RSA Manager
Beschreibung
Der RSA Manager ist eine Zertifikatsverwaltung für signotec Unterschriftenpads.
Die Anwendung ermöglicht, die Zertifikate und Schlüssel zum Signieren eines Dokuments und zum Verschlüsseln der biometrischen Daten, auszutauschen. Im Folgenden wird die Anwendung RSA Manager beschrieben.
Oberfläche
Nach dem Start des RSA Managers werden alle angeschlossenen Signaturgeräte in einer Tabelle aufgelistet. Dies kann einige Zeit in Anspruch nehmen, da alle angeschlossenen USB und virtuell-seriellen (z.B. FTDI) Geräte gesucht werden. Geräte, die über Ethernet (IP) betrieben werden, werden nicht aufgelistet und können nicht verwendet werden.
Nach Abschluss der Suche werden für jedes gefundene Gerät Informationen zur Seriennummer, zum Pad-Typ, zur Firmware, zur Verbindungsart sowie (falls vorhanden) die Zertifikate zur Signierung und Verschlüsselung des jeweiligen Gerätes angezeigt.
Zusätzlich stehen verschiedene Schaltflächen zur Verfügung, über die die Verwaltung der Zertifikate in den Geräten vorgenommen werden kann. Auf diese und ihre Funktionen wird in den folgenden Kapiteln näher eingegangen.
Menüleiste
Die Menüleiste enthält folgende Funktionen:
Über “Datei” kann die Anwendung beendet werden.
Über das “?”-Symbol können Informationen zur Version sowie Kontaktdaten angezeigt werden. In dem Fenster steht auch eine Schaltfläche zur Verfügung, um kostenpflichtige Funktionen freizuschalten.
Funktionen
Basisfunktionen
Die Basisfunktionen des RSA Managers sind kostenfrei. Hierzu zählen insbesondere:
Austausch des öffentlichen Schlüssels zur Verschlüsselung der biometrischen Daten
Generierung der Schlüssels / des Zertifikats zum Signieren im Pad
Austausch der Schlüssel / des Zertifikats zum Signieren durch ein extern erzeugtes Zertifikat
Erzeugung eines “Certificate Signing Requests” (CSR) zur externen Erstellung eines Zertifikats
Import und Export des extern erzeugten öffentlichen Zertifikats
Erweiterte Funktionen
Durch den Erwerb einer Lizenz können für den RSA Manager weitere Funktionen freigeschaltet werden.
Folgende erweiterte Funktionen stehen zur Verfügung:
Setzen eines “RSA Passworts” zum Schutz vor ungewollten Änderungen der Zertifikatseinstellungen
Dauerhafte Aktivierung des “Secure Mode”
Dauerhafte Deaktivierung einzelner Gerätefunktionen
Lizenzierung
Um die erweiterten Funktionen freizuschalten, muss der RSA Manager kostenpflichtig lizenziert werden. Die Lizenzierung kann über den Info-Dialog über das “?”-Symbol in der Menüleiste aufgerufen werden.
Zur Lizenzierung wird ein Softwarecode angezeigt. Dieser Code muss zusammen mit der Rechnungsnummer an lizenz@signotec.de gesendet werden. Die Erstellung des Lizenzschlüssels dauert in der Regel max. 3 Stunden. Dieser muss in das entsprechende Feld eingetragen werden. Ist der Lizenzschlüssel gültig, wird dieser in der “key.txt” im Verzeichnis “%PROGRAMDATA%/signotec/RSAManager” gespeichert.
Lizenz deaktivieren
Sofern die Software aktiviert ist, kann die Lizenz über die Schaltfläche “Lizenz deaktivieren” deaktiviert, um die erweiterten Funktionen wieder abzuschalten.
Einstellungen und Verwendung
Im Hauptfenster stehen zahlreiche Funktionen zur Verfügung, die im folgenden erläutert werden.
Geräteübersicht und -auswahl
Im oberen Teil des Hauptfensters werden alle Geräte dargestellt, die beim Start der Anwendung gefunden wurden. Es stehen folgende Funktionen in der Liste zur Verfügung:
Funktion | Beschreibung |
---|---|
Alle abwählen | Mit dieser Schaltfläche können alle gefundenen Geräte in der Liste abgewählt (deaktiviert) werden. Geräte können auch einzeln über die Spalte “Auswahl” abgewählt werden. |
Alle auswählen | Mit diese Schaltfläche können alle gefundenen Geräte in der Liste ausgewählt (aktiviert) werden. Geräte können auch einzeln über die Spalte “Auswahl” ausgewählt werden. |
Geräte suchen | Mit dieser Schaltfläche kann die Suche nach Unterschriftenpads wiederholt werden, z. B. wenn nach dem Start der Anwendung weitere Pads angeschlossen wurden. Die Software sucht automatisch nach allen USB-Geräten sowie Geräten mit virtuell-serieller Verbindung (bspw. FTDI). Eine Suche nach IP-Geräten ist nicht möglich. |
Schlüssel und Zertifikate von ausgewählten Geräten bearbeiten
Unter der Geräteübersicht werden Funktionen zur Verwaltung der Schlüssel und Zertifikate im Gerät angezeigt. Die Funktionen sind in die Bereiche “Verschlüsseln” und “Signieren” unterteilt.
Verschlüsseln
Im Bereich “Verschlüsseln” kann über die Schaltfläche “Öffentlichen Schlüssel austauschen…” der öffentliche Schlüssel in den ausgewählten Signaturpads ausgetauscht werden.
Nach Betätigung der Schaltfläche erscheint ein Dialog. Falls das Gerät mit einem Passwort geschützt ist, muss dieses zuerst eingegeben werden. Standardmäßig ist kein RSA-Passwort vorhanden, so dass das Eingabefeld leer gelassen werden kann.
Anschließend kann das gewünschte öffentliche Zertifikat (*.cer) ausgewählt werden. Nach der Auswahl wird versucht, den öffentlichen Schlüssel in die ausgewählten Geräte zu laden. Dieser Vorgang kann einige Zeit in Anspruch nehmen. Sobald der Vorgang abgeschlossen ist, erscheint eine Meldung. In der Auswahlliste wird für die zuvor ausgewählten Geräte das neue Zertifikat in der Spalte “Verschlüsseln” angezeigt.
Durch den Austausch des Schlüssels werden alle im Pad verschlüsselten Daten mit diesem Schlüssel verschlüsselt und können nur mit dem zugehörigen privaten Schlüssel wieder entschlüsselt werden.
Der Austausch des Zertifikats kann auch über die Software signoSign/2 oder die signoPAD-API erfolgen, sofern das Unterschriftenpad nicht mit einem RSA-Passwort gesperrt ist.
Bei Verwendung eines eigenen Schlüssels zur Verschlüsselung der Daten muss die sichere Verwaltung des privaten Schlüssels gewährleistet sein. Dies liegt in der Verantwortung des Erstellers.
Mit dem Austausch des Schlüssels wird ein eventuell vorhandener Schlüssel unwiderruflich gelöscht.
Signieren
Im Bereich “Signieren” können die Schlüssel und Zertifikate zum Signieren von Daten innerhalb des Unterschriftenpads ausgetauscht werden. Es stehen die folgenden Funktionen zur Verfügung.
Funktion | Beschreibung |
---|---|
Schlüssel / Zertifikat generieren… | Diese Schaltfläche generiert in allen ausgewählten Geräten ein neues Schlüsselpaar bzw. Zertifikat zum Signieren innerhalb des Unterschriftenpads. Über die nebenstehenden Auswahllisten kann die gewünschte Schlüssellänge zwischen 1.024 und 4.096 Bit sowie die Gültigkeit des Zertifikats ausgewählt werden. Die “maximale Gültigkeit” endet im Jahr 2049. Nach Betätigung der Schaltfläche erscheint ein Dialog. Falls das Gerät mit einem Passwort geschützt ist, muss dieses zuerst eingegeben werden. Standardmäßig ist kein RSA-Passwort vorhanden, so dass das Eingabefeld leer gelassen werden kann. Anschließend werden die Schlüssel erstellt. Dieser Vorgang kann einige Zeit in Anspruch nehmen. Sobald der Vorgang abgeschlossen ist, erscheint eine Meldung. In der Auswahlliste wird für die zuvor ausgewählten Geräte das neue Zertifikat in der Spalte “Signieren” angezeigt. Durch den Austausch des Schlüssels werden alle im Pad signierten Daten mit diesem Schlüssel signiert. |
Schlüssel / Zertifikat austauschen… | Diese Schaltfläche tauscht den Schlüssel bzw. das Zertifikat für die Signatur von Daten in allen ausgewählten Unterschriftenpads aus. Nach Betätigung der Schaltfläche erscheint ein Dialog. Falls das Gerät mit einem Passwort geschützt ist, muss dieses zuerst eingegeben werden. Standardmäßig ist kein RSA-Passwort vorhanden, so dass das Eingabefeld leer gelassen werden kann. Anschließend kann das gewünschte Zertifikat (*.p12 oder *.pfx) ausgewählt werden. Nach der Auswahl muss das Passwort der Zertifikatsdatei eingegeben werden. Danach wird versucht, das Zertifikat in die ausgewählten Geräte zu laden. Dieser Vorgang kann einige Zeit in Anspruch nehmen. Sobald der Vorgang abgeschlossen ist, erscheint eine Meldung. In der Auswahlliste wird für die zuvor ausgewählten Geräte das neue Zertifikat in der Spalte “Signieren” angezeigt. Der Austausch des Zertifikats kann auch über die Software signoSign/2 oder die signoPAD-API erfolgen, sofern das Unterschriftenpad nicht mit einem RSA-Passwort gesperrt ist. |
CSR speichern… | Diese Schaltfläche speichert einen “Certificate Signing Request” (CSR) für alle ausgewählten Unterschriftenpads. Die Datei wird als “<Seriennummer>.pem” gespeichert und kann verwendet werden, um ein Zertifikat bei einer eigenen (internen) oder externen Zertifizierungsstelle (Certificate Authority / CA) anzufordern. Das angeforderte Zertifikat kann dann über die Funktion “Öffentliches Zertifikat austauschen...” im Pad ausgetauscht werden. Das Besondere an dieser Funktion ist, dass es sich am Ende immer um Schlüssel handelt, die im Signaturpad erzeugt wurden. Das Verfahren ist besonders manipulationssicher, da der private Schlüssel das Pad nie verlassen hat. |
Öffentliches Zertifikat austauschen… | Mit dieser Schaltfläche kann das öffentliche Zertifikat in allen ausgewählten Unterschriftenpads ausgetauscht werden. Dies wird in der Regel verwendet, wenn mit der Funktion “CSR speichern...” extern ein öffentliches Zertifikat erzeugt wurde. Nach Betätigung der Schaltfläche erscheint ein Dialog. Falls das Gerät mit einem Passwort geschützt ist, muss dieses zuerst eingegeben werden. Standardmäßig ist kein RSA-Passwort vorhanden, so dass das Eingabefeld leer gelassen werden kann. Anschließend muss ein Ordner ausgewählt werden, in dem die öffentlichen Schlüssel enthalten sind. Diese müssen die Seriennummer als Dateinamen haben. Danach wird versucht, die Zertifikate in die ausgewählten Geräte zu laden. Dieser Vorgang kann einige Zeit in Anspruch nehmen. Sobald der Vorgang abgeschlossen ist, erscheint eine Meldung. |
Öffentliches Zertifikat speichern… | Mit dieser Schaltfläche kann das öffentliche Zertifikat aller ausgewählten Unterschriftenpads exportiert und als Datei gespeichert werden. Die erstellte Datei lautet “<Seriennummer>.cer”. |
Durch Lizenz freigeschaltete Optionen
Dieser Bereich ist nur sichtbar, wenn ein gültiger Lizenzschlüssel in der Software hinterlegt ist.
RSA Passwort ändern
Im Bereich “RSA Passwort ändern” kann das Passwort zum Schutz der RSA-Funktionen des Unterschriftenpads konfiguriert werden. Es stehen die folgenden Funktionen zur Verfügung.
Funktion | Beschreibung |
---|---|
RSA Passwort ändern… | Mit dieser Schaltfläche können die RSA-Funktionen in allen ausgewählten Unterschriftenpads mit einem Passwort geschützt werden. Sofern die Geräte mit einem Passwort geschützt wurden, ist der Austausch von Zertifikaten und Schlüsseln nur noch nach Eingabe des Passwortes möglich. |
RSA Passwort löschen… | Mit dieser Schaltfläche kann ein vorhandenes RSA-Passwort in allen ausgewählten Unterschriftenpads gelöscht werden. |
Das Zurücksetzen eines vergessenen Passwortes ist nur durch einen kostenpflichtigen Reset der Firmware im Werk von signotec möglich.
Secure Mode aktivieren / Passwort ändern / deaktivieren
Im Bereich “Secure Mode aktivieren / Passwort ändern / deaktivieren” kann der “Secure Mode” konfiguriert werden. Durch diese Konfigurationen wird der “Secure Mode” des Unterschriftenpads aktiviert.
Bei aktiviertem “Secure Mode” können die biometrischen Daten der Unterschrift nicht mehr unverschlüsselt vom Unterschriftenpad ausgelesen werden. Für eine Echtzeitdarstellung werden nur noch rudimentäre Daten verwendet, die forensisch nicht verwertbar sind. Sofern der “Secure Mode” nicht aktiviert wurde, kann die verwendete Software entscheiden, welche Funktionen des Signaturpads genutzt werden und ob z. B. Unterschriften nicht innerhalb des Pads verschlüsselt werden.
Es stehen die folgenden Funktionen zur Verfügung.
Funktion | Beschreibung |
---|---|
Aktivieren / Passwort ändern… | Mit dieser Schaltfläche kann der Secure Mode für alle ausgewählten aktiviert bzw. das Passwort für den bereits aktivierten Secure Mode geändert werden. Nach Betätigung der Schaltfläche erscheint ein Dialog zur Eingabe des ggf. vorhandenen Passwortes sowie des neuen Passwortes. |
Secure Mode deaktivieren… | Mit dieser Schaltfläche kann der Secure Mode wieder deaktiviert werden, falls er aktiviert wurde. |
Das Zurücksetzen eines vergessenen Passwortes ist nur durch einen kostenpflichtigen Reset der Firmware im Werk von signotec möglich.
Features deaktivieren
Im Bereich “Features deaktivieren” können einzelne Funktionen der Unterschriftenpads dauerhaft deaktiviert werden.
Über die Schaltfläche “Features deaktivieren…” öffnet sich ein Dialog mit einer Auswahl von Funktionen, die dauerhaft deaktiviert werden sollen. Über die Auswahlliste können alle gewünschten Funktionen ausgewählt werden, die dauerhaft deaktiviert werden sollen.
Folgende Funktionen können deaktiviert werden:
Erzeugung von RSA-Schlüsselpaaren
Speicherung von extern erzeugten RSA-Schlüsselpaaren
Speicherung von extern erzeugten öffentlichen RSA-Schlüsseln zur Verschlüsselung
Deaktivierung von Funktionen zur Signatur extern erzeugter Daten
Deaktivierung von Funktionen zur Verschlüsselung extern erzeugter Daten
Die Deaktivierung der Gerätefunktionen ist dauerhaft und kann nur durch einen kostenpflichtigen Reset der Firmware im Werk von signotec rückgängig gemacht werden.