einblick auf die Kartenobjekte entsprechend PKCS#15.

R E G I S T E R K A R T E „K A R T E n l E S E G E R ÄT E “

Dieser Dialog bietet die Möglichkeit, die Ansprache von Kartenlesegeräten zu konfigurieren.

Es werden grundsätzlich alle gängigen Kartenlesegeräte der Klassen 1 bis 3 nach PC/SC und CTAPI unterstützt.

20

Für die sichere Pin-Eingabe direkt am Kartenlesegerät ist mindestens ein Klasse-2-Leser mit PinPad einzusetzen und über die entsprechende CTAPI-Schnittstelle anzusprechen.

B E K a n n T E s C h n i T T s T E L L E n

Hier werden alle Kartenleser-Schnittstellen, die dem D-TRUST Card Assistant bekannt sind, aufgelistet.

Hinweis: Die Konfiguration von Kartenlesegeräten ist nicht Gegenstand dieses Programms. Die Änderung der Einstellungen von Kartenlesegeräten sollte nur durch erfahrene Anwender erfolgen.

21

Radiobutton: aktiv/inaktiv Mit der Betätigung der Schaltflächen werden die entsprechenden Schnittstellen aktiviert oder deaktiviert.

Schaltfläche: Hinzufügen

Mit Betätigung der Schaltfläche „Hinzufügen“ öffnet sich folgendes Dialogfenster, über welches eine neue Kartenleser-Schnittstelle hinzugefügt werden kann.

Hier kann ein neues Kartenlesegerät spezifiziert werden, indem „Typ“ (PC/SC oder CT-API), „Modus“ (aktiv oder inaktiv) und ggfs. „Parameter“ (Datei und Port) des gewünschten Kartenlesegerätes eingegeben werden. Der so spezifizierte Kartenleser kann dann mit dem „oK“-Button der lesegeräteliste „Bekannte Schnittstellen“ hinzugefügt werden.

Eine PC/SC-Schnittstelle kann nur einmal hinzugefügt werden. Diese Schnittstelle ermöglicht die ansprache aller im system vorhandenen Kartenleser, soweit diese korrekt installiert wurden.

Hinweis: Folgende Fälle können das Setzen von Kartenlesern erschweren:

> eine andere Anwendung beansprucht den Kartenleser oder > der Kartenleser ist nicht korrekt installiert.

Schaltfläche: Löschen Mit dem „löschen“-Button können Kartenleser aus der lesegeräteliste („Bekannte Schnittstellen“) gelöscht werden.

22

Scan Der „Scan“-Button dient zum automatischen Einrichten der D-TRUST Card Assistant-lesegerät-Einstellungen. Dieser Vorgang kann abhängig von der zahl der installierten Lesegeräte einige Zeit beanspruchen. Sollte trotz automatischer Suche die Signaturkarte nicht ordnungsgemäß funktionieren, besteht die Möglichkeit, Schnittstellen zu deaktivieren, zu aktivieren, zu löschen oder hinzuzufügen, um eine korrekte Funktionalität der signaturkarte zu erreichen. Beachten sie dazu die Empfehlungen in der folgenden Tabelle.

E M P F O h L E n E K a r T E n L E s E r -E i n s T E L L u n g E n

1 z.B.: - reiner sCT: ctrsct32.dll - sCM: ctpcsc32.dll - Omnikey: ctdeutin.dll - Kobil: ct32.dll

Vorhandene

Kartenleser

EIN Lesegerät

OHNE PinPad

(Klasse 1)

Mehrere

Lesegeräte

OHNE PinPad

(Klasse 1)

Mehrere

Lesegeräte

MIT und OHNE

PinPad

(Klasse 1 bis 3)

EIN Lesegerät

MIT PinPad

(Klasse 2 oder 3)

Datei

Parameter

Sie können für den

Leser die entspre-

chende DLL (*.dll)1

wählen.

Sie können für jeden

verfügbaren Leser

die entsprechende

DLL (*.dll)1 wählen.

Sie können für jeden

verfügbaren Leser

die entsprechende

DLL (*.dll)1 wählen.

Sie können für den

Leser die entspre-

chende DLL (*.dll)1

wählen.

PCSC

PCSC

PCSC

PCSC

ja

ja

nein

nein

CTAPI

CTAPI

CTAPI

CTAPI

Port-

nummer

Typ

Port2

Port2

Port2

Port2

Empfehlung

nur verwenden, wenn sich

die SmartCard nicht über

PCSC ansprechen lässt

nur verwenden, wenn sich

die SmartCard nicht über

PCSC ansprechen lässt

ja, um sichere PIN-Eingabe

an Lesern der Klasse 2 und 3

zu ermöglichen

ja, um sichere PIN-Eingabe

am Leser zu ermöglichen

2 Die entsprechende(n) Portnummer(n) entnehmen Sie bitte den Informationen, die der Kartenlese-gerätehersteller während der CTaPi-Treiber-Installation und/oder über ein herstellerspezifisches Konfigurations- und Einstellungstool (über Windows „Start/Systemsteuerung“) zur Verfügung stellt.

23

R E G I S T E R K A R T E „I n F o “

Diese registerkarte gibt auskunft über den Versionsstand der software D-TrusT Card assistant und den herausgeber des Produktes.

24

V i n u T z u n g D E s D -T r u s T C a r D a s s i s Ta n T

s Ta r T E n u n D B E E n D E n D E s D -T r u s T C a r D a s s i s Ta n T

Starten des D-TRUST Card Assistant zum starten des smartCard-Management-Tool D-TrusT Card assistant ist die D-TRUST_Card_Assistant.exe aufzurufen. Das Programm öffnet sich und sucht nach vorhandenen Kartenlesegeräten und den darin enthaltenen signaturkarten. sie erkennen die Aktivitäten des Programms an der sich bewegenden grünen laufleiste.

Hinweis: Der D-TRUST Card Assistant nutzt die Signaturkarte exklusiv. Das bedeutet, dass während der Nutzungsdauer des D-TRUST Card Assistant kein weiteres Programm die Signaturkarte parallel ansprechen kann.

B E E n D E n D E s D -T r u s T C a r D a s s i s Ta n T

Zum Beenden des Programms betätigen Sie bitte die Schaltfläche „Schließen“.

E i n r i C h T E n V O n K a r T E n L E s E g E r ÄT E n

Vorraussetzung für die Einrichtung mindestens eines Kartenlesegerätes im D-TRUST Card Assistant ist mindestens ein auf dem Computer korrekt installiertes lesegerät. Bitte beachten sie hierbei die Vorgaben des Lesegeräteherstellers.

Vorgehensweise zur automatisierten Einrichtung von Kartenlesegeräten:

1. Einführen der signaturkarte in das installierte und am Computer angeschlossene Kartenlesegerät

2. Aufruf der Registerkarte „Kartenlesegeräte“

25

3. Betätigung der Schaltfläche „Scan“ 4. suche der software nach installierten und angeschlossenen Kartenlesegeräten 5. automatische Einrichtung der gefundenen Kartenlesegeräte im D-TrusT Card assistant

26

Das Kartenlesegerät ist jetzt funktionsfähig eingerichtet. Die sichere PIn-Eingabe kann genutzt werden.

Zum manuellen Einrichten von Kartenlesegeräten beachten Sie bitte das Kapitel Registerkarte „Kartenlesegeräte“.

a n z E i g E V O n z E r T i F i K aT E n D E r s i g n aT u r K a r T E

1. Einführen der signaturkarte in ein angeschlossenes und installiertes Kartenlesegerät 2. Auslesen der Zertifikatsinformationen durch den D-TRUST Card Assistant / Bewegung der

grünen laufleiste 3. Anzeige der auf der Karte vorhandenen Zertifikate im Reiter „Zertifikat(e) der Karte“

27

4. Auswahl des angezeigten Zertifikats mittels Markierung

5. Detailinformationen mittels Doppelklick bzw. der Betätigung der Schaltfläche „Details“

28

i n i T i a L i s i E r E n D E r s i g n aT u r E P i n

nachfolgend wird das Vorgehen für die Initialisierung eines qualifizierten Zertifikates der D-TRUST GmbH schrittweise beschrieben.

Hinweis: Sollte Sie den PIN-Brief beschädigt erhalten haben und es besteht der berechtigte Zweifel, dass Dritte Kenntnis über die Signature Transport PIN erlangten, dann setzen Sie sich bitte mit der D-TRUST GmbH in Verbindung. Führen Sie keine weiteren Aktivitäten mit der Karte durch.

ablauf der Pin-initialisierung: 1. Prüfung der Unversehrtheit des von der D-TRUST GmbH übermittelten PIn-Briefs 2. Öffnen des PIn-Briefs 3. Einführen der signaturkarte in ein angeschlossenes und installiertes Kartenlesegerät und

starten des D-TrusT Card assistant 4. Auslesen der auf der Signaturkarte befindlichen Zertifikate durch die Software/Bewegung

der grünen laufleiste 5. hinweis des D-TrusT Card assistant, dass die signature Pin noch nicht initialisiert ist 6. Automatischer Aufruf des Reiters „PIn initialisieren/ändern/entsperren“ durch die Software

29

7. Auswahl des qualifizierten Zertifikates für qualifizierte Signaturen

Hinweis: Ein qualifiziertes Zertifikat wird mit einem Paragraphen-Symbol (§) gekennzeichnet.

8. Eingabe der signature Transport Pin, der neuen signature Pin, inklusive der erneuten Eingabe der neuen signatur Pin zur Bestätigung

Hinweise: Bitte stellen Sie sicher, dass die neue Signature PIN nicht der Signature Transport PIN entspricht. In diesem Falle erfolgt keine Initialisierung der Karte!

Wählen Sie keine einfache PIN, die von Dritten leicht erahnt werden und die Missbrauchsgefahr durch Dritte erhöhen kann. Die PIN muss in jedem Fall geheim gehalten werden. Schreiben Sie die PIN nicht auf die Karte.

9. Betätigung der Schaltfläche „PIn initialisieren“ 10. Hinweismeldung über die erfolgreiche Initialisierung der Signatur PIn Sie können jetzt das

qualifizierte Zertifikat zur Erzeugung von qualifizierten Signaturen einsetzen.

Än D E r n D E r P i n

Je nach Umfang der Kartenlesegeräteinstallation erfolgt die Änderung der PIn unter nutzung der sicheren Pin-Eingabe oder über die Tastatur des rechners.

Hinweis: Es gilt entweder das Kapitel 6.5.1 oder 6.5.2.

Än D E r n D E r P i n u n T E r n u T z u n g E i n E s K a r T E n L E s E -g E r ÄT E s M i T s i C h E r E r P i n -E i n g a B E

nachfolgend wird das Vorgehen für die Pin-Änderung beispielhaft mit hilfe des Kartenlesegerätes Chipdrive PinPad SPR 532 der SCM Microsystems GmbH schrittweise beschrieben. Dabei erfolgt eine sichere Pin-Eingabe direkt über die Tastatur des Kartenlesegerätes.

Hinweis: Die sichere PIN-Eingabe direkt am Kartenleser dient zur Verminderung der Gefahr des Ausspähens der PIN durch entsprechende Programme.

30

1. Einführen der signaturkarte in ein angeschlossenes und installiertes Kartenlesegerät und starten des D-TrusT Card assistant

2. Auslesen der auf der Signaturkarte befindlichen Zertifikate durch die Software/Bewegung der grünen laufleiste

3. Aufruf des Reiters „PIn initialisieren/ändern/entsperren“ 4. Auswahl des Zertifikates, dessen PIn geändert werden soll 5. Setzen des Hakens in der Check-Box „PIn-Änderung über Tastatur des lesegerätes“, um die

sichere Pin-Eingabe direkt am Kartenlesegerät vornehmen zu können

Hinweise: Voraussetzung ist der Einsatz und die korrekte Installation eines Kartenlesegerätes mit PinPad über CTAPI (siehe Abschnitt Registerkarte „Kartenlesegeräte“). Mit dem Setzen des Hakens in der Check-Box „PIN-Änderung über Tastatur des Lesegerätes“ werden die Felder „alte PIN:“, „neue PIN“ und „neue PIN bestätigen“ ausgegraut sowie die Schaltfläche „PIN ändern“ aktiviert.

6. Betätigung der Schaltfläche „PIn ändern“/Automatischer Aufruf des PIn-Eingabe-Dialoges des Kartenlesers

31

Hinweis: Die PIN-Eingabe ist direkt am Kartenleser zu vollziehen.

7. Pin-Änderung am Kartenleser: Folgen sie den anweisungen der software des Kartenlesers. Beispielhaft wird die Änderung der Pin am Kartenlesegeräts sCM Chipdrive PinPad sPr 532 dargestellt.

Die alte Pin ist einzugeben und mit der grünen Taste zu bestätigen.

Hinweis: Wird die alte PIN 3x falsch eingegeben, erfolgt die Sperrung der PIN. Die PIN muss dann mit Hilfe der PUK entsperrt werden.

anschließend ist die individuelle neue Pin einzugeben und mit der grünen Taste zu bestätigen.

Daraufhin ist die individuelle neue PIn zur Bestätigung noch einmal einzugeben und die grüne Taste zu drücken.

Hinweis: Wählen Sie keine einfache PIN, die von Dritten leicht erahnt werden und die Missbrauchsgefahr durch Dritte erhöhen kann. Die PIN muss in jedem Fall geheim gehalten werden. Schreiben Sie die PIN nicht auf die Karte.

Die erfolgreiche Pin-initialisierung wird zunächst vom Kartenleser bestätigt und ...

... anschließend noch einmal vom D-TrusT Card assistant mitgeteilt und ist mit „oK“ zu bestätigen.

Die Signaturkarte kann ab sofort zum Erzeugen von Signaturen unter nutzung der neuen PIn eingesetzt werden.

Än D E r n D E r P i n ÜB E r D i E Ta s TaT u r D E s C O M P u T E r s

nachfolgend wird das Vorgehen für die Pin-Änderung über die Tastatur des Computers schrittweise beschrieben.

Schritte 1 –4: siehe Kapitel „Ändern der PIn unter nutzung eines Kartenlesegerätes mit sicherer PIn-Eingabe“

32

5. nachweis der alten PIn im Feld „alte PIn:“, der neuen PIn im Feld „neue PIn“ und Bestätigung der neuen PIn im Feld „neue PIn bestätigen“

6. Betätigung der Schaltfläche „PIn ändern“

7. Erfolgsmeldung des D-TrusT Card assistant bei erfolgreicher Pin-Änderung

Die Signaturkarte kann ab sofort zum Erzeugen von Signaturen unter nutzung der neuen PIn eingesetzt werden.

E n T s P E r r E n D E r P i n M i T T E L s P u K

nachfolgend wird das Vorgehen für das Entsperren einer PIn mittels PUK schrittweise beschrieben.

33

1. Einführen der signaturkarte in ein angeschlossenes und installiertes Kartenlesegerät und starten des D-TrusT Card assistant

2. Auslesen der auf der Signaturkarte befindlichen Zertifikate durch die Software/Bewegung der grünen laufleiste

3. Aufruf des Reiters „PIn initialisieren/ändern/entsperren“ 4. Auswahl des Zertifikates, dessen PIn entsperrt werden soll 5. auswahl der aktivität entsperren 6. Eingabe der PUK und Betätigung der Schaltfläche „PIn entsperren“

7. Erfolgsmeldung der software D-TrusT Card assistant

Die Signaturkarte kann ab sofort wieder zum Erzeugen von Signaturen unter nutzung der alten PIn eingesetzt werden.

34

E r z E u g E n E i n E r s u P P O r Ta n F r a g E

nachfolgend wird das Vorgehen für die Erzeugung einer Supportanfrage schrittweise beschrieben. D-TrusT Card assistant bietet die Möglichkeit, eine Diagnose aller gefundenen signaturkarten und Kartenleser durchzuführen. Eine durchgeführte Diagnose kann gespeichert und an den D-TrusT-support im rahmen eines supportbedarfs per E-Mail verschickt werden.

1. Einführen der signaturkarte in ein angeschlossenes und installiertes Kartenlesegerät und starten des D-TrusT Card assistant

2. Auslesen der auf der Signaturkarte befindlichen Zertifikate durch die Software/Bewegung der grünen laufleiste

3. Aufruf des Reiters „Diagnose/Support“

35

4. Start der Diagnose durch Betätigung der Schaltfläche „Diagnose starten“ 5. Durchführung der Diagnose durch D-TrusT Card assistant 6. Betätigung der Schaltfläche „Supportanfrage“ 7. Erzeugung einer E-Mail mit Dateianhang (Diagnosebericht) 8. Ergänzung der noch fehlenden informationen in den Bereichen Telefon und

Fehlerbeschreibung, um einen optimalen support durch die D-TrusT gmbh zu gewährleisten/Versand der supportanfrage

T E C h n i s C h E s P E z i F i K aT i O n E n u n D s Ta n D a r D s

> smartCard-Management-Tool für Windows 2000, Windows XP home, Windows XP Professional und Windows 7

> Common PKi Version 1.1 > Kartenkommunikationsprotokolle: T0, T1 > Unterstützte Kartenlesegeräte: Kartenlesegeräte der Klassen 1, 2 und 3/Ansprache der

Kartenlesegeräte über PC/sC und CT-aPi > Zertifikatsformat: X.509 v3, DER-codiert > hashalgorithmen: sha1, sha2, riPEMD160

Unterstützte Signaturkarten:> Signaturkarte D-TRUST Card, Version 2.X (CardoS)> Signaturkarte D-TRUST Card, Version 3.0 (STARCoS)