abl-02
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
520 – Mitteilungen, Qualifizierte elektronische Signatur, 02 2009
Teil A, Mitteilungen der Bundesnetzagentur –
4. Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
Die folgenden Anforderungen aus §15 SigV, Abs. 2 und 4 werden durch die Sicherheitsfunktionen
SF.CLMEM, SF.PINCMD, SF.SEAL und SF.SECDOWN wie folgt abgedeckt:
• Die Anforderungen aus §15 SigV, Abs. 2:
„Signaturanwendungskomponenten nach § 17 Abs. 2 des Signaturgesetzes müssen
gewährleisten, dass 1. bei der Erzeugung einer qualifizierten elektronischen Signatur a) die
Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren
1
Signaturerstellungseinheit gespeichert werden [...]“
werden durch die folgenden Sicherheitsfunktionen abgedeckt:
SF.CLMEM
SF.PINCMD
• Die Anforderung aus §15 SigV, Abs. 4:
„Sicherheitstechnische Veränderungen an technischen Komponenten nach den Absätzen 1
bis 3 müssen für den Nutzer erkennbar werden.“
werden durch die folgenden Sicherheitsfunktionen abgedeckt:
SF.SEAL
SF.SECDOWN
SF.PINCMD:
Die Firmware im Lesegerät prüft die Kommandos an den Chipkartenleser anhand ihrer Kommando-
struktur gemäß CCID. Diese werden vom der USB Docking Station empfangen. Werden diese
Kommandos als solche zum Verifizieren bzw. Modifizieren der PIN erkannt und ist ein an die
Chipkarte weiterzuleitendes Kommando mit einem der folgenden Instruction-Bytes enthalten:
• VERIFY (ISO/IEC 7816-4): INS=0x20
• CHANGE REFERENCE DATA (ISO/IEC 7816-8): INS=0x24
• ENABLE VERIFICATION REQUIR EMENT (ISO/IEC 7816-8): INS=0x28
• DISABLE VERIFICATION REQUIREMENT (ISO/IEC 7816-8): INS=0x26
• RESET RETRY COUNTER (ISO/IEC 7816-8): INS=0x2C
wird in den Modus zur sicheren Erfassung der PIN über das integrierte Keypad geschaltet.
Die Sicherheitsfunktion SF.PINCMD erkennt die von der Host-Software übermittelten Kommandos zur
PIN-Eingabe und fügt die über das Keypad eingegebenen Nummern als PIN an die entsprechenden
Stellen des Kommandos an die Chipkarte ein. Es findet keinerlei Rückmeldung über die eingegebene
PIN an den PC statt. Die Eingabe wird durch Sternchen (*) am LC-Display des EVG angezeigt. Der
Benutzer kann die Eingabe der PIN mit der (roten) Abbruchtaste jederzeit abbrechen, wodurch die
Übertragung der PIN zur Chipkarte verhindert wird. Der Benutzer muss die Eingabe der PIN mit der
(grünen) Bestätigungstaste abschliessen, alternativ kann die PIN-Länge vorgegeben werden, so dass
die letzte Ziffer der PIN die Eingabe automatisch abschliesst.
Während der PIN-Eingabe zeigt das LC-Display des EVG den sicheren Eingabemodus an.
SF.CLMEM:
Die Speicherbereiche für die PIN-Daten werden im Rahmen der sicheren PIN-Eingabe (SF.PINCMD)
nach Übertragung des Kommandos an die Chipkarte (auch bei Kommunikationsfehlern oder
zwischenzeitlich gezogener Karte), bei Abbruch durch den Anwender und bei einem Timeout während
der PIN-Eingabe wiederaufbereitet. Nach der Wiederaufbereitung ist die PIN nicht mehr im Speicher
des EVG vorhanden.
1
In diesem Dokument ist mit „Speicherung der Identitifikationsdaten“ die dauerhafte Speicherung der Identifikationsdaten
gemeint, die über den zur Verarbeitung unbedingt notwendigen Umfang hinausgeht. Der „zur Verarbeitung unbedingt not-
wendige Umfang“ ist der Zeitraum zwischen Eingabe der PIN über die Tastatur und dem Senden des PIN-Kommandos an die
Chipkarte.
Herstellererklärung zu Signatur-Modul für das KOBIL Chipkartenterminal
KAAN TriB@nk, Version 1.1
Seite 5 von 7
Bonn, 28. Januar 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
02 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 521
Teil A, Mitteilungen der Bundesnetzagentur –
SF.SECDOWN:
Eine neue Firmware kann in den EVG eingespielt werden. Dazu wird der EVG in den Bootloader-
Modus versetzt, in dem alle Funktionen des EVG deaktiviert werden, bis auf die Entgegennahme einer
neuen Firmware, die mit einer elektronischen Signatur des Herstellers versehen ist. Aus dem
Bootloader-Modus kann nur eine neu entgegengenommene, korrekt signierte Firmware (s.u.) wieder
aktiviert werden, eine Rückkehr zur vormals installierten Firmware ist nicht mehr möglich. Eine
entgegengenommene Firmware mit fehlerhafter Signatur wird nicht aktiviert, sondern es wird wieder in
den Bootloader-Modus verzweigt, der wiederum auf eine neue Firmware wartet.
Die Verifikation einer Signatur der Firmware mit dem asymmetrischen ECDSA-Algorithmus und einer
Bitlänge von 192 garantiert die Integrität und Authentizität der Firmware beim Laden einer neuen
Firmware in den Chipkartenleser.Der Hash-Wert über die neu zu ladende Firmware wird basierend auf
dem Algorithmus SHA-1 mit einer Länge von 160 Bit ermittelt.
Die Verifikation der Integrität und Authentizität erfolgt im EVG durch Vergleich des ermittelten Hash-
Wertes und des Hash-Wertes als Bestandteil der entschlüsselten Signatur. Der öffentliche Schlüssel
ist hierfür im EVG gespeichert.
SF.SEAL:
Das Gehäuse des EVG ist durch eine Versiegelung so verschlossen, dass es ohne eine Beschä-
digung der Versiegelung nicht geöffnet werden kann. Die Versiegelung ist so beschaffen, dass eine
Ablösung vom Untergrund (also vom Gehäuse) nicht ohne erkennbare Beschädigung der Versie-
gelung möglich ist. Die Siegel sind als „Sicherheitsetiketten“ evaluiert durch das BSI nach Sicher-
heitsstufe 2.
Der Kunde wird in der Benutzerdokumentation belehrt, die Unversehrtheit der Versiegelung vor jeder
PIN-Eingabe zu kontrollieren und das Gerät im Falle einer beschädigten Versiegelung nicht weiter zu
benutzen.
Durch organisatorische und vertragliche Massnahmen ist sichergestellt, dass die Siegel nur im Rah-
men der regulären Produktion von KOBIL Chipkartenterminals eingesetzt werden und Dritten nicht zur
Verfügung stehen.
Die Sicherheitsfunktion SF.SECDOWN beruht auf kryptographischen Wahrscheinlichkeits-
Mechanismen. SF.SEAL basiert auf einem Mechanismus der mechanischen Versiegelung, die hohem
Angriffspotential widersteht.
Herstellererklärung zu Signatur-Modul für das KOBIL Chipkartenterminal
KAAN TriB@nk, Version 1.1
Seite 6 von 7
Bonn, 28. Januar 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
522 – Mitteilungen, Qualifizierte elektronische Signatur, 02 2009
Teil A, Mitteilungen der Bundesnetzagentur –
5. Maßnahmen in der Einsatzumgebung
5.1 Einrichtung der IT-Komponenten
Dieser Abschnitt entfällt, da keine Vorgaben bzgl. der IT Komponenten gemacht werden müssen, um
die Sicherheitsfunktionen zu erfüllen.
5.2 Anbindung an ein Netzwerk
Dieser Abschnitt entfällt, da kein direkter Anschluss des EVG an ein Netzwerk vorgesehen ist.
5.3 Auslieferung und Installation
Die Auslieferung erfolgt auf dem Weg „Urzustand“ oder „Download“. Im Urzustand ist die Treiber-
software zu installieren. Im Auslieferungsweg „Download“ ist die heruntergeladene Firmware zu
installieren.
5.4 Auflagen für den Betrieb des Produktes
Die folgenden Auflagen werden gemacht:
OE.USER.RESP1:
Die Regeln zur sicheren Handhabung und Nichtweitergabe der PIN müssen dem Endanwender vom
Herausgeber der Chipkarte mitgeteilt werden, insbesondere die unbeobachtete Eingabe der PIN.
OE.USER.RESP2:
Während der PIN-Eingabe über das Keypad des Lesers muss der Endanwender die Anzeige im LC-
Display dahingehend überprüfen, dass der Modus der sicheren PIN-Eingabe aktiv ist.
OE.USER.RESP3:
Zertifizierte bzw. bestätigte Firmware, die von KOBIL Systems zum Download angeboten wird, muss
durch Angabe der Zertifizierungs- bzw. Bestätigungs-IDs gekennzeichnet sein. Der Endanwender
muss sich vor der Installation einer neuen Firmware davon überzeugen, dass diese nach SigG/SigV
bestätigt und nach Common Criteria zertifiziert ist.
OE.USER.RESP4:
Der Endanwender muss die Versiegelung vor jeder PIN-Eingabe auf Unversehrtheit hin überprüfen.
OE.USER.RESP5:
Der EVG darf ausschliesslich im nicht-öffentlichen oder privaten Bereich eingesetzt werden.
OE.USER.RESP6:
Für die qualifizierte Signatur ist der EVG nur in Verbindung mit Signatur-Chipkarten (Sichere Signatur-
Erstellungseinheit, SSEE) zu verwenden, die den Anforderungen des SigG/SigV entsprechen.
OE.USER.RESP7:
Für die qualifizierte Signatur ist der EVG nur in Verbindung mit Signatur-Anwendungskomponenten zu
verwenden, die den Anforderungen des SigG/SigV entsprechen.
6. Algorithmen und zugehörige Parameter
Dieser Abschnitt entfällt, da der EVG selbst keine Signaturen im Sinne des SigG/SigV erstellt oder
verarbeitet, sondern nur in Verbindung mit einer SSEE.
7. Gültigkeit der Herstellererklärung
Diese Herstellererklärung ist befristet bis 31.12.2008. Sie wird ersetzt durch die bis (spätestens) dahin
erteilte Bestätigungsurkunde des BSI.
8. Zusatzdokumentation
Dieser Abschnitt entfällt.
Ende der Herstellererklärung
Herstellererklärung zu Signatur-Modul für das KOBIL Chipkartenterminal
KAAN TriB@nk, Version 1.1
Seite 7 von 7
Bonn, 28. Januar 2009
media production bonn gmbh
Baunscheidtstr. 19
53113 Bonn
9390
Herausgeber Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
Redaktion Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
Referat Z 15 · Postfach 80 01 · 53105 Bonn; Tulpenfeld 4, 53113 Bonn
Telefon: (02 28) 14 53 18
Telefax: (02 28) 14 65 33
E-Mail: amtsblatt@bnetza.de
Erscheinungsweise Das Amtsblatt der BNetzA erscheint nach Bedarf, in der Regel 14täglich
Bezugspreis (einschließlich Versandkosten)
Bezug Versandform und Bezugspreis
nur Papier nur Papier und
Version elektronische elektronische
Version Version
Halbjahresabonnement Inland 26 € 26 € 47 €
Jahresabonnement Inland 48 € 48 € 86 €
Halbjahresabonnement Ausland 52 € 52 € 94 €
Jahresabonnement Ausland 96 € 96 € 173 €
Einzelexemplar 6,50 € 6,50 € 12 €
Im Bezugspreis ist keine Umsatzsteuer im Sinne des § 14 UStG enthalten
Bestellung/ media production bonn gmbh, Baunscheidtstr. 19, 53113 Bonn
Versand Abonnementverwaltung/Einzellieferung
Telefon: (02 28) 3 91 80-10
Telefax: (02 28) 3 91 80-29
E-Mail: info@bnetza-amtsblatt.de
Der Versand erfolgt gegen Rechnung
Halbjahresabonnements können jeweils zum 30.6. oder 31.12., Jahresabonnements zum 31.12. eines
Jahres mit einer Frist von vier Wochen gekündigt werden.
Druck Medienhaus Plump Gmbh, Rolandsecker Weg 33, 53619 Rheinbreitbach
Achtung neue Kontoverbindung: Sparkasse KölnBonn, Kto.: 190 197 0234, BLZ: 370 501 98
Bestellung Bezug Versandform und Bezugspreis
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, nur Papier nur Papier und
Version elektronische elektronische
Telekommunikation, Post Version Version
und Eisenbahnen
Halbjahresabonnement Inland 26 € 26 € 47 €
Jahresabonnement Inland 48 € 48 € 86 €
Halbjahresabonnement Ausland 52 € 52 € 94 €
Jahresabonnement Ausland 96 € 96 € 173 €
Einzelexemplar 6,50 € 6,50 € 12 €
Der Versand erfolgt gegen Rechnung. Abo ab: ___________________
Anzahl der Exemplare _______ Nummer bei Einzelexemplaren ____________
Name/Firma _____________________________________________________
Anschrift _______________________________________________________
_______________________________________________________
_______________________________________________________
media production bonn gmbh Mit der Weiterleitung einer neuen Anschrift durch die media production bonn gmbh
z. Hd. Frau Mathieu an den Verleger bin ich einverstanden
Baunscheidtstr. 19
53113 Bonn Datum/Unterschrift ________________________________________________
