abl-13
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1684 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
13 2008
Herstellererklärung
SecCommerce SecSigner® 3.4.0
Microsoft's Windows Explorer ermöglicht bei der Markierung einer Datei oder eines Dateiordners mit der
rechten Maustaste ein Kontextmenü. SecCommerce stellt eine entsprechende DLL bereit, die ein Submenü
in dieses Kontextmenü einfügt. Mithilfe dieses Menüs kann der Benutzer die SecSigner® 3.4.0 aufrufen:
Dazu übergibt das Menü entsprechende Parameter über die Kommandozeile an eine Datei 'SecSigner.exe.
Bei den Parametern handelt es sich um Dateinamen und Kommandos wie 'sign' oder 'verify'. SecSigner.exe
liest spezifizierte Dateien und übergibt Sie den Standard-Schnittstellen der Anwendung SecSigner® 3.4.0.
Die DLL, SecSigner.exe und SecSigner können dazu mit einem Installationsprogramm auf dem Windows-
Rechner installiert werden. Weder die DLL, noch SecSigner.exe oder das Installtionsprgramm enthalten
sicherheitsrelevante Funktionen oder sind Teil der Anwendung SecSigner® 3.4.0. Daher sind diese Dateien
auch nicht Teil dieser Herstellererklärung.
5.2 Anbindung an ein Netzwerk
Der Signaturarbeitsplatz ist durch Firewall-Installationen und –Konfigurationen abzusichern.
Für die Nutzung der Online-Zertifikatstatusabfrage bei Zertifizierungsdiensteanbietern ist der Zugriff vom
Signaturarbeitsplatz zu den Diensten der Zertifizierungsdiensteanbieter über das Internet notwendig. Die
hierfür erforderlichen TCP/IP-Adressen und Ports müssen entweder direkt oder über einen Proxy erreichbar
sein, entsprechende Firewalleinstellungen sind ggf. zu konfigurieren.
5.3 Auflagen zur Auslieferung und Inbetriebnahme
Bei Einrichtung des Signaturarbeitsplatzes sind die jeweiligen Hinweise der Hersteller der technischen
Komponenten zu berücksichtigen. Insbesondere ist vor der Inbetriebnahme der Teil-
Signaturanwendungskomponente SecSigner® 3.4.0 die enthaltene Signatur auf Authentizität zu überprüfen.
Die Zertifikate der eingesetzten Signaturkarten können vom SecSigner® 3.4.0 mittels einer Online-
Zertifikatstatusüberprüfung (OSCP) beim ausgebenden Trustcenter auf Gültigkeit überprüft werden.
Der SecSigner® 3.4.0 wird herstellerseitig mit einem Zertifikat gemäß Signaturgesetz signiert und per
Dateitransfer bereitgestellt. Bei Erhalt der Software ist die Signatur vor der Inbetriebnahme des SecSigner®s
3.4.0 auf Authentizität zu überprüfen. Berechtigte Personen seitens SecCommerce für die Signatur der
Auslieferung des SecSigner®s 3.4.0 sind in der ausgegliederten Dokumentation ausgewiesen.
5.4 Auflagen für den Betrieb des Produktes
5.4.1 Auflagen zur Sicherheitsadministration des Betriebs
Sicherheitsrelevante Änderungen am Signaturarbeitsplatz dürfen nur nach erfolgter Prüfung gegen die
Auflagen dieser Dokumentation vorgenommen werden.
5.4.2 Auflagen zum Schutz vor Fehlern bei Betrieb/Nutzung
Die Bedienung des Signaturarbeitsplatzes bedarf der Kenntnis der Teil-Signaturanwendungskomponente
und insbesondere der Bedienung des Chipkartenlesers seitens der Signaturkarteninhaber. Hierfür wird
herstellerseitig ein Anwenderhandbuch bereitgestellt. In diesem sind alle notwendigen Schritte der
Bedienung, die Bedeutung der Anzeige und Handlungsalternativen ausführlich erklärt. Die Kenntnis des
Anwenderhandbuchs ist Voraussetzung und dient zum Schutz von Fehlern bei der Bedienung.
Herstellererklärung SecCommerce GmbH Seite 13 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
13 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1685
Herstellererklärung
SecCommerce SecSigner® 3.4.0
5.4.3 Wartung/Reparatur
Änderungen am Signaturarbeitsplatz dürfen nur von qualifizierten, vertrauenswürdigen und fachkundigen
Personen und nur nach vorheriger erfolgter Prüfung gegen die Auflagen dieser Dokumentation
vorgenommen werden.
Herstellererklärung SecCommerce GmbH Seite 14 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1686 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
13 2008|
Herstellererklärung
SecCommerce SecSigner® 3.4.0
6 Algorithmen und zugehörige Parameter
Das Produkt SecSigner® 3.4.0 setzt den RSA Algorithmus mit der im Signaturzertifikat angegebenen
Schlüssellänge von mindestens 1024 Bit ein.
Die unterstützten RSA-Verfahren galten nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bis 31.03.2008 als sicher.5
Ferner unterstützt SecSigner® 3.4.0 das EC-DSA-Verfahren basierend auf elliptischen Kurven mit einer
Parameterlänge von 192 Bit.
Das unterstützte EC-DSA-Verfahren gilt nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bis 31.12.2009 als sicher.6
Das Produkt SecSigner® 3.4.0 unterstützt die Hash-Funktion SHA-1, SHA-256, SHA-384, SHA-512 und
RIPEMD-160.
Die unterstützten Hash-Funktionen gelten nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bei Anwendung für qualifizierte Zertifikate bis 30.06.2008 als sicher.7
5 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
6 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
7 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
Herstellererklärung SecCommerce GmbH Seite 15 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
13 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1687
Herstellererklärung
SecCommerce SecSigner® 3.4.0
7 Gültigkeitsdauer der Herstellererklärung
Diese Erklärung ist bis zum 31.03.2008 gültig. Der aktuelle Status der Herstellererklärung liegt immer bei der
Bundesnetzagentur vor.
Herstellererklärung SecCommerce GmbH Seite 16 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1688 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
13 2008
Herstellererklärung
SecCommerce SecSigner® 3.4.0
8 Zusatzdokumentation
Folgende Bestandteile der Herstellererklärung wurden aus dem Veröffentlichungstext ausgegliedert und bei
der zuständigen Behörde hinterlegt:
„Aus der Herstellererklärung ausgegliederte Dokumentation als Anhang zur Herstellererklärung des
Herstellers SecCommerce Informationssysteme GmbH, Obenhauptstraße 5, 22335 Hamburg, für sein
Produkt SecSigner® 3.4.0“
SecCommerce.SecSigner_Anhang_3.4.0_22.06.2007 vom 27.06.2008, 28 Seiten
Ende der Herstellererklärung
Herstellererklärung SecCommerce GmbH Seite 17 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
13 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1689
Mitteilung Nr. 392/2008
Veröffentlichung von Herstellererklärungen für Produkte für
qualifizierte elektronische Signaturen nach § 17 Abs. 4 SigG, die
bei der Bundesnetzagentur hinterlegt wurden,
hier: SecCommerce Informationssysteme GmbH, SecSigner
3.5.0
Veröffentlichungshinweis
Die Bundesnetzagentur ist aufgrund des § 17 Abs. 4 des Signa-
turgesetzes (SigG) vom 16. Mai 2001 (BGBl. I S. 876), zuletzt
geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007
(BGBl. I S. 179), verpflichtet, Erklärungen durch Hersteller von
Produkten für qualifizierte elektronische Signaturen (Herstel-
lererklärungen) im Amtsblatt der Bundesnetzagentur zu veröf-
fentlichen. Das Amtsblatt dient insoweit nur als Veröffentli-
chungsmedium. Der Veröffentlichung ist weder eine materielle
Prüfung der Herstellererklärungen noch eine Prüfung der in
ihnen bezuggenommenen Produkte durch die Bundesnetz-
agentur vorausgegangen. Für den Inhalt der Herstellererklärun-
gen und für die Produkte sind allein die Hersteller verantwort-
lich.
Hersteller:
SecCommerce Informationssysteme GmbH
Obenhauptstr. 5
22335 Hamburg
Produkt:
SecSigner 3.5.0
Bezeichnung der Herstellererklärung:
Herstellererklärung SecSigner 3.5.0, Stand: 27.06.2008
Als weitere Unterlagen wurden eingereicht:
1. Aus der Herstellererklärung ausgegliederte Dokumentation als
Anhang zur Herstellererklärung SecSigner 3.5.0 mit der Doku-
mentennummer
SecCommerce.SecSigner_Anhang_3.5.0_04.04.2008,
Stand: 27.06.2008, 28 Seiten
Es folgt der Text der Herstellererklärung:
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1690 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
13 2008
Herstellererklärung
Der Hersteller
SecCommerce Informationssysteme GmbH
Obenhauptstraße 5
22335 Hamburg
erklärt hiermit gemäß §17 Abs. 4 Satz 2 SigG1
in Verbindung mit §15 Abs. 5 SigV2,
dass sein Produkt
SecSigner® 3.5.0
als
Teil-Signaturanwendungskomponente
die Anforderungen des Signaturgesetzes1 bzw. der Signaturverordnung2 erfüllt.
Hamburg, den 27.06.2008
___________________________________
gez. André Damm-Goossens,
Geschäftsführer
SecCommerce Informationssysteme GmbH
Diese Herstellererklärung mit der Dokumentennummer
SecCommerce.SecSigner_3.5.0_04.04.2008 besteht aus 17 Seiten.
1 Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) in der
Fassung vom 16. Mai 2001 (BGBl 1 S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar
2007(BGBl 1 S. 179)
2 Verordnung zur elektronischen Signatur (Signaturverordnung - SigV) in der Fassung vom 16.
November 2001 ( BGBl. 1 S. 3074), zuletzt geändert durch Artikel 9 Abs. 18 des Gesetzes vom 23.
November 2007 (BGBl. 1 S. 2631)
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
13 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1691
Herstellererklärung
SecCommerce SecSigner® 3.5.0
1 Handelsbezeichnung
Die Handelsbezeichnung lautet: SecSigner® 3.5.0
Auslieferung: Zip-Datei mit qualifizierter Signatur
(vgl. Abschnitte 4.1, 5.3).
Hersteller: SecCommerce Informationssysteme GmbH
Obenhauptstr. 5
22335 Hamburg
Handelsregister: HRB 69920
Amtsgericht Hamburg
Herstellererklärung SecCommerce GmbH Seite 2 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1692 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
13 2008
Herstellererklärung
SecCommerce SecSigner® 3.5.0
2 Lieferumfang
Lieferumfang: SecSigner® 3.5.0 ist eine Software und besteht aus einer bereitgestellten Java-Anwendung
sowie dazugehörigen Konfigurationsdateien. Anwendung und Konfigurationsdateien werden als Zip-Datei
mit qualifizierte Signatur ausgeliefert. Nicht zum Lieferumfang gehören weitere Produkte, die zur Nutzung
der Software und zur Erzeugung von Signaturen notwendig sind, wie z.B. Chipkartenleser und Signaturkarte
(sichere Signaturerstellungseinheit).
Nachfolgend ist der Lieferumfang, einschließlich der Versionsinformationen, aufgezählt:
Produktbestandteil Bezeichnung Version Übergabeform
Software Zip-Datei 'SecSigner.zip' 3.5.0 Download
Qualifizierte Signatur Signaturdatei 'SecSigner.zip.pkcs7' Download
Tabelle 1: Lieferumfang und Versionsinformationen
Auslieferung:
Als Produkt an Endanwender durch den Hersteller oder ausgewählte Dienstanbeiter per Download als Zip-
Datei. Zur Prüfung der Authentizität der Zip-Datei kann eine qualifizierte Signatur abgerufen werden, die mit
einer geeigneten Signaturanwendungskomponente geprüft werden kann (z.B, mit der Online-Version der
Software SecSigner® 3.5.0).
Die Zip-Datei enthält die folgenden Dateien mit sicherheitsrelevante Funktionen:
z scdriver.jar
z SecSigner300.jar
z secsigner300_res.pkcs7
z SecSigner300ApplRes.jar
z SecSigner300Res[VERSION-HASH].jar
z secsignersigg300.properties
z secwintools64.dll
z secwintools.dll
Andere Dateien im Zip (Dokumentation, Aufrufbeispiele) enthalten keine sicherheitsrelevante Funktionen
und sind nicht Teil der Anwendung SecSigner® 3.5.0.
Für Windows steht außerdem eine SetUp-Version zum Download zur Verfügung (vgl. Abschnitt 5.1.7). Zur
Prüfung der Authentizität der SetUp-Datei kann eine qualifizierte Signatur abgerufen werden, die mit einer
geeigneten Signaturanwendungskomponente geprüft werden kann (z.B, mit der Online-Version der Software
SecSigner® 3.5.0).
Herstellererklärung SecCommerce GmbH Seite 3 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
13 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1693
Herstellererklärung
SecCommerce SecSigner® 3.5.0
Das Produkt SecSigner® 3.5.0 nutzt die folgenden nach SigG bestätigten Produkte, die von Dritten
hergestellt werden und nicht Bestandteil dieser Erklärung sind (z.B. Kartenleser oder sichere
Signaturerstellungseinheiten):
Produktklasse Bezeichnung Registriernummer der
Bestätigung
SSEE Telesec Signaturkarte PKS-Card, E4KeyCard, TUVIT.09339.TE.12.2000
E4NetKeyCard, Version 3.0
SSEE DATEV Signaturkarte e:secure-Card Version 1.0, TUVIT.09341.TE.03.2001
1.10, 1.20
SSEE Signtrust Signaturkarte SEA-Card, Version 2.0 TUVIT.09346.TU.03.2001
SSEE Signaturkarte D-TRUST-CARD, Version 1.0 TUVIT.09361.TE.10.2001
SSEE Signaturerstellungseinheiten TCOS 3.0 Signature TUVIT.93119.TE.09.2006
Card, Version 1.0 with Philips chip
P5CT072V0Q/P5CD036V0Q
SSEE ZKA-Signaturkarte, Version 5.02 TUVIT.09385.TU.09.2004
SSEE ZKA-Signaturkarte, Version 5.10 TUVIT.93132.TU.06.2006
SSEE STARCOS 3.0 with Electronic Signature Application TUVIT.93100.TE.09.2005
V3.0 (Signtrust Card 3.0, Signtrust MCard 3.0,
Signtrust MCard 100 3.0)
SSEE Chipkarte mit Prozessor SLE66CX322P, T-Systems.02122.TE.05.2005
Betriebssystem CardOS V4.3B mit Applikation für
digitale Signatur (TC QSign)
SSEE ZKA Banking Signature Card, v6.2b NP & 6.2f NP, TUVIT.09395.TU.01.2005
Type 3
SSEE ZKA Banking Signature Card, v6.31 NP, Type 3 TUVIT.09397.TU.03.2005
SSEE ZKA Banking Signature Card, v6.32 NP, Type 3 TUVIT.93125.TU.12.2005
SSEE ZKA Banking Signature Card, v6.4 TUVIT.93123.TU.12.2006
SSEE ZKA Banking Signature Card, v6.51 TUVIT.93129.TU.03.2006
SSEE ZKA Banking Signature Card, Version 6.6 TUVIT.93130.TU.05.2006
Tabelle 2: Zusätzliche Produkte (SSEE)
Produktklasse Bezeichnung Registriernummer der
Bestätigung
Kartenleser CardMan® , CardMan® Compact, debisZERT.02013.TE.05.1998
CardMan® Keyboard, CardMan® Mobile
Kartenleser Cherry: PC-Tastaturen mit Chipkartenterminal G83- TUVIT.09327.TE.10.2001
6700LPZxx/00, G83-6700LQZxx/00, G81-
7015LQZxx/00, G81-8015LQZxx/00, G81-
12000LTZxx/00, G81-12000LVZxx/00
Herstellererklärung SecCommerce GmbH Seite 4 von 17
Bonn, 16. Juli 2008
