abl-18
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
18 2012 – Mitteilungen, Qualifizierte elektronische Signatur, 3411
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer/SecMailServer 5
Abbildung 1: Schematische Darstellung der Signaturerzeugung
Herstellererklärung zu SecPKIServer/SecMailServer 5, Version 1.4 Seite 12 von 31
Bonn, 19. September 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3412 – Mitteilungen, Qualifizierte elektronische Signatur, 18 2012
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer/SecMailServer 5
Abbildung 2: Schematische Darstellung der Signaturprüfung
Herstellererklärung zu SecPKIServer/SecMailServer 5, Version 1.4 Seite 13 von 31
Bonn, 19. September 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
18 2012 – Mitteilungen, Qualifizierte elektronische Signatur, 3413
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer/SecMailServer 5
Abbildung 3: Zusammenwirken der Komponenten bei der Signaturerzeugung (Schnittstelle: Dateisystem)
Herstellererklärung zu SecPKIServer/SecMailServer 5, Version 1.4 Seite 14 von 31
Bonn, 19. September 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3414 – Mitteilungen, Qualifizierte elektronische Signatur, 18 2012
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer/SecMailServer 5
Abbildung 4: Zusammenwirken der Komponenten bei der Signaturerzeugung (Schnittstelle: API)
Abbildung 5: Zusammenwirken der Komponenten bei der Signaturerzeugung (Schnittstelle: SMTP)
Herstellererklärung zu SecPKIServer/SecMailServer 5, Version 1.4 Seite 15 von 31
Bonn, 19. September 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
18 2012 – Mitteilungen, Qualifizierte elektronische Signatur, 3415
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer/SecMailServer 5
Abbildung 6: Zusammenwirken der Komponenten bei der Signaturprüfung (Schnittstelle: Dateisystem)
Herstellererklärung zu SecPKIServer/SecMailServer 5, Version 1.4 Seite 16 von 31
Bonn, 19. September 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3416 – Mitteilungen, Qualifizierte elektronische Signatur, 18 2012
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer/SecMailServer 5
Abbildung 7: Zusammenwirken der Komponenten bei der Signaturprüfung (Schnittstelle: API)
Abbildung 8: Zusammenwirken der Komponenten bei der Signaturprüfung (Schnittstelle: SMTP)
Herstellererklärung zu SecPKIServer/SecMailServer 5, Version 1.4 Seite 17 von 31
Bonn, 19. September 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
18 2012 – Mitteilungen, Qualifizierte elektronische Signatur, 3417
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer/SecMailServer 5
4 Erfüllung der Anforderungen des Signaturgesetz und der Signaturverordnung
SecPKIServer/SecMailServer 5 basiert auf den zertifizierten kryptographischen Bibliotheken der Teil-
Signaturanwendungskomponente SecSigner 2.0.0. Durch die Bestätigung nach Signaturgesetz und die
Zertifizierung von SecSigner durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), erfüllt
SecSigner 2.0.0 die strengsten gesetzlichen Sicherheitsanforderungen an Produkte für qualifizierte
elektronische Signaturen:
http://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/BNetzA/Sachgebiete/QES/ProdukteBestaetig
ungen/SignaturanwendungsKomp_Anwenderprogramme/SecSignerVers200Id1593pdf.pdf
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Reporte01/0164_pdf.pdf
4.1 Erfüllte Anforderungen nach SigG/SigV
Die Teil-Signaturanwendungskomponente SecPKIServer/SecMailServer 5 erfüllt die Anforderungen nach
§17 (2)4 Signaturgesetz und §15 (2,4,5)5 Signaturverordnung im Einzelnen in folgenden Punkten:
4 SigG §17 „(2) Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten
erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur vorher eindeutig anzeigen und
feststellen lassen, auf welche Daten sich die Signatur bezieht. Für die Überprüfung signierter Daten sind
Signaturanwendungskomponenten erforderlich, die feststellen lassen,
1. auf welche Daten sich die Signatur bezieht,
2. ob die signierten Daten unverändert sind,
3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,
4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige
qualifizierte Attribut-Zertifikate aufweisen und
5. zu welchem Ergebnis die Nachprüfung von Zertifikaten nach § 5 Abs. 1 Satz 3 geführt hat.
Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu signierenden oder
signierten Daten hinreichend erkennen lassen. Die Signaturschlüssel-Inhaber sollen solche
Signaturanwendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit
qualifizierter elektronischer Signaturen treffen.“
5 SigV §15 „(2) Signaturanwendungskomponenten nach § 17 Abs. 2 des Signaturgesetzes müssen
gewährleisten,
1. dass bei der Erzeugung einer qualifizierten elektronischen Signatur
a) die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren
Signaturerstellungseinheit gespeichert werden,
b) eine Signatur nur durch die berechtigt signierende Person erfolgt,
c) die Erzeugung einer Signatur vorher eindeutig angezeigt wird und
2. bei der Prüfung einer qualifizierten elektronischen Signatur
a) die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird und
b) eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen
Zertifikat-Verzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren.“
SigV §15 „(4) Sicherheitstechnische Veränderungen an technischen Komponenten nach den
Absätzen 1 bis 3 müssen für den Nutzer erkennbar werden.“
SigV §15 „(5) Eine Herstellererklärung nach § 17 Abs. 4 des Signaturgesetzes muss
1. den Aussteller und das Produkt genau bezeichnen und
2. genaue Angaben darüber enthalten, welche Anforderungen des Signaturgesetzes und
dieser Verordnung im Einzelnen erfüllt sind.
Bei der Prüfung und Bestätigung der Sicherheit von Produkten nach § 17 Abs. 1 und 3 Nr. 1 des
Signaturgesetzes sind die Vorgaben des Abschnitts II der Anlage 1 zu dieser Verordnung zu beachten.“
Herstellererklärung zu SecPKIServer/SecMailServer 5, Version 1.4 Seite 18 von 31
Bonn, 19. September 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3418 – Mitteilungen, Qualifizierte elektronische Signatur, 18 2012
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer/SecMailServer 5
1. Bei der Erzeugung qualifizierter elektronischer Signaturen wird gewährleistet, dass die
Identifikationsdaten nicht preisgegeben und nur auf der jeweiligen sicheren
Signaturerstellungseinheit gespeichert werden (SigV §15 Absatz 2 Nr. 1a). Die Identifikationsdaten
(PIN) zur Anwendung der Signaturschlüssel werden ausschließlich auf der sicheren
Signaturerstellungseinheit (Signaturkarte) gespeichert. Auf die sichere Signaturerstellungseinheit
wird ausschließlich über Chipkartenleser mit eigener Tastatur zur Eingabe der Identifikationsdaten
zugegriffen, die für diesen Zweck nach SigG/SigV bestätigt sind. Eine Preisgabe der
Identifikationsdaten kann hierdurch ausgeschlossen werden.
2. Die Erzeugung von qualifizierten Signaturen erfolgt nur durch die berechtigt signierende Person
(SigV §15 Absatz 2 Nr. 1b), da die Signaturerzeugung nur explizit vom Signaturschlüssel-Inhaber
durch Eingabe seiner Identifikationsdaten für ein festes Zeitfenster oder eine bestimmte Anzahl
Signaturen ohne jeweilige erneute Identifizierung freigegeben wird. Das Zeitfenster oder die
bestimmte Anzahl wird auf dem Display des Chipkartenlesers angezeigt und muss vom
Signaturschlüssel-Inhaber bestätigt werden. Durch die Einsatzumgebung wird sichergestellt, dass
Unberechtigte keine Signaturen veranlassen können.
Durch die Verwendung von Attributen im Hauptzertifikat oder zusätzlichen Attributzertifikaten zur
Selbstbeschränkung wird sichergestellt, dass Signaturen nur zu dem voreingestellten Zweck (z.B.
Signatur von Rechnungen) vorgenommen werden können.
3. Die Erzeugung von qualifizierten elektronischen Signaturen wird durch den eingesetzten
Chipkartenleser auf dem Display angezeigt (SigG §17 Absatz 2 Satz 1, SigV §15 Absatz 2, Nr. 1c)
und muss vom Signaturschlüssel-Inhaber bestätigt werden, indem der Signaturschlüssel-Inhaber
seine Identifikationsdaten (PIN) gegenüber der sicheren Signaturerstellungseinheit eingibt. Vor der
Eingabe der PIN am Kartenleser muss der Signaturkarteninhaber die im Display des Kartenlesers
angezeigte Freigabe bestätigen. Nach der Freigabe wird ein auf dem Display des Kartenlesers das
Anstoßen der Massensignatur als Warnhinweis angezeigt. Dieser Hinweis muss am Kartenleser
bestätigt werden, ehe Signaturen erzeugt werden können.
4. Durch die Beschränkungen an die Einsatzumgebung (vgl. Abschnitt 5) wird sichergestellt, dass nur
geeignete Dokumente zur Signatur an die Schnittstellen übergeben werden. Alle zu signierenden
Daten können im Dateisystem abgelegt und nach Bedarf in einem Secure Viewer geöffnet werden.
Damit sind die Daten hinreichend erkennbar und es lässt sich feststellen, auf welche Daten sich die
zu erstellende Signatur bezieht (SigG §17 Absatz 2 Satz 1). Der Secure Viewer ist eine geeignete
Maßnahme der Einsatzumgebung und nicht Gegenstand dieser Herstellererklärung.
5. Bei der Prüfung qualifizierter elektronischer Signaturen wird die Korrektheit der Signatur zuverlässig
geprüft und der aufrufenden Anwendung zutreffend mit dem Prüfergebnis übergeben. (SigG §17
Absatz 2 Nr. 2, SigV §15 Absatz 2, Nr. 2a). Dabei wird insbesondere geprüft, ob die signierten Daten
unverändert sind (SigG §17 Absatz 2 Nr. 2). Ferner umfasst die Prüfung eine Prüfung der
Zertifikatkette inklusive Sperrabfrage für das Unterzeichnerzertifikat. Die Rückgabe besteht jeweils
aus einem Ergebnis (Gültig/Ungültig) und einem Prüfbericht (HTML/XML/PDF) mit detaillierten
Informationen zu den Ergebnissen der einzelnen Prüfschritte.
Werden Signaturen geprüft, die mathematisch korrekt sind und die auf Algorithmen beruhen, welche
als nicht mehr geeignet und damit als nicht mehr hinreichend sicher eingestuft sind, und liegt kein
geeigneter qualifizierte Zeitstempel vor (vgl. http://www.bundesnetzagentur.de/enid/elsig), so wird
als Prüfergebnis „Gültigkeit der Signatur nicht feststellbar“ und im Prüfbericht zusätzlich das
Ablaufdatum des nicht mehr geeigneten Algorithmus angezeigt: „Die Gültigkeit der Signatur kann
nicht festgestellt werden. Die Signatur wurde mit einem [Algorithmus] erzeugt, der zum Prüfzeitpunkt
zur Erstellung qualifizierter Signaturen als nicht mehr geeignet eingestuft war, und hat somit an
Sicherheitswert verloren. Es liegt keine Übersignatur vor, die den Sicherheitswert der qualifizierten
Signatur erhalten hat. Ablaufdatum des Algorithmus: [Datum]“
Beruht eine zu prüfende Signatur auf einem nicht unterstützen Algorithmus, so wird dem Nutzer im
Prüfprotokoll angezeigt, dass der Algorithmus nicht unterstützt wird: „Der verwendete
kryptographische Algorithmus [Name] wird nicht unterstützt.“
Herstellererklärung zu SecPKIServer/SecMailServer 5, Version 1.4 Seite 19 von 31
Bonn, 19. September 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
18 2012 – Mitteilungen, Qualifizierte elektronische Signatur, 3419
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer/SecMailServer 5
Zusätzlich zur Signatur kann der Komponente ein qualifizierter Zeitstempel (RFC 3161) oder ein
Beweisdokument mit qualifiziertem Zeitstempel (RFC 4998) übergeben werden. Die Komponente
prüft die Gültigkeit der Zeitstempelsignaturen. Sind Zeitstempel bzw. Beweisdokument mit
Zeitstempel geeignet, den Beweiswert der Signatur zu erhalten, so wird dies dem Nutzer zusammen
mit dem Prüfergebnis für die Signatur, der Zeitstempelsignatur und ggf. dem Beweisdokument
eindeutig angezeigt.
6. Durch die Beschränkungen an die Einsatzumgebung (vgl. Abschnitt 5) wird sichergestellt, dass
signierte Daten und Signaturen während der Signaturprüfung nicht verändert werden. Alle signierten
Daten können im Dateisystem abgelegt und nach Bedarf in einem Secure Viewer geöffnet werden.
Damit sind die Daten hinreichend erkennbar und es lässt sich feststellen, auf welche Daten sich die
Signatur bezieht (SigG §17 Absatz 2 Satz 2 Nr. 1). Der Secure Viewer ist eine geeignete Maßnahme
der Einsatzumgebung und nicht Gegenstand dieser Herstellererklärung.
7. Bei der Prüfung qualifizierter elektronischer Signaturen wird die Zertifikate der Kette bis zum
Wurzelzertifikat geprüft. Durch die Möglichkeit einer Online-Sperrabfrage beim Trustcenter wird für
den Anwender eindeutig erkennbar, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen
Zertifikat-Verzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren (SigV §15
Absatz 2, Nr. 2b). Dem Anwender wird im Prüfprotokoll eindeutig angezeigt, zu welchem Ergebnis
die Signaturprüfung gekommen ist, welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,
welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte
Attribut-Zertifikate aufweisen und welches Ergebnis die Nachprüfung des Zertifikats ergeben hat
(SigG §17 Absatz 2 Nr. 3, 4, 5).
8. Sicherheitstechnische Veränderungen an technischen Komponenten sind für den Nutzer wie folgt
erkennbar (SigV §15 Absatz 4): Die dem SecPKIServer/SecMailServer 5 zugrunde liegenden Java-
Bibliotheken sind mit einer qualifizierten elektronischen Signatur versehen, die mit geeigneten
Signaturanwendungskomponenten geprüft werden kann. Solange die Signatur als gültig verifiziert
werden kann, kann eine Veränderung an der Software ausgeschlossen werden.
9. Durch diese Herstellererklärung, die den Aussteller und das Produkt genau bezeichnen und die
genaue Angaben darüber enthält, welche Anforderungen des Signaturgesetzes und der
Signaturverordnung im Einzelnen erfüllt werden, wird der Signaturverordnung §15 Absatz 5 genügt.
Voraussetzung für die Erfüllung der genannten Anforderungen der Teil-Signaturanwendungs-
komponente SecPKIServer/SecMailServer 5 ist die Einhaltung der nachfolgenden
Einsatzbedingungen und Auflagen. Die technische Umsetzung ist im Anhang zu dieser
Herstellererklärung im Detail beschrieben.
Die für den Einsatz des SecPKIServer/SecMailServers 5 notwendigen weiteren technischen
Komponenten, wie Betriebssystem, Java-Laufzeitumgebung, Chipkartenleser und sichere
Signaturerstellungseinheit, sind nicht Lieferumfang des SecPKIServer/SecMailServers 5 und auch
nicht Gegenstand dieser Herstellererklärung.
Herstellererklärung zu SecPKIServer/SecMailServer 5, Version 1.4 Seite 20 von 31
Bonn, 19. September 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3420 – Mitteilungen, Qualifizierte elektronische Signatur, 18 2012
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer/SecMailServer 5
5 Maßnahmen in der Einsatzumgebung
Grundlage dieser Erklärung ist der Einsatz der Teil-Signaturanwendungskomponente SecPKIServer/Sec-
MailServers 5 in einem geschützten Bereich gemäß der „Einheitliche[n] Spezifizierung der Einsatz-
bedingungen für Signaturanwendungskomponenten“6.
Die Teil-Signaturanwendungskomponente SecPKIServer/SecMailServers 5 wird in einer „Signatur-
Arbeitsstation“ eingesetzt, bei der gegenüber den potentiellen Bedrohungen folgender Schutz bestehen
muss: Potentielle Angriffe über
das Internet,
ein angeschlossenes Intranet,
einen manuellen Zugriff Unbefugter und
Datenaustausch per Datenträger
werden durch eine Kombination von Sicherheitsvorkehrungen in der Einsatzumgebung mit hoher Sicherheit
abgewehrt.
Die Signatur-Arbeitsstation muss sich in einem besonders geschützten Raum befinden, um sicherzustellen,
dass nur berechtigte Personen (Systemadministratoren und Signaturkarteninhaber) Zugriff auf die Signatur-
Arbeitsstation haben.
Als Systemadministrator wird derjenige Personenkreis definiert, der berechtigt ist, die Konfiguration und
Wartung der Signatur-Arbeitsstation durchzuführen. Als Signaturkarteninhaber wird derjenige Personenkreis
definiert, der berechtigt ist, die Signatur-Arbeitsstation für die Erzeugung von Signaturen zu nutzen.
5.1 Einrichtung der IT-Komponenten
Als Signaturarbeitsplatz wird im Einsatzkontext des SecPKIServer/SecMailServers 5 ausschließlich ein
System aus folgenden Komponenten bezeichnet:
Server-Hardware mit Betriebssystem
ein oder mehrerer Chipkartenleser der Klasse 3 mit eigener Anzeige und eigner PIN-Eingabe mit
Bestätigung oder Herstellererklärung nach SigG
eine oder mehrerer sichere Signaturerstellungseinheit mit Bestätigung nach SigG
ggf. notwendige zusätzliche Hardware wie serieller Portmultiplexer oder USBHub.
Oracle Java Laufzeitumgebung
Die Administration, Konfiguration und Wartung der Signaturarbeitsstation darf nur von fachkundigem und
berechtigtem Personal (Systemadministrator) durchgeführt werden. Die Konfiguration und Administration der
Signaturarbeitsstation darf nicht in Personalunion mit den Signaturkarteninhabern durchgeführt werden, die
die Signatur-Arbeitsstation nutzen.
5.1.1 Unterstützte Betriebssysteme
Der SecPKIServer/SecMailServer 5 benötigt als Voraussetzung Hardware mit
Microsoft Windows Betriebssystem
6 Einheitliche Spezifizierung der Einsatzbedingungen für Signaturanwendungskomponenten, Version 1.4,
Stand: 19.07.2005,
http://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/BNetzA/Sachgebiete/QES/Veroeffentlichu
ngen/SpezifiziergEinsatzBedinggnId2648pdf.pdf?__blob=publicationFile
Herstellererklärung zu SecPKIServer/SecMailServer 5, Version 1.4 Seite 21 von 31
Bonn, 19. September 2012
