Herstellererklärung. Secardeo GmbH Betastr. 9a Unterföhring

Transkript

1 Herstellererklärung Der Hersteller Secardeo GmbH Betastr. 9a Unterföhring erklärt hiermit gemäß 17 Abs. 4 Satz 2 SigG in Verbidung mit 15 Abs. 5 SigV, dass das Produkt Secardeo pdfgate Signer 2.0 Teil einer Signaturanwendungskomponente (Software) gemäß 2 Nr. 11 SigG ist, die es ermöglicht qualifizierte elektronische Signaturen im Batchbetrieb in PDF-Dokumente einzufügen (Massensignatur) und die die nachstehend genannten Anforderungen des Signaturgesetzes 1 bzw. der Signaturverordnung 2 erfüllt. Unterföhring, den gez. Dr. Gunnar Jacobson Geschäftsführer Secardeo GmbH 1 Gesetz über Rahmenbedingungen für elektronische Signaturen vom 16. Mai 2001 (BGBl. I 2001, S. 876 ff.), zuletzt geändert durch Art. 4 G vom 26. Februar 2007 (BGBl. I S. 179, 185). 2 Verordnung zur elektronischen Signatur vom 16. November 2001 (BGBl. I 2001, S ff.), zuletzt geändert durch Erstes Gesetz zur Änderung des Signaturgesetzes vom 4. Januar 2005 (BGBl. I 2005, S. 2, 3). Diese Herstellererklärung besteht aus 7 Seiten. Secardeo pdfgate Signer

2 1 Handelsbezeichnung des Produkts Handelsbezeichnung: Secardeo pdfgate Signer 2.0 Auslieferung: Hersteller: Die Auslieferung durch den Hersteller erfolgt auf CD-R. Secardeo GmbH Betastr. 9a 2 Funktionsbeschreibung Unterföhring Tel.: 089/ Das Produkt Secardeo pdfgate Signer ist Teil einer Signaturanwendungskomponente (Software) gemäß 2 Nr. 11 Signaturgesetz, die Daten dem Prozess der Erzeugung qualifizierter elektronischer Signaturen zuführt. Der Secardeo pdfgate Signer ist eine Softwareanwendung, die auf einem Windows-Serverrechner abläuft. Er erlaubt die serverbasierte Erzeugung eingebetteter qualifizierter elektronischer Signaturen gemäß PDF-Referenz für PDF-Dokumente. Damit können PDF-Dokumente automatisiert qualifiziert elektronisch signiert werden. Der Secardeo pdfgate Signer verfügt über zwei Betriebsarten, zwischen denen bei der Installation gewählt werden kann. Für qualifizierte Signaturen entsprechend dem deutschen Signaturgesetz ist der hochsichere Modus vorgesehen. Ferner wird ein Basis-Modus angeboten, der einen höheren Automatisierungsgrad bei einem geringeren Sicherheitslevel bietet. Diese Herstellererklärung gilt ausschließlich für den hochsicheren Modus. Der pdfgate Signer liest PDF-Dateien aus einem Eingabeverzeichnis ein. In den zu signierenden Dokumenten wird jeweils ein PDF-Signaturfeld mit einer optionalen graphischen Repräsentation der Signatur eingefügt und das Dokument über die konfigurierte PKCS#11-Bibliothek signiert. Qualifizierte elektronische Signaturen können gemäß PDF-Format sichtbar oder unsichtbar angebracht werden. Die signierten Dateien werden in einem Ausgabeverzeichnis abgelegt; im Fehlerfall werden fehlerhafte Dateien, die nicht signiert werden konnten, in ein Fehlerverzeichnis verschoben. Der Signiervorgang wird in einem Logfile verzeichnet. Eine Signaturprüfung wird durch den pdfgate Signer nicht durchgeführt. Mechanismen zur Prüfung qualifizierter elektronischer Signaturen sind nicht Bestandteil dieser Erklärung. 3 Erfüllte Anforderungen des Signaturgesetzes und der Signaturverordnung 3.1 Erfüllte Anforderungen Der Secardeo pdfgate Signer erfüllt die folgenden Anforderungen des 17 Abs. 2 Satz 1 Signaturgesetz: Die Erzeugung einer qualifizierten Signatur wird vorher eindeutig angezeigt. Bei der Erzeugung der qualifizierten elektronischen Signatur wird eindeutig angezeigt, auf welche Dateien sich die Signatur bezieht. Die Anforderung des 17 Abs. 2 Satz 3 Signaturgesetz wird dadurch erfüllt, dass die zu signierenden Dateien nach Bedarf in einem Secure Viewer für PDF-Dokumente geöffnet werden können und damit hinreichend erkennbar sind. Der Secure Viewer für PDF-Dokumente ist nicht Gegenstand dieser Herstellererklärung. Der Secardeo pdfgate Signer erfüllt die folgenden Anforderungen des 15 Abs. 2 Nr. 1 Signaturverordnung: Im hochsicheren Modus bietet der Secardeo pdfgate Signer keine Möglichkeit zur Eingabe von Identifikationsdaten über die Computertastatur, so dass die Daten nicht preisgegeben Secardeo pdfgate Signer

3 werden können. Die Eingabe erfolgt über einen Chipkartenleser mit eigener Tastatur, welcher nicht Gegenstand dieser Herstellererklärung ist. Die Erzeugung einer qualifizierten Signatur wird vorher eindeutig angezeigt. Durch die Nutzung einer sicheren Signaturerstellungseinheit und eines bestätigten Chipkartenlesers wird sichergestellt, dass eine Signatur nur durch den Signaturschlüsselinhaber erfolgt. Diese Komponenten sind nicht Gegenstand dieser Herstellererklärung. Es darf keine Weitergabe der PIN an eine andere Person außer dem Signaturschlüsselinhaber erfolgen. Die Anforderung des 15 Abs. 4 Signaturverordnung ist erfüllt, da sicherheitstechnische Veränderungen an der Software durch die Aufbewahrung des für den Signiervorgang genutzten Computers in einem zugriffssicheren Betriebsraum sowie die Absicherung des Netzzugangs durch Firewalls verhindert oder bei der regelmäßig durchzuführenden Prüfung von Hashwerten mit hoher Sicherheit für den Benutzer erkennbar werden. 3.2 Einsatzbedingungen Diese Erklärung gilt für den Einsatz der Software pdfgate Signer in einem geschützten oder isolierten Einsatzbereich. Die unter 3.1 genannten Anforderungen sind nur dann erfüllt, wenn die Einhaltung der folgenden Einsatzbedingungen gewährleistet ist: Technische Einsatzumgebung Der pdfgate Signer wird auf einem dedizierten Computer installiert. Folgende Voraussetzungen sind einzuhalten: 1. Windows Server 2003 SP1 mit DotNet Framework Java 2 Platform Standard Edition Runtime Environment Version 1.5 oder eine nach 17 Abs. 1 Signaturgesetz bzw. 15 Abs. 1 Signaturverordnung geprüfte und bestätigte sichere Signaturerstellungseinheit mit Unterstützung von Massensignaturen sowie dazugehörige Middleware mit PKCS#11-Schnittstelle. Aktuell unterstützt das Produkt die Signaturerstellungseinheit Chipkarte mit Prozessor SLE66CX322P, Betriebssystem CardOS V4.3B mit Applikation für digitale Signatur, bestätigt unter der Registrierungsnummer T-Systems TE Es findet kein Caching- Prozess der Signatur-PIN durch das Produkt statt. 4. ein nach den Anforderungen von Signaturgesetz und verordnung geprüfter und bestätigter Chipkartenleser mit eigener Tastatur zur sicheren PIN-Eingabe und dazugehörige Treibersoftware 5. ein Secure Viewer für PDF-Dokumente 6. ein Virenscanner Diese Komponenten gehören nicht zum Lieferumfang des Produkts und sind daher nicht Gegenstand dieser Herstellererklärung Organisatorische Einsatzumgebung Die Auflagen aus den Bestätigungen der sicheren Signaturerstellungseinheit und des Chipkartenlesers sowie die von den Herausgebern dieser Produkte für den Einsatz für Massensignaturen spezifizierten Anforderungen sind zu beachten Auflagen zur Anbindung an das Internet Der Computer darf nicht unmittelbar an öffentliche Netze (z.b. an das Internet) angebunden sein. Zugriffe von öffentlichen Netzen auf das lokale Netz, in dem sich der Computer befindet, müssen durch die Verwendung geeignet konfigurierter Router und Firewalls unterbunden und versuchte Zugriffe erkannt werden Auflagen zur Anbindung an ein Intranet Die Übermittlung von zu signierenden und signierten Daten sowie von Software-Updates erfolgt entweder per Datenträger (isolierte Umgebung) oder über ein Netzwerk (gesicherte Umgebung). Secardeo pdfgate Signer

4 Bei Verwendung eines Netzwerks müssen die Netzwerkverbindungen so abgesichert sein, dass Angriffe unterbunden und versuchte Angriffe erkannt werden, z. B. durch eine geeignet konfigurierte Firewall. Es dürfen nur die betriebsnotwendigen IP-Adressen, Ports und Protokolle zugelassen werden. Die Bedienung des Systems erfolgt ausschließlich über die Konsole. Ein Zugriff auf den Computer über Fernwartungssysteme darf nicht möglich sein Auflagen zur Sicherheit der IT-Plattform und Applikationen Außer dem Betriebssystem und dem Java Runtime Environment, der vom Herausgeber der sicheren Signaturerstellungseinheit empfohlenen Software, einem Virenscanner, einem Secure Viewer für PDF-Dokumente, dem pdfgate Signer und ggf. einer zur sicheren Datenübertragung geeigneten Übertragungssoftware darf keine weitere Software installiert werden. Für den Betrieb nicht erforderliche Dienste und Ports sind zu deaktivieren. Das System muss so vertrauenswürdig sein, dass die Sicherheitsfunktionen der Anwendung nicht beeinträchtigt werden. Insbesondere muss es frei von Schadensprogrammen wie Viren und trojanischen Pferden sein. Manipulationen an Betriebssystemkomponenten und Java- Laufzeitumgebung müssen ausgeschlossen sein. Bei Nutzung in einer gesicherten Umgebung muss durch die Konfiguration des Systems und der ggf. verwendeten Übertragungssoftware sichergestellt werden, dass Schreibzugriffe ausschließlich durch den Signaturschlüsselinhaber und ausschließlich auf das hierfür vorgesehene Eingabeverzeichnis erfolgen können und dass über Netzzugriffe keine Ausführung von Programmen möglich ist. Der geprüfte und bestätigte Chipkartenleser mit eigener Tastatur ist direkt an den dedizierten Computer anzuschließen, auf dem der Secardeo pdfgate Signer installiert ist. Andere Chipkartenleser dürfen nicht angeschlossen werden Auflagen zur Installation der Software Die Software wird durch Ausführen des Setup-Programms vom Originaldatenträger installiert. Das Setup bietet die Auswahl zwischen zwei Betriebsarten; diese Herstellererklärung gilt nur für den hochsicheren Modus. Die Integrität des Datenträgers ist durch Vergleich der SHA-1-Prüfsummen mit den auf der Website der Secardeo GmbH veröffentlichten Referenzwerten sicherzustellen. Die Konfiguration ist über die graphische Benutzeroberfläche vorzunehmen; sonstige Änderungen der Konfiguration sind nicht zulässig. Die Herstellererklärung gilt nur für die ausgelieferten Komponenten. Sie gilt nicht bei Nutzung von aus anderen Quellen bezogenen oder selbst compilierten Versionen dieser Komponenten. Die sonstige auf dem Computer zu installierende Software muss aus vertrauenswürdigen Quellen bezogen werden; es ist sicherzustellen, dass sich auf den Datenträgern keine Viren oder andere Schadsoftware befinden Auflagen zum Schutz vor manuellem Zugriff Unbefugter Der Computer, auf dem der pdfgate Signer installiert ist, und der verwendete Kartenleser müssen in einem speziell gegen unbefugtes Betreten gesicherten Raum in einem abgeschlossenen Schrank aufgestellt werden, um Manipulationen an der Hardware, insbesondere des Computers und des Kartenlesers, sowie der Software zu verhindern. Zu diesem Raum darf ausschließlich vertrauenswürdiges Personal Zugang haben. Erforderliche Wartungs- und Reinigungsarbeiten sind durch vertrauenswürdiges fachkundiges Personal zu beaufsichtigen. Zutrittsrechte für Wartungs- /Reparaturpersonal sind auf das Minimum zu beschränken und nach Abschluss der Arbeit zu widerrufen; durchgeführte Arbeiten sind zu dokumentieren. Es muss sichergestellt sein, dass ein unbefugtes Betreten des Betriebsraums durch Zerstörung von Sicherheitseinrichtungen zuverlässig erkennbar wird. Zur Absicherung des Zugangs zur sicheren Signaturerstellungseinheit sind besondere organisatorische Maßnahmen durchzuführen und zu dokumentieren. Die Kontrolle des Zugangs kann Secardeo pdfgate Signer

5 beispielsweise durch Versiegelung des abgeschlossenen Schranks und Dokumentation des Anbringens und Entfernens der Siegel erfolgen. Zusammen mit den in der sicheren Signaturerstellungseinheit und dem Kartenleser implementierten Sicherheitsmaßnahmen und der Beschränkung der PIN-Eingabe auf die Tastatur des Kartenlesers wird dadurch sichergestellt, dass sich die sichere Signaturerstellungseinheit unter der alleinigen Kontrolle des Signaturschlüsselinhabers befindet Auflagen zum Schutz vor Angriffen über Datenaustausch per Datenträger Es ist sicherzustellen, dass sich auf den Datenträgern keine Viren oder andere Schadsoftware befinden. Jedes Medium muss vor Übernahme der Daten mit einem Virenscanner überprüft werden. Vom Medium dürfen nur PDF-Dateien in das Eingabeverzeichnis des Secardeo pdfgate Signer kopiert werden; der Zugriff auf andere Dateien von diesem Datenträger ist nicht zulässig. Die Autorun-Funktionalität für Software auf eingelegten Datenträgern ist im Betriebssystem zu deaktivieren Auflagen zur Sicherheitsadministration des Betriebs Es ist ein zuverlässiger Virenscanner erforderlich. Die Virensignaturen müssen auf aktuellem Stand gehalten werden. Das System muss regelmäßig auf Viren geprüft werden; alle neu zu übernehmenden Daten müssen vor der Nutzung geprüft werden. Die auf dem System installierte Software ist in Bezug auf Security-Fixes auf dem aktuellen Stand zu halten. Die Software-Updates müssen aus einer vertrauenswürdigen Quelle bezogen werden; es ist sicherzustellen, dass sich auf den Datenträgern keine Viren oder andere Schadsoftware befinden. Der Computer ist durch Setzen eines Boot-Passworts im BIOS abzusichern. Als Boot-Passwort und Windows-Passworte sind geeignete, hinreichend komplexe Passworte zu verwenden. Das BIOS ist so zu konfigurieren, dass das System ausschließlich von der lokalen Festplatte gestartet werden kann. Im Betriebssystem dürfen nur User für die autorisierten Administratoren und Signaturschlüsselinhaber eingerichtet sein; alle anderen User sind zu löschen. Die Systemuhr des Computers muss der aktuellen Uhrzeit entsprechen. Die Integrität des Systems ist regelmäßig in mindestens wöchentlichem Abstand oder jeweils vor der Verwendung durch Verifikation der SHA-1-Prüfsummen der Dateien zu überprüfen. Prüfsummen der pdfgate Signer-Komponenten werden mit der Softwareauslieferung zur Verfügung gestellt; Prüfsummen der anderen Komponenten müssen nach deren Installation festgestellt werden. Zur Prüfung ist ein von einem Nur-Lese-Datenträger wie CDROM gestartetes Betriebssystem wie z.b. ein Livesystem-Linux zu verwenden. Für den Systemstart von diesem Datenträger muss die BIOS- Konfiguration geändert werden; im Anschluss an die Prüfung ist die BIOS-Konfiguration wiederherzustellen Auflagen zum Schutz vor Fehlern bei Betrieb/Nutzung Die Anwendung ist über den Eintrag pdfgate Signer im Start-Menü zu starten und der Signaturvorgang durch Auswahl des entsprechenden Buttons in der graphischen Oberfläche auszulösen. Der Signaturschlüsselinhaber muss nach Abschluss der Arbeiten am Computer sicherstellen, dass eine weitere Nutzung erst nach erneuter Authentifizierung am Betriebssystem möglich ist, beispielsweise durch ordentliche Abmeldung oder Sperren der Konsole. Die Eingabe der PIN ist nur an der Tastatur des Kartenlesers möglich. Der Signaturschlüsselinhaber muss sicherstellen, dass die Eingabe unbeobachtet erfolgt. Für die Erzeugung und Übermittlung der zu signierenden Dateien sind vertrauenswürdige Systeme erforderlich. Bei der Erzeugung der zu signierenden PDF-Dokumente muss sichergestellt werden, dass die Dokumente keine aktiven Inhalte und keine versteckten Inhalte enthalten. Es wird empfohlen, die Secardeo pdfgate Signer

6 PDF-Erzeugung im Format PDF/A (ISO :2005) durchzuführen, um aktive Inhalte im Dokument zu verhindern. Um zu verhindern, dass versteckte Inhalte im Dokument enthalten sind, wird empfohlen, ein manuell auf versteckte Inhalte überprüftes PDF-Dokument als Vorlage zu verwenden und diese Vorlage für die Erzeugung der zu signierenden Dokumente mit Daten zu befüllen, die in einem Format ohne versteckte Inhalte wie ASCII oder Bitmaps vorliegen. Bei Nutzung anderer Verfahren ist durch eine Sicherheitsanalyse sicherzustellen, dass keine aktiven oder versteckten Inhalte in den PDF-Dokumenten enthalten sind Anforderungen an das Wartungs-/Reparaturpersonal Installation, Wartung und Reparatur dürfen nur durch qualifiziertes vertrauenswürdiges Personal durchgeführt werden. Bei Fehlfunktionen des Secardeo pdfgate Signer ist der Support der Secardeo GmbH zu benachrichtigen, der bei Bedarf einen geeigneten Techniker benennt Authentisierung des Personals Berechtigtes Wartungs- und Reparaturpersonal muss durch Prüfung amtlicher Ausweisdokumente authentifiziert werden Aufbewahrung/Transport Das Produkt ist in einem gegen unbefugtes Betreten gesicherten Raum aufzubewahren. Datenträger können auf dem Postweg übermittelt werden; in dem Fall ist vor der Installation durch Vergleich der SHA-1-Prüfsummen mit den auf dem Webserver der Secardeo GmbH veröffentlichten Referenzwerten sicherzustellen, dass die Daten nicht manipuliert wurden Algorithmen und zugehörige Parameter Die Message-Digest-Berechnung über die zu signierenden Datenbereiche des PDF-Dokuments erfolgt mit der Hashfunktion SHA-1. Die Verwendung von SHA-1 für die Erzeugung qualifiziert signierter Daten wurde durch die Bundesnetzagentur bis auf weiteres bis Ende 2009 als geeignet eingestuft (Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen), 12. April 2007 im Bundesanzeiger Nr. 69, S. 3759). Eine weitere Message-Digest-Berechnung und die Signaturerstellung erfolgen durch Middleware und Signaturerstellungseinheit, die nicht Gegenstand dieser Erklärung sind. 4 Gültigkeit der Herstellererklärung Diese Herstellererklärung ist bis zum Widerruf durch die Secardeo GmbH oder die zuständige Behörde (Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen) bzw. bis zum durch die Bundesnetzagentur angezeigten Ablauf der Vertrauenswürdigkeit des Hashalgorithmus SHA-1 gültig, längstens jedoch bis zum Nachweis der Erfüllung der Anforderungen Die Erfüllung der in dieser Herstellererklärung aufgeführten Anforderungen wurde im Rahmen der Produktentwicklung in folgenden Dokumenten dokumentiert: 1. Sicherheitstechnische Produktvorgaben für die Nutzung qualifizierter Signaturzertifikate (vom , 17 Seiten) 2. Feinspezifikation (vom , 19 Seiten) 3. Testspezifikation (vom , 15 Seiten) Die vorgenannten Dokumente wurden bei der gemäß 3 Signaturgesetz zuständigen Behörde hinterlegt und sind nicht zur Veröffentlichung bestimmt. 6 Inhalt der Erklärung Diese Herstellererklärung dient ausschließlich dazu, die Erfüllung der vorstehend genannten Anforderungen des Signaturgesetzes und der Signaturverordnung zu bestätigen. Eine Übernahme weitergehender Zusicherungen in Bezug auf Produkteigenschaften ist damit nicht verbunden. Secardeo pdfgate Signer

7 Insbesondere weist der Hersteller darauf hin, dass die vorstehend genannten Anforderungen nur in der hochsicheren Betriebsart und nur dann erfüllt werden, wenn die unter Nummer 3.2 festgelegten Einsatzbedingungen eingehalten werden. Ende der Herstellererklärung Secardeo pdfgate Signer