flu
Anmeldungsdatum: 2. April 2019
Beiträge: Zähle...
|
Ein Erfahrungsbericht zum Kartenleser Reiner SCT cyberjack One. Der cyberjack One hat zwei positive Eigenschaften: Das Gerät ist kompatibel zum CCID-Treibermodell (zu verschiedenen Treibern siehe auch diesen Kommentar). Für reisende Nutzer hilfreich, besteht die Tastatur aus erhabenen Gummitasten, die sich auch blind (abgedeckt) gut bedienen lassen.
Eine beleuchtete Anzeige hat das Gerät nicht. Man ist also immer vom Umgebungslicht abhängig, was recht störend sein kann. Die qualifizierte elektronische Signatur (qeS) unterstützt das Gerät ebenfalls nicht. (Ein Gerät, welches alle hier angesprochenen Kriterien erfüllt – CCID-Kompatibilität, erhabene Gummitasten, beleuchtete Anzeige, qeS – sucht man Stand Nov. 2019 bei dem Hersteller vergeblich.) Ich kann bestätigen, dass der Kartenleser unter Xubuntu 18.04 (bionic) mit dem CCID-Treiber aus dem Paket libccid funktioniert: | $ # Version
$ apt-cache policy libccid
libccid:
Installiert: 1.4.29-1
Installationskandidat: 1.4.29-1
Versionstabelle:
*** 1.4.29-1 500
500 http://de.archive.ubuntu.com/ubuntu bionic/universe amd64 Packages
100 /var/lib/dpkg/status
|
Getestet wurde das Anmelden am beA. Der cyberjack One wird laut Upstream-CCID-Entwickler Ludovic Rousseau seit Treiberversion 1.4.28 unterstützt, allerdings nicht erstklassig. Das heißt, die Funktion des Gerätes kann vom Entwickler nicht durch Reihentests sichergestellt werden. (An zuverlässiger CCID-Unterstützung interessierte Nutzer dürfen den Hersteller gern befragen, woran die Zusammenarbeit mit dem CCID-Entwickler scheitert.) Mit dem in Ubuntu 18.04 enthaltenen Herstellertreiber libifd-cyberjack6 mit Stand SP09 funktioniert das Gerät nicht. Unterstützung für das Gerät wurde erst in SP11/12 hinzugefügt. Obwohl der Hersteller aktuellere Treiber zum Download anbietet, befinden sich selbst im frischen, 18 Monate später erschienenen Ubuntu 19.10 nur Herstellertreiber mit Stand SP09. (An zuverlässiger Herstellertreiber-Unterstützung interessierte Nutzer dürfen den Hersteller gern befragen, woran die Zusammenarbeit mit den Ubuntu- bzw. Debian-Entwicklern scheitert.) Ich kann bestätigen, dass die Anmeldung am beA mit dem Kartenleser unter Xubuntu 18.04 (bionic) mit dem heruntergeladenen Herstellertreiber (Stand SP13) möglich ist. | $ # Version
$ apt-cache policy libifd-cyberjack6
libifd-cyberjack6:
Installiert: 3.99.5final.sp13
Installationskandidat: 3.99.5final.sp13
Versionstabelle:
*** 3.99.5final.sp13 100
100 /var/lib/dpkg/status
3.99.5final.sp09-1.1ubuntu1 500
500 http://de.archive.ubuntu.com/ubuntu bionic/universe amd64 Packages
|
Zur Installation ist das deb -Paket herunterzuladen und das folgende Kommando auszuführen: | $ sudo apt-get install <deb-Datei>
|
Die Funktion lässt sich mit dem Programm pcsc_scan prüfen. Bei Fehlschlag sollte man das Gerät abziehen und den Dienst pcscd manuell neustarten: | $ sudo systemctl restart pcscd.service
|
Um den Status des Dienstes einzusehen, werden keine erhöhten Rechte benötigt: | $ systemctl status pcscd.service
|
Nachteil der Installation des Herstellertreibers ist, dass manuell installierte Pakete von der Paketverwaltung nicht automatisch aktualisiert werden können. Zwar ist nicht damit zu rechnen, dass der Herstellertreiber in Ubuntu 18.04 noch funktionale Erweiterungen erhält, die einem entgehen könnten. Jedoch bleibt man auch von jederzeit möglichen Sicherheitsaktualisierungen abgeschnitten und muss für solche die Herstellerseite regelmäßig (täglich) im Auge behalten. Unter Sicherheitsaspekt wäre mit Ubuntu 18.04 daher der Betrieb mit CCID-Treiber zu bevorzugen. Das vom Dienstleister der BRAK unterstützte Ubuntu 16.04 (xenial) enthält die Bibliothek libccid in der Version 1.4.22 sowie den Herstellertreiber libifd-cyberjack6v5 (leicht anderer Paketname) mit Stand SP05, so dass das Gerät mit beiden Treibern nicht funktionieren dürfte. Der Hersteller bietet einen Treiber mit Stand SP12 zum Herunterladen an. Getestet habe ich die Funktion unter Ubuntu 16.04 nicht.
|
flu
Anmeldungsdatum: 2. April 2019
Beiträge: Zähle...
|
Ein Erfahrungsbericht zur Kartenverwaltungsanwendung Signaturanwendungskomponente (SAK) der Bundesnotarkammer. Ich kann bestätigen, dass ich die PIN-Änderung und das Zurücksetzen des Fehlbedienungszählers mit Hilfe des Programms SAK unter Xubuntu 18.04 mit einer beA-Karte Basis erfolgreich testen konnte. Das Auf- und Nachladen eines Signaturschlüssels habe ich nicht getestet. Das von der Bundesnotarkammer unter dem Namen Signaturanwendungskomponente (SAK) in Lizenz online zur Verfügung gestellte Programm heißt eigentlich Cardtool. Hersteller des Programms ist nicht der Dienstleister der BRAK, sondern die Procilon GmbH. Für die einwandfreie Funktion des Programms unter Xubuntu 18.04 sind einige Einstellungen vorzunehmen. Die SAK ist wie die Client-Security maßgeblich in der Programmiersprache Java geschrieben und benötigt auf dem ausführenden System eine entsprechende Java-Laufzeitumgebung (Java Runtime Environment, JRE). Während das Installationsarchiv der Client-Security eine geeignete JRE selbst mitliefert und somit unabhängig von der Konfiguration des ausführenden Systems ist, greift die SAK auf die installierte JRE des Systems zurück. Ein weiterer Unterschied ist, dass die SAK anders als die beA-Bedienmaske nicht im Browser läuft. Zwar wird das Programm wie die beA-Bedienmaske per URL aus dem Browser heraus gestartet. Es wird dann jedoch mit einer Technik namens Java Web Start an die lokale JRE übergeben und läuft, als wäre es lokal gestartet worden. In den folgenden Kommentaren werden die Einrichtung einer Java-Laufzeitumgebung in der erforderlichen Version und die Einrichtung der Webstart-Unterstützung unter Xubuntu 18.04 sowie der aufwendige erste Start der SAK näher beleuchtet.
|
flu
Anmeldungsdatum: 2. April 2019
Beiträge: 57
|
Java
Oracle veröffentlicht neue Versionen der Java-Plattform (Sprache, Laufzeit-, Entwicklungsumgebung u.a.m.) im halbjährlichen Rhythmus. Stand Nov. 2019 ist Java in der Version 13 aktuell. Daneben gibt es auch langzeitunterstützte Versionen, die im kommerziellen Umfeld gern genutzt werden. Momentan sind das die Versionen 8 und 11. Verwirrend ist die Vielzahl an Implementierungen der Java-Plattform. Oracle selbst ist an der Entwicklung der freien Variante OpenJDK beteiligt und bietet darauf aufbauend eine kommerzielle Variante Oracle JDK an. Daneben bieten viele Drittanbieter weitere Varianten an, die auf OpenJDK aufbauen. Ubuntu unterstützt die Java-Plattform mithilfe der OpenJDK-Implementierung. Ubuntu 18.04 enthält Pakete für die Versionen 8 und 11 (Paketquelle universe). In einer Standardinstallation von (X)Ubuntu 18.04 ist OpenJDK 11 vorinstalliert. Laut Dokumentation, S. 3, setzt die Signaturanwendungskomponente eine installierte Java-Laufzeitumgebung in der Version 8 voraus. Zwar scheint die SAK – soweit von mir getestet – auch mit OpenJDK 11 zu laufen, allerdings erscheinen damit einige Fehlermeldungen in Protokolldateien, die mit OpenJDK 8 nicht auftauchen. Drei denkbare Möglichkeiten, zu einer Java-Laufzeitumgebung in Version 8 zu kommen: Die Client-Security verwendet und enthält Stand Nov. 2019 ebenfalls OpenJDK 8. Allerdings möchte ich von der Idee abraten, diese Laufzeitumgebung auch für die SAK zu verwenden. Zum einen ist aufgrund der Unabhängigkeit beider Programme nicht sichergestellt, dass sie stets auf derselben Java-Version aufbauen. Zum anderen ist mein Vertrauen in die Arbeit der Ubuntu- bzw. Debian-Paketbetreuer erheblich größer als in den Dienstleister der BRAK, zum Beispiel Sicherheitsaktualisierungen für die Laufzeitumgebung zeitnah zur Verfügung zu stellen. Auf dem Rechner wird OpenJDK 8 statt OpenJDK 11 installiert. Falls OpenJDK 11 nicht aus anderen Gründen benötigt wird, ist dies die einfachste Möglichkeit. OpenJDK 8 und OpenJDK 11 werden parallel installiert. Da Oracle die Webstart-Technik in neueren Java-Versionen nicht mehr unterstützt, Java 8 als letzte Version mit Webstart-Unterstützung jedoch noch bis 2025 unterstützt wird, ist momentan nicht damit zu rechnen, dass die SAK absehbar auf eine neuere Java-Version migriert wird. Andere Java-Programme werden vermutlich nicht solange Rückwärtskompatibilität zu Java 8 bieten, weshalb früher oder später eine Parallelinstallation zweier OpenJDK-Versionen wünschenswert erscheinen kann. Daher wird im folgenden gleich auf die Parallelinstallation eingegangen.
Es sei hier nur erwähnt, dass Ubuntu die Parallelinstallation zweier Versionen eines Programms mithilfe des Alternativen-Systems unterstützt. Die für Webstart zu verwendende Java-Laufzeitumgebung wird allerdings nicht über das Alternativen-System eingestellt. Mit dem Alternativen-System brauchen wir uns (fast) nicht auseinanderzusetzen. Bleibt an dieser Stelle noch die Installation der Java-Laufzeitumgebung (JRE) in Form von OpenJDK 8. Das folgende Kommando sollte als Abhängigkeit ein drittes Paket openjdk-8-jre-headless installieren. Die beiden Pakete mit jre im Namen werden zum Ausführen der SAK benötigt, das Paket mit jdk für eine Zertifikatsprüfung, auf die ich später eingehen werde: $ sudo apt-get install openjdk-8-jre openjdk-8-jdk-headless
$ # Version
$ apt-cache policy openjdk-8-jre openjdk-8-jre-headless
openjdk-8-jre:
Installiert: 8u222-b10-1ubuntu1~18.04.1
Installationskandidat: 8u222-b10-1ubuntu1~18.04.1
Versionstabelle:
*** 8u222-b10-1ubuntu1~18.04.1 500
500 http://de.archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages
500 http://security.ubuntu.com/ubuntu bionic-security/universe amd64 Packages
100 /var/lib/dpkg/status
8u162-b12-1 500
500 http://de.archive.ubuntu.com/ubuntu bionic/universe amd64 Packages
openjdk-8-jre-headless:
Installiert: 8u222-b10-1ubuntu1~18.04.1
Installationskandidat: 8u222-b10-1ubuntu1~18.04.1
Versionstabelle:
*** 8u222-b10-1ubuntu1~18.04.1 500
500 http://de.archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages
500 http://security.ubuntu.com/ubuntu bionic-security/universe amd64 Packages
100 /var/lib/dpkg/status
8u162-b12-1 500
500 http://de.archive.ubuntu.com/ubuntu bionic/universe amd64 Packages
|
flu
Anmeldungsdatum: 2. April 2019
Beiträge: 57
|
Webstart
Ubuntu unterstützt die Webstart-Technik mithilfe der Implementierung IcedTea-Web (früher IcedTea-netx) des Projektes IcedTea, welches freie Implementierungen verschiedener Java-Komponenten entwickelt. IcedTea-Web ist im Paket icedtea-netx enthalten: $ # Installation
$ sudo apt-get install icedtea-netx
[...]
$ # Version
$ apt-cache policy icedtea-netx
icedtea-netx:
Installiert: 1.8-0ubuntu8~18.04
Installationskandidat: 1.8-0ubuntu8~18.04
Versionstabelle:
*** 1.8-0ubuntu8~18.04 500
500 http://de.archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages
500 http://security.ubuntu.com/ubuntu bionic-security/universe amd64 Packages
100 /var/lib/dpkg/status
1.6.2-3.1ubuntu3 500
500 http://de.archive.ubuntu.com/ubuntu bionic/universe amd64 Packages Mit IcedTea-Web wird auch eine graphische Anwendung IcedTea Web Systemsteuerung installiert – im Xfce-Startmenü unter Kategorie Einstellungen zu finden –, in der nachfolgend einige Einstellungen vorzunehmen sind. (Es kann hilfreich sein, diese Anwendung zu den Favoriten im Startmenü hinzuzufügen.) In der Systemsteuerung von IcedTea Web wird unter JVM Einstellungen die für IcedTea Web zu verwendende Java-Laufzeitumgebung eingestellt. Diese wird dann für alle per Webstart gestarteten Java-Programme genutzt. Eine Einstellungsmöglichkeit, die sich auf einzelne Anwendungen bezieht, ist mir nicht bekannt. Anzugeben ist das Verzeichnis, welches das Elternverzeichnis bin der ausführbaren Datei java der gewünschten OpenJDK-Version enthält. Dieser Pfad ist in OpenJDK 8 und 11 verschieden. Um ihn leichter zu finden, kann man sich des Alternativen-Systems bedienen: $ # Linkgruppennamen der ausführbaren Datei java ermitteln: => java
$ update-alternatives --get-selections | grep "/java$"
java auto /usr/lib/jvm/java-11-openjdk-amd64/bin/java
$ # Pfade der Linkgruppe java anzeigen
$ update-alternatives --display java
java - automatischer Modus
beste Version des Links ist /usr/lib/jvm/java-11-openjdk-amd64/bin/java
Link verweist zur Zeit auf /usr/lib/jvm/java-11-openjdk-amd64/bin/java
Link java ist /usr/bin/java
Slave java.1.gz ist /usr/share/man/man1/java.1.gz
/usr/lib/jvm/java-11-openjdk-amd64/bin/java - Priorität 1111
Slave java.1.gz: /usr/lib/jvm/java-11-openjdk-amd64/man/man1/java.1.gz
/usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java - Priorität 1081
Slave java.1.gz: /usr/lib/jvm/java-8-openjdk-amd64/jre/man/man1/java.1.gz Während für OpenJDK 11 also /usr/lib/jvm/java-11-openjdk-amd64 anzugeben wäre, ist dies für OpenJDK 8 der Pfad /usr/lib/jvm/java-8-openjdk-amd64/jre . Die Richtigkeit der Angabe kann man entweder manuell (JVM für IcedTea-Web prüfen) oder automatisch prüfen lassen (JRE sofort prüfen).
|
flu
Anmeldungsdatum: 2. April 2019
Beiträge: 57
|
Erster Start der Signaturanwendungskomponente
Die beim Start der SAK herunterzuladenden Programmteile (JAR-Archive) sind digital signiert. Dadurch wird (in gewissem Grade) sichergestellt, dass das auszuführende Programm aus der Originalquelle stammt und nicht verfälscht wurde, etwa wenn man es unterwegs über einen Internetzugang unbekannter Vertrauenswürdigkeit startet. Bei ersten Start der SAK über die URL https://bea.bnotk.de/sak/ sollte Firefox nachfragen, wie mit der geöffneten JNLP-Datei verfahren werden soll. Hier ist Öffnen mit IcedTea Web Start zu wählen, allerdings sollte vermieden werden, den Haken bei automatischer Ausführung zu setzen. Man ersparte sich dadurch einen Klick beim Start der SAK, versperrt sich aber die Möglichkeit, die JNLP-Datei gelegentlich auch zur Ansicht auf dem Rechner zu speichern. Nun sollte eine Warnmeldung von IcedTea Web erscheinen (vgl. Anhang):
Die digitale Signatur der Anwendung kann nicht verifiziert werden. Soll die Anwendung zur Ausführung gebracht werden? Sie erhält unbeschränkten Zugriff auf den Computer.
Das in der JNLP-Datei verlinkte JAR-Archiv wurde mit einer Signatur der Procilon GmbH versehen, deren Vertrauenswürdigkeit an dieser Stelle jedoch nicht nachgewiesen werden kann. Achtung!Wer es mit der Sicherheit genau nimmt – und das ist für Nutzer dieses Programms angebracht –, sollte wissen, wie mit dieser Meldung umzugehen ist. Eigentlich handelt es sich bei der händischen Prüfung und Bewertung von Signaturen und Zertifikaten um die Aufgabe eines Systemadministrators mit belastbaren Kenntnissen in Computersicherheit.
Eine Signatur unbekannter Vertrauenswürdigkeit kann u. a. auftreten bei Erstbenutzung des Programms, nach erneuter Signierung des JAR-Archivs mit einem erneuerten Signierschlüssel durch den echten Herausgeber, bei verfälschem JAR-Archiv bzw. verfälschter Signatur durch einen technischen Fehler, bei gefälschtem JAR-Archiv bzw. gefälschter Signatur durch einen Angreifer.
Welcher Fall liegt nun konkret vor? Leider gibt es keinen einfachen Weg, an dieser Stelle entweder das betreffende Zertifikat oder das ganze JAR-Archiv einer einfach durchführbaren Prüfung zu unterziehen. Immerhin ist eine solche Prüfung nicht bei jedem Start der SAK notwendig. Im folgenden beschreibe ich einen etwas länglichen Weg, bei dem nur das konkrete Signaturzertifikat in den Zertifikatsspeicher aufgenommen wird. (Ein kürzerer Weg wäre, das Ausstellerzertifikat des Signaturzertifikats in den Zertifikatsspeicher aufzunehmen. Jedoch möchte ich davon aus verschiedenen Gründen abraten. Wer sich über die unterschiedlichen Konsequenzen beider Verfahren im klaren ist, kann auch den anderen Weg wählen.) Manuelle Prüfung der JAR-Datei
Das Warnfenster per Abbrechen schließen. Die SAK erneut starten, entweder durch Neuladen der Seite https://bea.bnotk.de/sak/ oder durch Klicken auf den Link Signaturanwendungskomponente starten. Firefox fragt nun (hoffentlich) erneut, wie mit der Datei cardtool.jnlp zu verfahren ist. Speichern wählen. Die Datei in einem Editor öffnen. (Auffinden der Datei mit dem Dateimanager und Rechtsklick Öffnen mit ... Mousepad o. ä.) Aufsuchen einer Zeile mit | <jnlp ... codebase="https://..." ...>
|
(hier Zeile 2) und Notieren (Kopieren) des Arguments in Anführungszeichen (eine URL). Editor schließen. Heruntergeladene Datei cardtool.jnlp löschen. Oben gefundene URL im Browser öffnen. (Der Vorgang ähnelt nun dem normalen Starten der SAK.) Die angebotene Datei cardtool.jnlp wiederum speichern (es ist in der Regel nicht dieselbe wie zuvor). Und wiederum im Editor öffnen. Die URL hinter codebase= erneut notieren. Im Abschnitt werden weitere von der SAK zu ladende Komponenten aufgezählt. Die Einträge jeder Zeile enden mit main="..." . Bei genau einem Eintrag sollte in den Anführungszeichen true stehen. Von jenem Eintrag wird das Argument von href notiert (der Pfad einer JAR-Datei). Die beiden zuletzt notierten Argumente von codebase und href werden durch Schrägstrich / getrennt zu einer URL zusammengefügt, die im Browser geöffnet wird, zum Beispiel | https://secure.bnotk.de/sak/app/Cardtool-1.5.1-1.jar
|
Die angebotene JAR-Datei wird gespeichert. Puhh!
Von der heruntergeladenen JAR-Datei konnte IcedTea Web die Vertrauenswürdigkeit nicht feststellen. Mal sehen, ob wir händisch mehr Glück haben. Für die weitere Prüfung werden die Kommandozeilenwerkzeuge jarsigner und keytool aus dem zuvor installierten Paket openjdk-8-jdk-headless verwendet. Mit diesen lassen sich JAR-Dateien signieren oder die Signatur prüfen und Zertifikatsspeicher einsehen oder ändern. (Für die Prüfung ist unerheblich, ob bei einer Parallelinstallation die Programme von OpenJDK 8 oder 11 verwendet werden. Alle greifen auf denselben Zertifikatsspeicher zu.) Wenn das Ergebnis der Prüfung folgendermaßen ausfällt, $ jarsigner -verify -strict Cardtool-1.5.1-1.jar
jar verified. dann ist die Signatur der JAR-Datei vertrauenswürdig. Wer mehr Informationen zu den Zertifikaten der JAR-Datei erhalten möchte, kann noch die Optionen -verbose:grouped -certs hinzufügen. Hinweis:Eine Frage an Sachverständige: Weshalb ist es IcedTea Web nicht möglich, bei der Prüfung der Signatur der JAR-Datei zu demselben Ergebnis zu kommen wie das Werkzeug jarsigner ? Dann wäre dieser ganze Aufwand nicht nötig?
Durchstarten der SAK
Im folgenden wird das beim Prüfen der JAR-Datei mitgeprüfte Signaturzertifikat der Procilon GmbH für IcedTea Web als vertrauenswürdig markiert. Damit es in den graphischen Dialogen auch sicher wiedererkannt werden kann, ist es ratsam, sich das betreffende Zertifikat näher anzusehen: $ LANG=C keytool -printcert -jarfile Cardtool-1.5.1-1.jar | awk '/^Owner.*[pP]rocilon/,/^Signature/'
Owner: EMAILADDRESS=info@procilon.de, CN=procilon IT-Logistics GmbH, O=procilon IT-Logistics GmbH, STREET=Leipziger Str. 110, L=Taucha, ST=Sachsen, C=DE, OID.1.3.6.1.4.1.311.60.2.1.1=Leipzig, OID.1.3.6.1.4.1.311.60.2.1.2=Sachsen, OID.1.3.6.1.4.1.311.60.2.1.3=DE, SERIALNUMBER=HRB 18002, OID.2.5.4.15=Private Organization
Issuer: CN=GlobalSign Extended Validation CodeSigning CA - SHA256 - G3, O=GlobalSign nv-sa, C=BE
Serial number: 3b4416322b647c592a17daf3
Valid from: Tue Apr 10 11:54:31 CEST 2018 until: Fri Apr 10 11:54:31 CEST 2020
Certificate fingerprints:
SHA1: 43:79:B3:B5:64:F4:D1:F0:E8:E0:E0:67:7B:CF:22:0E:22:45:29:82
SHA256: 41:DB:55:A9:8E:00:13:A2:03:30:00:3C:97:01:A2:8C:61:72:3E:A8:1B:E2:AB:FB:BF:02:0F:A0:6B:74:B8:AE
Signature algorithm name: SHA256withRSA Der SHA-1-Fingerabdruck kann für die Wiedererkennung in IcedTea Web verwendet werden: Die SAK erneut über die URL https://bea.bnotk.de/sak/ starten. Im Warnfenster auf Weitere Informationen ... klicken. Daraufhin öffnet sich ein Fenster mit weiteren Warnungen. Auf Zertifikatdetails klicken. Daraufhin öffnet sich ein Fenster mit Zertifikatsinformationen der zuvor geprüften JAR-Datei. Im linken Teil wird eine Zertifikatskette angezeigt, im rechten Teil finden sich nähere Informationen zum Zertifikat. Links auf das oberste Zertifikat klicken. Im rechten Fenster sollte nun hinter Inhaber derselbe Text erscheinen wie zuletzt auf der Kommandozeile hinter Owner:. Die Gleichheit der SHA-1-Fingerabdrücke im Fenster rechts und auf der Kommandozeile prüfen. Das Fenster mit den Zertifikatsdetails schließen. Das zweite Warnfenster schließen. (Es kann hinter das erste Warnfenster gerutscht sein. Dieses einfach etwas zur Seite bewegen.) Im ursprünglichen Warnfenster nochmals prüfen, ob sich die Vertrauensgabe auf den Herausgeber Procilon GmbH bezieht. Haken bei Dem Inhalt von diesem Herausgeber immer vertrauen setzen. Damit wird das Signaturzertifikat der Procilon GmbH dem Benutzerzertifikatsspeicher hinzugefügt. Ausführen klicken. Es erscheint ein neues Fenster, in welchem darauf hingewiesen wird, dass weitere Dateien heruntergeladen werden müssen. Haken bei Soll diese Option gespeichert werden? setzen. Knopf Für Website ... wählen. Fortfahren klicken. Die SAK startet. SAK beenden. Die SAK erneut über die URL https://bea.bnotk.de/sak/ starten. Überzeugen, dass ein erneuter Start der SAK mit erheblich weniger Aufwand verbunden ist. Falls kein Kartenleser angeschlossen ist, dies nun nachholen. Karte einstecken. Rechts den kreisförmigen Doppelpfeil zum Aktualisieren der Geräteliste klicken. Die Dokumentation der SAK lesen. Der Link dürfte im Browser zu sehen sein.
So einfach ist das. IcedTea Web Systemsteuerung
In der Systemsteuerung von IcedTea Web kann man sich unter Zertifikate ⇒ Zertifikattyp: Vertrauenswürdige Zertifikate ⇒ Benutzer davon überzeugen, dass das Signaturzertifikat der Procilon GmbH nun vollstes Vertrauen genießt. Das Zertifikat lässt sich hier auch wieder aus dem Benutzerzertifikatsspeicher entfernen. Wer die SAK schon einmal ohne nähere Zertifikatsprüfung gestartet hat, kann sich das Zertifikat hier auch ansehen und nachträglich den SHA-1-Fingerabdruck mit der Ausgabe von keytool auf der Kommandozeile abgleichen (nachdem die Prüfung mit jarsigner erfolgreich war). Unter Erweiterte Applet-Sicherheit lässt sich die Antwort auf die Frage nach den nachzuladenden Dateien zurücksetzen. Beim nächsten Start der SAK erscheint die Frage dann erneut. Sofern klar ist, dass per Webstart nur signierte Anwendungen gestartet werden sollen, ist es empfehlenswert, unter Sicherheit den Haken bei Benutzern erlauben, Inhalten von einer nicht vertrauenswürdigen Stelle Berechtigungen zu gewähren zu entfernen.
- Bilder
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
Hallo, vielleicht wäre es sinnvoll wenn du dein Knowhow in einen Wiki-Artikel packen könntest? Ich bin mir nicht sicher ob das Forum hier der geeignete Ort ist. Viele Grüße Cruiz
|
flu
Anmeldungsdatum: 2. April 2019
Beiträge: 57
|
Ich bin mir nicht sicher, dass ich alle Möglichkeiten dieses Portals durchschaue. Im Dezember werde ich mich damit vermutlich nicht mehr auseinandersetzen können. Ein Vorsatz für 2020.
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
Die grundsätzliche Vorgehensweise ist hier beschrieben. Bei Fragen kannst du dich sicherlich auch direkt an das Wikiteam wenden. Gruß Cruiz
|
dorober
Anmeldungsdatum: 9. März 2018
Beiträge: 294
|
Danke für deinen tiefgehenden Ausführungen!
Extrem wertvoll! Ich hoffe, du hast sie als Datei gesichert.
Bitte weiter! Und ja, Aufnahme ins Wiki wäre zum Abschluss wunderbar.
Ich erkläre mich bereit, dir dabei zu helfen bzw. das zu erledigen.
|
flu
Anmeldungsdatum: 2. April 2019
Beiträge: 57
|
Die Wiki-Diskussion befindet sich hier.
|
dorober
Anmeldungsdatum: 9. März 2018
Beiträge: 294
|
Super! Danke für die Arbeit! Etwas anderes: Ich versuche gerade per https://secure.bnotk.de/idp/Authn/Smartcard/ die "qualifizierte (Nachlade)Signatur" (qeS) zu kaufen. Da erscheint dann ein zusätzliches Fenster Opening secureFramework_no_ui.jnlp
You have chosen to open:
secureFramework_no_ui.jnlp
which is: JNLP-Datei (1,4 KB)
from: https://secure.bnotk.de
What should Firefox do with this file?
Open ...
Save ... Inhalt: <?xml version="1.0" encoding="utf-8"?>
<jnlp spec="1.0+" codebase="https://secure.bnotk.de/sak/" href="secureFramework_no_ui.jnlp">
<information>
<title>Secure Framework 1.5.10</title>
<vendor>procilon Group</vendor>
<homepage href="https://secure.bnotk.de/sak/" />
<description>Bestätigte Signatur Anwendungskomponente nach SigG</description>
</information>
<security>
<all-permissions/>
</security>
<resources>
<jar href="app/StartClient-1.6.0-1.jar" main="true"/>
<jar href="app/commons-io-2.4.jar" main="false"/>
<jar href="app/bcprov-jdk15on-1.52.jar" main="false"/>
<jar href="app/SecureFrameworkDownloadCommons-1.4.0-1-jar-with-dependencies.jar" main="false"/>
</resources>
<application-desc main-class="de.procilon.secureframework.client.ClientStarter">
<!-- Downlaodbase wo die OperationsBibliotheken liegen -->
<argument>downloadbase:https://secure.bnotk.de/sak/app</argument>
<!-- Kenner ob das BrowserUI geöffnet werden soll (openUI) oder nicht (false) -->
<argument>openUI:false</argument>
<argument>Xmx:1024</argument>
<!-- Optional Default = UTF-8 -->
<!--<argument>encoding:file.encoding=ISO-8859-1</argument>-->
<!-- Optional Lizenzbase für zentrale Lizenzverteilung -->
<argument>licencebase:https://secure.bnotk.de/sak/licence/operations_client_license.xml.p7s</argument>
</application-desc>
</jnlp>
Firefox kann mit der Datei offenbar nichts anfangen und in der Bash exekutieren geht auch nicht, ist ja wohl JavaSkript? Also kriege ich die Fehlermeldung "Der Start von secureFramework ist fehlgeschlagen (Timeout)" und kann die qeS nicht einmal bestellen mit Ubuntu ... ?
|
flu
Anmeldungsdatum: 2. April 2019
Beiträge: 57
|
Genau so wie bei der SAK handelt es sich um eine per Webstart zu startende Java-Anwendung. Daher mal analog Öffnen mit IcedTea Web Start probieren.
|
dorober
Anmeldungsdatum: 9. März 2018
Beiträge: 294
|
|
flu
Anmeldungsdatum: 2. April 2019
Beiträge: 57
|
dorober schrieb: Cool! Danke ! Funktionierte nach Installation per
openjdk-11-jre vermutlich.
Infos dazu: https://wiki.ubuntuusers.de/Java/Installation/OpenJDK/#ab-Ubuntu-18-04
Ist das eine Bestätigung für den kompletten Bestellvorgang der Nachladesignatur? Oder nur für den Start der Java-Komponente (und die Anmeldung im Laden der BNotK)? Die Frage richtet sich natürlich auch an andere Nutzer.
|
dorober
Anmeldungsdatum: 9. März 2018
Beiträge: 294
|
Nur so bekam ich die pdfs, die man als Anwalt dann beim Notar/Rechtsanwaltskammer beglaubigen lassen muss, um dann die qeS zu erhalten.
Ich bekam bei Eingabe von "sudo apt-get install openjdk-12-jre" keine Fehlermeldung, soweit ich mich erinnere.
Warum muss es "11" sein?
|