abl-05
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
05 2012 – Mitteilungen, Qualifizierte elektronische Signatur, 721
Teil A, Mitteilungen der Bundesnetzagentur –
Mitteilungen
Qualifizierte elektronische Signatur
Teil A
Mitteilungen der Bundesnetzagentur
Mitteilung Nr. 232/2012 7. Testhandbuch, Dokumentenversion 2.6.0.0_1, Stand:
03.01.2012, 35 Seiten
Veröffentlichung von Herstellererklärungen für Produkte für
qualifizierte elektronische Signaturen nach § 17 Abs. 4 SigG, 8. Governikus-Verification-Service-Testprotokolle.zip,
die bei der Bundesnetzagentur hinterlegt wurden; Stand: 20.01.2012
hier: bremen online services Entwicklungs- und Betriebsge- 9. Benutzerhandbuch bos-Prüfprotokoll, Dokumentenversi-
sellschaft mbH & Co. KG, Governikus Verification Service, on 3.2.0.2_1, Stand: 31.10.2011, 111 Seiten
Version 2.6.0.0
10. Testhandbuch Verification Interpreter 3.2.0.2, Dokumen-
Veröffentlichungshinweis tenversion 1.4, Stand: 31.10.2011, 31 Seiten
Die Bundesnetzagentur ist aufgrund des § 17 Abs. 4 des Sig-
naturgesetzes (SigG) vom 16. Mai 2001 (BGBl. I S. 876), zuletzt Es folgt der Text der Herstellererklärung:
geändert durch Artikel 4 des Gesetzes vom 17. Juli 2009
(BGBl. I S. 2091), verpflichtet, Erklärungen durch Hersteller
von Produkten für qualifizierte elektronische Signaturen (Her-
stellererklärungen) im Amtsblatt der Bundesnetzagentur zu
veröffentlichen. Das Amtsblatt dient insoweit nur als Veröf-
fentlichungsmedium. Der Veröffentlichung ist weder eine ma-
terielle Prüfung der Herstellererklärungen noch eine Prüfung
der in ihnen bezuggenommenen Produkte durch die Bundes-
netzagentur vorausgegangen. Für den Inhalt der Herstellerer-
klärungen und für die Produkte sind allein die Hersteller ver-
antwortlich.
Hersteller:
bremen online services Entwicklungs- und Betriebsgesellschaft
mbH & Co. KG
Am Fallturm 9
28359 Bremen
Produkt:
Governikus Verification Service, Version 2.6.0.0
Bezeichnung der Herstellererklärung:
Herstellererklärung Governikus Verification Service, Version 2.6.0.0,
Stand: 09. Februar 2012
Als weitere Unterlagen wurden eingereicht:
1. Sicherheitstechnische Produktbeschreibung und Spezifi-
kation, Version 1.0, Stand: 09.02.2012, 63 Seiten
2. Testdokumentation, Version 1.0, Stand: 09.02.2012, 13
Seiten
3. Benutzerhandbuch, Dokumentenversion 2.6.0.0_0,
Stand: 25.01.2012, 15 Seiten
4. Systemanforderungen, Dokumentenversion 2.6.0.0_0,
Stand: 25.01.2012, 5 Seiten
5. Administratorhandbuch, Dokumentversion 2.6.0.0_0,
Stand: 25.01.2012, 20 Seiten
6. Entwicklerhandbuch, Dokumentenversion 2.6.0.0_0,
Stand: 25.01.2012, 14 Seiten
Bonn, 14. März 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
722 – Mitteilungen, Qualifizierte elektronische Signatur, 05 2012
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2012-08-01
Herstellererklärung
Die
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG
Am Fallturm 9
28359 Bremen
erklärt hiermit gemäß § 17 Abs. 4 Satz 2 SigG1
in Verbindung mit § 15 Abs. 5 SigV2,
dass ihr Produkt
Governikus Verification Service, Version 2.6.0.0
die nachstehend genannten Anforderungen des SigG1 und der SigV2 in Teilen erfüllt.
Bremen, den 09.02.2012
gez. Dr. Stephan Klein
Geschäftsführer
Diese Herstellererklärung mit der Dokumentennummer bos-2012-08-01 besteht aus 18 Seiten.
1
Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz – SigG) vom 16. Mai 2001
(BGBl. I S. 876), ), zuletzt geändert durch Artikel 4 des Gesetzes vom 17. Juli 2009 (BGBl. I S. 2091)
2
Verordnung zur elektronischen Signatur (Signaturverordnung – SigV) vom 16. November 2001 (BGBl. I S.
3074), zuletzt geändert durch die Verordnung vom 15. November 2010 (BGBl. I S. 1542)
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 1 von 18
Herstellererklärung für „Governikus Verification Service, Version 2.6.0.0“
Bonn, 14. März 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
05 2012 – Mitteilungen, Qualifizierte elektronische Signatur, 723
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2012-08-01
Dokumentenhistorie
Version Datum Autor Bemerkung
1.0 09.02.2012 bremen online services Entwicklungs- und Initialversion
Betriebsgesellschaft mbH & Co. KG
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 2 von 18
Herstellererklärung für „Governikus Verification Service, Version 2.6.0.0“
Bonn, 14. März 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
724 – Mitteilungen, Qualifizierte elektronische Signatur, 05 2012
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2012-08-01
Beschreibung des Produkts
1 Handelsbezeichnung
Die Handelsbezeichnung lautet: Governikus Verification Service, Version 2.6.0.0
Auslieferung: online per Download
Hersteller: bremen online services Entwicklungs- und Betriebsgesellschaft mbH
& Co. KG (bos KG), Am Fallturm 9, 28359 Bremen
Handelsregisterauszug: HRA 22041
2 Lieferumfang und Versionsinformationen
Nachfolgend ist der Lieferumfang einschließlich der Versionsinformationen aufgezählt:
Produktart Bezeichnung Version Übergabeform
Software Governikus Verification Service 2.6.0.0 online per Download
Dokumentation Governikus Verification Service 2.6.0.0_0 online per Download
Administratorhandbuch
Governikus Verification Service 2.6.0.0_0 online per Download
Benutzerhandbuch
bos-Prüfprotokoll 3.2.0.2_1 online per Download
Tabelle 1: Lieferumfang und Versionsinformation
Das Produkt „Governikus Verification Service, Version 2.6.0.0“ nutzt die folgenden zu Signaturgesetz
und -verordnung konformen Produkte, die ebenfalls von der bremen online services Entwicklungs- und
Betriebsgesellschaft mbH & Co. KG hergestellt werden, jedoch nicht Bestandteil dieser Erklärung sind:
Produktklasse Hersteller Bezeichnung
Signaturanwendungs- bremen online services Ent- Governikus Service Components3 ,
komponente wicklungs- und Betriebsgesell- Version 3.5.3.0
schaft mbH & Co. KG
Signaturanwendungs- bremen online services Ent- Governikus Service Components4 ,
komponente wicklungs- und Betriebsgesell- Version 3.6.0.0
schaft mbH & Co. KG
Tabelle 2: Zusätzliche SigG- und SigV-konforme Produkte
3
Für die Software „Governikus Service Components, Version 3.5.3.0“ wurde durch den Hersteller eine
Herstellererklärung bei der Bundesnetzagentur eingereicht. Diese Herstellererklärung umfasst u a. die
Komponenten „OCSP/CRL-Relay“.
4
Für die Software „ Governikus Service Components, Version 3.6.0.0“ wird durch den Hersteller derzeitig
eine Evaluierung und Bestätigung nach SigG durchgeführt. Diese Bestätigung umfasst u a. die Komponente
„OCSP/CRL-Relay“. Die Verwendung diese Signaturanwendungskomponente ist erst nach Abschluss der
Bestätigung möglich.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 3 von 18
Herstellererklärung für „Governikus Verification Service, Version 2.6.0.0“
Bonn, 14. März 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
05 2012 – Mitteilungen, Qualifizierte elektronische Signatur, 725
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2012-08-01
3 Funktionsbeschreibung
Die Software „Governikus Verification Service, Version 2.6.0.0“ ist Teil einer Signaturanwendungs-
komponente gemäß § 2 Nr. 11 SigG, die auf geeigneter Hardware – in diesem Fall Webservern – mit
geeigneten Betriebsmitteln in einem „geschützten Einsatzbereich (Regelfall/Standardlösung)“
[BNetzA2005] betrieben wird. Ein Benutzer verwendet die Software „Governikus Verification Service,
Version 2.6.0.0“ über einen Web-Browser.
Die Software „Governikus Verification Service, Version 2.6.0.0“ basiert ausschließlich auf Web-Techno-
logie. Die Anwendung wird auf einem Server betrieben. Die Oberfläche (Graphical User Interface – GUI)
wird innerhalb eines Browsers auf dem PC des Benutzers angezeigt. Es existieren zwei voneinander
getrennte Oberflächen: eine Administrations-Oberfläche zur Konfiguration und eine Benutzer-Oberfläche
zur Bedienung durch den Benutzer. Darüber hinaus bietet die Software „Governikus Verification Service,
Version 2.6.0.0“ eine Schnittstelle, über die Benutzer einer Fachanwendungen die Verifikationsfunktion
aus der Fachanwendung heraus nutzen können.
Der Webserver, auf dem die Software „Governikus Verification Service, Version 2.6.0.0“ betrieben wird,
die PCs, über die die Benutzer mittels Browser die Software nutzen sowie die Server der
Fachanwendungen, die über die Schnittstelle auf die Software zugreifen, werden innerhalb eines
Intranets betrieben. Ein typisches Einsatzszenario ist ein Unternehmen oder eine Behörde, wo aus
Performance-Gründen über die Software ein zentraler Verifikationsdienst zur Verfügung gestellt wird.
Es stehen durch die Software „Governikus Verification Service, Version 2.6.0.0“ die folgenden
Funktionen zur Verfügung:
Prüfung von qualifizierten elektronischen Signaturen
Prüfung von qualifizierten Zeitstempeln
Validierung einzelner Zertifikate
Die vorliegende Herstellererklärung bezieht sich ausschließlich auf die Eigenschaft der Software
„Governikus Verification Service, Version 2.6.0.0“ als Signaturanwendungskomponente i. S. d.
§ 2 Nr. 11 SigG, d. h. auf diejenigen Funktionalitäten, die dazu bestimmt sind, qualifizierte elektronische
Signaturen und qualifizierte Zeitstempel zu prüfen oder qualifizierte Zertifikate nachzuprüfen und die
Ergebnisse anzuzeigen.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 4 von 18
Herstellererklärung für „Governikus Verification Service, Version 2.6.0.0“
Bonn, 14. März 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
726 – Mitteilungen, Qualifizierte elektronische Signatur, 05 2012
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2012-08-01
3.1 Prüfung von Signaturen und Zeitstempeln
Die Software „Governikus Verification Service, Version 2.6.0.0“ stellt für die direkte Nutzung über die
enthaltene Benutzeroberfläche folgende Funktionen zur Verifizierung qualifizierter elektronischer
Signaturen und qualifizierter Zeitstempel5 zur Verfügung:
Die Software „Governikus Verification Service, Version 2.6.0.0“ unterstützt den Benutzer bei der
Prüfung von qualifizierten elektronischen Signaturen hinsichtlich der Integrität des signierten
Dokuments sowie der Authentizität des Signierenden.
Der Benutzer wählt eine oder mehrere zu prüfende Dateien über einen Dateidialog aus, die zur
Durchführung der Prüfung auf den Server hochgeladen werden.
Das Signaturformat wird automatisch erkannt. Folgende Signaturformate werden unterstützt:
o PKCS#7 (enveloped): Signatur im Format der Cryptographic Message Syntax
(CMS/PKCS#7) bzw. CAdES. Die signierten Daten sind in der Signatur enthalten.
o PKCS#7 (detached): Signatur im Format der Cryptographic Message Syntax
(CMS/PKCS#7) bzw. CAdES, wobei die signierten Daten nicht in der Signatur enthalten
sind.
o PDF-Dateien im Format PDF-inline oder PAdES mit eingebetteten PKCS#7-Signaturen.
o XML-Dateien im Format XAdES.
o Signierte E-Mails im SMIME-Format als Mail-Datei.
o Zeitstempeldatei gemäß RFC 3161: Der durch den Zeitstempel signierte Inhalt ist nicht in
dieser Datei enthalten.
Zur Prüfung von Signaturen im Format PKCS#7 (detached) sowie von Zeitstempeln wählt der
Benutzer über einen weiteren Dateidialog die separate Inhaltsdatei aus, die ebenfalls zur
Durchführung der Prüfung auf den Server hochgeladen wird.
Nach Betätigen der Schaltfläche "Verifizieren" werden die Signaturen aller ausgewählten
Dateien geprüft. Die Prüfung der Signatur wird wie folgt durchgeführt:
o Verifizieren: Die Software „Governikus Verification Service, Version 2.6.0.0“ verifiziert
qualifizierte elektronische Signaturen und legt das Verifikationsergebnis (gültige oder
ungültige Signatur oder Fehlermeldung) in Form einer Prüfprotokoll-Datei ab.
Zusätzlich wird bei jedem Verifizieren eine Validierung (Statusprüfung) durchgeführt
(siehe nächster Aufzählungspunkt).
o Validieren: Die Software „Governikus Verification Service, Version 2.6.0.0“ führt die
Statusprüfung des zugehörigen qualifizierten Zertifikats durch. Die Statusprüfung wird
sowohl für den in der Signatur enthaltenen Signaturzeitpunkt als auch für den aktuellen
Zeitpunkt (d. h. den Zeitpunkt der Prüfung) durchgeführt. Die Software „Governikus
5
Bei qualifizierten Zeitstempeln handelt es sich technisch gesehen um besondere Signaturen, die durch
einen akkreditierten Zeitstempeldienstanbieter erstellt werden. Die Handhabung von Zeitstempeln durch die
Software „Governikus Verification Service, Version 2.6.0.0“ erfolgt analog zu Signaturen im Format PKCS#7
detached. Der Einfachheit halber wird nachfolgend einheitlich von qualifizierten elektronischen Signaturen
bzw. Signaturdateien gesprochen. Dieses schließt qualifizierte Zeitstempel bzw. Zeitstempeldateien mit ein.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 5 von 18
Herstellererklärung für „Governikus Verification Service, Version 2.6.0.0“
Bonn, 14. März 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
05 2012 – Mitteilungen, Qualifizierte elektronische Signatur, 727
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2012-08-01
Verification Service, Version 2.6.0.0“ validiert nicht selbst, sondern nutzt für die
Statusprüfung ein OCSP/CRL-Relay in der Einsatzumgebung. Der Ablauf ist in
Abschnitt 3.2 näher beschrieben.
Zu jeder geprüften Datei wird ein ausführliches Prüfprotokoll erstellt. Dieses Prüfprotokoll kann
sich der Benutzer in seinem Browser anzeigen lassen, auf seinem PC speichern oder über
einen durch ihn bestimmten Drucker ausdrucken. Das Prüfprotokoll kann in HTML- oder PDF-
Form erstellt werden.
Jeder geprüfte Inhalt kann über eine externe Ansicht eingesehen werden. In Fall einer Signatur
im Format PKCS#7 enveloped wird der Inhalt extrahiert und zum Download angeboten. Im Fall
einer PKCS#7 detached Signatur oder eines Zeitstempels steht die jeweilige Inhaltsdatei zum
Download bereit. In allen anderen Fällen kann die zur Prüfung hochgeladene Datei zur
Gegenprüfung heruntergeladen werden.
Die Software „Governikus Verification Service, Version 2.6.0.0“ stellt für die indirekte Nutzung über die
enthaltene Schnittstelle folgende Funktionen zur Verifizierung qualifizierter elektronischer Signaturen
und qualifizierter Zeitstempel zur Verfügung:
Die Software „Governikus Verification Service, Version 2.6.0.0“ nimmt von der aufrufenden
Fachanwendung eine Verifikationsanfrage entgegen, in der das zu prüfende signierte Dokument
enthalten ist.
Das Signaturformat wird automatisch erkannt. Es werden die gleichen Signaturformate wie bei
der Verwendung der Benutzeroberfläche unterstützt (s.o.).
Die Software „Governikus Verification Service, Version 2.6.0.0“ führt für die Verifikationsanfrage
die Verifikation der Signatur inkl. der Zertifikatsvalidierung durch, analog der Verwendung der
Benutzeroberfläche (s.o.)
Zu jeder Verifikationsanfrage liefert die Software „Governikus Verification Service, Version
2.6.0.0“ eine Verifikationsantwort an die aufrufende Fachanwendung zurück, in der ein
Prüfprotokoll mit den Verifikationsergebnissen enthalten ist.
Es können mehrere Verifikationsanfragen zusammengefasst übergeben werden. Die Software
„Governikus Verification Service, Version 2.6.0.0“ verarbeitet die Anfragen der Reihe nach und
liefert die Verifikationsantworten ebenfalls zusammengefasst zurück.
3.2 Prüfung von einzelnen Zertifikaten
Die Software „Governikus Verification Service, Version 2.6.0.0“ stellt folgende Funktionen zur Prüfung
einzelner qualifizierter Zertifikate zur Verfügung:
Die Software „Governikus Verification Service, Version 2.6.0.0“ unterstützt den Benutzer bei der
Prüfung von qualifizierten Zertifikaten hinsichtlich der Integrität sowie der Gültigkeit des
Zertifikats.
Der Benutzer wählt eine oder mehrere zu prüfende Zertifikate über einen Dateidialog aus, die
zur Durchführung der Prüfung auf den Server hochgeladen werden.
Nach Betätigen der Schaltfläche "Verifizieren" führt die Software „Governikus Verification
Service, Version 2.6.0.0“ die Statusprüfung (Validierung) der qualifizierten Zertifikate durch. Die
Statusprüfung wird immer für den aktuellen Zeitpunkt (d. h. den Zeitpunkt der Prüfung)
durchgeführt. Die Durchführung der Validierung ist im folgenden Absatz beschrieben.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 6 von 18
Herstellererklärung für „Governikus Verification Service, Version 2.6.0.0“
Bonn, 14. März 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
728 – Mitteilungen, Qualifizierte elektronische Signatur, 05 2012
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2012-08-01
Zu jedem geprüften Zertifikat wird ein ausführliches Prüfprotokoll erstellt. Dieses Prüfprotokoll
kann sich der Benutzer in seinem Browser anzeigen lassen, auf seinem PC speichern oder über
einen durch ihn bestimmten Drucker ausdrucken. Das Prüfprotokoll kann in HTML- oder PDF-
Form erstellt werden.
Alternativ zu der Bedienung über die Benutzeroberfläche kann die Prüfung einzelner Zertifikat
über die Schnittstelle durchgeführt werden. Das Vorgehen ist analog dem in Kapitel 3.1
beschriebenen Vorgehen bzgl. der Verifikation unter Nutzung der Schnittstelle.
Die Software „Governikus Verification Service, Version 2.6.0.0“ validiert nicht selber, sondern nutzt für
die Statusprüfung ein OCSP/CRL-Relay (vgl. Tabelle 2).
Die Software „Governikus Verification Service, Version 2.6.0.0“ übergibt dem OCSP/CRL-Relay
das zu validierende Zertifikat und erhält das Ergebnis der Validierung zurück. Das Ergebnis der
Validierung umfasst neben den Verzeichnisdienst-Ergebnissen eine Interpretation (gültig und
nicht gesperrt, unbekannt oder gesperrt).
Weiterhin ist das Ergebnis der Validierung mit einer elektronischen Signatur des OCSP/CRL-
Relays versehen. Die Software „Governikus Verification Service, Version 2.6.0.0“ verifiziert die
elektronische Signatur des Validierungsergebnisses mit dem (System-)Zertifikat des
OCSP/CRL-Relays und prüft, ob das validierte Zertifikat dasjenige Zertifikat ist, das der Signatur
entspricht, und ob der Zertifikatsstatus zum angefragten Prüfzeitpunkt ermittelt wurde
(Plausibilitätscheck).
Das für die Validierung von Zertifikaten benötigte OCSP/CRL-Relay ist nicht Bestandteil des
„Governikus Verification Service, Version 2.6.0.0" (vgl. Tabelle 2).
Die Validierung (Gültigkeitsmodell: Kettenmodell) umfasst folgende Prüfungen:
o Ist das Herausgeberzertifikat gültig (vorhanden und nicht gesperrt)?
o Liegt der aktuelle Zeitpunkt innerhalb des Gültigkeitszeitraumes des qualifizierten
Zertifikats (Kettenmodell)?
o Ist dem Zertifizierungsdiensteanbieter (ZDA) das verwendete qualifizierte Zertifikat
bekannt und ist es nicht gesperrt?
3.3 Schnittstellen
Die Software „Governikus Verification Service, Version 2.6.0.0" enthält folgende Schnittstellen:
Schnittstelle zur grafischen Bedienungsoberfläche (Graphical User Interface – GUI) via
Browser:
Die Software „Governikus Verification Service, Version 2.6.0.0“ nutzt die grafische Oberfläche
als Schnittstelle zum Benutzer zur Durchführung der Verifikation sowie als Schnittstelle zum
Administrator zur Konfiguration.
Schnittstelle zu Fachanwendungen:
Die Software „Governikus Verification Service, Version 2.6.0.0“ nutzt die Schnittstelle zu
Fachanwendungen, um Verifikationsanforderungen entgegenzunehmen und
Verifikationsergebnisse zurückzuliefern.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 7 von 18
Herstellererklärung für „Governikus Verification Service, Version 2.6.0.0“
Bonn, 14. März 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
05 2012 – Mitteilungen, Qualifizierte elektronische Signatur, 729
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2012-08-01
Schnittstelle zu Governikus (vgl. Tabelle 2) (Ansprechen der Komponente OCSP/CRL-Relay):
Für die Online-Validierung existiert eine Schnittstelle zu einem OCSP/CRL-Relay – entweder
direkt oder indirekt über einen Verifikationsserver.
3.4 Kommunikationssicherheit
Der Webserver, auf dem die Software „Governikus Verification Service, Version 2.6.0.0" betrieben wird,
die PCs, die die Software über Browser nutzen, sowie die Server der Fachanwendungen, die über die
Schnittstelle auf die Software zugreifen, werden innerhalb eines Unternehmens- oder Behörden-Intranet
betrieben – nicht über das Internet –, sodass die Benutzer der Software darüber sicherstellen können,
dass die Auskunft des Webservers authentisch und zuverlässig korrekt ist.
Dazu sind die Auflagen an den Betrieb in Abschnitt 5 einzuhalten.
4 Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
Das Produkt „Governikus Verification Service, Version 2.6.0.0“ erfüllt die nachfolgenden Anforderungen
des SigG:
Referenz Gesetzestext Beschreibung
§ 17 Abs. 2 Für die Überprüfung signierter Daten sind Zu 2.:
Satz 2 Signaturanwendungskomponenten
Über eine kryptografische Signatur-
erforderlich, die feststellen lassen,
prüfung (Integritätsprüfung) wird
1. auf welche Daten sich die Signatur festgestellt, ob die Signatur bzw. die
bezieht, Daten, auf die sich die Signatur
bezieht, unverändert sind.
2. ob die signierten Daten unverändert
sind, Zu 1., 2., 3., 4. und 5.:
3. welchem Signaturschlüssel-Inhaber Zur Umsetzung dieser gesetzlichen
die Signatur zuzuordnen ist, Anforderungen ist die Generierung eines
entsprechenden Prüfprotokolls imple-
4. welche Inhalte das qualifizierte
mentiert, welches beinhaltet
Zertifikat, auf dem die Signatur
beruht, und zugehörige qualifizierte auf welche Daten sich die Signatur
Attribut-Zertifikate aufweisen und bezieht,
5. zu welchem Ergebnis die welchem Signaturschlüssel-Inhaber
Nachprüfung von Zertifikaten nach die Signatur zuzuordnen ist,
§ 5 Abs. 1 Satz 3 geführt hat.
welche Inhalte das zugehörige quali-
fizierte (Attribut)-Zertifikat aufweist
sowie
das Ergebnis der Verifikation und
Validierung, was insbesondere
beinhaltet, ob die signierten Daten
unverändert sind (siehe oben) und ob
das Zertifikat gültig ist (vorhanden und
nicht gesperrt).
§ 17 Abs. 2 Signaturanwendungskomponenten Zur Umsetzung dieser gesetzlichen Anfor-
Satz 3 müssen nach Bedarf auch den Inhalt der derungen ist auf der Benutzeroberfläche
[…] signierten Daten hinreichend erken- eine entsprechende Funktion
nen lassen. implementiert, die bei Bedarf den Inhalt der
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 8 von 18
Herstellererklärung für „Governikus Verification Service, Version 2.6.0.0“
Bonn, 14. März 2012
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
730 – Mitteilungen, Qualifizierte elektronische Signatur, 05 2012
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2012-08-01
verifizierten Datei zur Anzeige bringt. Es
obliegt dem Benutzer, eine geeignete
Software zur Darstellung des Inhalts zu
verwenden.
Bzgl. der Verwendung der Software über
die Schnittstelle, ist die Anzeige der
geprüften Inhalte durch Auflagen zum
Betrieb realisiert, vgl. Abschnitt 5..
Tabelle 3: Erfüllung der Anforderungen des SigG
Das Produkt „Governikus Verification Service, Version 2.6.0.0“ erfüllt die nachfolgenden Anforderungen
der SigV:
Referenz Gesetzestext Beschreibung
§ 15 Abs. 2 Signaturanwendungskomponenten nach Zur Umsetzung der gesetzlichen
Nr. 2 § 17 Abs. 2 des Signaturgesetzes müssen Anforderungen ist die Generierung eines
gewährleisten, dass […] bei der Prüfung entsprechenden Prüfprotokolls imple-
einer qualifizierten elektronischen mentiert, welches beinhaltet
Signatur
welchem Signaturschlüssel-Inhaber
a) die Korrektheit der Signatur zuverlässig die Signatur zuzuordnen ist,
geprüft und zutreffend angezeigt wird und
welches Ergebnis die Verifikation und
b) eindeutig erkennbar wird, ob die nach- Validierung liefern, insbesondere
geprüften qualifizierten Zertifikate im
o ob die signierten Daten unver-
jeweiligen Zertifikatsverzeichnis zum
ändert sind und
angegebenen Zeitpunkt vorhanden und
nicht gesperrt waren. ob das zugehörige qualifizierte Zertifikat
zum angegebenen Zeitpunkt gültig war.
Die Anforderungen zur korrekten und
zuverlässigen Anzeige des Prüfprotokolls
werden durch Auflagen zum Betrieb
realisiert, vgl. Abschnitt 5
§ 15 Abs. 4 Sicherheitstechnische Veränderungen an Die Anforderungen zur Erkennung sicher-
Produkten für qualifizierte elektronische heitstechnischer Veränderungen werden
Signaturen nach den Absätzen 1 bis 3 durch Auflagen zum Betrieb realisiert, vgl.
müssen für den Nutzer erkennbar werden. Abschnitt 5.
Tabelle 4: Erfüllung der Anforderungen der SigV
Die folgenden Anforderungen von SigG und SigV werden vom Produkt „Governikus Verification Service,
Version 2.6.0.0“ nicht erfüllt, da die Erstellung von Signaturen sowie die Anzeige der zu signierenden
bzw. signierten Dateien nicht zum Funktionsumfang des Produktes „Governikus Verification Service,
Version 2.6.0.0“ gehört:
§ 17 Abs. 2 Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten
Satz 1 SigG erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur vorher
eindeutig anzeigen und feststellen lassen, auf welche Daten sich die Signatur bezieht.
§ 17 Abs. 2 Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu
Satz 3 SigG signierenden […] Daten hinreichend erkennen lassen.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 9 von 18
Herstellererklärung für „Governikus Verification Service, Version 2.6.0.0“
Bonn, 14. März 2012
