P481_Leistungsbeschreibung_Stand_13_07_2021.odt
Dieses Dokument ist Teil der Anfrage „Sicherheitsaudits des Projekts "Sichere Implementierung einer allgemeinen Kryptobibliothek"“
Projekt 481 Pflege und Weiterentwicklung der Kryp- tobibliothek Botan (Weiterentwicklung Botan) Leistungsbeschreibung und Besondere Bewerbungsbedingungen Version 1.0 Datum: 13.07.2021
Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Internet: https://www.bsi.bund.de
Inhaltsverzeichnis Inhaltsverzeichnis A Leistungsbeschreibung ........................................................................................................................................................... 6 1 Übersichtsinformationen zum Projekt ........................................................................................................................... 6 1.1 Auftraggeber ......................................................................................................................................................................... 6 1.2 Ausgangslage und Handlungsbedarf ......................................................................................................................... 6 1.3 Auftragsgegenstand und Projektziele ....................................................................................................................... 7 1.4 Projektstrukturplan ........................................................................................................................................................... 7 2 Beschreibung der Arbeitspakete ......................................................................................................................................... 9 2.1 Arbeitspaket 1: Auftaktbesprechung ......................................................................................................................... 9 2.2 Arbeitspaket 2: Initiale Angleichung ......................................................................................................................... 9 2.2.1 Arbeitspaket 2.1: Analyse und Spezifikation ................................................................................................... 9 2.2.2 Arbeitspaket 2.2: Angleichung der Version ...................................................................................................... 9 2.2.3 Arbeitspaket 2.3: Testspezifikation und Tests AP 2 ..................................................................................... 10 2.2.4 Arbeitspaket 2.4: Überarbeitung der Kryptodokumentation ............................................................... 10 2.2.5 Arbeitspaket 2.5: Auslieferung AP 2 .................................................................................................................. 10 2.3 Arbeitspaket 3: Entwicklungsbegleitende Angleichung ................................................................................ 11 2.3.1 Arbeitspaket 3.1: Analyse und Spezifikation ................................................................................................. 11 2.3.2 Arbeitspaket 3.2: Angleichung der Version .................................................................................................... 11 2.3.3 Arbeitspaket 3.3: Testspezifikation und Tests AP 3 ..................................................................................... 11 2.3.4 Arbeitspaket 3.4: Überarbeitung der Kryptodokumentation ............................................................... 12 2.3.5 Arbeitspaket 3.5: Auslieferung AP 3 .................................................................................................................. 12 2.4 Arbeitspaket 4: Weiterentwicklung Post-Quanten Verfahren .................................................................... 12 2.4.1 Arbeitspaket 4.1: Analyse und Spezifikation ................................................................................................. 12 2.4.2 Arbeitspaket 4.2: Implementierung: Post-Quanten Verfahren ............................................................ 12 2.4.3 Arbeitspaket 4.3: Testspezifikation und Tests AP 4 ..................................................................................... 13 2.4.4 Arbeitspaket 4.4: Erstellung der Kryptodokumentation zu AP 4 ........................................................ 13 2.4.5 Arbeitspaket 4.5: Auslieferung AP 4 .................................................................................................................. 13 2.5 Arbeitspaket 5 (OPTIONAL): Weiterentwicklung hybride Schlüsseleinigung in TLS ...................... 14 2.5.1 Arbeitspaket 5.1: Analyse und Spezifikation ................................................................................................. 14 2.5.2 Arbeitspaket 5.2: Implementierung: hybride Schlüsseleinigung in TLS .......................................... 14 2.5.3 Arbeitspaket 5.3: Testspezifikation und Tests AP 5 ..................................................................................... 14 2.5.4 Arbeitspaket 5.4: Erstellung der Kryptodokumentation zu AP 5 ........................................................ 15 2.5.5 Arbeitspaket5.5: Auslieferung AP 5 ................................................................................................................... 15 2.6 Arbeitspaket 6: Abschlusspräsentation .................................................................................................................. 15 2.7 Arbeitspaket 7: Wartung und Pflege ........................................................................................................................ 15 Bundesamt für Sicherheit in der Informationstechnik 3
Inhaltsverzeichnis 3 Zahlungs- und Meilensteinplan, Projektplan und Vergütung ........................................................................... 17 3.1 Vergütung ............................................................................................................................................................................ 17 3.1.1 Vergütung nach Festpreis ...................................................................................................................................... 17 3.1.2 Vergütung nach Aufwand mit vom AN kalkulierter Obergrenze (AP 2, AP 4 und AP 5 - Optional) ........................................................................................................................................................................ 17 3.1.3 Vergütung nach Aufwand mit vorgegebenem Abrufkontingent (AP 3 und AP 7) ...................... 17 3.2 Projektverlauf, Zahlungs- und Meilensteinplan ................................................................................................ 18 4 Rahmen- und Ausführungsbedingungen .................................................................................................................... 21 4.1 Personal des Auftragnehmers ..................................................................................................................................... 21 4.1.1 Direktionsrecht und Disziplinargewalt ........................................................................................................... 21 4.1.2 Qualifikationen, Erfahrungen und sonstige Anforderungen ................................................................ 21 4.1.3 Personaleinsatz und -austausch ......................................................................................................................... 22 4.2 Projektorganisation und Erreichbarkeit ................................................................................................................ 23 4.3 Projektsprache ................................................................................................................................................................... 23 4.4 Besprechungen .................................................................................................................................................................. 23 4.5 Berichtswesen .................................................................................................................................................................... 24 4.6 Formale Anforderungen an Projektdokumente ................................................................................................ 24 4.7 Umgang mit Sicherheitslücken ................................................................................................................................. 24 4.8 Einsatz von Unterauftragnehmern .......................................................................................................................... 25 4.9 Formale Anforderungen an die Rechnungsstellung ........................................................................................ 25 B Besondere Bewerbungsbedingungen ............................................................................................................................ 26 5 Bedingungen für die Zuschlagserteilung ..................................................................................................................... 26 5.1 Gesetzliche Ausschlussgründe, Eignung und Ausführungsbedingungen ............................................. 26 5.2 Wirtschaftlichstes Angebot ......................................................................................................................................... 26 5.2.1 Bewertungspreis ......................................................................................................................................................... 27 5.2.2 Leistung .......................................................................................................................................................................... 27 5.2.3 Erweiterte Richtwertmethode mit dem Entscheidungskriterium „Leistungspunkte“ ............. 28 6 Erstellung des Angebotes .................................................................................................................................................... 29 6.1 Angebotsformular ............................................................................................................................................................ 29 6.2 Anlagen zum Angebotsformular ............................................................................................................................... 29 6.2.1 Anlage: Angebotsangaben gemäß den Besonderen Bewerbungsbedingungen ........................... 30 6.2.1.1 Einzelbieter / Mitglieder der Bietergemeinschaft ............................................................................... 30 6.2.1.2 Unterauftragnehmer ......................................................................................................................................... 30 6.2.1.3 Eignungskriterien ............................................................................................................................................... 31 6.2.1.4 Qualitative Zuschlagskriterien ..................................................................................................................... 33 6.2.2 Anlage: Bietergemeinschaftserklärung ........................................................................................................... 40 6.2.3 Anlage: Unterauftragnehmerverpflichtungserklärung(en) ................................................................... 40 4 Bundesamt für Sicherheit in der Informationstechnik
Inhaltsverzeichnis 6.2.4 Anlage: Angaben zu vorliegenden Ausschlussgründen und zur Selbstreinigung im Sinne von § 125 GWB ..................................................................................................................................................................... 40 C Abkürzungsverzeichnis ........................................................................................................................................................ 42 Bundesamt für Sicherheit in der Informationstechnik 5
Leistungsbeschreibung A Leistungsbeschreibung 1 Übersichtsinformationen zum Projekt 1.1 Auftraggeber Als die Cyber-Sicherheitsbehörde des Bundes gestaltet das Bundesamt für Sicherheit in der Informations- technik (BSI) Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft. Das BSI wurde am 1. Januar 1991 gegründet und gehört zum Geschäftsbereich des Bundesministeriums des Innern, für Bau und Heimat. Derzeit sind dort ca. 1.400 Informatiker, Physiker, Mathematiker und andere Mitarbeiter beschäftigt. Seinen Hauptsitz hat das BSI in Bonn. Das BSI ist die zentrale, unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit. Das BSI schützt die Netze des Bundes; es richtet sich jedoch zugleich auch an gewerbliche und private Anbieter wie Nutzer von Informationstechnik. Das breite Aufgabenspektrum des BSI ist im BSI-Gesetz geregelt. 1.2 Ausgangslage und Handlungsbedarf Ausgangslage Kryptografische Primitive und Protokolle sind die Grundlage der IT-Sicherheit im Allgemeinen und der vom BSI zugelassenen bzw. zertifizierten IT-Sicherheitsprodukte, z.B. zum Zwecke der Zulassung, im Speziellen. Eine verlässliche und vertrauenswürdige Implementierung dieser Primitive und Protokolle ist somit von hoher Wichtigkeit. Im Rahmen des abgeschlossenen BSI-Projekts "197 - Sichere Implementierung einer all- gemeinen Kryptobibliothek" ist daher ein BSI Entwicklungszweig inklusive detaillierter Kryptodokumenta- tion für die Kryptobibliothek Botan entstanden. Dabei wurden die zu diesem Zeitpunkt gängigen Kryptopri- mitive und Protokolle gemäß den technischen Standards und Richtlinien des BSI geprüft bzw. implemen- tiert und dokumentiert. Der BSI Entwicklungszweig von Botan hat ein Angebot für Unternehmen geschaffen, Botan als geprüfte und dokumentierte Kryptobibliothek in IT-Sicherheitsprodukten zu verwenden. Als prominentes Beispiel kann hier der E-Mail Client Thunderbird der Mozilla Foundation genannt werden, der seit 08/2020 Botan (Haup- tentwicklungszweig) als grundlegende Kryptobibliothek einsetzt. In der aktuellen Version des BSI Entwicklungszweigs von Botan finden sich bereits erste Ansätze quanten- computerresistente Verfahren zu etablieren. Hierzu wurde das Signaturverfahren XMSS+ in einer frühen Phase des mittlerweile verabschiedeten IETF RFC 8391 in Botan implementiert. Vor dem Hintergrund der BSI-Studie "Entwicklungsstand Quantencomputer", der vom BSI herausgegebenen Handlungsempfehlun- gen mit dem Titel "Migration zu Post-Quanten-Kryptografie" und der um quantencomputerresistente Ver- fahren ergänzten BSI technische Richtlinie TR-02102-1, haben sich die Migrationsbemühungen des BSI in Richtung Post-Quanten-Kryptografie intensiviert. Dies ist allerdings im derzeitigen BSI Entwicklungszweig von Botan noch nicht abgebildet. Insbesondere sind beispielsweise die derzeit vom BSI empfohlenen Post- Quanten Verfahren noch nicht im BSI Entwicklungszweig implementiert (oder es handelt sich bei der Implementierung um eine frühere Version des Verfahrens). Im Rahmen des vom BMBF geförderten Projekts "Kryptobibliothek Botan für Langlebige Sicherheit" (KBLS, https://www.rohde-schwarz.com/de/loesungen/cybersicherheit/about-us/research/kbls_254244.html ) wer- den voraussichtlich die Verfahren CRYSTALS-Kyber und CRYSTALS-Dilithium aus dem NIST Post-Quanten Standardisierungsprozess in Botan implementiert. Die im KBLS-Projekt getroffene Auswahl ist unabhängig von den aktuellen BSI Empfehlungen. Hier sind jedoch potentiell Synergieeffekte erkennbar. So könnten die 6 Bundesamt für Sicherheit in der Informationstechnik
Leistungsbeschreibung o.g. Verfahren beispielsweise über einen Prüf- und Dokumentationsschritt in den BSI-Entwicklungszweig von Botan übernommen werden. Handlungsbedarf Das BSI hat mit dem BSI Entwicklungszweig von Botan eine sichere Kryptobibliothek geschaffen. Um dies auch in Zukunft gewährleisten zu können, muss der BSI Entwicklungszweig aktualisiert und weiterentwi- ckelt werden. Insbesondere müssen die aktuell vom BSI empfohlenen quantencomputerresistenten krypto- grafischen Verfahren sowie die vom BSI geforderte Umsetzung einer hybriden Schlüsseleinigung in TLS implementiert werden. Im Folgenden wird der Handlungsbedarf genauer beschrieben. Während der Hauptentwicklungszweig der Botan-Bibliothek derzeit in der Version 2.17.3 (s. https://github.com/randombit/botan) vorliegt, befindet sich der BSI-Entwicklungszweig auf Stand der Ver- sion 2.4.0 (s. https://github.com/Rohde-Schwarz/botan). Eine Angleichung der Entwicklungsstände und ent- sprechende Überarbeitung der Kryptodokumentation ist dringend geboten, um die Attraktivität der Botan- Bibliothek als geprüfte und dokumentierte Kryptobibliothek für den Einsatz in IT-Sicherheitsprodukten zu erhalten. Der Handlungsbedarf beschränkt sich jedoch nicht nur auf eine Aktualisierung und Angleichung an den Status quo. Neben dem NIST-Standardisierungsprozess "Post-Quantum Cryptography Standardization", aus dem vsl. 2022-2024 erste Standards hervorgehen werden, und den bereits finalisierten Standards zu hashba- sierten Signaturverfahren (IETF RFC 8391, IETF RFC 8554, NIST SP 800-208) hat auch das BSI seine Migrati- onsbemühungen in Richtung Post-Quanten-Kryptografie intensiviert (s. Ausgangslage). Im Hochsicherheits- bereich geht das BSI derzeit von der Arbeitshypothese aus, dass Anfang der 2030er Jahre ein kryptografisch relevanter Quantencomputer verfügbar sein wird. Diese Aussage ist nicht als Prognose zur Verfügbarkeit von Quantencomputern zu verstehen, sondern stellt einen Richtwert für die Risikobewertung dar. Die Integra- tion von Post-Quanten-Kryptografie in IT-Sicherheitsprodukte ist jedoch ein komplexes Unterfangen mit noch wenig vorliegenden Erfahrungswerten. Zudem steht man mit der Implementierungssicherheit von quantencomputerresistenten kryptografischen Verfahren noch am Anfang. Daher ist es notwendig ein kon- kretes Angebot für Hersteller von IT-Sicherheitsprodukten in Form einer nach gegenwärtigem Kenntniss- tand geprüften Kryptobibliothek für den Einsatz und die Verwendung von Post-Quanten-Kryptografie zu schaffen, um den vom BSI gewünschten breiten Einsatz quantencomputerresistenter Kryptografie zu för- dern. 1.3 Auftragsgegenstand und Projektziele Ziel des Projekts ist die Weiterentwicklung und Pflege des BSI-Entwicklungszweigs der Kryptobibliothek Botan. Das Projekt verfolgt vier zentrale Ziele: • Angleichung des BSI Entwicklungszweigs an die (im Zeitraum der Projektdurchführung) aktuelle Botan Version (Hauptentwicklungszweig) in Abstimmung mit dem BSI. • Erweiterung der Botan-Bibliothek um Verfahren der Post-Quanten-Kryptografie (orientiert an NIST, IETF, TR-02102-1). Die Auswahl der Verfahren wird vom BSI getroffen und umfasst die Verfahren FrodoKEM, Classic McEliece, CRYSTALS-Kyber, CRYSTALS-Dilithium, XMSS, LMS, und Sphincs+. • Implementierung einer hybriden Schlüsseleinigung im TLS 1.3 Stack (sofern bis dahin verfügbar) der Botan-Bibliothek (orientiert sich an IETF und BSI TLS-Mindeststandard). • Prüfung der vom BSI empfohlenen und implementierten Bestandteile (u.a. auf Seitenkanalresistenz) und entsprechende Überarbeitung der Kryptodokumentation. 1.4 Projektstrukturplan Im Rahmen der Leistungserbringung sind folgende Arbeitspakete (AP) vorgesehen. Bundesamt für Sicherheit in der Informationstechnik 7
Leistungsbeschreibung • AP 1: Auftakt • AP 2: Initiale Angleichung ◦ AP 2.1: Analyse und Spezifikation ◦ AP 2.2: Angleichung der Version ◦ AP 2.3: Testspezifikation und Tests AP 2 ◦ AP 2.4: Überarbeitung der Kryptodokumentation zu AP 2 ◦ AP 2.5: Auslieferung AP 2 • AP 3: Entwicklungsbegleitende Angleichung ◦ AP 3.1: Analyse und Spezifikation ◦ AP 3.2: Angleichung der Version ◦ AP 3.3: Testspezifikation und Tests AP 3 ◦ AP 3.4: Überarbeitung der Kryptodokumentation zu AP 3 ◦ AP 3.5: Auslieferung AP 3 • AP 4: Weiterentwicklung Post-Quanten Verfahren ◦ AP 4.1: Analyse und Spezifikation ◦ AP 4.2: Implementierung: Post-Quanten Verfahren ◦ AP 4.3.: Testspezifikation und Tests AP 4 ◦ AP 4.4: Erstellung der Kryptodokumentation zu AP 4 ◦ AP 4.5: Auslieferung AP 4 • AP 5 (OPTIONAL): Weiterentwicklung hybride Schlüsseleinigung in TLS ◦ AP 5.1: Analyse und Spezifikation ◦ AP 5.2: Implementierung: hybride Schlüsseleinigung in TLS ◦ AP 5.3.: Testspezifikation und Tests AP 5 ◦ AP 5.4: Erstellung der Kryptodokumentation zu AP 5 ◦ AP 5.5: Auslieferung AP 5 • AP 6: Abschlusspräsentation • AP 7: Wartung und Pflege AP 5 ist eine optionale Leistung. Diese muss vom Bieter angeboten werden, der Auftraggeber verzichtet jedoch ggf. generell auf deren Beauftragung. Die Beauftragung des AP 5 ist abhängig davon, ob bis dahin die Basisfunktionalität von TLS 1.3 in Botan implementiert ist, die zur Durchführung dieses APs benötigt wird. Falls AP 5 zum geplanten Zeitpunkt nicht beauftragt werden kann, besteht die Möglichkeit, die restlichen Arbeitspakete (AP 6 und AP 7) vorzuziehen und AP 5 im Anschluss zu beauftragen. Das optionale AP 5 kann vom Auftraggeber bis zum Abschluss von AP 7 beauftragt werden. 8 Bundesamt für Sicherheit in der Informationstechnik
Leistungsbeschreibung 2 Beschreibung der Arbeitspakete Der Auftragnehmer hat die in den folgenden Arbeitspaketen dargestellten Leistungen zu erbringen. 2.1 Arbeitspaket 1: Auftaktbesprechung Zu Beginn des Projekts findet beim Auftraggeber (AG) in Bonn eine Auftaktbesprechung zwischen AG und allen wesentlich am Projekt beteiligten Mitgliedern des Projektteams des AN, jedoch maximal sechs Per- sonen, statt. Gemäß der zum Auftakt geltenden COVID-19 Verordnungen kann diese Besprechung als Videokonferenz erfolgen. Diese ist vom AN zu organisieren. Es wird vorausgesetzt, dass sich die Teilnehmer vor der Besprechung umfassend mit dem Projekt auseinandergesetzt haben. In der Auftaktbesprechung wird vom AN das Vorgehen zu allen Arbeitspaketen im Detail vorgestellt. Verblei- bende offene Fragen werden zwischen AG und AN diskutiert und verbindlich geklärt. Die Planung wird gegebenenfalls weiter konkretisiert und die Regeln der Zusammenarbeit verabschiedet. Ferner sind die Kommunikationswege zu etablieren und die Erreichbarkeit der beteiligten Personen seitens AN und AG abzustimmen. Aufgrund der COVID-19 Situation ist ein fester Kommunikationsweg über ein vom AN organisiertes Videokonferenzsystem einzurichten. Kam es bei der Auftragserteilung zu zeitlichen Verschiebungen (vgl. Kapitel 6.2.1.4, Zuschlagskriterium „Zah- lungs- und Meilensteinplan“) so werden die daraus ggf. resultierenden Terminverschiebungen verbindlich zwischen AN und AG abgestimmt. Der aktualisierte Zahlungs- und Meilensteinplan ist vom AN mit dem Besprechungsprotokoll vorzulegen. 2.2 Arbeitspaket 2: Initiale Angleichung 2.2.1 Arbeitspaket 2.1: Analyse und Spezifikation In der Analyse-Phase ist zum einen der aktuelle Stand des Botan-Hauptentwicklungszweiges zu sichten und die Differenzen zum aktuellen BSI-Entwicklungszweig zu identifizieren. Aufbauend auf oben beschriebener Analyse ist in Abstimmung mit dem BSI ein Pflichtenheft zu erstellen, welches die Realisierung der nachfolgenden Unter-Arbeitspakete in AP 2 spezifiziert. Darin ist zu spezifizie- ren, welche Aspekte aus dem Hauptzweig in den BSI-Entwicklungszweig eingepflegt werden sollen. 2.2.2 Arbeitspaket 2.2: Angleichung der Version In diesem Arbeitspaket sind die in AP 2.1 spezifizierten Angleichungen des BSI-Entwicklungszweiges an den Hauptentwicklungszweig vorzunehmen. Der AN hat dabei insbesondere auch zu prüfen und berücksichti- gen, gegen welche SCA-Szenarios (v.a. Laufzeitangriffe) die Verfahren durch eine geeignete Implementierung 1 geschützt werden können (siehe z.B. AIS 46 ). Die genaue Vorgehensweise muss dann mit dem BSI abge- stimmt werden. Zusätzlich muss eine Implementierung der notwendigen Ein- und Ausgabekodierungen erfolgen. Als Programmiersprache ist C++ zu wählen. Sämtliche Software, die im Rahmen des Projekts entsteht, muss unter der selben Lizenz wie der aktuelle Botan BSI-Entwicklungszweig stehen. 1 Siehe https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zerti- fizierung-und-Anerkennung/Zertifizierung-von-Produkten/Zertifizierung-nach-CC/Anwendungshinweise-und-Inter- pretationen/anwendungshinweise-und-interpretationen_node.html Bundesamt für Sicherheit in der Informationstechnik 9
Leistungsbeschreibung Die Funktionen der Kryptobibliothek sollen mit möglichst geringem Aufwand z.B. von Mitarbeitern des BSI evaluiert werden können. Bei der Programmierung ist mindestens Folgendes umzusetzen: • Vermeidung komplexer Verschachtelungen von Funktionen (z.B. über mehr als fünf Ebenen hin- weg). • Vermeidung komplexer Verschachtelungen von Datenstrukturen. • Sofern Verschachtelungen erforderlich sind, sollen diese auf möglichst wenige Sourcefiles verteilt werden. • Nach Möglichkeit sollen Teilfunktionen („Module“) durch separate Kompilation der entsprechenden Sourcefiles in Testprogramme eines Evaluators/Entwicklers einfügbar sein. 2.2.3 Arbeitspaket 2.3: Testspezifikation und Tests AP 2 Für die in AP 2 vorgenommenen Angleichungen ist ggf. die vorhandene Testspezifikation (siehe https://github.com/Rohde-Schwarz/botan/blob/master/doc/bsi/testspecification.pdf) anzupassen bzw. zu erweitern und mit dem BSI abzustimmen. Hierbei sind sowohl Positivtests, die das spezifizierte Verhalten des Testobjekts validieren, als auch Negativtests, die die Behandlung von Ausnahme- und Fehlersituationen belegen, durchzuführen. Die Resistenz aller implementierten Verfahren gegen Seitenkanalangriffe ist bei der Testung in angemessener Form zu berücksichtigen, die genaue Vorgehensweise ist mit dem BSI abzustim- men. Außerdem muss der Software-Reviewprozess beschrieben und nach Absprache mit dem BSI eine statische und dynamische Softwareanalyse durchgeführt werden. Dazu zählt ein Codereview durch das Entwick- lungsteam und die Analyse mit automatisierten Tools. Alle durchgeführten Tests und Analysen und deren Ergebnisse sind in einem Testreport zu dokumentieren. 2.2.4 Arbeitspaket 2.4: Überarbeitung der Kryptodokumentation Für die in AP 2 vorgenommenen Angleichungen muss die Kryptodokumentation von Botan (in englischer Sprache) entsprechend überarbeitet werden. Dies beinhaltet sowohl eine Beschreibung der Architektur (Grob- und Feinspezifikation), als auch der Schnittstellen. Umfang und Dokumentationstiefe müssen dabei den Anforderungen an eine VS-NfD-Evaluation entsprechen, siehe beiliegendes Dokument „Nachweise für eine Evaluierung für eine Zulassung bis VS-NfD, BSI Version 1.4, August 2020“. Die in der Bibliothek implementierten kryptografischen Abläufe und Verfahren müssen dazu gemäß beiliegendem Dokument „Detailspezifikation kryptographischer Abläufe und Mechanismen, BSI, Version 1.0, Januar 2015“ dokumentiert werden. Zusätzlich sind ausführlich kommentierte Anwendungsbeispiele zu erstellen. 2.2.5 Arbeitspaket 2.5: Auslieferung AP 2 Die in AP 2 angeglichene Botan-Version wird im BSI-Entwicklungszweig auf dem GitHub Account (https:// github.com/BSI-Bund) bereitgestellt. Im Zuge dessen ist der BSI-Entwicklungszweig vom Rohde & Schwarz GitHub Account auf den BSI GitHub Account umzuziehen. Der AN muss sich aktiv darum bemühen, dass die Ergebnisse des Projekts in die OpenSource-Entwicklung von Botan entsprechend den geltenden Lizenzbestimmungen zurückfließen. Dies gilt insbesondere für identifizierte Schwachstellen und Sicherheitslücken. Das Ziel ist hier, dass der BSI-Entwicklungszweig und der Hauptentwicklungszweig möglichst deckungsgleich sind. 10 Bundesamt für Sicherheit in der Informationstechnik
