abl-12
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
12 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1059
DokNr. DECLMAN-018-DSS2_v1.0
2.1.4 Protokollierung
Die Komponente digiSeal server 2 protokolliert für jede Prozessdurchführung den zugehörigen
Prozessauftrag und das Prozessergebnis.
Protokollierung des Prozessauftrages:
x Prozessauftrag
x Startzeitpunkt des Prozessauftrages
x Prozessdefinition
x Prozessname
x Jobzähler
x angesprochene Signatur- / Arbeitseinheit
x Schnittstelle und Quelle
x Eingangsdatei
Protokollierung des Prozessergebnisses:
x Prozessergebnis
x Startzeitpunkt des Prozessergebnis
x Prozessdefinition
x Prozessname
x Jobzähler
x angesprochene Signatur- / Arbeitseinheit
x Schnittstelle und Quelle
x Eingangsdatei
x Hashwert
x Ausgangsdatei
x zweite Ausgangsdatei (optional)
x Anzahl der erfolgreich ausgeführten Aufträge
x Limitierung
x Endzeitpunkt
x Verifikationsergebnis
x Fehlertext
x Ergebnis
2.1.5 Zugrundeliegende Kryptographiebibliothek
Die Signaturanwendungskomponente baut auf der Open-Source-Funktionsbibliothek
crypto++3 Version 5.2.1 auf.
3
www.cryptopp.com
DECLMAN-018-DSS2_v1.0.rtf Seite 5 von 20
Bonn, 2. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1060 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
12 2008 |
DokNr. DECLMAN-018-DSS2_v1.0
2.1.6 Integritätsprüfung
Die Signaturanwendungskomponente digiSeal server 2 verfügt entsprechend § 15 Abs. 4
SigV über Selbstprüfungsmechanismen zum Schutz vor der Manipulation der Software. Die
Programmbestandteile des digiSeal server 2 sind signiert. Diese Signaturen werden bei jedem
Programmstart durch die Komponente selbständig auf Integrität geprüft. Im Falle einer
Manipulation wird dies dem Anwender eindeutig angezeigt und das Programm beendet.
Die ausführbaren Programme und dynamisch geladenen Bibliotheken sind konform zum
PKCS#7-Standard elektronisch signiert. Eine Prüfung der elektronischen Signaturen ist
jederzeit mit einer ISIS-MTT-konformen Signaturprüfsoftware, die konform zum PKCS#7-
Standard signierte Dateien verifizieren kann, möglich.
2.1.7 Anwendungsbereich
Als Anwendungsbereich ist die Nutzung in größeren Infrastrukturen, z.B. im
privatwirtschaftlichen und behördlichen Umfeld, in einem geschützten Einsatzbereich
anzusehen.
2.1.8 Abgrenzung
Weitere Funktionen der Signaturanwendungskomponente digiSeal server 2 sind nicht
Gegenstand dieser Herstellererklärung.
Anwendungen, die das Produkt digiSeal server 2 nutzen, sind nicht Gegenstand der
Herstellererklärung.
2.2 Erzeugung qualifizierter elektronischer Signaturen
Zur Erzeugung qualifizierter elektronischer Signaturen von beliebigen elektronischen Daten
verwendet der TOE (EVG) digiSeal server 2 eine sichere Signaturerstellungseinheit (SSEE)
gemäß § 2 Nr. 10 SigG.
2.2.1 Unterstütze sichere Signaturerstellungseinheiten (SSEE)
Die folgenden Signaturkarten (sichere Signaturerstellungseinheit (SSEE) gemäß § 2 Nr. 10
SigG) werden unterstützt:
x D-TRUST-CARD_MS, Version 1.0,
Registrierungsnummer: Nachtrag zur Bestätigung TUVIT.09361.TE.10.2001
x Chipkarte mit Prozessor SLE66CX322P (bzw. SLE66CX642P), Software CardOS V4.3B
Re_Cert with Application for Digital Signature (D-TRUST c card V2.1),
Registrierungsnummer: T-Systems.02182.TE.11.2006,
x Telesec Signaturkarte PKS-Card, Version 3.0 und E4NetKeyCard, Version 3.0,
Registrierungsnummer: TUVIT.09339.TE.12.2000,
x SEA-Card, Version 2.0,
Registrierungsnummer: TUVIT.09346.TU.03.2001,
x STARCOS SPK2.3 with Digital Signature Application StarCert (limited signature
generation configuration),
Registrierungsnummer: debisZert.02036.TE.03.2001,
x DATEV Signaturkarte e:secure-Card, Version 1.0,
Registrierungsnummer: TUVIT.09341.TE.03.2001,
x DATEV Signaturkarte e:secure-Card, Version 1.10,
Registrierungsnummer: Nachtrag zur Bestätigung TUVIT.09341.TE.03.2001 vom
25.02.2004,
DECLMAN-018-DSS2_v1.0.rtf Seite 6 von 20
Bonn, 2. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
12 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1061
DokNr. DECLMAN-018-DSS2_v1.0
x DATEV Signaturkarte e:secure-Card, Version 1.20,
Registrierungsnummer: Nachtrag zur Bestätigung TUVIT.09341.TE.03.2001 vom
25.02.2004,
x TCOS 3.0 Signature Card, Version 1.0 with Philips chip P5CT072V0Q / P5CD036V0Q,
Registrierungsnummer: Nachtrag zur Bestätigung TUVIT. 93119.TE.09.2006 und
x ZKA-Signaturkarte,
Version 5.11 M, Registrierungsnummer TUV.93148.TU.06.2007.
Die gleichzeitige Ansprache mehrerer sicherer Signaturerzeugungseinheiten wird unterstützt.
2.2.2 Unterstützte Signaturformate
Der digiSeal server 2 erzeugt Signaturen entsprechend den folgenden Standards:
x PKCS#7 („signedData“ gemäß RFC 2630 und „signedData“ mit „multipart-signed“-Content
gemäß RFC 2633)
x PDF-embedded Signatur (PKCS#7-konforme Signatur entsprechend Adobe-Reference
1.6)
x XML-Signatur (XML-DSIG gemäß W3C Recommendation vom 12.02.2002 – RFC 3275,
XAdES gemäß W3C Note vom 20.02.2003)
Die Signaturanwendungskomponente digiSeal server 2 kann bestimmte elektronisch signierte
Dokumente komplett in einem graphischen Speicher (Matrix- bzw. 2D-Barcode) abspeichern.
Der graphische Speicher kann durch alle Medien, die graphische Informationen tragen
können, transportiert werden. So kann die elektronisch signierte Datei mittels des graphischen
Speichers in elektronischen Bildformaten (z.B. PDF, TIFF) untergebracht als auch beim
Ausdruck des Dokumentes auf Papier aufgebracht werden. Dies ermöglicht eine Speicherung
der elektronisch signierten Datei auf Papier. Somit ist auch eine Übertragung der
elektronischen signierten Datei mittels FAX möglich.
2.2.3 Unterstütze Dateiformate
Signaturgegenstand können elektronische Daten der nachfolgend aufgeführten Formate sein:
Eingangsformat des Ausgabeformat
Signaturgegenstandes
Sämtliche Dokumentenformate x PK7 und P7S
(„signedData“ gemäß RFC 2630) oder
x P7M
(„signedData“ mit „multipart-signed“-
Content gemäß RFC 2633)
Portable Document Format (PDF) x PDF
(PKCS#7-konforme Signatur entsprechend
Adobe-Reference 1.6)
Extensible Markup Language (XML) x XML-DSig,
gemäß W3C Recommendation vom
12.02.2002 – RFC 3275 oder
x XML-DSig
(XAdES, gemäß W3C Note vom
20.02.2003
DECLMAN-018-DSS2_v1.0.rtf Seite 7 von 20
Bonn, 2. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1062 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
12 2008
DokNr. DECLMAN-018-DSS2_v1.0
2.2.4 Absicherung des Signaturprozesses
Zur Absicherung des Signaturprozesses ist vor der Signaturerzeugung der Signaturauftrag
durch den Zertifikatsinhaber genau zu definieren. Die Bestätigung des Signaturauftrages
erfolgt durch den Zertifikatsinhaber mittels Eingabe der PIN.
2.2.4.1 Limitation des Signaturauftrages
Die Definition des Signaturauftrages beinhaltet zwingend eine Begrenzung der
Signaturaktivitäten über ein Zeitfenster und / oder eine maximalen Signaturanzahl. Nach
Ablauf des Zeitfensters oder mit dem Erreichen der maximalen Signaturanzahl wird der
Signaturprozess beendet.
2.2.4.2 Sichere PIN-Eingabe
Zum Schutz vor Ausspähungen der PIN ermöglicht die Signaturanwendungskomponente
digiSeal server 2 die sichere PIN-Eingabe am Kartenlesegerät.
2.2.4.3 Kein PIN-Caching
Es findet kein automatisierter Prozess statt, der nach Eingabe der PIN diese für das System
vorhält, zum Signieren automatisch abruft und an die SSEE sendet. Das Entfernen einer
sicheren Signaturerstellungseinheit aus dem jeweiligen Kartenlesegerät führt zur Beendigung
des Signaturprozesses. Ein erneuter Signaturprozess macht, bei technisch ansprechbarer
sicherer Signaturerstellungseinheit, den Nachweis der PIN notwendig.
2.3 Prüfung qualifizierter elektronischer Signaturen
Der digiSeal server 2 dient zur Verifikation von qualifiziert elektronisch signierten Daten. Dazu
werden mehrere Prüfschritte durchgeführt und diese protokolliert.
2.3.1 Prüfschritte
Zur Verifikation von qualifiziert elektronisch signierten Daten sind folgende drei Prüfschritten
notwendig:
x Prüfung der Dateisignatur
Durchführung der mathematischen Prüfung der Signatur über die Datei,
x Prüfung des Signaturzertifikats
Prüfung des Signaturzertifikats und der zugehörigen Zertifikatskette gegenüber einem
lokalen Vertrauensanker4
x Prüfung des Signaturzertifikatsstatus zum Signaturzeitpunkt
Prüfung des Status der Zertifikatsgültigkeit zum Signaturzeitpunkt auf Basis gültiger OCSP-
Antworten.
4
Vom Benutzer als vertrauenswürdig eingestufte Aussteller- und Wurzelzertifikate
DECLMAN-018-DSS2_v1.0.rtf Seite 8 von 20
Bonn, 2. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
12 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1063
DokNr. DECLMAN-018-DSS2_v1.0
Der digiSeal server erlaubt Verifikationen in den folgenden Prüftiefen:
Prüftiefe Prüfschritte
Prüftiefe 1: x Prüfung der Dateisignatur
Durchführung der mathematischen Prüfung der Signatur über die Datei,
Prüftiefe 2: x Prüfung der Dateisignatur
Durchführung der mathematischen Prüfung der Signatur über die Datei,
x Prüfung des Signaturzertifikats
Prüfung des Signaturzertifikats und der zugehörigen Zertifikatskette
gegenüber einem lokalen Vertrauensanker
Prüftiefe 3: x Prüfung der Dateisignatur
Durchführung der mathematischen Prüfung der Signatur über die Datei,
x Prüfung des Signaturzertifikats
Prüfung des Signaturzertifikats und der zugehörigen Zertifikatskette
gegenüber einem lokalen Vertrauensanker
x Prüfung des Signaturzertifikatsstatus zum Signaturzeitpunkt
Prüfung des Status der Zertifikatsgültigkeit zum Signaturzeitpunkt auf
Basis gültiger OCSP-Antworten5
Die Verifikation mit der Prüftiefe 3 ermöglicht eine vollständige signaturgesetzkonforme
Signatur- und Zertifikatsprüfung.
2.3.2 Prüfung qualifizierter deutscher Zertifikate
Bei qualifizierten deutschen Zertifikaten erfolgt die Prüfung der Zertifikatskette immer gemäß
ISIS-MTT SigG Profile (Kettenmodell).
2.3.3 Prüfdokumentation
Die Protokollierung des Prüfungsvorganges sowie die Erzeugung der Prüfdokumentation
erfolgen bei jeder Prüftiefe obligatorisch. Die erzeugte Prüfdokumentation kann z.B. für den
GDPdU-konformen Prüfnachweis herangezogen werden.
Die Prüfdokumentation kann in zwei verschiedenen Formen bereitgestellt werden.
Die ausführliche Prüfdokumentation besteht aus:
x Originaldatei
x extrahiertem Signaturgegenstand
x Signaturzertifikat
x sämtlichen Zertifikaten des Zertifikatspfades
x signierter OCSP-Antwort
x OCSP-Zertifikat und sämtliche Zertifikate des Zertifikatspfades
x Prüfprotokoll in Form einer XML-Datei
5
Aus der Antwort ist erkennbar, ob ein Zertifikat bekannt und gültig ist. Bei gesperrten Zertifikaten ist
aus der Antwort erkennbar, zu welchem Zeitpunkt die Sperrung erfolgt ist. Die Signatur sowie der
zugehörige Zertifikatspfad der OCSP-Antwort werden ihrerseits geprüft.
DECLMAN-018-DSS2_v1.0.rtf Seite 9 von 20
Bonn, 2. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1064 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
12 2008
DokNr. DECLMAN-018-DSS2_v1.0
Die zusammenfassende Prüfdokumentation besteht aus:
x Originaldatei
x extrahiertem Signaturgegenstand
x Prüfprotokoll in Form einer PDF/A-konforme PDF-Datei
Beide Formen der Prüfdokumentation enthalten eine Aussage über das bei der Prüfung
verwendete Gültigkeitsmodell.
2.3.4 Unterstützte Signaturformate
Geprüft werden können qualifiziert signierte Dateien folgender Formate:
x PKCS#7 („signedData“ gemäß RFC 2630 und „signedData“ mit „multipart-signed“-Content
gemäß RFC 2633)
x PDF-embedded Signatur (PKCS#7-konforme Signatur entsprechend Adobe-Reference
1.6)
x XML-Signatur (XML-DSIG gemäß W3C Recommendation vom 12.02.2002 – RFC 3275,
XAdES gemäß W3C Note vom 20.02.2003)
2.4 Einbindung von qualifizierten Zeitstempeln
Zur Erzeugung von qualifizierten Zeitstempeln unterstützt der digiSeal server 2 die Ansprache
der Zeitstempelserver von Zertifizierungsdiensteanbietern.
x Zeitstempelunterstützung gemäß IETF RFC 3161 Time-Stamp Protocol (TSP),
x Unterstützung von Zeitstempeln mit SSL-Authetifikation (z.B.: D-TRUST Zeitstempel),
x Unterstützung von Zeitstempeln mit HTTP-Authentifikation (z.B.: T-TeleSec-Zeitstempel).
Die Erzeugung von qualifizierten Zeitstempeln findet nicht durch den digiSeal server 2 direkt
statt. Dieser führt lediglich vorbereitende und abschließende Maßnahmen zur Erstellung eines
qualifizierten Zeitstempel durch einen Zeitstempelserver eines Zertifizierungsdiensteanbieters
durch.
2.5 Aufbau der Signaturanwendungskomponente digiSeal server 2
Die Signaturanwendungskomponente digiSeal server 2 ist modular aufgebaut und besteht aus
den folgenden Komponenten:
x digiSeal server.exe
x digiSeal worker.exe
x dsServerAPI.dll
x messageBoxUI.dll
Diese Komponenten sind ausführbare Programme (executables) bzw. dynamisch ladbare
Bibliotheken (dynamic link libraries).
DECLMAN-018-DSS2_v1.0.rtf Seite 10 von 20
Bonn, 2. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
12 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1065
DokNr. DECLMAN-018-DSS2_v1.0
2.5.1 Funktionalität der Komponente digiSeal server.exe
Die Komponente digiSeal server.exe stellt die folgenden Funktionen zur Verfügung:
x Integritätsprüfung des Produktes beim Programmstart,
x Graphische Kommunikationsschnittstelle (Benutzeroberfläche) zur Konfiguration des
digiSeal server 2 und der Prozesse sowie der Bedienung des digiSeal server 2
x Grundkonfigurationen des digiSeal server 2 durch den Benutzer,
x Konfiguration und Verwaltung der Prozessprofile,
x Visualisierung von Zertifikaten,
x Grundinformationen des digiSeal server 2,
x Beenden des Programms und
x Anzeige der zu signierenden Dateien, der für den Zeitstempelprozess bestimmten
Dateien und der zu verifizierenden Dateien sowie der Statusmeldung vor und nach
erfolgtem Signatur-, Zeitstempel- und Verifikationsprozess (Konsolenfenster).
x Signaturkartenansprache zur Ermittlung verfügbarer Signaturerstellungseinheiten und
Anstoß zur Aktivierung einer SSEE,
x Überwachung der Schnittstellen von aktivierten Prozessen (Prozessmanagement),
x Verteilung der Prozessaufträge an die Komponente digiSeal worker.exe und Intelligenz
zur Verwaltung der aktivierten Signaturerstellungseinheiten und
x Loggen und Protokollieren (Protokollierung der Aktivierung von SSEE und durchgeführten
Prozesse).
2.5.2 Funktionalität der Komponente digiSeal worker.exe
Die digiSeal worker.exe ist das ausführende Organ der von der digiSeal server.exe
verwalteten Prozesse. Sie stellt den eigentlichen Rahmen zur Signaturerstellung, zur
Signaturverifikation und zur Vorbereitung und Aufbringung der Zeitstempel zur Verfügung.
Dabei kommuniziert die digiSeal worker.exe mit der digiSeal server.exe und nimmt von dieser
die Prozessaufträge entgegen. Bei der Prozessausführung übernimmt die digiSeal worker.exe
die folgenden Aufgaben:
x Kommunikation mit der digiSeal server.exe,
x Ansprache und Steuerung (Aktivierung und Deaktivierung) der SSEE,
x Hashwert-Berechnung,
x Erzeugung elektronischer Signaturen auf Basis von Signaturkarten unter Verwendung
eines Kartenlesegerätes und auf Basis von softwarebasierten Zertifikaten,
x Vorbereitung und Aufbringung elektronischer Zeitstempel auf Basis von externen
Zeitstempeldiensten,
x Erzeugung der unterstützten Signaturaustauschformate,
x Ausgabe bestimmter signierter Dateien in einem graphischen Speicher,
x Schutz vor Hashwert-Verfälschung,
x Interpretieren der Eingangsdaten,
x Verifikation der Dateisignatur,
x Verifikation der Zertifikatsignatur,
x Durchführung der OCSP-Abfrage,
x Verwaltung der OCSP-Antwort,
DECLMAN-018-DSS2_v1.0.rtf Seite 11 von 20
Bonn, 2. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1066 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
12 2008
DokNr. DECLMAN-018-DSS2_v1.0
x Verwaltung der vertrauenswürdigen Zertifikate,
x Einlesen bestimmter signierter Dateien aus einem graphischen Speicher,
x Verwalten von unvollständigen Dokumenten aus graphischen Bildspeichern,
x Export des Signaturgegenstandes und
x Erzeugen der Prüfdokumentation.
2.5.3 Funktionalität der Komponente dsServerAPI.dll
Die dsServerAPI.dll bietet eine synchrone C-Schnittstelle zur Nutzung der Funktionalitäten
des digiSeal server 2.
Es lassen sich die Funktionen
x Signieren,
x Zeitstempel und
x Verifizieren
nutzen.
Der API-Nutzer muss sich gegenüber dem Server authentifizieren. Der Server prüft, ob eine
entsprechende Freischaltung für den API-Nutzer konfiguriert wurde. Nach erfolgreicher
Authentifizierung kommuniziert die dsServerAPI.dll SSL-gesichert mit dem digiSeal server 2.
Aufgaben der dsServerAPI.dll sind dabei:
x Kommunikation mit der digiSeal server.exe,
x gesicherte Kommunikation,
x Authentifizierung,
x Jobverarbeitung,
x Hashwert-Berechnung,
x Erzeugung der unterstützten Signaturaustauschformate,
x Ausgabe bestimmter signierter Dateien in einem graphischen Speicher und
x Abfragen der Zustandsinformationen des digiSeal server 2.
2.5.4 Funktionalität der Komponente messageBoxUI.dll
Die Komponente messageBoxUI.dll dient zur Visualisierung von Benachrichtigungen des
digiSeal server 2 an den Nutzer.
DECLMAN-018-DSS2_v1.0.rtf Seite 12 von 20
Bonn, 2. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
12 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
1067
DokNr. DECLMAN-018-DSS2_v1.0
2.6 Abgrenzung
Die folgenden Merkmale kann das Produkt digiSeal server 2 nicht leisten:
x Schutz des privaten Schlüssels
Diese Funktion gewährleistet ausschließlich die sichere Signaturerstellungseinheit.
x Schutz der Signaturzertifikate auf der Signaturkarte
Diese Funktion obliegt ausschließlich der sicheren Signaturerstellungseinheit.
x Sicherung der Integrität des CTAPI-Treibers
Der digiSeal server 2 enthält keine Funktionen zur Sicherung der Integrität des CTAPI-
Treibers des Kartenlesegeräteherstellers.
x Sicherung der Integrität des Betriebssystems (Systemumgebung)
Der digiSeal server 2 enthält keine Funktionen zur Sicherung der Integrität des
Betriebssystems (Systemumgebung). Die Sicherung der Integrität des Betriebssystems
obliegt dem Anwender bzw. dem Systemadministrator. Sie müssen geeignete
Maßnahmen treffen, um eine Bewahrung des Betriebssystems vor Beeinträchtigungen
und Manipulationen sicherzustellen.
x Sicherheit der kryptographischen Funktionen
Das Produkt digiSeal server benutzt Bibliotheken zur Erzeugung und Verifikation
elektronischer Signaturen über das RSA Public Key Verfahren und unter Verwendung der
Hash-Verfahren SHA-1, SHA-224, SHA-256, SHA-384, SHA-512 und RIPEMD-160. Der
TOE (EVG) kann die Stärke der kryptografischen Mechanismen nicht garantieren und
keine Aussagen über die Stärke der kryptografischen Funktionen postulieren.
digiSeal server 2 dient zur Erstellung und Verifikation von elektronischen Signaturen. Dazu
übernimmt digiSeal server 2 bei der Erstellung von elektronischen Signaturen folgende
Teilaufgaben: Hashwertbildung, Kommunikation mit der SSEE zur Signierung eines
Hashwertes (Bildung einer elektronischen Signatur), Verifikation des signierten Hashwertes
(Signatur) und Speicherung der signierten Datei im gewünschten Signaturaustauschformat.
Bei der Verifikation elektronischer Signaturen übernimmt digiSeal server 2 die folgenden
Teilaufgaben: Prüfung der Dateisignatur, lokale Zertifikatsprüfung, Onlinezertifikatsprüfung
unter Nutzung des OCSP-Protokolles und Erzeugung eines Prüfprotokolls.
digiSeal server 2 kann die Protokollierung elektronischer Signaturvorgänge auf dem Rechner
des Benutzers nicht verhindern.
DECLMAN-018-DSS2_v1.0.rtf Seite 13 von 20
Bonn, 2. Juli 2008
A
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
1068 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
12 2008 |
DokNr. DECLMAN-018-DSS2_v1.0
3. Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
3.1 Erfüllte Anforderungen
Das Produkt digiSeal server 2 erfüllt unter Einhaltung der Sicherheitsempfehlungen aus
Kapitel 3.2 die Anforderungen gemäß
x § 17 Abs. 2 Satz 1 SigG,
Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten
erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur vorher
eindeutig anzeigen und feststellen lassen, auf welche Daten sich die Signatur bezieht.
x § 17 Abs. 2 Satz 2 SigG,
Für die Überprüfung signierter Daten sind Signaturanwendungskomponenten erforderlich,
die feststellen lassen,
1. auf welche Daten sich die Signatur bezieht,
2. ob die signierten Daten unverändert sind,
3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,
4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, (... und
zugehörige qualifizierte Attribut-Zertifikate ...) aufweisen und
5. zu welchem Ergebnis die Nachprüfung von Zertifikaten nach § 5 Abs. 1 Satz 2 geführt
hat.
x § 17 Abs. 2 Satz 3 SigG,
Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu
signierenden oder signierten Daten hinreichend erkennen lassen.
x § 15 Abs. 2 Nr. 1 SigV,
Signaturanwendungskomponenten nach § 17 Abs. 2 des Signaturgesetzes müssen
gewährleisten, dass
1. bei der Erzeugung einer qualifizierten elektronischen Signatur
a) die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen
sicheren Signaturerstellungseinheit gespeichert werden,
b) eine Signatur nur durch die berechtigt signierende Person erfolgt,
c) die Erzeugung einer Signatur vorher eindeutig angezeigt wird und (...)
x § 15 Abs. 2 Nr. 2 SigV und
(...) 2. bei der Prüfung einer qualifizierten elektronischen Signatur
a) die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird und
b) eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im
jeweiligen Zertifikat-Verzeichnis zum angegebenen Zeitpunkt vorhanden und nicht
gesperrt waren.
x § 15 Abs. 4 SigV.
Signaturanwendungskomponenten nach § 17 Abs. 2 des Signaturgesetzes müssen
gewährleisten, dass (...)
3. Sicherheitstechnische Veränderungen an technischen Komponenten nach den
Absätzen 1 bis 3 müssen für den Nutzer erkennbar werden.
DECLMAN-018-DSS2_v1.0.rtf Seite 14 von 20
Bonn, 2. Juli 2008
