abl-04
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 703
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecVerificationServer® 4.9.80
6 Algorithmen und zugehörige Parameter
Das Produkt SecVerificationServer® 4.9.80 setzt den RSA Algorithmus mit der im Signaturzertifikat
angegebenen Schlüssellänge von mindestens 1728 Bit ein.
Die unterstützten RSA-Verfahren gelten nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bis 31.12.2010 als sicher. 5
Ferner unterstützt SecVerificationServer® 4.9.80 das EC-DSA-Verfahren basierend auf elliptischen Kurven
mit einer Parameterlänge von 192 Bit.
Das unterstützte EC-DSA-Verfahren gilt nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bis 31.12.2009 als sicher. 6
Das Produkt SecVerificationServer® 4.9.80 unterstützt die Hash-Funktion SHA-256, SHA-384, SHA-512 und
RIPEMD-160.
Die unterstützten Hash-Funktionen gelten nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bei Anwendung für qualifizierte Zertifikate bis 31.12.2010 als sicher.7
5 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
6 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
7 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
Herstellererklärung SecVerificationServer® SecCommerce GmbH Seite 14 von 16
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
704 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecVerificationServer® 4.9.80
7 Gültigkeitsdauer der Herstellererklärung
Diese Erklärung ist bis zum 31.12.2009 gültig. Der aktuelle Status der Herstellererklärung liegt immer bei der
Bundesnetzagentur vor.
Herstellererklärung SecVerificationServer® SecCommerce GmbH Seite 15 von 16
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 705
Teil A, Mitteilungen der Bundesnetzagentur –
Herstellererklärung
SecCommerce SecVerificationServer® 4.9.80
8 Zusatzdokumentation
Folgende Bestandteile der Herstellererklärung wurden aus dem Veröffentlichungstext ausgegliedert und bei
der zuständigen Behörde hinterlegt:
� „Aus der Herstellererklärung ausgegliederte Dokumentation als Anhang zur Herstellererklärung des
Herstellers SecCommerce Informationssysteme GmbH, Obenhauptstraße 5, 22335 Hamburg, für
sein Produkt SecVerificationServer® 4.9.80“:
SecCommerce.SecVerificationServer_Anhang_4.9.80_04.04.2008 vom 06.01.2009, 20 Seiten
� „SecVerificationServer Handbuch“ des Herstellers SecCommerce Informationssysteme GmbH,
Obenhauptstraße 5, 22335 Hamburg, für sein Produkt SecVerificationServer® 4.9.80“:
SecVerificationServer_Handbuch.pdf, Version 1.5 vom 18.12.2008, 10 Seiten
Ende der Herstellererklärung
Herstellererklärung SecVerificationServer® SecCommerce GmbH Seite 16 von 16
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
706 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
Mitteilung Nr. 173/2009
Veröffentlichung von Herstellererklärungen für Produkte für qualifizierte elektronische Signaturen nach
§ 17 Abs. 4 SigG, die bei der Bundesnetzagentur hinterlegt wurden,
hier: secrypt GmbH, digiSeal server 2, Version 2.1
Veröffentlichungshinweis
Die Bundesnetzagentur ist aufgrund des § 17 Abs. 4 des Signaturgesetzes (SigG) vom 16. Mai 2001
(BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. I S. 179),
verpflichtet, Erklärungen durch Hersteller von Produkten für qualifizierte elektronische Signaturen (Her-
stellererklärungen) im Amtsblatt der Bundesnetzagentur zu veröffentlichen. Das Amtsblatt dient inso-
weit nur als Veröffentlichungsmedium. Der Veröffentlichung ist weder eine materielle Prüfung der Her-
stellererklärungen noch eine Prüfung der in ihnen bezuggenommenen Produkte durch die Bundesnetz-
agentur vorausgegangen. Für den Inhalt der Herstellererklärungen und für die Produkte sind allein die
Hersteller verantwortlich.
Hersteller:
secrypt GmbH
Bessemer Straße 82
12103 Berlin
Produkt:
digiSeal server 2, Version 2.1
Bezeichnung der Herstellererklärung:
Herstellererklärung digiSeal server 2, Version 2.1, Stand: 30. Januar 2009
Als weitere Unterlagen wurden eingereicht:
1. Sicherheitstechnische Produktvorgaben / SP digiSeal server 2, Version 2.1 / D-SIGN server 2, Doku-
mentenversion 1.2. Stand: 27.08.2008, 64 Seiten
2. Prüfbericht digiSeal server 2, Version 2.1 / D-SIGN server 2, Dokumentenversion 1.1, Stand: 27.08.2008,
20 Seiten
3. Technische Dokumentation / Benutzeranleitung digiSeal server 2, Version 2.1, Dokumentenversion 1.7,
Stand: 26.01.2009, 167 Seiten
Es folgt der Text der Herstellererklärung:
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 707
Teil A, Mitteilungen der Bundesnetzagentur –
DokNr. DECLMAN-019-DSS2.1_v1.4
H ER STELLERERKLÄRUNG
Der Hersteller
secrypt GmbH
Bessemer Straße 82, 12103 Berlin
erklärt hiermit gemäß § 17 Abs. 4 Satz 2 SigG 1
in Verbindung mit § 15 Abs. 5 SigV 2 ,
dass sein Produkt
digiSeal server 2, Version 2.1
Teil einer Signaturanwendungskomponente
den nachstehenden Anforderungen des SigG und der SigV entspricht.
Diese Herstellererklärung hat die Dokumentennummer
DECLMAN-019-DSS2.1_v1.4
und enthält 21 Seiten.
Berlin, den 30.01.2009
gez. Matthias Schlede gez. Tatami Michalek
Geschäftsführer Geschäftsführer
1
Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) vom 16. Mai 2001
(BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. I S. 179)
2
Signaturverordnung 16. November 2001 (BGBl. I S. 3074), zuletzt geändert durch Artikel 9 Abs. 18 des
Gesetzes vom 23. November 2007 (BGBI. I S. 2631)
DECLMAN-019-DSS2.1_v1.4.rtf Seite 1 von 21
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
708 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
DokNr. DECLMAN-019-DSS2.1_v1.4
Revisionshistorie
Dokument-
Datum Beschreibung Autor(en)
Version
28.04.2008 1.0 Prüfung und Freigabe PL, TM
27.08.2008 1.1 Produktname angepasst AH
27.08.2008 1.1 Prüfung und Freigabe PL, TM
24.10.2008 1.2 Korrektur nach BNetzA Prüfbericht AH
01.12.2008 1.2 Prüfung und Freigabe MS, TM
22.01.2009 1.3 Korrektur nach BNetzA Prüfbericht AH, EE
26.01.2009 1.3 Prüfung und Freigabe MS, TM
22.01.2009 1.4 Korrektur nach BNetzA Prüfbericht AH
26.01.2009 1.4 Prüfung und Freigabe MS, TM
DECLMAN-019-DSS2.1_v1.4.rtf Seite 2 von 21
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 709
Teil A, Mitteilungen der Bundesnetzagentur –
DokNr. DECLMAN-019-DSS2.1_v1.4
Beschreibung des Produktes:
1. Handelsbezeichnung des Produktes und Lieferumfang:
Signaturanwendungskomponente digiSeal server 2, Version 2.1 3
Auslieferung:
Als Produkt an Endanwender durch den Hersteller oder Vertriebspartner auf einer CD-ROM
und per Download.
Lieferumfang:
Nr. Art Name Version Lieferform
1 Software digiSeal server 2, Version 2.1 2.1 (final) CD-ROM
2 Dokumentation digiSeal server 2 Technische 1.7 PDF-Datei
Dokumentation / Benutzeranleitung
Hersteller:
secrypt GmbH
Bessemer Straße 82, 12103 Berlin, Deutschland
Handelsregisterauszug-Nr.: HRB 83479 B
3
Das Produkt „digiSeal server 2, Version 2.1“, wird im folgenden auch als digiSeal server oder
digiSeal server 2 verkürzt bezeichnet.
DECLMAN-019-DSS2.1_v1.4.rtf Seite 3 von 21
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
710 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
DokNr. DECLMAN-019-DSS2.1_v1.4
Funktionsbeschreibung
Das Produkt digiSeal server 2, Version 2.1 ist Teil einer Signaturanwendungskomponente
(Software) gemäß § 2 Abs. 11 SigG.
1.1 Überblick
Die Softwarekomponente digiSeal server 2 dient zur automatisierten Verarbeitung von Daten
in Prozessen rund um das Thema elektronische Signatur. (Massensignaturkomponente)
Der digiSeal server 2 ist in dem Szenario der Massensignatur für das Signieren von
gleichwertigen Dokumenten bestimmt, so dass die Signaturen nur für einen voreingestellten
Zweck erfolgen müssen.
1.1.1 Funktionsumfang
� Signieren (Erzeugung qualifizierter elektronischer Signaturen),
� Zeitstempeln (Einbindung von qualifizierten Zeitstempeln) und
� Verifizieren (Prüfung qualifizierter elektronischer Signaturen).
1.1.2 Prozessorientierte Arbeitsweise
Die dem digiSeal server 2 übergebenen Daten werden durch dafür definierte Prozesse
verarbeitet. Zur Definition solcher Prozesse sind im Wesentlichen die folgenden
Prozesskonfigurationen zu tätigen:
� Festlegung der durchzuführenden Prozessschritte (Signieren, Zeitstempel, Verifizieren)
� Festlegung der Schnittstelle zur Übergabe der Daten (Dateischnittstelle und/oder API-
Schnittstelle)
Die zu signierenden bzw. die signierten Daten können mit den jeweilig zuständigen externen
Programmen vor bzw. nach dem Signaturprozess eingesehen werden, da der
digiSeal server 2 keinen Komponente in Form eines „secure viewer“ enthält.
1.1.3 Schnittstellen
Zur Übergabe der zu verarbeitenden Daten stellt der digiSeal server 2 die folgenden
Schnittstellen zur Verfügung:
� Datei-Schnittstelle (asynchron, Übergabe der Daten über das Dateisystem)
� API-Schnittstelle (synchrone C-Schnittstelle)
Für jeden Prozess des digiSeal server 2 wird konfiguriert über welche Schnittstelle(n) die
Datenübergabe erfolgt.
Die Datei-Schnittstelle definiert sich dabei durch ein prozessspezifisches Eingangs- und
Ausgangsverzeichnis. Die Datei-Schnittstelle ist entsprechend durch technische bzw.
organisatorische Maßnahmen vor unbefugten Zugriffen zu sichern.
Die API-Schnittstelle stellt kein separates Produkt dar, sondern ist integraler Bestandteil des
digiSeal server 2.
Zur Nutzung der API-Schnittstelle muss sich der API-Rufer gegenüber dem digiSeal server 2
authentifizieren. Dazu wird in den Prozesskonfigurationen die Menge der zulässigen
Authentifizierungszertifikate hinterlegt. Ein API-Rufer wird nur nach erfolgreicher Anmeldung
mit einem der Authentifizierungszertifikate zugelassen. Die Kommunikation zwischen der API
und dem digiSeal server 2 ist durch SSL abgesichert. Dadurch ist die API-Schnittstelle gegen
unbefugte Zugriffe und Angriffe abgesichert.
DECLMAN-019-DSS2.1_v1.4.rtf Seite 4 von 21
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
04 2009 – Mitteilungen, Qualifizierte elektronische Signatur, 711
Teil A, Mitteilungen der Bundesnetzagentur –
DokNr. DECLMAN-019-DSS2.1_v1.4
Beide Schnittstellen dienen ausschließlich zur Datenübergabe und nicht zur Steuerung des
digiSeal server 2 oder seiner Prozesse.
1.1.4 Protokollierung
Die Komponente digiSeal server 2 protokolliert für jede Prozessdurchführung den zugehörigen
Prozessauftrag und das Prozessergebnis.
Protokollierung des Prozessauftrages:
� Prozessauftrag
� Startzeitpunkt des Prozessauftrages
� Prozessdefinition
� Prozessname
� Jobzähler
� angesprochene Signatur- / Arbeitseinheit
� Schnittstelle und Quelle
� Eingangsdatei
Protokollierung des Prozessergebnisses:
� Prozessergebnis
� Startzeitpunkt des Prozessergebnis
� Prozessdefinition
� Prozessname
� Jobzähler
� angesprochene Signatur- / Arbeitseinheit
� Schnittstelle und Quelle
� Eingangsdatei
� Hashwert
� Ausgangsdatei
� zweite Ausgangsdatei (optional)
� Anzahl der erfolgreich ausgeführten Aufträge
� Limitierung
� Endzeitpunkt
� Verifikationsergebnis
� Fehlertext
� Ergebnis
DECLMAN-019-DSS2.1_v1.4.rtf Seite 5 von 21
Bonn, 4. März 2009
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
712 – Mitteilungen, Qualifizierte elektronische Signatur, 04 2009
Teil A, Mitteilungen der Bundesnetzagentur –
DokNr. DECLMAN-019-DSS2.1_v1.4
1.1.5 Zugrundeliegende Kryptographiebibliothek
Die Signaturanwendungskomponente baut auf der Open-Source-Funktionsbibliothek
crypto++ 4 Version 5.2.1 auf.
1.1.6 Integritätsprüfung
Die Signaturanwendungskomponente digiSeal server 2 verfügt entsprechend § 15 Abs. 4
SigV über Selbstprüfungsmechanismen zum Schutz vor der Manipulation der Software. Die
Programmbestandteile des digiSeal server 2 sind signiert. Diese Signaturen werden bei jedem
Programmstart durch die Komponente selbständig auf Integrität geprüft. Im Falle einer
Manipulation wird dies dem Anwender eindeutig angezeigt und das Programm beendet.
Die ausführbaren Programme und dynamisch geladenen Bibliotheken sind konform zum
PKCS#7-Standard elektronisch signiert. Eine Prüfung der elektronischen Signaturen ist
jederzeit mit einer ISIS-MTT-konformen Signaturprüfsoftware, die konform zum PKCS#7-
Standard signierte Dateien verifizieren kann, möglich.
1.1.7 Anwendungsbereich
Als Anwendungsbereich ist die Nutzung in größeren Infrastrukturen, z.B. im
privatwirtschaftlichen und behördlichen Umfeld, in einem geschützten Einsatzbereich
anzusehen.
1.1.8 Abgrenzung
Weitere Funktionen der Signaturanwendungskomponente digiSeal server 2 sind nicht
Gegenstand dieser Herstellererklärung.
Anwendungen, die das Produkt digiSeal server 2 nutzen, sind nicht Gegenstand der
Herstellererklärung.
1.2 Erzeugung qualifizierter elektronischer Signaturen
Zur Erzeugung qualifizierter elektronischer Signaturen von beliebigen elektronischen Daten
verwendet der TOE (EVG) digiSeal server 2 eine sichere Signaturerstellungseinheit (SSEE)
gemäß § 2 Nr. 10 SigG.
1.2.1 Unterstütze sichere Signaturerstellungseinheiten (SSEE)
Die folgenden Signaturkarten (sichere Signaturerstellungseinheit (SSEE) gemäß § 2 Nr. 10
SigG) werden unterstützt:
� Chipkarte mit Prozessor SLE66CX322P (oder SLE66CX642P), Software
CardOS V4.3B Re_Cert with Application for Digital Signature (Hersteller: Siemens AG,
MED GS SEC), Registrierungsnummer: T-Systems.02182.TE.11.2006 vom 30.11.2006
mit Nachtrag Nr. 1 vom 06.02.2007 und Nachtrag Nr. 2 vom 06.05.2008
� Chipkarte mit Prozessor SLE66CX322P, Betriebssystem CardOS V4.3B mit Applikation
für digitale Signatur (Hersteller: Siemens AG, MED GS SEC), Registrierungsnummer: T-
Systems.02122.TE.05.2005 vom 27.05.2005 mit Nachtrag 1 vom 06.05.2008
� STARCOS 3.0 with Electronic Signature Application V3.0 der Giesecke & Devrient GmbH
Registrierungsnummer: TUVIT.93100.TE.09.2005 vom 16.09.2005 mit Nachtrag vom
08.08.2006, Nachtrag vom 20.10.2006, Nachtrag 07.12.2006 und Nachtrag vom
15.06.2007,
4
www.cryptopp.com
DECLMAN-019-DSS2.1_v1.4.rtf Seite 6 von 21
Bonn, 4. März 2009
