abl-22
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4134 – Mitteilungen, Qualifizierte elektronische Signatur, 22 2010
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
3.4.4 Unterstützte Signaturformate
Geprüft werden können qualifiziert signierte Dateien folgender Formate:
PKCS#7:
"signedData" gemäß RFC 2630,
"signedData" mit "multipart-signed"-Content gemäß RFC 2633
PDF-embedded Signatur:
PKCS#7-konforme Signatur entsprechend Adobe-Reference 1.6
XML-Signatur:
XML-DSIG gemäß W3C Recommendation vom 12.02.2002 – RFC 3275,
XAdES gemäß W3C Note vom 20.02.2003
EDI / AUTACK-Signatur
Signatur entsprechend ISO 9735-5 bzw. ISO 9735-6
EDI / Ideal Message Schweiz
3.5 Einbindung von qualifizierten Zeitstempeln
Zur Erzeugung von qualifizierten Zeitstempeln unterstützt digiSeal office pro 250 die Ansprache der
Zeitstempelserver von Zertifizierungsdiensteanbietern.
Zeitstempelunterstützung gemäß IETF RFC 3161 Time-Stamp Protocol (TSP)
Unterstützung von Zeitstempeln mit SSL-Authetifikation (z.B.: D-TRUST Zeitstempel)
Unterstützung von Zeitstempeln mit HTTP-Authentifikation (z.B.: T-TeleSec-Zeitstempel)
Die Erzeugung von qualifizierten Zeitstempeln findet nicht durch digiSeal office pro 250 direkt statt.
Diese führt lediglich vorbereitende und abschließende Maßnahmen zur Erstellung eines qualifizierten
Zeitstempel durch einen Zeitstempelserver eines Zertifizierungsdiensteanbieters durch.
Hierfür werden durch digiSeal office pro 250 die folgenden Hashfunktionen unterstützt:
SHA-224
SHA-256
SHA-384
SHA-512
3.6 Aufbau der Teil-Signaturanwendungskomponente digiSeal office pro 250
Die Teil-Signaturanwendungskomponente digiSeal office pro 250 ist modular aufgebaut und besteht
aus den folgenden Komponenten:
digiSeal.exe
digiSeal smart service.exe
digiSeal smart service configurator.exe
secryptCardManager.exe
secryptCardManager.dll
dsShellExt.dll
dsAddIn.dll
dsComPipe.exe
dsppnt.dll
uninstall digiSeal.exe
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 15 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 4135
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
digiSealAPI.dll
Diese Komponenten sind ausführbare Programme (executables) bzw. dynamisch geladene
Bibliotheken (dynamic link libraries).
3.6.1 Funktion der Komponente digiSeal.exe
Die Komponente digiSeal.exe ist das Kernstück des Produktes digiSeal office pro 250 und stellt die
folgenden Funktionalitäten zur Verfügung:
Integritätsprüfung des Produktes beim Programmstart
Sichere Anzeige der zu signierenden oder signierten Daten
Hashwert-Berechnung nach den Algorithmen SHA-1, SHA-224, SHA-256, SHA-384, SHA-512
und RIPEMD-160
Erzeugung elektronischer Signaturen auf Basis von SSEE unter Verwendung eines
Kartenlesegerätes
Verifikation einer elektronischen Signatur, inklusive Prüfung der Zertifikatskette (u.a. Verwendung
der Onlineprüfung via OCSP)
Verwaltung von dynamischen Bibliotheken
Kommunikation mit dem secryptCardManager.exe
Bereitstellung eines Interfaces zu den Komponenten digiSealAPI.dll und dsAddIn.dll
3.6.2 Funktion der Komponente digiSeal smart service.exe
Die Komponente digiSeal smart service.exe verfügt über eine Benutzeroberfläche und stellt die
folgenden Funktionalitäten zur Verfügung:
Anzeigen von auf der SSEE gespeicherten Zertifikaten
Initialisierung und Änderung der PIN sowie Entsperren der PIN durch PUK-Nachweis
Konfiguration von Kartenlesegeräten
Kommunikation zur Ansprache der SSEE und der Kartenlesegeräte über die
secryptCardManager.exe (Dienst) bzw. die secryptCardManager.dll.
3.6.3 Funktion der Komponente digiSeal smart service configurator.exe
Die Komponente digiSeal smart service configurator.exe stellt die folgende Funktionalität zur
Verfügung:
Ansprache von Funktionen der digiSeal smart service.exe
Überwachung und Visualisierung der Aktivitäten des Kartendienstes secryptCardManager.exe
3.6.4 Funktion der Komponente secryptCardManager.exe
Die Komponente secryptCardManager.exe stellt die folgende Funktionalität zur Verfügung:
digiSeal-Dienst für die Kartenlesegeräte- und SSEE-Ansprache.
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 16 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4136 – Mitteilungen, Qualifizierte elektronische Signatur, 22 2010
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
3.6.5 Funktion der Komponente secryptCardManager.dll
Die Komponente secryptCardManager.dll stellt die folgende Funktionalität zur Verfügung:
Ansprache von Kartenlesegeräten und SSEE.
3.6.6 Funktion der Komponente dsShellExt.dll
Die Komponente dsShellExt.dll stellt die folgende Funktionalität zur Verfügung:
Ansprache von bestimmten digiSeal office pro 250-Funktionalitäten über das Kontextmenü
3.6.7 Funktion der Komponente dsAddIn.dll
Die Komponente dsAddIn.dll stellt die folgende Funktionalität zur Verfügung:
Schaltfläche in den Produkten MS Word 97, 2000, 2002, 2003 und 2007
3.6.8 Funktion der Komponente dsComPipe.exe
Die Komponente dsComPipe.exe stellt die folgende Funktionalität zur Verfügung:
Umsetzung des virtuellen Druckers digiSeal
3.6.9 Funktion der Komponente dsppnt.dll
Die Komponente dsppnt.dll stellt die folgende Funktionalität zur Verfügung:
Bereitstellung des virtuellen Druckerports für den virtuellen Drucker digiSeal für Windows NT4.0,
Windows 2000, Windows XP und nachfolgende Windows Betriebssysteme
3.6.10 Funktion der Komponente uninstall digiSeal.exe
Die Komponente uninstall digiSeal.exe stellt die folgende Funktionalität zur Verfügung:
Deinstallation der Software digiSeal office pro 250
3.6.11 Funktion der Komponente digiSealAPI.dll
Die Komponente digiSealAPI.dll stellt die folgende Funktionalität zur Verfügung:
API zur Ansprache der digiSeal office-Funktionalitäten über eine DLL mit C-Schnittstelle
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 17 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 4137
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
3.7 Abgrenzung
Die folgenden Merkmale kann das Produkt digiSeal office pro 250 nicht leisten:
Schutz des privaten Schlüssels
Diese Funktion gewährleistet ausschließlich die sichere Signaturerstellungseinheit.
Schutz der Signaturzertifikate auf der Signaturkarte
Diese Funktion obliegt ausschließlich der sicheren Signaturerstellungseinheit.
Sicherung der Integrität des CTAPI-Treibers
digiSeal office pro 250 enthält keine Funktionen zur Sicherung der Integrität des CTAPI-Treibers
des Kartenlesegeräteherstellers.
Sicherung der Integrität des Betriebssystems (Systemumgebung)
digiSeal office pro 250 enthält keine Funktionen zur Sicherung der Integrität des Betriebssystems
(Systemumgebung). Die Sicherung der Integrität des Betriebssystems obliegt dem Anwender bzw.
dem Systemadministrator. Sie müssen geeignete Maßnahmen treffen, um eine Bewahrung des
Betriebssystems vor Beeinträchtigungen und Manipulationen sicherzustellen.
Vertrauenswürdigkeit der die digiSeal office pro 250-API nutzenden Applikationen
digiSeal office enthält keine Funktionen zur Prüfung und Sicherung der Vertrauenswürdigkeit von
Applikationen, welche die API aufrufen.
Sicherheit der kryptographischen Funktionen
Das Produkt digiSeal office pro 250 benutzt Bibliotheken zur Erzeugung und Verifikation
elektronischer Signaturen über das RSA Public Key Verfahren und unter Verwendung der Hash-
Verfahren
SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 und RIPEMD-160. Der TOE (EVG) kann die
Stärke der kryptografischen Mechanismen nicht garantieren und keine Aussagen über die Stärke
der kryptografischen Funktionen postulieren.
digiSeal office pro 250 dient zur Erstellung und Verifikation von elektronischen Signaturen. Dazu
übernimmt digiSeal office pro 250 bei der Erstellung von elektronischen Signaturen folgende
Teilaufgaben: Hashwertbildung, Kommunikation mit der SSEE zur Signierung eines Hashwertes
(Bildung einer elektronischen Signatur), Verifikation des signierten Hashwertes (Signatur) und
Speicherung der signierten Datei im gewünschten Signaturaustauschformat.
Bei der Verifikation elektronischer Signaturen übernimmt digiSeal office pro 250 die folgenden
Teilaufgaben: Prüfung der Dateisignatur, lokale Zertifikatsprüfung, Onlinezertifikatsprüfung unter
Nutzung des OCSP-Protokolls und Erzeugung eines Prüfprotokolls.
digiSeal office pro 250 kann die Protokollierung elektronischer Signaturvorgänge auf dem Rechner
des Benutzers nicht verhindern.
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 18 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4138 – Mitteilungen, Qualifizierte elektronische Signatur, 22 2010
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
4. Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
4.1 Erfüllte Anforderungen
Das Produkt digiSeal office pro 250 erfüllt die nachfolgend aufgeführten Anforderungen des SigG:
Referenz Gesetzestext Bemerkungen
§ 17 Abs. 2 Satz 1 SigG Für die Darstellung zu Wird durch digiSeal office pro
signierender Daten sind 250 erfüllt.
Signaturanwendungs-
Siehe hierzu auch Kapitel "3.3 -
komponenten erforderlich, die die
Erzeugung qualifizierter
Erzeugung einer qualifizierten
elektronischer Signaturen" ff.
elektronischen Signatur vorher
eindeutig anzeigen und feststellen Vor dem Nachweis der PIN
lassen, auf welche Daten sich die gegenüber der SSEE erfolgt die
Signatur bezieht. Anzeige eines
zusammenfassenden
Signaturauftrages, in welchem
dem Signaturschlüsselinhaber
eindeutig angezeigt wird, mit
welchem Zertifikat er für welche
Dateien die SSEE aktiviert. Nach
Bestätigung des
Signaturauftrages erfolgt der
Nachweis der PIN über ein
Kartenlesegerät mit sicherer PIN-
Eingabemöglichkeit gegenüber
der SSEE.
§ 17 Abs. 2 Satz 2 SigG, Für die Überprüfung signierter Wird durch digiSeal office pro
Daten sind Signaturanwendungs- 250 erfüllt.
komponenten erforderlich, die
Siehe hierzu auch Kapitel "3.4 -
feststellen lassen,
Prüfung qualifizierter
1. auf welche Daten sich die elektronischer Signaturen" ff.
Signatur bezieht,
Das Prüfergebnis wird dem
2. ob die signierten Daten Anwender eindeutig angezeigt.
unverändert sind, Weiterhin wird zu jeder geprüften
Datei von digiSeal office pro 250
3. welchem Signaturschlüssel-
eine Prüfdokumentation erstellt,
Inhaber die Signatur zuzuordnen
aus der alle geforderten Daten
ist,
ersichtlich sind.
4. welche Inhalte das qualifizierte Weitergehende Informationen zur
Zertifikat, auf dem die Signatur Prüfdokumentation sind im
beruht, und zugehörige Kapitel "3.4.3 -
qualifizierte Attribut-Zertifikate Prüfdokumentation" ausführlich
aufweisen und dargestellt.
5. zu welchem Ergebnis die
Nachprüfung von Zertifikaten nach
§ 5 Abs. 1 Satz 3 geführt hat.
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 19 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 4139
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
Referenz Gesetzestext Bemerkungen
§ 17 Abs. 2 Satz 3 SigG, Signaturanwendungskomponenten Wird durch digiSeal office pro
müssen nach Bedarf auch den 250 für Dateien im TIFF-
Inhalt der zu signierenden oder Dateiformat (schwarz-weiß,
signierten Daten hinreichend Graustufen) vollständig
erkennen lassen. gewährleistest.
Für alle anderen Dateiformate
wird dies durch die
Einsatzumgebung des Nutzers
erfüllt.
Siehe hierzu auch Kapitel "3.3 -
Erzeugung qualifizierter
elektronischer Signaturen" ff.
Für Dateien im TIFF-Dateiformat
(schwarz-weiß, Graustufen)
erfolgt die Anzeige im Secure
Viewer. Für alle anderen
Dateiformate muss der Nutzer
durch technische und
organisatorische Maßnahmen
sicherstellen, dass Inhalte bei
Bedarf mit externen Programmen
angezeigt werden können.
§ 15 Abs. 2 Nr. 1 SigV, Signaturanwendungskomponenten Wird durch digiSeal office pro
nach § 17 Abs. 2 des 250 erfüllt.
Signaturgesetzes müssen
Siehe hierzu auch Kapitel "3.3.3 -
gewährleisten, dass
Absicherung des
1. bei der Erzeugung einer Signaturprozesses"
qualifizierten elektronischen
zu a) Die Identifikationsdaten
Signatur
(PIN) werden nur auf der SSEE
a) die Identifikationsdaten nicht verwendet. Die Übergabe der
preisgegeben und diese nur auf PIN gegenüber der SSEE erfolgt
der jeweiligen sicheren mittels Kartenlesegerät mit
Signaturerstellungseinheit sicherer PIN-Eingabemöglichkeit.
gespeichert werden,
zu b) Die Aktivierung der SSEE
b) eine Signatur nur durch die kann nur durch den
berechtigt signierende Person Signaturschlüsselinhaber
erfolgt, erfolgen, da nur dieser im Besitz
der PIN ist.
c) die Erzeugung einer Signatur
vorher eindeutig angezeigt wird zu c) Die Erzeugung einer
und (...) Signatur wird vor dem
eigentlichen Signaturprozess
dem Signaturschlüsselinhaber
laufend angezeigt.
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 20 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4140 – Mitteilungen, Qualifizierte elektronische Signatur, 22 2010
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
Referenz Gesetzestext Bemerkungen
§ 15 Abs. 2 Nr. 2 SigV und (...) 2. bei der Prüfung einer Wird durch digiSeal office pro
qualifizierten elektronischen 250 erfüllt.
Signatur
Der Prüfprozess erfolgt wie in
a) die Korrektheit der Signatur Kapitel "3.4 - Prüfung
zuverlässig geprüft und zutreffend qualifizierter elektronischer
angezeigt wird und Signaturen" ff. dokumentiert.
b) eindeutig erkennbar wird, ob die
nachgeprüften qualifizierten
Zertifikate im jeweiligen Zertifikat-
Verzeichnis zum angegebenen
Zeitpunkt vorhanden und nicht
gesperrt waren.
§ 15 Abs. 4 SigV. Signaturanwendungskomponenten Wird durch digiSeal office pro
nach § 17 Abs. 2 des 250 erfüllt.
Signaturgesetzes müssen
Die Sicherung der
gewährleisten, dass (...)
Signaturanwendungskomponente
3. Sicherheitstechnische erfolgt wie im Kapitel "3.2.4 -
Veränderungen an technischen Integritätsprüfung" beschrieben.
Komponenten nach den Absätzen
1 bis 3 müssen für den Nutzer
erkennbar werden.
Tabelle 6: Erfüllte gesetzliche Anforderungen
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 21 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 4141
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
4.2 Anforderungen an das Produkt bzgl. schwach werdender Algorithmen und qualifizierter
Zeitstempel 6
Signaturanwendungskomponenten i. S. v. § 2 Nr. 11 b SigG müssen auch dann eine zuverlässige
Prüfung und zutreffende Anzeige des Ergebnisses gem. § 15 Abs. 2 Nr. 2a SigV gewährleisten, wenn
die geprüfte Signatur auf einem Algorithmus oder Parameter beruht, der als nicht mehr geeignet und
damit als nicht mehr hinreichend zuverlässig eingestuft ist, oder wenn ein qualifizierter Zeitstempel
vorliegt.
Das Produkt digiSeal office pro 250 erfüllt die Anforderungen an schwach werdende Algorithmen und
qualifizierte Zeitstempel wie folgt:
Anforderung Erfüllung durch digiSeal office pro 250
a) Abgelaufene Algorithmen: Die Anforderung wird durch digiSeal office pro
250 vollständig erfüllt.
Die Prüfung einer Signatur durch eine
Signaturanwendungskomponente (SAK) für digiSeal office pro 250 prüft die Gültigkeit der
qualifizierte elektronische Signaturen i.S.v. § 2 Signatur zum Signaturzeitpunkt und zeigt dieses
Nr. 11b SigG muss bei abgelaufenen Prüfergebnis dem Nutzer eindeutig an. Darüber
Algorithmen für den Nutzer deutlich anzeigen, hinaus trifft digiSeal office pro 250 Aussagen zur
dass die geprüfte Signatur mit einem Gültigkeit der verwendeten kryptographischen
Algorithmus erzeugt wurde, der nicht mehr dem Algorithmen zum Signaturzeitpunkt und zum
Stand der Wissenschaft und Technik entspricht, Prüfzeitpunkt.
und sie somit einen verminderten Beweiswert
Eine Zusammenfassung des Prüfprozesses
hinsichtlich der Authentizität und Integrität des
einschließlich der verwendeten
verbundenen Dokuments gegenüber dem
kryptographischen Algorithmen und deren
Signaturzeitpunkt besitzt. Weiter sollte der
Gültigkeitsdauer erhält der Anwender der Teil-
Zeitpunkt, zu dem der Algorithmus seine
SAK in der Prüfdokumentation.
Eignung verloren hat, zutreffend angezeigt
werden. Es erfolgen keine unspezifischen Aussagen zu
abgelaufenen Algorithmen.
Unspezifische Aussagen zu abgelaufene
Algorithmen sind nicht zulässig.
b) Nicht implementierte Algorithmen: Die Anforderung wird durch digiSeal office pro
250 vollständig erfüllt.
Ist bei der Prüfung einer Signatur ein
Algorithmus zu verwenden, der in der Der Anwender der Teil-SAK erhält bei nicht
Verifikationskomponente der SAK nicht unterstützten kryptographischen Funktionen
implementiert ist, so muss dies dem Nutzer eine eindeutige Auskunft, weshalb keine
zutreffend angezeigt werden. vollständige Signaturprüfung durchgeführt
werden konnte.
Unspezifische Aussagen zu nicht
implementierten Algorithmen sind nicht zulässig Es erfolgen keine unspezifischen Aussagen zu
nicht implementierten Algorithmen.
6
(vgl. FAQ 28 unter: http://www.bundesnetzagentur.de/cln_1911/SharedDocs/FAQs/DE/BNetzA/QES/
28PruefungESignaturen.html?nn=75924)
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 22 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
4142 – Mitteilungen, Qualifizierte elektronische Signatur, 22 2010
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
Anforderung Erfüllung durch digiSeal office pro 250
c) Qualifizierte Zeitstempel: Die Anforderung wird durch digiSeal office pro
250 vollständig erfüllt.
Tragen Daten eine qualifizierte Signatur, bei
deren Verifikation zu erkennen ist, dass der Von digiSeal office pro 250 erzeugte qualifizierte
Signaturprüfschlüssel zu einem Zeitstempel- Zeitstempel werden vollständig geprüft und das
Zertifikat gehört, so ist dies dem Nutzer Prüfergebnis einschließlich Zeitstempelzeitpunkt
zutreffend anzuzeigen. Der Zeitpunkt, der im korrekt dem Anwender angezeigt. Das
qualifizierten Zeitstempel enthalten ist, ist dem Prüfergebnis wird auch im Prüfprotokoll
Nutzer ebenfalls darzulegen. dokumentiert. Es kann nicht garantiert werden,
dass qualifizierte Zeitstempel, die mit Teil-SAKs
Solange kein standardisiertes Verfahren für die
von Marktbegleitern erzeugt wurden, erkannt
Einbindung von qualifizierten Zeitstempeln
und vollumfänglich geprüft werden.
existiert, ist es ausreichend, wenn das Produkt
seine selbst integrierten qualifizierten Es erfolgen keine unspezifischen Aussagen im
Zeitstempel auswerten kann. Qualifizierte Rahmen des Prüfprozesses von digiSeal office
Zeitstempel, die aus Fremdprodukten und damit pro 250 erzeugter qualifizierter Zeitstempel.
in einer ev. proprietären Datenstruktur vorliegen,
müssen nicht zwingend durch das Produkt
ausgewertet werden.
Unspezifische Aussagen zu qualifizierten
Zeitstempeln sind nicht zulässig.
Tabelle 7: Anforderungen bei schwach werdenden Algorithmen
Bei der Signaturverifikation werden Signatur- und Hashalgorithmus auf Ihre Eignung hin überprüft.
Sollte ein Algorithmus verwendet worden sein, dessen Eignung bei Signaturerzeugung bereits
abgelaufen war, so wird dem Benutzer angezeigt, dass die verwendeten Algorithmen zum
Signaturzeitpunkt ungeeignet waren. Sollte ein Algorithmus nach der Signaturerzeugung abgelaufen
sein, so wird dem Benutzer angezeigt, dass die verwendeten Algorithmen zum Verifikationszeitpunkt
ungeeignet waren. Die gleiche Eignungsprüfung erfolgt analog mit Zeitstempelsignaturen. Ferner
erhält der Benutzer in der Prüfdokumentation jeder Signatur eine klare Übersicht der verwendeten
kryptographischen Algorithmen sowie deren Eignung bzw. Gültigkeitsdauer (sowohl bei noch
geeigneten sowie bei bereits abgelaufenen Algorithmen).
Die Sicherheit einer qualifizierten elektronischen Signatur hängt primär von der Stärke der zugrunde
liegenden Algorithmen und zugehörigen Parameter, die zur Erzeugung von Signaturschlüsseln, zum
Hashen zu signierender Daten oder zur Erzeugung und Prüfung qualifizierter elektronischer
Signaturen ab. Daher wird die Eignung dieser Algorithmen regelmäßig nach dem jeweils aktuellen
Stand der Wissenschaft und Technik neu bestimmt. Hieraus folgt, dass derzeit gültige Algorithmen in
Zukunft als nicht mehr hinreichend sicher betrachtet werden können und daher nicht mehr zur
Erzeugung qualifizierter elektronischer Signaturen verwendet werden dürfen (vgl. SHA-1). Somit ist es
notwendig, Updates bzgl. der Gültigkeit von Signatur- und Hashalgorithmen der
Signaturanwendungskomponente bekannt zu machen. Infolgedessen wird der jeweils aktuelle
Algorithmenkatalog (siehe Kapitel "6 - Algorithmen und zugehörige Parameter") über das Software-
Update verteilt.
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 23 von 30
Bonn, 24. November 2010
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2010 – Mitteilungen, Qualifizierte elektronische Signatur, 4143
Teil A, Mitteilungen der Bundesnetzagentur –
DECLMAN-026-DSOP250-3.3_v1.1
5. Maßnahmen in der Einsatzumgebung
5.1 Einrichtung der IT-Komponenten
Vorgesehen ist für den Einsatz von digiSeal office pro 250 ein Personalcomputer mit folgenden
Minimalanforderungen:
Personalcomputer:
IBM-kompatibel ab Pentium 4 / 2 GHz
Arbeitsspeicher:
mindestens 2 GB RAM
Festplattenspeicher:
ausreichend freier Festplattenspeicher (mindestens 250 MB - abhängig vom Speicherort der zu
signierenden und signierten Daten)
CD-ROM-Laufwerk für die Installation
Betriebssystem:
Windows NT SP 6a
Windows 2000 SP4,
Windows XP Home Edition SP3
Windows XP Professional Edition SP3,
Windows Vista SP2 und
Windows 7
Kartenlesegerät:
Zur Gewährleistung der sicheren PIN-Eingabe wird der Einsatz eines der in Kapitel 3.3.1
beschriebenen Lesegerätes empfohlen.
Signaturkarte / Sichere Signaturerstellungseinheit (SSEE):
Eine von einem ZDA ausgegebene SSEE (siehe Kapitel 3.3.1) ist zu verwenden.
Netzverbindung:
Notwendig für den Zugriff auf die OCSP- bzw. LDAP-Verzeichnisdienste des Trustcenter.
Das Produkt digiSeal office pro 250 darf ausschließlich innerhalb der oben beschriebenen Hard- und
Softwareausstattung und Konfiguration eingesetzt werden.
5.1.1 Art des Einsatzbereiches
Grundlage dieser Herstellererklärung ist der Einsatz von digiSeal office pro 250 in einem geschützten
Einsatzbereich 7 : Für einen sicheren Betrieb ist es erforderlich, dass die Empfehlungen des
Benutzerhandbuches eingehalten und die Anforderungen an die Einsatzumgebung beachtet werden.
Dies setzt u.a. voraus, dass während des Betriebes von digiSeal office pro 250 keine unberechtigten
Personen Zugriffsmöglichkeiten auf die Art und Weise der Signaturprozesse haben. Prinzipiell gilt,
dass der Benutzer die Korrektheit sowie die Vertrauenswürdigkeit aller Komponenten des
Betriebssystems und der sonstig installierten Softwareprodukte sicherstellt.
Für den sicheren Einsatz von digiSeal office pro 250 und zur Verhinderung von erfolgreichen Angriffen
mit den Zielen, dass
digiSeal office pro 250 manipuliert wird,
Daten signiert werden, die nicht signiert werden sollen,
das Prüfergebnis der Signatur- bzw. Zertifikatsprüfung falsch angezeigt wird und
7
gemäß geschütztem Einsatzbereich (Regelfall/Standardlösung) der „Einheitlichen Spezifizierung der
Einsatzbedingungen für Signaturanwendungskomponenten“ der Bundesnetzagentur, Version 1.4,
Stand 19.07.2005
Herstellererklärung zu digiSeal office pro 250, Version 3.3, Version der Herstellererklärung 1.1
Seite 24 von 30
Bonn, 24. November 2010
