abl-04
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
708 – Mitteilungen, Qualifizierte elektronische Signatur, 4 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-08-01
nicht gesperrt waren.
ob das zugehörige qualifizierte Zertifikat
zum angegebenen Zeitpunkt gültig war.
Die Anforderungen zur korrekten und
zuverlässigen Anzeige des Prüfprotokolls
werden durch Auflagen zum Betrieb
realisiert, vgl. Abschnitt 5
§ 15 Abs. 4 Sicherheitstechnische Veränderungen an Die Anforderungen zur Erkennung sicher-
technischen Komponenten nach den heitstechnischer Veränderungen werden
Absätzen 1 bis 3 müssen für den Nutzer durch Auflagen zum Betrieb realisiert, vgl.
erkennbar werden. Abschnitt 5..
Tabelle 5: Erfüllung der Anforderungen der SigV
Die folgenden Anforderungen von SigG und SigV werden vom Produkt „Governikus Verification Service,
Version 1.0.0.0“ nicht erfüllt, da die Erstellung von Signaturen sowie die Anzeige der zu signierenden
bzw. signierten Dateien nicht zum Funktionsumfang des Produktes „Governikus Verification Service,
Version 1.0.0.0“ gehört:
§ 17 Abs. 2 Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten
Satz 1 SigG erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur vorher
eindeutig anzeigen und feststellen lassen, auf welche Daten sich die Signatur bezieht.
§ 17 Abs. 2 Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu
Satz 3 SigG signierenden […] Daten hinreichend erkennen lassen.
§ 15 Abs. 2 Signaturanwendungskomponenten nach § 17 Abs. 2 des Signaturgesetzes müssen
Nr. 1 SigV gewährleisten, dass […] bei der Erzeugung einer qualifizierten elektronischen Signatur
a) die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren
Signaturerstellungseinheit gespeichert werden,
b) eine Signatur nur durch die berechtigt signierende Person erfolgt,
c) die Erzeugung einer Signatur vorher eindeutig angezeigt wird [….].
Tabelle 6: Nicht erfüllte Anforderungen des SigG und der SigV
Darüber hinaus ist § 17 Abs. 2 Satz 4 SigG („Die Signaturschlüssel-Inhaber sollen solche Signatur-
anwendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter
elektronischer Signaturen treffen.“) nicht direkt durch das Produkt „Governikus Verification Service,
Version 1.0.0.0“ umsetzbar.
Hinweise zu schwach werdenden Algorithmen und qualifizierten Zeitstempeln
Signaturanwendungskomponenten i. S. v. § 2 Nr. 11 b SigG müssen auch dann eine zuverlässige
Prüfung und zutreffende Anzeige des Ergebnisses gem. § 15 Abs. 2 Nr. 2a SigV gewährleisten 8 , wenn
die geprüfte Signatur auf einem Algorithmus oder Parameter beruht, der als nicht mehr geeignet und
damit als nicht mehr hinreichend zuverlässig eingestuft ist, oder wenn ein qualifizierter Zeitstempel
vorliegt.
8
Schreiben der Bundesnetzagentur „Hinweis im Zusammenhang mit der Prüfung von qualifizierten
elektronischen Signaturen, die auf ungeeigneten Algorithmen beruhen, und von qualifizierten Zeitstempeln“
vom 06.03.2009
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 9 von 16
Herstellererklärung für „Governikus Verification Service, Version 1.0.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 709
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-08-01
Seitens der Bundesnetzagentur wurden die Anforderungen an Signaturanwendungskomponenten weiter
präzisiert, die das Produkt „Governikus Verification Service, Version 1.0.0.0“ aktuell wie folgt erfüllt:
Anforderung Erfüllung und Verhalten der Software
„Governikus Verification Service, Version
1.0.0.0“
a) Abgelaufene Algorithmen: Bei der Prüfung einer Signatur prüft das
Produkt „Governikus Verification Service,
Die Prüfung einer Signatur durch eine Signaturan- Version 1.0.0.0“, ob die verwendeten krypto-
wendungskomponente (SAK) für qualifizierte grafischen Algorithmen – sowohl zum Zeitpunkt
elektronische Signaturen i. S. v. § 2 Nr. 11b SigG der Prüfung (Prüfzeitpunkt) als auch zum
muss bei abgelaufenen Algorithmen für den Nutzer Signierzeitpunkt – als geeignet anzusehen sind.
deutlich anzeigen, dass die geprüfte Signatur mit Bzgl. der Eignung kryptografischer Algorithmen
einem Algorithmus erzeugt wurde, der nicht mehr werden die Angaben des offiziellen
dem Stand der Wissenschaft und Technik entspricht, Algorithmenkatalogs der Bundesnetzagentur
und sie somit einen verminderten Beweiswert hin- genutzt. 9
sichtlich der Authentizität und Integrität des verbun-
denen Dokuments gegenüber dem Signaturzeitpunkt Das Prüfprotokoll, in dem die Ergebnisse der
besitzt. Weiter sollte der Zeitpunkt, zu dem der Algo- Prüfung zusammenfassend dem Benutzer
rithmus seine Eignung verloren hat, zutreffend ange- dargestellt werden, hebt Signaturen, deren
zeigt werden. zugehörige kryptografische Algorithmen zum
Prüf- oder zum Signierzeitpunkt als nicht mehr
Unspezifische Aussagen zu abgelaufene Algorithmen geeignet anzusehen sind, entsprechend farb-
sind nicht zulässig. lich hervor und weist den Benutzer darauf hin,
dass ein verwendeter Algorithmus zum Zeit-
punkt der Prüfung oder zum Signierzeitpunkt
gemäß Algorithmenkatalog nicht mehr für eine
qualifizierte elektronische Signatur geeignet ist
oder war. 10 Außerdem zeigt das Prüfprotokoll
an, bis zu welchem Zeitpunkt die verwendeten
Algorithmen gemäß Algorithmenkatalog als
geeignet anzusehen sind, bzw. es waren.
b) Nicht implementierte Algorithmen: Sofern die Software "Governikus Verification
Service, Version 1.0.0.0" eine Prüfung einer
Ist bei der Prüfung einer Signatur ein Algorithmus zu Signatur nicht (vollständig) durchführen kann,
verwenden, der in der Verifikationskomponente der weil ein benötigter kryptografischer Algorithmus
SAK nicht implementiert ist, so muss dies dem Nutzer nicht implementiert ist, wird dies dem Benutzer
zutreffend angezeigt werden. entsprechend angezeigt: Das Prüfprotokoll, in
dem die Ergebnisse der Prüfung zusammen-
Unspezifische Aussagen zu nicht implementierten
fassend dem Benutzer dargestellt werden, hebt
Algorithmen sind nicht zulässig.
Signaturen, deren zugehörige kryptografische
9
Detaillierte Erläuterungen finden sich im Informationspapier zur Umsetzung des bos-Prüfprotokolls gemäß
FAQ 28 der BNetzA. (Vgl. Ausgegliederte Zusatzdokumentation).
10
Informationen zur graduellen und sukzessiven Einbuße des Beweiswertes der Signatur sind dem
beiliegenden Dokument „bos-Prüfprotokoll mit Zertifikatsanzeige“ zu entnehmen.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 10 von 16
Herstellererklärung für „Governikus Verification Service, Version 1.0.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
710 – Mitteilungen, Qualifizierte elektronische Signatur, 4 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-08-01
Anforderung Erfüllung und Verhalten der Software
„Governikus Verification Service, Version
1.0.0.0“
Algorithmen nicht implementiert sind, ent-
sprechend hervor und weist den Benutzer
darauf hin, dass die Signatur nicht geprüft
werden konnte, da ein Algorithmus nicht
implementiert ist.9
c) Qualifizierte Zeitstempel: Das Produkt „Governikus Verification Service,
Version 1.0.0.0“ bietet die Möglichkeit, Zeit-
Tragen Daten einer qualifizierten Signatur, bei deren stempel, die mit dem Produkt Governikus
Verifikation zu erkennen ist, dass der Signatur- Signer Professional Edition angebracht wurden,
prüfschlüssel zu einem Zeitstempel-Zertifikat gehört, zu prüfen.
so ist dies dem Nutzer zutreffend anzuzeigen. Der
Zeitpunkt, der im qualifizierten Zeitstempel enthalten Das Prüfprotokoll zeigt den Inhalt des Zeit-
ist, ist dem Nutzer ebenfalls darzulegen. stempel-Zertifikats, den Zeitstempel-Zeitpunkt
sowie das Ergebnis der Verifikation des Zeit-
Solange kein standardisiertes Verfahren für die Ein- stempels inkl. des Ergebnisses der Validierung
bindung von qualifizierten Zeitstempeln existiert, ist des Zeitstempel-Zertifikats.
es ausreichend, wenn das Produkt seine selbst inte-
grierten qualifizierten Zeitstempel auswerten kann.
Qualifizierte Zeitstempel, die aus Fremdprodukten
und damit in einer evt. proprietären Datenstruktur
vorliegen, müssen nicht zwingend durch das Produkt
ausgewertet werden.
Unspezifische Aussagen zu qualifizierten Zeitstem-
peln sind nicht zulässig.
Tabelle 7: Umsetzung der Anforderungen zu schwach werdenden Algorithmen und qualifizierten
Zeitstempeln
5 Maßnahmen in der Einsatzumgebung
5.1 Server
5.1.1 Einrichtung der IT-Komponenten
Für den Betrieb der Software „Governikus Verification Service, Version 1.0.0.0“ wird eine
Einsatzumgebung mit Application-Server und Datenbank (DBMS) vorausgesetzt.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 11 von 16
Herstellererklärung für „Governikus Verification Service, Version 1.0.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 711
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-08-01
Folgende Einsatzumgebungen werden unterstützt:
Application-Server DBMS Betriebssystem
JBoss 4.2.X ab Version 4.2.2 MySQL 5 SUSE Linux Enterprise Server 10
auf x86
JBoss Enterprise Application
Platform 4.2 Windows 2003 Server
Apache Tomcat 5.x ab 5.5
SUN JDK 1.6.0_X ab Version
1.6.0_10, empfohlen 1.6.0_13
Tabelle 8: Unterstützte Datenbank- und Web-Server-Kombinationen
Zusätzlich wird benötigt:
Produkt „Governikus“ (gemäß Tabelle 3) mit Komponente OCSP/CRL-Relay (evtl. via
Verifikationsserver): Für die Verifikation (Online-Prüfung) im Sinne von SigG (vgl. Tabelle 4)und
SigV (vgl. Tabelle 5) ist ein Zugriff auf das OCSP/CRL-Relay zwingend erforderlich.
Das Produkt „Governikus Verification Service, Version 1.0.0.0“ darf ausschließlich innerhalb der oben
beschriebenen Hard- und Softwareumgebung eingesetzt werden.
5.1.2 Anbindung an ein Netzwerk
Für den Betrieb des Produktes „Governikus Verification Service, Version 1.0.0.0“ ist ein Netzwerk
notwendig.
Netzwerkverbindungen müssen so abgesichert sein, dass Angriffe erkannt bzw. unterbunden werden –
z. B. durch eine geeignet konfigurierte Firewall und durch die Verwendung geeigneter Anti-Viren-
Programme.
Das Produkt „Governikus Verification Service, Version 1.0.0.0“ darf nur innerhalb eines Intranets zur
Verfügung gestellt werden. Die Verbindung zwischen dem Client (PC des Benutzers) und dem Server ist
über das Protokoll HTTPS zu realisieren. Der Verbindungsaufbau ist durch gegenseitige Authentisierung
über zuvor ausgetauschte Zertifikate zu schützen.
Die Netzwerkverbindung zwischen dem Server und dem OCSP/CRL-Relay ist über das Protokoll
HTTPS zu realisieren.
Die in diesem Abschnitt gemachten Auflagen müssen eingehalten werden.
5.1.3 Auslieferung und Installation
Die Auslieferung erfolgt online per Download von einem Webserver.
Über die ausgelieferte Software „Governikus Verification Service, Version 1.0.0.0“ wird durch den
Hersteller bei Erstellung der Software ein Hashwert erstellt und mit der Software veröffentlicht, um
Schutz vor unerkannten nachträglichen Manipulationen und Veränderungen zu bieten. Der Administrator
sollte sich vor der Installation der Software „Governikus Verification Service, Version 1.0.0.0“ durch
einen Hashwertvergleich die Integrität der vorliegenden Software prüfen.
Die Installation der Software „Governikus Verification Service, Version 1.0.0.0“ muss durch einen
Administrator durchgeführt werden. Das Administratorhandbuch beschreibt die notwendigen Schritte.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 12 von 16
Herstellererklärung für „Governikus Verification Service, Version 1.0.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
712 – Mitteilungen, Qualifizierte elektronische Signatur, 4 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-08-01
5.1.4 Auflagen für den Betrieb des Produktes
Die Software „Governikus Verification Service, Version 1.0.0.0“ wird in einem „geschützten Einsatzbe-
reich (Regelfall/ Standardlösung)“ (vgl. das Dokument der Bundesnetzagentur, „Einheitliche Spezifi-
zierung der Einsatzkomponenten für Signaturanwendungskomponenten – Arbeitsgrundlage für Entwick-
ler/Hersteller und Prüf-/Bestätigungsstellen“, Version 1.4, 19.07.2005) betrieben.
Während des Betriebs sind die folgenden Bedingungen für den sachgemäßen Einsatz zu beachten:
Auflagen zur Sicherheit der IT-Plattform und Applikationen
Es muss gewährleistet sein, dass von der Hardware, auf der die Software „Governikus Verification
Service, Version 1.0.0.0“ betrieben wird, keine Angriffe ausgehen. Insbesondere ist sicherzustellen,
dass
die auf den eingesetzten Computern installierte Software nicht böswillig manipuliert oder
verändert werden kann,
auf den Computern keine Viren oder trojanischen Pferde eingespielt werden können,
die Hardware der Computer nicht unzulässig verändert werden kann.
Auflagen zum Schutz vor manuellem Zugriff Unbefugter
Der eingesetzte Server muss gegen einen manuellen Zugriff Unbefugter geschützt werden – insbeson-
dere, um Manipulation von Dateien auf Dateisystemebene, die die Software zur Darstellung der
Nachrichten benötigt, zu unterbinden. Dies kann z. B. durch Aufstellung in einem abschließbaren Raum
geschehen.
Für das Passwort sind folgende Auflagen einzuhalten:
Es dürfen keine Trivialpasswörter (z. B. "BBBBBBBB" oder "12345678") verwendet werden.
Das Passwort enthält mindestens ein Zeichen, das kein Buchstabe ist (Sonderzeichen oder
Zahl).
Das Passwort muss mindestens 8 Zeichen lang sein.
Auflagen zum Schutz vor Angriffen über Datenaustausch per Datenträger
Bei Einspielen von Daten über Datenträger muss – z. B. durch die Verwendung geeigneter Anti-Viren-
Programme – sichergestellt werden, dass keine Viren oder trojanischen Pferde eingespielt werden
können.
Auflagen zur Sicherheitsadministration des Betriebs
Es sind folgende Auflagen einzuhalten:
Der eingesetzte Server ist gegen einen unberechtigten Zugriff zu sichern.
Für die unterschiedlichen Mandanten sind jeweils eigene Verzeichnisse als Speicherorte
einzutragen. Diese Verzeichnisse sind gegen unberechtigten Zugriff zu schützen.
Die Administrationsanwendung ist gegen den Zugriff Unbefugter zu schützen (z. B. nur lokalen
Zugriff erlauben).
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 13 von 16
Herstellererklärung für „Governikus Verification Service, Version 1.0.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 713
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-08-01
Die Konfiguration der Software erfolgt über ein 4-Augen-Prinzip unter Aufsicht des IT-
Sicherheits- oder Datenschutzbeauftragten, welcher jede Konfiguration explizit autorisieren
muss, was dokumentiert wird. Der IT-Sicherheits- oder Datenschutzbeauftragte führt
regelmäßige Prüfungen der Konfiguration durch.
Auflagen zum Schutz vor Fehlern bei Betrieb/Nutzung
Folgende Auflagen sind für den sachgemäßen Einsatz der Software „Governikus Verification Service,
Version 1.0.0.0“ zu beachten:
Eine Signaturgesetz-konforme Nachprüfung qualifizierter Zertifikate kann nur erfolgen, soweit
dafür die technischen Voraussetzungen – insbesondere durch die Verbindung zum OCSP/CRL-
Relay – gegeben sind.
Auflagen für Wartung/Reparatur
Eine Pflege und Wartung der Software „Governikus Verification Service, Version 1.0.0.0“ ist nicht vor-
gesehen. Ggf. erfolgt eine Aktualisierung durch den Administrator über einen Download einer neuen
Version von einem Webserver.
5.2 Benutzer-PC
5.2.1 Einrichtung der IT-Komponenten
Folgende Kombinationen von Betriebssystemen und Browsern wird unterstützt:
Betriebssystem Browser
Windows XP Internet-Explorer ab Version 7
Mozilla Firefox ab Version 2.0
Windows Vista Internet-Explorer ab Version 7
Mozilla Firefox ab Version 2.0
SuSE Linux 11.1 Mozilla Firefox ab Version 2.0
Tabelle 9: Unterstützte Kombinationen von Betriebssystemen und Browsern
5.2.2 Anbindung an ein Netzwerk
Für die Nutzung des Produktes „Governikus Verification Service, Version 1.0.0.0“ ist ein Netzwerk
notwendig.
Bei Anbindung des Benutzer-PCs an ein Netzwerk müssen die folgenden Maßnahmen zum Schutz
beachtet werden: Netzwerkverbindungen müssen so abgesichert sein, dass Angriffe erkannt bzw.
unterbunden werden – z. B. durch eine geeignet konfigurierte Firewall und durch die Verwendung
geeigneter Anti-Viren-Programme.
Die Nutzung des Produktes „Governikus Verification Service, Version 1.0.0.0“ ist nur innerhalb eines
Intranets erlaubt, d. h., der Benutzer-PC muss innerhalb desselben Intranets wie der Server mit der
Anwendung „Governikus Verification Service, Version 1.0.0.0“ betrieben werden. Die Verbindung
zwischen dem Client (PC des Benutzers) und dem ist Server das Protokoll HTTPS zu realisieren. Der
Verbindungsaufbau ist durch gegenseitige Authentisierung über zuvor ausgetauschte Zertifikate zu
schützen.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 14 von 16
Herstellererklärung für „Governikus Verification Service, Version 1.0.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
714 – Mitteilungen, Qualifizierte elektronische Signatur, 4 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-08-01
5.2.3 Auslieferung und Installation
keine, da Nutzung über Browser erfolgt
5.2.4 Auflagen für den Betrieb des Produktes
Die Software „Governikus Verification Service, Version 1.0.0.0“ wird in einem „geschützten Einsatzbe-
reich (Regelfall/ Standardlösung)“ (vgl. das Dokument der Bundesnetzagentur, „Einheitliche Spezifi-
zierung der Einsatzkomponenten für Signaturanwendungskomponenten – Arbeitsgrundlage für Entwick-
ler/Hersteller und Prüf-/Bestätigungsstellen“, Version 1.4, 19.07.2005) genutzt.
Während der Nutzung sind die folgenden Bedingungen für den sachgemäßen Einsatz zu beachten:
Auflagen zur Sicherheit der IT-Plattform und Applikationen
Es muss gewährleistet sein, dass von der Hardware, auf der die Software „Governikus Verification
Service, Version 1.0.0.0“ genutzt wird, keine Angriffe ausgehen. Insbesondere ist sicherzustellen, dass
die auf den eingesetzten Computern installierte Software nicht böswillig manipuliert oder
verändert werden kann,
auf den Computern keine Viren oder trojanische Pferde eingespielt werden können,
die Hardware der Computer nicht unzulässig verändert werden kann.
Auflagen zum Schutz vor Angriffen über Datenaustausch per Datenträger
Bei Einspielen von Daten über Datenträger muss – z. B. durch die Verwendung geeigneter Anti-Viren-
Programme – sichergestellt werden, dass keine Viren oder trojanische Pferde eingespielt werden
können.
Datenschutz-rechtlicher Hinweis
Die zu prüfenden Dateien werden auf einen Web-Server hochgeladen und verlassen damit den
Benutzer-PC. Der Benutzer muss vor einer Nutzung sicherstellen, dass diese Datenübermittlung
datenschutz-rechtlich sowie aus Gründen einer eventuell zu beachtenden Vertraulichkeit zulässig ist.
Auflagen zur Nutzung des Produktes „Governikus Verification Service, Version 1.0.0.0“
Die Anwendung „Governikus Verification Service, Version 1.0.0.0“ wird als Dienst durch einen
Dienstanbieter bereitgestellt. Der Benutzer muss sich vor einer Nutzung über die Vertrauenswürdigkeit
des Dienstanbieters und die Einhaltung der Auflagen an die Einsatzumgebung des Servers informieren
bzw. entsprechende Vereinbarungen mit dem Dienstanbieter treffen.
6 Algorithmen und zugehörige Parameter
Zur Prüfung qualifizierter elektronischer Signaturen werden vom Produkt „Governikus Verification
Service, Version 1.0.0.0“ verschiedene Algorithmen bereitgestellt. 11 Die jeweils verwendeten
Algorithmen werden mit einer Bewertung ihrer Eignung zum Zeitpunkt der Signaturerstellung sowie zum
Prüfzeitpunkt im Prüfprotokoll dargestellt.
11
Hinweis: Das Produkt unterstützt ferner die Hashfunktion SHA-1, die allerdings zum 30.6.2008
ausgelaufen ist, so dass aufgrund der abgelaufenen oder gesperrten Zertifikate keine qualifizierten
elektronischen Signaturen mehr erzeugt werden können.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 15 von 16
Herstellererklärung für „Governikus Verification Service, Version 1.0.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 715
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-08-01
Die gemäß Anlage I Abs. 1 Nr. 2 SigV festgelegte Eignung für die verwendeten kryptografischen
Algorithmen sind gemäß den Angaben der Bundesnetzagentur (vgl. „Bekanntmachung zur
elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)“ der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und
Eisenbahn vom 17. November 2008, veröffentlicht am 27. Januar 2009 im Bundesanzeiger Nr. 13, S.
343) wie folgt als geeignete eingestuft:
RIPEMD-160: gültig bis 31.12.2010
SHA-2 Familie (SHA-224, SHA-256, SHA-384, SHA-512): gültig bis 31.12.2015
RSA 12 mit Schlüssellänge 2048 Bit: gültig bis 31.12.2015.
7 Gültigkeit der Herstellererklärung
Diese Erklärung ist bis zu ihrem Widerruf, längstens jedoch bis zum 31.12.2010 gültig. Die Gültigkeit der
Herstellererklärung kann sich verkürzen, wenn z. B. neue Feststellungen hinsichtlich der Sicherheit des
Produktes oder der Eignung der Algorithmen im Bundesanzeiger veröffentlicht werden.
Der aktuelle Status der Gültigkeit der Erklärung ist bei der zuständigen Behörde (Bundesnetzagentur,
Referat Qualifizierte Elektronische Signatur – Technischer Betrieb) zu erfragen.
8 Zusatzdokumentation
Folgende Bestandteile der Herstellererklärung wurden aus dem Veröffentlichungstext ausgegliedert und
bei der zuständigen Behörde hinterlegt:
„Unterlagen zur Herstellererklärung gemäß § 17 Abs. 4 SigG für die Software ‚Governikus
Verification Service, Version 1.0.0.0’ – Sicherheitstechnische Produktbeschreibung und
Spezifikation“, 10.12.2009, 59 Seiten.
„Unterlagen zur Herstellererklärung gemäß § 17 Abs. 4 SigG für die Software ‚Governikus
Verification Service, Version 1.0.0.0’ – Testdokumentation“, 10.12.2009, 13 Seiten.
„Governikus Verification Service – Administratorhandbuch“, Dokumenten-Version 1.0_0, 14
Seiten.
„bos-Prüfprotokoll“, (Verification Interpreter Version 2.2.0), 30.11.2009, 51 Seiten.
„Governikus Verification Service – Testhandbuch“, Version 1.0, 28 Seiten.
Testhandbuch „Testhandbuch Verification Interpreter“, Release VI_2_2_0_CI_1_8_4,
30.11.2009, 29 Seiten.
Die Dokumente wurden von der bremen online services Entwicklungs- und Betriebsgesellschaft mbH &
Co. KG erstellt.
Ende der Herstellererklärung
12
Die Schlüssellänge richtet sich nach den zu verifizierenden Signaturen; das Produkt „Governikus
Verification Service, Version 1.0.0.0“ unterstützt die gängigen Schlüssellängen von 2048 Bit.
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 16 von 16
Herstellererklärung für „Governikus Verification Service, Version 1.0.0.0“
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
716 – Mitteilungen, Qualifizierte elektronische Signatur, 4 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Mitteilung Nr. 171/2010
Veröffentlichung von Herstellererklärungen für Produkte für
qualifizierte elektronische Signaturen nach § 17 Abs. 4 SigG,
die bei der Bundesnetzagentur hinterlegt wurden,
hier: bremen online services Entwicklungs- und Betriebs
gesellschaft mbH & Co. KG,
Governikus Signer, Version 2.2.0.0
Veröffentlichungshinweis
Die Bundesnetzagentur ist aufgrund des § 17 Abs. 4 des
Signaturgesetzes (SigG) vom 16. Mai 2001 (BGBl. I S. 876),
zuletzt geändert durch Artikel 4 des Gesetzes vom vom 17. Juli
2009 (BGBl. I S. 2091), verpflichtet, Erklärungen durch Herstel-
ler von Produkten für qualifizierte elektronische Signaturen
(Herstellererklärungen) im Amtsblatt der Bundesnetzagentur
zu veröffentlichen. Das Amtsblatt dient insoweit nur als Veröf-
fentlichungsmedium. Der Veröffentlichung ist weder eine ma-
terielle Prüfung der Herstellererklärungen noch eine Prüfung
der in ihnen bezuggenommenen Produkte durch die Bundes-
netzagentur vorausgegangen. Für den Inhalt der Herstellerer-
klärungen und für die Produkte sind allein die Hersteller ver-
antwortlich.
Hersteller:
bremen online services Entwicklungs- und Betriebsgesellschaft
mbH & Co. KG
Am Fallturm 9
28359 Bremen
Produkt:
Governikus Signer, Version 2.2.0.0
Bezeichnung der Herstellererklärung:
Herstellererklärung Governikus Signer, Version 2.2.0.0, Stand: 14.
Dezember 2009
Als weitere Unterlagen wurden eingereicht:
1. Sicherheitstechnische Produktbeschreibung und Spezifi-
kation, Stand: 14.12.2009, 94 Seiten
2. Testdokumentation, Stand: 14.12.2009, 24 Seiten
3. „Governikus Signer - Benutzerhandbuch“, Dokument-
Version 2.2_0, Stand: 2009, 89 Seiten
4. Anwenderdokumentation „Governikus Signer Integrated
Edition - Entwicklerhandbuch“, Dokumentenversion
2.2_0, Stand: 2009, 35 Seiten
5. Anwenderdokumentation „Governikus Signer Integrated
Edition - Administratorhandbuch“, Dokumentenversion
2.2_0, Stand: 2009, 8 Seiten
6. „Governikus Signer – Testhandbuch“, Version 2.6, Stand:
20.10.2009, 70 Seiten
7. „Governikus Signer Integration Edition - Testhandbuch“,
Version 1.2, Stand: 27.01.2009, 23 Seiten
8. Beschreibung bos-Prüfprotokoll, Stand: 30.11.2009,
51 Seiten
Es folgt der Text der Herstellererklärung:
Bonn, 3. März 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 717
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung bos-2009-04-02
Herstellererklärung
Der Hersteller
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG
Am Fallturm 9
28359 Bremen
erklärt hiermit gemäß § 17 Abs. 4 Satz 2 SigG 1
in Verbindung mit § 15 Abs. 5 SigV 2 ,
dass sein Produkt
Governikus Signer, Version 2.2.0.0
die nachstehend genannten Anforderungen des Signaturgesetzes1 bzw. der Signaturverordnung2 in Teilen
erfüllt.
Bremen, den 14.12.2009 gez. Dr. Stephan Klein
Geschäftsführung
Diese Herstellererklärung mit der Dokumentennummer bos-2009-04-02 besteht aus 33 Seiten.
1
Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz – SigG) vom 16. Mai 2001
(BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. I S. 179)
2
Verordnung zur elektronischen Signatur (Signaturverordnung – SigV) vom 16. November 2001 (BGBl. I S.
3074), zuletzt geändert durch Artikel 9 Abs. 18 des Gesetzes vom 23. November 2007 (BGBl. I S. 2631)
bremen online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG Seite 1 von 33
Herstellererklärung für „Governikus Signer, Version 2.2.0.0“
Bonn, 3. März 2010
