abl-16
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
2816 – Mitteilungen, Qualifizierte elektronische Signatur, 16 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung – multisign Enterprise, Version 4.1
gebnisse durch das Produkt via SSL realisiert. Hierbei wird die Geheimhaltung des für
den SSL-Handshake erforderlichen privaten Schlüssels des Signaturservers durch ei-
nen physikalischen Zugangsschutz (verriegelter Elektroschrank) gewährleistet.
- Der Systemverwalter muss für die Nutzung des Network-Interface ein gültiges SSL-
Server-Zertifikat im Signaturserver einbringen. Wie das Zertifikat erzeugt oder wo es
beantragt wird, stimmt der Mandant mit dem Signaturservice-Provider ab.
- In Batchsignatur-Szenarien muss im Hauptzertifikat zusätzlich eine entsprechende Be-
schränkung (z.B. „Nur für Rechnungssignatur“) vorhanden sein, um die qualifizierte
Signaturerzeugung auf einen bestimmten Zweck zu beschränken.
- Der Systemverwalter hat regelmäßig die Uhrzeit des Rechners, auf welchem der Signa-
turserver betrieben wird, zu überwachen.
- Der Systemverwalter ist für die Verwaltung der Benutzeraccounts (inklusive Passwort-
verwaltung) am File-Interface verantwortlich. In diesem Zusammenhang hat der Sys-
temverwalter dafür Sorge zu tragen, dass der Umgang mit den Benutzerpasswörtern
vertraulich erfolgt. Bei Verwendung des File-Interface muss jeder Benutzer ein eigenes
Eingangs- und Ausgangsverzeichnis besitzen, auf welches nur der jeweilige Nutzer
zugriffsberechtigt ist. Je nach Art der Realisierung der Datenübermittlung am File-
Interface (SMB, FTP, HTTP) muss der Anwender als Nutzer des Dienstes eingerichtet
und mit entsprechenden Zugriffsrechten auf das File-System ausgestattet sein.
- Ausschließlich Dokumente, die auch signiert werden sollen, dürfen dem Signaturserver
durch den Endanwender zugeführt werden.
- Bei Verwendung von PDF-Prüfberichten ist es für Variante 1 (Server-Plattform) mög-
lich, ein vom Systemverwalter hinterlegtes Logo in den Prüfbericht einzubinden. Zu die-
sem Zweck muss vom Systemverwalter ein Logo im PNG-Format mit der Dateibe-
zeichnung vr_logo.png oder vrlogo.png in demjenigen Verzeichnis abgelegt werden,
das in der LibSigG Konfigurationsdatei configmodule.ini unter dem Eintrag database
eingetragen wurde. Das korrekte Ablegen des Logos obliegt dem Systemverwalter.
- Der Systemverwalter muss sich über die Eignung und Gültigkeit der im Rahmen der
Signaturprüfung verwendeten Hashalgorithmen auf der Web-Seite der Bundesnetz-
agentur informieren und den Zeitpunkt, bis zu dem die Verwendung des jeweiligen Al-
gorithmus erlaubt ist, in der Konfiguration des Signaturservers eintragen.
5.4.2 Clientseitige Einsatzumgebung (beide Varianten)
Folgende administrative Bedingungen sind bezüglich der clientseitigen Funktionsbibliothek
erforderlich:
- Der Anwendungsentwickler, der die clientseitige Funktionsbibliothek statisch in eine
Client-Applikation einbindet, hat dem Endanwender ein Verfahren zur Integritätsprüfung
der entwickelten Applikation bereitzustellen. Im Falle der Verwendung der dynamischen
Variante der Funktionsbibliothek wird die Integritätsprüfung durchgeführt, indem die auf
der Auslieferungs-CD befindliche Client-API Funktionsbibliothek herangezogen und
durch den Endanwender mit der im Einsatz befindlichen mit dem DOS-Kommando
comp verglichen.
- Der Anwendungsentwickler hat die korrekte Nutzung des Network-Interface des Signa-
turservers in der Benutzerdokumentation der entwickelten Applikation darzulegen. Die-
se muss folgende Sicherheitshinweise enthalten:
o Der Endanwender ist darauf hinzuweisen, dass er mit den Authentisierungsda-
ten vertraulich umzugehen hat. Mit Hilfe der Authentisierungsdaten kann ein
Datentransfer zum Signaturserver und somit eine Auftragserteilung zur Signa-
turerstellung bzw. Signaturprüfung erfolgen.
HE_multisign_Enterprise_4-1 Seite 22 von 26
Bonn, 25. August 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
16 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 2817
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung – multisign Enterprise, Version 4.1
o Der Endanwender ist darauf hinzuweisen, dass nur folgende Signaturformate
an am Network-Interface unterstützt werden:
PKCS#1
PKCS#7
XML-DSig
PDF
o Der Endanwender ist darauf hinzuweisen, dass nur folgende Verifikationsfor-
mate am Network-Interface unterstützt werden:
PKCS#1
PKCS#7
XML-DSig
PDF
o Der Endanwender hat dafür Sorge zu tragen, dass der Client-Rechner mit ei-
nem physikalischen (z.B. Schrank) und technischen (z.B. Betriebssysteman-
meldung) Zugriffschutz versehen sein muss, so dass nur der berechtigte An-
wender Zugriff zur Client-Applikation besitzt.
o Der Endanwender ist für den Schutz des Client-Rechners vor manipulativer
Software (Viren, Trojaner) selbst verantwortlich. Hierzu gehört z.B. die Absiche-
rung des Clients durch Firewall und Virenscanner. Der Endanwender muss sich
davon überzeugen, dass jede auf dem Rechner installierte Software weder
böswillig manipuliert noch in irgendeiner anderen Form verändert wurde.
o Der Endanwender ist darauf hinzuweisen, wie er die Integrität der Applikation
überprüfen kann.
o Bezüglich der Prüfung der clientseitigen Bestandteile während des Betriebs ist
ein entsprechendes Verfahren vom Entwickler der Applikation, welche die
Client-API verwendet, zu definieren.
o Ausschließlich Dokumente und Hashwerte, die auch signiert werden sollen,
dürfen dem Signaturserver durch den Endanwender zugeführt werden.
6. Algorithmen und zugehörige Parameter
Zur Erzeugung von qualifizierten elektronischen Signaturen werden die Hashalgorithmen
RIPEMD-160 und sha2-224, sha2-256, sha2-384, sha2-512 unterstützt.
Zur Prüfung von qualifizierten elektronischen Signaturen wird zusätzlich der Hashalgo-
rithmus sha1 unterstützt.
Zur Erzeugung von qualifizierten elektronischen Signaturen wird der Kryptographiealgo-
rithmus RSA mit der Schlüssellänge 2048 unterstützt.
Zur Prüfung von qualifizierten elektronischen Signaturen werden zusätzlich die RSA-
Schlüssellängen 1024, 1280, 1536, 1728, 1976 unterstützt.
Bei der Erzeugung und Prüfung qualifizierter Signaturen wird geprüft, ob ein verwendeter
Algorithmus noch geeignet ist. In der Standardeinstellung ist jeder Algorithmus als ungültig
markiert. Für jeden als gültig zu akzeptierenden Algorithmus muss dessen Enddatum der
Gültigkeit vom Administrator in der Konfiguration angegeben werden.
HE_multisign_Enterprise_4-1 Seite 23 von 26
Bonn, 25. August 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
2818 – Mitteilungen, Qualifizierte elektronische Signatur, 16 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung – multisign Enterprise, Version 4.1
Die gemäß Anlage 1 Abs. I Nr. 2 SigV festgestellte Eignung für die verwendeten krypto-
graphischen Algorithmen sind gemäß den Angaben der Bundesnetzagentur in BNet-
zA_Algo_2010 7 wie folgt als geeignet eingestuft:
Gültigkeit von Hashalgorithmen zur Erzeugung und Prüfung von qualifizierten
elektronischen Signaturen:
ripemd160 = 31.12.2010
sha2-224 = 31.12.2015
sha2-256 = 31.12.2016
sha2-384 = 31.12.2016
sha2-512 = 31.12.2016
Gültigkeit von Hashalgorithmen zur Prüfung von Zertifikatssignaturen:
ripemd160-cert= 31.12.2015
sha-1-cert = 31.12.2015
sha2-224-cert = 31.12.2015
sha2-256-cert = 31.12.2016
sha2-384-cert = 31.12.2016
sha2-512-cert = 31.12.2016
Gültigkeit von Kryptographiealgorithmen zur Erzeugung und Prüfung von qualifi-
zierten elektronischen Signaturen und zur Prüfung von Zertifikatssignaturen:
rsa1728 = 31.12.2010
rsa1976 = 31.12.2016
rsa2048 = 31.12.2016
Es dürfen nur Signaturen mit Hash- und Kryptographie-Signieralgorithmen erzeugt werden,
deren Algorithmen gemäß Bundesnetzagentur als geeignet eingestuft sind.
Ausschließlich zur Signaturprüfung dürfen auch bereits abgelaufene Algorithmen Verwen-
8 9
dung finden. Diese wurden gemäß BNetzA_Algo_2008 und BNetzA_Algo_2009 wie folgt
eingestuft:
Ablaufdatum von Hashalgorithmen zur Prüfung von qualifizierten Signaturen:
sha-1 = 30.06.2008
Ablaufdatum von Kryptographiealgorithmen zur Prüfung von qualifizierten Signa-
turen und zur Prüfung von Zertifikatssignaturen:
rsa1024 = 31.03.2008
rsa1280 = 31.12.2008
rsa1536 = 31.12.2009
7
Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung: Übersicht
über geeignete Algorithmen, Bundesnetzagentur, vom 06. Januar 2010, veröffentlicht am 04. Februar 2010 im
Bundesanzeiger Nr. 19, S. 426
8
Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung: Übersicht
über geeignete Algorithmen, Bundesnetzagentur, vom 17. Dezember 2007, veröffentlicht am 05. Februar 2008 im
Bundesanzeiger Nr. 19, S. 376
9
Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung: Übersicht
über geeignete Algorithmen, Bundesnetzagentur, vom 17. November 2008, veröffentlicht am 27. Januar 2009 im
Bundesanzeiger Nr. 13, S. 346
HE_multisign_Enterprise_4-1 Seite 24 von 26
Bonn, 25. August 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
16 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 2819
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung – multisign Enterprise, Version 4.1
7. Gültigkeit der Herstellererklärung
Diese Erklärung ist bis auf Widerruf durch den Hersteller
secunet Security Networks AG
Kronprinzenstraße 30
45219 Essen
oder die zuständige Behörde
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
Canisiusstraße 21
55122 Mainz
gültig. Die Gültigkeit der Herstellererklärung ist weiter beschränkt durch die in Kapitel 6
aufgeführten Gültigkeiten der Algorithmen. Die Gültigkeit der vorliegenden Herstellererklä-
rung endet spätestens, sobald der durch die SSEE zur Signaturerstellung unterstützte Kryp-
tographiealgorithmus RSA-2048 von der Bundesnetzagentur als nicht mehr als geeignet
eingestuft wird (Stand heute: 31.12.2016). Die Gültigkeit der vorliegenden Herstellererklä-
rung endet ebenfalls spätestens dann, wenn ALLE zur Signaturerstellung unterstützten
Hashalgorithmen (RIPEMD-160, sha2-224, sha2-256, sha2-384, sha2-512) von der Bun-
desnetzagentur als nicht mehr als geeignet eingestuft wurden und somit kein geeigneter
Algorithmus zur Signaturerstellung mehr implementiert ist (Stand heute: 31.12.2016).
Der aktuelle Status der Gültigkeit der Erklärung ist bei der zuständigen Behörde (Bundes-
netzagentur, Referat Qualifizierte Elektronische Signatur – Technischer Betrieb) zu erfra-
gen.
HE_multisign_Enterprise_4-1 Seite 25 von 26
Bonn, 25. August 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
2820 – Mitteilungen, Qualifizierte elektronische Signatur, 16 2010
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung – multisign Enterprise, Version 4.1
8. Weitere Dokumentation
Bei der gemäß §3 Signaturgesetz zuständigen Behörde wurde ergänzend zu dieser Erklä-
rung folgende Dokumentation hinterlegt:
1. Sicherheitsvorgaben, Version 1.2, 28.07.2010, (HE_multisign_Enterprise_SV_4-1)
2. Testdokumentation, Version 1.1, 28.07.2010, (HE_multisign_Enterprise_TD_4-1)
3. Entwicklungsumgebung, Version 1.0, 09.12.2009, (HE_multisign_Enterprise_EU_4-1)
4. Benutzerdokumentation, Version 1.2, 28.07.2010, (HE_multisign_Enterprise_BD_4-1)
Die vorgenannten Dokumente sind nicht zur Veröffentlichung bestimmt.
9. Inhalt der Erklärung
Diese Herstellererklärung dient ausschließlich dazu, die Erfüllung der vorstehend genann-
ten Anforderungen des Signaturgesetzes, der Signaturverordnung und der oben genannten
Sicherheitsvorgaben zu bestätigen. Eine Übernahme weiterer Garantien oder Zusicherun-
gen betreffend der Eigenschaften des Produktes ist damit nicht verbunden. Insbesondere
weist secunet darauf hin, dass die vorstehend genannten Anforderungen nur erfüllt sind,
wenn der Nutzer die vorgeschriebenen Einsatzbedingungen einhält.
- Ende der Herstellererklärung -
HE_multisign_Enterprise_4-1 Seite 26 von 26
Bonn, 25. August 2010
media production bonn gmbh
Baunscheidtstr. 19
53113 Bonn
9390
Herausgeber Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
Redaktion Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
Referat Z 15 · Postfach 80 01 · 53105 Bonn; Tulpenfeld 4, 53113 Bonn
Telefon: (02 28) 14 53 18
Telefax: (02 28) 14 65 33
E-Mail: amtsblatt@bnetza.de
Erscheinungsweise Das Amtsblatt der BNetzA erscheint nach Bedarf, in der Regel 14täglich
Bezugspreis (einschließlich Versandkosten)
Bezug Versandform und Bezugspreis
nur Papier nur Papier und
Version elektronische elektronische
Version Version
Halbjahresabonnement Inland 26 € 26 € 47 €
Jahresabonnement Inland 48 € 48 € 86 €
Halbjahresabonnement Ausland 52 € 52 € 94 €
Jahresabonnement Ausland 96 € 96 € 173 €
Einzelexemplar 6,50 € 6,50 € 12 €
Im Bezugspreis ist keine Umsatzsteuer im Sinne des § 14 UStG enthalten
Bestellung/ media production bonn gmbh, Baunscheidtstr. 19, 53113 Bonn
Versand Abonnementverwaltung/Einzellieferung
Telefon: (02 28) 3 91 80-10
Telefax: (02 28) 3 91 80-29
E-Mail: info@bnetza-amtsblatt.de
Der Versand erfolgt gegen Rechnung
Halbjahresabonnements können jeweils zum 30.6. oder 31.12., Jahresabonnements zum 31.12. eines
Jahres mit einer Frist von vier Wochen gekündigt werden.
Druck Medienhaus Plump Gmbh, Rolandsecker Weg 33, 53619 Rheinbreitbach
Achtung neue Kontoverbindung: Sparkasse KölnBonn, Kto.: 190 197 0234, BLZ: 370 501 98
Bestellung Bezug Versandform und Bezugspreis
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, nur Papier nur Papier und
Version elektronische elektronische
Telekommunikation, Post Version Version
und Eisenbahnen
Halbjahresabonnement Inland 26 € 26 € 47 €
Bestellung der elektronischen Jahresabonnement Inland 48 € 48 € 86 €
Version nur über:
Halbjahresabonnement Ausland 52 € 52 € 94 €
www.bnetza-amtsblatt.de
Jahresabonnement Ausland 96 € 96 € 173 €
Einzelexemplar 6,50 € 6,50 € 12 €
Der Versand erfolgt gegen Rechnung. Abo ab: _ ___________________
Anzahl der Exemplare________ Nummer bei Einzelexemplaren ______________
_________________________
Name/Firma _______________________________________________________
Anschrift _________________________________________________________
_________________________________________________________
_________________________________________________________
media production bonn gmbh Mit der Weiterleitung einer neuen Anschrift durch die media production bonn gmbh
z. Hd. Frau Mathieu an den Verleger bin ich einverstanden
Baunscheidtstr. 19
53113 Bonn Datum/Unterschrift __________________________________________________
_________________________________________________________________
