abl-04
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 667
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer® / SecMailServer® 4.9.80
6 Algorithmen und zugehörige Parameter
Das Produkt SecPKIServer® / SecMailServer® 4.9.80 setzt den RSA Algorithmus mit der im
Signaturzertifikat angegebenen Schlüssellänge von mindestens 1728 Bit ein.
Die unterstützten RSA-Verfahren gelten nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bis 31.12.2010 als sicher. 5
Ferner unterstützt SecPKIServer® / SecMailServer® 4.9.80 das EC-DSA-Verfahren basierend auf
elliptischen Kurven mit einer Parameterlänge von 192 Bit.
Das unterstützte EC-DSA-Verfahren gilt nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bis 31.12.2009 als sicher. 6
Das Produkt SecPKIServer® / SecMailServer® 4.9.80 unterstützt die Hash-Funktion SHA-256, SHA-384,
SHA-512 und RIPEMD-160.
Die unterstützten Hash-Funktionen gelten nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bei Anwendung für qualifizierte Zertifikate bis 31.12.2010 als sicher.7
5 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
6 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
7 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
Herstellererklärung SecPKIServer® SecCommerce GmbH Seite 19 von 21
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
668 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer® / SecMailServer® 4.9.80
7 Gültigkeitsdauer der Herstellererklärung
Diese Erklärung ist bis zum 31.12.2009 gültig. Der aktuelle Status der Herstellererklärung liegt immer bei der
Bundesnetzagentur vor.
Herstellererklärung SecPKIServer® SecCommerce GmbH Seite 20 von 21
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 669
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecPKIServer® / SecMailServer® 4.9.80
8 Zusatzdokumentation
Folgende Bestandteile der Herstellererklärung wurden aus dem Veröffentlichungstext ausgegliedert und bei
der zuständigen Behörde hinterlegt:
� „Aus der Herstellererklärung ausgegliederte Dokumentation als Anhang zur Herstellererklärung des
Herstellers SecCommerce Informationssysteme GmbH, Obenhauptstraße 5, 22335 Hamburg, für
sein Produkt SecPKIServer® / SecMailServer® 4.9.80“:
SecCommerce.SecPKIServer_Anhang_4.9.80_04.04.2008 vom 30.10.2008, 30 Seiten
� „SecPKI Anwenderhandbuch für Konfiguration und Administration“ des Herstellers SecCommerce
Informationssysteme GmbH, Obenhauptstraße 5, 22335 Hamburg, für sein Produkt SecPKIServer® /
SecMailServer® 4.9.80“:
SecPKI_Handbuch.pdf, Version 3.67 vom 29.10.2008, 158 Seiten
Ende der Herstellererklärung
Herstellererklärung SecPKIServer® SecCommerce GmbH Seite 21 von 21
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
670 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Mitteilung Nr. 171/2009
Veröffentlichung von Herstellererklärungen für Produkte für qualifizierte elektronische Signaturen nach
§ 17 Abs. 4 SigG, die bei der Bundesnetzagentur hinterlegt wurden,
hier: SecCommerce Informationssysteme GmbH, SecSignerServer 4.9.80
Veröffentlichungshinweis
Die Bundesnetzagentur ist aufgrund des § 17 Abs. 4 des Signaturgesetzes (SigG) vom 16. Mai 2001
(BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. I S. 179),
verpflichtet, Erklärungen durch Hersteller von Produkten für qualifizierte elektronische Signaturen (Her-
stellererklärungen) im Amtsblatt der Bundesnetzagentur zu veröffentlichen. Das Amtsblatt dient inso-
weit nur als Veröffentlichungsmedium. Der Veröffentlichung ist weder eine materielle Prüfung der Her-
stellererklärungen noch eine Prüfung der in ihnen bezuggenommenen Produkte durch die Bundesnetz-
agentur vorausgegangen. Für den Inhalt der Herstellererklärungen und für die Produkte sind allein die
Hersteller verantwortlich.
Hersteller:
SecCommerce Informationssysteme GmbH
Obenhauptstraße 5
22335 Hamburg
Produkt:
SecSignerServer 4.9.80
Bezeichnung der Herstellererklärung:
Herstellererklärung SecSignerServer 4.9.80, Stand: 06. Januar 2009
Als weitere Unterlagen wurden eingereicht:
1. SecCommerce.SecSignerServer_Anhang_4.9.80_04.04.2008 vom 06.01.2009, 25 Seiten
2. SecSignerServer_Anwenderhandbuch.pdf, Version 1.19 vom 12.12.2008, 20 Seiten
Es folgt der Text der Herstellererklärung:
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 671
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
Der Hersteller
SecCommerce Informationssysteme GmbH
Obenhauptstraße 5
22335 Hamburg
1
erklärt hiermit gemäß §17 Abs. 4 Satz 2 SigG
in Verbindung mit §15 Abs. 5 SigV 2 ,
dass sein Produkt
SecSignerServer® 4.9.80
als
Teil-Signaturanwendungskomponente
die Anforderungen des Signaturgesetzes1 bzw. der Signaturverordnung2 erfüllt.
Hamburg, den 06.01.2009
___________________________________
gez. André Damm-Goossens,
Geschäftsführer
SecCommerce Informationssysteme GmbH
Diese Herstellererklärung mit der Dokumentennummer
SecCommerce.SecSignerServer_4.9.80_04.04.2008 besteht aus 18 Seiten.
1 Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) in der
Fassung vom 16. Mai 2001 (BGBl 1 S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar
2007(BGBl 1 S. 179)
2 Verordnung zur elektronischen Signatur (Signaturverordnung - SigV) in der Fassung vom 16.
November 2001 ( BGBl. 1 S. 3074), zuletzt geändert durch Artikel 9 Abs. 18 des Gesetzes vom 23.
November 2007 (BGBl. 1 S. 2631)
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
672 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecSignerServer® 4.9.80
1 Handelsbezeichnung
Die Handelsbezeichnung lautet: SecSignerServer® 4.9.80
Auslieferung: Zip-Datei mit qualifizierter Signatur
(vgl. Abschnitte 4.1, 5.3).
Hersteller: SecCommerce Informationssysteme GmbH
Obenhauptstr. 5
22335 Hamburg
Handelsregister: HRB 69920
Amtsgericht Hamburg
Herstellererklärung SecSignerServer® SecCommerce GmbH Seite 2 von 18
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 673
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecSignerServer® 4.9.80
2 Lieferumfang
Lieferumfang: SecSignerServer® 4.9.80 ist eine Software und besteht aus einer bereitgestellten Java-
Anwendung sowie dazugehörigen Konfigurationsdateien. Anwendung und Konfigurationsdateien werden als
Zip-Datei mit qualifizierte Signatur ausgeliefert. Nicht zum Lieferumfang gehören weitere Produkte, die zur
Nutzung der Software und zur Erzeugung von Signaturen notwendig sind, wie z.B. Chipkartenleser und
Signaturkarte (sichere Signaturerstellungseinheit).
Nachfolgend ist der Lieferumfang, einschließlich der Versionsinformationen, aufgezählt:
Produktbestandteil Bezeichnung Version Übergabeform
Software Zip-Datei 'SecSignerServer.zip' 4.9.80 Download
Qualifizierte Signatur Signaturdatei 'SecSignerServer.zip.pkcs7' Download
Tabelle 1: Lieferumfang und Versionsinformationen
Auslieferung:
Als Produkt an Endanwender durch den Hersteller oder ausgewählte Dienstanbeiter per Download als Zip-
Datei. Zur Prüfung der Authentizität der Zip-Datei kann eine qualifizierte Signatur abgerufen werden, die mit
einer geeigneten Signaturanwendungskomponente geprüft werden kann (z.B, mit der Online-Version der
Software SecSigner®).
Die Zip-Datei enthält die folgenden Dateien/Verzeichnisse mit sicherheitsrelevante Funktionen:
� SecSignerServer/SecSignerApiRes.jar
� SecSignerServer/SecSignerServer.jar
Andere Dateien im Zip (Dokumentation, Aufrufbeispiele, Start-Scripte) enthalten keine sicherheitsrelevante
Funktionen und sind nicht Teil der Anwendung SecSignerServer® 4.9.80.
Herstellererklärung SecSignerServer® SecCommerce GmbH Seite 3 von 18
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
674 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecSignerServer® 4.9.80
Das Produkt SecSignerServer® 4.9.80 nutzt die folgenden nach SigG bestätigten Produkte, die von Dritten
hergestellt werden und nicht Bestandteil dieser Erklärung sind (z.B. Kartenleser oder sichere
Signaturerstellungseinheiten):
Produktklasse Bezeichnung Registriernummer der
Bestätigung
SSEE Telesec Signaturkarte PKS-Card, E4KeyCard, TUVIT.09339.TE.12.2000
E4NetKeyCard, Version 3.0
SSEE DATEV Signaturkarte e:secure-Card Version 1.0, TUVIT.09341.TE.03.2001
1.10, 1.20
SSEE Signaturerstellungseinheit "Chipkarte mit Prozessor T-Systems.02182.TE.11.2006
SLE66CX322P oder SLE66CX642P, Software
CardOS V4.3B Re_Cert with Application for Digital
Signature"
SSEE ZKA-Signaturkarte, Version 5.11 TUVIT.93138.TE.11.2006
SSEE ZKA-Signaturkarte, Version 5.11M TUVIT.93148.TU.06.2007
SSEE STARCOS 3.0 with Electronic Signature Application TUVIT.93100.TE.09.2005
V3.0 (Signtrust Card 3.0, Signtrust MCard 3.0,
Signtrust MCard 100 3.0)
SSEE Chipkarte mit Prozessor SLE66CX322P, T-Systems.02122.TE.05.2005
Betriebssystem CardOS V4.3B mit Applikation für
digitale Signatur (TC QSign)
Tabelle 2: Zusätzliche Produkte (SSEE)
Produktklasse Bezeichnung Registriernummer der
Bestätigung
Kartenleser cyberJack e-com, Version 2.0 TUVIT.09363.TE.06.2002
Kartenleser cyberJack e-com, Version 3.0 TUVIT.93155.TE.09.2008
Kartenleser KOBIL Chipkartenterminals KAAN Professional und TUVIT.09331.TE.03.2002
B1 Professional HW-Version KCT100, FW-Version
2.08 GK 1.04
Kartenleser Omnikey: CardMan Trust CM3621 / CM3821, BSI.02057.TE.12.2005
Firmware-Version 6.00
Tabelle 3: Zusätzliche Produkte (Kartenleser)
Herstellererklärung SecSignerServer® SecCommerce GmbH Seite 4 von 18
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 675
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecSignerServer® 4.9.80
3 Funktionsbeschreibung
Die Software SecSignerServer® 4.9.80 ist Teil einer Signaturanwendungskomponente für die Erzeugung
qualifizierter elektronischer Signaturen und erfüllt die im Signaturgesetz (SigG) und der Signaturverordnung
(SigV) definierten Anforderungen an eine Signaturanwendungskomponente, die im Abschnitt 4.1 spezifiziert
sind. SecSignerServer® 4.9.80 erfüllt die vorgeschriebene Sicherheitsstufe, die das SigG für
Signaturanwendungskomponenten für qualifizierte elektronische Signaturen vorsieht. Im folgenden ist daher
mit „Zertifikat“ immer ein „qualifiziertes Zertifikat“ und mit „Signatur“ immer eine „qualifizierte Signatur“ im
Sinne des SigG zu verstehen.
Mit dem SecSignerServer® 4.9.80 können in Verbindung mit geeigneten Chipkartenlesern und sicheren
Signaturerstellungseinheiten (Signaturkarten) qualifizierte Signaturen serverseitig im
Massensignaturverfahren erzeugt werden. Dem SecSignerServer® 4.9.80 werden stapelweise zu
signierende Daten über das Dateisystem übergeben. SecSignerServer® 4.9.80 erzeugt einen Hashwert zu
jedem Datensatz, führt diesen der sicheren Signaturerstellungseinheit zur Signatur zu und erzeugt aus der
erhaltenen Signatur ein Signaturdatenobjekt, das in das Dateisystem zurückgeschrieben wird.
Bei der serverseitigen Signaturerzeugung muss durch die Einsatzumgebung sichergestellt werden, dass
gleichwertige Dokumente zur Signaturerzeugung übergeben werden. Durch die Nutzung von Attribut-
zertifikaten oder Attributen im Hauptzertifikat ist der Signaturzweck eindeutig zu bezeichnen. Die Freigabe
der PIN am Kartenleser wird durch die Konfiguration des SecSignerServer® 4.9.80 auf einen festen Zeitraum
oder auf einer feste Signaturzahl beschränkt. Die Voreinstellung für die Freischaltung ist die Freigabe für
24h. Vor der Eingabe der PIN am Kartenleser muss der Signaturkarteninhaber die im Display des
Kartenlesers angezeigte Freigabe bestätigen. Nach der Freigabe wird ein auf dem Display des Kartenlesers
das Anstoßen der Massensignatur als Warnhinweis angezeigt. Dieser Hinweis muss am Kartenleser
bestätigt werden, ehe Signaturen erzeugt werden können. Die Erzeugung einer Signatur wird jeweils am
Kartenleser angezeigt. Erzeugte Signaturen werden vor der Rückgabe geprüft.
Die vorgesehene Einsatzumgebung ist durch einen Server mit Standard-Betriebssystem und Standard-
Hardware gekennzeichnet, der in einem „geschützten Einsatzbereich“ gemäß Definition der Bundes-
netzagentur (vgl. Abschnitt 5) eingesetzt wird.
Der Ablauf der Prozesse im SecSignerServer® 4.9.80 kann nicht von außen beeinflusst werden.
SecSignerServer® 4.9.80 gibt die Kontrolle erst nach erfolgreichem Abschluss der entsprechenden Operation
(Erzeugen einer Signatur mithilfe einer Signaturkomponente) an das externe Anwendungsprogramm zurück,
ansonsten erfolgt eine Fehlermeldung.
Durch dieses Konzept wird erreicht, dass die Sicherheitsfunktionalität des SecSignerServer® 4.9.80
grundsätzlich nicht von außen beeinflusst werden kann.
SecSignerServer® 4.9.80 stellt im Einzelnen die folgenden signaturgesetzlich relevanten Funktionen zur
Verfügung:
� Die Berechnung von Hashwerten nach den Standards SHA-256, SHA-384, SHA-512 und RipeMD-
160.
� Die Zuführung der zu signierenden Daten an eine sichere Signaturerstellungs-einheit.
� Die Erzeugung von Signaturdatenobjekten nach dem Standard PKCS#7 SignedData.
� Die Unterstützung der sicheren PIN-Eingabe durch Verwendung eines geeigneten Kartenlesers
durch den Benutzer.
� Die Visualisierung der Tatsache der Erzeugung einer elektronischen Signatur vor der Durchführung
des Signiervorgangs an der sicheren Anzeige des Kartenlesers.
� Die Verifikation der Authentizität signierter Daten durch eine mathematische Prüfung der
Zertifikatskette beginnend vom Signaturzertifikat bis zu einem vertrauenswürdigen Wurzelzertifikat
und
� eine Prüfung, ob das Signaturzertifikat aktuell gesperrt ist mithilfe einer Online-Abfrage beim
herausgebenden Trustcenter.
� Die Verifikation qualifizierter Signaturzertifikate.
Herstellererklärung SecSignerServer® SecCommerce GmbH Seite 5 von 18
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
676 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecSignerServer® 4.9.80
SecSignerServer® 4.9.80 erfüllt die Anforderungen nach §17 (2) Signaturgesetz und §15 (2,4,5)
Signaturverordnung. Die Darstellung der zu signierenden Daten ist wird dabei abweichend über einen
externen Secure Viewer realisiert. Details zur Erfüllung der Anforderung sind in 4.1 beschrieben.
SecSignerServer® 4.9.80 ermöglicht das gleichzeitige Handling von einem oder mehreren Kartenlesern und
Signaturkarten (Array).
PIN-Eingabe: Durch die Nutzung bestätigter Chipkartenleser mit sicherer PIN-Eingabe am Lesegerät wird
sichergestellt, dass kein automatisierter Prozess stattfindet, der nach Eingabe der PIN diese für das System
vorhält, zum Signieren automatisch abruft und an die SSEE sendet.
Zertifikatsauswertung: Bei der Zertifikatsauswertung erzeugt SecSignerServer® 4.9.80 eine Zertifikatkette
vom Unterzeichner- bis zum Wurzelzertifikat entsprechend RFC 3280 und prüft die Zertifikatkette nach dem
Kettenmodell.
3.1 Beschreibung der externen Schnittstellen
Als externe Schnittstellen des SecSignerServer® 4.9.80 steht das Dateisystem zur Verfügung. Über diese
Schnittstelle können alle Funktionen der Signaturanwendungskomponente genutzt werden. Die Schnittstelle
kapselt sämtliche sicherheitsspezifischen Funktionen gegenüber der aufrufenden Anwendung. Die
Schnittstelle wird deshalb konzeptionell als „Container“ bezeichnet, da sie gegenüber der Anwendung den
Signierprozess selbständig verwaltet. Der Ablauf des Signierprozesses kann von der aufrufenden
Anwendung nicht beeinflusst werden; erst nach vollständigem Durchlaufen des Signierprozesses erhält die
aufrufende Anwendung das Ergebnis zurück.
Externe Schnittstellen
Die Interaktionskomponente stellt als externe Schnittstellen folgende Funktionalität zur Verfügung:
� Signierprozess mit Zertifikatprüfung: Dokument beliebigen Typs, OCSP-Schnittstelle (Die zu
verwendende URL wird jeweils dem Signaturzertifikat entnommen.)
Die Ergebniswerte werden über analog zur Übergabe (Dateisystem) an die aufrufende Anwendung
zurückgeliefert.
Die Übergabe-Schnittstelle ist im Einzelnen wie folgt abgesichert:
� Dateisystem: Die Zugriffsrechte für die Übervergabe-Verzeichnis sind so zu setzen, dass nur der
signaturdatenerzeugende Prozess (z.B. eBilling-System) und SecSignerServer® 4.9.80 darauf
zugreifen können. Signaturen werden dabei von SecSignerServer® 4.9.80 ins Dateisystem
geschrieben.
3.2 Typische Anwendungsszenarien
SecSignerServer® 4.9.80 wird typischerweise in folgenden Anwendungsszenarien eingesetzt:
Serverseitige Signaturerzeugung: Signatur von Ausgangsrechnungen gem. §14 UStG, Signatur von
Druckdatenströmen.
Herstellererklärung SecSignerServer® SecCommerce GmbH Seite 6 von 18
Bonn, 4. März 2009
