Diese Herstellererklärung mit der Dokumentennummer besteht aus 18 Seiten.

Transkript

1 Herstellererklärung Der Hersteller XimantiX GmbH Landsberger Straße München Registergericht: Amtsgericht München Registernummer: HR erklärt hiermit gemäß 17 Abs. 4 Satz 2 SigG 1 in Verbindung mit 15 Abs. 5 SigV 2, dass sein Produkt PDF Faktura SDK Version 2 enthält eine Teilkomponente einer Signaturanwendungskomponente gemäß 2 Nr. 11 SigG, die dazu bestimmt sind, a) Daten dem Prozess der Erzeugung oder Prüfung qualifizierter elektronischer Signaturen zuzuführen oder b) qualifizierte elektronische Signaturen zu prüfen oder qualifizierte Zertifikate nachzuprüfen und die Ergebnisse anzuzeigen, und die die Anforderungen des Signaturgesetzes, der Signaturverordnung sowie des Signaturänderungsgesetzes 3 erfüllen München, 18 März 2008, Dr. Jörg-Ulrich Wölfel Geschäftsführer Donald Müller-Judex Geschäftsführer Diese Herstellererklärung mit der Dokumentennummer besteht aus 18 Seiten. 1 (SigG) Signaturgesetz vom 16. Mai 2001 (BGBl. 1 S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. 1 S. 179) 2 (SigV) Signaturverordnung vom 16. November 2001 (BGBl. 1 S. 3074), geändert durch Artikel 2 des Gesetzes vom 4. Januar 2005 (BGBl. 1 S. 2) 3 Gesetz zur Änderung des Signaturgesetzes 1. SigÄndG in der Fassung vom 4. Januar 2005 Seite 1/18

2 Beschreibung des Produktes 1 Handelsbezeichnung des Produkts Handelsbezeichnung PDF Faktura SDK Version 2 Auslieferung Auf einer CD-ROM oder Download Hersteller XimantiX GmbH Landsberger Straße München Registergericht: Amtsgericht München Registernummer: HR Lieferumfang und Versionsinformationen Nachfolgend ist der Lieferumfang, einschließlich der Versionsinformationen, aufgezählt: Produktbestandteile Bezeichnung Version Übergabeform Software 2.1 CD oder Download Handbuch Handbuch 2.1 CD oder Download Software XiSigner 2.0 CD oder Download Handbuch XiSigner Handbuch 2.0 CD oder Download Tabelle 1: Lieferumfang und Versionsinformation Das Produkt PDF Faktura SDK Version 2 nutzt die folgenden nach SigG bestätigten Produkte, die von Dritten hergestellt werden und nicht Bestandteil dieser Erklärung sind: Produktklasse Bezeichnung Registriernummer Kartenleser Chipkartenleser SPR532 Firmware Version 5.10 BSI TE Kartenleser SmartTerminal ST-2xxx, Firmware Version 5.08 BSI TE Kartenleser KAAN Advanced, Firmware Version 1.02, Hardware Version K104R3 BSI TE Signtrust Signaturkarte SEA-Card Version 2.0 TUVIT TU Telesec Signaturkarte PKS-Card Version 3.0 TUVIT TE D-TRUST-CARD, Version 1.0 TUVIT TE TCOS 3.0 Signature Card, Version 1.1 der T- Systems Enterprise Services GmbH ZKA signature card, Version 5.02 der Gemplusmids GmbH ZKA signature card, Version 5.11 der Gemplusmids GmbH ZKA Banking signature card, v6.2 NP, Type 3 der Giesecke & Devrient GmbH TUVIT TE TUVIT TU TUVIT TU TUVIT TU Seite 2/18

3 Tabelle 2: Zusätzliche Produkte ZKA Banking Signature Card, Version 6.2b NP und 6.2f NP, Type 3 der Giesecke & Devrient GmbH ZKA Banking signature card v6.31 NP, Type 3 der Giesecke & Devrient GmbH ZKA Banking signature card v6.32, Type 3 der Giesecke & Devrient GmbH ZKA Banking Signature Card, Version 6.4 der Giesecke& Devrient GmbH ZKA Banking Signature Card, Version 6.51 der Giesecke & Devrient GmbH ZKA Banking signature card v6.6, der Giesecke & Devrient GmbH TUVIT TU TUVIT TU TUVIT TU TUVIT TU TUVIT TU TUVIT TU Funktionsbeschreibung 3.1 Signaturanwendungskomponenten Das Produkt PDF Faktura SDK Version 2 4 enthält eine Teilkomponente einer Signaturanwendungskomponente gemäß 2 Nr. 11 SigG, die dazu bestimmt sind, a) Daten dem Prozess der Erzeugung oder Prüfung qualifizierter elektronischer Signaturen zuzuführen oder b) qualifizierte elektronische Signaturen zu prüfen oder qualifizierte Zertifikate nachzuprüfen und die Ergebnisse anzuzeigen. Das Produkt enthält sowohl ausführbare Programmbestandteile als auch Funktionsbibliotheken, die eine Integration in weitere Anwendungen ermöglichen. Die Abbildung 1: Komponenten des PDF Faktura SDK gibt einen Überblick. XiSecureGUI.dll XiSigner XiCryptography Kartenleser Internetverbindung Abbildung 1: Komponenten des PDF Faktura SDK und XiSigner nutzen die Kernkomponente XiCryptography, um Signaturen zu erzeugen und zu prüfen. Der Zugriff auf die Funktionalitäten der Funktionsbibliothek XiCryptography 4 Im Folgenden kurz als Produkt bezeichnet Seite 3/18

4 kann entweder ein ausführbares Programm () oder eine Webserviceschnittstelle (XiSigner) erfolgen XiCryptography Die Funktionsbibliothek XiCryptography enthält folgende Funktionalitäten: Zugriff auf sichere Signaturerstellungseinheit (Kartenleser und Signaturkarte) über sichere PIN-Eingabe. Kryptografische Verfahren zur Ver- und Entschlüsselung von Daten auf Basis von symmetrischen und asymmetrischen Algorithmen. Erstellung von Signaturen, die dem PKCS#7 Standard entsprechen. Prüfung von Signaturen, die dem PKCS#7 Standard entsprechen. Prüfung, ob die signierten Daten unverändert sind. Ermittlung des Signaturschlüssel-Inhabers. Prüfung der Gültigkeit des qualifizierten Zertifikats, auf dem die Signatur beruht, über öffentlich erreichbare Kommunikationsverbindungen (OCSP) und Anzeige des Ergebnisses. Zur Prüfung wird eine Internetschnittstelle verwendet. Inhalte des qualifizierten Zertifikats, auf dem die Signatur beruht, und zugehörige qualifizierte Attribut-Zertifikate aufweisen. Eine Anzeigeeinheit für PDF und Text und Dateiformate Das ausführbare Programm erlaubt es dem Anwender, Rechnungen in einer dem Umsatzsteuergesetz konformen Art und Weise per zu versenden und zu empfangen. Rechnungen müssen nach UStG 14 mit einer qualifizierten Signatur versehen werden. Gegenstand dieser Herstellererklärung sind ausschließlich der Fensterbereich zur Darstellung des PDF-Dokuments, die Anzeigebereiche für die Signatur und das Fenster zum Erstellen einer neuen Rechnung als signiertes PDF-Dokument. Diese Funktionen sind in der Programmbibliothek XiSecureGUI.dll enthalten. Zusätzliche Funktionalitäten sind nicht Gegenstand der Herstellererklärung XiSigner Der XiSigner wird als eigenständiger Prozess gestartet und kann über einen Webservice angesprochen werden. Diese Webservices bieten die Möglichkeit, die oben genannten Funktionen der Funktionsbibliothek XiCryptography zu verwenden. Der Webservice ist im Netzwerk erreichbar und durch Zugriffszertifikate abgesichert Signaturservice Protokoll Die Windows-Anwendung XiSigner kann auf Wunsch einen TCP-Webservice auf einem frei konfigurierbaren Port zur Verfügung stellen. Es handelt sich dabei um einen Webservice mittels Microsoft Web Services Enhancements 2.0. Entsprechend den Auflagen zur Massensignatur ( ) ist von den Systemadministratoren sicherzustellen, dass nur die berechtigten Applikationen, die auf berechtigten Rechnern laufen Zugriff auf diesen Port bekommen. Außerdem darf der private Schlüssel des Zugriffszertifikates für ein bestimmtes Qualifiziertes Zertifikat nur von der zur Signatur berechtigten Person (Benutzerkonto) verwendbar sein. Bei besonders hohen Sicherheitsanforderungen empfehlen wir die Freischalteigenschaften Dokumentprüfung: Immer und Freischaltspanne: 1 Operation. Durch die eingebauten Sicherheitsfunktionen von Microsoft Web Services Enhancements 2.0 kann durch Konfiguration der Anwendung mittels XiSigner.exe.config zusätzlich Vertrauen in die Schnittstelle geschaffen werden. Lesen Sie hierzu die entsprechende Dokumentation von Microsoft (z.b. Seite 4/18

5 Auftragsstellung Signatur Ein Signaturauftrag wird mit dem Actionnamen Sign gestellt. Im Body des SoapEnvelopes muss ein in ein String serialisiertes XML nach folgendem Schema enthalten sein. <Request><ToSign FileName="documentName" DocType="docType">Data64</ToSign><Signature>Base64Signature</Signature></Request> documentname doctype Data64 Base64Signature Tabelle 3:Signatur-Request Der Dateiname des zu signierenden Dokumentes Der Typ des zu signierenden Dokumentes kann entweder pdf sein oder jeder beliebige andere Wert. Diese Information wird verwendet um zu entscheiden, in welcher Form die Antwort gesendet werden muss. Im PDF- Fall wird das signierte PDF in der Antwort gesendet, im anderen nur die Signatur. Die zu signierenden Daten in Base64-Kodierung. Die Signatur zu der Datei in Data64, jedoch mittels Zugriffszertifikat. Nur wenn diese Signatur gültig ist, wird mit dem Qualifizierten Zertifikat signiert, das durch das verwendete Zugriffszertifikat bestimmt ist Antwort des Signaturauftrages Die Antwort wird ebenfalls als ein in ein String serialisiertes XML in folgendem Schema gesendet. <Response><Signed>Signed64</Signed></Response> Signed64 ist im Normalfall die Signatur Base64-kodiert. Handelt es sich bei der Signatur um den doctype pdf, wird die Signatur an die vorbereitete Stelle im PDF eingefügt und als signiertes PDF gesandt. Ist die Signatur des Zugriffszertifikates nicht korrekt, wird folgende Nachricht zurückgesandt. <Fault>Die Signatur der Anfrage ist fehlerhaft. Sie haben keine Berechtigung mit diesem Service zu signieren.</fault> Entsprechen die Eingangsdaten nicht dem beschriebenen Format, wird mit folgender Nachricht reagiert. <Fault>Fehler bei der Bearbeitung der Nachricht.Details</Fault> oder <Fault>Unbekanntes SoapEnvelope - Format.</Fault> Ist Data64 leer wird mit <Fault>Keine Datei gefunden, die signiert werden kann.</fault> geantwortet. Ist Base64Signature leer wird mit <Fault>Keine Signatur gefunden.</fault> geantwortet Kartenleser Die XimantiX GmbH empfiehlt, zur Erzeugung einer qualifizierten elektronischen Signatur eine sichere Signaturerstellungseinheit eines Zertifizierungsdiensteanbieters, sowie ein durch die Bundesnetzagentur entsprechend der Vorgaben des Signaturgesetzes bestätigten Kartenleser einzusetzen. Die Signaturerstellungseinheit und der Kartenleser sind nicht Bestandteil dieser Herstellererklärung Internetverbindung Zur Überprüfung der Signatur ist eine Internetverbindung Vorrausetzung. Der Status des Signaturzertifikats wird in einer OCSP Abfrage abgefragt. Als Transport-Protokoll wird http oder https verwendet. Seite 5/18

6 3.1.6 Anwendungsszenarien Drei typische Anwendungsszenarien werden zur Veranschaulichung dargestellt: Einzelsignatur mit Die Anwendung bindet die Funktionsbibliotheken XiSecureGUI und XiCryptography ein. Für die Erzeugung der qualifizierten Signatur wird der Kartenleser und die lokal am Rechner betrieben. XiSecureGUI.dll XiCryptography USB Kartenleser Abbildung 2: Einzelsignatur mit Eine Internetverbindung wird in diesem Fall nicht benötigt. Signaturprüfung mit Wird PDF Faktura zur Signaturprüfung verwendet, wird der Kartenleser und nicht benötigt. Die Prüfung des Zertifikatsstatus über OSCP wird jedoch eine Internetverbindung benötigt. XiSecureGUI.dll XiCryptography OCSP Internetverbindung Signierte Pdf Dokumente Import (Drag&Drop, Outlook) Abbildung 3: Signaturprüfung mit importiert signierte Dokumente und übergibt sie der Bibliothek XiSecureGUI zur Prüfung. Massensignatur mit dem XiSigner über WebService-Schnittstelle Dem XiSigner werden Dokumente über eine besonders gesicherte WebService-Schnittstelle zur Signatur übergeben und signiert zurückgegeben. Seite 6/18

7 XiSigner XiCryptography USB WebService gesichert durch Zertifikate WebService Client Kartenleser Abbildung 4: Massensignatur mit dem XiSigner über WebService-Schnittstelle Der XiSigner nimmt den WebService-Request nur an, wenn das Zugriffszertifikat des WebService Clients registriert und freigegeben wird. Bei dem WebService Client handelt es sich um eine geprüfte Anwendung zur Zuführung der zu signierenden Daten. Diese hat sicherzustellen, dass nur Signaturen zu einem voreingestellten Zweck signiert werden (vgl ). 3.2 Erzeugung qualifizierter elektronischer Signaturen Arten von Signaturen Mit dem können ausschließlich Rechnungen im PDF Format mit einem OpenTRANS XML Anhang, die auf Basis der eingegebenen Daten erzeugt wurden, signiert werden. Die Signatur wird entsprechend dem PDF Standard 1.6 der Adobe Systems Inc. in das Dokument integriert. XiSigner Die Signaturen für Dokumente können bei der Erzeugung entweder a) in das Dokument integriert werden, falls das Dokument dem PDF Standard entspricht, oder b) als PKCS#7-konforme, externe Signaturdatei erstellt werden Erzeugung von Hashwerten und Verwendung von Signaturalgorithmen Das Produkt berechnet kryptografische Prüfsummen (Hashwerte) und verwendet Signaturalgorithmen unter der Verwendung der von der Bundesnetzagentur als geeignet eingestuften Algorithmen. Diese sind im Kapitel 5 dieser Herstellererklärung detailliert aufgeführt Anzeige der zu signierenden Daten Vor der Einleitung der Signaturerstellung zeigt ein Dialog eindeutig an, dass eine qualifizierte Signatur erzeugt werden soll. Dabei ist eindeutig, auf welche Daten sich die qualifizierte Signatur beziehen wird. Die Signaturschaltfläche und die Auswahl des Zertifikates befinden sich unmittelbar unter der Anzeige des PDF-Dokumentes. XiSigner Nutzt der Anwender die Webserviceschnittstelle des XiSigner, so kann er diesen so konfigurieren, dass er, in Abweichung zu 17 Abs. 2 SigG, eine stichprobenhafte Auswahl der Dokumente zur Prüfung anzeigt. Die Anzeige erfolgt serverseitig durch den XiSigner. Die zur Prüfung angezeigten Seite 7/18

8 Dokumente müssen einzeln bestätigt werden. Die relative Häufigkeit der Vorlage zu signierender Dokumente zur Anzeige lässt sich konfigurieren PIN-Eingabe Durch die Kombination aus einem Kartenlesegerät mit sicherer PIN-Eingabe und einer sicheren Signaturerstellungseinheit wird sichergestellt, dass nur der Signaturschlüsselinhaber eine qualifizierte elektronische Signatur erzeugen kann Für jede zu erzeugende Signatur muss erneut die PIN am Kartenleser eingegeben werden XiSigner Nutzt der Anwender die Webserviceschnittstelle des XiSigner, so kann er diesen so konfigurieren, dass er bei der Ausführung mehrerer qualifizierter elektronischer Signaturen nur einmal aufgefordert wird, die PIN einzugeben. Dafür ist eine Smartcard notwendig, die diese Funktionalität unterstützt. Die Konfiguration wird über einen Einstellungsdialog des XiSigners vorgenommen. Er erlaubt folgende Festlegungen: Zeitfensters Anzahl zu erzeugender Signaturen Nach dem Erreichen des jeweiligen Kriteriums ist eine erneute PIN-Eingabe notwendig. Die Signatur-PIN darf nicht durch den Signaturschlüsselinhaber an Dritte weitergegeben werden (z.b. an Administratoren). 3.3 Prüfung qualifizierter Signaturen Die Signaturprüfung nach SigG/SigV ist in enthalten. XiSigner enthält keine Signaturprüfung nach SigG/SigV Art der prüfbaren Signaturen Die Komponente prüft ausschließlich die mit erzeugten Rechnungen im PDF Format oder kompatible. Kompatibel sind PDF Dokumente, die nach dem PDF Standard signiert sind und im PDF Dokumentenanhang XML Daten im SOAP-Format enthalten, in dessen Body XML Daten nach der OpenTRANS-Spezifikation enthalten sind. verfügt in Abbildung der steuerlichen Vorschriften über eine Funktion zur Speicherung des ursprünglichen Signaturprüfergebnisses. Diese Funktion ist ausdrücklich nicht Bestandteil dieser Herstellererklärung Anzeige der signierten Daten In einem Fensterbereich werden eindeutig die Daten, auf welche sich die qualifizierte Signatur bezieht, dargestellt. Dokumente im PDF Format können auch im ASCII Format angezeigt werden Unverändertheit der signierten Daten Dem Anwender wird eindeutig angezeigt, ob die Originaldaten unverändert sind oder nicht. Dazu berechnet das Produkt den Hashwert der zu prüfenden Daten und führt die mathematische Prüfung der Signatur unter Verwendung des in der Signatur genannten Algorithmus durch. Es werden die von der Bundesnetzagentur als geeignet eingestuften Algorithmen verwendet. Diese sind im Kapitel 5 dieser Herstellererklärung detailliert aufgeführt. Seite 8/18

9 3.3.4 Signaturschlüssel-Inhaber Das Produkt ermittelt den Signaturschlüssel-Inhaber aus dem qualifizierten Zertifikat und stellt das Ergebnis dar Kennzeichnung als qualifizierte Signatur Das Produkt ermittelt, ob das Kennzeichen für qualifizierte Signaturen gesetzt ist oder nicht und stellt das Ergebnis dar Inhalte von Zertifikaten Das Produkt zeigt zumindest folgende Inhalte von Zertifikaten des Unterzeichners als auch von Ausstellern an: Den Namen des Signaturschlüssel-Inhabers, der im Falle einer Verwechslungsmöglichkeit mit einem Zusatz zu versehen ist, oder ein dem Signaturschlüssel-Inhaber zugeordnetes unverwechselbares Pseudonym, das als solches kenntlich sein muss, den zugeordneten Signaturprüfschlüssel, die Bezeichnung der Algorithmen, mit denen der Signaturprüfschlüssel des Signaturschlüssel- Inhabers sowie der Signaturprüfschlüssel des Zertifizierungsdiensteanbieters benutzt werden kann, die laufende Nummer des Zertifikates, Beginn und Ende der Gültigkeit des Zertifikates, den Namen des Zertifizierungsdiensteanbieters und des Staates, in dem er niedergelassen ist, Angaben darüber, ob die Nutzung des Signaturschlüssels auf bestimmte Anwendungen nach Art oder Umfang beschränkt ist, Angaben, dass es sich um ein qualifiziertes Zertifikat handelt, und nach Bedarf Attribute des Signaturschlüssel-Inhabers Prüfung von Zertifikaten Das Produkt prüft, sofern die Möglichkeit besteht, mittels OCSP-Anfrage, ob das Zertifikat des Unterzeichners gesperrt ist oder nicht und zeigt dies an. Besteht die Möglichkeit der Anfrage nicht, wird dem Anwender ein Warnhinweis gegeben. Zudem prüft das Produkt die Zertifikatsausteller-Kette nach dem Kettenmodell bis zu einem Wurzelzertifikat der zuständigen Behörde ( 3 SigG). Die entsprechenden Wurzelzertifikate sind in gesicherter Weise in dem Produkt enthalten. 3.4 Abgrenzung Neben den hier beschriebenen Funktionalitäten enthält das Produkt enthält weitere, die nicht Gegenstand dieser Herstellererklärung sind. Bei der Komponente sind die in diesem Dokument beschriebenen Funktionen in der Programmbibliothek XiSecureGUI.dll enthalten. Seite 9/18

10 4 Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung 4.1 Erfüllte Anforderungen Das Produkt enthält eine Teilkomponente einer Signaturanwendungskomponente gemäß 2 Nr. 11 SigG, welche die nachfolgend aufgeführten Anforderungen des SigG erfüllen: 17 Abs. 2 Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur vorher eindeutig anzeigen und feststellen lassen, auf welche Daten sich die Signatur bezieht. Für die Überprüfung signierter Daten sind Signaturanwendungskomponenten erforderlich, die feststellen lassen, 1. auf welche Daten sich die Signatur bezieht, 2. ob die signierten Daten unverändert sind, 3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist, 4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte Attribut-Zertifikate aufweisen und 5. zu welchem Ergebnis die Nachprüfung von Zertifikaten nach 5 Abs. 1 Satz 3 geführt hat. Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu signierenden oder signierten Daten hinreichend erkennen lassen. Die Signaturschlüssel-Inhaber sollen solche Signaturanwendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elektronischer Signaturen treffen. Das Produkt erfüllt die nachfolgend aufgeführten Anforderungen des SigV: 15 Abs. 2 Signaturanwendungskomponenten nach 17 Abs. 2 des Signaturgesetzes müssen gewährleisten, dass 1. bei der Erzeugung einer qualifizierten elektronischen Signatur a) die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren Signaturerstellungseinheit gespeichert werden, b) eine Signatur nur durch die berechtigt signierende Person erfolgt, c) die Erzeugung einer Signatur vorher eindeutig angezeigt wird und 2. bei der Prüfung einer qualifizierten elektronischen Signatur a) die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird und b) eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifikat-Verzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren. 15 Abs. 4 Sicherheitstechnische Veränderungen an technischen Komponenten nach den Absätzen 1 bis 3 müssen für den Nutzer erkennbar werden Konkretisierung der Anforderungen aus SigG und SigV und deren Umsetzung Erzeugung von Signaturen Die Signaturanwendungskomponente muss beim Erzeugen einer Signatur gewährleisten, dass das Erzeugen einer Signatur vorher eindeutig angezeigt wird, erkennbar ist, auf welche Daten sich die Signatur bezieht, Seite 10/18

11 bei Bedarf der Inhalt der zu signierenden Daten hinreichend zu erkennen ist, eine Signatur nur durch die berechtigt signierende Person erfolgt, die Identifikationsdaten nicht preisgegeben und nur auf der jeweiligen sicheren Signaturerstellungseinheit gespeichert werden. Prüfung einer Signatur Die Signaturanwendungskomponente muss beim Prüfen einer Signatur gewährleisten, dass erkennbar wird, auf welche Daten sich die Signatur bezieht, erkennbar wird, ob die Daten unverändert sind, bei Bedarf der Inhalt der signierten Daten hinreichend zu erkennen ist, erkennbar wird, welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist, erkennbar wird, welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte Attribut-Zertifikate aufweisen, erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifikatverzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren, die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird. Zertifikatsinhalte (mit Referenzen auf die Kapitel der BSI-Spezifikation Sigi Abschnitt A1) Name des Signaturschlüsselinhabers: 2.3.6, , 3.3 Zusatz bei Verwechslungsmöglichkeit des Namens: 2.3.6, 4.1 Pseudonym statt Name des Signaturschlüsselinhabers: , 4.2 Unverwechselbarkeit eines Pseudonyms: , 4.2 Erkennbarkeit eines Pseudonyms: , 3.9.4, 4.2 Öffentlicher Signaturschlüssel: Bezeichnung der Algorithmen, mit denen der öffentliche Schlüssels des Signaturschlüsselinhabers sowie der öffentliche Schlüssels der Zertifizierungsstelle benutzt werden kann: 2.1, 2.3.7, Laufende Nummer des Zertifikates: 2.3.2, 3.6 Beginn und Ende der Gültigkeit des Zertifikates 2.3.5, 3.7 Name der Zertifizierungsstelle 2.3.4, , 3.4 Weitere Angaben zum Signaturschlüsselinhaber oder zur Zertifizierungsstelle: , Kennung, ob eine Nutzungsbeschränkung vorliegt: Nutzungsbeschränkung nach Art und Umfang: , , Vertretungsmacht für dritte Person: , Berufsrechtliche Zulassungsinformation: , Sonstige Zulassungsinformation: , , , Schutz vor unbefugter Veränderung Sicherheitstechnische Veränderungen an der Signaturanwendungskomponente müssen für den Nutzer erkennbar werden Umsetzung gesetzlicher Anforderungen bei (Signaturprüfung) Die Signaturanwendungskomponente muss beim Prüfen einer Signatur gewährleisten, dass erkennbar wird, auf welche Daten sich die Signatur bezieht Die Darstellung der signierten PDF Datei und die Laschen zur Darstellung der Prüfergebnisse sind in einer einzigen Ansicht zusammengefasst ( ctlsigneddocument ). Zusätzlich wird Seite 11/18

12 dieser Bezug explizit durch die Beschriftung der Laschen hergestellt: Aktuelle / gespeicherte Prüfung elektronische Signatur der PDF-Rechnung. erkennbar wird, ob die Daten unverändert sind Die Unverändertheit der Daten wird im Prüfergebnis unter Gesamtergebnis und Unverändertheit der Rechnung angezeigt. Zusätzlich zum entsprechenden Anzeigetext werden Fehler mit einem roten Kreuz, erfolgreiche Prüfungen mit einem grünen Haken gekennzeichnet. bei Bedarf der Inhalt der signierten Daten hinreichend zu erkennen ist Der Inhalt der signierten PDF Daten wird direkt angezeigt erkennbar wird, welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist Der Name des Signaturschlüssel-Inhabers wird in der Überschrift der Signaturprüfung angezeigt. Namenszusätze, Pseudonyme, Einzelheiten wie Vornamen etc. sind in der Lasche Zertifikat angezeigt. erkennbar wird, welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte Attribut-Zertifikate aufweisen Das Signaturzertifikat wird in der Lasche Zertifikat angezeigt. Sind der Signatur Attributzertifikate beigefügt, so werden sie jeweils in einer Lasche Attributzertifikat dargestellt. erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifikatverzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren Dies wird durch OCSP-Anfragen gewährleistet. Nicht durchführbare Anfragen werden in der Lasche des betroffenen Zertifikats als Warnung angezeigt und führen sowohl im Gesamtergebnis als auch im Teilergebnis Prüfung der Authentizität der Lasche Prüfergebnisse zu einer entsprechenden Warnung. Gesperrte Zertifikate werden an den gleichen Stellen als Fehler angezeigt. die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird In dem Gesamtergebnis der Lasche Prüfergebnisse geht sowohl die Prüfung der Signatur selbst als auch die zugehörige Prüfung des Signaturzertifikats ein. Die Gültigkeitsprüfung des Zertifikats und dessen Darstellung sind in den Dokumenten Testplan Version 1.1, Kapitel 2 und Technische Darstellung der zu erfüllenden Anforderungen aus SigG und SigV Version 1.1, Abs beschrieben. Zertifikatsinhalte Name des Signaturschlüsselinhabers Angezeigt in der Lasche Inhalt der Zertifikatsansicht Zusatz bei Verwechslungsmöglichkeit des Namens Angezeigt in der Lasche Attribute der Zertifikatsansicht in den Details der Zeile Name oder der Zeile SubjectAlternativeName Pseudonym statt Name des Signaturschlüsselinhabers Angezeigt in der Lasche Inhalt der Zertifikatsansicht Unverwechselbarkeit eines Pseudonyms: , 4.2 Erkennbarkeit eines Pseudonyms: , 3.9.4, 4.2 Öffentlicher Signaturschlüssel: Angezeigt in der Lasche Inhalt der Zertifikatsansicht Bezeichnung der Algorithmen, mit denen der öffentliche Schlüssels des Signaturschlüsselinhabers sowie der öffentliche Schlüssels der Zertifizierungsstelle benutzt werden kann Angezeigt in der Lasche Inhalt der Zertifikatsansicht des jeweiligen Zertifikats Laufende Nummer des Zertifikates Angezeigt in der Lasche Inhalt der Zertifikatsansicht Beginn und Ende der Gültigkeit des Zertifikates Angezeigt in der Lasche Inhalt der Zertifikatsansicht Name der Zertifizierungsstelle Angezeigt in der Lasche Inhalt der Zertifikatsansicht des Ausstellerzertifikats Weitere Angaben zum Signaturschlüsselinhaber oder zur Zertifizierungsstelle Seite 12/18

13 Angezeigt in der Lasche Attribute der Zertifikatsansicht Kennung, ob eine Nutzungsbeschränkung vorliegt Angezeigt in der Lasche Attribute der Zertifikatsansicht Nutzungsbeschränkung nach Art und Umfang Angezeigt in der Lasche Attribute der Zertifikatsansicht Vertretungsmacht für dritte Person: , Berufsrechtliche Zulassungsinformation Angezeigt in der Lasche Attribute der Zertifikatsansicht Sonstige Zulassungsinformation: Angezeigt in der Lasche Attribute der Zertifikatsansicht Umsetzung der gesetzlicher Anforderungen bei (Signaturerzeugung) Die Signaturanwendungskomponente muss beim Erzeugen einer Signatur gewährleisten, dass das Erzeugen einer Signatur vorher eindeutig angezeigt wird Gewährleistet durch die eindeutige Beschriftung der entsprechenden Schaltfläche mit Signieren und dem Siegelsymbol. Vor der eigentlichen Signatur wird die PIN Nummer der Karte für eine einzelne Signatur abgefragt. erkennbar ist, auf welche Daten sich die Signatur bezieht Die Darstellung der zu signierenden PDF Datei und die Bedienelemente zur Erzeugung der Signatur und Auswahl des Signaturzertifikats sind in einem einzigen Ansicht zusammengefasst wodurch der Bezug zu den Daten eindeutig ist. bei Bedarf der Inhalt der zu signierenden Daten hinreichend zu erkennen ist Der Inhalt der signierten PDF Daten wird direkt angezeigt eine Signatur nur durch die berechtigt signierende Person erfolgt Durch die Kombination aus einem Kartenlesegerät mit sicherer PIN-Eingabe und einer sicheren Signaturerstellungseinheit wird sichergestellt, dass nur der Signaturschlüsselinhaber eine qualifizierte elektronische Signatur erzeugen kann. Nur der Signaturschlüsselinhaber besitzt die sichere Signaturerstellungseinheit und kennt die zugehörige PIN. die Identifikationsdaten nicht preisgegeben und nur auf der jeweiligen sicheren Signaturerstellungseinheit gespeichert werden. Wird durch die Kombination aus einem Kartenlesegerät mit sicherer PIN-Eingabe und einer sicheren Signaturerstellungseinheit sichergestellt Umsetzung gesetzlicher Anforderungen beim XiSigner Die Signaturanwendungskomponente muss beim Erzeugen einer Signatur gewährleisten, dass das Erzeugen einer Signatur vorher eindeutig angezeigt wird Für den Fall der Einzelsignatur wird bei jedem Signaturvorgang ein Bestätigungsfenster gezeigt, welches die anstehende Signaturoperation anzeigt. Im Einzelnen werden gezeigt: o o o o Das Zertifikat, mit dem signiert werden soll Die zu signierenden Daten im ASCII Format Die Attribute der Signatur Eine Option zur Anzeige der Daten mit einem externen Programm Bestätigungsprüfung bei vor dem Erzeugen einer Signatur Für den Fall der Massensignatur kann der Anwender die Einzelprüfung ausschalten oder Stichproben veranlassen, muss dann jedoch die in den Einsatzbedingungen geschilderten besonderen Sicherheitsvorkehrungen treffen erkennbar ist, auf welche Daten sich die Signatur bezieht Die zu signierenden Daten werden im gleichen Fenster angezeigt wie das Signaturzertifikat und die Bestätigungsschaltfläche zur Signatur. Damit ist der Bezug eindeutig hergestellt. bei Bedarf (duch Konfiguration der stichprobenhaften Auswahl) der Inhalt der zu signierenden Daten hinreichend zu erkennen ist Seite 13/18

14 Der Inhalt wird im ASCII Format angezeigt. Zusätzlich besteht die Möglichkeit einer Anzeige durch externe Programme. Welches externe Programm verwendet wird, ist vom Anwender in den Systemeinstellungen festgelegt (vgl. Einsatzbedingungen) eine Signatur nur durch die berechtigt signierende Person erfolgt, Durch die Kombination aus einem Kartenlesegerät mit sicherer PIN-Eingabe und einer sicheren Signaturerstellungseinheit wird sichergestellt, dass nur der Signaturschlüsselinhaber eine qualifizierte elektronische Signatur erzeugen kann. Nur der Signaturschlüsselinhaber besitzt die sichere Signaturerstellungseinheit und kennt die zugehörige PIN. Für den Fall der Massensignatur kann der Anwender die Signaturkarte für mehrere Signaturen über die XiSigner Schnittstelle freischalten, muss dann jedoch die in den Einsatzbedingungen geschilderten besonderen Sicherheitsvorkehrungen treffen die Identifikationsdaten nicht preisgegeben und nur auf der jeweiligen sicheren Signaturerstellungseinheit gespeichert werden. Wird durch die Kombination aus einem Kartenlesegerät mit sicherer PIN-Eingabe und einer sicheren Signaturerstellungseinheit sichergestellt Umsetzung gesetzlicher Anforderung: Erkennbarkeit sicherheitstechnischer Veränderungen Sicherheitstechnische Veränderungen an der Signaturanwendungskomponente müssen für den Nutzer erkennbar werden: Die Installationsdatei sowie die ausführbare Datei der Anwendung und XiSigner sind jeweils mit einer Authenticode Signatur versehen. Dadurch werden Veränderungen bei der Übertragung über das Internet oder Fälschungen erkennbar. Die von der Anwendung oder XiSigner geladenen Bibliotheken sind durch Strong Names referenziert. Vor dem Laden einer Bibliothek wird die Signatur der Bibliothek geprüft. Dadurch wird gewährleistet, dass keine Bibliotheken verändert oder ausgetauscht werden können. Die Referenzen selbst sind wie die Anwendung durch die Authenticode Signatur geschützt. 4.2 Einsatzbedingungen Grundlage dieser Bestätigung ist der Einsatz des Produktes in einem geschützten Einsatzbereich. Für den sicheren Einsatz des Produktes und zur Verhinderung von erfolgreichen Angriffen mit den Zielen, dass: Daten signiert werden, die nicht signiert werden sollen, das Prüfergebnis der Signatur- bzw. Zertifikatprüfung falsch angezeigt wird, die Geheimhaltung des Identifikationsmerkmals (PIN) nicht gewährleistet ist sind die folgenden Auflagen zu beachten: Einrichtung der IT-Komponenten Hardware IBM Computer, der mindestens 256 MB Arbeitsspeicher und 100 MB freien Platz auf der Festplatte bereitstellt Betriebssystem Auf dem Rechner ist eines der folgenden Betriebssysteme mit allen sicherheitsrelevanten Updates installiert: Windows 2000 ab SP 6 Windows Server 2003 Windows XP Home Windows XP Professional Windows Vista Seite 14/18

15 Zudem ist auf dem Rechner Microsoft.NET-Framework 2 installiert Sonstige Software Adobe Reader, Version 7.0 oder höher, der Adobe Systems Inc. muss als Anzeigekomponente installiert sein Signaturerstellungseinheiten Es wird eine der Signaturerstellungseinheiten aus Tabelle 2 verwendet Verwendbare Kartenleser Es wird ein Kartenleser aus Tabelle 2 verwendet. Diese Kartenleser verfügen über eine sicher PIN-Eingabe. Bei der Verwendung eines Chipkartenlesers ohne sichere PIN-Eingabe sind weitere Sicherheitsauflagen zu beachten (siehe ) Anbindung an ein Netzwerk Auflagen zur Anbindung an das Internet Wenn der eingesetzte Personalcomputer oder Server (z. B. mittels Modem, ISDN oder LAN- Anschluss) an das Internet angeschlossen ist, muss diese Netzwerkverbindung so abgesichert sein, z. B. durch eine geeignet konfigurierte Firewall, dass online Angriffe aus dem Internet auf den eingesetzten Personalcomputer unterbunden bzw. erkannt werden Auflagen zur Anbindung an ein Intranet Wenn der eingesetzte Personalcomputer oder Server in einem Intranet betrieben wird, so muss diese Netzverbindung geeignet abgesichert sein, so dass online Angriffe aus dem Intranet auf den Computer unterbunden bzw. erkannt werden Auslieferung und Installation Das Produkt wird vom Hersteller auf einer CD ausgeliefert oder zum Download bereitgestellt. Die Installationsdatei von sowie die ausführbare Datei der Anwendung PDF Faktura Desktop sind mit einer Authenticode-Signatur vor Manipulationen geschützt. Die Prüfung der Signatur und Anzeige des XimantiX-Herausgeberzertifikats erfolgt automatisch beim Download der Applikation durch einen Browser wie den Internet Explorer. Explizit kann die Prüfung jederzeit durch das Microsoft-Systemtool ChkTrust durchgeführt werden: ChkTrust <Signierte Datei> Alternativ kann die Signatur über das Kontextmenü der Datei geprüft werden: Kontextmenü -> Eigenschaften -> Digitale Signaturen Dabei kann <Signierte Datei> die Setup-Datei der Anwendung (Dateityp: msi) oder die Anwendung PDFFaktura.exe aus den Installationsordner der Anwendung sein. Durch Strong Names, das sind Referenzen auf Programmbibliotheken und Daten mit Signatur aus der.net Technologie werden Manipulationen an den sicherheitsrelevanten Programmteilen verhindert. Nach dem Start der Installationsdatei leitet ein Dialog den Benutzer durch die Installation. Seite 15/18

16 4.2.4 Auflagen für den Betrieb des Produktes Auflagen zur Sicherheit der IT-Plattform und Applikationen Der Benutzer des Produktes muss sich davon überzeugen, dass keine Angriffe von dem Personalcomputer und den dort vorhandenen Applikationen durchgeführt werden. Insbesondere muss gewährleistet sein, dass: 1. die auf dem Personalcomputer installierte Software weder böswillig manipuliert noch in irgendeiner anderen Form verändert werden kann, 2. auf dem Personalcomputer keine Viren oder Trojanischen Pferde eingespielt werden können, 3. die Hardware des Personalcomputers nicht unzulässig verändert werden kann und 4. der verwendete Chipkartenleser weder böswillig manipuliert noch in irgendeiner anderen Form verändert wurde, um dadurch Daten (z. B. PIN, zu signierende Daten, Hashwerte, etc.) auszuforschen, zu verändern oder die Funktion anderer Programme unzulässig zu verändern Auflagen zum Schutz vor manuellem Zugriff Unbefugter Der Personalcomputer, auf dem das Produkt verwendet wird, und der verwendete Chipkartenleser müssen gegen eine unberechtigte Benutzung gesichert sein, damit: 1. die auf dem Personalcomputer installierte Software weder böswillig manipuliert noch in irgendeiner anderen Form verändert werden kann, 2. auf dem Personalcomputer keine Viren oder Trojanischen Pferde eingespielt werden können, 3. die Hardware des Personalcomputers unzulässig verändert werden kann oder 4. der verwendete Chipkartenleser weder böswillig manipuliert noch in irgendeiner anderen Form verändert wird um dadurch Daten (z. B. PIN, zu signierende Daten, Hashwerte, etc.) auszuforschen, zu verändern oder die Funktion anderer Programme unzulässig zu verändern. (siehe auch Abschnitt ) Die Unterrichtung des jeweiligen Zertifizierungsdiensteanbieters zur Handhabung der Signaturkarte ist zu beachten Auflagen zum Schutz vor Angriffen über Datenaustausch per Datenträger Bei Einspielung von Daten über Datenträger muss gewährleistet werden, dass 1. die installierte Software weder böswillig manipuliert noch in irgendeiner anderen Form verändert werden kann und 2. keine Viren oder Trojanischen Pferde eingespielt werden können, um dadurch Daten (z. B. PIN, zu signierende Daten, Hashwerte, etc.) auszuforschen, zu verändern oder die Funktion anderer Programme unzulässig zu verändern. (siehe auch Abschnitt ) Auflagen zum Betrieb der Chipkartenleser Bei Verwendung von Chipkartenlesern mit sicherer PIN-Eingabe ist sicherzustellen, dass die PIN ausschließlich über die im Kartenleser integrierte Tastatur eingegeben wird. Bei Verwendung eines Chipkartenlesers ohne sichere PIN-Eingabe ist sicherzustellen, dass keine Programme zur Speicherung oder Weitergabe der Tastatureingaben (Keylogger) auf dem System installiert sind. Eine Verletzung dieser Auflage birgt das Risiko unbefugter Signaturen Auflagen zur Sicherheitsadministration des Betriebes Eine Sicherheitsadministration des Betriebes von XiSigner ist nicht vorgesehen. Eine vertrauenswürdige Administration des Personalcomputers sowie der Internet- bzw. Intranetanbindung muss sichergestellt werden Auflagen zum Schutz vor Fehlern bei Betrieb/Nutzung Folgende Auflagen sind für den sachgemäßen Einsatz vom Produkt zu beachten: Seite 16/18

17 Es wird eine vertrauenswürdige Eingabe der PIN vorausgesetzt. Der Benutzer hat dafür Sorge zu tragen, dass die Eingabe der PIN weder beobachtet wird noch dass die PIN anderen Personen bekannt gemacht wird Anforderungen an das Wartungs-/Reparaturpersonal Eine Wartung bzw. Reparatur des Produktes ist nicht vorgesehen. Wartung bzw. Reparatur des Personalcomputers ist nur von vertrauenswürdigen Personen durchzuführen Authentisierung des Wartungs-/Reparaturpersonals Eine Wartung bzw. Reparatur der Software XiSigner ist nicht vorgesehen. Eine Authentisierung des Personals für die Wartung bzw. Reparatur des Personalcomputers muss geeignet erfolgen Aufbewahrung/Transport der Produkte Das Produkt wird vom Hersteller auf einer CD-ROM ausgeliefert oder zu Download zur Verfügung gestellt. Die Integrität des Produkts wird über Microsoft Authenticode Technologie gesichert Auflagen zur Darstellung von PDF Dokumenten PDF Dokumente werden durch das Internet Explorer Plugin des Adobe Acrobat Readers V7.0 oder höher dargestellt. Dies erfordert neben der Installation des Acrobat Readers V7.0 oder höher inklusive des Internet Explorer Plugins auch die entsprechenden Sicherheitseinstellungen im Internet Explorer (Zulassen von Plugins). Die Dateiendung pdf muß mit dem Adobe Acrobat Reader verknüpft sein Auflagen zur Massensignatur Die Signaturanwendungskomponente kann die signierten Daten bei einer Massensignatur auf deren Inhalt/Zweck prüfen. Bei einer Freischaltung der Karte für mehrere Signaturen ohne einzelne Prüfung der zu signierenden Daten hat der Anwender sicherzustellen, dass Unberechtigte keine Signaturen veranlassen können: Die Zuführung der Daten muss besonders abgesichert sein und sich an dem Bedrohungspotential und Aktivierungszeitraum der Karte zu orientieren Die geprüfte Anwendung zur Zuführung der zu signierenden Daten hat sicherzustellen, dass nur Signaturen zu einem voreingestellten Zweck signiert werden Die Anzeige der Inhalte der zu signierenden Daten erfolgt im ASCII Format. Jedoch können die Daten, je nach Dateiformat, unterschiedlich interpretiert. Die Signaturanwendungskomponente bietet die Möglichkeit, die Daten mit einem externen Programm zu betrachten. Der Anwender muss sicherstellen, dass die im Betriebssystem registrierten Dateitypen (z.b..pdf,.doc,.xls) mit den Anwendungen verknüpft sind, mit denen er die Daten betrachten möchte. 5 Algorithmen und zugehörige Parameter Zur Erzeugung und Prüfung elektronischer Signaturen werden vom Produkt die Hashfunktionen SHA-1 (geeignet bis Ende 2007, Übergangsfrist bis Ende Juni 2008), SHA-256 (geeignet bis Ende 2014), SHA-384 (geeignet bis Ende 2014), SHA-512 (geeignet bis Ende 2014) oder RIPEMD-160 (geeignet bis Ende 2010). genutzt. Die angegebenen Eignungszeiten sind gemäß 17 Abs. 2 SigV dem Bundesanzeiger entnommen: Übersicht über geeignete Algorithmen vom 17.Dez.2007 BAnz. Nr. 19 v , Seite 376). Die vom Produkt genutzten Signaturverfahren sind RSA 1024 bit (geeignet bis Ende 2007, Übergangsfrist bis Ende März 2008), Seite 17/18

18 RSA 1280 bit (geeignet bis Ende 2008), RSA 1536 bit (geeignet bis Ende 2009), RSA 1728 bit (geeignet bis Ende 2010) und RSA 2048 bit (geeignet bis Ende 2014) Diese gemäß 17 Abs. 2 SigV festgestellten Eignungen reichen mindestens bis Ende des Jahres 2007 (1024bit) bzw (2048bit) ( Übersicht über geeignete Algorithmen vom 17.Dez.2007 BAnz. Nr. 19 v , Seite 376) 6 Gültigkeit der Herstellererklärung Diese Herstellererklärung ist gültig bis zum Widerruf durch die XimantiX GmbH bei der Bundesnetzagentur, bzw. bis zum Ablauf der Vertrauenswürdigkeit der ersten verwendeten Kombination von Hashfunktion und Signaturverfahren, längstens jedoch bis zum Der Widerruf der Vertrauenswürdigkeit eines Hashalgorithmus wird angezeigt durch die Bundesnetzagentur ( Der aktuelle Status der Gültigkeit der Erklärung ist bei der zuständigen Behörde (Bundesnetzagentur, Referat Elektronische Signatur) zu erfragen. Ausgegliederte Dokumente Technische Darstellung der zu erfüllenden Anforderungen aus SigG und SigV PDF Faktura SDK Version Testplan PDF Faktura SDK Version Testbericht PDF Faktura SDK Version Benutzerhandbuch Version 2.1 XiSigner Handbuch Version 2.0 Ende der Herstellererklärung Seite 18/18