abl-09
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1738 – Mitteilungen, Qualifizierte elektronische Signatur, 09 2011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-02-01
Das Ergebnis der Statusprüfung zum Zeitpunkt der Prüfung beim OSCI-Intermediär – die zeitlich
vorher erfolgte – bleibt gültig.
Validieren mit einem OSCI 2.0-Client:
Die Software „Governikus SDK, Version 3.5.2.0" validiert im OSCI 2.0-Kontext nicht selber, son-
dern greift für die Validierung auf die externe Signatur-Anwendungskomponente „Governikus
Service Components, Version 3.4.0.0“7 zu. Dazu wird die Komponente „OCSP/CRL-Relay“ der
externen Signatur-Anwendungskomponente „Governikus Service Components, Version 3.4.0.0“
angesprochen, die die Online-Prüfung des Zertifikats über die Verzeichnisdienste der Trustcen-
ter durchführt.
Dafür
o übergibt die Software „Governikus SDK, Version 3.5.2.0“ dem OCSP/CRL-Relay das zu
validierende Zertifikat und erhält das Ergebnis der Validierung zurück. Das Ergebnis der
Validierung umfasst neben den Verzeichnisdienst-Ergebnissen eine Interpretation (gül-
tig und nicht gesperrt, unbekannt oder gesperrt).
o Weiterhin ist das Ergebnis der Validierung mit einer elektronischen Signatur des
OCSP/CRL-Relays versehen. Die Software „Governikus SDK, Version 3.5.2.0“ verifi-
ziert die elektronische Signatur des Validierungsergebnisses mit dem (System-) Zertifi-
kat des OCSP/CRL-Relay und prüft, ob das validierte Zertifikat dasjenige Zertifikat ist,
das der Signatur entspricht und ob der Zertifikatsstatus zum angefragten Prüfzeitpunkt
ermittelt wurde (Plausibilitätscheck). Die Software „Governikus SDK, Version 3.5.2.0“
visualisiert das Ergebnis der Validierung (Statusprüfung).
o Die Validierung (Gültigkeitsmodell: Kettenmodell) umfasst folgende Prüfungen:
Ist das Herausgeberzertifikat gültig (vorhanden und nicht gesperrt)?
Hat die unterzeichnende Person innerhalb des Gültigkeitszeitraumes ihres qua-
lifizierten Zertifikats signiert (Kettenmodell)?
Ist dem Zertifizierungsdiensteanbieter (ZDA) das verwendete qualifizierte Zerti-
fikat bekannt und ist es nicht gesperrt?
o Dem Nutzer wird das Ergebnis der Prüfung angezeigt:
Status o.k.: sämtliche durchgeführten Prüfungen lieferten ein positives Ergeb-
nis,
Status nicht eindeutig: mindestens eine der Prüfungen konnte nicht durchge-
führt werden,
Status nicht o.k.: mindestens eine der durchgeführten Prüfungen lieferte ein ne-
gatives Ergebnis.
Mithilfe eines intern vorgehaltenen Hashwerts über das Prüfprotokoll wird sichergestellt, dass
kein manipuliertes Prüfprotokoll angezeigt wird.
Sichere Anzeige:
Die Software bietet eine sichere Anzeige von folgenden zu signierenden und signierten Daten:
7
Siehe: „Tabelle 4: Zusätzliche SigG- und SigV-konforme Produkte“ auf Seite 8.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 11 von 21
Herstellererklärung für „Governikus SDK, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
09 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1739
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-02-01
o plain-text (UTF-8-codiert);
o tiff-Daten.
Darüber hinaus bietet die Software eine sichere Anzeige von Verifikations- und Validierungser-
gebnis und eine visuelle Unterstützung des Signier-Prozesses (insbesondere Autorisieren des
Signierens).
Es obliegt dem Benutzer, eine geeignete externe Anzeige zu nutzen, die ihm die zu signieren-
den Inhalte auf geeignete Weise anzeigt.
Die Software „Governikus SDK, Version 3.5.2.0“ als Funktionsbibliothek nutzt kryptographische Schlüs-
sel und (System-)Zertifikate, die vom OSCI-Client zur Verfügung gestellt werden; eine geeignete Identi-
fikation und Authentisierung zum Management dieser Sicherheitsattribute obliegt dem OSCI-Client.
Die Software „Governikus SDK, Version 3.5.2.0“ enthält folgende Schnittstellen:
Schnittstelle zum Chipkartenleser:
Über die Verbindung zum Chipkartenleser sendet die Software zu signierende Daten an die
Signaturkarten und empfängt über diese Schnittstelle die von den Signaturkarten signierten Da-
ten.
Schnittstelle zum OSCI-Client:
Die Software „Governikus SDK, Version 3.5.2.0“ ist eine Funktionsbibliothek, die von einem
OSCI-Client angesprochen wird. Die externe Schnittstelle ist für den Anwendungsentwickler ei-
nes OSCI-Clients notwendig, um die Funktionalitäten der Software „Governikus SDK, Version
3.5.2.0“ einbinden und damit nutzbar machen zu können. Die externe Schnittstelle ist die API
(Application Programming Interface) und stellt eine Sammlung an Kommandos bzw. Funktions-
aufrufen zur Verfügung, mit denen Funktionalitäten die Software „Governikus SDK, Version
3.5.2.0“ genutzt werden können.
Schnittstelle zur graphischen Bedienungsoberfläche (Graphical User Interface – GUI):
Die Software „Governikus SDK, Version 3.5.2.0“ nutzt die graphische Oberfläche als Schnittstel-
le zum Nutzer und visualisiert die Interaktion mit dem Signaturschlüssel-Inhaber durch entspre-
chende informelle und prozedurale Anzeigen.
Schnittstelle zur externen Signatur-Anwendungskomponente „Governikus Service Components,
Version 3.4.0.0“8:
Im Rahmen der OSCI 1.2-Kommunikation dient die Komponente „OSCI-Manager“ der externen
Signatur-Anwendungskomponente „Governikus Service Components, Version 3.4.0.0“ in der
Rolle des OSCI-Intermediärs als Mittler zwischen Sender und Empfänger, wobei der OSCI-
Intermediär Zertifikate prüft und das Ergebnis in einem Laufzettel dokumentiert. Für die OSCI-
Kommunikation wird das OSCI-Transport-Protokoll9 verwendet. Darüber hinaus ist eine Online-
Validierung über die Komponente „OCSP/CRL-Relay“ möglich.
8
Siehe: „Tabelle 4: Zusätzliche SigG- und SigV-konforme Produkte“ auf Seite 8.
9
Vgl. OSCI-Leitstelle, “OSCI-Transport 1.2”, 6. Juni 2003 und OSCI-Leitstelle, “OSCI-Transport 2.0“ 14.
Dezember 2010
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 12 von 21
Herstellererklärung für „Governikus SDK, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1740 – Mitteilungen, Qualifizierte elektronische Signatur, 09 2011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-02-01
Für die Online-Validierung mit einem OSCI 2.0-Client existiert eine Schnittstelle zu der Kompo-
nente „OCSP/CRL-Relay“. Die Verbindung kann direkt an das OCSP/CRL-Relay erfolgen.
Die vorliegende Herstellererklärung bezieht sich ausschließlich auf die Eigenschaft der Software
„Governikus SDK, Version 3.5.2.0“ als Signaturanwendungskomponente i.S.d. § 2 Nr. 11 SigG, d.h. auf
diejenigen Funktionalitäten, die dazu bestimmt sind,
Daten dem Prozess der Prüfung qualifizierter elektronischer Signaturen zuzuführen und
qualifizierte Signaturen zu prüfen oder qualifizierte Zertifikate nachzuprüfen und die Ergebnisse
anzuzeigen.
4. Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
Das Produkt „Governikus SDK, Version 3.5.2.0“ erfüllt die nachfolgenden Anforderungen des SigG:
Referenz Gesetzestext Beschreibung
§ 17 Abs. 2 Für die Darstellung zu signierender Daten Zur Umsetzung dieser gesetzlichen Anforde-
Satz 1 sind Signaturanwendungskomponenten rungen ist eine entsprechende Anzeige im-
erforderlich, die die Erzeugung einer qua- plementiert, die – bevor eine Signatur er-
lifizierten elektronischen Signatur vorher zeugt werden soll – anzeigt,
eindeutig anzeigen und feststellen lassen,
auf welche Daten sich die zu erstellende
auf welche Daten sich die Signatur be-
zieht. Signatur bezieht,
welchen Inhalt die zu signierenden Da-
ten aufweisen und
welchem Signaturschlüssel-Inhaber die
zu erstellende Signatur zuzuordnen ist.
§ 17 Abs. 2 Für die Überprüfung signierter Daten sind zu 1., 3., 4. und 5.: Zur Umsetzung dieser
Satz 2 Signaturanwendungskomponenten erfor- gesetzlichen Anforderungen ist eine ent-
derlich, die feststellen lassen, sprechende Anzeige implementiert, die an-
zeigt,
1. auf welche Daten sich die Signatur
auf welche Daten sich die Signatur be-
bezieht,
zieht,
2. ob die signierten Daten unverändert
sind, welchen Inhalt die signierten Daten auf-
weisen,
3. welchem Signaturschlüssel-Inhaber die
Signatur zuzuordnen ist, welchem Signaturschlüssel-Inhaber die
Signatur zuzuordnen ist,
4. welche Inhalte das qualifizierte Zertifi-
kat, auf dem die Signatur beruht, und welche Inhalte das zugehörige qualifi-
zugehörige qualifizierte Attribut-Zertifikate zierte (Attribut)-Zertifikat aufweist sowie
aufweisen und
das Ergebnis der Verifikation und Vali-
5. zu welchem Ergebnis die Nachprüfung dierung (siehe oben), was insbesondere
von Zertifikaten nach § 5 Abs. 1 Satz 3 beinhaltet, ob die signierten Daten un-
geführt hat.
verändert sind und das Zertifikat gültig ist
(vorhanden und nicht gesperrt).
zu 2.: Über eine kryptographische Signatur-
prüfung (Integritätsprüfung) wird festgestellt,
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 13 von 21
Herstellererklärung für „Governikus SDK, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
09 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1741
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-02-01
Referenz Gesetzestext Beschreibung
ob die Signatur bzw. die Daten, auf die sich
die Signatur bezieht, unverändert sind.
§ 17 Abs. 2 Signaturanwendungskomponenten müs- Zur Umsetzung dieser gesetzlichen Anforde-
Satz 3 sen nach Bedarf auch den Inhalt der zu rungen ist eine entsprechende Funktion
signierenden oder signierten Daten hin- implementiert, die bei Bedarf den Inhalt von
reichend erkennen lassen. zu signierenden und signierten Daten im
Format Plain-Text (UTF-8) sicher anzeigt.
Tabelle 5: Erfüllung der Anforderungen des SigG
Das Produkt „Governikus SDK, Version 3.5.2.0“ erfüllt die nachfolgenden Anforderungen der SigV:
Referenz Gesetzestext Beschreibung
§ 15 Abs. 2 Signaturanwendungskomponenten nach § zu a) und b) Die Erzeugung einer qualifizier-
Nr. 1 17 Abs. 2 des Signaturgesetzes müssen ten elektronischen Signatur erfolgt aus-
gewährleisten, dass […] bei der Erzeu- schließlich in einer SSEE, die über einen
gung einer qualifizierten elektronischen Chipkartenleser angesprochen wird.
Signatur
Die PIN-Eingabe erfolgt ausschließlich über
a) die Identifikationsdaten nicht preisge- Chipkartenleser – damit werden die Identifi-
geben und diese nur auf der jeweiligen kationsdaten nicht in der Software
sicheren Signaturerstellungseinheit ge- „Governikus SDK, Version 3.5.2.0“ verarbei-
speichert werden, tet. Der Signaturschlüssel-Inhaber hat an
seinem Arbeitsplatz unmittelbar zur Signa-
b) eine Signatur nur durch die berechtigt
turerzeugung Zugriff auf seine Signaturkarte
signierende Person erfolgt,
und den Chipkartenleser.
c) die Erzeugung einer Signatur vorher
zu c) Der Benutzer muss zum Erstellen der
eindeutig angezeigt wird […].
Signatur explizit eine mit der Bezeichnung
"Signieren" versehene Schaltfläche betäti-
gen, wodurch die Erzeugung einer Signatur
vorher eindeutig angezeigt wird.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 14 von 21
Herstellererklärung für „Governikus SDK, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1742 – Mitteilungen, Qualifizierte elektronische Signatur, 09 2011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-02-01
Referenz Gesetzestext Beschreibung
§ 15 Abs. 2 Signaturanwendungskomponenten nach § zu a) Zur Umsetzung der gesetzlichen An-
Nr. 2 17 Abs. 2 des Signaturgesetzes müssen forderungen ist eine entsprechende Anzeige
gewährleisten, dass […] bei der Prüfung implementiert, die anzeigt
einer qualifizierten elektronischen Signa- welchen Inhalt die signierten Daten auf-
tur weisen,
a) die Korrektheit der Signatur zuverlässig welchem Signaturschlüssel-Inhaber die
geprüft und zutreffend angezeigt wird und Signatur zuzuordnen ist,
b) eindeutig erkennbar wird, ob die nach- welches Ergebnis die Verifikation und
geprüften qualifizierten Zertifikate im je-
Validierung liefert, insbesondere
weiligen Zertifikatsverzeichnis zum ange-
gebenen Zeitpunkt vorhanden und nicht ob die signierten Daten unverändert
gesperrt waren. sind und
ob das zugehörige qualifizierte Zerti-
fikat gültig ist.
zu b) Zur Umsetzung der gesetzlichen An-
forderungen ist eine entsprechende Anzeige
implementiert, die das Ergebnis einer Anfra-
ge der zuständigen Verzeichnisdienste, ob
ein qualifiziertes Zertifikat zum angegebe-
nen Zeitpunkt vorhanden und nicht gesperrt
war, anzeigt.
§ 15 Abs. 4 Sicherheitstechnische Veränderungen an Die Anforderungen zur Erkennung sicher-
Produkten für qualifizierte elektronische heitstechnischer Veränderungen werden
Signaturen nach den Absätzen 1 bis 3 durch die Signaturen der Software und die
müssen für den Nutzer erkennbar werden. Auflagen zum Betrieb realisiert, vgl. Ab-
schnitt 5.
Tabelle 6: Erfüllung der Anforderungen der SigV
Darüber hinaus ist § 17 Abs. 2 Satz 4 SigG („Die Signaturschlüssel-Inhaber sollen solche Signaturan-
wendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elekt-
ronischer Signaturen treffen.“) nicht direkt durch das Produkt „Governikus SDK, Version 3.5.2.0“ um-
setzbar.
Die Software „Governikus SDK, Version 3.5.2.0“ erfüllt alle Anforderungen gemäß § 17 Abs. 2 SigG,
umfasst allerdings keine Chipkartenleser und keine sicheren Signaturerstellungseinheiten.
Hinweis zu schwachwerdenden Algorithmen und qualifizierten Zeitstempeln
Signaturanwendungskomponenten i. S. v. § 2 Nr. 11 b SigG müssen auch dann eine zuverlässige Prü-
fung und zutreffende Anzeige des Ergebnisses gem. § 15 Abs. 2 Nr. 2a SigV gewährleisten10, wenn die
10
Schreiben der Bundesnetzagentur „Hinweis im Zusammenhang mit der Prüfung von qualifizierten
elektronischen Signaturen, die auf ungeeigneten Algorithmen beruhen, und von qualifizierten Zeitstem-
peln“ vom 06.03.2009
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 15 von 21
Herstellererklärung für „Governikus SDK, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
09 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1743
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-02-01
geprüfte Signatur auf einem Algorithmus oder Parameter beruht, der als nicht mehr geeignet und damit
als nicht mehr hinreichend zuverlässig eingestuft ist, oder wenn ein qualifizierter Zeitstempel vorliegt.
Seitens der Bundesnetzagentur wurden die Anforderungen an Signaturanwendungskomponenten weiter
präzisiert, die das Produkt „Governikus SDK, Version 3.5.2.0“ aktuell wie folgt erfüllt:
Anforderung Erfüllung und Verhalten der Software
„Governikus SDK, Version 3.5.2.0“
a) Abgelaufene Algorithmen: Bei der Prüfung einer Signatur prüft das Pro-
dukt „Governikus SDK, Version 3.5.2.0“, ob die
Die Prüfung einer Signatur durch eine Signaturan- verwendeten kryptographischen Algorithmen –
wendungskomponente (SAK) für qualifizierte elektro- sowohl zum Zeitpunkt der Prüfung (Prüfzeit-
nische Signaturen i.S.v. § 2 Nr. 11b SigG muss bei punkt) als auch zum Signierzeitpunkt – als
abgelaufenen Algorithmen für den Nutzer deutlich geeignet anzusehen sind. Bzgl. der Eignung
anzeigen, dass die geprüfte Signatur mit einem Algo- kryptographischer Algorithmen werden die An-
rithmus erzeugt wurde, der nicht mehr dem Stand der gaben des offiziellen Algorithmenkatalogs der
Wissenschaft und Technik entspricht, und sie somit Bundesnetzagentur genutzt.11
einen verminderten Beweiswert hinsichtlich der Au-
thentizität und Integrität des verbundenen Dokuments Das Prüfprotokoll, in dem die Ergebnisse der
gegenüber dem Signaturzeitpunkt besitzt. Weiter Prüfung zusammenfassend dem Benutzer dar-
sollte der Zeitpunkt, zu dem der Algorithmus seine gestellt werden, hebt Signaturen, deren zuge-
Eignung verloren hat, zutreffend angezeigt werden. hörige kryptographische Algorithmen zum Prüf-
oder zum Signierzeitpunkt als nicht mehr ge-
Unspezifische Aussagen zu abgelaufene Algorithmen eignet anzusehen sind, entsprechend farblich
sind nicht zulässig. hervor und weist den Benutzer darauf hin, dass
ein verwendeter Algorithmus zum Zeitpunkt der
Prüfung oder zum Signierzeitpunkt gemäß Al-
gorithmenkatalog nicht mehr für eine qualifizier-
te elektronische Signatur geeignet ist oder
war.12 Außerdem zeigt das Prüfprotokoll an, bis
zu welchem Zeitpunkt die verwendeten Algo-
rithmen gemäß Algorithmenkatalog als geeignet
anzusehen sind, bzw. es waren.
b) Nicht implementierte Algorithmen: Sofern die Software "Governikus SDK, Version
3.5.2.0" eine Prüfung einer Signatur nicht (voll-
Ist bei der Prüfung einer Signatur ein Algorithmus zu ständig) durchführen kann, da ein benötigter
verwenden, der in der Verifikationskomponente der kryptographischer Algorithmus nicht implemen-
SAK nicht implementiert ist, so muss dies dem Nutzer tiert ist, wird dies dem Benutzer entsprechend
zutreffend angezeigt werden. angezeigt: Das Prüfprotokoll, in dem die Ergeb-
nisse der Prüfung zusammenfassend dem Be-
Unspezifische Aussagen zu nicht implementierten
nutzer dargestellt werden, hebt Signaturen,
Algorithmen sind nicht zulässig
deren zugehörige kryptographische Algorith-
11
Detaillierte Erläuterungen finden sich im Informationspapier zur Umsetzung des bos-Prüfprotokolls
gemäß FAQ 28 der BNetzA. (Vgl. Ausgegliederte Zusatzdokumentation)
12
Informationen zur graduellen und sukzessiven Einbuße des Beweiswertes der Signatur, sind dem bei-
liegenden Dokument „bos-Prüfprotokoll mit Zertifikatsanzeige“ zu entnehmen.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 16 von 21
Herstellererklärung für „Governikus SDK, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1744 – Mitteilungen, Qualifizierte elektronische Signatur, 09 2011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-02-01
Anforderung Erfüllung und Verhalten der Software
„Governikus SDK, Version 3.5.2.0“
men nicht implementiert sind, entsprechend
hervor und weist den Benutzer darauf hin, dass
die Signatur nicht geprüft werden konnte, da
ein Algorithmus nicht implementiert ist.11
c) Qualifizierte Zeitstempel: Die Software "Governikus SDK, Version
3.5.2.0" bringt keine Zeitstempel an.
Tragen Daten einer qualifizierten Signatur, bei deren
Verifikation zu erkennen ist, dass der Signaturprüf- Mangels standardisiertem Verfahren für die
schlüssel zu einem Zeitstempel-Zertifikat gehört, so Einbindung von qualifizierten Zeitstempeln,
ist dies dem Nutzer zutreffend anzuzeigen. Der Zeit- werden qualifizierte Zeitstempel aus Fremdpro-
punkt, der im qualifizierten Zeitstempel enthalten ist, dukten nicht interpretiert. Gleichwohl ergibt sich
ist dem Nutzer ebenfalls darzulegen. ein qualifizierter Zeitstempel aus dem zugehöri-
gen, angezeigten Zertifikat.
Solange kein standardisiertes Verfahren für die Ein-
bindung von qualifizierten Zeitstempeln existiert, ist
es ausreichend, wenn das Produkt seine selbst inte-
grierten qualifizierten Zeitstempel auswerten kann.
Qualifizierte Zeitstempel, die aus Fremdprodukten
und damit in einer ev. proprietären Datenstruktur
vorliegen, müssen nicht zwingend durch das Produkt
ausgewertet werden.
Unspezifische Aussagen zu qualifizierten Zeitstem-
peln sind nicht zulässig
5. Maßnahmen in der Einsatzumgebung
5.1 Einrichtung der IT-Komponenten
Für den Betrieb der Software „Governikus SDK, Version 3.5.2.0“ wird folgende Einsatzumgebung vo-
rausgesetzt:
Personal Computer (PC) mit Internetanschluss;
Betriebssystem:
o Microsoft Windows XP, Windows Vista oder Windows 7 (jeweils mit aktuellem Service
Pack);
o openSUSE 11.x;
Signaturkarte gemäß Tabelle 3, wobei die Auflagen aus der Bestätigung zu dem Produkt (siehe
Registriernummer in Tabelle 3) einzuhalten sind;
Chipkarten-Lesegerät gemäß Tabelle 3, wobei die Auflagen aus der Bestätigung zu dem Pro-
dukt (siehe Registriernummer in Tabelle 3) einzuhalten sind;
Java Runtime Environment (JRE), derzeit wird die JRE-Versionslinie 1.6_x (von bos getestet mit
Version 1.6.0_24) unterstützt.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 17 von 21
Herstellererklärung für „Governikus SDK, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
09 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1745
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-02-01
Des Weiteren ist für einen reibungslosen und signaturgesetzkonformen Einsatz der Software
„Governikus SDK, Version 3.5.2.0“ notwendig, ausschließlich durch den Hersteller geprüfte Kombinatio-
nen aus Betriebssystemen, Chipkartenlesegeräten und Signaturkarten zu verwenden.13
Das Produkt „Governikus SDK, Version 3.5.2.0“ darf ausschließlich innerhalb der oben beschriebenen
Hard- und Softwareausstattung eingesetzt werden.
5.2 Anbindung an ein Netzwerk
Für den Betrieb des Produktes „Governikus SDK, Version 3.5.2.0“ ist ein Netzwerk notwendig.
Bei Anbindung des Produktes an ein Netzwerk müssen die folgenden Maßnahmen zum Schutz beachtet
werden: Netzwerkverbindungen müssen so abgesichert sein, dass Angriffe erkannt bzw. unterbunden
werden – z. B. durch eine geeignet konfigurierte Firewall und durch die Verwendung geeigneter Anti-
Viren-Programme.
Die in diesem Abschnitt gemachten Auflagen müssen eingehalten werden.
5.3 Auslieferung
Die Auslieferung erfolgt online per Download von einem Webserver.
Alle Dateien der Software „Governikus SDK, Version 3.5.2.0“ werden vor der Auslieferung vom Herstel-
ler signiert, um Schutz vor unerkannten nachträglichen Manipulationen und Veränderungen zu bieten.
Der Nutzer sollte sich vor der Installation der Software „Governikus SDK, Version 3.5.2.0“ von der Gül-
tigkeit der Signatur überzeugen. Die Verifikation der Signatur erfolgt über Standard-Java-Mechanismen.
5.4 Auflagen für den Betrieb des Produktes
Die Software „Governikus SDK, Version 3.5.2.0“ wird in einem „geschützten Einsatzbereich (Regelfall/
Standardlösung)“ (vgl. „Einheitliche Spezifizierung der Einsatzkomponenten für Signaturanwendungs-
komponenten – Arbeitsgrundlage für Entwickler/Hersteller und Prüf-/Bestätigungsstellen“, Version 1.4,
19.07.2005) betrieben.
Während des Betriebs sind die folgenden Bedingungen für den sachgemäßen Einsatz zu beachten:
Auflagen zur Sicherheit der IT-Plattform und Applikationen
Es muss gewährleistet sein, dass von der Hardware, auf der die Software „Governikus SDK, Version
3.5.2.0“ betrieben wird, keine Angriffe ausgehen. Insbesondere ist sicherzustellen, dass
die auf dem eingesetzten Personalcomputer installierte Software – insbesondere die Java Virtu-
al Machine – nicht böswillig manipuliert oder verändert werden kann,
auf dem Personalcomputer keine Viren oder Trojanischen Pferde eingespielt werden können,
die Hardware des Personalcomputers nicht unzulässig verändert werden kann,
der verwendete Chipkartenleser nicht böswillig manipuliert wurde, um Daten (z. B. PIN, Hash-
werte etc.) auszuforschen oder zu verändern.
13
Eine Übersicht unterstützter Kombinationen findet sich im Anwenderdokument „Handbuch Governikus -
Kartenansteuerung (MCard), Kapitel 8 Anhang 1: Tabellen der unterstützten Kombinationen Betriebssystem
- Chipkartenlesegerät - Signaturkarte“.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 18 von 21
Herstellererklärung für „Governikus SDK, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1746 – Mitteilungen, Qualifizierte elektronische Signatur, 09 2011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-02-01
Das Ausforschen der PIN auf dem Personalcomputer kann nur dann mit Sicherheit ausgeschlossen
werden, wenn ein Chipkartenleser mit sicherer PIN-Eingabe eingesetzt wird.
Auflagen zum Schutz vor manuellem Zugriff Unbefugter
Der eingesetzte Personalcomputer muss gegen einen manuellen Zugriff Unbefugter geschützt werden –
insbesondere, um Manipulation von Dateien auf Dateisystemebene, die die Software zur Darstellung der
Nachrichten benötigt, zu unterbinden. Dies kann z. B. durch Aufstellung in einem abschließbaren Raum
geschehen.
Die Unterrichtung des Zertifizierungsdiensteanbieters zur Handhabung der SSEE ist zu beachten.
Auflagen zum Schutz vor Angriffen über Datenaustausch per Datenträger
Bei Einspielen von Daten über Datenträger muss – z. B. durch die Verwendung geeigneter Anti-Viren-
Programme – sichergestellt werden, dass keine Viren oder Trojanischen Pferde eingespielt werden
können.
Auflagen zur Sicherheitsadministration des Betriebs
Hinsichtlich der Software „Governikus SDK, Version 3.5.2.0“ ist keine spezielle Sicherheitsadministration
für den Betrieb vorgesehen. Der eingesetzte Personalcomputer und der eingesetzte Chipkartenleser
sind aber in jedem Fall gegen eine unberechtigte Benutzung zu sichern.
Auflagen zum Schutz vor Fehlern bei Betrieb/Nutzung
Folgende Auflagen sind für den sachgemäßen Einsatz der Software „Governikus SDK, Version 3.5.2.0“
zu beachten:
Sofern eine Visualisierung einer zu signierenden oder signierten Datei erfolgen soll, ist eine ge-
eignete Anwendung zu nutzen, d. h. eine Anwendung, die Dateien des entsprechenden Datei-
typs öffnen und die zu signierenden oder signierten Daten zuverlässig darstellen kann.
Es wird eine vertrauenswürdige Eingabe der PIN vorausgesetzt. Der Nutzer hat dafür Sorge zu
tragen, dass die Eingabe der PIN weder beobachtet noch die PIN anderen Personen bekannt
gemacht wird.
Nur beim Betrieb mit einem bestätigten Chipkartenleser mit PIN-Pad ist sicher gestellt, dass die
PIN nur zur SSEE übertragen wird.
Zum Signieren darf die PIN nur am PIN-Pad des Chipkartenlesers eingegeben werden.
Hinweise von Zertifizierungsdiensteanbietern zum Umgang mit persönlichen sowie geheimen
Signatur-PIN sind zu beachten.
Eine Signaturgesetz-konforme Nachprüfung qualifizierter Zertifikate kann nur erfolgen, soweit
dafür die technischen Voraussetzungen – insbesondere durch die Verbindung zum OSCI-
Manager – gegeben sind.
Auflagen für Wartung/Reparatur
Die Pflege und Wartung der Software „Governikus SDK, Version 3.5.2.0“ erfolgt mittels Bereitstellung
aktualisierter Java Archive die vom Benutzer über einen Download von einem Webserver bezogen wer-
den können.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 19 von 21
Herstellererklärung für „Governikus SDK, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
09 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1747
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-02-01
6. Algorithmen und zugehörige Parameter
Zur Erzeugung qualifizierter elektronischer Signaturen werden vom Produkt „Governikus SDK, Version
3.5.2.0“ die Hashfunktionen SHA-256, SHA-512 bereitgestellt.14
Zur Prüfung qualifizierter elektronischer Signaturen werden vom Produkt „Governikus SDK, Version
3.5.2.0“ die Hashfunktionen SHA-256, SHA-512, RIPEMD-160 und SHA-115 sowie der Signaturalgorith-
mus RSA bereitgestellt.
Die gemäß Anlage I Abs. 1 Nr. 2 SigV festgelegte Eignung für die verwendeten kryptographischen Algo-
rithmen sind gemäß den Angaben der Bundesnetzagentur (vgl. „Bekanntmachung zur elektronischen
Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen)“
der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahn vom 22. Dezember
2010, veröffentlicht am 01. Februar 2011 im Bundesanzeiger Nr. 17, Seite 383) wie folgt als geeignet
eingestuft:
SHA-256, SHA-512: gültig bis 31.12.2017
RSA mit Schlüssellänge 2048 Bit: gültig bis 31.12.2017
7. Gültigkeit der Herstellererklärung
Diese Erklärung ist bis zu ihrem Widerruf, längstens jedoch bis zum 31.12.2017 gültig. Die Gültigkeit der
Herstellererklärung ist weiter beschränkt durch die in Kapitel 6 aufgeführten Gültigkeiten der Algorithmen;
die Gültigkeit kann sich verkürzen, wenn z.B. neue Feststellungen hinsichtlich der Sicherheit des Produk-
tes oder der Eignung der Algorithmen im Bundesanzeiger veröffentlicht werden.
Der aktuelle Status der Gültigkeit der Erklärung ist bei der zuständigen Behörde (Bundesnetzagentur,
Referat Qualifizierte Elektronische Signatur – Technischer Betrieb) zu erfragen.
8. Zusatzdokumentation
Folgende Bestandteile der Herstellererklärung wurden aus dem Veröffentlichungstext ausgegliedert und
bei der zuständigen Behörde hinterlegt:
„Unterlagen zur Herstellererklärung gemäß § 17 Abs. 4 SigG für die Software Governikus SDK,
Version 3.5.2.0’ – Sicherheitstechnische Produktbeschreibung und Spezifikation“, 13.03.2011,
83 Seiten.
„Unterlagen zur Herstellererklärung gemäß § 17 Abs. 4 SigG für die Software „Governikus SDK,
Version 3.5.2.0“ – Testdokumentation“, 18.03.2011, 11 Seiten.
Entwicklerhandbuch „OSCI-Enabler Entwicklerhandbuch“, Dokumentversion 3.5.2.0_0,
18.03.2010, 66 Seiten.
Anwenderdokumentation „OSCI-Enabler Funktions- und Schnittstellenbeschreibung“, Doku-
mentversion 3.5.2.0_0, 13.03.2011, 49 Seiten.
14
Hinweis: Das Produkt unterstützt ferner die Hashfunktionen SHA-1 und RIPEMD-160, die allerdings
zum 30.6.2008 bzw. 31.12.2010 ausgelaufen sind, so dass aufgrund der abgelaufenen oder gesperrten
Zertifikate keine qualifizierten elektronischen Signaturen mehr erzeugt werden können.
15
Dem Benutzer wird bei der Prüfung alter Signaturen, die mit SHA-1 oder RIPEMD-160 erzeugt wur-
den, die abgelaufene Gültigkeit des Algorithmus mit einem Warnhinweis angezeigt.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 20 von 21
Herstellererklärung für „Governikus SDK, Version 3.5.2.0“
Bonn, 11. Mai 2011
