abl-08
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
724 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
8 2008
XimantiX GmbH – Herstellererklärung PDF Faktura SDK - 080302
Dokumente müssen einzeln bestätigt werden. Die relative Häufigkeit der Vorlage zu signierender
Dokumente zur Anzeige lässt sich konfigurieren.
3.2.4 PIN-Eingabe
Durch die Kombination aus einem Kartenlesegerät mit sicherer PIN-Eingabe und einer sicheren
Signaturerstellungseinheit wird sichergestellt, dass nur der Signaturschlüsselinhaber eine qualifizierte
elektronische Signatur erzeugen kann.
3.2.4.1 PDF Faktura Desktop
Für jede zu erzeugende Signatur muss erneut die PIN am Kartenleser eingegeben werden.
3.2.4.2 XiSigner
Nutzt der Anwender die Webserviceschnittstelle des XiSigner, so kann er diesen so konfigurieren,
dass er bei der Ausführung mehrerer qualifizierter elektronischer Signaturen nur einmal aufgefordert
wird, die PIN einzugeben. Dafür ist eine Smartcard notwendig, die diese Funktionalität unterstützt. Die
Konfiguration wird über einen Einstellungsdialog des XiSigners vorgenommen. Er erlaubt folgende
Festlegungen:
x Zeitfensters
x Anzahl zu erzeugender Signaturen
Nach dem Erreichen des jeweiligen Kriteriums ist eine erneute PIN-Eingabe notwendig.
Die Signatur-PIN darf nicht durch den Signaturschlüsselinhaber an Dritte weitergegeben werden (z.B.
an Administratoren).
3.3 Prüfung qualifizierter Signaturen
Die Signaturprüfung nach SigG/SigV ist in PDF Faktura Desktop enthalten. XiSigner enthält keine
Signaturprüfung nach SigG/SigV.
3.3.1 Art der prüfbaren Signaturen
PDF Faktura Desktop
Die PDF Faktura Desktop Komponente prüft ausschließlich die mit PDF Faktura Desktop erzeugten
Rechnungen im PDF Format oder kompatible. Kompatibel sind PDF Dokumente,
x die nach dem PDF Standard signiert sind und
x im PDF Dokumentenanhang XML Daten im SOAP-Format enthalten, in dessen Body XML
Daten nach der OpenTRANS-Spezifikation enthalten sind.
PDF Faktura Desktop verfügt in Abbildung der steuerlichen Vorschriften über eine Funktion zur
Speicherung des ursprünglichen Signaturprüfergebnisses. Diese Funktion ist ausdrücklich nicht
Bestandteil dieser Herstellererklärung.
3.3.2 Anzeige der signierten Daten
PDF Faktura Desktop
In einem Fensterbereich werden eindeutig die Daten, auf welche sich die qualifizierte Signatur bezieht,
dargestellt. Dokumente im PDF Format können auch im ASCII Format angezeigt werden.
3.3.3 Unverändertheit der signierten Daten
PDF Faktura Desktop
Dem Anwender wird eindeutig angezeigt, ob die Originaldaten unverändert sind oder nicht. Dazu
berechnet das Produkt den Hashwert der zu prüfenden Daten und führt die mathematische Prüfung
der Signatur unter Verwendung des in der Signatur genannten Algorithmus durch.
Es werden die von der Bundesnetzagentur als geeignet eingestuften Algorithmen verwendet. Diese
sind im Kapitel 5 dieser Herstellererklärung detailliert aufgeführt.
Seite 8/18
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
8 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
725
XimantiX GmbH – Herstellererklärung PDF Faktura SDK - 080302
3.3.4 Signaturschlüssel-Inhaber
PDF Faktura Desktop
Das Produkt ermittelt den Signaturschlüssel-Inhaber aus dem qualifizierten Zertifikat und stellt das
Ergebnis dar.
3.3.5 Kennzeichnung als qualifizierte Signatur
PDF Faktura Desktop
Das Produkt ermittelt, ob das Kennzeichen für qualifizierte Signaturen gesetzt ist oder nicht und stellt
das Ergebnis dar.
3.3.6 Inhalte von Zertifikaten
PDF Faktura Desktop
Das Produkt zeigt zumindest folgende Inhalte von Zertifikaten des Unterzeichners als auch von
Ausstellern an:
x Den Namen des Signaturschlüssel-Inhabers, der im Falle einer Verwechslungsmöglichkeit mit
einem Zusatz zu versehen ist, oder ein dem Signaturschlüssel-Inhaber zugeordnetes
unverwechselbares Pseudonym, das als solches kenntlich sein muss,
x den zugeordneten Signaturprüfschlüssel,
x die Bezeichnung der Algorithmen, mit denen der Signaturprüfschlüssel des Signaturschlüssel-
Inhabers sowie der Signaturprüfschlüssel des Zertifizierungsdiensteanbieters benutzt werden
kann,
x die laufende Nummer des Zertifikates,
x Beginn und Ende der Gültigkeit des Zertifikates,
x den Namen des Zertifizierungsdiensteanbieters und des Staates, in dem er niedergelassen
ist,
x Angaben darüber, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach
Art oder Umfang beschränkt ist,
x Angaben, dass es sich um ein qualifiziertes Zertifikat handelt, und
x nach Bedarf Attribute des Signaturschlüssel-Inhabers.
3.3.7 Prüfung von Zertifikaten
PDF Faktura Desktop
Das Produkt prüft, sofern die Möglichkeit besteht, mittels OCSP-Anfrage, ob das Zertifikat des
Unterzeichners gesperrt ist oder nicht und zeigt dies an. Besteht die Möglichkeit der Anfrage nicht,
wird dem Anwender ein Warnhinweis gegeben.
Zudem prüft das Produkt die Zertifikatsausteller-Kette nach dem Kettenmodell bis zu einem
Wurzelzertifikat der zuständigen Behörde (§3 SigG). Die entsprechenden Wurzelzertifikate sind in
gesicherter Weise in dem Produkt enthalten.
3.4 Abgrenzung
Neben den hier beschriebenen Funktionalitäten enthält das Produkt enthält weitere, die nicht
Gegenstand dieser Herstellererklärung sind. Bei der Komponente PDF Faktura Desktop sind die in
diesem Dokument beschriebenen Funktionen in der Programmbibliothek „XiSecureGUI.dll“ enthalten.
Seite 9/18
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
726 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
8 2008
XimantiX GmbH – Herstellererklärung PDF Faktura SDK - 080302
4 Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
4.1 Erfüllte Anforderungen
Das Produkt enthält eine Teilkomponente einer Signaturanwendungskomponente gemäß §2 Nr. 11
SigG, welche die nachfolgend aufgeführten Anforderungen des SigG erfüllen:
§ 17 Abs. 2
„Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten erforderlich, die
die Erzeugung einer qualifizierten elektronischen Signatur vorher eindeutig anzeigen und feststellen
lassen, auf welche Daten sich die Signatur bezieht. Für die Überprüfung signierter Daten sind
Signaturanwendungskomponenten erforderlich, die feststellen lassen,
1. auf welche Daten sich die Signatur bezieht,
2. ob die signierten Daten unverändert sind,
3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,
4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte
Attribut-Zertifikate aufweisen und
5. zu welchem Ergebnis die Nachprüfung von Zertifikaten nach § 5 Abs. 1 Satz 3 geführt hat.
Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu signierenden oder
signierten Daten hinreichend erkennen lassen. Die Signaturschlüssel-Inhaber sollen solche
Signaturanwendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit
qualifizierter elektronischer Signaturen treffen.“
Das Produkt erfüllt die nachfolgend aufgeführten Anforderungen des SigV:
§ 15 Abs. 2
„Signaturanwendungskomponenten nach § 17 Abs. 2 des Signaturgesetzes müssen gewährleisten,
dass
1. bei der Erzeugung einer qualifizierten elektronischen Signatur
a) die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren
Signaturerstellungseinheit gespeichert werden,
b) eine Signatur nur durch die berechtigt signierende Person erfolgt,
c) die Erzeugung einer Signatur vorher eindeutig angezeigt wird und
2. bei der Prüfung einer qualifizierten elektronischen Signatur
a) die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird und
b) eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen
Zertifikat-Verzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren.“
§ 15 Abs. 4
„Sicherheitstechnische Veränderungen an technischen Komponenten nach den Absätzen 1 bis 3
müssen für den Nutzer erkennbar werden.“
4.1.1 Konkretisierung der Anforderungen aus SigG und SigV und deren Umsetzung
Erzeugung von Signaturen
Die Signaturanwendungskomponente muss beim Erzeugen einer Signatur gewährleisten, dass
x das Erzeugen einer Signatur vorher eindeutig angezeigt wird,
x erkennbar ist, auf welche Daten sich die Signatur bezieht,
Seite 10/18
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
8 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
727
XimantiX GmbH – Herstellererklärung PDF Faktura SDK - 080302
x bei Bedarf der Inhalt der zu signierenden Daten hinreichend zu erkennen ist,
x eine Signatur nur durch die berechtigt signierende Person erfolgt,
x die Identifikationsdaten nicht preisgegeben und nur auf der jeweiligen „sicheren
Signaturerstellungseinheit“ gespeichert werden.
Prüfung einer Signatur
Die Signaturanwendungskomponente muss beim Prüfen einer Signatur gewährleisten, dass
x erkennbar wird, auf welche Daten sich die Signatur bezieht,
x erkennbar wird, ob die Daten unverändert sind,
x bei Bedarf der Inhalt der signierten Daten hinreichend zu erkennen ist,
x erkennbar wird, welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,
x erkennbar wird, welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und
zugehörige qualifizierte Attribut-Zertifikate aufweisen,
x erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen
Zertifikatverzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren,
x die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird.
Zertifikatsinhalte (mit Referenzen auf die Kapitel der BSI-Spezifikation Sigi Abschnitt A1)
x Name des Signaturschlüsselinhabers: 2.3.6, 2.3.9.5, 3.3
x Zusatz bei Verwechslungsmöglichkeit des Namens: 2.3.6, 4.1
x Pseudonym statt Name des Signaturschlüsselinhabers: 2.3.9.5, 4.2
x Unverwechselbarkeit eines Pseudonyms: 2.3.9.5, 4.2
x Erkennbarkeit eines Pseudonyms: 2.3.9.5, 3.9.4, 4.2
x Öffentlicher Signaturschlüssel: 2.3.7
x Bezeichnung der Algorithmen, mit denen der öffentliche Schlüssels des
Signaturschlüsselinhabers sowie der öffentliche Schlüssels der Zertifizierungsstelle benutzt
werden kann: 2.1, 2.3.7, 2.3.9.4
x Laufende Nummer des Zertifikates: 2.3.2, 3.6
x Beginn und Ende der Gültigkeit des Zertifikates 2.3.5, 3.7
x Name der Zertifizierungsstelle 2.3.4, 2.3.9.6, 3.4
x Weitere Angaben zum Signaturschlüsselinhaber oder zur Zertifizierungsstelle: 2.3.9.5, 2.3.9.6
x Kennung, ob eine Nutzungsbeschränkung vorliegt: 2.3.9.15.2
x Nutzungsbeschränkung nach Art und Umfang: 2.3.9.2, 2.3.9.3, 2.3.9.15.6
x Vertretungsmacht für dritte Person: 2.3.9.15.4, 3.9.1
x Berufsrechtliche Zulassungsinformation: 2.3.9.15.5, 3.9.2
x Sonstige Zulassungsinformation: 2.3.9.15.5, 2.3.9.15.7,2.3.9.15.8, 3.9.2
Schutz vor unbefugter Veränderung
Sicherheitstechnische Veränderungen an der Signaturanwendungskomponente müssen für den
Nutzer erkennbar werden.
4.1.2 Umsetzung gesetzlicher Anforderungen bei PDF Faktura Desktop (Signaturprüfung)
Die Signaturanwendungskomponente muss beim Prüfen einer Signatur gewährleisten, dass
x erkennbar wird, auf welche Daten sich die Signatur bezieht
Die Darstellung der signierten PDF Datei und die Laschen zur Darstellung der Prüfergebnisse
sind in einer einzigen Ansicht zusammengefasst („ctlSignedDocument“). Zusätzlich wird
Seite 11/18
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
728 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
8 2008
XimantiX GmbH – Herstellererklärung PDF Faktura SDK - 080302
dieser Bezug explizit durch die Beschriftung der Laschen hergestellt: „Aktuelle / gespeicherte
Prüfung elektronische Signatur der PDF-Rechnung“.
x erkennbar wird, ob die Daten unverändert sind
Die Unverändertheit der Daten wird im Prüfergebnis unter „Gesamtergebnis“ und
„Unverändertheit der Rechnung“ angezeigt. Zusätzlich zum entsprechenden Anzeigetext
werden Fehler mit einem roten Kreuz, erfolgreiche Prüfungen mit einem grünen Haken
gekennzeichnet.
x bei Bedarf der Inhalt der signierten Daten hinreichend zu erkennen ist
Der Inhalt der signierten PDF Daten wird direkt angezeigt
x erkennbar wird, welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist
Der Name des Signaturschlüssel-Inhabers wird in der Überschrift der Signaturprüfung
angezeigt. Namenszusätze, Pseudonyme, Einzelheiten wie Vornamen etc. sind in der Lasche
„Zertifikat“ angezeigt.
x erkennbar wird, welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und
zugehörige qualifizierte Attribut-Zertifikate aufweisen
Das Signaturzertifikat wird in der Lasche „Zertifikat“ angezeigt. Sind der Signatur
Attributzertifikate beigefügt, so werden sie jeweils in einer Lasche „Attributzertifikat“
dargestellt.
x erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen
Zertifikatverzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren
Dies wird durch OCSP-Anfragen gewährleistet. Nicht durchführbare Anfragen werden in der
Lasche des betroffenen Zertifikats als Warnung angezeigt und führen sowohl im
Gesamtergebnis als auch im Teilergebnis „Prüfung der Authentizität“ der Lasche
„Prüfergebnisse“ zu einer entsprechenden Warnung.
Gesperrte Zertifikate werden an den gleichen Stellen als Fehler angezeigt.
x die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird
In dem Gesamtergebnis der Lasche „Prüfergebnisse“ geht sowohl die Prüfung der Signatur
selbst als auch die zugehörige Prüfung des Signaturzertifikats ein. Die Gültigkeitsprüfung des
Zertifikats und dessen Darstellung sind in den Dokumenten „Testplan“ Version 1.1, Kapitel 2
und „Technische Darstellung der zu erfüllenden Anforderungen aus SigG und SigV“ Version
1.1, Abs 8.3.3 beschrieben.
Zertifikatsinhalte
x Name des Signaturschlüsselinhabers
Angezeigt in der Lasche „Inhalt“ der Zertifikatsansicht
Zusatz bei Verwechslungsmöglichkeit des Namens
Angezeigt in der Lasche „Attribute“ der Zertifikatsansicht in den Details der Zeile „Name“ oder
der Zeile „SubjectAlternativeName“
Pseudonym statt Name des Signaturschlüsselinhabers
Angezeigt in der Lasche „Inhalt“ der Zertifikatsansicht
Unverwechselbarkeit eines Pseudonyms: 2.3.9.5, 4.2
x Erkennbarkeit eines Pseudonyms: 2.3.9.5, 3.9.4, 4.2
x Öffentlicher Signaturschlüssel:
Angezeigt in der Lasche „Inhalt“ der Zertifikatsansicht
Bezeichnung der Algorithmen, mit denen der öffentliche Schlüssels des
Signaturschlüsselinhabers sowie der öffentliche Schlüssels der Zertifizierungsstelle benutzt
werden kann
Angezeigt in der Lasche „Inhalt“ der Zertifikatsansicht des jeweiligen Zertifikats
Laufende Nummer des Zertifikates
Angezeigt in der Lasche „Inhalt“ der Zertifikatsansicht
Beginn und Ende der Gültigkeit des Zertifikates
Angezeigt in der Lasche „Inhalt“ der Zertifikatsansicht
x Name der Zertifizierungsstelle
Angezeigt in der Lasche „Inhalt“ der Zertifikatsansicht des Ausstellerzertifikats
Weitere Angaben zum Signaturschlüsselinhaber oder zur Zertifizierungsstelle
Seite 12/18
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
8 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
729
XimantiX GmbH – Herstellererklärung PDF Faktura SDK - 080302
Angezeigt in der Lasche „Attribute“ der Zertifikatsansicht
Kennung, ob eine Nutzungsbeschränkung vorliegt
Angezeigt in der Lasche „Attribute“ der Zertifikatsansicht
x Nutzungsbeschränkung nach Art und Umfang
Angezeigt in der Lasche „Attribute“ der Zertifikatsansicht
Vertretungsmacht für dritte Person: 2.3.9.15.4, 3.9.1
Berufsrechtliche Zulassungsinformation
Angezeigt in der Lasche „Attribute“ der Zertifikatsansicht
Sonstige Zulassungsinformation:
Angezeigt in der Lasche „Attribute“ der Zertifikatsansicht
4.1.3 Umsetzung der gesetzlicher Anforderungen bei PDF Faktura Desktop
(Signaturerzeugung)
Die Signaturanwendungskomponente muss beim Erzeugen einer Signatur gewährleisten, dass
x das Erzeugen einer Signatur vorher eindeutig angezeigt wird
Gewährleistet durch die eindeutige Beschriftung der entsprechenden Schaltfläche mit
„Signieren“ und dem Siegelsymbol. Vor der eigentlichen Signatur wird die PIN Nummer der
Karte für eine einzelne Signatur abgefragt.
x erkennbar ist, auf welche Daten sich die Signatur bezieht
Die Darstellung der zu signierenden PDF Datei und die Bedienelemente zur Erzeugung der
Signatur und Auswahl des Signaturzertifikats sind in einem einzigen Ansicht
zusammengefasst wodurch der Bezug zu den Daten eindeutig ist.
x bei Bedarf der Inhalt der zu signierenden Daten hinreichend zu erkennen ist
Der Inhalt der signierten PDF Daten wird direkt angezeigt
x eine Signatur nur durch die berechtigt signierende Person erfolgt
Durch die Kombination aus einem Kartenlesegerät mit sicherer PIN-Eingabe und einer
sicheren Signaturerstellungseinheit wird sichergestellt, dass nur der Signaturschlüsselinhaber
eine qualifizierte elektronische Signatur erzeugen kann. Nur der Signaturschlüsselinhaber
besitzt die sichere Signaturerstellungseinheit und kennt die zugehörige PIN.
x die Identifikationsdaten nicht preisgegeben und nur auf der jeweiligen „sicheren
Signaturerstellungseinheit“ gespeichert werden.
Wird durch die Kombination aus einem Kartenlesegerät mit sicherer PIN-Eingabe und einer
sicheren Signaturerstellungseinheit sichergestellt.
4.1.4 Umsetzung gesetzlicher Anforderungen beim XiSigner
Die Signaturanwendungskomponente muss beim Erzeugen einer Signatur gewährleisten, dass
x das Erzeugen einer Signatur vorher eindeutig angezeigt wird
Für den Fall der Einzelsignatur wird bei jedem Signaturvorgang ein Bestätigungsfenster
gezeigt, welches die anstehende Signaturoperation anzeigt. Im Einzelnen werden gezeigt:
o Das Zertifikat, mit dem signiert werden soll
o Die zu signierenden Daten im ASCII Format
o Die Attribute der Signatur
o Eine Option zur Anzeige der Daten mit einem externen Programm
Bestätigungsprüfung bei vor dem Erzeugen einer Signatur
Für den Fall der Massensignatur kann der Anwender die Einzelprüfung ausschalten oder
Stichproben veranlassen, muss dann jedoch die in den Einsatzbedingungen geschilderten
besonderen Sicherheitsvorkehrungen treffen
x erkennbar ist, auf welche Daten sich die Signatur bezieht
Die zu signierenden Daten werden im gleichen Fenster angezeigt wie das Signaturzertifikat
und die Bestätigungsschaltfläche zur Signatur. Damit ist der Bezug eindeutig hergestellt.
x bei Bedarf (duch Konfiguration der stichprobenhaften Auswahl) der Inhalt der zu signierenden
Daten hinreichend zu erkennen ist
Seite 13/18
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
730 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
8 2008
XimantiX GmbH – Herstellererklärung PDF Faktura SDK - 080302
Der Inhalt wird im ASCII Format angezeigt. Zusätzlich besteht die Möglichkeit einer Anzeige
durch externe Programme. Welches externe Programm verwendet wird, ist vom Anwender in
den Systemeinstellungen festgelegt (vgl. Einsatzbedingungen)
x eine Signatur nur durch die berechtigt signierende Person erfolgt,
Durch die Kombination aus einem Kartenlesegerät mit sicherer PIN-Eingabe und einer
sicheren Signaturerstellungseinheit wird sichergestellt, dass nur der Signaturschlüsselinhaber
eine qualifizierte elektronische Signatur erzeugen kann. Nur der Signaturschlüsselinhaber
besitzt die sichere Signaturerstellungseinheit und kennt die zugehörige PIN.
Für den Fall der Massensignatur kann der Anwender die Signaturkarte für mehrere Signaturen
über die XiSigner Schnittstelle freischalten, muss dann jedoch die in den Einsatzbedingungen
geschilderten besonderen Sicherheitsvorkehrungen treffen
x die Identifikationsdaten nicht preisgegeben und nur auf der jeweiligen „sicheren
Signaturerstellungseinheit“ gespeichert werden.
Wird durch die Kombination aus einem Kartenlesegerät mit sicherer PIN-Eingabe und einer
sicheren Signaturerstellungseinheit sichergestellt.
4.1.5 Umsetzung gesetzlicher Anforderung: Erkennbarkeit sicherheitstechnischer
Veränderungen
Sicherheitstechnische Veränderungen an der Signaturanwendungskomponente müssen für den
Nutzer erkennbar werden:
x Die Installationsdatei sowie die ausführbare Datei der Anwendung PDF Faktura Desktop und
XiSigner sind jeweils mit einer Authenticode Signatur versehen. Dadurch werden
Veränderungen bei der Übertragung über das Internet oder Fälschungen erkennbar.
x Die von der Anwendung PDF Faktura Desktop oder XiSigner geladenen Bibliotheken sind
durch Strong Names referenziert. Vor dem Laden einer Bibliothek wird die Signatur der
Bibliothek geprüft. Dadurch wird gewährleistet, dass keine Bibliotheken verändert oder
ausgetauscht werden können.
Die Referenzen selbst sind wie die Anwendung durch die Authenticode Signatur geschützt.
4.2 Einsatzbedingungen
Grundlage dieser Bestätigung ist der Einsatz des Produktes in einem geschützten Einsatzbereich. Für
den sicheren Einsatz des Produktes und zur Verhinderung von erfolgreichen Angriffen mit den Zielen,
dass:
• Daten signiert werden, die nicht signiert werden sollen,
• das Prüfergebnis der Signatur- bzw. Zertifikatprüfung falsch angezeigt wird,
• die Geheimhaltung des Identifikationsmerkmals (PIN) nicht gewährleistet ist
sind die folgenden Auflagen zu beachten:
4.2.1 Einrichtung der IT-Komponenten
4.2.1.1 Hardware
IBM Computer, der mindestens 256 MB Arbeitsspeicher und 100 MB freien Platz auf der Festplatte
bereitstellt.
4.2.1.2 Betriebssystem
Auf dem Rechner ist eines der folgenden Betriebssysteme mit allen sicherheitsrelevanten Updates
installiert:
x Windows 2000 ab SP 6
x Windows Server 2003
x Windows XP Home
x Windows XP Professional
x Windows Vista
Seite 14/18
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
8 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
731
XimantiX GmbH – Herstellererklärung PDF Faktura SDK - 080302
Zudem ist auf dem Rechner Microsoft .NET-Framework 2 installiert.
4.2.1.3 Sonstige Software
Adobe Reader, Version 7.0 oder höher, der Adobe Systems Inc. muss als Anzeigekomponente
installiert sein.
4.2.1.4 Signaturerstellungseinheiten
Es wird eine der Signaturerstellungseinheiten aus Tabelle 2 verwendet.
4.2.1.5 Verwendbare Kartenleser
Es wird ein Kartenleser aus Tabelle 2 verwendet.
Diese Kartenleser verfügen über eine sicher PIN-Eingabe.
Bei der Verwendung eines Chipkartenlesers ohne sichere PIN-Eingabe sind weitere
Sicherheitsauflagen zu beachten (siehe 4.2.4.4)
4.2.2 Anbindung an ein Netzwerk
4.2.2.1 Auflagen zur Anbindung an das Internet
Wenn der eingesetzte Personalcomputer oder Server (z. B. mittels Modem, ISDN oder LAN-
Anschluss) an das Internet angeschlossen ist, muss diese Netzwerkverbindung so abgesichert sein, z.
B. durch eine geeignet konfigurierte Firewall, dass online Angriffe aus dem Internet auf den
eingesetzten Personalcomputer unterbunden bzw. erkannt werden.
4.2.2.2 Auflagen zur Anbindung an ein Intranet
Wenn der eingesetzte Personalcomputer oder Server in einem Intranet betrieben wird, so muss diese
Netzverbindung geeignet abgesichert sein, so dass online Angriffe aus dem Intranet auf den
Computer unterbunden bzw. erkannt werden.
4.2.3 Auslieferung und Installation
Das Produkt wird vom Hersteller auf einer CD ausgeliefert oder zum Download bereitgestellt.
Die Installationsdatei von PDF Faktura Desktop sowie die ausführbare Datei der Anwendung PDF
Faktura Desktop sind mit einer Authenticode-Signatur vor Manipulationen geschützt.
Die Prüfung der Signatur und Anzeige des XimantiX-Herausgeberzertifikats erfolgt automatisch beim
Download der Applikation durch einen Browser wie den Internet Explorer.
Explizit kann die Prüfung jederzeit durch das Microsoft-Systemtool „ChkTrust“ durchgeführt werden:
ChkTrust <Signierte Datei>
Alternativ kann die Signatur über das Kontextmenü der Datei geprüft werden: Kontextmenü ->
Eigenschaften -> Digitale Signaturen
Dabei kann <Signierte Datei> die Setup-Datei der Anwendung (Dateityp: msi) oder die Anwendung
„PDFFaktura.exe“ aus den Installationsordner der Anwendung sein.
Durch „Strong Names“, das sind Referenzen auf Programmbibliotheken und Daten mit Signatur aus
der .NET Technologie werden Manipulationen an den sicherheitsrelevanten Programmteilen
verhindert.
Nach dem Start der Installationsdatei leitet ein Dialog den Benutzer durch die Installation.
Seite 15/18
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
732 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
8 2008
XimantiX GmbH – Herstellererklärung PDF Faktura SDK - 080302
4.2.4 Auflagen für den Betrieb des Produktes
4.2.4.1 Auflagen zur Sicherheit der IT-Plattform und Applikationen
Der Benutzer des Produktes muss sich davon überzeugen, dass keine Angriffe von dem
Personalcomputer und den dort vorhandenen Applikationen durchgeführt werden. Insbesondere muss
gewährleistet sein, dass:
1. die auf dem Personalcomputer installierte Software weder böswillig manipuliert noch in
irgendeiner anderen Form verändert werden kann,
2. auf dem Personalcomputer keine Viren oder Trojanischen Pferde eingespielt werden können,
3. die Hardware des Personalcomputers nicht unzulässig verändert werden kann und
4. der verwendete Chipkartenleser weder böswillig manipuliert noch in irgendeiner anderen Form
verändert wurde, um dadurch Daten (z. B. PIN, zu signierende Daten, Hashwerte, etc.)
auszuforschen, zu verändern oder die Funktion anderer Programme unzulässig zu verändern.
4.2.4.2 Auflagen zum Schutz vor manuellem Zugriff Unbefugter
Der Personalcomputer, auf dem das Produkt verwendet wird, und der verwendete Chipkartenleser
müssen gegen eine unberechtigte Benutzung gesichert sein, damit:
1. die auf dem Personalcomputer installierte Software weder böswillig manipuliert noch in
irgendeiner anderen Form verändert werden kann,
2. auf dem Personalcomputer keine Viren oder Trojanischen Pferde eingespielt werden können,
3. die Hardware des Personalcomputers unzulässig verändert werden kann oder
4. der verwendete Chipkartenleser weder böswillig manipuliert noch in irgendeiner anderen Form
verändert wird um dadurch Daten (z. B. PIN, zu signierende Daten, Hashwerte, etc.)
auszuforschen, zu verändern oder die Funktion anderer Programme unzulässig zu verändern.
(siehe auch Abschnitt 4.2.4.4)
Die Unterrichtung des jeweiligen Zertifizierungsdiensteanbieters zur Handhabung der Signaturkarte ist
zu beachten.
4.2.4.3 Auflagen zum Schutz vor Angriffen über Datenaustausch per Datenträger
Bei Einspielung von Daten über Datenträger muss gewährleistet werden, dass
1. die installierte Software weder böswillig manipuliert noch in irgendeiner anderen Form
verändert werden kann und
2. keine Viren oder Trojanischen Pferde eingespielt werden können, um dadurch Daten (z. B.
PIN, zu signierende Daten, Hashwerte, etc.) auszuforschen, zu verändern oder die Funktion
anderer Programme unzulässig zu verändern. (siehe auch Abschnitt 4.2.4.4)
4.2.4.4 Auflagen zum Betrieb der Chipkartenleser
Bei Verwendung von Chipkartenlesern mit sicherer PIN-Eingabe ist sicherzustellen, dass die PIN
ausschließlich über die im Kartenleser integrierte Tastatur eingegeben wird.
Bei Verwendung eines Chipkartenlesers ohne sichere PIN-Eingabe ist sicherzustellen, dass keine
Programme zur Speicherung oder Weitergabe der Tastatureingaben (Keylogger) auf dem System
installiert sind. Eine Verletzung dieser Auflage birgt das Risiko unbefugter Signaturen.
4.2.4.5 Auflagen zur Sicherheitsadministration des Betriebes
Eine Sicherheitsadministration des Betriebes von XiSigner ist nicht vorgesehen. Eine
vertrauenswürdige Administration des Personalcomputers sowie der Internet- bzw. Intranetanbindung
muss sichergestellt werden.
4.2.4.6 Auflagen zum Schutz vor Fehlern bei Betrieb/Nutzung
Folgende Auflagen sind für den sachgemäßen Einsatz vom Produkt zu beachten:
Seite 16/18
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
8 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
733
XimantiX GmbH – Herstellererklärung PDF Faktura SDK - 080302
x Es wird eine vertrauenswürdige Eingabe der PIN vorausgesetzt. Der Benutzer hat dafür Sorge
zu tragen, dass die Eingabe der PIN weder beobachtet wird noch dass die PIN anderen
Personen bekannt gemacht wird.
4.2.4.7 Anforderungen an das Wartungs-/Reparaturpersonal
Eine Wartung bzw. Reparatur des Produktes ist nicht vorgesehen. Wartung bzw. Reparatur des
Personalcomputers ist nur von vertrauenswürdigen Personen durchzuführen.
4.2.4.8 Authentisierung des Wartungs-/Reparaturpersonals
Eine Wartung bzw. Reparatur der Software XiSigner ist nicht vorgesehen. Eine Authentisierung des
Personals für die Wartung bzw. Reparatur des Personalcomputers muss geeignet erfolgen.
4.2.4.9 Aufbewahrung/Transport der Produkte
Das Produkt wird vom Hersteller auf einer CD-ROM ausgeliefert oder zu Download zur Verfügung
gestellt.
Die Integrität des Produkts wird über Microsoft Authenticode Technologie gesichert.
4.2.4.10 Auflagen zur Darstellung von PDF Dokumenten
PDF Dokumente werden durch das Internet Explorer Plugin des Adobe Acrobat Readers V7.0 oder
höher dargestellt. Dies erfordert neben der Installation des Acrobat Readers V7.0 oder höher inklusive
des Internet Explorer Plugins auch die entsprechenden Sicherheitseinstellungen im Internet Explorer
(Zulassen von Plugins). Die Dateiendung „pdf“ muß mit dem Adobe Acrobat Reader verknüpft sein.
4.2.4.11 Auflagen zur Massensignatur
Die Signaturanwendungskomponente kann die signierten Daten bei einer Massensignatur auf deren
Inhalt/Zweck prüfen. Bei einer Freischaltung der Karte für mehrere Signaturen ohne einzelne
Prüfung der zu signierenden Daten hat der Anwender sicherzustellen, dass
x Unberechtigte keine Signaturen veranlassen können: Die Zuführung der Daten muss
besonders abgesichert sein und sich an dem Bedrohungspotential und Aktivierungszeitraum
der Karte zu orientieren
x Die geprüfte Anwendung zur Zuführung der zu signierenden Daten hat sicherzustellen, dass
nur Signaturen zu einem voreingestellten Zweck signiert werden
Die Anzeige der Inhalte der zu signierenden Daten erfolgt im ASCII Format. Jedoch können die Daten,
je nach Dateiformat, unterschiedlich interpretiert. Die Signaturanwendungskomponente bietet die
Möglichkeit, die Daten mit einem externen Programm zu betrachten. Der Anwender muss
sicherstellen, dass die im Betriebssystem registrierten Dateitypen (z.B. .pdf, .doc, .xls) mit den
Anwendungen verknüpft sind, mit denen er die Daten betrachten möchte.
5 Algorithmen und zugehörige Parameter
Zur Erzeugung und Prüfung elektronischer Signaturen werden vom Produkt die Hashfunktionen
x SHA-1 (geeignet bis Ende 2007, Übergangsfrist bis Ende Juni 2008),
x SHA-256 (geeignet bis Ende 2014),
x SHA-384 (geeignet bis Ende 2014),
x SHA-512 (geeignet bis Ende 2014) oder
x RIPEMD-160 (geeignet bis Ende 2010).
genutzt. Die angegebenen Eignungszeiten sind gemäß § 17 Abs. 2 SigV dem Bundesanzeiger
entnommen: „Übersicht über geeignete Algorithmen vom 17.Dez.2007“ BAnz. Nr. 19 v. 05.02.2008,
Seite 376).
Die vom Produkt genutzten Signaturverfahren sind
x RSA 1024 bit (geeignet bis Ende 2007, Übergangsfrist bis Ende März 2008),
Seite 17/18
Bonn, 7. Mai 2008
