abl-22
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4140 – Mitteilungen, Qualifizierte elektronische Signatur, 22 2010
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
Referenz Gesetzestext Bemerkungen
§ 15 Abs. 2 Nr. 2 SigV und (...) 2. bei der Prüfung einer Wird durch digiSeal office pro
qualifizierten elektronischen 250 erfüllt.
Signatur
Der Prüfprozess erfolgt wie in
a) die Korrektheit der Signatur Kapitel "3.4 - Prüfung
zuverlässig geprüft und zutreffend qualifizierter elektronischer
angezeigt wird und Signaturen" ff. dokumentiert.
b) eindeutig erkennbar wird, ob die
nachgeprüften qualifizierten
Zertifikate im jeweiligen Zertifikat-
Verzeichnis zum angegebenen
Zeitpunkt vorhanden und nicht
gesperrt waren.
§ 15 Abs. 4 SigV. Signaturanwendungskomponenten Wird durch digiSeal office pro
nach § 17 Abs. 2 des 250 erfüllt.
Signaturgesetzes müssen
Die Sicherung der
gewährleisten, dass (...)
Signaturanwendungskomponente
3. Sicherheitstechnische erfolgt wie im Kapitel "3.2.4 -
Veränderungen an technischen Integritätsprüfung" beschrieben.
Komponenten nach den Absätzen
1 bis 3 müssen für den Nutzer
erkennbar werden.
Tabelle 6: Erfüllte gesetzliche Anforderungen
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 21 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 4141
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
4.2 Anforderungen an das Produkt bzgl. schwach werdender Algorithmen und qualifizierter
Zeitstempel 6
Signaturanwendungskomponenten i. S. v. § 2 Nr. 11 b SigG müssen auch dann eine zuverlässige
Prüfung und zutreffende Anzeige des Ergebnisses gem. § 15 Abs. 2 Nr. 2a SigV gewährleisten, wenn
die geprüfte Signatur auf einem Algorithmus oder Parameter beruht, der als nicht mehr geeignet und
damit als nicht mehr hinreichend zuverlässig eingestuft ist, oder wenn ein qualifizierter Zeitstempel
vorliegt.
Das Produkt digiSeal office pro 250 erfüllt die Anforderungen an schwach werdende Algorithmen und
qualifizierte Zeitstempel wie folgt:
Anforderung Erfüllung durch digiSeal office pro 250
a) Abgelaufene Algorithmen: Die Anforderung wird durch digiSeal office pro
250 vollständig erfüllt.
Die Prüfung einer Signatur durch eine
Signaturanwendungskomponente (SAK) für digiSeal office pro 250 prüft die Gültigkeit der
qualifizierte elektronische Signaturen i.S.v. § 2 Signatur zum Signaturzeitpunkt und zeigt dieses
Nr. 11b SigG muss bei abgelaufenen Prüfergebnis dem Nutzer eindeutig an. Darüber
Algorithmen für den Nutzer deutlich anzeigen, hinaus trifft digiSeal office pro 250 Aussagen zur
dass die geprüfte Signatur mit einem Gültigkeit der verwendeten kryptographischen
Algorithmus erzeugt wurde, der nicht mehr dem Algorithmen zum Signaturzeitpunkt und zum
Stand der Wissenschaft und Technik entspricht, Prüfzeitpunkt.
und sie somit einen verminderten Beweiswert
Eine Zusammenfassung des Prüfprozesses
hinsichtlich der Authentizität und Integrität des
einschließlich der verwendeten
verbundenen Dokuments gegenüber dem
kryptographischen Algorithmen und deren
Signaturzeitpunkt besitzt. Weiter sollte der
Gültigkeitsdauer erhält der Anwender der Teil-
Zeitpunkt, zu dem der Algorithmus seine
SAK in der Prüfdokumentation.
Eignung verloren hat, zutreffend angezeigt
werden. Es erfolgen keine unspezifischen Aussagen zu
abgelaufenen Algorithmen.
Unspezifische Aussagen zu abgelaufene
Algorithmen sind nicht zulässig.
b) Nicht implementierte Algorithmen: Die Anforderung wird durch digiSeal office pro
250 vollständig erfüllt.
Ist bei der Prüfung einer Signatur ein
Algorithmus zu verwenden, der in der Der Anwender der Teil-SAK erhält bei nicht
Verifikationskomponente der SAK nicht unterstützten kryptographischen Funktionen
implementiert ist, so muss dies dem Nutzer eine eindeutige Auskunft, weshalb keine
zutreffend angezeigt werden. vollständige Signaturprüfung durchgeführt
werden konnte.
Unspezifische Aussagen zu nicht
implementierten Algorithmen sind nicht zulässig Es erfolgen keine unspezifischen Aussagen zu
nicht implementierten Algorithmen.
6
(vgl. FAQ 28 unter: http://www.bundesnetzagentur.de/cln_1911/SharedDocs/FAQs/DE/BNetzA/QES/
28PruefungESignaturen.html?nn=75924)
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 22 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4142 – Mitteilungen, Qualifizierte elektronische Signatur, 22 2010
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
Anforderung Erfüllung durch digiSeal office pro 250
c) Qualifizierte Zeitstempel: Die Anforderung wird durch digiSeal office pro
250 vollständig erfüllt.
Tragen Daten eine qualifizierte Signatur, bei
deren Verifikation zu erkennen ist, dass der Von digiSeal office pro 250 erzeugte qualifizierte
Signaturprüfschlüssel zu einem Zeitstempel- Zeitstempel werden vollständig geprüft und das
Zertifikat gehört, so ist dies dem Nutzer Prüfergebnis einschließlich Zeitstempelzeitpunkt
zutreffend anzuzeigen. Der Zeitpunkt, der im korrekt dem Anwender angezeigt. Das
qualifizierten Zeitstempel enthalten ist, ist dem Prüfergebnis wird auch im Prüfprotokoll
Nutzer ebenfalls darzulegen. dokumentiert. Es kann nicht garantiert werden,
dass qualifizierte Zeitstempel, die mit Teil-SAKs
Solange kein standardisiertes Verfahren für die
von Marktbegleitern erzeugt wurden, erkannt
Einbindung von qualifizierten Zeitstempeln
und vollumfänglich geprüft werden.
existiert, ist es ausreichend, wenn das Produkt
seine selbst integrierten qualifizierten Es erfolgen keine unspezifischen Aussagen im
Zeitstempel auswerten kann. Qualifizierte Rahmen des Prüfprozesses von digiSeal office
Zeitstempel, die aus Fremdprodukten und damit pro 250 erzeugter qualifizierter Zeitstempel.
in einer ev. proprietären Datenstruktur vorliegen,
müssen nicht zwingend durch das Produkt
ausgewertet werden.
Unspezifische Aussagen zu qualifizierten
Zeitstempeln sind nicht zulässig.
Tabelle 7: Anforderungen bei schwach werdenden Algorithmen
Bei der Signaturverifikation werden Signatur- und Hashalgorithmus auf Ihre Eignung hin überprüft.
Sollte ein Algorithmus verwendet worden sein, dessen Eignung bei Signaturerzeugung bereits
abgelaufen war, so wird dem Benutzer angezeigt, dass die verwendeten Algorithmen zum
Signaturzeitpunkt ungeeignet waren. Sollte ein Algorithmus nach der Signaturerzeugung abgelaufen
sein, so wird dem Benutzer angezeigt, dass die verwendeten Algorithmen zum Verifikationszeitpunkt
ungeeignet waren. Die gleiche Eignungsprüfung erfolgt analog mit Zeitstempelsignaturen. Ferner
erhält der Benutzer in der Prüfdokumentation jeder Signatur eine klare Übersicht der verwendeten
kryptographischen Algorithmen sowie deren Eignung bzw. Gültigkeitsdauer (sowohl bei noch
geeigneten sowie bei bereits abgelaufenen Algorithmen).
Die Sicherheit einer qualifizierten elektronischen Signatur hängt primär von der Stärke der zugrunde
liegenden Algorithmen und zugehörigen Parameter, die zur Erzeugung von Signaturschlüsseln, zum
Hashen zu signierender Daten oder zur Erzeugung und Prüfung qualifizierter elektronischer
Signaturen ab. Daher wird die Eignung dieser Algorithmen regelmäßig nach dem jeweils aktuellen
Stand der Wissenschaft und Technik neu bestimmt. Hieraus folgt, dass derzeit gültige Algorithmen in
Zukunft als nicht mehr hinreichend sicher betrachtet werden können und daher nicht mehr zur
Erzeugung qualifizierter elektronischer Signaturen verwendet werden dürfen (vgl. SHA-1). Somit ist es
notwendig, Updates bzgl. der Gültigkeit von Signatur- und Hashalgorithmen der
Signaturanwendungskomponente bekannt zu machen. Infolgedessen wird der jeweils aktuelle
Algorithmenkatalog (siehe Kapitel "6 - Algorithmen und zugehörige Parameter") über das Software-
Update verteilt.
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 23 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 4143
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
5. Maßnahmen in der Einsatzumgebung
5.1 Einrichtung der IT-Komponenten
Vorgesehen ist für den Einsatz von digiSeal office pro 250 ein Personalcomputer mit folgenden
Minimalanforderungen:
Personalcomputer:
IBM-kompatibel ab Pentium 4 / 2 GHz
Arbeitsspeicher:
mindestens 2 GB RAM
Festplattenspeicher:
ausreichend freier Festplattenspeicher (mindestens 250 MB - abhängig vom Speicherort der zu
signierenden und signierten Daten)
CD-ROM-Laufwerk für die Installation
Betriebssystem:
Windows NT SP 6a
Windows 2000 SP4,
Windows XP Home Edition SP3
Windows XP Professional Edition SP3,
Windows Vista SP2 und
Windows 7
Kartenlesegerät:
Zur Gewährleistung der sicheren PIN-Eingabe wird der Einsatz eines der in Kapitel 3.3.1
beschriebenen Lesegerätes empfohlen.
Signaturkarte / Sichere Signaturerstellungseinheit (SSEE):
Eine von einem ZDA ausgegebene SSEE (siehe Kapitel 3.3.1) ist zu verwenden.
Netzverbindung:
Notwendig für den Zugriff auf die OCSP- bzw. LDAP-Verzeichnisdienste des Trustcenter.
Das Produkt digiSeal office pro 250 darf ausschließlich innerhalb der oben beschriebenen Hard- und
Softwareausstattung und Konfiguration eingesetzt werden.
5.1.1 Art des Einsatzbereiches
Grundlage dieser Herstellererklärung ist der Einsatz von digiSeal office pro 250 in einem geschützten
Einsatzbereich 7 : Für einen sicheren Betrieb ist es erforderlich, dass die Empfehlungen des
Benutzerhandbuches eingehalten und die Anforderungen an die Einsatzumgebung beachtet werden.
Dies setzt u.a. voraus, dass während des Betriebes von digiSeal office pro 250 keine unberechtigten
Personen Zugriffsmöglichkeiten auf die Art und Weise der Signaturprozesse haben. Prinzipiell gilt,
dass der Benutzer die Korrektheit sowie die Vertrauenswürdigkeit aller Komponenten des
Betriebssystems und der sonstig installierten Softwareprodukte sicherstellt.
Für den sicheren Einsatz von digiSeal office pro 250 und zur Verhinderung von erfolgreichen Angriffen
mit den Zielen, dass
digiSeal office pro 250 manipuliert wird,
Daten signiert werden, die nicht signiert werden sollen,
das Prüfergebnis der Signatur- bzw. Zertifikatsprüfung falsch angezeigt wird und
7
gemäß geschütztem Einsatzbereich (Regelfall/Standardlösung) der „Einheitlichen Spezifizierung der
Einsatzbedingungen für Signaturanwendungskomponenten“ der Bundesnetzagentur, Version 1.4,
Stand 19.07.2005
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 24 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4144 – Mitteilungen, Qualifizierte elektronische Signatur, 22 2010
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
die Geheimhaltung des Identifikationsmerkmals (PIN) nicht gewährleistet ist,
sind folgende Auflagen zu beachten:
Installation der Software nur vom Originaldatenträger (einmal beschreibbare
CD-ROM) oder mit den per Download geladenen Originalprogrammdateien zur Installation der
Teil-Signaturanwendungskomponente digiSeal office pro 250.
Erfolgt eine Auslieferung der Software per Downloadlink, so ist die Integrität der Programmdateien
zur Installation des Produktes digiSeal office pro 250 zuvor zu prüfen.
Befolgung der Anweisungen der Benutzeranleitung.
Einsatz eines geprüften und bestätigten Kartenlesegerätes mit sicherer PIN-Eingabe
entsprechend den Vorgaben des Herstellers und der Bestätigungsauflagen.
Geheimhaltung bzw. Nicht-Weitergabe der PIN des Signaturschlüssels an Dritte.
Volle Kontrolle des Benutzers über genutzte Datenträger und Netzwerkfreigaben.
Nutzung der digiSeal office pro 250-API nur durch vertrauenswürdige externe Applikationen.
Einsatz eines Virenscanners zur Sicherstellung, dass sowohl klassische Virenprogramme als auch
Backdoor-Programme erkannt werden und der Benutzer bzw. der Systemadministrator im Falle
eines Angriffs über diesen Zustand in Kenntnis gesetzt wird.
Sicherstellung, dass durch geeignete personelle und organisatorisch-technische Maßnahmen
keine nicht autorisierten Programme bzw. Programmbestandteile auf den Rechner aufgebracht
werden können, wie z.B. Programme zum Abhören von Tastaturanschlägen oder zum Abhören
der Kommunikation über PC-Schnittstellen.
Sicherstellung, dass keine Hardwaremanipulationen (z.B. am Kartenlesegerät) vorgenommen
wurden, die Manipulationen ermöglichen.
Sollte der Rechner, auf dem digiSeal office pro 250 installiert ist, über einen Internet- und / oder
einen Intranetzugang verfügen, so ist durch geeignete organisatorisch-technische Maßnahmen
sicherzustellen, dass jegliche unautorisierte Zugriffe über das Internet und / oder Intranet
unterbunden werden, so dass z.B. keine Systemdienste oder Systemkomponenten kompromittiert
werden können. Dies kann z.B. mittels einer Firewall erfolgen.
Ergreifen geeigneter organisatorischer Maßnahmen zur Sicherstellung, dass alle Komponenten
des Betriebssystems und der sonstig installierten Softwareprodukte korrekt und vertrauenswürdig
sind.
Ergreifen einer geeigneten Kombination personeller, materieller und organisatorischer
Maßnahmen, um Manipulationen an der Einsatzumgebung entgegenzuwirken.
Beachtung der Empfehlungen der IT-Grundschutz-Kataloge des BSI 8 bei der Umsetzung der
Maßnahmen zur Abwehr möglicher Manipulationen und Angriffe.
Weiterhin gilt zu beachten, dass:
die authentischen Root CA- und CA-Zertifikate durch den Anwender bereitgestellt werden sowie
unter voller Kontrolle des Benutzers stehen und
die Einstellung der Systemzeit des Personalcomputers korrekt sein muss.
8
https://www.bsi.bund.de/cln_156/ContentBSI/grundschutz/kataloge/kataloge.html
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 25 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 4145
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
5.1.2 Updates, Wartung und Reparatur
Updates
Updates für die Teil-Signaturanwendungskomponente digiSeal office pro 250 sind möglich. Dadurch
werden grundsätzlich keine Funktionen und Funktionalitäten beeinflusst, die Gegenstand der
Herstellererklärung sind.
Ein Update kann auf einem der folgenden Wege durchgeführt werden:
Update vom Originaldatenträger (CD-ROM der secrypt GmbH):
Zur Durchführung des Updates ist die ältere Version zu deinstallieren und anschließend die neue
Version zu installieren.
Update per Download:
Das Update per Download ist ausschließlich von der Internetseite www.secrypt.de erhältlich. Zur
Durchführung des Updates ist die ältere Version zu deinstallieren und anschließend die neue
Version zu installieren.
Update durch Softwareaktualisierung:
Das Produkt digiSeal office pro 250 kann selbst zur Durchführung eines kontrollierten
Softwareupdates genutzt werden.
Updates, die dieser Herstellererklärung unterliegende Funktionen verändern, werden dann in einer
gesonderten bzw. neuen Herstellererklärung berücksichtigt. Dies wird an einer Änderung der
Versionsnummer des Produktes (hier Version 3.3, siehe auch Kapitel 1) erkenntlich gemacht.
Bei kleineren Änderungen, die nicht SigG/SigV relevante sicherheitstechnische Aspekte betreffen,
kann statt einer neuen Herstellererklärung auch ein Nachtrag eingereicht werden, der über die
Neuerungen informiert.
Wartung / Reparatur
Die Programmbestandteile von digiSeal office pro 250 sind signiert. Sollte trotz aller
Sicherheitsmaßnahmen diese korrumpiert oder die zur Prüfung der Signatur notwendigen Dateien
entfernt oder manipuliert worden sein, dann wird dies dem Benutzer beim Start des Programms
unmissverständlich angezeigt. Das Programm digiSeal office pro 250 ist zu deinstallieren und der
Rechner auf Viren und Trojaner zu prüfen. Im Anschluss ist digiSeal office pro 250 neu vom
Originaldatenträger (CD-ROM) oder der per Download zur Verfügung gestellten Originalversion
entsprechend der Benutzeranleitung zu installieren.
5.2 Anbindung an ein Netzwerk
Die Anbindung des Computers an ein Netzwerk ist notwendig für den Zugriff auf die OCSP- bzw.
LDAP-Verzeichnisdienste des Trustcenter (siehe hierzu Kapitel "3.4 " Prüfung qualifizierter
elektronischer Signaturen ff). Hierfür gelten folgende Auflagen:
Einsatz eines Virenscanners zur Sicherstellung, dass sowohl klassische Virenprogramme als auch
Backdoor-Programme erkannt werden und der Benutzer bzw. der Systemadministrator im Falle
eines Angriffs über diesen Zustand in Kenntnis gesetzt wird.
Durch geeignete organisatorisch-technische Maßnahmen ist sicherzustellen, dass jegliche
unautorisierte Zugriffe über das Internet und / oder Intranet unterbunden werden, so dass z.B.
keine Systemdienste oder Systemkomponenten kompromittiert werden können. Dies kann z.B.
mittels einer Firewall erfolgen.
Die in diesem Abschnitt gemachten Auflagen müssen eingehalten werden.
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 26 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4146 – Mitteilungen, Qualifizierte elektronische Signatur, 22 2010
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
5.3 Auslieferung und Installation
Auslieferungsprozedur
Das Produkt wird auf CD-ROM oder als Download direkt vom Hersteller oder einem seiner
Vertriebspartner zur Verfügung gestellt.
Online-Updates erfolgen durch die Software selbst über die Webseite des Herstellers.
Installationsverfahren
Eine ausführliche Installationsanleitung innerhalb der in Kapitel "5 – Maßnahmen in der
Einsatzumgebung" beschriebenen Hard- und Softwareausstattung und Konfiguration ist in der
Benutzeranleitung im Kapitel "6 – Installation und Deinstallation" beschrieben.
Das Produkt digiSeal office pro 250 darf ausschließlich innerhalb der oben beschriebenen Hard- und
Softwareausstattung und Konfiguration eingesetzt werden.
Das spezifizierte Auslieferungs- und Installationsverfahren ist einzuhalten.
5.4 Auflagen für den Betrieb des Produktes
Während des Betriebs sind die folgenden Bedingungen für den sachgemäßen Einsatz zu beachten:
Betrieb nur in einer vertrauenswürdigen Umgebung.
Es ist insbesondere vertrauenswürdiges Personal einzusetzen.
Es ist sicherzustellen, dass auf der von digiSeal office pro 250 benutzten Hardwareplattform keine
Viren oder Trojanischen Pferde eingespielt werden.
Vertraulicher Umgang mit Identifikationsmerkmalen, die an digiSeal office pro 250 weitergereicht
werden, insbesondere seitens handelnder Personen und der nutzenden Anwendung.
Durch Veränderungen der Einsatzumgebung dürfen die bekannten Schwachstellen in der
Konstruktion und bei der operationalen Nutzung nicht ausnutzbar werden bzw. es dürfen keine
neuen Schwachstellen entstehen.
Die „PIN“ darf nur dem jeweiligen Signaturschlüsselinhaber zugänglich bzw. bekannt sein.
Die in den vorangegangenen Kapiteln 5.1 – 5.3 aufgeführten Auflagen sind ebenfalls einzuhalten.
Mit Auslieferung des Produktes digiSeal office pro 250 ist der Anwender auf die Einhaltung der oben
genannten Einsatzbedingungen hinzuweisen.
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 27 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 4147
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
6. Algorithmen und zugehörige Parameter
Zur Erzeugung qualifizierter elektronischer Signaturen werden von digiSeal office pro 250 die
folgenden Hashfunktionen und Signaturverfahren bereitgestellt.
Hashfunktionen:
SHA-224
SHA-256
SHA-384
SHA-512
RIPEMD-160
RSA-Algorithmus mit Schlüssellängen:
1728 Bit
1976 Bit
2048 Bit
Zur Verifikation qualifizierter elektronischer Signaturen und Zeitstempel unterstützt digiSeal office pro
250 die folgenden Algorithmen:
Hashfunktionen:
SHA-1
SHA-224
SHA-256
SHA-384
SHA-512
RIPEMD-160
RSA-Algorithmus mit Schlüssellängen:
1024 Bit
1280 Bit
1536 Bit
1728 Bit
1976 Bit
2048 Bit
ECDSA-Algorithmus mit Schlüssellänge
192 Bit
Um die Verifikation von elektronischen Signaturen über die Gültigkeitsdauer der jeweilig verwendeten
kryptografischen Algorithmen hinaus zu ermöglichen sind in digiSeal office pro 250 auch ältere
Algorithmenkataloge mit ihren jeweiligen Ablaufdaten implementiert. Siehe auch vgl. Kapitel "4.2 -
Anforderungen an das Produkt bzgl. schwach werdender Algorithmen und qualifizierter Zeitstempel"
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 28 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4148 – Mitteilungen, Qualifizierte elektronische Signatur, 22 2010
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
Die entsprechende Referenz für die geeigneten Algorithmen lautet:
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
"Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung
(Übersicht über geeignete Algorithmen)"
über
"Geeignete Algorithmen zur Erfüllung der Anforderungen nach § 17 Abs. 1 bis 3 SigG vom 16. Mai
2001 in Verbindung mit Anlage 1 Abschnitt I Nr. 2 SigV vom 16. November 2001"
Veröffentlicht am 04. Februar 2010 im Bundesanzeiger Nr. 19, Seite 426.
Die gemäß Anlage 1 Abs. I Nr. 2 SigV festgestellte Eignung für die verwendeten kryptografischen
Algorithmen [Hashfunktion, Signaturverfahren] sind gemäß den Angaben der Bundesnetzagentur
(Algorithmenkatalog 2010) wie folgt als geeignet eingestuft:
Algorithmus Schlüssellänge Gültig bis
SHA-1 - 31.06.2008
SHA-224 - 31.12.2015
SHA-256 - 31.12.2016
SHA-384 - 31.12.2016
SHA-512 - 31.12.2016
RIPEMD-160 - 31.12.2010
RSA-Algorithmus 1024 Bit 31.03.2008
RSA-Algorithmus 1280 Bit 31.12.2008
RSA-Algorithmus 1536 Bit 31.12.2009
RSA-Algorithmus 1728 Bit 31.12.2010
RSA-Algorithmus 1976 Bit 31.12.2016
RSA-Algorithmus 2048 Bit 31.12.2016
ECDSA-Algorithmus 192 Bit 31.12.2009
Tabelle 8: Übersicht der Algorithmen und Gültigkeiten
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 29 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 4149
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
Hinweise:
Wird ein Hash- oder RSA-Algorithmus vom Anwender zum Signieren verwendet, dessen
Gültigkeit bereits abgelaufen ist (z.B. SHA-1), so ist die damit erzeugte elektronische Signatur
keine qualifizierte elektronische Signatur.
Bei der Prüfung einer qualifizierten elektronischen Signatur ist zu beachten, dass bei deren
Erzeugung u.U. ein Algorithmus zum Einsatz kam, der nach der Erstellung der qualifizierten
elektronischen Signatur abgelaufen ist. Es handelt sich dabei immer noch um eine qualifizierte
elektronische Signatur i.S.d. § 2 Nr. 3 SigG, der allerdings ein verminderter Beweiswert
zugewiesen werden kann 9 .
Allgemein wird bis Ende 2016 die Verwendung eines RSA-Algorithmus mit der Schlüssellänge von
2048 Bit empfohlen.
7. Gültigkeit der Herstellererklärung
Diese Herstellererklärung hat ausschließlich den Sinn und Zweck, die Erfüllung der im Signaturgesetz
und in der Signaturverordnung beschriebenen Anforderungen unter den oben genannten
Sicherheitsvorgaben zu bestätigen. Eine Übernahme weiterer Garantien oder Zusicherungen die
Eigenschaften des Produktes betreffen, ist damit nicht verbunden. Es sei insbesondere darauf
hingewiesen, dass die genannten Anforderungen nur erfüllt sind, wenn der Nutzer die in Abschnitt 5 ff.
aufgeführten Einsatzbedingungen beachtet.
Diese Erklärung ist bis zu ihrem Widerruf, längstens jedoch bis zum 31.12.2016 gültig. Der Widerruf
kann durch die Bundesnetzagentur oder durch den Hersteller selbst erfolgen. Die Gültigkeit der
Herstellererklärung ist weiter beschränkt durch die in Kapitel 6 aufgeführten Gültigkeiten der
Algorithmen; die Gültigkeit kann sich verkürzen, wenn z.B. neue Feststellungen hinsichtlich der
Sicherheit des Produktes oder der Eignung der Algorithmen im Bundesanzeiger veröffentlicht werden.
Der aktuelle Status der Gültigkeit der Erklärung ist bei der zuständigen Behörde (Bundesnetzagentur,
Referat Qualifizierte Elektronische Signatur – Technischer Betrieb) zu erfragen. Zusätzlich gibt der
Hersteller eine telefonische Auskunft unter
+49 30 75659780.
8. Zusatzdokumentation
Folgende Bestandteile der Herstellererklärung wurden aus dem Veröffentlichungstext ausgegliedert
und bei der zuständigen Behörde hinterlegt:
Sicherheitstechnische Produktvorgaben digiSeal office pro 250, Version 3.3, Dokumentenversion
1.1, Datum: 11.10.2010, 74 Seiten
Prüfbericht digiSeal office pro 250, Version 3.3, Dokumentenversion 1.1, Datum: 11.10.2010, 24
Seiten
Technische Dokumentation / Benutzeranleitung digiSeal office / digiSeal office pro Version 3.3,
Dokumentenversion 1.3, Datum: 06.10.2010, 170 Seiten
Ende der Herstellererklärung
9
http://www.bundesnetzagentur.de/cln_1911/SharedDocs/FAQs/DE/BNetzA/QES/
28PruefungESignaturen.html?nn=75924
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 30 von 30
Bonn, 24. November 2010
