abl-16
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
16 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 2693
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2013-06-01
die Validierung des Zertifikats (Überprüfung, ob die nachgeprüften qualifizierten Zertifikate im
jeweiligen Zertifikatverzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt wa-
ren) korrekt ausgeführt und zutreffend angezeigt werden.
Die Anforderungen zur Erkennung sicherheitstechnischer Veränderungen werden durch die
Signaturen der Software und die Auflagen zum Betrieb realisiert, vgl. Abschnitt 5.
Darüber hinaus ist § 17 Abs. 2 Satz 4 SigG ("Die Signaturschlüssel-Inhaber sollen solche Signaturan-
wendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elekt-
ronischer Signaturen treffen.") nicht direkt durch das Produkt Governikus Communicator, Version 3.5.5.0
umsetzbar.
Die Software "Governikus Communicator, Version 3.5.5.0" erfüllt alle Anforderungen gemäß § 17 Abs. 2
SigG, umfasst allerdings keine Chipkartenleser und keine sicheren Signaturerstellungseinheiten.
Hinweis zu schwachwerdenden Algorithmen und qualifizierten Zeitstempeln
Signaturanwendungskomponenten i. S. v. § 2 Nr. 11 b SigG müssen auch dann eine zuverlässige Prü-
6
fung und zutreffende Anzeige des Ergebnisses gem. § 15 Abs. 2 Nr. 2a SigV gewährleisten , wenn die
geprüfte Signatur auf einem Algorithmus oder Parameter beruht, der als nicht mehr geeignet und damit
als nicht mehr hinreichend zuverlässig eingestuft ist, oder wenn ein qualifizierter Zeitstempel vorliegt.
Seitens der Bundesnetzagentur wurden die Anforderungen an Signaturanwendungskomponenten weiter
präzisiert, die das Produkt "Governikus Communicator, Version 3.5.5.0" aktuell wie folgt erfüllt:
Anforderung Erfüllung und Verhalten der Software
"Governikus Communicator, Version
3.5.5.0"
a) Abgelaufene Algorithmen: Bei der Prüfung einer Signatur prüft das Pro-
dukt "Governikus Communicator, Version
Die Prüfung einer Signatur durch eine Signaturan- 3.5.5.0", ob die verwendeten kryptographischen
wendungskomponente (SAK) für qualifizierte elektro- Algorithmen – sowohl zum Zeitpunkt der Prü-
nische Signaturen i. S. v. § 2 Nr. 11b SigG muss bei fung (Prüfzeitpunkt) als auch zum Signierzeit-
abgelaufenen Algorithmen für den Nutzer deutlich punkt – als geeignet anzusehen sind. Bzgl. der
anzeigen, dass die geprüfte Signatur mit einem Algo- Eignung kryptographischer Algorithmen werden
rithmus erzeugt wurde, der nicht mehr dem Stand der die Angaben des offiziellen Algorithmenkata-
Wissenschaft und Technik entspricht, und sie somit logs der Bundesnetzagentur genutzt.
7
einen verminderten Beweiswert hinsichtlich der Au-
thentizität und Integrität des verbundenen Dokuments Das Prüfprotokoll, in dem die Ergebnisse der
gegenüber dem Signaturzeitpunkt besitzt. Weiter Prüfung zusammenfassend dem Benutzer dar-
sollte der Zeitpunkt, zu dem der Algorithmus seine gestellt werden, hebt Signaturen, deren zuge-
Eignung verloren hat, zutreffend angezeigt werden. hörige kryptographische Algorithmen zum Prüf-
oder zum Signierzeitpunkt als nicht mehr ge-
Unspezifische Aussagen zu abgelaufene Algorithmen
6
Schreiben der Bundesnetzagentur "Hinweis im Zusammenhang mit der Prüfung von qualifizierten
elektronischen Signaturen, die auf ungeeigneten Algorithmen beruhen, und von qualifizierten Zeitstem-
peln" vom 06.03.2009
7
Detaillierte Erläuterungen finden sich im Informationspapier zur Umsetzung des bos-Prüfprotokolls
gemäß FAQ 28 der BNetzA. (Vgl. Ausgegliederte Zusatzdokumentation)
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 10 von 16
Herstellererklärung für "Governikus Communicator, Version 3.5.5.0" bos-2013-06-01 Version 1.0
Bonn, 3. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
2694 – Mitteilungen, Qualifizierte elektronische Signatur, 16 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2013-06-01
Anforderung Erfüllung und Verhalten der Software
"Governikus Communicator, Version
3.5.5.0"
sind nicht zulässig. eignet anzusehen sind, entsprechend farblich
hervor und weist den Benutzer darauf hin, dass
ein verwendeter Algorithmus zum Zeitpunkt der
Prüfung oder zum Signierzeitpunkt gemäß Al-
gorithmenkatalog nicht mehr für eine qualifizier-
te elektronische Signatur geeignet ist oder
8
war. Außerdem zeigt das Prüfprotokoll an, bis
zu welchem Zeitpunkt die verwendeten Algo-
rithmen gemäß Algorithmenkatalog als geeignet
anzusehen sind, bzw. es waren.
b) Nicht implementierte Algorithmen: Sofern die Software "Governikus Communica-
tor, Version 3.5.5.0" eine Prüfung einer Signa-
Ist bei der Prüfung einer Signatur ein Algorithmus zu tur nicht (vollständig) durchführen kann, da ein
verwenden, der in der Verifikationskomponente der benötigter kryptographischer Algorithmus nicht
SAK nicht implementiert ist, so muss dies dem Nutzer implementiert ist, wird dies dem Benutzer ent-
zutreffend angezeigt werden. sprechend angezeigt: Das Prüfprotokoll, in dem
die Ergebnisse der Prüfung zusammenfassend
Unspezifische Aussagen zu nicht implementierten
dem Benutzer dargestellt werden, hebt Signatu-
Algorithmen sind nicht zulässig
ren, deren zugehörige kryptographische Algo-
rithmen nicht implementiert sind, entsprechend
hervor und weist den Benutzer darauf hin, dass
die Signatur nicht geprüft werden konnte, da
7
ein Algorithmus nicht implementiert ist.
c) Qualifizierte Zeitstempel: Die Software "Governikus Communicator, Ver-
sion 3.5.5.0" bringt keine Zeitstempel an.
Tragen Daten einer qualifizierten elektronischen Sig-
natur, bei deren Verifikation zu erkennen ist, dass der Mangels standardisiertem Verfahren für die
Signaturprüfschlüssel zu einem Zeitstempel-Zertifikat Einbindung von qualifizierten Zeitstempeln,
gehört, so ist dies dem Nutzer zutreffend anzuzeigen. werden qualifizierte Zeitstempel aus Fremdpro-
Der Zeitpunkt, der im qualifizierten Zeitstempel ent- dukten nicht interpretiert. Gleichwohl ergibt sich
halten ist, ist dem Nutzer ebenfalls darzulegen. ein qualifizierter Zeitstempel aus dem zugehöri-
gen, angezeigten Zertifikat.
Solange kein standardisiertes Verfahren für die Ein-
bindung von qualifizierten Zeitstempeln existiert, ist
es ausreichend, wenn das Produkt seine selbst inte-
grierten qualifizierten Zeitstempel auswerten kann.
Qualifizierte Zeitstempel, die aus Fremdprodukten
und damit in einer ev. proprietären Datenstruktur
vorliegen, müssen nicht zwingend durch das Produkt
ausgewertet werden.
8
Informationen zur graduellen und sukzessiven Einbuße des Beweiswertes der Signatur, sind dem bei-
liegenden Dokument "bos-Prüfprotokoll" zu entnehmen.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 11 von 16
Herstellererklärung für "Governikus Communicator, Version 3.5.5.0" bos-2013-06-01 Version 1.0
Bonn, 3. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
16 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 2695
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2013-06-01
Anforderung Erfüllung und Verhalten der Software
"Governikus Communicator, Version
3.5.5.0"
Unspezifische Aussagen zu qualifizierten Zeitstem-
peln sind nicht zulässig
5. Maßnahmen in der Einsatzumgebung
5.1 Einrichtung der IT-Komponenten
Für den Betrieb der Software "Governikus Communicator, Version 3.5.5.0" wird folgende Einsatzumge-
bung vorausgesetzt:
Personal Computer (PC) mit Internetanschluss;
Zurzeit werden folgende Betriebssysteme unterstützt:
o Microsoft Windows 7, XP oder Vista (jeweils mit aktuellem Service Pack);
o openSUSE 12.2;
Internet-Browser;
Signaturkarte gemäß Tabelle 2, wobei die Auflagen aus der Bestätigung zu dem Produkt (siehe
Registriernummer in Tabelle 2) einzuhalten sind;
Chipkarten-Lesegerät gemäß Tabelle 2, wobei die Auflagen aus der Bestätigung zu dem Pro-
dukt (siehe Registriernummer in Tabelle 2) einzuhalten sind;
Java Runtime Environment (JRE Hinsichtlich der Einrichtung der IT-Komponenten wird empfoh-
len, stets das aktuelle Java-Runtime-Environment einzusetzen: Der Governikus Communicator
benötigt die JRE-Versionslinie 1.7_x (mindestens 1.7.0_40).
Die Software "Governikus Communicator, Version 3.5.5.0" darf ausschließlich innerhalb der oben be-
schriebenen Hard- und Softwareausstattung eingesetzt werden.
5.2 Anbindung an ein Netzwerk
Für den Betrieb der Software "Governikus Communicator, Version 3.5.5.0" ist ein Netzwerk notwendig.
Bei Anbindung der Software an ein Netzwerk müssen die folgenden Maßnahmen zum Schutz beachtet
werden: Netzwerkverbindungen müssen so abgesichert sein, dass Angriffe erkannt bzw. unterbunden
werden – z. B. durch eine geeignet konfigurierte Firewall und durch die Verwendung geeigneter Anti-
Viren-Programme.
Die in diesem Abschnitt gemachten Auflagen müssen eingehalten werden.
5.3 Auslieferung und Installation
Die Auslieferung erfolgt online per Download von einem Webserver.
Alle Dateien der Software "Governikus Communicator, Version 3.5.5.0" werden vor der Auslieferung
vom Hersteller signiert, um Schutz vor unerkannten nachträglichen Manipulationen und Veränderungen
zu bieten. Der Nutzer sollte sich vor der Installation der Software "Governikus Communicator, Version
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 12 von 16
Herstellererklärung für "Governikus Communicator, Version 3.5.5.0" bos-2013-06-01 Version 1.0
Bonn, 3. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
2696 – Mitteilungen, Qualifizierte elektronische Signatur, 16 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2013-06-01
3.5.5.0" von der Gültigkeit der Signatur überzeugen. Die Verifikation der Signatur erfolgt über Standard-
Java-Mechanismen.
Die Software "Governikus Communicator, Version 3.5.5.0" lässt sich über eine Installationsroutine ein-
fach installieren, ein Java Runtime Environment (JRE) wird immer mitinstalliert. In der Installationsrouti-
ne werden einige Parameter zur Installation (Ort des Installationsverzeichnisses, Anlegen einer Desk-
topverknüpfung etc.) abgefragt.
5.4 Auflagen für den Betrieb des Produktes
Die Software "Governikus Communicator, Version 3.5.5.0" wird in einem "geschützten Einsatzbereich
(Regelfall/ Standardlösung)" (vgl. "Einheitliche Spezifizierung der Einsatzkomponenten für Signaturan-
wendungskomponenten – Arbeitsgrundlage für Entwickler/Hersteller und Prüf-/Bestätigungsstellen",
Version 1.4, 19.07.2005) betrieben.
Während des Betriebs sind die folgenden Bedingungen für den sachgemäßen Einsatz zu beachten:
Auflagen zur Sicherheit der IT-Plattform und Applikationen
Es muss gewährleistet sein, dass von der Hardware, auf der die Software "Governikus Communicator,
Version 3.5.5.0" betrieben wird, keine Angriffe ausgehen. Insbesondere ist sicherzustellen, dass
die auf dem eingesetzten Personalcomputer installierte Software – insbesondere die Java Virtu-
al Machine – nicht böswillig manipuliert oder verändert werden kann,
auf dem Personalcomputer keine Viren oder Trojanischen Pferde eingespielt werden können,
die Hardware des Personalcomputers nicht unzulässig verändert werden kann,
der verwendete Chipkartenleser nicht böswillig manipuliert wurde, um Daten (z. B. PIN, Hash-
werte etc.) auszuforschen oder zu verändern.
Das Ausforschen der PIN auf dem Personalcomputer kann nur dann mit Sicherheit ausgeschlossen
werden, wenn ein Chipkartenleser mit sicherer PIN-Eingabe eingesetzt wird.
Auflagen zum Schutz vor manuellem Zugriff Unbefugter
Der eingesetzte Personalcomputer muss gegen einen manuellen Zugriff Unbefugter geschützt werden –
insbesondere, um Manipulation von Dateien auf Dateisystemebene, die die Software zur Darstellung der
Nachrichten benötigt, zu unterbinden. Dies kann z. B. durch Aufstellung in einem abschließbaren Raum
geschehen.
Die Unterrichtung des Zertifizierungsdiensteanbieters zur Handhabung der SSEE ist zu beachten.
Auflagen zum Schutz vor Angriffen über Datenaustausch per Datenträger
Bei Einspielen von Daten über Datenträger muss – z. B. durch die Verwendung geeigneter Anti-Viren-
Programme – sichergestellt werden, dass keine Viren oder Trojanischen Pferde eingespielt werden
können.
Auflagen zur Sicherheitsadministration des Betriebs
Hinsichtlich der Software "Governikus Communicator, Version 3.5.5.0" ist keine spezielle Sicherheits-
administration für den Betrieb vorgesehen. Der eingesetzte Personalcomputer und der eingesetzte
Chipkartenleser sind aber in jedem Fall gegen eine unberechtigte Benutzung zu sichern.
Auflagen zum Schutz vor Fehlern bei Betrieb/Nutzung
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 13 von 16
Herstellererklärung für "Governikus Communicator, Version 3.5.5.0" bos-2013-06-01 Version 1.0
Bonn, 3. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
16 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 2697
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2013-06-01
Folgende Auflagen sind für den sachgemäßen Einsatz der Software "Governikus Communicator, Versi-
on 3.5.5.0" zu beachten:
Sofern eine Visualisierung einer zu signierenden Datei erfolgen soll, ist eine geeignete Anwen-
dung zu nutzen, d. h. eine Anwendung, die Dateien des entsprechenden Dateityps öffnen und
die zu signierenden oder signierten Daten zuverlässig darstellen kann.
Es wird eine vertrauenswürdige Eingabe der PIN vorausgesetzt. Der Nutzer hat dafür Sorge zu
tragen, dass die Eingabe der PIN weder beobachtet noch die PIN anderen Personen bekannt
gemacht wird.
Nur beim Betrieb mit einem bestätigten Chipkartenleser mit PIN-Pad ist sicher gestellt, dass die
PIN nur zur SSEE übertragen wird.
Zum Signieren darf die PIN nur am PIN-Pad des Chipkartenlesers eingegeben werden.
Hinweise von Zertifizierungsdiensteanbietern zum Umgang mit persönlichen sowie geheimen
Signatur-PIN sind zu beachten.
Eine Signaturgesetz-konforme Nachprüfung qualifizierter Zertifikate kann nur erfolgen, soweit
dafür die technischen Voraussetzungen – insbesondere durch die Verbindung zum OSCI-
Manager – gegeben sind.
Eine gültige qualifizierte elektronische Signatur kann nur mit einem zum Anbringungszeitraum
gültigen Zertifikat, welches nicht gesperrt oder abgelaufen ist, angebracht werden.
Auflagen für Wartung/Reparatur
Die Pflege und Wartung der Software "Governikus Communicator, Version 3.5.5.0" erfolgt mittels Be-
reitstellung aktualisierter Java Archive die vom Benutzer über einen Download von einem Webserver
bezogen werden können.
Algorithmen und zugehörige Parameter
Zur Erzeugung qualifizierter elektronischer Signaturen werden vom Produkt "Governikus Communicator,
Version 3.5.5.0" die Hashfunktionen SHA-224, SHA-256, SHA-384, SHA-512 und RIPEMD-160 bereit-
gestellt. 9
Zur Prüfung qualifizierter elektronischer Signaturen werden vom Produkt "Governikus Communicator,
Version 3.5.5.0" die Hashfunktionen SHA-256, RIPEMD-160 und SHA-1 10 sowie die Signaturalgorithmen
RSA und DSA 11 bereitgestellt.
Die gemäß Anlage I Abs. 1 Nr. 2 SigV festgelegte Eignung für die verwendeten kryptographischen Algo-
rithmen sind gemäß den Angaben der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post
9
Hinweis: Das Produkt unterstützt ferner die Hashfunktion SHA-1, die allerdings zum 30.6.2008 ausge-
laufen ist, so dass aufgrund der abgelaufenen oder gesperrten Zertifikate keine qualifizierten elektroni-
schen Signaturen mehr erzeugt werden können.
10
Dem Benutzer wird bei der Prüfung alter Signaturen, die mit SHA-1 erzeugt wurden, die abgelaufene
Gültigkeit von SHA-1 mit einem Warnhinweis angezeigt. Die Hashfunktionen SHA-1 und RIPEMD-160
sind bis Ende 2015 nur noch für die Prüfung qualifizierter Zertifikate geeignet.
11
Die Schlüssellänge richtet sich nach den zu verifizierenden Signaturen; das Produkt "Governikus
Communicator 3.5.5.0" unterstützt die gängigen Schlüssellängen von 2048 Bit
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 14 von 16
Herstellererklärung für "Governikus Communicator, Version 3.5.5.0" bos-2013-06-01 Version 1.0
Bonn, 3. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
2698 – Mitteilungen, Qualifizierte elektronische Signatur, 16 2014
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2013-06-01
und Eisenbahnen, (vgl. "Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der
Signaturverordnung (Übersicht über geeignete Algorithmen)", 18. 2. 2013, veröffentlicht am 27. März
2013 im Bundesanzeiger BAnz AT 27.03.2013 B4) wie folgt als geeignet eingestuft:
- RIPEMD-160: gültig bis 31.12.2015 12
- SHA-2 Familie (SHA-224): gültig bis 31.12.2015
- SHA-2 Familie (SHA-256, SHA-384, SHA-512): gültig bis 31.12.2019
- RSA mit Schlüssellänge 1976 und 2048 Bit: gültig bis 31.12.2019
- DSA mit Schlüssellänge 2048 Bit (Parameter p) und 224 Bit (Parameter q): gültig bis 31.12.2015
- DSA mit Schlüssellänge 2048 Bit (Parameter p) und 256 Bit (Parameter q): gültig bis 31.12.2019
1. Gültigkeitsdauer der Herstellererklärung
Diese Erklärung ist bis zu ihrem Widerruf, längstens jedoch bis zum 31.12.2019 gültig. Die Gültigkeit der
Herstellererklärung ist weiter beschränkt durch die in Kapitel 6 aufgeführten Gültigkeiten der Algorith-
men; die Gültigkeit kann sich verkürzen, wenn z. B. neue Feststellungen hinsichtlich der Sicherheit des
Produktes oder der Eignung der Algorithmen im Bundesanzeiger veröffentlicht werden.
Der aktuelle Status der Gültigkeit der Erklärung ist bei der zuständigen Behörde (Bundesnetzagentur,
Referat Qualifizierte Elektronische Signatur – Technischer Betrieb) zu erfragen.
2. Zusatzdokumentation
Folgende Bestandteile der Herstellererklärung wurden aus dem Veröffentlichungstext ausgegliedert und
bei der zuständigen Behörde hinterlegt:
• "Unterlagen zur Herstellererklärung gemäß § 17 Abs. 4 SigG für die Software "Governikus
Communicator, Version 3.5.5.0" – Sicherheitstechnische Produktbeschreibung und Spezifikati-
on, 06.12.2013, 81 Seiten.
• Unterlagen zur Herstellererklärung gemäß § 17 Abs. 4 SigG für die Software "Governikus
Communicator, Version 3.5.5.0" – Testdokumentation, 06.12.2013, 15 Seiten.
• Benutzerhandbuch "Governikus Communicator, Version 3.5.5.0", 06.12.2013, 105 Seiten.
• Anwenderdokumentation "Governikus Communicator Erklärung zum bos-Prüfprotokoll", (Verifi-
cation Interpreter Version 3.4.1.0), 30.08.2013, 118 Seiten.
• Testkonzept "Governikus Communicator, Version 3.5.5.0", 06.12.2013, 104 Seiten.
• Testkonzept "Testhandbuch Verification Interpreter", Release 3.4.1.0, Dokumentenversion 1.0,
32 Seiten.
• Testprotokoll "Governikus Communicator, Version 3.5.5.0", 08.11.2013, Exceltabelle
• Testprotokoll "Verification Interpreter", Release 3.4.1.0, Dokumentenversion 1.0, Exceltabelle
12
Ab dem 01.01.2011 wird bei Verwendung des Algorithmus RIPEMD-160 eine Warnmeldung ange-
zeigt, dass dieser Algorithmus nicht mehr für eine qualifizierte elektronische Signatur verwendet werden
kann.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 15 von 16
Herstellererklärung für "Governikus Communicator, Version 3.5.5.0" bos-2013-06-01 Version 1.0
Bonn, 3. September 2014
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
16 2014 – Mitteilungen, Qualifizierte elektronische Signatur, 2699
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2013-06-01
Ende der Herstellererklärung
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 16 von 16
Herstellererklärung für "Governikus Communicator, Version 3.5.5.0" bos-2013-06-01 Version 1.0
Bonn, 3. September 2014
