abl-14
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
2592 – Mitteilungen, Qualifizierte elektronische Signatur, 14 2010
Teil A, Mitteilungen der Bundesnetzagentur –
2 Herstellererklärung
Zur Erstellung qualifizierter elektronischer Signaturen werden zusätzlich zu dem in Tabelle 1 genannten
Lieferumfang die im Folgenden näher bezeichneten sicheren Signaturerstellungseinheiten,
Signaturanwendungskomponenten und Hauptkomponenten benötigt:
eine durch die Bundesnetzagentur sicherheitsbestätigte Signaturkarte/Signaturerstellungseinheit
(bspw.: Signaturerstellungseinheit STARCOS 3.4 Health QES C1 / Registrierungsnummer:
BSI.02120.TE.05.2009)
eine durch die Bundesnetzagentur sicherheitsbestätigte Signaturanwendungskomponente in Form
eines sogenannten Anwenderprogrammes (bspw.: Signaturanwenderkomponente SecSigner®
Version 2.0.0 / Registrierungsnummer: BSI.02024.TE.03.2002)
eine sogenannte Hauptkomponente im Folgenden auch als Primärsystem oder Hostsystem
bezeichnet, auf welchem die sicherheitsbestätigte Signaturanwendungskomponente als
Anwenderprogramm läuft, und an welches das Chipkartenterminal eHealth GT900 BCS physikalisch
(z.B. über USB-Kabel) angeschlossen ist (bspw.: Personal Computer mit Betriebssystem Windows
XP SP 3). Die Hauptkomponente muss die standardisierte CT-API / MKT Schnittstelle unterstützen.
Eine Auflistung von sicherheitsbestätigten Signaturkarten findet sich auf der Internetpräsenz der
Bundesnetzagentur unter:
http://www.bundesnetzagentur.de/cln_1932/DE/Sachgebiete/QES/Produkte/Bestaetigungen/SicherSignaturEr
stellEinheit_Basepage.html
Eine Auflistung von sicherheitsbestätigten Signaturanwendungskomponenten (Anwenderprogramme) findet
sich auf der Internetpräsenz der Bundesnetzagentur unter:
http://www.bundesnetzagentur.de/cln_1932/DE/Sachgebiete/QES/Produkte/Bestaetigungen/Signaturanwendu
ngskomponente_Basepage.html
Kapitel: Lieferumfang und Versionsinformationen
Bonn, 28. Juli 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
14 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 2593
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung 3
3 Funktionsbeschreibung
Der Chipkartenleser eHealth GT900 BCS ist ein Chipkartenlesegerät mit einer updatefähigen Firmware,
welches Prozessorchipkarten nach ISO/IEC 7816 über eine Applikationsschnittstelle (CT-API) verarbeiten
kann. Es ist konform zu den von der gematik GmbH herausgegebenen Richtlinien zum Aufbau einer
Telematik -Infrastruktur für das Gesundheitswesen und unterliegt den darin beschriebenen Spezifikationen für
eHealth-Kartenterminals [1] als dezentrale Komponente. Der EVG ist jedoch aufgrund der
Applikationsschnittstelle und des unterstützten BCS-Kommando-Sets in vielen Marktsegmenten einsetzbar. In
diesem Zusammenhang ist das Gerät technisch derart ausgelegt, dass ein angeschlossenes Primärsystem
mittels einer im Chipkartenterminal gesteckten Signaturkarte (bspw. einem HBA) und einer auf dem
Primärsystem installierten Signaturanwendungskomponente eine qualifizierte elektronische Signatur erzeugen
kann.
Im Einsatzbereich des eHealth-Kartenterminals im Rahmen der Telematik-Infrastruktur des Deutschen
Gesundheitswesens verfügt das Gerät über USB-Schnittstellen vom Typ A und Typ B, über eine RS232/V.24-
Schnittstelle, eine Ethernet-LAN-Schnittstelle, zwei SIM-Slots für die SMC-B 4 und die SM-KT (ID-001) sowie
über einen Kartensteckplatz für die Patientenkarte (KVK und eGK) und einen Kartensteckplatz für den
Heilberufsausweis (HBA / ID000). Es werden alle gängigen Krankenversichertenkarten nach den technischen
Spezifikationen [2] sowie alle elektronischen Gesundheitskarten (eGK) nach den Spezifikationen [3], [4], [5]
unterstützt. Zudem unterstützt das Gerät an den zur Verfügung gestellten Schnittstellen den in [6] (Abschnitt
5.5.6) definierten Basis Command Set (BCS) für die geplante Einführung der eGK.
Das migrationsfähige Chipkartenterminal unterstützt gängige Betriebssysteme welche die standardisierte CT-
API / MKT Schnittstelle unterstützen (z.B. Microsoft Windows ab Win98). Das Chipkartenterminal kann mit
allen Host-Systemen betrieben werden, welche eine serielle RS232/V.24 und/oder eine USB-Schnittstelle zur
Verfügung stellen. Die RS232/V.24-Schnittstelle ist steckerkompatibel zum B1 Standard [7] der Deutschen
Telekom AG.
Das zu evaluierende Chipkartenterminal GT900 ist konform zu der vom Bundesministerium für Sicherheit
und Informationstechnik (BSI) herausgegebenen Technischen Richtlinie [9] sowie dem zugehörigen Anhang
[10].
Das zu evaluierende Chipkartenterminal bietet zusammenfassend folgende Hauptfunktionen:
Zugang zu einem Chipkartenslot jeweils für den HBA und die eGK (ID-000),
zwei SIM-Slots für die SMC-B und die SM-KT (ID-001),
sichere PIN-Eingabe,
Benutzerauthentifizierung und
die Durchführung eines Fimwareupdates.
Erstellen qualifizierter elektronischer Signaturen
3.1 EVG-Beschreibung
Das migrationsfähige Kartenlesegerät eHealth GT900 BCS mit RS232/V.24- sowie USB-Schnittstelle (im
folgenden EVG genannt) stellt ein Kartenlesegerät dar, welches Patientenkarten (KVK/eGK) und
Heilberufsausweise (HBA) nach den Spezifikationen [2], [3], [4] und [5] in zwei dafür vorgesehenen
Kapitel: Funktionsbeschreibung
4
Die Institutionsidentität ist eine durch eine SMC-B repräsentierte Identität der Institution des Leistungserbringers
bzw. einer Organisationseinheit in einer solchen Institution. Beispiele für solche Organisationseinheiten sind einzelne
Arztpraxen innerhalb einer Praxisgemeinschaft. Die Institutionskarte entspricht technisch weitgehend der Health Professional Card
(HBA), ist jedoch institutionsbezogen und wird lediglich bei Systemstart mit einer PIN freigeschaltet. In diesem Fall wird sie auch als
Security Module Card (SMC) bezeichnet. Die Institutionskarte funktioniert nur in Verbindung mit einem HBA.
Bonn, 28. Juli 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
2594 – Mitteilungen, Qualifizierte elektronische Signatur, 14 2010
Teil A, Mitteilungen der Bundesnetzagentur –
4 Herstellererklärung
Chipkartenslots verarbeiten kann. Das Gerät arbeitet mit allen in diesen Spezifikationen geforderten
Datenübertragungsprotokollen. Das Chipkartenlesegerät unterstützt die anwendungsbezogene
Interoperabilität, die durch die Spezifikation [11] definiert wurde.
Eine durch einen Benutzer eingegebene PIN verlässt den Chipkartenleser nie in Richtung Host. Der EVG
kann an allen Hostsystemen (Hosts) verwendet werden, die eine serielle RS232/V.24- bzw. eine USB-
Schnittstelle besitzen. Als Hostsysteme werden auch solche Systeme angesehen, die nach [1] und [11] als
Primärsysteme bezeichnet werden. Das Chipkartenterminal wird im Release 0 als Zubehör im PC-Umfeld
eingesetzt. Auf der Hostseite werden vom Kartenlesegerät die Applikationsschnittstellen CT-API [12] zur
Verfügung gestellt, die für alle o.g. Chipkartenarten genutzt werden können. Alle Funktionalitäten an den
Schnittstellen werden für CT-API gemäß [12] abgebildet. Der EVG besitzt keine Funktionalität - außer der
Updatefunktion im Administrator-Modus, die ohne Anschluss an einen Host arbeitet. Er muss generell an
einem Host betrieben werden. Der EVG endet an der seriellen RS232/V.24- bzw. USB-Schnittstelle zum Host-
Rechner. Der EVG ist in dieser Release-Phase für einen Einsatz im deutschen Gesundheitswesen konzipiert
und dabei bereits insbesondere für einen Einsatz als eHealth Terminal nach [1]. Der Funktionsumfang für die
Release-Phase 0 wird durch die Spezifikation [11] gegeben und erfüllt. Um den Betrieb des EVG zu
unterstützen, werden in Release-Phase 0 folgende Hard- bzw. Software benötigt.
Netzteil (5V 1300mA) – im Lieferumfang enthalten
Treiber zur Installation auf dem Hostsystem – im Lieferumfang enthalten
Software auf dem Hostsystem zur spezifikationsgemäßen Kommunikation mit dem Chipkartenterminal
Anschlusskabel zum Anschluss des Chipkartenterminals an das Hostsystem (USB oder RS232) – im
Lieferumfang enthalten
Das Gerät verfügt über eine sichtgeschützte Folientastatur. Diese besitzt die numerischen Tasten „0“ bis „9“
sowie die Tasten „Korrektur“ (gelb), „Info“ (blau), „Bestätigung“ (grün) und „Abbruch“ (rot), eine Stern-Taste
(„*“), eine Raute-Taste („#“) und vier Funktionstasten („F1“ bis „F4“). Desweiteren verfügt das Gerät über ein
graphisches LC-Display. Die Stromversorgung erfolgt über einen separaten Anschluss auf der Rückseite des
Gerätes.
Der Chipkartenleser wird durch Standardtreiber diverser Betriebssysteme (z.B. Microsoft Windows ab Win98)
unterstützt, insofern diese die standardisierte CT-API / MKT Schnittstelle unterstützen. Die Treiber sind jedoch
nicht Bestandteil des EVG. Da der Chipkartenleser als Teil der geplanten Telematik-Infrastruktur im
deutschen Gesundheitswesen auch in der Lage ist, Identifikationsdaten (PIN) zu erfassen und an sichere
Signaturerstellungseinheiten (Signatur-Chipkarten) nach §2 Nummer 10 SigG auf sicherem Weg zu
übermitteln, kann er auch für Applikationen gemäß Signaturgesetz und Signaturverordnung eingesetzt
werden. Das Chipkartenterminal ermöglicht außerdem die Übertragung des Hash - Wertes einer
Signaturanwendung über den Chipkartenleser zur Signaturkarte und die Übertragung der Signatur von der
Karte über den Chipkartenleser zurück zur Signaturanwendung auf den Host. Er stellt somit eine
Teilkomponente für Signaturanwendungskomponenten dar, die eine Sicherheitsbestätigung benötigen, um für
qualifizierte elektronische Signaturen nach §2 Nummer 3 SigG eingesetzt werden zu können. Zur
Verwendung des EVG gemäß SigG/SigV sind sowohl Applikationen (Signaturanwendungen) als auch
Chipkarten, die im SigG-Kontext evaluiert und bestätigt wurden, einzusetzen. Der EVG ist dabei nur in der
Lage, Einzelsignaturen zu erzeugen.
Der EVG erfüllt die speziellen Anforderungen nach §15 Absatz 2 Nr.1a (keine Preisgabe oder Speicherung
der Identifikationsdaten außerhalb der sicheren Signatur-Erstellungseinheit) und Absatz 4 (Erkennbarkeit
sicherheitstechnischer Veränderungen) SigV. Nachfolgende Liste der zur sicheren PIN-Eingabe unterstützten
Instruction-Bytes ist von den Applikationen zu verwenden und von den Chipkarten spezifikationsgemäß zu
unterstützen bzw. bei Nicht-Unterstützung mit einer geeigneten Fehlermeldung abzulehnen:
Kapitel: Funktionsbeschreibung
VERIFY (ISO/IEC 7816-4): INS=0x20
CHANGE REFERENCE DATA (ISO/IEC 7816-8): INS=0x24
ENABLE VERIFICATION REQUIR EMENT (ISO/IEC 7816-8): INS=0x28
DISABLE VERIFICATION REQUIREMENT (ISO/IEC 7816-8): INS=0x26
RESET RETRY COUNTER (ISO/IEC 7816-8): INS=0x2C
Bonn, 28. Juli 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
14 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 2595
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung 5
Die sichere Generierung und Verwaltung des für die Erzeugung eines verschlüsselten HASH-Wertes
notwendigen Schlüssels zum Schutz eines Firmwareupdates werden durch den Hersteller GT German
Telematics GmbH gewährleistet. Wird eine neue, unbestätigte Firmware in den EVG eingespielt, so verliert
die Bestätigung nach Signaturgesetz und der Signaturverordnung ihre Gültigkeit. Eine möglicherweise
eingereichte Herstellererklärung verliert in diesem Fall auch Ihre Gültigkeit. Eine neue Firmware muss einem
neuen Bestätigungs- und Zertifizierungsverfahren unterzogen werden.
Die aktuell bestätigten und zertifizierten Versionen der Firmware und der Hardware des EVG sind auf den
Webseiten der Bundesnetzagentur (BNetzA) unter http://www.bundesnetzagentur.de sowie auf den
Webseiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) unter http://www.bsi.bund.de
sowie bei der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) unter
http://www.gematik.de abrufbar. Es obliegt der Verantwortung des Benutzers, sich hier vor der Installation
einer neuen Firmware davon zu überzeugen, ob eine neu zu installierende Firmware Version nach [1], [11]
bestätigt und gegebenenfalls nach Common Criteria zertifiziert ist. Die entsprechenden Downloads stellt der
Hersteller GT German Telematics GmbH auf seinen Webseiten unter http://www.germantelematics.com
bereit. Den Benutzern wird empfohlen, diese Webseiten regelmäßig zu besuchen, um sich über
Aktualisierungen zu informieren.
Über einen Administrator-Modus kann die aktuell im EVG befindliche Firmware-Version ausgelesen und wenn
nötig, ein Update eingeleitet werden; die Hardware-Version ist auf dem Typenschild des EVG aufgebracht.
Das Gehäuse ist mittels einer fälschungssicheren, durch das BSI zertifizierten Versiegelung verschlossen.
Die Versiegelung zerstört sich bei einer Entfernung und ist damit nur einmal verwendbar. Diese Versiegelung
ist konform zu [9] und [10] und besitzt pro Siegel eine Mindestfläche von 10x20 mm. Zudem ist das Gerät
durch technische Maßnahmen vor Angriffen geschützt, welche auf einen physikalischen Kontakt mit der
Platine des EVG abzielen ohne die Versiegelung des EVG zu beschädigen.
Das Chipkartenterminal unterscheidet verschiedene Benutzerrollen (siehe Abschnitt 3.4) und ist in der Lage
insbesondere einen Administrator über eine PIN-basierte Abfrage zu identifizieren und zu authentifizieren.
Der Kartenleser zeigt verschiedene Betriebsmodi für unterschiedliche Benutzerrollen mittels eines
eingebauten Displays an. Diese sind:
Normal-Modus
In diesem Modus ist das Gerät als Chipkartenleser nach den Vorgaben der gematik GmbH [1] nutzbar.
Administrator-Modus
Dieser Betriebsmodus ist durch die Eingabe einer Administratoren-PIN vor unbefugter Benutzung geschützt.
Diese PIN ist grundsätzlich geheim und nur dem autorisierten Benutzer – einem Administrator – bekannt. In
diesem Modus kann von einem dazu berechtigten Administrator die aktuelle Firmware des EVG angezeigt
und aktualisiert werden. Bei einer Aktualisierung der Firmware wird die neu einzuspielende Firmware durch
das EVG einer Prüfung unterzogen. Eine Aktualisierung findet nur nach Verifikation der Signatur der neuen
Firmware statt. In diesem Modus können zusätzlich alle notwendigen Netzwerkeinstellungen am
Chipkartengerät vorgenommen und verändert werden. Über den Administratormodus werden des Weiteren
alle relevanten Sicherheitsfunktionen des EVG verwaltet.
Kapitel: Funktionsbeschreibung
Bonn, 28. Juli 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
2596 – Mitteilungen, Qualifizierte elektronische Signatur, 14 2010
Teil A, Mitteilungen der Bundesnetzagentur –
6 Herstellererklärung
Tabelle 2 zeigt eine Auflistung aller durch das Chipkartenlesegerät zur Verfügung gestellten Schnittstellen.
Das Chipkartenlesegerät befindet sich gemäß Abschnitt 5.4.5 in einem geschützten Einsatzbereich, folglich
werden die in Tabelle 2 benannten Schnittstellen auch nur in diesem geschützten Einsatzbereich genutzt.
Schnittstelle Beschreibung Absicherung
Zum Anschluss eines Funktionslos im Normal-Modus. Nur autorisierte
Massenspeichergerätes, Benutzer (Administratoren) können die
USB Typ A
um ein Firmware-Update Schnittstelle verwenden um ausschließlich
durchzuführen Firmware-Updates durchzuführen.
Zum Anschluss des EVG Schnittstelle ist für den hier betrachteten EVG mit
Ethernet LAN
an ein Netzwerk der Firmwareversion 1.0.10 funktionslos 5 .
Zum Einlegen von Schnittstelle ist für den hier betrachteten EVG mit
sogenannten der Firmwareversion 1.0.10 funktionslos5.
2 SIM Slots
Sicherheitsmodulkarten
(SMC)
Kartensteckplatz Kontaktiereinheit für eine Kommandoüberprüfung sowie
für eine Chipkarte im Format spezifikationsgemäße Kommunikation
Patientenkarte ID-000
Kartensteckplatz Kontaktiereinheit für eine Kommandoüberprüfung sowie
für einen Chipkarte im Format spezifikationsgemäße Kommunikation
Heilberufsausweis ID-000
RS232 Serielle Schnittstelle zum Es werden ausschließlich BCS-Kommandos
Schnittstelle Host verarbeitet
USB Schnittstelle zum Host Es werden ausschließlich BCS-Kommandos
USB Typ B
verarbeitet
Monochromes Keine Bidirektionale Kommunikation mit dem
Grafikdisplay Benutzer des EVG möglich
LC-Display
Art der Implementierung und Steuerung von
angezeigten Informationen
Applikations- spezifikationsgemäße Kommunikation
schnittstelle
(CT-API)
Tabelle 2: Schnittstellen des EVG
Kapitel: Funktionsbeschreibung
5
Die Bezeichnung „funktionslos“ bezieht sich hier auf die Tatsache, dass die Schnittstelle physikalisch vorhanden, durch die Firmware
des EVG jedoch nicht genutzt wird. Funktionslose Schnittstellen sichern die Migrationsfähigkeit des Chipkartenlesegerätes GT900 BCS
zu einem vollwertigen eHealth-Terminal, so wie es durch die gematik GmbH spezifiziert wurde. Demnach werden diese Schnittstellen
durch ein zukünftiges Firmwareupdate freigeschaltet und dann auch durch die neu eingespielte Firmware genutzt.
Bonn, 28. Juli 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
14 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 2597
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung 7
Der Chipkartenleser demonstriert verschiedene Betriebszustände mittels seines Displays wie folgt:
EVG befindet sich in einem
abgesicherten Betriebszustand
und ermöglicht somit:
Die Sichere Eingabe der PIN
EVG befindet sich in einem
nicht abgesicherten
Betriebszustand
Durch die Anzeige des geschlossenen Schlosssymbols im Display des EVG ist dem Anwender bewusst,
dass sich der EVG nun in einem abgesicherten Betriebszustand befindet und somit eine sichere Eingabe
einer PIN als Bestandteil der Durchführung einer qualifizierten elektronischen Signatur möglich ist.
3.2 Physikalischer Umfang des EVG
Der EVG ist ein freistehendes Kartenterminal und besteht aus:
der Hardware und dem versiegeltem Gehäuse des Chipkartenterminals
eHealth GT900 BCS hergestellt von der GT German Telematics GmbH,
den bereitgestellten Schnittstellen eGK, HBA, SMC-B, SM-KT (ID-000), USB, RS232, Display,
Folientastatur,
der Firmware des Chipkartenterminals in der Version 1.0.10
sowie den Benutzerdokumentationen des Gerätes.
3.3 Logischer Umfang des EVG
Der logische Umfang des EVG wird durch seine Sicherheitsfunktionen repräsentiert:
Zugang zu mehreren Chipkartenslots für Smart Cards,
sichere PIN-Eingabefunktionalität,
Benutzeridentifikation und -authentifizierung,
Durchführung einer sicheren Firmware-Aktualisierung,
Passiver physikalischer Schutz.
Kapitel: Funktionsbeschreibung
Bonn, 28. Juli 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
2598 – Mitteilungen, Qualifizierte elektronische Signatur, 14 2010
Teil A, Mitteilungen der Bundesnetzagentur –
8 Herstellererklärung
3.4 Rollentrennung
Der EVG unterscheidet folgende Rollen (Endanwender):
Benutzer:
Für einen normalen Benutzer des EVG wird keine gesonderte Identifikation oder Autorisierung vorgenommen.
Nach dem Einschalten steht der EVG daher im Normal-Modus für jeden Benutzer zur Verfügung. In diesem
Modus ist das Gerät als Chipkartenleser nutzbar. Benutzer können beispielsweise medizinisches Personal
oder Patienten im Rahmen der Nutzung des Gerätes innerhalb der Telematikinfrastruktur im deutschen
Gesundheitswesen sein.
Administrator:
Ein Benutzer kann sich durch das Drücken der F1-Taste im Normal-Modus als Administrator identifizieren,
indem er aufgefordert wird eine Admin-PIN in das Gerät einzugeben (Autorisierung) und daraufhin in den
Administrator-Modus verzweigt wird. Bei Administratoren handelt es sich um geschultes IT-Personal, das
berechtigt ist Änderungen an den Einstellungen des Chipkartenterminals vorzunehmen.
Alle von diesen Rollen abweichenden Nutzer werden im Folgenden auch als nicht autorisierte Personen
bezeichnet. Nicht autorisierte Personen besitzen ein Angriffspotential gegenüber dem Chipkartenlesegerät.
Kapitel: Funktionsbeschreibung
Bonn, 28. Juli 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
14 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 2599
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung 9
4 Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
Das Chipkartenterminal GT 900 BCS stellt einen Teil der Signatur-Anwendungs-Komponente gemäß §2 SigG
[14] dar:
„Im Sinne dieses Gesetzes sind [...] 11. ‚Signaturanwendungskomponenten’ Software- und
Hardwareprodukte, die dazu bestimmt sind, a) Daten dem Prozess der Erzeugung oder Prüfung
qualifizierter elektronischer Signaturen zuzuführen oder b) [...]“
und entspricht den Anforderungen des §15 SigV [15]:
Abs. 2: „Signaturanwendungskomponenten nach § 17 Abs. 2 des Signaturgesetzes müssen
gewährleisten, dass 1. bei der Erzeugung einer qualifizierten elektronischen Signatur a) die
Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren
Signaturerstellungseinheit gespeichert werden [...]“ Diese Anforderung wird durch folgende
Sicherheitsfunktionen abgedeckt:
SF.CLRMEM
SF.PINCMD
Abs. 2: „Signaturanwendungskomponenten nach § 17 Abs. 2 des Signaturgesetzes müssen
gewährleisten, dass 1. bei der Erzeugung einer qualifizierten elektronischen Signatur b) eine
Signatur nur durch die berechtigt signierende Person erfolgt [...]“ Diese Anforderung wird durch
folgende Sicherheitsmaßnahmen abgedeckt:
Die Authentifizierung gegenüber der sicheren Signaturerstellungseinheit kann nur durch die
PIN(Identifikationsdaten)-Eingabe des Signaturschlüsselinhabers direkt über die Tastatur des
Kartenlesegerätes erfolgen. Eine Eingabe der PIN über bspw. die Computertastatur des Hostsystems
ist nicht möglich.
Eine Weitergabe des PIN an andere Personen als an den Signaturschlüsselinhaber ist nicht zulässig.
Kapitel: Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
Durch die im Folgenden definierten Einsatzbedingungen/ -umgebung haben nur berechtigte
Personen Zugang zu der Teilsignaturanwendungskomponente. Aufgrund dessen können auch nur
berechtigte Personen die Erzeugung von Signaturen veranlassen.
Abs. 2: „Signaturanwendungskomponenten nach § 17 Abs. 2 des Signaturgesetzes müssen
gewährleisten, dass 1. bei der Erzeugung einer qualifizierten elektronischen Signatur c) die
Erzeugung einer Signatur vorher eindeutig angezeigt wird [...]“ Diese Anforderung wird durch
folgende Sicherheitsfunktionen abgedeckt:
SF.PINCMD (durch Steuerung der Anzeige des abgesicherten Betriebszustandes)
Abs. 4: „Sicherheitstechnische Veränderungen an technischen Komponenten nach den Absätzen 1
bis 3 müssen für den Nutzer erkennbar werden.“ Diese Anforderung wird durch folgende
Sicherheitsfunktionen abgedeckt:
SF.SEAL
SF.DRILLSEC
SF.SECDOWN
Das Chipkartenterminal GT 900 BCS erfüllt des Weiteren die Anforderungen des Signaturgesetzes nach § 17
Abs. 2 Satz 1:
„Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten erforderlich, die
die Erzeugung einer qualifizierten elektronischen Signatur vorher eindeutig anzeigen […]“
Bonn, 28. Juli 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
2600 – Mitteilungen, Qualifizierte elektronische Signatur, 14 2010
Teil A, Mitteilungen der Bundesnetzagentur –
10 Herstellererklärung
durch die Tatsache, dass dem Benutzer vor der Eingabe seiner PIN zum Durchführen einer qualifizierten
elektronischen Signatur ein sicherer Betriebszustand des EVG durch ein Schlosssymbol im Display des
Chipkartenlesers angezeigt wird.
Kapitel: Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
Bonn, 28. Juli 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
14 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 2601
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung 11
4.1 Erläuterung der Sicherheitsfunktionen
4.1.1 SF.PINCMD
Die Firmware im Lesegerät prüft die Kommandos an den Chipkartenleser anhand ihrer
Kommandostruktur gemäß CT-BCS [12]. Das Einschalten des sicheren PIN-Eingabemodus wird durch ein
explizites CT-Kommando nach [12] durchgeführt. Dieses CT-Kommando enthält die PIN-Handling-
Vereinbarungen und das Chipkartenkommando, in welches die PIN an die spezifizierte Stelle integriert wird.
Anhand des Instruction-Bytes des Chipkartenkommandos wird überprüft, ob es sich um ein PIN-Kommando
handelt (siehe Tabelle), welches explizit eine PIN-Eingabe erwartet. Im PIN-Eingabemodus wird die Eingabe
der persönlichen Identifikationsdaten im RAM zwischengespeichert, um sie nach erfolgreicher Beendigung
der Eingabe direkt mit dem PIN-Kommando zur Chipkarte zu senden. Die RS232/V.24-, die USB- und die
LAN-Schnittstellenanbindung des EVG unterscheiden sich lediglich im Protokoll-Anbindungs-Modul an den
Host, so dass bei allendrei Host-Interface-Varianten ein identischer Datenstrom durch die Sicherheitsfunktion
bearbeitet wird, wodurch nur zugelassene Kommandos an die Chipkarte weitergeleitet werden. Das LC-
Display des Chipkartenterminals zeigt den Modus der „Sicheren PIN-Eingabe“ durch ein Schlosssymbol an,
indem sichergestellt ist, dass die PIN den EVG nicht verlässt. Ein offenes Schlosssymbol bedeutet „keine
sichere PIN-Eingabe“, ein geschlossenes Schlosssymbol bedeutet „sichere PIN-Eingabe“. Die PIN selbst wird
am Display nicht angezeigt Die PIN wird vom Benutzer über die Tastatur eingegeben und an die Chipkarte
exportiert. Dem Benutzer wird dabei im LC-Display angezeigt, an welche Chipkarte die PIN exportiert wird.
INS- Byte: Bezeichnung: Bedeutung: Norm:
20h VERIFY PIN-Eingabe ISO/IEC 7816-4
24h CHANGE REFERENCE PIN ändern ISO/IEC 7816-8
DATA
26h DISABLE PIN aktivieren ISO/IEC 7816-8
VERIFICATION
REQUIREMENT
28h ENABLE PIN deaktivieren ISO/IEC 7816-8
Kapitel: Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
VERIFICATION
REQUIREMENT
2A PERFORM SECURITY ISO/IEC 7816-8
OPERATION
2Ch RESET RETRY PIN entsperren ISO/IEC 7816-8
COUNTER
Das Vorhandensein einer Chipkarte im Slot 1 oder im Slot 2 des EVG wird dem Benutzer eindeutig im
Display angezeigt. Der Zugriff auf eine Chipkarte im Slot 1 oder im Slot 2 des EVG wird dem Benutzer
eindeutig im Display angezeigt.
4.1.2 SF.CLRMEM
Speicherbereiche, die zur PIN-Speicherung verwendet wurden, werden durch Überschreiben mit 0x0000
wiederaufbereitet, sobald die PIN nicht mehr benötigt wird. Dies sind insbesondere:
Einschalten,
Weiterleiten eines PIN-Kommandos,
Ziehen der Chipkarte und
Abbruch der PIN Eingabe
4.1.3 SF.SECDOWN
Eine neue Firmware kann von einem dazu berechtigten Administrator im Administrator-Modus in den EVG
eingespielt werden. Die zu einem neuen Firmwarestand gehörenden Dateien umfassen:
Firmwaredatei
Bonn, 28. Juli 2010
