abl-04
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
686 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecSignerServer® 4.9.80
6 Algorithmen und zugehörige Parameter
Das Produkt SecSignerServer® 4.9.80 setzt den RSA Algorithmus mit der im Signaturzertifikat angegebenen
Schlüssellänge von mindestens 1728 Bit ein.
Die unterstützten RSA-Verfahren gelten nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bis 31.12.2010 als sicher. 5
Ferner unterstützt SecSignerServer® 4.9.80 das EC-DSA-Verfahren basierend auf elliptischen Kurven mit
einer Parameterlänge von 192 Bit.
Das unterstützte EC-DSA-Verfahren gilt nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bis 31.12.2009 als sicher. 6
Das Produkt SecSignerServer® 4.9.80 unterstützt die Hash-Funktion SHA-256, SHA-384, SHA-512 und
RIPEMD-160.
Die unterstützten Hash-Funktionen gelten nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bei Anwendung für qualifizierte Zertifikate bis 31.12.2010 als sicher.7
5 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
6 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
7 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
Herstellererklärung SecSignerServer® SecCommerce GmbH Seite 16 von 18
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 687
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecSignerServer® 4.9.80
7 Gültigkeitsdauer der Herstellererklärung
Diese Erklärung ist bis zum 31.12.2009 gültig. Der aktuelle Status der Herstellererklärung liegt immer bei der
Bundesnetzagentur vor.
Herstellererklärung SecSignerServer® SecCommerce GmbH Seite 17 von 18
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
688 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecSignerServer® 4.9.80
8 Zusatzdokumentation
Folgende Bestandteile der Herstellererklärung wurden aus dem Veröffentlichungstext ausgegliedert und bei
der zuständigen Behörde hinterlegt:
� „Aus der Herstellererklärung ausgegliederte Dokumentation als Anhang zur Herstellererklärung des
Herstellers SecCommerce Informationssysteme GmbH, Obenhauptstraße 5, 22335 Hamburg, für
sein Produkt SecSignerServer® 4.9.80“:
SecCommerce.SecSignerServer_Anhang_4.9.80_04.04.2008 vom 06.01.2009, 25 Seiten
� „SecSignerServer Anwenderhandbuch“ des Herstellers SecCommerce Informationssysteme GmbH,
Obenhauptstraße 5, 22335 Hamburg, für sein Produkt SecSignerServer® 4.9.80“:
SecSignerServer_Anwenderhandbuch.pdf, Version 1.19 vom 12.12.2008, 20 Seiten
Ende der Herstellererklärung
Herstellererklärung SecSignerServer® SecCommerce GmbH Seite 18 von 18
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 689
Teil A, Mitteilungen der Bundesnetzagentur –
Mitteilung Nr. 172/2009
Veröffentlichung von Herstellererklärungen für Produkte für qualifizierte elektronische Signaturen nach
§ 17 Abs. 4 SigG, die bei der Bundesnetzagentur hinterlegt wurden,
hier: SecCommerce Informationssysteme GmbH, SecVerificationServer 4.9.80
Veröffentlichungshinweis
Die Bundesnetzagentur ist aufgrund des § 17 Abs. 4 des Signaturgesetzes (SigG) vom 16. Mai 2001
(BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. I S. 179),
verpflichtet, Erklärungen durch Hersteller von Produkten für qualifizierte elektronische Signaturen (Her-
stellererklärungen) im Amtsblatt der Bundesnetzagentur zu veröffentlichen. Das Amtsblatt dient inso-
weit nur als Veröffentlichungsmedium. Der Veröffentlichung ist weder eine materielle Prüfung der Her-
stellererklärungen noch eine Prüfung der in ihnen bezuggenommenen Produkte durch die Bundesnetz-
agentur vorausgegangen. Für den Inhalt der Herstellererklärungen und für die Produkte sind allein die
Hersteller verantwortlich.
Hersteller:
SecCommerce Informationssysteme GmbH
Obenhauptstraße 5
22335 Hamburg
Produkt:
SecVerificationServer 4.9.80
Bezeichnung der Herstellererklärung:
Herstellererklärung SecVerificationServer 4.9.80, Stand: 06. Januar 2009
Als weitere Unterlagen wurden eingereicht:
1. SecCommerce.SecVerificationServer_Anhang_4.9.80_04.04.2008 vom 06.01.2009, 20 Seiten
2. SecVerificationServer_Handbuch.pdf, Version 1.5 vom 18.12.2008, 10 Seiten
Es folgt der Text der Herstellererklärung:
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
690 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
Der Hersteller
SecCommerce Informationssysteme GmbH
Obenhauptstraße 5
22335 Hamburg
1
erklärt hiermit gemäß §17 Abs. 4 Satz 2 SigG
in Verbindung mit §15 Abs. 5 SigV 2 ,
dass sein Produkt
SecVerificationServer® 4.9.80
als
Teil-Signaturanwendungskomponente
die Anforderungen des Signaturgesetzes1 bzw. der Signaturverordnung2 erfüllt.
Hamburg, den 06.01.2009
___________________________________
gez. André Damm-Goossens,
Geschäftsführer
SecCommerce Informationssysteme GmbH
Diese Herstellererklärung mit der Dokumentennummer
SecCommerce.SecVerificationServer_4.9.80_04.04.2008 besteht aus 16 Seiten.
1 Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) in der
Fassung vom 16. Mai 2001 (BGBl 1 S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar
2007(BGBl 1 S. 179)
2 Verordnung zur elektronischen Signatur (Signaturverordnung - SigV) in der Fassung vom 16.
November 2001 ( BGBl. 1 S. 3074), zuletzt geändert durch Artikel 9 Abs. 18 des Gesetzes vom 23.
November 2007 (BGBl. 1 S. 2631)
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 691
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecVerificationServer® 4.9.80
1 Handelsbezeichnung
Die Handelsbezeichnung lautet: SecVerificationServer® 4.9.80
Auslieferung: Zip-Datei mit qualifizierter Signatur
(vgl. Abschnitte 4.1, 5.3).
Hersteller: SecCommerce Informationssysteme GmbH
Obenhauptstr. 5
22335 Hamburg
Handelsregister: HRB 69920
Amtsgericht Hamburg
Herstellererklärung SecVerificationServer® SecCommerce GmbH Seite 2 von 16
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
692 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecVerificationServer® 4.9.80
2 Lieferumfang
Lieferumfang: SecVerificationServer® 4.9.80 ist eine Software und besteht aus einer bereitgestellten Java-
Anwendung sowie dazugehörigen Konfigurationsdateien. Anwendung und Konfigurationsdateien werden als
Zip-Datei mit qualifizierte Signatur ausgeliefert.
Nachfolgend ist der Lieferumfang, einschließlich der Versionsinformationen, aufgezählt:
Produktbestandteil Bezeichnung Version Übergabeform
Software Zip-Datei 'SecVerificationServer.zip' 4.9.80 Download
Qualifizierte Signatur Signaturdatei 'SecVerificationServer.zip.pkcs7' Download
Tabelle 1: Lieferumfang und Versionsinformationen
Auslieferung:
Als Produkt an Endanwender durch den Hersteller oder ausgewählte Dienstanbeiter per Download als Zip-
Datei. Zur Prüfung der Authentizität der Zip-Datei kann eine qualifizierte Signatur abgerufen werden, die mit
einer geeigneten Signaturanwendungskomponente geprüft werden kann (z.B, mit der Online-Version der
Software SecSigner®).
Die Zip-Datei enthält die folgenden Dateien/Verzeichnisse mit sicherheitsrelevante Funktionen:
� SecVerificationServer/SecSignerApiRes.jar
� SecVerificationServer/SecVerificationServer.properties
� SecVerificationServer/SecVerificationServer.jar
Andere Dateien im Zip (Dokumentation, Aufrufbeispiele, Start-Scripte) enthalten keine sicherheitsrelevante
Funktionen und sind nicht Teil der Anwendung SecVerificationServer® 4.9.80.
Herstellererklärung SecVerificationServer® SecCommerce GmbH Seite 3 von 16
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 693
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecVerificationServer® 4.9.80
3 Funktionsbeschreibung
Die Software SecVerificationServer® 4.9.80 ist Teil einer Signaturanwendungskomponente für die Prüfung
qualifizierter elektronischer Signaturen und erfüllt die im Signaturgesetz (SigG) und der Signaturverordnung
(SigV) definierten Anforderungen an eine Signaturanwendungskomponente, die im Abschnitt 4.1 spezifiziert
sind. SecVerificationServer® 4.9.80 erfüllt die vorgeschriebene Sicherheitsstufe, die das SigG für
Signaturanwendungskomponenten für qualifizierte elektronische Signaturen vorsieht. Im folgenden ist daher
mit „Zertifikat“ immer ein „qualifiziertes Zertifikat“ und mit „Signatur“ immer eine „qualifizierte Signatur“ im
Sinne des SigG zu verstehen.
Mit dem SecVerificationServer® 4.9.80 können qualifizierte Signaturen serverseitig im Massensignatur-
prüfverfahren validiert werden: Dem SecVerificationServer® 4.9.80 werden stapelweise signierte Daten über
das Dateisystem übergeben. SecVerificationServer® 4.9.80 verifiziert die Integrität und Authentizität der
signierten Daten und prüft so die Signatur der unterbreiteter Daten signaturgesetzkonform. (vgl. Abbildung 1:
Signaturprüfung: Schematische Darstellung) Das Ergebnis wird in das in das Dateisystem
zurückgeschrieben.
Die vorgesehene Einsatzumgebung ist durch einen Server mit Standard-Betriebssystem und Standard-
Hardware gekennzeichnet, der in einem „geschützten Einsatzbereich“ gemäß Definition der Bundes-
netzagentur (vgl. Abschnitt 5) eingesetzt wird.
Der Ablauf der Prozesse im SecVerificationServer® 4.9.80 kann nicht von außen beeinflusst werden.
SecVerificationServer® 4.9.80 gibt die Kontrolle erst nach erfolgreichem Abschluss der entsprechenden
Operation (Prüfen einer Signatur) an das externe Anwendungsprogramm zurück, ansonsten erfolgt eine
Fehlermeldung.
Durch dieses Konzept wird erreicht, dass die Sicherheitsfunktionalität des SecVerificationServer® 4.9.80
grundsätzlich nicht von außen beeinflusst werden kann.
SecVerificationServer® 4.9.80 stellt im Einzelnen die folgenden signaturgesetzlich relevanten Funktionen zur
Verfügung:
� Die Berechnung von Hashwerten nach den Standards SHA-256, SHA-384, SHA-512 und RipeMD-
160.
� Die Prüfung von Signaturdatenobjekten nach dem Standard PKCS#7 SignedData.
� Die Verifikation der Authentizität signierter Daten durch eine mathematische Prüfung der
Zertifikatskette beginnend vom Signaturzertifikat bis zu einem vertrauenswürdigen Wurzelzertifikat
und
� eine Prüfung, ob das Signaturzertifikat zum Zeitpunkt der Signatur bereits gesperrt war mithilfe einer
Online-Abfrage beim herausgebenden Trustcenter.
� Die Verifikation qualifizierter Signaturzertifikate.
SecVerificationServer® 4.9.80 erfüllt die Anforderungen nach §17 (2) Signaturgesetz und §15 (2,4,5)
Signaturverordnung. Die Darstellung der signierten Daten ist wird dabei abweichend über einen externen
Secure Viewer realisiert. Details zur Erfüllung der Anforderung sind in 4.1 beschrieben.
Zertifikatsauswertung: Bei der Zertifikatsauswertung erzeugt SecVerificationServer® 4.9.80 eine
Zertifikatkette vom Unterzeichner- bis zum Wurzelzertifikat entsprechend RFC 3280 und prüft die
Zertifikatkette nach dem Kettenmodell.
Herstellererklärung SecVerificationServer® SecCommerce GmbH Seite 4 von 16
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
694 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecVerificationServer® 4.9.80
3.1 Beschreibung der externen Schnittstellen
Als externe Schnittstellen des SecVerificationServer® 4.9.80 steht das Dateisystem zur Verfügung. Über
diese Schnittstelle können alle Funktionen der Signaturanwendungskomponente genutzt werden. Die
Schnittstelle kapselt sämtliche sicherheitsspezifischen Funktionen gegenüber der aufrufenden Anwendung.
Die Schnittstellen wird deshalb konzeptionell als „Container“ bezeichnet, da sie gegenüber der Anwendung
den Verifikationsprozess selbständig verwaltet. Der Ablauf des Verifikationsprozesses kann von der
aufrufenden Anwendung nicht beeinflusst werden; erst nach vollständigem Durchlaufen des Verifikations-
prozesses erhält die aufrufende Anwendung das Ergebnis zurück.
Externe Schnittstellen
Die Interaktionskomponente stellt als externe Schnittstellen folgende Funktionalität zur Verfügung:
� Signierprozess: Dokument beliebigen Typs
� Verifikationsprozess: Signatur (Formate PKCS#7, Abdobe© PDF-Signatur, XML-DSig)
� Zertifikatprüfung: OCSP-Schnittstelle (Die zu verwendende URL wird jeweils dem Signaturzertifikat
entnommen.)
Die Ergebniswerte werden über analog zur Übergabe (Dateisystem) an die aufrufende Anwendung
zurückgeliefert.
Die Übergabe-Schnittstelle ist im Einzelnen wie folgt abgesichert:
� Dateisystem: Die Zugriffsrechte für die Übervergabe-Verzeichnis sind so zu setzen, dass nur der
signaturdatenprüfende Prozess (z.B. eBilling-System) und SecVerificationServer® 4.9.80 darauf
zugreifen können. Die Prüfergebnisse werden dabei von SecVerificationServer® 4.9.80 ins
Dateisystem geschrieben.
3.2 Typische Anwendungsszenarien
SecVerificationServer® 4.9.80 wird typischerweise in folgenden Anwendungsszenarien eingesetzt:
Serverseitige Signaturprüfung: Signaturprüfung von Ausgangsrechnungen gem. §14 UStG..
Herstellererklärung SecVerificationServer® SecCommerce GmbH Seite 5 von 16
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 695
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecVerificationServer® 4.9.80
3.3 Schematische Darstellung der Signaturprüfung und Umfang des Prüfergbnisses
Abbildung 1: Signaturprüfung: Schematische Darstellung
Die Prüfergebnisse umfassen:
� Signaturzeitpunkt lt. Unterzeichner
� Datum der Signaturprüfung
� Dokumentgröße in Bytes
� Hashalgorithmus
� Prüfergebnis Hashwert („Der vom Unterzeichner signierte Hashwert passt zu den signierten Daten.“
oder „Der neu berechnete Hashwert über die signierten Daten stimmt nicht mit dem vom
Unterzeichner angegebenen Hashwert überein." oder „Der verwendete Hashalgorithmus war zum
Prüfzeitpunkt nicht mehr zur Erstellung qualifizierter Signaturen geeignet. Ablaufdatum des
Algorithmus: [Datum]")
Herstellererklärung SecVerificationServer® SecCommerce GmbH Seite 6 von 16
Bonn, 4. März 2009
