Bestätigung von Produkten für qualifizierte elektronische Signaturen

Transkript

1 Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 S. 1, 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen 1 und 11 Abs. 2 und 15 Signaturverordnung 2 Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee Bonn bestätigt hiermit gemäß 15 Abs. 7 S. 1, 17 Abs. 2 SigG sowie 15 Abs. 2 und 4, 11 Abs. 3 SigV, dass die Signaturanwendungskomponente T-TeleSec Signet Version 1.5 den nachstehend genannten Anforderungen des SigG und der SigV entspricht. Die Dokumentation zu dieser Bestätigung ist registriert unter: BSI TE Bonn, den Dr. Helmbrecht, Präsident Das Bundesamt für Sicherheit in der Informationstechnik ist, auf Grundlage des BSI-Errichtungsgesetzes vom , Bundesgesetzblatt I S und gemäß der Veröffentlichung im Bundesanzeiger Nr. 31 vom 14. Februar 1998, Seite 1787, zur Erteilung von Bestätigungen für Produkte gemäß 15 Abs. 7 S. 1 (oder 17 Abs. 4) SigG ermächtigt. 1 Gesetz über die Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) in der Fassung vom 16. Mai 2001 (BGBl. Jahrgang 2001 Teil I Nr. 22) 2 Verordnung zur elektronischen Signatur (Signaturverordnung - SigV) in der Fassung vom 16. November 2001 (BGBl. Jahrgang 2001 Teil I Nr. 59) Die Bestätigung zur Registrierungsnummer BSI TE besteht aus 10 Seiten.

2 Beschreibung der technischen Komponente: Seite 2 von 10 Seiten 1 Handelsbezeichnung der technischen Komponente und Lieferumfang: Signaturanwendungskomponente, T-TeleSec Signet, Version Auslieferung und Lieferumfang: Das Produkt T-TeleSec Signet 1.5 ist eine Softwareapplikation und wird auf einer einmal beschreibbaren CD-ROM (Master) mit zugehörigem Installations- und Prüfprogramm von der Firma SignCubes GmbH an den OEM- Partner T-Systems International GmbH durch persönliche Übergabe ausgeliefert. Die Firma SignCubes GmbH (Hersteller des o.g. Produkts) selbst liefert die Softwareapplikation nicht an Endnutzer. Für den Vertrieb des Produktes im Verbrauchermarkt wird der Handel (insbesondere der stationäre Handel der Deutschen Telekom, wie T-Punkt Business, T-Punkt, Megastores usw.) genutzt. Dabei wird dem Endkunden/Verbraucher das Produkt mit der Installations-CD und der zugehörigen Benutzerdokumentation direkt ausgehändigt. Im Projektgeschäft und Partnervertrieb wird ebenfalls die Installations-CD mit der zugehörigen Benutzerdokumentation direkt ausgehändigt oder in einer versiegelten Hülle über einen vertrauenswürdigen Kurierdienst versandt. Die Installation der Softwareapplikation wird über das T-TeleSec SignCubes Installationsprogramm vorgenommen. Es existiert keine Möglichkeit, das Produkt T- TeleSec Signet 1.5 ohne Verwendung des Installationsprogramms auf dem Rechner des Anwenders zu installieren. Die CD-ROM verbleibt beim Endkunden, da die CD-ROM auch ein Prüfprogramm enthält, welches die Unversehrtheit der Softwareapplikation auf dem Rechner des Endkunden auf Anforderung (siehe T-TeleSec Signet Benutzerdokumentation) überprüft. Die Benutzerdokumentation wird ausschließlich in elektronischer Form ausgeliefert und befindet sich gleichfalls auf der CD-ROM und wird bei der Installation auf den PC des Endkunden kopiert. Vertreiber des Produkts T-TeleSec Signet 1.5: T-Systems International GmbH BU ITC Security, TeleSec Untere Industriestrasse Netphen 2 Funktionsbeschreibung Kurzbeschreibung: Das Produkt T-TeleSec Signet 1.5 ist eine modulare 4 Client Applikation. Sie bietet folgende Sicherheitsfunktionalitäten: Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit Zertifikaten unter Verwendung eines Kartenterminals und einer Smartcard. 3 Im Weiteren T-TeleSec Signet 1.5 genannt. 4 Im Weiteren als Komponente bezeichnet.

3 Seite 3 von 10 Seiten Prüfung von Hashwerten und Signaturen unter Verwendung von Sperrlisten und optionaler OCSP 5 -Abfrage. Erkennung der Manipulation von Komponenten (Modulen) an der Applikation T- TeleSec Signet 1.5. Sicherstellung der Unversehrtheit des Produkts T-TeleSec Signet 1.5. Sichere Anzeige der zu signierenden und signierten Daten. Schutz vor Hashwertverfälschungen. Das Produkt T-TeleSec Signet 1.5 läuft auf Basis von Microsoft Windows Systemen ab Windows 98 (s. u.). In der Sicherheitsumgebung der Applikation werden eine Smartcard und ein Kartenleser mit sicherer Pin- Eingabe benötigt, um die kryptografischen Operationen zur Signaturerzeugung und Verifikation auf sichere Art und Weise durchzuführen. Das Produkt T-TeleSec Signet 1.5 kann sowohl einfache, fortgeschrittene als auch qualifizierte elektronische Signaturen verarbeiten. Für die Erzeugung und Verifikation elektronischer Signaturen sind für die drei Fälle, wie oben bereits erwähnt, immer eine Smartcard und ein Kartenleser mit sicherer Pin- Eingabe erforderlich. Die vorliegende Bestätigung betrachtet nur die Anwendung auf qualifizierte elektronische Signaturen nach dem Signaturgesetz (SigG) und der Signaturverordnung (SigV), (siehe Fußnote 1 und 2). Das Produkt T-TeleSec Signet 1.5 selbst beschränkt sich auf die Erzeugung von kryptografischen Prüfsummen (Hashwerten) nach den Algorithmen SHA1 und RIPE MD 160 und kann somit die Integrität und Vertrauenswürdigkeit signierter Daten gemeinsam mit den Komponenten für Sperrlistenprüfung, OCSP-Abfrage und gesicherter Anzeigeeinheit für TIFF und Text Dokumente sicherstellen. Das Produkt T-TeleSec Signet 1.5 erfüllt die Anforderungen gemäß 17 Absatz 2 SigG und 15 Absatz 2 und Absatz 4 SigV. Funktionsbeschreibung des Produkts T-TeleSec Signet 1.5 Das Produkt T-TeleSec Signet 1.5 besteht aus mehreren Komponenten (Modulen), die in der folgenden Auflistung aufgeführt werden: T-TeleSec Signet Basiskomponenten für die Erzeugung und Verifikation elektronischer Signaturen (T-TeleSec Signet Manager). T-TeleSec Signet Viewer zur Visualisierung von zu signierenden Dokumenten und zur Anzeige signierter Dokumente auf Text und TIFF Basis. T-TeleSec Crypto-Service-Provider (CSP) zum Einsatz mit Microsoft Outlook und Microsoft Outlook Express. T-TeleSec Signet Shell Extension zur Erweiterung der Funktionen der Microsoft Explorer Kontextmenüs. T-TeleSec Signet Integritätscheck zur Überprüfung der Integrität der installierten Software auf dem Rechner des Anwenders. Das Produkt T-TeleSec Signet 1.5 ist eine Anwendung, die zur Erzeugung und Verifikation elektronischer Signaturen durch den Inhaber eines Signaturzertifikates bestimmt ist. Der Anwender arbeitet mit verschiedenen grafischen Schnittstellen, die als Produktbestandteile dem Anwender den Zugang zu den Sicherheitsfunktionen 5 Online Certificate Status Protocol. Dies ist ein Mechanismus der eine Positiv-Abfrage zu einem gegebenen Zertifikat ermöglicht.

4 Seite 4 von 10 Seiten des Produktes erlauben. Als Anwendungsbereich ist sowohl der Einsatz durch den Heimanwender als auch der Einsatz in größeren Infrastrukturen, z.b. im behördlichen Umfeld, anzusehen. Der T-TeleSec Signet Manager ist das Kernstück des Produkts T-TeleSec Signet 1.5 und stellt die folgenden Funktionen zur Verfügung: Errechnung kryptografischer Prüfsummen (Hashwerte) nach den Algorithmen SHA1 und RIPE MD 160. Erzeugung elektronischer Signaturen auf Basis einer Smartcard und eines Kartenterminals mit sicherer Pin-Eingabe. Verifikation einer elektronischen Signatur, inklusive Prüfung der Zertifikatskette (Sperrlisten und OCSP sind ebenfalls enthalten). Bereitstellung eines API für aufsetzende Komponenten. Verifikation und Verwaltung von dynamischen Bibliotheken des Produkts T- TeleSec Signet 1.5. Durch die T-TeleSec Signet Shell Extension wird die nahtlose Integration des Produktes in den Kontext des Microsoft Explorers vorgenommen, die sichere Anzeigeeinheit (T-TeleSec Signet Viewer) stellt die Funktionen einer Betrachtung und Untersuchung der zu signierenden bzw. signierten TIFF- und Textdokumente zur Verfügung. Der T-TeleSec CSP erlaubt die Integration von Signaturmechanismen in die Umgebung eines Clients und damit verbunden die Verwendung einer Smartcard für Signaturen. Sicherheitsfunktionen Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit Zertifikaten unter Verwendung eines Kartenterminals und einer Smartcard Der T-TeleSec Signet Manager erzeugt Hashwerte von beliebigen Dateien nach dem SHA1 Algorithmus. Nach Erzeugung des Hashwertes nutzt die T-TeleSec Signet Manager-Komponente die PC/SC- oder die CT-API- Mechanismen, um den Hashwert von einer Smartcard in einem Smartcard Terminal (Chipkartenleser) mit sicherer Pin- Eingabe (s. u.) nach dem RSA Verfahren verschlüsseln zu lassen und so eine elektronische Signatur zu erzeugen. Der T-TeleSec Signet Manager fügt dem verschlüsselten Hashwert das Zertifikat des unterschreibenden hinzu. Insgesamt wird durch die Verschlüsselung (Signatur) des Hashwertes der Nachweis als Gültigkeitsgarantie der Datei und durch das Zertifikat die Verifizierung des Gültigkeitsnachweises bereitgestellt. Vor der Erzeugung des Hashwertes nach dem SHA1 Algorithmus zeigt T-TeleSec Signet 1.5 dem Benutzer mit einer eindeutigen Textmeldung an, dass eine elektronische Signatur erzeugt werden soll. Dabei ist eindeutig erkennbar, auf welche Daten sich die Signatur beziehen soll, da der T-TeleSec Signet Manager dem Anwender mitteilt, welche Applikation (z. B. Microsoft (Datei-)Explorer) welche Datei signieren will. Im gleichen Dialog ist der Aufruf der sicheren Anzeigeeinheit (T- TeleSec Signet Viewer) möglich, so dass der Inhalt der zu signierenden Daten hinreichend zu erkennen ist. Durch die Verwendung eines sicheren Signaturerzeugungssystems, bestehend aus einem Kartenleser mit sicherer Pin- Eingabe und einer Smartcard (nähere Angaben siehe unten), ist sichergestellt, dass die Signatur nur durch die berechtigte Person erfolgt und die Identifikationsdaten nicht preisgegeben werden.

5 Seite 5 von 10 Seiten Prüfung von Hashwerten und Signaturen unter Verwendung von Sperrlisten und optionaler OCSP- Abfrage Das Produkt T-TeleSec Signet 1.5 kann die Signaturen an beliebigen Dateien überprüfen, die entweder mit dem SHA1- oder dem RIPE MD 160- Algorithmus erzeugt wurden. Dabei wird eindeutig erkennbar, auf welche Datei sich die elektronische Signatur bezieht, ob die signierten Daten unverändert sind, welchem Signierer die elektronische Signatur zuzuordnen ist und welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und etwaiger zugehörige qualifizierte Attribut-Zertifikate 6 aufweisen. Bei der Prüfung der Signatur hat der Benutzer die Möglichkeit, eine OCSP-Abfrage zum Signaturzertifikat durchzuführen. Hierbei wird die Zertifikatskette nach dem Kettenmodell bzw. entsprechend dem Standard RFC3280 berücksichtigt. Das Ergebnis der OCSP-Abfrage wird dem Benutzer mit einer eindeutigen Textmeldung angezeigt. Bei der Signaturprüfung wird aus dem Signaturzertifikat das Herausgeberzertifikat (Zertifikat des Zertifizierungsdiensteanbieters) ermittelt und auf Grund dieses Zertifikats eine entsprechende Sperrliste geladen. Innerhalb dieser Sperrliste wird überprüft, ob ein entsprechender Eintrag für das Zertifikat in der Sperrliste vorhanden ist. Ist dies der Fall, werden die Informationen aus der Sperrliste übernommen. War das Zertifikat zum Zeitpunkt der Signaturerzeugung bereits gesperrt, wird dies dem Benutzer angezeigt. Das Produkt T-TeleSec Signet 1.5 gibt somit dem Anwender eine eindeutige Meldung, ob die Signaturprüfung erfolgreich war oder nicht. Durch die Verwendung der sicheren Anzeigeeinheit wird sichergestellt, dass der Inhalt der signierten Daten hinreichend zu erkennen ist. Erkennung der Manipulation von Komponenten (Module) des Produktes T-TeleSec Signet 1.5 Das Produkt T-TeleSec Signet 1.5 wird von der Firma T-Systems International GmbH mit von der Firma SignCubes GmbH signierten Bibliotheken und signierten ausführbaren Dateien an den Endkunden ausgeliefert. Um die Erkennung der Manipulation an den installierten Dateien zu realisieren, existiert ein separater Prüfmodul der gleichfalls gehasht und signiert ist. Alle Komponenten des Produktes T-TeleSec Signet 1.5 kennen den SHA1- Hashwert dieses Prüfmoduls. Das Prüfmodul selbst kennt den öffentlichen Schlüssel, mit dem die einzelnen Komponenten (Module) und ausführbaren Dateien der Firma SignCubes GmbH signiert werden. Wird der T- TeleSec Manager gestartet, wird ein gegenseitiger Authentisierungsmechanismus zwischen T-TeleSec Signet Manager, dem Prüfmodul und den zu ladenden Komponenten in Gang gesetzt. Der T-TeleSec Signet Manager kann hierbei nicht ohne korrektem und authentischem Prüfmodul arbeiten. Beim Laden von weiteren o.g. Komponenten durch den T-TeleSec Signet Manager wird über das Prüfmodul die Authentizität dieser Komponenten sichergestellt. Dabei kennen auch die Komponenten den Hashwert des Prüfmoduls. Bei Nichtübereinstimmung der Hashwerte, verweigern die Komponenten jede weitere Arbeit. Sicherstellung der Unversehrtheit des Produktes T-TeleSec Signet 1.5 Mit dem Produkt T-TeleSec Signet 1.5 wird eine Prüfsoftware ausgeliefert, die auf der CD-ROM verbleibt und nicht auf dem Rechner des Anwenders installiert wird. Wird das Testprogramm gestartet, überprüft es die Integrität der Installation, indem es die Hashwerte der installierten Komponenten bildet und über den RSA Algorithmus die 6 Als zusätzliche Attribute in der Signatur enthaltene Attribut-Zertifikate können nicht angezeigt werden.

6 Seite 6 von 10 Seiten vorhandenen Komponentensignaturen entschlüsselt (der öffentliche Schlüssel zur Signaturprüfung ist fester Bestandteil der Hauptanwendung) und das Operationsergebnis mit den errechneten Hashwerten vergleicht. Wurden die Komponenten verändert, weist das Prüfprogramm den Anwender mit einer Statusmeldung auf diesen Zustand hin. Sichere Anzeige der zu signierenden und signierten Daten Das Produkt T-TeleSec Signet 1.5 stellt mit der Komponente sichere Anzeigeeinheit sicher, dass der Anwender die Inhalte, die angezeigt werden sollen, eindeutig interpretieren kann und die angezeigte Datei (eine Text- oder TIFF- Datei) frei von verdeckten oder aktiven Inhalten ist. Weiterhin wird mit der sicheren Anzeigeeinheit erreicht, dass der Anwender informiert wird, falls aktive Inhalte oder nicht darstellbare Inhalte in der Datei enthalten sind. Will der Anwender die Datei signieren, wird er mit einer eindeutigen Textmeldung darauf hingewiesen, dass verdeckte oder aktive Inhalte in dem Dokument enthalten sind, die von der sicheren Anzeigeeinheit nicht dargestellt werden. Schutz vor Hashwertverfälschung Vor dem Signaturvorgang wird der Hashwert nach dem SHA1 Algorithmus über die zu signierenden Daten gebildet. Nach dem Signaturvorgang überprüft T-TeleSec Signet 1.5 die erzeugte Signatur, indem er die Signatur mit dem öffentlichen Schlüssel des verwendeten Zertifikats entschlüsselt und das Operationsergebnis mit dem vor dem Signaturvorgang berechneten Hashwert vergleicht. Abschließend wird dem Anwender eine Textmeldung angezeigt, ob der von ihm beabsichtigte Hashwert (bzw. Datei) signiert wurde. 3 Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung 3.1 Erfüllte Anforderungen Die Applikation T-TeleSec Signet 1.5 erfüllt die Anforderungen nach: SigG 17 Produkte für qualifizierte elektronische Signaturen 17 (2) (2) Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur vorher eindeutig anzeigen und feststellen lassen, auf welche Daten sich die Signatur bezieht. Für die Überprüfung signierter Daten sind Signaturanwendungskomponenten erforderlich, die feststellen lassen, 1. auf welche Daten sich die Signatur bezieht, 2. ob die signierten Daten unverändert sind, 3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist, 4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte Attribut-Zertifikate 7 aufwiesen und 7 Das Produkt T-TeleSec Signet 1.5 kann nur die Inhalte der Attribute im Hauptzertifikat anzeigen, nicht die der angehängten Attribut-Zertifikate.

7 Seite 7 von 10 Seiten 5. zu welchem Ergebnis die Nachprüfung von Zertifikaten nach 5 Abs. 1 Satz 2 geführt hat. Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu signierenden oder signierten Daten hinreichend erkennen lassen. Die Signaturschlüssel-Inhaber sollen solche Signaturanwendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elektronischer Signaturen treffen. SigV 15 Anforderungen an Produkte für qualifizierte elektronische Signaturen 15 (2) (2) Signaturanwendungskomponenten nach 17 Abs. 2 des Signaturgesetzes müssen gewährleisten, dass 1. bei der Erzeugung einer qualifizierten elektronischen Signatur a) die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren Signaturerstellungseinheit gespeichert werden, b) eine Signatur nur durch die berechtigt signierende Person erfolgt, c) die Erzeugung einer Signatur vorher eindeutig angezeigt wird und 2. bei der Prüfung einer qualifizierten elektronischen Signatur a) die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird und b) eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifikat-Verzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren. 15 (4) (4) Sicherheitstechnische Veränderungen an technischen Komponenten nach den Absätzen 1 bis 3 müssen für den Nutzer erkennbar werden. 3.2 Einsatzbedingungen Dies gilt unter der Voraussetzung, daß folgende Einsatzbedingungen gewährleistet sind: a) Anforderungen an die technische Einsatzumgebung Das Produkt T-TeleSec Signet 1.5 wurde evaluiert auf der Basis der folgenden Hardund Softwarekonfiguration: Der Benutzer verwendet als Hardwareplattform einen Intel 586 kompatiblen Rechner, der über mindestens 64 MB RAM und 60 MB freien Festplattenplatz verfügen. Auf dem Rechner ist eines der folgenden Betriebssysteme Microsoft Windows 98, Microsoft Windows 98 SE, Windows ME, Windows NT 4.0 mit Servicepack 6.0, Windows 2000 oder Windows XP installiert. Es sind der Internet Explorer ab Version 4.01 SP2 mit der Shell32.dll ab Version 4.0 und die Microsoft Smartcard Base Components ab Version 1.0 auf dem Rechner installiert. Der Anwender stellt sicher, dass alle Komponenten des Betriebssystems und alle sonstig installierte Software korrekt und vertrauenswürdig ist.

8 Seite 8 von 10 Seiten Der Anwender verwendet ein sicheres Signaturerzeugungssystem, welches aus einem Kartenleser mit sicherer Pin-Eingabe und einer Smartcard besteht. Der Anwender setzt eine der folgenden SigG konformen Smartcards entsprechend den Vorgaben des Herstellers ein: TeleSec E4Netkey-Karte. OpenLimit Karte als spezielle Konfiguration der TeleSec E4NetKey-Karte. Der Anwender setzt einen der folgenden Kartenleser mit sicherer Pin-Eingabe entsprechend den Vorgaben des Herstellers ein: Cherry SmartBoard G SCMMicrosystems SPRx32/ChipDrive Pin-Pad. Reiner SCT CyberJack e-com Version 2.0. Reiner SCT CyberJack pinpad Version 2.0. Bei den verwendeten peripheren Produkten werden ausschließlich im Sinne des SigG bestätigte Produkte zugelassen, die zugehörigen Bestätigungen für diese Produkte können von den Seiten der Regulierungsbehörde für Telekommunikation und Post (RegTP) bezogen werden ( Eine Übertragung der Evaluationsergebnisse auf andere Plattformen (z.b. anderes Betriebssystem, anderer Compiler, andere Chipkarte, andere Personalisierung, andere Rechnerarchitektur, anderer Chipkartenleser) ist nicht möglich, sondern erfordert ggf. eine Re-Evaluierung. Die Bestätigungsstelle gibt hierüber Auskunft. Das Produkt T-TeleSec Signet 1.5 darf deshalb ausschließlich eingesetzt werden innerhalb einer oben beschriebenen Hard- und Softwareausstattung. Besondere Beschränkungen und Ausnahmen Der Kartenleser Reiner SCT CyberJack e-com Version 2.0 wird nicht von Windows 98 und Reiner SCT CyberJack pinpad Version 2.0 wird nicht von Windows NT SP 6 unterstützt. Für diese Konfigurationen gilt diese Bestätigung nicht. b) Anforderungen an die organisatorische und administrative Einsatzumgebung Das Produkt T-TeleSec Signet 1.5 wird vom Hersteller auf einer einmal beschreibbaren CD-ROM ausgeliefert. Das spezifizierte Auslieferungsverfahren ist einzuhalten. Es ist durch den Benutzer sicherzustellen, dass die CD-ROM vor unberechtigtem Zugriff geschützt aufbewahrt wird. Personal Der Benutzer, der Administrator und das Wartungspersonal sind vertrauenswürdig und befolgen die Anweisungen in der Benutzerdokumentation des Produkts T- TeleSec Signet 1.5. Insbesondere prüft der Benutzer die Integrität des Produkts T- TeleSec Signet 1.5 entsprechend den Anweisungen in der Benutzerdokumentation. Zugriff Der Rechner des Anwenders befindet sich in einer Umgebung, in welcher der Anwender volle Kontrolle über eingelegte Datenträger und Netzwerkfreigaben hat.

9 Seite 9 von 10 Seiten Das Produkt T-TeleSec Signet 1.5 ist so geschützt, dass er über eine Netzwerkfreigabe nicht erreichbar ist. Der Zugriff auf das Produkt T-TeleSec Signet 1.5 vom Rechner des Anwenders ist möglich. Es ist sicherzustellen, dass auf der von dem Produkt T-TeleSec Signet 1.5 und der Anwendung benutzten Hardwareplattform keine Viren oder Trojanischen Pferde (kompromittierende Software) eingespielt werden. Netzwerk Der Rechner, auf dem das Produkt T-TeleSec Signet 1.5 installiert ist, kann über einen Internetzugang verfügen. In diesem Falle ist eine Firewall zu verwenden, die sicherstellt, dass keine Systemdienste oder Systemkomponenten durch Zugriffe aus dem Internet kompromittiert werden können. Weiterhin setzt der Benutzer einen Virenscanner ein, der in der Lage ist, sowohl klassische Virenprogramme wie Makroviren als auch Backdoor Programme zu erkennen und den Anwender im Falle eines Angriffs über diesen Zustand in Kenntnis zu setzen. Der Rechner, auf dem das Produkt T-TeleSec Signet 1.5 installiert ist, kann über einen Intranetzugang verfügen. In diesem Falle setzt der Anwender einen Virenscanner ein, welcher in der Lage ist, sowohl klassische Virenprogramme wie Makroviren als auch Backdoor Programme zu erkennen und den Anwender im Falle eines Angriffs über diesen Zustand in Kenntnis zu versetzen. Treten solche Fälle ein, wird der Anwender aufgefordert, das auf dem PC installierte Produkt T-TeleSec Signet 1.5 hinsichtlich seiner Integrität zu prüfen (siehe Hinweise in der Benutzerdokumentation). Durch Veränderungen der Einsatzumgebung dürfen die bekannten Schwachstellen in der Konstruktion und bei der operationalen Nutzung nicht ausnutzbar werden bzw. dürfen keine neuen Schwachstellen entstehen. c) Nutzung und Abgrenzung des Produkts T-TeleSec Signet 1.5 Mit Auslieferung des Produkts T-TeleSec Signet 1.5 ist der Anwender auf die Einhaltung der oben genannten Einsatzbedingungen hinzuweisen. Die folgenden Merkmale kann das Produkt T-TeleSec Signet 1.5 nicht leisten: Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrtheit und der Geheimhaltung der privaten Schlüssel obliegt der Smartcard. Sicherstellung der korrekten Uhrzeit auf dem Rechner des Anwenders. Das Produkt T-TeleSec Signet 1.5 enthält keine Mechanismen für die Verwendung von Zeitstempeln und kann auch keine Aussagen über die Plausibilität der eingestellten Uhrzeit treffen. Sicherstellung der Integrität des Betriebssystems. Das Produkt T-TeleSec Signet 1.5 enthält keine Mechanismen, um die Integrität seiner Umgebung zu überprüfen. Der Anwender muß sicherstellen, dass er geeignete Vorkehrungen trifft, um eine Kompromittierung seines Betriebssystems zu vermeiden. Sicherheit der kryptografischen Operationen. Das Produkt T-TeleSec Signet 1.5 benutzt Bibliotheken zur Erzeugung elektronischer Signaturen über das RSA Public Key Verfahren. Er kann die Stärke der kryptografischen Mechanismen nicht garantieren und keine Aussagen über die Stärke der kryptografischen Funktionen postulieren.

10 Seite 10 von 10 Seiten Die Leistungsmerkmale des Produkts T-TeleSec Signet 1.5 beschränken sich auf die Erzeugung kryptografischer Prüfsummen (Hashwerte) und die Verwendung einer sicheren Signaturerstellungseinheit (SSCD) für die Erzeugung elektronischer Signaturen sowie die Verwendung des RSA Algorithmus für die Verifikation elektronischer Signaturen. Für den Verifikationsprozess werden Sperrlisten verwendet, OCSP Abfragen stehen als Mechanismus ebenfalls zur Verfügung. Das Produkt T-TeleSec Signet 1.5 kann Manipulationen an Zertifikatsverzeichnissen ebenso wenig abwehren wie die Protokollierung elektronischer Signaturvorgänge auf dem Rechner des Anwenders. Evaluiert wurde der T-TeleSec Signet Manager mit seinen weiteren Komponenten (Modulen) (wie oben beschrieben). Anwendungen, die das Produkt T-TeleSec Signet 1.5 nutzen, sind nicht Gegenstand dieser Bestätigung. 3.3 Algorithmen und zugehörige Parameter Zur Erzeugung elektronischer Signaturen wird vom Produkt T-TeleSec Signet 1.5 die Hashfunktionen SHA-1 bereitgestellt. Zur Prüfung elektronischer Signaturen werden vom Produkt T-TeleSec Signet 1.5, die Hashfunktionen RIPEMD-160 sowie SHA-1 und der RSA-Algorithmus mit einer Schlüssellänge von 1024 Bit bereitgestellt. Die verwendeten kryptografischen Algorithmen sind gemäß der Veröffentlichung im Bundesanzeiger Nr. 30 S vom 13. Februar 2004 Geeignete Algorithmen zur Erfüllung der Anforderungen nach 17 Abs. 1 bis 3 SigG vom 22. Mai 2001 in Verbindung mit Anlage 1 Abschnitt 1 Nr. 2 SigV vom 22. November 2001 als geeignet eingestuft. Die verwendeten Hashalgorithmen RIPEMD-160 und SHA-1 gelten bis Ende 2009 als geeignet. Der RSA-Algorithmus mit einer Schlüssellänge von 1024 Bit gilt bis Ende 2007 als geeignet. 3.4 Prüfstufe und Mechanismenstärke Das Produkt T-TeleSec Signet 1.5 wurde erfolgreich nach den Common Criteria (CC) mit der Prüfstufe EAL3+ (EAL3 mit Zusatz 8 AVA_VLA.4 (gegen ein hohes Angriffspotential), AVA_MSU.3 (eine vollständige Missbrauchsanalyse), ADV_IMP.1, ADV_LLD.1 und ALC_TAT.1) evaluiert. Die eingesetzten Sicherheitsfunktionen erreichen die Stärke hoch. Ende der Bestätigung 8 Gemäß 11 Abs. 3 in Verbindung mit Anlage I Nr. 1 SigV.