abl-13
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1686 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
13 2008|
Herstellererklärung
SecCommerce SecSigner® 3.4.0
6 Algorithmen und zugehörige Parameter
Das Produkt SecSigner® 3.4.0 setzt den RSA Algorithmus mit der im Signaturzertifikat angegebenen
Schlüssellänge von mindestens 1024 Bit ein.
Die unterstützten RSA-Verfahren galten nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bis 31.03.2008 als sicher.5
Ferner unterstützt SecSigner® 3.4.0 das EC-DSA-Verfahren basierend auf elliptischen Kurven mit einer
Parameterlänge von 192 Bit.
Das unterstützte EC-DSA-Verfahren gilt nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bis 31.12.2009 als sicher.6
Das Produkt SecSigner® 3.4.0 unterstützt die Hash-Funktion SHA-1, SHA-256, SHA-384, SHA-512 und
RIPEMD-160.
Die unterstützten Hash-Funktionen gelten nach der Übersicht über geeignete Algorithmen der
Bundesnetzagentur bei Anwendung für qualifizierte Zertifikate bis 30.06.2008 als sicher.7
5 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
6 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
7 Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, "Bekanntmachung
zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über
geeignete Algorithmen)", Bundesanzeiger Nr. 19, Seite 376ff. vom 05. Februar 2008
Herstellererklärung SecCommerce GmbH Seite 15 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
13 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1687
Herstellererklärung
SecCommerce SecSigner® 3.4.0
7 Gültigkeitsdauer der Herstellererklärung
Diese Erklärung ist bis zum 31.03.2008 gültig. Der aktuelle Status der Herstellererklärung liegt immer bei der
Bundesnetzagentur vor.
Herstellererklärung SecCommerce GmbH Seite 16 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1688 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
13 2008
Herstellererklärung
SecCommerce SecSigner® 3.4.0
8 Zusatzdokumentation
Folgende Bestandteile der Herstellererklärung wurden aus dem Veröffentlichungstext ausgegliedert und bei
der zuständigen Behörde hinterlegt:
„Aus der Herstellererklärung ausgegliederte Dokumentation als Anhang zur Herstellererklärung des
Herstellers SecCommerce Informationssysteme GmbH, Obenhauptstraße 5, 22335 Hamburg, für sein
Produkt SecSigner® 3.4.0“
SecCommerce.SecSigner_Anhang_3.4.0_22.06.2007 vom 27.06.2008, 28 Seiten
Ende der Herstellererklärung
Herstellererklärung SecCommerce GmbH Seite 17 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
13 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1689
Mitteilung Nr. 392/2008
Veröffentlichung von Herstellererklärungen für Produkte für
qualifizierte elektronische Signaturen nach § 17 Abs. 4 SigG, die
bei der Bundesnetzagentur hinterlegt wurden,
hier: SecCommerce Informationssysteme GmbH, SecSigner
3.5.0
Veröffentlichungshinweis
Die Bundesnetzagentur ist aufgrund des § 17 Abs. 4 des Signa-
turgesetzes (SigG) vom 16. Mai 2001 (BGBl. I S. 876), zuletzt
geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007
(BGBl. I S. 179), verpflichtet, Erklärungen durch Hersteller von
Produkten für qualifizierte elektronische Signaturen (Herstel-
lererklärungen) im Amtsblatt der Bundesnetzagentur zu veröf-
fentlichen. Das Amtsblatt dient insoweit nur als Veröffentli-
chungsmedium. Der Veröffentlichung ist weder eine materielle
Prüfung der Herstellererklärungen noch eine Prüfung der in
ihnen bezuggenommenen Produkte durch die Bundesnetz-
agentur vorausgegangen. Für den Inhalt der Herstellererklärun-
gen und für die Produkte sind allein die Hersteller verantwort-
lich.
Hersteller:
SecCommerce Informationssysteme GmbH
Obenhauptstr. 5
22335 Hamburg
Produkt:
SecSigner 3.5.0
Bezeichnung der Herstellererklärung:
Herstellererklärung SecSigner 3.5.0, Stand: 27.06.2008
Als weitere Unterlagen wurden eingereicht:
1. Aus der Herstellererklärung ausgegliederte Dokumentation als
Anhang zur Herstellererklärung SecSigner 3.5.0 mit der Doku-
mentennummer
SecCommerce.SecSigner_Anhang_3.5.0_04.04.2008,
Stand: 27.06.2008, 28 Seiten
Es folgt der Text der Herstellererklärung:
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1690 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
13 2008
Herstellererklärung
Der Hersteller
SecCommerce Informationssysteme GmbH
Obenhauptstraße 5
22335 Hamburg
erklärt hiermit gemäß §17 Abs. 4 Satz 2 SigG1
in Verbindung mit §15 Abs. 5 SigV2,
dass sein Produkt
SecSigner® 3.5.0
als
Teil-Signaturanwendungskomponente
die Anforderungen des Signaturgesetzes1 bzw. der Signaturverordnung2 erfüllt.
Hamburg, den 27.06.2008
___________________________________
gez. André Damm-Goossens,
Geschäftsführer
SecCommerce Informationssysteme GmbH
Diese Herstellererklärung mit der Dokumentennummer
SecCommerce.SecSigner_3.5.0_04.04.2008 besteht aus 17 Seiten.
1 Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) in der
Fassung vom 16. Mai 2001 (BGBl 1 S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar
2007(BGBl 1 S. 179)
2 Verordnung zur elektronischen Signatur (Signaturverordnung - SigV) in der Fassung vom 16.
November 2001 ( BGBl. 1 S. 3074), zuletzt geändert durch Artikel 9 Abs. 18 des Gesetzes vom 23.
November 2007 (BGBl. 1 S. 2631)
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
13 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1691
Herstellererklärung
SecCommerce SecSigner® 3.5.0
1 Handelsbezeichnung
Die Handelsbezeichnung lautet: SecSigner® 3.5.0
Auslieferung: Zip-Datei mit qualifizierter Signatur
(vgl. Abschnitte 4.1, 5.3).
Hersteller: SecCommerce Informationssysteme GmbH
Obenhauptstr. 5
22335 Hamburg
Handelsregister: HRB 69920
Amtsgericht Hamburg
Herstellererklärung SecCommerce GmbH Seite 2 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1692 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
13 2008
Herstellererklärung
SecCommerce SecSigner® 3.5.0
2 Lieferumfang
Lieferumfang: SecSigner® 3.5.0 ist eine Software und besteht aus einer bereitgestellten Java-Anwendung
sowie dazugehörigen Konfigurationsdateien. Anwendung und Konfigurationsdateien werden als Zip-Datei
mit qualifizierte Signatur ausgeliefert. Nicht zum Lieferumfang gehören weitere Produkte, die zur Nutzung
der Software und zur Erzeugung von Signaturen notwendig sind, wie z.B. Chipkartenleser und Signaturkarte
(sichere Signaturerstellungseinheit).
Nachfolgend ist der Lieferumfang, einschließlich der Versionsinformationen, aufgezählt:
Produktbestandteil Bezeichnung Version Übergabeform
Software Zip-Datei 'SecSigner.zip' 3.5.0 Download
Qualifizierte Signatur Signaturdatei 'SecSigner.zip.pkcs7' Download
Tabelle 1: Lieferumfang und Versionsinformationen
Auslieferung:
Als Produkt an Endanwender durch den Hersteller oder ausgewählte Dienstanbeiter per Download als Zip-
Datei. Zur Prüfung der Authentizität der Zip-Datei kann eine qualifizierte Signatur abgerufen werden, die mit
einer geeigneten Signaturanwendungskomponente geprüft werden kann (z.B, mit der Online-Version der
Software SecSigner® 3.5.0).
Die Zip-Datei enthält die folgenden Dateien mit sicherheitsrelevante Funktionen:
z scdriver.jar
z SecSigner300.jar
z secsigner300_res.pkcs7
z SecSigner300ApplRes.jar
z SecSigner300Res[VERSION-HASH].jar
z secsignersigg300.properties
z secwintools64.dll
z secwintools.dll
Andere Dateien im Zip (Dokumentation, Aufrufbeispiele) enthalten keine sicherheitsrelevante Funktionen
und sind nicht Teil der Anwendung SecSigner® 3.5.0.
Für Windows steht außerdem eine SetUp-Version zum Download zur Verfügung (vgl. Abschnitt 5.1.7). Zur
Prüfung der Authentizität der SetUp-Datei kann eine qualifizierte Signatur abgerufen werden, die mit einer
geeigneten Signaturanwendungskomponente geprüft werden kann (z.B, mit der Online-Version der Software
SecSigner® 3.5.0).
Herstellererklärung SecCommerce GmbH Seite 3 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
13 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1693
Herstellererklärung
SecCommerce SecSigner® 3.5.0
Das Produkt SecSigner® 3.5.0 nutzt die folgenden nach SigG bestätigten Produkte, die von Dritten
hergestellt werden und nicht Bestandteil dieser Erklärung sind (z.B. Kartenleser oder sichere
Signaturerstellungseinheiten):
Produktklasse Bezeichnung Registriernummer der
Bestätigung
SSEE Telesec Signaturkarte PKS-Card, E4KeyCard, TUVIT.09339.TE.12.2000
E4NetKeyCard, Version 3.0
SSEE DATEV Signaturkarte e:secure-Card Version 1.0, TUVIT.09341.TE.03.2001
1.10, 1.20
SSEE Signtrust Signaturkarte SEA-Card, Version 2.0 TUVIT.09346.TU.03.2001
SSEE Signaturkarte D-TRUST-CARD, Version 1.0 TUVIT.09361.TE.10.2001
SSEE Signaturerstellungseinheiten TCOS 3.0 Signature TUVIT.93119.TE.09.2006
Card, Version 1.0 with Philips chip
P5CT072V0Q/P5CD036V0Q
SSEE ZKA-Signaturkarte, Version 5.02 TUVIT.09385.TU.09.2004
SSEE ZKA-Signaturkarte, Version 5.10 TUVIT.93132.TU.06.2006
SSEE STARCOS 3.0 with Electronic Signature Application TUVIT.93100.TE.09.2005
V3.0 (Signtrust Card 3.0, Signtrust MCard 3.0,
Signtrust MCard 100 3.0)
SSEE Chipkarte mit Prozessor SLE66CX322P, T-Systems.02122.TE.05.2005
Betriebssystem CardOS V4.3B mit Applikation für
digitale Signatur (TC QSign)
SSEE ZKA Banking Signature Card, v6.2b NP & 6.2f NP, TUVIT.09395.TU.01.2005
Type 3
SSEE ZKA Banking Signature Card, v6.31 NP, Type 3 TUVIT.09397.TU.03.2005
SSEE ZKA Banking Signature Card, v6.32 NP, Type 3 TUVIT.93125.TU.12.2005
SSEE ZKA Banking Signature Card, v6.4 TUVIT.93123.TU.12.2006
SSEE ZKA Banking Signature Card, v6.51 TUVIT.93129.TU.03.2006
SSEE ZKA Banking Signature Card, Version 6.6 TUVIT.93130.TU.05.2006
Tabelle 2: Zusätzliche Produkte (SSEE)
Produktklasse Bezeichnung Registriernummer der
Bestätigung
Kartenleser CardMan® , CardMan® Compact, debisZERT.02013.TE.05.1998
CardMan® Keyboard, CardMan® Mobile
Kartenleser Cherry: PC-Tastaturen mit Chipkartenterminal G83- TUVIT.09327.TE.10.2001
6700LPZxx/00, G83-6700LQZxx/00, G81-
7015LQZxx/00, G81-8015LQZxx/00, G81-
12000LTZxx/00, G81-12000LVZxx/00
Herstellererklärung SecCommerce GmbH Seite 4 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1694 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
13 2008
Herstellererklärung
SecCommerce SecSigner® 3.5.0
Kartenleser Cherry: SmartBoard xx44 Firmware-Version 1.04 BSI.02048.TE.12.2004
Kartenleser Cherry: SmartTerminal ST-2xxx, Firmware Version BSI.02059.TE.02.2006
5.08
Kartenleser Chipdrive: Chipkartenleser SPR132, SPR332, TUVIT.09370.TE.03.2003
SPR532, Firmware Version 4.15
Kartenleser Chipdrive: Chipkartenleser SPR532, Firmware BSI.02080.TE.10.2006
Version 5.10
Kartenleser CyberJack e-com, Version 2.0 TUVIT.09363.TE.06.2002
Kartenleser CyberJack pinpad, Version 2.0 TUVIT.09362.TE.05.2002
Kartenleser CyberJack pinpad, Version 3.0 TUVIT.93107.TU.11.2004
Kartenleser CyberJack, Version 3.0 BSI.02011.TE.12.2000
Kartenleser Fujitsu Siemens: KBPC CX / CX Top: S26381-K329- BSI.02052.TE.12.2004
V1xx HOS:02, S26381-K329-V4xx HOS:01, 26381-
K339-V1xx HOS:01, Firmware-Version 1.04 der
Fujitsu Siemens Computers GmbH
Kartenleser Chipkartenleser-Tastatur KB SCR Pro, Sachnummer BSI.02082.TE.01.2007
S26381-K329-V2xx HOS:01, Firmware Version 1.06*
Kartenleser KOBIL Chipkartenterminals KAAN Professional und TUVIT.09331.TE.03.2002
B1 Professional HW-Version KCT100, FW-Version
2.08 GK 1.04
Kartenleser KOBIL Klasse 2 Chipkartenterminals KAAN Standard TUVIT.09354.TE.05.2003
Plus, FW-Version 02121852 und SecOVID Reader
Plus, FW-Version 02121812
Kartenleser Chipkartenterminal KAAN Advanced, Firmware BSI.02050.TE.12.2006
Version 1.02, Hardware Version K104R3
Kartenleser Omnikey: CardMan Trust CM3621 / CM3821, BSI.02057.TE.12.2005
Firmware-Version 6.00
Kartenleser Orga: Chipkartenlesegerät HML 5010 oder 5020 oder TUVIT.09320.TE.11.1999
5021 oder 5022, Version 1.0
Tabelle 3: Zusätzliche Produkte (Kartenleser)
Herstellererklärung SecCommerce GmbH Seite 5 von 17
Bonn, 16. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
13 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1695
Herstellererklärung
SecCommerce SecSigner® 3.5.0
3 Funktionsbeschreibung
SecSigner® 3.5.0 besteht aus einer Java-Bibliothek, die Softwareprodukten die zusätzliche Funktionalität
einer Signaturanwendungskomponente gemäß dem Signaturgesetz (SigG) zur Verfügung stellt. SecSigner®
3.5.0 erfüllt die vorgeschriebene Sicherheitsstufe, die das SigG für Signaturanwendungskomponenten für
qualifizierte elektronische Signaturen vorsieht. Im folgenden ist daher mit „Zertifikat“ immer ein „qualifiziertes
Zertifikat“ und mit „Signatur“ immer eine „qualifizierte Signatur“ im Sinne des SigG zu verstehen.
Zum einen können mit SecSigner® 3.5.0 von einer Softwareanwendung ausgewählte elektronische Daten
signaturgesetzkonform für den Vorgang des elektronischen Signierens durch eine Signaturkomponente
vorbereitet werden, wozu auch die Übergabe dieser Daten an die sichere Signaturerstellungseinheit gehört.
Auf der anderen Seite gestattet es SecSigner® 3.5.0 Softwareanwendungen, die Signatur unterbreiteter
Daten signaturgesetz-konform zu prüfen und damit die Integrität und Authentizität der signierten Daten zu
verifizieren.
Das Konzept des SecSigner® 3.5.0 besteht darin, Anwendungen die Funktionalität von signaturgesetz-
konformen Signaturanwendungskomponenten zu verleihen, ohne dass die Anwendungen selbst ein
Evaluierungs- und Bestätigungsverfahren durchlaufen oder dass für diese Anwendungen eine
Herstellererklärung gemäß §17 Abs. 4 Satz 2 SigG abgegeben werden müssen. Dieses Ziel erreicht
SecSigner® 3.5.0 durch die Kapselung sämtlicher sicherheitsspezifischer und sicherheitsrelevanter
Funktionen in einem Container, auf den nur über wohldefinierte Schnittstellen zugegriffen werden kann.
Bei Start des SecSigner® 3.5.0 werden diesem von einem beliebigen externen Anwendungs-programm für
das Signieren vorgesehene Daten übergeben. Die Dokumentformate Text, HTML (vereinfachter HTML-
Befehlssatz), TIFF und PDF-A werden im Anzeigefenster des SecSigner® 3.5.0 dargestellt. Andere
Dokumentformate können durch den Aufruf einer externen Darstellungsanwendung zur Anzeige gebracht
werden, sofern dafür in der Betriebssystemumgebung eine geeignete Anwendung für das Dokumentformat
verknüpft ist. Die Eigenschaften der externen Darstellungsanwendung sind nicht Gegenstand dieser
Erklärung.
Für das Betriebssystem Windows erlaubt SecSigner® 3.5.0 zusätzlich zur Darstellung in der sicheren
Viewerkomponente des SecSigners bzw. zur Darstellung nicht unterstützer Dokumentformate die im
Betriebssystem voreingestellte externe Viewer-Komponenten. Diese kann der Nutzer im entsprechenden
Dialog aufrufen. Externe Viewer-Komponenten und ihre Funktionalität sind nicht Teil der
Signaturanwendungskomponente oder dieser Herstellererklärung.
Die vorgesehene Einsatzumgebung ist durch einen Single-User-Rechner oder einen Multi-User-Rechner mit
Standard-Betriebssystem und Standard-Hardware gekennzeichnet, der im privaten Bereich oder in der
normalen Büroumgebung eingesetzt wird.
Der Ablauf der Prozesse im SecSigner® 3.5.0 kann nicht von außen beeinflusst werden. SecSigner® 3.5.0
gibt die Kontrolle erst nach erfolgreichem Abschluss der entsprechenden Operation (Erzeugen einer
Signatur mithilfe einer Signaturkomponente oder Prüfen einer Signatur) an das externe
Anwendungsprogramm zurück, ansonsten erfolgt eine Fehlermeldung.
Durch dieses Konzept wird erreicht, dass die Sicherheitsfunktionalität des SecSigner® 3.5.0 grundsätzlich
nicht von außen beeinflusst werden kann. Es ist keiner Anwendung möglich, den Container zu manipulieren.
SecSigner® 3.5.0 stellt im Einzelnen die folgenden Funktionen zur Verfügung:
z Die Unterstützung der sicheren PIN-Eingabe bei Verwendung eines geeigneten Kartenlesers durch
den Benutzer.
z Die Visualisierung der Tatsache der Erzeugung einer digitalen Signatur vor der Durchführung des
Signiervorgangs.
z Die Darstellung des Inhalts zu signierender bzw. signierter Daten im HTML-Format mit
vereinfachtem Befehlssatz (Subset der HTML-Tags), PDF-A, TIFF oder Textformat (reiner Text).
z Den Bezug der Signatur zu den digitalen Daten, die signiert werden, beim Signier- und beim
Verifikationsvorgang.
z Die Verifikation der Integrität signierter Daten.
z Die Zuordnung der digitalen Signatur zum Signaturschlüsselinhaber.
Herstellererklärung SecCommerce GmbH Seite 6 von 17
Bonn, 16. Juli 2008
