abl-11
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
11 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 1559
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-030-DSO-3.4_v1.0
3.2.4 Integritätsprüfung
Die Teil-Signaturanwendungskomponente digiSeal office verfügt entsprechend § 15 Abs. 4 SigV über
Selbstprüfungsmechanismen zum Schutz vor Manipulation der Software. Die Programmbestandteile
von digiSeal office sind signiert. Diese Signaturen werden bei jedem Programmstart durch die
Komponente selbständig auf Integrität geprüft. Im Falle einer Manipulation wird dies dem Anwender
eindeutig angezeigt.
Die ausführbaren Programme und dynamisch geladenen Bibliotheken sind konform zum PKCS#7-
Standard elektronisch signiert. Eine Prüfung der elektronischen Signaturen ist jederzeit mit einer
Common PKI (vormals ISIS-MTT)-konformen Signaturprüfsoftware, die konform zum PKCS#7-
Standard signierte Dateien verifizieren kann, möglich.
3.2.5 Anwendungsbereich
Als Anwendungsbereich ist die Nutzung, z.B. im privatwirtschaftlichen und behördlichen Umfeld, in
einem geschützten Einsatzbereich anzusehen.
3.2.6 Abgrenzung
Weitere Funktionen der Softwarekomponente digiSeal office sind nicht Gegenstand dieser
Herstellererklärung.
Anwendungen, die das Produkt digiSeal office nutzen, sind nicht Gegenstand der Herstellererklärung.
3.3 Erzeugung qualifizierter elektronischer Signaturen
digiSeal office dient zur Erstellung von elektronischen Signaturen. Dazu übernimmt digiSeal office bei
der Erstellung von elektronischen Signaturen folgende Teilaufgaben: Hashwertbildung,
Kommunikation mit der SSEE zur Signierung eines Hashwertes (Bildung einer elektronischen
Signatur), Verifikation des signierten Hashwertes (Signatur) und Speicherung der signierten Datei im
gewünschten Signaturaustauschformat.
Zur Erzeugung qualifizierter elektronischer Signaturen von beliebigen elektronischen Daten verwendet
der TOE (EVG) digiSeal office eine sichere Signaturerstellungseinheit (SSEE) gemäß § 2 Nr. 10 SigG.
Zur Durchsetzung des Benutzerwillens wird dem Zertifikatsinhaber vor der Signaturerzeugung immer
der Signaturauftrag eindeutig angezeigt. Die Annahme des Signaturauftrages erfolgt durch die PIN-
Eingabe.
Die Teil-Signaturanwendungskomponente digiSeal office verfügt über einen Secure Viewer (sichere
Anzeige). Dieser kann Dokumente im PDF-Dateiformat und TIFF-Dateiformat (schwarz-weiß,
Graustufen) vor der Signaturerzeugung sicher anzeigen. Nicht durch den Secure Viewer
visualisierbare Dokumentenformate können vor der Signaturerzeugung mit Hilfe von
Betriebssystemmitteln oder Programmen eines Drittherstellers geöffnet werden.
digiSeal office erlaubt die Einsichtnahme der Zertifikatsinhalte über einen Zertifikatsviewer.
Der eigentliche Signaturprozess wird durch den Nachweis der PIN angestoßen. Nach Abarbeitung des
Signaturauftrages wird der Signaturprozess beendet.
Das Entfernen der sicheren Signaturerstellungseinheit aus dem Kartenlesegerät führt zur Beendigung
des Signaturprozesses. Ein erneuter Signaturprozess macht, bei technisch ansprechbarer sicherer
Signaturerstellungseinheit, den erneuten Nachweis der PIN notwendig.
Mehrere Signaturen mit jeweils zugehörigem Zertifikat über die gleiche elektronische Datei sind
möglich.
Herstellererklärung zu digiSeal office, Version 3.4, Version der Herstellererklärung 1.0
Seite 11 von 33
Bonn, 18. Juni 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1560 – Mitteilungen, Qualifizierte elektronische Signatur, 11 2014
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-030-DSO-3.4_v1.0
digiSeal office erhält die zu signieren Daten über die API-Schnittstelle oder die Dateischnittstelle zum
Betriebssystem. Über die Schnittstelle zum Kartenleser (und darüber Kommunikation mit der SSEE)
erfolgt die Signatur des errechneten Hashwertes (Bildung einer elektronischen Signatur). Die
Rückgabe der signierten Daten erfolgt wiederum über die API-Schnittstelle oder die Dateischnittstelle
zum Betriebssystem.
3.3.1 Unterstützte Signaturformate
digiSeal office erzeugt Signaturen entsprechend den folgenden Standards:
PKCS#7:
„signedData“ gemäß RFC 2630,
„signedData“ mit „multipart-signed“-Content gemäß RFC 2633
PDF-embedded Signatur:
PKCS#7-konforme Signatur entsprechend Adobe-Reference 1.6
XML-Signatur:
XML-DSIG gemäß W3C Recommendation vom 12.02.2002 – RFC 3275,
XAdES gemäß W3C Note vom 20.02.2003
Die Teil-Signaturanwendungskomponente digiSeal office kann bestimmte elektronisch signierte
Dokumente komplett in einem graphischen Speicher (Matrix- bzw. 2D-Barcode) abspeichern. Der
graphische Speicher kann durch alle Medien, die graphische Informationen tragen können,
transportiert werden. So kann die elektronisch signierte Datei mittels des graphischen Speichers in
elektronischen Bildformaten (z.B. PDF, TIFF) untergebracht als auch beim Ausdruck des Dokumentes
auf Papier aufgebracht werden. Dies ermöglicht die Speicherung einer elektronisch signierten Datei
auf Papier.
3.3.2 Unterstützte Dateiformate
Signaturgegenstand können elektronische Daten der nachfolgend aufgeführten Formate sein:
Eingangsformat des
Ausgabeformat
Signaturgegenstandes
PK7 und P7S
(„signedData“ gemäß RFC 2630) oder
Sämtliche Dokumentenformate P7M
(„signedData“ mit „multipart-signed“-Content
gemäß RFC 2633)
Portable Document Format (PDF)
PDF
Tagged Image File Format (TIF) (PKCS#7-konforme Signatur entsprechend
Adobe-Reference 1.6)
XML Paper Specification (XPS)
XML-DSig,
gemäß W3C Recommendation vom 12.02.2002 –
Extensible Markup Language (XML) RFC 3275 oder
XML-XAdES,
gemäß W3C Note vom 20.02.2003
Tabelle 3: Signaturgegenstand und Signaturformate
Herstellererklärung zu digiSeal office, Version 3.4, Version der Herstellererklärung 1.0
Seite 12 von 33
Bonn, 18. Juni 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
11 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 1561
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-030-DSO-3.4_v1.0
3.3.3 Absicherung des Signaturprozesses
Zur Absicherung des Signaturprozesses wird vor der Signaturerzeugung der Signaturauftrag dem
Zertifikatsinhaber angezeigt. Die Anzeige des Signaturauftrages erfolgt immer und unabhängig von
der Form der Übergabe der zu signierenden Datei (z.B. Übergabe der Datei über die API oder Öffnen
der Datei durch digiSeal office direkt etc.). Die Bestätigung des Signaturauftrages erfolgt durch den
Zertifikatsinhaber mittels der Eingabe der PIN.
Die folgenden Informationen sind in dem Signaturauftrag aufgeführt:
Angaben über die zu signierenden Daten
Angabe des ausgewählten Signaturzertifikats
Angabe des Status der lokalen Zertifikatsprüfung des ausgewählten Signaturzertifikates
Angabe des Signaturzeitpunkts
Angabe des Signaturaustauschformates
Angabe der SSEE
Angabe des Kartenlesegerätes
Auf Wunsch lassen sich auch die Zertifikatsinhalte anzeigen.
Während des Signaturprozesses wird dem Signaturschlüsselinhaber der Prozessverlauf und im
Anschluss das Prozessergebnis eindeutig angezeigt.
3.3.3.1 Limitation des Signaturauftrages
Der Signaturanzahl bei digiSeal office ist in Abhängigkeit zur Lizensierungsvariante auf die folgende
maximale Stapelgröße begrenzt:
Lizensierungsvariante Stapelgröße
digiSeal office 1 Datei
digiSeal office pro 100 100 Dateien
digiSeal office pro 250 250 Dateien
digiSeal office pro 500 500 Dateien
Tabelle 4: Limitation des Signaturauftrages
Mit dem Erreichen der im Signaturauftrag bestimmten Signaturanzahl wird der Signaturprozess
beendet.
3.3.3.2 Sichere PIN-Eingabe
Zum Schutz vor Ausspähungen der PIN ermöglicht die Teil-Signaturanwendungskomponente
digiSeal office die sichere PIN-Eingabe am Kartenlesegerät.
3.3.3.3 Kein PIN-Caching
Es findet kein automatisierter Prozess statt, der nach Eingabe der PIN diese für das System vorhält,
zum Signieren automatisch abruft und an die SSEE sendet. Das Entfernen einer sicheren
Signaturerstellungseinheit aus dem jeweiligen Kartenlesegerät führt zur Beendigung des
Signaturprozesses. Ein erneuter Signaturprozess macht, bei technisch ansprechbarer sicherer
Signaturerstellungseinheit, den erneuten Nachweis der PIN notwendig.
Herstellererklärung zu digiSeal office, Version 3.4, Version der Herstellererklärung 1.0
Seite 13 von 33
Bonn, 18. Juni 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1562 – Mitteilungen, Qualifizierte elektronische Signatur, 11 2014
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-030-DSO-3.4_v1.0
3.3.3.4 Schutz vor Hashwert-Verfälschung
Mittels der Verifizierung der Signatur unmittelbar nach Signaturerzeugung wird der Schutz vor
Hashwert-Verfälschung erreicht. Weitere Details sind in der SF 6 der sicherheitstechnischen
Produktinformation zum digiSeal office enthalten.
3.4 Prüfung qualifizierter elektronischer Signaturen
digiSeal office dient zur Prüfung (Verifikation) von qualifiziert elektronisch signierten Daten.
Dazu werden mehrere Prüfschritte durchgeführt, dem Anwender das Prüfergebnis eindeutig angezeigt
und dieses protokolliert.
Bei der Verifikation elektronischer Signaturen übernimmt digiSeal office die folgenden Teilaufgaben:
Prüfung der Dateisignatur, lokale Zertifikatsprüfung, Onlinezertifikatsprüfung unter Nutzung des
OCSP-Protokolls und Erzeugung eines Prüfprotokolls.
digiSeal office erhält die zu verifizierenden Daten über die API-Schnittstelle oder die Dateischnittstelle
zum Betriebssystem. Es erfolgt eine Signaturverifikation nach den in Kapitel "3.4.1 - Prüfschritte"
beschriebenen Prüfschritten. Nach erfolgter Signaturverifikation wird dem Benutzer das Ergebnis der
Prüfung angezeigt. Zusätzlich zu dieser Anzeige erfolgt bei jeder Verifikation eine automatische
Protokollierung des Prüfungsergebnisses (siehe Kapitel "3.4.3 - Prüfdokumentation"). Die erzeugte
Prüfdokumentation kann z.B. für den GDPdU-konformen Prüfnachweis herangezogen werden. Die
Speicherung der Prüfdokumentation erfolgt in einem vom Benutzer frei wählbaren Verzeichnis.
Einer Signaturprüfung können alle unter "3.3.1 - Unterstützte Signaturformate" genannten
Signaturformate bzw. Signaturdateien unterzogen werden. Auch die Prüfung von mehreren
Signaturen in einer Signaturdatei ist möglich. Evidence-Record-Dateien (ERS-Dateien), also
Nachweisdateien gemäß LTANS-Spezifikation, können mit digiSeal office ebenfalls geprüft werden.
3.4.1 Prüfschritte
digiSeal office erlaubt eine vollständige signaturgesetzkonforme Signatur- und Zertifikatsprüfung und
tätigt auch Aussagen über die Gültigkeit der verwendeten Algorithmen zum Signaturzeitpunkt und zum
Verifikationszeitpunkt.
digiSeal office durchläuft bei der Signaturverifikation die folgenden Prüfschritte:
Prüftiefe Prüfschritte
Prüfung der Dateisignatur
Prüftiefe 1 Durchführung der mathematischen Verifikation der Signatur über
die Datei
Prüfung des Signaturzertifikats
Prüftiefe 2 Prüfung des Signaturzertifikats und der zugehörigen
Zertifikatskette gegenüber einem lokalen Vertrauensanker
Prüfung des Signaturzertifikatsstatus zum Signaturzeitpunkt
Prüftiefe 3 Prüfung des Status der Zertifikatsgültigkeit zum Signaturzeitpunkt
auf Basis gültiger OCSP-Antworten5
Tabelle 5: Prüfschritte bei der Signaturverifikation
5
Aus der Antwort ist erkennbar, ob ein Zertifikat bekannt und gültig ist. Bei gesperrten Zertifikaten ist
aus der Antwort erkennbar, zu welchem Zeitpunkt die Sperrung erfolgt ist. Die Signatur sowie der
zugehörige Zertifikatspfad der OCSP-Antwort werden ihrerseits geprüft.
Herstellererklärung zu digiSeal office, Version 3.4, Version der Herstellererklärung 1.0
Seite 14 von 33
Bonn, 18. Juni 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
11 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 1563
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-030-DSO-3.4_v1.0
3.4.2 Prüfung qualifizierter deutscher Zertifikate
Bei qualifizierten deutschen Zertifikaten erfolgt die Prüfung der Zertifikatskette immer gemäß
Common PKI (vormals ISIS-MTT) SigG Profile (Kettenmodell).
3.4.3 Prüfdokumentation
Die Protokollierung des Prüfungsvorganges sowie die Erzeugung der Prüfdokumentation erfolgen bei
jeder Prüftiefe obligatorisch. Die erzeugte Prüfdokumentation kann z.B. für den GDPdU-konformen
Prüfnachweis herangezogen werden.
Die Prüfdokumentation besteht aus:
Originaldatei
extrahiertem Signaturgegenstand
Signaturzertifikat
sämtlichen Zertifikaten des Zertifikatspfades
signierter OCSP-Antwort
OCSP-Zertifikat und sämtlichen Zertifikate des Zertifikatspfades
Prüfprotokoll in Form einer XML-Datei und einer PDF-Datei (im PDF/A-Format)
Die Prüfdokumentation enthält eine Aussage über das bei der Prüfung verwendete Gültigkeitsmodell
sowie die verwendete Algorithmenstärke und die Eignungsdauer der verwendeten kryptographischen
Algorithmen.
Im Detail umfasst das Prüfprotokoll u.a. die folgenden Inhalte und Angaben:
Signaturgegenstand (geprüfte Datei)
Signaturzeitpunkt
Gültigkeitsmodell (Prüfmodell der Zertifikatskette)
Prüfergebnisse (Mathematische Dateiprüfung, Zertifikatsprüfung inkl. Pfad, Zertifikatsstatus)
Verwendete Signaturzertifikate (Qualität des Zertifikats, Sperrstatus, Zertifikatsinhaber, Aussteller,
Seriennummer, Gültigkeitszeitraum, Hashwerte)
Signaturdetails (verwendeter Algorithmus, Algorithmenstärke, Hashwerte)
Damit entspricht die Darstellung der Prüfergebnisse dem § 17 Abs. 2 Satz 2 SigG, da ersichtlich ist,
auf welche Daten sich die Signatur bezieht (Signaturgegenstand),
ob die signierten Daten unverändert sind (Mathematische Dateiprüfung),
welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist (Inhaber des verwendeten
Signaturzertifikats),
welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte
Attribut-Zertifikate aufweisen (Angaben zum Signaturzertifikat) und
zu welchem Ergebnis die Nachprüfung von Zertifikaten nach § 5 Abs. 1 Satz 3 geführt hat
(Angaben zum Gültigkeitsmodell, zur Zerifikatsprüfung inkl. Zertifikatskette sowie
Zertifikatssperrstatus gem. OCSP-Antwort des Zertifikatsherausgebers).
Herstellererklärung zu digiSeal office, Version 3.4, Version der Herstellererklärung 1.0
Seite 15 von 33
Bonn, 18. Juni 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1564 – Mitteilungen, Qualifizierte elektronische Signatur, 11 2014
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-030-DSO-3.4_v1.0
3.4.4 Unterstützte Signaturformate
Geprüft werden können qualifiziert signierte Dateien folgender Formate:
PKCS#7:
"signedData" gemäß RFC 2630,
"signedData" mit "multipart-signed"-Content gemäß RFC 2633
PDF-embedded Signatur:
PKCS#7-konforme Signatur entsprechend Adobe-Reference 1.6
XML-Signatur:
XML-DSIG gemäß W3C Recommendation vom 12.02.2002 – RFC 3275,
XAdES gemäß W3C Note vom 20.02.2003
EDI / AUTACK-Signatur
Signatur entsprechend ISO 9735-5 bzw. ISO 9735-6
EDI / Ideal Message Schweiz
3.5 Einbindung von qualifizierten Zeitstempeln
Zur Erzeugung von qualifizierten Zeitstempeln unterstützt digiSeal office die Ansprache der
Zeitstempelserver von Zertifizierungsdiensteanbietern.
Zeitstempelunterstützung gemäß IETF RFC 3161 Time-Stamp Protocol (TSP)
Unterstützung von Zeitstempeln mit SSL-Authetifikation (z.B.: D-TRUST Zeitstempel)
Unterstützung von Zeitstempeln mit HTTP-Authentifikation (z.B.: T-TeleSec-Zeitstempel)
Die Erzeugung von qualifizierten Zeitstempeln findet nicht durch digiSeal office direkt statt. Diese führt
lediglich vorbereitende und abschließende Maßnahmen zur Erstellung eines qualifizierten Zeitstempel
durch einen Zeitstempelserver eines Zertifizierungsdiensteanbieters durch.
Hierfür werden durch digiSeal office die folgenden Hashfunktionen unterstützt:
SHA-224
SHA-256
SHA-384
SHA-512
3.6 Aufbau der Teil-Signaturanwendungskomponente digiSeal office
Die Teil-Signaturanwendungskomponente digiSeal office ist modular aufgebaut und besteht aus den
folgenden Komponenten:
digiSeal.exe
dsSmartService.exe
digiSeal smart service configurator.exe
secryptCardManager.exe
dsCardManager.dll
dsShellExt.dll
dsShellExt64.dll
dsComPipe.exe
dsppnt.dll
dsppnt64.dll
Herstellererklärung zu digiSeal office, Version 3.4, Version der Herstellererklärung 1.0
Seite 16 von 33
Bonn, 18. Juni 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
11 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 1565
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-030-DSO-3.4_v1.0
dsImageConverter.exe
uninstall digiSeal.exe
digiSealAPI.dll
Diese Komponenten sind ausführbare Programme (executables) bzw. dynamisch geladene
Bibliotheken (dynamic link libraries).
3.6.1 Funktion der Komponente digiSeal.exe
Die Komponente digiSeal.exe ist das Kernstück des Produktes digiSeal office und stellt die folgenden
Funktionalitäten zur Verfügung:
Integritätsprüfung des Produktes beim Programmstart
Sichere Anzeige der zu signierenden oder signierten Daten
Hashwert-Berechnung nach den Algorithmen SHA-1, SHA-224, SHA-256, SHA-384, SHA-512
und RIPEMD-160
Erzeugung elektronischer Signaturen auf Basis von SSEE unter Verwendung eines
Kartenlesegerätes
Verifikation einer elektronischen Signatur, inklusive Prüfung der Zertifikatskette (u.a. Verwendung
der Onlineprüfung via OCSP)
Verwaltung von dynamischen Bibliotheken
Kommunikation mit dem secryptCardManager.exe
Bereitstellung eines Interfaces zu den Komponenten digiSealAPI.dll
3.6.2 Funktion der Komponente dsSmartService.exe
Die Komponente dsSmartService.exe verfügt über eine Benutzeroberfläche und stellt die folgenden
Funktionalitäten zur Verfügung:
Anzeigen von auf der SSEE gespeicherten Zertifikaten
Initialisierung und Änderung der PIN sowie Entsperren der PIN durch PUK-Nachweis
Konfiguration von Kartenlesegeräten
Kommunikation zur Ansprache der SSEE und der Kartenlesegeräte über die
secryptCardManager.exe (Dienst) bzw. die dsCardManager.dll.
3.6.3 Funktion der Komponente digiSeal smart service configurator.exe
Die Komponente digiSeal smart service configurator.exe stellt die folgende Funktionalität zur
Verfügung:
Ansprache von Funktionen der dsSmartService.exe
Überwachung und Visualisierung der Aktivitäten des Kartendienstes secryptCardManager.exe
3.6.4 Funktion der Komponente secryptCardManager.exe
Die Komponente secryptCardManager.exe stellt die folgende Funktionalität zur Verfügung:
digiSeal-Dienst für die Kartenlesegeräte- und SSEE-Ansprache.
Herstellererklärung zu digiSeal office, Version 3.4, Version der Herstellererklärung 1.0
Seite 17 von 33
Bonn, 18. Juni 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1566 – Mitteilungen, Qualifizierte elektronische Signatur, 11 2014
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-030-DSO-3.4_v1.0
3.6.5 Funktion der Komponente dsCardManager.dll
Die Komponente dsCardManager.dll stellt die folgende Funktionalität zur Verfügung:
Ansprache von Kartenlesegeräten und SSEE.
3.6.6 Funktion der Komponente dsShellExt.dll
Die Komponente dsShellExt.dll stellt auf 32bit-Betriebssystemen die folgende Funktionalität zur
Verfügung:
Ansprache von bestimmten digiSeal office-Funktionalitäten über das Kontextmenü
3.6.7 Funktion der Komponente dsShellExt64.dll
Die Komponente dsShellExt64.dll stellt auf 64bit-Betriebssystemen die folgende Funktionalität zur
Verfügung:
Ansprache von bestimmten digiSeal office-Funktionalitäten über das Kontextmenü
3.6.8 Funktion der Komponente dsComPipe.exe
Die Komponente dsComPipe.exe stellt die folgende Funktionalität zur Verfügung:
Umsetzung des virtuellen Druckers digiSeal
3.6.9 Funktion der Komponente dsppnt.dll
Die Komponente dsppnt.dll stellt die folgende Funktionalität zur Verfügung:
Bereitstellung des virtuellen Druckerports für den virtuellen Drucker digiSeal für Windows 2000,
Windows XP, Windows Vista (32bit), Windows 7 (32bit), Windows 8 (32bit) und nachfolgenden
32bit Windows Betriebssysteme
3.6.10 Funktion der Komponente dsppnt64.dll
Die Komponente dsppnt64.dll stellt die folgende Funktionalität zur Verfügung:
Bereitstellung des virtuellen Druckerports für den virtuellen Drucker digiSeal für Windows Vista
(64bit), Windows 7 (64bit), Windows 8 (64bit) und nachfolgenden 64bit Windows Betriebssysteme
3.6.11 Funktion der Komponente dsImagerConverter.exe
Die Komponente dsCardManager.dll stellt die folgende Funktionalität zur Verfügung:
Verarbeitung von Bilddaten zur Visualisierung von PDF-Dokumenten
3.6.12 Funktion der Komponente uninstall digiSeal.exe
Die Komponente uninstall digiSeal.exe stellt die folgende Funktionalität zur Verfügung:
Deinstallation der Software digiSeal office
3.6.13 Funktion der Komponente digiSealAPI.dll
Die Komponente digiSealAPI.dll stellt die folgende Funktionalität zur Verfügung:
API zur Ansprache der digiSeal office-Funktionalitäten über eine DLL mit C-Schnittstelle
Herstellererklärung zu digiSeal office, Version 3.4, Version der Herstellererklärung 1.0
Seite 18 von 33
Bonn, 18. Juni 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
11 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 1567
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-030-DSO-3.4_v1.0
Herstellererklärung zu digiSeal office, Version 3.4, Version der Herstellererklärung 1.0
Seite 19 von 33
Bonn, 18. Juni 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1568 – Mitteilungen, Qualifizierte elektronische Signatur, 11 2014
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-030-DSO-3.4_v1.0
3.7 Abgrenzung
Die folgenden Merkmale kann das Produkt digiSeal office nicht leisten:
Schutz des privaten Schlüssels
Diese Funktion gewährleistet ausschließlich die sichere Signaturerstellungseinheit.
Schutz der Signaturzertifikate auf der Signaturkarte
Diese Funktion obliegt ausschließlich der sicheren Signaturerstellungseinheit.
Sicherung der Integrität des CT-API-Treibers
digiSeal office enthält keine Funktionen zur Sicherung der Integrität des CT-API-Treibers des
Kartenlesegeräteherstellers.
Sicherung der Integrität des Betriebssystems (Systemumgebung)
digiSeal office enthält keine Funktionen zur Sicherung der Integrität des Betriebssystems
(Systemumgebung). Die Sicherung der Integrität des Betriebssystems obliegt dem Anwender bzw.
dem Systemadministrator. Sie müssen geeignete Maßnahmen treffen, um eine Bewahrung des
Betriebssystems vor Beeinträchtigungen und Manipulationen sicherzustellen.
Vertrauenswürdigkeit der die digiSeal office-API nutzenden Applikationen
digiSeal office enthält keine Funktionen zur Prüfung und Sicherung der Vertrauenswürdigkeit von
Applikationen, welche die API aufrufen.
Sicherheit der kryptographischen Funktionen
Das Produkt digiSeal office benutzt Bibliotheken zur Erzeugung und Verifikation elektronischer
Signaturen über das RSA Public Key und das ECDSA Public Key Verfahren und unter
Verwendung der Hash-Verfahren
SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 und RIPEMD-160. Der TOE (EVG) kann die
Stärke der kryptografischen Mechanismen nicht garantieren und keine Aussagen über die Stärke
der kryptografischen Funktionen postulieren.
digiSeal office dient zur Erstellung und Verifikation von elektronischen Signaturen. Dazu übernimmt
digiSeal office bei der Erstellung von elektronischen Signaturen folgende Teilaufgaben:
Hashwertbildung, Kommunikation mit der SSEE zur Signierung eines Hashwertes (Bildung einer
elektronischen Signatur), Verifikation des signierten Hashwertes (Signatur) und Speicherung der
signierten Datei im gewünschten Signaturaustauschformat.
Bei der Verifikation elektronischer Signaturen übernimmt digiSeal office die folgenden Teilaufgaben:
Prüfung der Dateisignatur, lokale Zertifikatsprüfung, Onlinezertifikatsprüfung unter Nutzung des
OCSP-Protokolls und Erzeugung eines Prüfprotokolls.
digiSeal office kann die Protokollierung elektronischer Signaturvorgänge auf dem Rechner des
Benutzers nicht verhindern.
Herstellererklärung zu digiSeal office, Version 3.4, Version der Herstellererklärung 1.0
Seite 20 von 33
Bonn, 18. Juni 2014
