abl-09
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
09 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1779
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-01-01
3. Funktionsbeschreibung
Die Software „Governikus Service Components, Version 3.5.2.0“ ist als Teil einer Signaturanwendungs-
komponente gemäß § 2 Nr. 11 SigG eine Funktionsbibliothek; die auf geeigneter Hardware mit geeigne-
ten Betriebsmitteln – insbesondere mit SigG-konformen Chipkartenlesern und sicheren Signaturerstel-
lungseinheiten betrieben wird.
Die Software „Governikus Service Components, Version 3.5.2.0“ wird auf Servern in einem „geschützten
Einsatzbereich (Regelfall/Standardlösung)“ [BNetzA2005] betrieben und über jeweilige Web-
Oberflächen (Graphical User Interface – GUI) von Administratoren konfiguriert. Nachdem eine Signatur-
karte für die Erzeugung von Batchsignaturen vom Signaturschlüssel-Inhaber freigeschaltet wurde, arbei-
tet die Software im Produktivbetrieb automatisiert und ohne menschliche Interaktionen.
Die Software „Governikus Service Components, Version 3.5.2.0“ erfüllt die Anforderungen gemäß § 17
Abs. 2 SigG, umfasst allerdings keine Chipkartenleser oder sichere Signaturerstellungseinheiten und
jegliche Anzeige obliegt dem anfordernden System. Sie stellt selbst nur einen Teil der Funktionalität zur
Verfügung, die vom Signaturgesetz bzw. der Signaturverordnung gefordert wird. So obliegt z.B. die
Funktionalität, dass „die Erzeugung einer Signatur vorher eindeutig angezeigt wird“ (§ 15 Abs. 2 SigV),
dem anfordernden System in der IT-Umgebung, welches einen Auftrag an die Software absendet. Die
Software erlaubt dem Signaturschlüssel-Inhaber lediglich, bestimmte Vorgaben zu machen. Dazu gehört
die maximale Zeit oder Anzahl für die Erstellung von Signaturen sowie die Festlegung der autorisiert an-
fordernden Systeme, die auf die Karte des Signaturschlüssel-Inhabers zugreifen dürfen. Ähnliches gilt
auch für die Anteile von § 17 Abs. 2 SigG. Der Bezug von Daten zur Signatur („...auf welche Daten sich
die Signatur bezieht...“) und das Anzeigen signierter Daten („...nach Bedarf auch den Inhalt der zu sig-
nierenden Daten hinreichend erkennen lassen...“) muss ebenfalls durch das anfordernde System in der
IT-Umgebung der Software gewährleistet werden. Die autorisiert anfordernden Systeme müssen auch
sicherstellen, dass einer Batchsignatur ausschließlich praktisch gleiche Vorgänge zugeführt werden, da
die Software „Governikus Service Components, Version 3.5.2.0“ keine Analyse der Inhalte vornimmt.
Anfordernde Systeme müssen nach SigG bestätigt oder herstellererklärt werden, bevor sie zusammen
mit der Software zur Erstellung von qualifizierten elektronischen Signaturen genutzt werden können.
Im Nachfolgenden erfolgt zunächst die Funktionsbeschreibung des Produktes und anschließend eine
Darstellung der Schnittstellen.
Die Software „Governikus Service Components, Version 3.5.2.0“ stellt folgende Basisfunktionalitäten für
andere Systeme zur Verfügung:
Unterstützung Signaturerzeugung:
Die Software erhält von außen über eine Schnittstelle von einem anforderndem System die An-
forderung3, Daten serverbasiert mit einer Batchsignatur zu versehen. Die Software führt die zu
signierenden Daten einer angeschlossenen sicheren Signaturerstellungseinheit zu und liefert
das Ergebnis (Signatur oder Fehlermeldung) zurück.
Es können mehrere Chipkartenleser angeschlossen sein, die Karten unterschiedlicher Signatur-
schlüssel-Inhaber enthalten können.
Es findet kein automatisierter Prozess statt, der nach Eingabe der PIN diese für das System
vorhält, zum Signieren automatisch abruft und an die SSEE sendet.
3
Die Software wird unter der Annahme betrieben, dass ein anforderndes System, das auf diese Soft-
ware zugreift, die Anforderungen von SigG und SigV an Signaturanwendungskomponente erfüllt.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 10 von 23
Herstellererklärung für „Governikus Service Components, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1780 – Mitteilungen, Qualifizierte elektronische Signatur, 09 2011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-01-01
Bevor Batchsignaturen erzeugt werden können, muss der Signaturschlüssel-Inhaber initial seine
sichere Signaturerstellungseinheit per PIN-Eingabe freischalten. Die Software „Governikus Ser-
vice Components, Version 3.5.2.0“ gewährleistet, dass nach Freischaltung der sicheren Signa-
turerstellungseinheit je nach Konfiguration entweder
o nur eine bestimmte Anzahl von Batchsignaturen und bzw. oder
o Batchsignaturen nur innerhalb eines Zeitfensters
erzeugt werden, wobei die Konfiguration durch den Schlüsseladministrator (Konfiguration der
Voreinstellungen) und den Signaturschlüssel-Inhaber (Korrektur der Voreinstellungen, direkt vor
PIN-Eingabe) erfolgt. Vor der Freischaltung der sicheren Signaturerstellungseinheit wird dem
Signaturschlüssel-Inhaber auch angezeigt, welches System bzw. welche Rolle zu welchem
Zweck (Fachaufgabe) eine sichere Signaturerstellungseinheit nutzen kann.
Die Bedienung des anfordernden Systems und damit das Auslösen einer Signaturanforderung
erfolgt durch berechtigt signierende Personen, die sich an dem anfordernden System erfolgreich
identifiziert und authentisiert haben. Wird eine Signaturkarte aus dem Chipkartenleser entfernt,
erhält der Signaturschlüssel-Inhaber eine entsprechende Mitteilung per E-Mail.
Verifikation:
Die Software „Governikus Service Components, Version 3.5.2.0“ erhält von außen über eine
Schnittstelle die Anforderung, die mathematische Korrektheit einer qualifizierten elektronischen
Signatur zu prüfen. Die Software führt eine Signaturprüfung durch, d. h. die Software prüft die
mathematische Korrektheit der Signatur mittels zugehörigem Prüfschlüssel (öffentlichem
Schlüssel aus qualifiziertem Zertifikat) und geeigneten kryptographischen Verfahren, und liefert
das mit einer elektronischen Signatur versehene Ergebnis der Verifikation (korrekte oder nicht
korrekte Signatur oder Fehlermeldung) zurück.
Ein anforderndes System muss sich gegenüber der Software durch Angabe einer bestimmten
Kennung identifizieren und die gewünschte Operation angeben. Die Software prüft vor der
Durchführung der mathematischen Prüfung, ob die Kombination von Kennung und Operation
gemäß der im Regelwerk der Software eingestellten Regeln erlaubt ist.
Validierung:
Die Software „Governikus Service Components, Version 3.5.2.0“ erhält von einem System der
IT-Umgebung die Anforderung, die Gültigkeit eines qualifizierten Zertifikats zu einem übermittel-
ten Zeitpunkt bzw. – sofern kein expliziter Zeitpunkt übermittelt wurde – zum Prüfzeitpunkt4 fest-
zustellen. Die Software prüft ob das anfordernde System zu dieser Operation berechtigt ist und
führt dann die Validierung durch. Die Software stellt fest, ob das qualifizierte Zertifikat zum an-
gegebenen Zeitpunkt bzw. zum Prüfzeitpunkt vorhanden und nicht gesperrt war und der Gültig-
keitszeitraum des qualifizierten Zertifikats zum angegebenen Zeitpunkt bzw. Prüfzeitpunkt be-
reits begonnen und noch nicht abgelaufen war, und liefert das mit einer elektronischen Signatur
versehene Ergebnis der Validierung in Form einer Interpretation zurück. Zusätzlich werden die
Ergebnisse der Verzeichnisdienste zurückgeliefert. Das Ergebnis der Validierung signiert die
Software mit einer elektronischen Signatur. Der Signaturschlüssel für diese Signatur liegt dafür
in der Software vor. Der öffentliche Schlüssel, der zu dem geheimen Signaturschlüssel passt,
muss auf dem anfordernden System in Form eines Trust-Anchors vorhanden sein.
4
Der Prüfzeitpunkt, sofern kein Zeitpunkt übergeben wurde, ist die aktuelle Systemzeit.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 11 von 23
Herstellererklärung für „Governikus Service Components, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
09 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1781
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-01-01
Das Validierungsergebnis umfasst die folgenden Informationen:
o Status o.k.: sämtliche durchgeführten Prüfungen lieferten ein positives Ergebnis,
o Status nicht eindeutig: mindestens eine der Prüfungen konnte nicht durchgeführt werden,
o Status nicht o.k.: mindestens eine der durchgeführten Prüfungen lieferte ein negatives Er-
gebnis.
In diesem Kontext prüft die Software die mathematische Korrektheit der qualifizierten elektroni-
schen Signaturen von Antworten auf Zertifikatsstatus-Anfragen (Online Certificate Status Proto-
col – OCSP) und Sperrlisten (Certificate Revocation Lists – CRLs), holt Zertifikate via Light-
weight Directory Access Protocol (LDAP) ein und validiert Zertifikate der Zertifikatskette.
Im OSCI (Online Services Computer Interface)-Kontext führt die Software „Governikus Service
Components, Version 3.5.2.0“ die Statusprüfung gemäß OSCI-Protokoll als OSCI-Intermediär
durch. Weitere Informationen zu OSCI sind zu finden unter: www.osci.de.
Die Software „Governikus Service Components, Version 3.5.2.0“ enthält folgende Schnittstellen:
Schnittstellen zur Übergabe einer Anforderung für anfordernde Systeme:
Die Software „Governikus Service Components, Version 3.5.2.0“ stellt anfordernden Systemen
über verschiedene Schnittstellen die Nutzung der folgenden Funktionalitäten zur Verfügung.
o Unterstützung bei der Erzeugung qualifizierter elektronischer (Batch-) Signaturen;
o mathematische Prüfung qualifizierter elektronischer Signaturen (Verifikation);
o Statusprüfung qualifizierter Zertifikate (Validierung); die Statusprüfung kann via http und
https über XKMS25 oder OASIS DSS erfolgen.
OSCI-Schnittstellen:
Zur Realisierung einer OSCI-Kommunikation stellt die Software „Governikus Service Compo-
nents, Version 3.5.2.0“ zwei Schnittstellen zur Verfügung:
o Schnittstelle zum OSCI-Manager, welcher in der Rolle des OSCI-Intermediärs als Mittler
zwischen Sender und Empfänger dient, wobei der OSCI-Intermediär Zertifikate prüft und
das Ergebnis in einem Laufzettel dokumentiert. Für die OSCI-Kommunikation wird das
OSCI-Transport-Protokoll6 verwendet.
o Schnittstelle zum OSCI-Backend-Enabler, welche als Funktionsbibliothek von einem OSCI-
Backend angesprochen wird und Funktionalitäten zur Realisierung einer OSCI-
Kommunikation auf Seiten des Backends zur Verfügung stellt.
Schnittstelle zum Chipkartenleser:
Qualifizierte elektronische (Batch-)Signaturen werden von sicheren Signaturerstellungseinheiten
erzeugt, die über einen Chipkartenleser von der Software angesteuert werden.
Schnittstelle zum Mail-Server
5
eine Erweiterung von XML Key Management Specification (XKMS), http://www.w3.org/TR/xkms2/
6
Vgl. OSCI-Leitstelle, “OSCI-Transport 1.2”, 6. Juni 2003
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 12 von 23
Herstellererklärung für „Governikus Service Components, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1782 – Mitteilungen, Qualifizierte elektronische Signatur, 09 2011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-01-01
Wird eine Signaturkarte aus dem Chipkartenleser entfernt, erhält der Signaturschlüssel-Inhaber
(zu der Signaturkarte mit dem privaten Schlüssel des Signaturschlüssel-Inhabers) über diese
Schnittstelle eine entsprechende Mitteilung per E-Mail.
Schnittstelle zum Verzeichnisdienst
Über diese Schnittstelle werden bei der Validierung von Zertifikaten Anfragen an SigG-konforme
Verzeichnisdienste gesendet und Antworten empfangen. Realisiert sind:
o Zertifikatsstatusanfragen via Online Certificate Status Protocol (OCSP);
o Sperrlisten (Certificate Revocation List – CRL), die via Lightweight Directory Access Proto-
col (LDAP) oder Hypertext Transfer Protocol (HTTP) eingeholt werden;
o Zertifikate (X.509), die ebenfalls via Lightweight Directory Access Protocol (LDAP) bezogen
werden.
Schnittstelle zur graphischen Bedienungsoberfläche (Graphical User Interface – GUI):
Die graphische Benutzeroberfläche (Graphical User Interface – GUI) stellt die „Mensch-
Maschine-Schnittstelle“ zwischen Administrator und der Software dar. Die Software visualisiert
das Eintreten von Sicherheitsereignissen durch entsprechende informelle und prozedurale An-
zeigetexte.
Die vorliegende Herstellererklärung bezieht sich ausschließlich auf die Eigenschaft der Software
„Governikus Service Components, Version 3.5.2.0“ als Signaturanwendungskomponente i.S.d. § 2 Nr.
11 SigG, d.h. auf diejenigen Funktionalitäten, die dazu bestimmt sind,
Daten dem Prozess der Prüfung qualifizierter elektronischer Signaturen zuzuführen und
qualifizierte Signaturen zu prüfen oder qualifizierte Zertifikate nachzuprüfen und die Ergebnisse
anzuzeigen.
Die Software „Governikus Service Components, Version 3.5.2.0“ erfüllt die Anforderungen gemäß § 17
Abs. 2 SigG sowie § 15 Abs. 2 und 4 SigV, allerdings obliegt jegliche Anzeige dem anfordernden Sys-
tem.
4. Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
Das Produkt „Governikus Service Components, Version 3.5.2.0“ erfüllt die nachfolgenden Anforderun-
gen des SigG:
Referenz Gesetzestext Beschreibung
§ 17 Abs. 2 Für die Überprüfung signierter Daten sind Zur Umsetzung dieser Anforderungen ist in
Satz 2 Signaturanwendungskomponenten erfor- der Software „Governikus Service Compo-
derlich, die feststellen lassen, […] nents, Version 3.5.2.0“ implementiert:
Verifikation von Signaturen (lokale ma-
2. ob die signierten Daten unverändert
sind, […] thematische Prüfung) sowie
5. zu welchem Ergebnis die Nachprüfung Validierung von Zertifikaten (Überprü-
von Zertifikaten nach § 5 Abs. 1 Satz 3 fung, ob die nachgeprüften qualifizierten
geführt hat. Zertifikate im jeweiligen Zertifikatver-
zeichnis zum angegebenen Zeitpunkt
vorhanden und nicht gesperrt waren).
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 13 von 23
Herstellererklärung für „Governikus Service Components, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
09 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1783
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-01-01
Tabelle 4: Erfüllung der Anforderungen des SigG
Das Produkt „Governikus Service Components, Version 3.5.2.0“ erfüllt die nachfolgenden Anforderun-
gen der SigV:
Referenz Gesetzestext Beschreibung
§ 15 Abs. 2 Signaturanwendungskomponenten nach § Das Produkt „Governikus Service Compo-
Nr. 1 17 Abs. 2 des Signaturgesetzes müssen nents, Version 3.5.2.0“ verhindert wirksam
gewährleisten, dass die unautorisierte Erstellung von Signaturen.
1. bei der Erzeugung einer qualifizierten Bevor (Batch-) Signaturen erzeugt werden
elektronischen Signatur […] können, muss der Signaturschlüssel-Inhaber
initial seine sichere Signaturerstellungsein-
b) eine Signatur nur durch die berechtigt
heit per PIN-Eingabe freischalten. Dazu wird
signierende Person erfolgt […].
ihm angezeigt,
- welches System bzw. welche Rolle zu
welchem Zweck (Fachaufgabe)
- innerhalb welchen Zeitfensters bzw. für
welche Anzahl von Batchsignaturen seine
sichere Signaturerstellungseinheit nutzen
kann.
Die Bedienung des anfordernden Systems
und damit das Auslösen einer Signaturan-
forderung erfolgt durch berechtigt signieren-
de Personen, die sich an dem anfordernden
System erfolgreich identifiziert und authenti-
fiziert haben.
§ 15 Abs. 2 Signaturanwendungskomponenten nach Die authentische Anzeige des Ergebnisses
Nr. 2 §17 Abs. 2 des Signaturgesetzes müssen von Verifikation und Validierung obliegt dem
gewährleisten, dass […] System, das die Prüfung angefordert hat
und ist somit nicht Bestandteil dieser Her-
2. bei der Prüfung einer qualifizierten
stellererklärung.
elektronischen Signatur
Gleichwohl realisiert die Software die Verifi-
a) die Korrektheit der Signatur zuverlässig
kation und Validierung einer qualifizierten
geprüft […] wird und
elektronischen Signatur.
b) eindeutig erkennbar wird, ob die nach-
geprüften qualifizierten Zertifikate im je-
weiligen Zertifikatsverzeichnis zum ange-
gebenen Zeitpunkt vorhanden und nicht
gesperrt waren.
§ 15 Abs. 4 Sicherheitstechnische Veränderungen an Die Anforderungen zur Erkennung sicher-
Produkten für qualifizierte elektronische heitstechnischer Veränderungen werden
Signaturen nach den Absätzen 1 bis 3 durch die Signaturen der Software und die
müssen für den Nutzer erkennbar werden. Auflagen zum Betrieb realisiert, vgl. Kapitel
5.4.
Tabelle 5: Erfüllung der Anforderungen der SigV
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 14 von 23
Herstellererklärung für „Governikus Service Components, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1784 – Mitteilungen, Qualifizierte elektronische Signatur, 09 2011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-01-01
Hinweis: Die Software „Governikus Service Components, Version 3.5.2.0“ stellt eine Funktionsbibliothek
für weitere anfordernde Systeme dar, die insgesamt die Anforderungen von Signaturgesetz und -ver-
ordnung erfüllen. Die folgenden Anforderungen – insbesondere zur Interaktion mit einem Benutzer –
müssen zusätzlich die anfordernden Systeme erfüllen:
Auslösen und Autorisierung der Erzeugung einer Batchsignatur;
Visualisierung für den Benutzer mit der in SigG/SigV normierten Anzeige.
Deshalb erfüllt dieses serverseitige Produkt „Governikus Service Components, Version 3.5.2.0“ die fol-
genden Anforderungen explizit nicht:
§ 17 Abs. 2 Satz 1 SigG: „Für die Darstellung zu signierender Daten sind Signaturanwendungs-
komponenten erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur vorher
eindeutig anzeigen und feststellen lassen, auf welche Daten sich die Signatur bezieht.“
§ 17 Abs. 2 Satz 2 SigG: „Für die Überprüfung signierter Daten sind Signaturanwendungskom-
ponenten erforderlich, die feststellen lassen,
1. auf welche Daten sich die Signatur bezieht, […]
3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,
4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifi-
zierte Attribut-Zertifikate aufweisen […]
§ 17 Abs. 2 Satz 3 SigG: „Signaturanwendungskomponenten müssen nach Bedarf auch den In-
halt der zu signierenden oder signierten Daten hinreichend erkennen lassen.“
§ 17 Abs. 2 Satz 4 SigG: „Die Signaturschlüssel-Inhaber sollen solche Signaturanwendungs-
komponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elekt-
ronischer Signaturen treffen.“
§ 15 Abs. 2 Nr. 1a) und c) SigV: „Signaturanwendungskomponenten nach § 17 Abs. 2 des Sig-
naturgesetzes müssen gewährleisten, dass bei der Erzeugung einer qualifizierten elektroni-
schen Signatur
a) die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren Signa-
turerstellungseinheit gespeichert werden,
c) die Erzeugung einer Signatur vorher eindeutig angezeigt wird und
§ 15 Abs. 2 Nr. 2 a) und b) SigV: „Signaturanwendungskomponenten nach § 17 Abs. 2 des Sig-
naturgesetzes müssen gewährleisten, dass bei der Prüfung einer qualifizierten elektronischen
Signatur
a) die Korrektheit der Signatur […] zutreffend angezeigt wird und
b) eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifi-
katsverzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren.“
Hinweis zu schwachwerdenden Algorithmen und qualifizierten Zeitstempeln
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 15 von 23
Herstellererklärung für „Governikus Service Components, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
09 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1785
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-01-01
Signaturanwendungskomponenten i. S. v. § 2 Nr. 11 b SigG müssen auch dann eine zuverlässige Prü-
fung und zutreffende Anzeige des Ergebnisses gem. § 15 Abs. 2 Nr. 2a SigV gewährleisten7, wenn die
geprüfte Signatur auf einem Algorithmus oder Parameter beruht, der als nicht mehr geeignet und damit
als nicht mehr hinreichend zuverlässig eingestuft ist, oder wenn ein qualifizierter Zeitstempel vorliegt.
Seitens der Bundesnetzagentur wurden die Anforderungen an Signaturanwendungskomponenten weiter
präzisiert, die das Produkt „Governikus Service Components, Version 3.5.2.0“ aktuell wie folgt erfüllt:
Anforderung Erfüllung und Verhalten der Software
„Governikus Service Components, Version
3.5.2.0“
a) Abgelaufene Algorithmen: Bei der Prüfung einer Signatur prüft das Pro-
dukt „Governikus Service Components, Version
Die Prüfung einer Signatur durch eine Signaturan- 3.5.2.0“, ob die verwendeten kryptographischen
wendungskomponente (SAK) für qualifizierte elektro- Algorithmen – sowohl zum Zeitpunkt der Prü-
nische Signaturen i.S.v. § 2 Nr. 11b SigG muss bei fung (Prüfzeitpunkt) als auch zum Signierzeit-
abgelaufenen Algorithmen für den Nutzer deutlich punkt als geeignet anzusehen sind. Bzgl. der
anzeigen, dass die geprüfte Signatur mit einem Algo- Eignung kryptographischer Algorithmen werden
rithmus erzeugt wurde, der nicht mehr dem Stand der die Angaben des offiziellen Algorithmenkata-
Wissenschaft und Technik entspricht, und sie somit logs der Bundesnetzagentur genutzt.8
einen verminderten Beweiswert hinsichtlich der Au-
thentizität und Integrität des verbundenen Dokuments Das Prüfprotokoll, in dem die Ergebnisse der
gegenüber dem Signaturzeitpunkt besitzt. Weiter Prüfung zusammenfassend dem Benutzer dar-
sollte der Zeitpunkt, zu dem der Algorithmus seine gestellt werden, hebt Signaturen, deren zuge-
Eignung verloren hat, zutreffend angezeigt werden. hörige kryptographische Algorithmen zum Prüf-
oder zum Signierzeitpunkt als nicht mehr ge-
Unspezifische Aussagen zu abgelaufene Algorithmen eignet anzusehen sind, entsprechend farblich
sind nicht zulässig. hervor und weist den Benutzer darauf hin, dass
ein verwendeter Algorithmus zum Zeitpunkt der
Prüfung oder zum Signierzeitpunkt gemäß Al-
gorithmenkatalog nicht mehr für eine qualifizier-
te elektronische Signatur geeignet ist oder war.9
Außerdem zeigt das Prüfprotokoll an, bis zu
welchem Zeitpunkt die verwendeten Algorith-
men gemäß Algorithmenkatalog als geeignet
anzusehen sind, bzw. es waren.
b) Nicht implementierte Algorithmen: Sofern die Software "Governikus Service Com-
ponents, Version 3.5.2.0" eine Prüfung einer
Ist bei der Prüfung einer Signatur ein Algorithmus zu
7
Schreiben der Bundesnetzagentur „Hinweis im Zusammenhang mit der Prüfung von qualifizierten
elektronischen Signaturen, die auf ungeeigneten Algorithmen beruhen, und von qualifizierten Zeitstem-
peln“ vom 06.03.2009
8
Detaillierte Erläuterungen finden sich im Informationspapier zur Umsetzung des bos-Prüfprotokolls
gemäß FAQ 28 der BNetzA. (Vgl. Ausgegliederte Zusatzdokumentation)
9
Informationen zur graduellen und sukzessiven Einbuße des Beweiswertes der Signatur, sind dem bei-
liegenden Dokument „bos-Prüfprotokoll mit Zertifikatsanzeige“ zu entnehmen.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 16 von 23
Herstellererklärung für „Governikus Service Components, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1786 – Mitteilungen, Qualifizierte elektronische Signatur, 09 2011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-01-01
Anforderung Erfüllung und Verhalten der Software
„Governikus Service Components, Version
3.5.2.0“
verwenden, der in der Verifikationskomponente der Signatur nicht (vollständig) durchführen kann,
SAK nicht implementiert ist, so muss dies dem Nutzer da ein benötigter kryptographischer Algorithmus
zutreffend angezeigt werden. nicht implementiert ist, wird dies dem Benutzer
entsprechend angezeigt: Das Prüfprotokoll, in
Unspezifische Aussagen zu nicht implementierten dem die Ergebnisse der Prüfung zusammen-
Algorithmen sind nicht zulässig fassend dem Benutzer dargestellt werden, hebt
Signaturen, deren zugehörige kryptographische
Algorithmen nicht implementiert sind, entspre-
chend hervor und weist den Benutzer darauf
hin, dass die Signatur nicht geprüft werden
konnte, da ein Algorithmus nicht implementiert
ist.8
c) Qualifizierte Zeitstempel: Die Software "Governikus Service Compo-
nents, Version 3.5.2.0" bringt keine Zeitstempel
Tragen Daten einer qualifizierten Signatur, bei deren an.
Verifikation zu erkennen ist, dass der Signaturprüf-
schlüssel zu einem Zeitstempel-Zertifikat gehört, so Mangels standardisiertem Verfahren für die
ist dies dem Nutzer zutreffend anzuzeigen. Der Zeit- Einbindung von qualifizierten Zeitstempeln,
punkt, der im qualifizierten Zeitstempel enthalten ist, werden qualifizierte Zeitstempel aus Fremdpro-
ist dem Nutzer ebenfalls darzulegen. dukten nicht interpretiert. Gleichwohl ergibt sich
ein qualifizierter Zeitstempel aus dem zugehöri-
Solange kein standardisiertes Verfahren für die Ein- gen, angezeigten Zertifikat.
bindung von qualifizierten Zeitstempeln existiert, ist
es ausreichend, wenn das Produkt seine selbst inte-
grierten qualifizierten Zeitstempel auswerten kann.
Qualifizierte Zeitstempel, die aus Fremdprodukten
und damit in einer ev. proprietären Datenstruktur
vorliegen, müssen nicht zwingend durch das Produkt
ausgewertet werden.
Unspezifische Aussagen zu qualifizierten Zeitstem-
peln sind nicht zulässig
5. Maßnahmen in der Einsatzumgebung
5.1 Einrichtung der IT-Komponenten
Für den Betrieb der Software „Governikus Service Components, Version 3.5.2.0“ wird folgende Ein-
satzumgebung vorausgesetzt:
AMD/Intel-PC oder Sun UltraSPARC III mit 2 GB Hauptspeicher (RAM);
Betriebssystem:
o Microsoft Windows 2003 Server mit den jeweils aktuellen Servicepacks und Sicherheit-
supdates;
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 17 von 23
Herstellererklärung für „Governikus Service Components, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
09 2011 – Mitteilungen, Qualifizierte elektronische Signatur, 1787
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-01-01
o Microsoft Windows 2008 Server mit den jeweils aktuellen Servicepacks und Sicherheit-
supdates;
o SUSE Linux Enterprise Server 11 auf x86 mit aktuellem Servicepack;
o RedHat Enterprise 6 mit aktuellem Servicepack;
o Solaris 10 mit aktuellem Patch-Set.
Application Server:
o JBoss 5.1.X ab Version 5.1.0 mit Oracle JDK 6 Update 21 oder neuer;
o JBoss Enterprise Application Platform in Version 5 mit Oracle JDK 6 Update 21 oder
neuer.
Datenbanken:
o Oracle DB 10gR2, 11gR1, 11gR2;
o MySQL. 5.0 bis 5.1.x;
o Microsoft SQL Server 2008 R2.
Signaturkarte gemäß Tabelle 3, wobei die Auflagen aus der Bestätigung zu dem Produkt (siehe
Registriernummer in Tabelle 3) einzuhalten sind;
Chipkarten-Lesegerät gemäß Tabelle 3, wobei die Auflagen aus der Bestätigung zu dem Pro-
dukt (siehe Registriernummer in Tabelle 3) einzuhalten sind;
Verzeichnisdienst: Ein SigG-konformer Verzeichnisdienst für Sperrlisten und Zertifikatsstatusab-
fragen zur Validierung von qualifizierten Zertifikaten ist vorhanden und es besteht eine Verbin-
dung dorthin.
Anfordernde Systeme, die von außen über eine Schnittstelle auf das Produkt zugreifen und
Funktionalitäten des Produktes nutzen, stehen zur Verfügung und erfüllen die Anforderungen
von Signaturgesetz und -verordnung an eine Signaturanwendungskomponente. Insbesondere
gewährleisten sie die SigG-relevanten Funktionalitäten hinsichtlich Autorisierung zur Erzeugung
von Batchsignaturen und Visualisierung. 3
Des Weiteren ist für einen reibungslosen und signaturgesetzkonformen Einsatz der Software
„Governikus Service Components, Version 3.5.2.0“ notwendig, ausschließlich durch den Hersteller ge-
prüfte Kombinationen aus Betriebssystemen, Chipkartenlesegeräten und Signaturkarten zu verwenden.
Das Produkt „Governikus Service Components, Version 3.5.2.0“ darf ausschließlich innerhalb der oben
beschriebenen Hard- und Softwareausstattung eingesetzt werden.
5.2 Anbindung an ein Netzwerk
Für den Betrieb des Produktes „Governikus Service Components, Version 3.5.2.0“ ist ein Netzwerk not-
wendig.
Bei Anbindung des Produktes an ein Netzwerk müssen die folgenden Maßnahmen zum Schutz beachtet
werden: Netzwerkverbindungen müssen so abgesichert sein, dass Angriffe erkannt bzw. unterbunden
werden – z. B. durch eine geeignet konfigurierte Firewall und durch die Verwendung geeigneter Anti-
Viren-Programme bzw. Content-Filter.
Die in diesem Abschnitt gemachten Auflagen müssen eingehalten werden.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 18 von 23
Herstellererklärung für „Governikus Service Components, Version 3.5.2.0“
Bonn, 11. Mai 2011
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1788 – Mitteilungen, Qualifizierte elektronische Signatur, 09 2011
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2011-01-01
5.3 Auslieferung und Installation
Die Auslieferung erfolgt online per Download von einem Webserver.
Alle Dateien der Software „Governikus Service Components, Version 3.5.2.0“ werden vor der Ausliefe-
rung vom Hersteller signiert, um Schutz vor unerkannten nachträglichen Manipulationen und Verände-
rungen zu bieten. Der Nutzer sollte sich vor der Installation der Software „Governikus Service Compo-
nents, Version 3.5.2.0“ von der Gültigkeit der Signatur überzeugen. Die Verifikation der Signatur erfolgt
über Standard-Java-Mechanismen.
5.4 Auflagen für den Betrieb des Produktes
Für den Betrieb ist vertrauenswürdiges Personal eingesetzt, das einen Beitrag zur Sicherheit leistet, und
die notwendigen räumlichen Gegebenheiten sowie Hard- und Software für den sicheren Betrieb (s.o.)
sind vorhanden. Dazu gehören auch Signaturschlüssel-Inhaber, die sich beispielsweise vergewissern,
dass sie bei der Eingabe ihres Identifikationsmerkmals (PIN) nicht beobachtet werden, oder die ihr Iden-
tifikationsmerkmal ändern, wenn sie den Verdacht oder die Gewissheit haben, ihr Merkmal könnte nicht
mehr geheim sein.
Darüber hinaus sind Administratoren für die verschiedenen Aufgaben benannt, die einen Beitrag zur Si-
cherstellung einer vertraulichen und integren Betriebsumgebung der Basiskomponente leisten. Die Ba-
siskomponente wird so konfiguriert, dass eine Benutzerkennung entweder einer administrativen Benut-
zerrolle zugeordnet oder als Signaturschlüssel-Inhaber konfiguriert ist.
Es wird gewährleistet, dass die Software „Governikus Service Components, Version 3.5.2.0“ korrekt
aufgebaut ist, inkl. Einhaltung der Vorgaben hinsichtlich der räumlichen Gegebenheiten (dedizierter
Raum für die Chipkartenleser) und für die Realisierung der Netzwerkarchitektur und der internen Ver-
bindungen zwischen den einzelnen Systemkomponenten mit Firewall, Demilitarisierter Zone (DMZ) etc.
Vgl. dazu die Vorgaben und Auflagen zum Betrieb der Virtuellen Poststelle, die im „Generischen Sicher-
heitskonzept für die Kern- und Webkomponenten der Virtuellen Poststelle“10 beschrieben werden.
Die Software „Governikus Service Components, Version 3.5.2.0“ wird in einem „geschützten Einsatzbe-
reich (Regelfall/ Standardlösung)“ (vgl. „Einheitliche Spezifizierung der Einsatzkomponenten für Signa-
turanwendungskomponenten – Arbeitsgrundlage für Entwickler/Hersteller und Prüf-
/Bestätigungsstellen“, Version 1.4, 19.07.2005) betrieben.
Während des Betriebs sind die folgenden Bedingungen für den sachgemäßen Einsatz zu beachten:
Auflagen zur Sicherheit der IT-Plattform und Applikationen
Es muss gewährleistet sein, dass von der Hardware, auf der die Software „Governikus Service Compo-
nents, Version 3.5.2.0“ betrieben wird, keine Angriffe ausgehen. Insbesondere ist sicherzustellen (laut
der einheitlichen Spezifizierung der Einsatzbedingungen11, Fußnote 26: „IT-Plattform und die Applikatio-
nen müssen so vertrauenswürdig sein, dass die Sicherheitsfunktionen [...] mit hoher Sicherheit nicht be-
10
BundOnline 2005, Bundesamt für Sicherheit in der Informationstechnik, bremen online services GmbH
& Co. KG, datenschutz nord GmbH, „Generisches Sicherheitskonzept für die Kern- und Webkomponen-
ten der Virtuellen Poststelle“, 2004.
11
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetza-
gentur), „Einheitliche Spezifizierung der Einsatzbedingungen für Signaturanwendungskomponenten–
Arbeitsgrundlage für Entwickler/ Hersteller und Prüf-/Bestätigungsstellen“, Version 1.4, 19.07.2005.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 19 von 23
Herstellererklärung für „Governikus Service Components, Version 3.5.2.0“
Bonn, 11. Mai 2011
