Was man braucht:
Generell braucht man für die digitale Signatur, besonders für die in Österreich rechtsgültige digitale Signatur sowie für die österreichische Bürgerkarten-Lösung folgendes:
Einen Kartenleser mit externem Pinpad zur Eingabe des Codes. Die am meisten eingesetzten Geräte sind von der Firma reiner-sct in Deutschland z.B. der besonders günstige Cyberjack Pinpad.
Eine Karte mit einem Zertifikat einer akkredidierten Zertifizierungsstelle. In Österreich ist das die Firma a-trust, Karten können entweder Bankomatkarte oder Mastercard sein, oder eigene a-trust Karten. Die Kosten dafür kann man unter www.a-trust.at finden.
Die digitale Signatur auf der eCard hingegen kann nur für eGovernment, also als Bürgerkarte verwendet werden, ist dafür aber kostenlos.
Softwareseitig braucht man:
- Den Treiber der Firma Reiner SCT, Cyberjack Base Components. Die aktuellste Version, die direkt von Reiner SCT support@reiner-sct.com erhältlich ist, hat die Versionsnummer 5.16.0 – das ist bereits ein Vista Beta Treiber, in drei Wochen ist laut Reiner SCT mit einer finalen Version zu rechnen.
- Den a-sign Client der Firma a-Trust. Aktuell in der Version 1.2.3.6 noch nicht offiziell für Vista geeignet, aber mit einigen Einschränkungen und Workarounds verwendbar.
- Eine sogenannte Security Layer Software und Bürgerkartenumgebung (BKU). Diese Software dient dem zweck der sicheren (rechtsgültigen) digitalen Signatur und der Verwendung von Behördenanwendungen nach dem Konzept „Bürgerkarte“
z.B. Trustdesk Basic von der Firma ITSolution oder HotSign von der Firma BDC
Zur Installation
- Die Installation des Treibers von Reiner SCT verläuft ohne Probleme. Die Karte kann dann auch getestet werden.
Der a-sign Client aber ist nicht für Vista geeignet und man muss sich momentan mit unguten Workarounds helfen. Entweder ausführen als Administrator, Geschützen Modus im Internet Explorer abschalten oder gleich User Account Control abdrehen, wie es a.trust als temporäres Workaround in ihrem Forum empfehlen.
- Trustdesk Basic wird nur richtig installiert wenn man beim Installationspaket „Ausführen als Administrator“ sagt, da der User Account Control Dialog nicht von alleine kommt. (Anmerkung Georg: UAC Meldung ist eine Applikationsenstellung bei korrekter Programmierung. Andernfalls werden Dinge die nicht sein dürfen kommentarlos geblockt.)
- Außerdem natürlich in der Firewall zulassen, aber das Fenster bekommt man ohnehin.
- Weiters den Pop Up Blocker für 127.0.0.1 abdrehen.
- Ob das an Trustdesk Basic oder am Treiber für den Kartenleser liegt, kann ich nicht sagen, aber es fehlen auch die Piep-Töne am Kartenleser, so muss man sich an den Leuchtdioden orientieren ab wann man den Code eingeben kann und ob der Code angenommen wurde.
Was funktioniert und was nicht bzw. welche Einschränkungen es gibt:
|
Test
|
Funktioniert?
|
Einschränkung
|
Lösung/Workaround
|
|
Login Raiffeisen Internet Banking (erfordert Trustdesk Basic als Signatursoftware)
|
Ja
|
|
Pop-Up Blocker für 127.0.0.1 abdrehen!
Geschützen Modus deaktivieren *.
|
|
Login Finanz Online
(erfordert Trustdesk Basic als Bürgerkartenumgebung und Signatursoftware)
|
Nein
(trustdesk)
Ja
(BDC hotsign)
|
Trustdesk: Fehler bei der Anmeldung. In der Bürgerkartenumgebung ist ein Fehler aufgetreten.
|
BDC Hotsign statt Trustdesk Basic verwenden
|
|
Windows Login
|
?
|
|
Sollte eigentlich in Windows Vistamöglich sein, aber wie?
|
|
Login www.WKO.at
|
Ja
|
Pin Eingabe auf der Tastatur
Funktioniert im IE7 nicht mit „Geschützem Modus“
|
|
|
www.zustellung.gv.at
(erfordertTrustdesk Basic als Bürgerkartenumgebung und Signatursoftware)
|
Nein
(trustdesk)
Ja
(BDC hotsign)
|
Fehler bei der Anmeldung. In der Bürgerkartenumgebung ist ein Fehler aufgetreten.
|
BDC Hotsign statt Trustdesk Basic verwenden
|
|
Login Sozialversicherung
(erfordert Trustdesk Basic als Bürgerkartenumgebung und Signatursoftware)
|
Nein
(trustdesk)
Ja
(BDC hotsign)
|
Fehler bei der Anmeldung. In der Bürgerkartenumgebung ist ein Fehler aufgetreten.
|
BDC Hotsign statt Trustdesk Basic verwenden
|
|
Testnormal Bürgerkarte
|
1 Fehler
(trustdesk)
|
Fehler bei Punkt 1 von 4 „Signaturvalidierung durch SecurityLayer“
Es wird auch ein Fehler in TrustDesk angezeigt
|
|
|
Outlook 2007 E-Mail signieren
|
Ja
|
Pin Eingabe auf der Tastatur
|
|
|
PDF signieren
|
Ja
|
Pin Eingabe auf der Tastatur
|
|
Man kann den Geschützten Modus im Internet Explorer auf zwei Arten deaktivieren. Entweder man startet den Internet Explorer als Administrator („Als Administrator ausführen“) oder man fügt die Seite zu den vertrauenswürdigen Seiten hinzu. z.B. https://banking.raiffeisen.at oder https://finanzonline.bmf.gv.at/ (Anmerkung Georg: das ist natürlich besser als den IE als Admin zu starten!)
Der geschützte Modus im Internet Explorer muss immer deaktiviert werden, was manchmal okay ist (Bank oder Finanzamt als „vertrauenswürdige Seite“ einzustufen ist für mich kein Problem) manchmal aber nicht erwünscht oder lästig ist. Die Signierung sollte immer auf dem PinPad erfolgen, der a.sign Client schafft das aber unter Vista nicht, der Pin muss auf der Tastatur eingegeben werden.
Wo die Signatur statt über den a.sign Client über die Signatursoftware trustdesk funktioniert, kann die Eingabe problemlos am Pinpad erfolgen, nur das Fehlen der Töne ist lästig, so muss man auf die Leds achten, erst wenn die gelbe (rechte) LED blinkt, den Pin eingeben!
Alles was eine Bürgerkartenumgebung benötigt, funktioniert derzeit mit trustdesk basic nicht, immer die gleiche Fehlermeldung: „Fehler bei der Anmeldung…. In der Bürgerkartenumgebung ist ein Fehler aufgetreten.“
E-Mail signieren funktioniert problemlos, PDF signieren ebenso, eben bis auf die Tatsache dass man den Pin auf der Tastatur eingeben muss.
Die Firma Reiner SCT ist meiner Ansicht nach vorbildlich, sie stellt schon seit Wochen auf Anfrage immer wieder neuere Builds ihrer Vista Treiber bereit, in 3 Wochen soll der Treiber final sein. Der Treiber ist einfach zu installieren, digital signiert und meiner Erfahrung nach stabil. Nur das Fehlen der Piepstöne – das muss wohl am Treiber liegen – ist lästig.Hinweis: Wichtig ist auch, dass man im Cyberjack Gerätemanager die Firmware aktualisiert, das geht aber nur mit „Als Administrator ausführen“ oder mit deaktivierter Benutzerkontensteuerung (letzteres ist nicht empfehlenswert).
Die Firma a-Trust ist meiner Einschätzung nach spät dran und hat keinen guten Plan wie sie Vista tauglich werden wollen. Sie wollen laut eigener Aussage nicht alles für Vista neuschreiben und versuchen so den bestehenden a.sign Client irgendwie mit Workarounds Vista tauglich zu machen. Der Tipp im a.trust Forum User Account Control (Benutzerkontensteuerung) abzudrehen, ist bestenfalls eine kurzfristige Notlösung, spätestens nach dem Consumer Launch würde ich sowas – vor allem von einer Sicherheitsfirma - echt nicht mehr hinnehmen. Das ist wie einem Linux User zu sagen, er soll ab sofort als Root arbeiten damit eine bestimmte Software funktioniert. Das Problem ist, dass unbedarfte Anwender das dann machen, ohne die möglichen Konsequenzen zu kennen, und dann heißt es wieder, Windows sei so unsicher.
Außerdem ist das abschalten von UAC meiner Ansicht nach ohnehin nur ein naives Umschiffen mehrerer Probleme. Man sieht, dass es um ganz etwas anderes geht. Durch Abschalten von User Account Control (Benutzerkontensteuerung) arbeitet nicht nur jeder Prozess mit Admin Rechten, sondern es ist auch der Geschützte Modus im IE7 abgedreht. Dass das Abdrehen von UAC gar nicht nötig ist, habe ich in meinen Beispielen oben beschrieben: Geschützten Modus gezielt abdrehen, etwa durch Hinzufügen einer Seite zur Liste der „Vertrauenswürdigen Seiten“ oder gezieltes „Als Administrator ausführen“ tut’s auch! Deswegen müssen noch lange nicht alle Programme im Admin Modus laufen bzw. alle Internet Seiten immer ohne Geschützten Modus auskommen!
Und das Problem, dass der Pincode auf der Tastatur eingegeben werden muss, besteht übrigens auch bei deaktivierter Benutzerkontensteuerung.
Die Karte wird im a.sign Client abwechselnd entweder nur als PC/SC Karte oder cyberjack PinPad, selten als beides erkannt. Vielleicht hat das etwas mit dem Problem der Eingabe auf der Tastatur statt am PinPad zu tun?
BDC HotSign
Nachdem ich meine Tests zunächst mit trustdesk basic gemacht hatte, und nicht alles funktionierte, insbesondere nicht die eGoverment Funktionen, siehe Matrix, war ich positiv überrascht, dass alle diese Dinge mit bdc hotsign sehr wohl möglich waren.
Aber wenn es da nicht auch Abstriche gäbe, wäre das zu schön um wahr zu sein: BDC Hotsign stellt Windows Vista trotz 2GB Arbeitsspeicher und 3D-Grafikkarte mit 512MB Arbeitsspeicher auf Windows Vista Basic um, deaktiviert also, warum auch immer, die Windows Aero Oberfläche.
Fazit:
Nachdem es sehr mühsam war, das alles einzurichten und alles herauszufinden arbeite ich nun erfolgreich, mit nur wenigen Einschränkungen unter Windows Vista mit digitaler Signatur und Bürgerkarte.
- Ich deaktiviere den Geschützten Modus im IE7 entweder durch Hinzufügen der jeweiligen Seite zu den vertrauenswürdigen Seiten, oder durch Ausführen von IE7 als Administrator
- Ich finde mich einstweilen damit ab, dass ich für die einfache digitale Signatur (z.B. Mail, PDF) nicht am Pinpad sondern auf der Tastatur den Pin eingeben muss.
- Ich verwende für die qualifizierte (sichere, rechtsgültige) digitale Signatur und für Behördenanwendungen (eGovernment) die Applikation BDC Hotsign, nicht Trustdesk Basic und finde mich damit ab, das diese das Windows Vista Design Aero verübergehend deaktiviert.
- Gelbe LED am Kartenleser abwarten (statt Piepston) ist lästig, man gewöhnt sich aber daran.